[发明专利]一种网络业务诊断方法

说明书

本发明实施例公开了一种网络业务诊断方法。本发明实施例中的网络业务诊断方法包括：获取业务请求经过的安全设备的配置信息，配置信息包括安全策略规则；根据业务请求和安全设备的配置信息进行预处理；预处理包括：根据每个安全设备的类型，选择对应的安全策略匹配方式，并且确定业务请求经过的安全设备的入接口和出接口，生成待分析的业务请求；根据选择的安全策略匹配方式和预设匹配算法，将待分析的业务请求与安全设备的安全策略规则进行匹配，生成每个安全设备对业务请求的准许情况。本发明实施例提供的技术方案实现了在执行网络业务诊断时，可以兼容不同类型和厂家的安全设备，从而提高了网络业务诊断方法的实用性。

技术领域

本发明涉及网络拓扑技术领域，尤指一种网络业务诊断方法。

背景技术

随着互联网技术的不断发展，网络环境日益复杂，网络安全成为企业关心的主要问题。为了解决网络中存在的安全隐患，企业会在内部网络中部署防火墙等安全设备，尤其是在内部网络复杂庞大的公司，会在内部网络中部署多台安全设备。

目前在部署多台安全设备时，通常会将内部网络划分为多个区域，并且要在这些安全设备上部署多组防火墙规则集，让不同的区域互连，因此，公司内部网络安全维护人员需要仔细检查，避免不同安全设备上规则集相互影响，引入安全漏洞。随着公司内部网络日益复杂和维护网络的成本增加，安全管理员很难评估公司内部网络中的安全设备是否允许指定的服务通过该安全设备，造成评估公司内部网络的安全策略比较困难的原因例如包括：(1)、防火墙等安全设备配置语言比较晦涩，配置和维护安全策略都比较困难；(2)、由于不同厂商生产的安全设备的配置语言存在差异，安全管理员需要熟悉公司内部网络中安全设备之间差异性，增加了安全设备的管理难度；(3)、在源地址和目的地址之间，报文可能有多条路径，不同路径穿越不同的安全设备，为回答一个查询，安全管理员需要人工核查这些安全设备上的所有规则，会耗费大量的人力资源。针对评估公司内部网络的安全策略比较困难的原因，安全管理员可以使用现有的网络业务诊断工具，诊断公司中复杂的内部网络，该方式可以解决一些问题，但仍然存在以下不足之处：

(1)、网络业务诊断工具只能对单一厂家和类型的安全设备的网络进行业务诊断，不能兼容不同厂家和类型的安全设备。

(2)、没有考虑特定安全设备上的一些行为对业务请求影响，例如包括二层/三层阻断策略，DNAT地址转换等。

(3)、针对安全设备不准许网络中业务请求通过的情况，没有提供有效的解决方案。

综上所述，现有技术中使用网络业务诊断工具进行业务诊断，虽然可以解决一些问题，但仍然存在一些无法解决的问题，使得对公司内部网络进行业务诊断的实用性较差。

发明内容

为了解决上述技术问题，本发明实施例提供了一种网络业务诊断方法，通过合理的设计网络业务的诊断方式，实现了在执行网络业务诊断时，可以兼容不同类型和厂家的安全设备，从而提高了网络业务诊断方法的实用性。

第一方面，本发明实施例提供一种网络业务诊断方法，包括：

获取业务请求经过的安全设备的配置信息，所述配置信息包括安全策略规则；

根据所述业务请求和所述安全设备的配置信息进行预处理；所述预处理包括：根据每个所述安全设备的类型，选择对应的安全策略匹配方式，并且确定所述业务请求经过的安全设备的入接口和出接口，生成待分析的业务请求；

根据选择的安全策略匹配方式和预设匹配算法，将所述待分析的业务请求与所述安全设备的安全策略规则进行匹配，生成每个所述安全设备对所述业务请求的准许情况。

在第一方面的第一种可能的实现方式中，所述配置信息还包括阻断策略和目的地址转换DNAT中的一项或多项，所述预处理还包括以下处理中的一项或多项：

将所述业务请求与每个所述安全设备的阻断策略进行比较，过滤掉本安全设备被所述阻断策略阻断的业务请求；