[发明专利]包过滤日志汇聚方法及装置

说明书

技术领域

本申请涉及网络通信技术领域，尤其涉及一种包过滤日志汇聚方法及装置。

背景技术

目前具有防火墙功能的网络设备上通常会配置多种包过滤策略，用于对接收到的数据包进行过滤。网络设备针对接收到的每一个数据包，利用数据包的源IP(Internet Protocol，网际协议)地址或目的IP地址与包过滤策略进行匹配，并根据匹配结果进行转发或丢弃，并生成包过滤日志，该包过滤日志中记录有数据包的源IP地址、目的IP地址、目的端口和与匹配结果。目前在进行新的包过滤策略制定时，需要人工提取包过滤日志中记录的每个数据包的源IP地址、目的IP地址、目的端口与匹配结果，并进行汇聚，进而根据汇聚结果制定包过滤策略。然而，这种人工提取并汇聚的方式操作复杂，并且效率低。

发明内容

有鉴于此，本申请提供一种包过滤日志汇聚方法及装置，以解决人工提取并汇聚的方式操作复杂，并且效率低的问题。

根据本申请实施例的第一方面，提供一种包过滤日志汇聚方法，所述方法包括：

获取包过滤日志中记录的每条数据的源网际协议IP地址和目的端口；

针对每条数据，将该条数据的源IP地址与预设网段进行匹配；

若匹配到预设网段，则从匹配到的预设网段对应的汇聚项中，确定端口为该条数据的目的端口对应的汇聚项，并将所述汇聚项中的访问次数加1；

否则，根据预设掩码位数确定所述源IP地址对应的掩码网段，并从所述掩码网段对应的汇聚项中，确定端口为该条数据的目的端口对应的汇聚项，并将所述汇聚项中的访问次数加1。

根据本申请实施例的第二方面，提供一种包过滤日志汇聚装置，所述装置包括：

获取模块，用于获取包过滤日志中记录的每条数据的源网际协议IP地址和目的端口；

匹配模块，用于针对每条数据，将该条数据的源IP地址与预设网段进行匹配；

第一汇聚模块，用于在匹配到预设网段时，从匹配到的预设网段对应的汇聚项中，确定端口为该条数据的目的端口对应的汇聚项，并将所述汇聚项中的访问次数加1；

第二汇聚模块，用于在未匹配到预设网段时，根据预设掩码位数确定所述源IP地址对应的掩码网段，并从所述掩码网段对应确定的汇聚项中，确定端口为该条数据的目的端口对应的汇聚项，并将所述汇聚项中的访问次数加1。

应用本申请实施例，在需要进行包过滤日志汇聚时，网络设备可以获取包过滤日志中记录的每条数据的源IP地址和目的端口，针对每条数据，将该条数据的源IP地址与预设网段进行匹配，若匹配到预设网段，则从匹配到的预设网段对应的汇聚项中，确定端口为该条数据的目的端口对应的汇聚项，并将汇聚项中的访问次数加1；否则，根据预设掩码位数确定源IP地址对应的掩码网段，并从掩码网段对应的汇聚项中，确定端口为该条数据的目的端口对应的汇聚项，并将汇聚项中的访问次数加1。基于上述描述可知，通过预设网段匹配和掩码匹配实现包过滤日志的自动汇聚，无需人工提取日志数据，再一条一条的统计汇聚，减少了人工统计的工作量，提高了汇聚效率。

附图说明

图1为本申请根据一示例性实施例示出的一种包过滤日志汇聚方法的实施例流程图；

图2为本申请根据一示例性实施例示出的一种网络设备的硬件结构图；

图3为本申请根据一示例性实施例示出的一种包过滤日志汇聚装置的实施例结构图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。

在本申请使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本申请可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本申请范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。