[发明专利]一种内网跨网段间业务系统相互访问时网络质量监控方法

说明书

本发明公开了一种内网跨网段间业务系统相互访问时网络质量监控方法，属于网络安全技术领域，解决了现有技术中想要达到高覆盖率的话，人力成本投入较高，无法保障网络层面100％的监控覆盖，除了WEB请求外仍有很多其他的网络使用请求需要监控的问题，本方案以网络拓扑中的网络区域为分析对象，只要网络策略允许，则部署两两访问的监控脚本。首先可以覆盖全部WEB请求的链路，其次如果没有WEB请求但网络策略互通，也仍可对其网络质量进行监控，不排除有除了WEB请求外其他的网络请求使用网络需要进行监控的场景。其次由于网络拓扑在一般企业很少更改，因此网络区域会在很长时段时间内不会发生改变，因此只要分析一次后续基本无需再投入人力更新和维护。

技术领域

本发明属于网络安全技术领域，具体涉及一种内网跨网段间业务系统相互访问时网络质量监控方法。

背景技术

局域网又称内网，是指在某一区域内由多台计算机互联成的计算机组，可以实现文件管理、应用软件共享、打印机共享、工作组内的日程安排、电子邮件和传真通信服务等功能。内网与公网是隔离的，一般需要通过虚拟专用网络(Virtual Private Network，VPN)来访问内网，而VPN作为内网的入口，一般也是病毒、网络攻击的入口，所以对于内网的网络访问监控非常必要。

目前内网业务系统相互调用访问时，大多通过http请求日志监控访问调用的质量情况，如出现访问异常时通过抓包等工具进行进一步检查，该种方式存在以下缺点：1.日志排查依赖日志本身信息完整性，如日志有缺失则影响异常发现；2.日志反映的内容容易受到其他因素影响，比如有其他关联的应用性能本身出现异常，也会导致应用日志异常，因而无法准确的判断是网络问题，影响排查进度。

一些旁路网络监控工具可实时抓流量包来检查当时网络访问情况；该种方式存在以下缺点：1.旁路监控工具一般采用商用产品，价格成本较高，因此此工具主要部署在重要的网络干路上。如果要实现内部网络区域之间全面的旁路监控覆盖，需要在网络区域之间再部署旁路监控，则成本会呈几何式增长(一条干路可能含有多个网络区域)，预估成本价至少在百万级以上。2.旁路监控依赖流量包经过旁路监控设备，如果流量包本身就被防火墙故障拦截则无法监控此类异常情况

在WEB访问链路上区域与区域之间，设备与设备之间设置探点进行访问探测；该种方式存在以下缺点：1.依赖对WEB访问链路的掌握情况，如果不在WEB访问覆盖内的网路区域或设备之间的监控则监控不到；2.如果有新增加的WEB访问有可能会需要投入人力去检视是否需要增加探测点。

发明内容

为解决现有技术中存在的技术问题，本发明提供一种内网跨网段间业务系统相互访问时网络质量监控方法。

本发明采用的技术发明如下：

一种内网跨网段间业务系统相互访问时网络质量监控方法，其特征在于，包括以下步骤：

步骤1：获取网络拓扑，找到各网络区域以及各网络区域之间的网络设备；

步骤2：通过网络拓扑分析获取整体网络分区情况，统计所有分区数量记录为N个，为后续每个分区内部署埋点机器做准备；

步骤3：根据整体网络访问策略设计，梳理出N个分区之间访问策略明细，获知N个区域相互访问的关系，则可以获知每一个区域访问其他区域的策略清单，为后续部署监控脚本做准备；完成此步则可以判断出有多少个网络区域，以此为监控覆盖的维度的话，并不依赖实际访问的链路，只要做到每个网络区域两两监控检测，就可以达到100％覆盖链路和设备的目的，

步骤4：监控部署，在N个网络区域各搭建一台低配主机,基于步骤3中的相互访问策略和原则，并在每一个主机上部署监控脚本，N个分区任意两个分区都会有监控脚本做监控探测；完成此步为了确保网络区域之间策略互通，只有策略互通的区域之间才可以相互访问，如不做策略检查盲目部署区域之间两两访问的监控，则会出现很多区域访问不通的误告警，因为本身其区域之间网络策略就不互通。