[发明专利]诊断网络防火墙的方法及装置

说明书

技术领域

本发明涉及数据处理领域，具体而言，涉及一种诊断网络防火墙的方法及装置。

背景技术

当网络防火墙当自身出现配置不正确、数据包处理不当等问题以及网络防火墙设备上线之前需要验证配置和数据包能否正确处理时，需要对数据包在网络防火墙中每一步处理过程进行跟踪并及时记录下相关结果，并在出现问题的地方进行综合分析，给出诊断结果，分析其错误原因和处理建议。

目前，有两种方法对来分析和定位配置错误、数据包处理不当等问题。第一种方法，通过查看网络防火墙的配置、调试信息、日志手动定位和分析相关问题，只要是，当现有的网络防火墙设备中当出现配置问题和数据包处理错误时，管理员通过查看相关配置以及通过网络防火墙上相关调试信息和日志手动来定位和分析此类问题，但是采用该方法没有一套完整数据包路径检测系统来帮助管理员自动通过数据包在网络防火墙中通过每一模块的路径跟踪来诊断问题所在。

第二种方法为通过实验室复现现象方法来手动分析和定位配置错误、数据包处理不当等问题，即当数据包处理不正确时，通过实验室来模拟真实环境和相关配置来复现一模一样的现象来分析和定位相关网络防火墙自身出现的问题，但是采用该种方法需要消耗相当大的人力、物力去实现，成本和代价较高，并也要手动去分析问题的原因所在，无法自动来诊断和定位。

针对现有技术中对通过网络防火墙的数据包的诊断不准确，从而导致数据报文转发不正确的问题，目前尚未提出有效的解决方案。

发明内容

针对相关技术对通过网络防火墙的数据包的诊断不准确，从而导致数据报文转发不正确的问题，目前尚未提出有效的解决方案，为此，本发明的主要目的在于提供一种诊断网络防火墙的方法及装置，以解决上述问题。

为了实现上述目的，根据本发明的一个方面，提供了一种诊断网络防火墙的方法，该方法包括：将网络防火墙对第一数据包进行解封装和检测处理的处理过程中的数据进行记录，以获取处理过程中产生的第一过程数据；将第一过程数据与预设诊断数据进行对比，以获取第二过程数据，其中，第二过程数据为第一过程数据中与预设诊断数据相匹配的数据；对第二过程数据进行诊断，得到诊断结果。

进一步地，对第二过程数据进行诊断，得到诊断结果的步骤包括：查询获取第二过程数据的标识信息；读取与标识信息所对应的第一报文信息，第一报文信息为第一数据包的报文信息；对第一报文信息和第一配置参数进行对比分析，以获取诊断参数，其中，第一配置参数是网络防火墙的配置参数；保存第二过程数据、标识信息以及诊断参数，得到诊断结果。

进一步地，将网络防火墙对第一数据包进行解封装和检测处理的处理过程中的数据进行记录，以获取处理过程中产生的第一过程数据的步骤包括：获取对第一数据包进行过滤的过滤条件；根据过滤条件对通过网络防火墙的第一数据包进行过滤处理，以获取第一数据包中符合过滤条件的第二数据包；将网络防火墙对第二数据包进行解封装和检测处理的处理过程中的数据进行记录，以获取处理过程中产生的第一过程数据。

进一步地，获取通过网络防火墙的实时数据包，并将实时数据包作为第一数据包；或者，生成模拟数据包，并使模拟数据包通过网络防火墙以便网络防火墙将模拟数据包作为第一数据包；或者，解析预设数据包，并将解析后的预设数据包在网络防火墙中回放，以便网络防火墙将处理后的预设数据包作为第一数据包。

进一步地，对第二过程数据进行诊断，得到诊断结果的步骤包括：获取诊断时间；判断诊断时间是否达到预设诊断时间；在诊断时间达到预设诊断时间的情况下，对第二过程数据进行诊断，得到诊断结果。

为了实现上述目的，根据本发明的另一方面，提供了一种诊断网络防火墙的装置，该装置包括：第一处理模块，用于将网络防火墙对第一数据包进行解封装和检测处理的处理过程进行记录，以获取处理过程中产生的过程数据；第二处理模块，用于将第一过程数据与预设诊断数据进行对比，以获取第二过程数据，其中，第二过程数据为第一过程数据中与预设诊断数据相匹配的数据；第三处理模块，用于对第二过程数据进行诊断，得到诊断结果。

进一步地，第三处理模块包括：第一获取模块，用于查询获取第二过程数据的标识信息；读取模块，用于读取与标识信息所对应的第一报文信息，第一报文信息为第一数据包的报文信息；分析模块，用于对第一报文信息和第一配置参数进行对比分析，以获取诊断参数，其中，第一配置参数是网络防火墙的配置参数；保存模块，用于保存第二过程数据、标识信息以及诊断参数，得到诊断结果。