[发明专利]一种快速便捷检测防火墙配置的方法

说明书

一种快速便捷检测防火墙配置的方法，其特征是先通过便携终端接入目标网络或目标防火墙设备进行探测，对存在的防火墙设备进行活性探测，再根据探测出的设备型号便携终端会自动去命令库中读取对应的配置获取命令并获取防火墙的相应配置信息；最后，基于所获取的信息，用从正确的规则库中获取到的信息和用命令读取的配置信息进行比对即可确定目标防火墙设备的配置是否正确，如若正确则结束本次检测，否则终端设备可以根据用户设定的规则进行自动修改，同时也支持用户手动修改防火墙配置。本发明可以准确、全面、快捷、灵活地检测和校验目标网络中指定防火墙的配置并修改不符合要求的配置。

技术领域

本发明涉及一种网络通讯管理领域，尤其是一种网络系统中防火墙设备的检测配置技术，具体地说是一种快速便捷检测防火墙配置的方法。

背景技术

多年以前，大部分企业网络结构较为简单，在一个局域网络中网络设备数量也很有限，但是随着网络的普及以及网络设备的激增，网络中新增了很多主机、路由和防火墙等设备，设备数量的日益增多，网络中潜在的漏洞也越来越多，为了避免有心之人利用这些漏洞，防火墙就起到了关键性的作用，当防火墙的数量较少时，人工进行检测和维护配置的工作压力不大，当前，网络设备越来越多，需要配套的防火墙数量也越来越多，再加上网络漏洞数量和种类不断增多，防火墙的配置正确性及应用有效性显得越来越重要，因此，如何对防火墙的配置进行正确维护和检测就显得尤为重要。此时再采用人工检测和维护的方式已经显得力不从心，人工检测方式将耗费企业巨大的人力物力，同时，人工检测方式有疏漏和出错的可能性，因此，实现能满足当前防火墙配置自动化检测的方法显得意义重大。

目前已经有一些针对防火墙配置检测的方式，但是现有的方式几乎都是将网络探针设备嵌入到网络中或者直接安装在防火墙设备上，这种方式检测性能满足需求但是灵活性略显不足，主要不足表现在以下两点：1、设备需要在每个网络或者防火墙上进行安装；2、设备只能应用于安装的网络环境或防火墙上，如果要应用于别的环境，需要重新进行安装，重复使用率低，不够经济。同时，这种方式只具备检测功能，并不具备自动修改规则功能，所以实现一种既经济又灵活的防火墙配置检测方式就显得尤为迫切。

发明内容

本发明的目的是针对现有的网络系统中防火墙设备的检测和维护主要依靠人工维护并且存在工作量大、错误率高的问题，发明一种通过便携终端检测和修改防火墙配置的方法。

本发明的技术方案是：

一种快速便捷检测防火墙配置的方法，其特征是先通过便携终端接入目标网络或目标防火墙设备进行探测，对存在的防火墙设备进行活性探测，根据使用者提供的防火墙登陆口令，登陆防火墙并探测其运行状态是否正常及其设备型号，再根据探测出的设备型号便携终端会自动去命令库中读取对应的配置获取命令并获取防火墙的相应配置信息；最后，基于所获取的信息，用从正确的规则库（防火墙配置规则的数据库，能根据用户需要自定义，用来确定防火墙配置是否符合要求）中获取到的信息和用命令读取的配置信息进行比对即可确定目标防火墙设备的配置是否正确，如若正确则结束本次检测，否则便携终端根据用户设定的规则进行自动修改，同时也支持用户手动修改防火墙配置，具体步骤为：

首先，将便携终端检测通过console端口接入防火墙或者直接通过接入目标网络核心节点远程登录防火墙设备；

其次，针对登陆成功的防火墙设备，运用show version/display version命令（查询设备版本信息命令）查询设备信息并监听回应；

第三，根据show version/display version命令返回的结果信息可以判断防火墙的厂商类型；

第四，预先收集不同厂商及不同版本型号防火墙的命令，根据确定的设备厂商和版本型号去数据库中读取预先收集的相应厂商和版本的防火墙设备命令；

第五，根据读取的防火墙命令，系统逐条地向防火墙发送命令并监听回应；