[发明专利]全流量存储回溯分析系统中NAT规则优化配置方法

说明书

本发明属于全流量存储回溯分析系统的优化配置方法技术领域，具体涉及一种全流量存储回溯分析系统中NAT规则优化配置方法，包括如下步骤：建立基于(ip，port)的映射规则；worker线程对内网口流量进行处理；worker线程对外网口流量进行处理；在未确定sessionA和sessionB的NAT映射关系前，构建NAT映射表；根据NAT映射表，识别sessionA和sessionB的NAT映射关系；流量分析与存储流程。本发明基于内网口和外网口同时进行全流量存储的具有NAT规则配置的场景，优化设计流量分析与存储，使用户可以清晰获得NAT规则，同时大幅提升整体性能。

技术领域

本发明属于全流量存储回溯分析系统的优化配置方法技术领域，具体涉及一种全流量存储回溯分析系统中NAT规则优化配置方法。

背景技术

对于安全厂商而言，全流量存储回溯分析系统是具有数据包采集、协议解码与分析、流量统计、故障诊断与性能管理等多种功能为一体的网络分析产品，能够提供高精度网络诊断分析，多层次展现网络通讯全景，有效地帮助网络管理者梳理网络应用。

当环境为办公网、生产网、政务内外网和数据中心时，通常设计为将全流量存储回溯分析设备以对流量镜像或分光的方式旁路部署在需监测网络流量的出入口。以图1为例，则是部署在内网出口与防火墙之间，从而采集上行和下行的流量。

不过以图2的网络流量的出入口部署具有NAT功能的网关设备为例，假设按图1的方式仅部署一台全流量回溯系统A(部署在内网出入口与设备之间)，但是如果网关设备出现异常丢包，那么就会出现全流量回溯系统无法捕捉到防火墙—外网，以及外网—防火墙之间的丢弃的报文。而对于客户而言，解决这个问题需要在防火墙与外网口之间再部署一台全流量回溯系统B，那么一共需要两台全流量回溯系统，相对而言対客户而言开销巨大。

而通用的全流量存储系统如果监督内网口和外网口，由于同一流量分别通过内网口和外网口，也就是一个会话的报文均存在两份，如果仅是存储功能则仅仅是将存储功能做了两份，但是现在的流量存储系统都包含流量识别功能，而流量分析识别是基于会话的，这种场景就需要同一会话的两个方向的报文均为两份，这种特殊场景通用的流量存储回溯系统是不支持的，再或者就是将其分为两个会话分别识别(内网口的上下行流量一个会话，外网口的上下行一个会话)，相当于同一流量分析两次。

另外，对于涉及到NAT设备，如果使用图3部署，由于大多数情况下用户均配置了NAT规则，这使得内网口与外网口的流量不同，这使得在发生丢包现象或者流量异常时，全流量存储回溯设备需要给出流量的NAT规则关系图，而这一功能绝大多数厂商均不支持，需要用户手动分析内网口镜像流量和外网口口镜像流量，手动分析NAT规则图。

发明内容

为了解决上述技术问题，本发明提供一种全流量存储回溯分析系统中NAT规则优化配置方法，基于内网口和外网口同时进行全流量存储的具有NAT规则配置的场景，优化设计流量分析与存储，使用户可以清晰获得NAT规则，同时大幅提升整体性能。

本发明是这样实现的，提供一种全流量存储回溯分析系统中NAT规则优化配置方法，基于同一会话的内网口流量和外网口流量的NAT规则进行优化配置，具体包括如下步骤：

1)建立基于(ip，port)的映射规则：

内网口流量根据对应情况下的(ip，port)确定worker线程序号，外网口流量根据对应情况下的(ip，port)确定worker线程序号，建立(ip，port)与worker线程的对应关系，并配置到内网口和外网口的网卡中，确保同一会话的内网口流量和外网口流量被同一个worker线程处理；

2)worker线程对内网口流量进行处理：

worker线程收到内网口流量时，对内网口流量构建sessionA，sessionA的键值key为报文五元组；

3)worker线程对外网口流量进行处理：