(19)国家知识产权局(12)发明专利申请(10)申请公布号CN115065613A(43)申请公布日2022.09.16(21)申请号202210648278.4H04L41/0677(2022.01)(22)申请日2022.06.08H04L41/085(2022.01)(71)申请人北京启明星辰信息安全技术有限公司地址100193北京市海淀区东北旺西路8号21号楼启明星辰大厦102号申请人北京网御星云信息技术有限公司(72)发明人徐昭兴马俊闯成蓉蓉陈传明柴忠(74)专利代理机构北京君泰水木知识产权代理有限公司11906专利代理师王志远葛春燕(51)Int.Cl.H04L43/0811(2022.01)H04L9/40(2022.01)权利要求书1页说明书4页附图3页(54)发明名称一种基于防火墙配置的网络连通性分析系统及分析方法(57)摘要本申请提供一种基于防火墙配置的网络连通性分析系统及其分析方法，包括获取模块、知识库、解析模块、访问路径分析模块、访问规则检查模块以及网络连通性检查模块；其中，所述获取模块用于获取防火墙的配置信息；所述解析模块用于将获取模块获取到的防火墙配置信息根据知识库进行解析，所述防火墙配置信息包括路由配置、接口配置和放行规则；所述访问路径分析模块用于检查业务访问的源端到目的端是否有可达访问路径；访问规则检查用于检查可达访问路径上的防火墙是否存在放行规则；所述网络连通性检查模块用于根据访问路径分析模块和访问规则检查模块的检查结果，对目的网络的网络连通性进行判断。本申请能够快速分析定位网络连通故障问题。CN115065613ACN115065613A权利要求书1/1页1.一种基于防火墙配置的网络连通性分析系统，其特征在于，包括获取模块、知识库、解析模块、访问路径分析模块、访问规则检查模块以及网络连通性检查模块；其中，所述获取模块用于获取防火墙的配置信息；所述解析模块用于将获取模块获取到的防火墙配置信息根据知识库进行解析，所述防火墙配置信息包括路由配置、接口配置和放行规则；所述访问路径分析模块用于检查业务访问的源端到目的端是否有可达访问路径；访问规则检查用于检查可达访问路径上的防火墙是否存在放行规则；所述网络连通性检查模块用于根据访问路径分析模块和访问规则检查模块的检查结果，对目的网络的网络连通性进行判断。2.一种使用如权利要求1所述的基于防火墙配置的网络连通性分析系统的分析方法，其步骤包括：S1，获取目标网络中全部防火墙的配置信息；其中，所述配置信息包括路由配置、接口配置和放行规则；S2，基于知识库将获取到的防火墙配置信息解析成统一的配置格式；S3，对于给定的业务访问，分析所述业务访问的源端到目的端的访问路径，当至少存在一条访问路径使所述业务访问的源端到目的端可达时，将所述可达路径设置为所述业务访问的源端到目的端的可达访问路径，并记录可达访问路径上经过的防火墙；S4，根据防火墙的配置信息，查询源端到目的端的可达访问路径上的防火墙是否存在放行规则，当至少有一条可达访问路径上的所有防火墙都存在放行规则时，所述源端到目的端为网络连通状态。3.如权利要求2所述的基于防火墙配置的网络连通性分析方法，其特征在于，步骤S1中，配置信息获取的方式为：SSH登录到防火墙后台，利用防火墙后台提供的配置读取命令，同步防火墙的配置信息。4.如权利要求2所述的基于防火墙配置的网络连通性分析方法，其特征在于，在步骤S3中，分析所述业务访问的源端到目的端的访问路径的方法包括：步骤S31,遍历目标网络中每台防火墙的配置信息，获得接口配置，根据接口的网络地址，找到能够与业务访问的源端的IP地址所匹配的防火墙A；步骤S32，根据业务访问的目的端的IP地址，查找防火墙A的路由配置，找到可达目的端的路由；步骤S33，根据可达目的端的路由，获得防火墙A的下一跳防火墙B的接口地址，若下一跳防火墙B的接口地址与目的端IP地址能够匹配，则得到业务访问的可达访问路径为依次通过A和B；若下一跳防火墙B的接口地址与目的端不匹配，循环本步骤，直到获得接口地址与目的端能够匹配的防火墙，得到业务访问的可达访问路径。5.如权利要求2所述的基于防火墙配置的网络连通性分析方法，其特征在于，在步骤S3中，当防火墙为透明桥模式时，需先手动配置与其他防火墙的连接关系。6.如权利要求2所述的基于防火墙配置的网络连通性分析方法，其特征在于，在步骤S4中，当所有可达访问路径上的所有防火墙都不同时存在放行规则时，记录所有没有放行规则的防火墙。7.如权利要求4所述的基于防火墙配置的网络连通性分析方法，其特征在于，在步骤S31中，根据网络接口的子网掩码找到与业务访问的源端IP地址所匹配的防火墙。2CN115065613A说明书1/4页一种基于防火墙配置的网络连通性分析系统及分析方法技