一种防火墙的链路探测方法及装置与流程

1.本发明属于网络安全技术领域，尤其是涉及一种检测防火墙网络接口和链路有效性的方法及应用该方法的装置。


背景技术：

2.随着通信和网络技术的快速发展，网络安全愈发重要。防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题，其中处理措施包括隔离与保护，同时可对计算机网络安全当中的各项操作实施记录与检测，以确保计算机网络运行的安全性，保障用户资料与信息的完整性，为用户提供更好、更安全的计算机网络使用体验。
3.实际中，由于链路中断或者用户人为造成网络环路等非设备因素造成网络中断，通过配置链路探测机制，能及时发现链路失效/故障，迅速定位并处理故障以及时恢复网络，从而避免防火墙的无效处理，为网络高可用提供了决策依据并降低网络中断给企业带来的业务损失。


技术实现要素：

4.有鉴于此，本发明旨在提供一种防火墙的链路探测方法及装置，以高效检测网络接口和链路的有效性，主要技术方案如下所述。
5.首先，本发明的实施例提供一种防火墙的链路探测方法，包括：向预设的目的端发送探测请求报文，根据目的端的回应报文判断链路状态并更新数据库；其中，每个探测请求包括至少两个目标端；若探测请求的所有目标端的探测结果均为不通，则该请求的探测结果为不通；以及若存在至少一个请求的探测结果为不通，则链路的本次探测结果为故障。
6.所述探测请求包括arp探测、dns探测与ping探测的至少一种。
7.所述判断目标端的探测结果，包括：在预设周期内，定时的向目标端发送预设数量的探测报文，记录收到的应答报文数量以及每个应答报文的延迟时长；若应答报文数量与发送报文数量的比例小于预设比例，和/或应答报文的平均延迟时长大于预设时长，和/或至少存在一个应答报文的延迟时长大于预设时限，则该目标端的探测结果为不通。
8.另一方面，本发明的实施例还提供一种链路探测装置，包括：配置模块，用于配置是否进行探测，以及链路探测的类型、目标端与链路故障判断条件；探测模块，用于根据所述配置参数执行各类型的链路探测，并输出链路状态；数据库模块，用于存储链路探测结果，已被界面查询。
9.所述探测模块，向预设的目的端发送探测请求报文，根据目的端的回应报文判断链路状态并更新数据库；其中，每个探测请求包括至少两个目标端；若探测请求的所有目标端的探测结果均为不通，则该请求的探测结果为不通；以及若存在至少一个请求的探测结果为不通，则链路的本次探测结果为故障。
10.采用上述技术方案的本发明的实施例，至少具有以下有益效果：在防火墙配置链路状态检测功能，执行对接口的arp、dns或ping探测，根据预设的规则判断链路状态并更新相应数据库中的状态信息，界面通过访问对应的数据库实时获取链路状态信息并显示，能够有效避免无效转发处理；并且将接口的链路探测结果应用到静态路由，节约系统资源。
附图说明
11.图1为本发明的防火墙链路探测方法实施例，工作流程示意图；图2为本发明的防火墙链路探测装置实施例，组成模块示意图。
具体实施方式
12.为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述。
13.如图1所示，提供一种防火墙的链路探测方法实施例，包括：向预设的目的端发送探测请求报文，根据目的端的回应报文判断链路状态并更新数据库；其中，每个探测请求包括至少两个目标端；若探测请求的所有目标端的探测结果均为不通，则该请求的探测结果为不通；以及若存在至少一个请求的探测结果为不通，则链路的本次探测结果为故障。
14.所述探测请求包括arp探测、dns探测与ping探测的至少一种。
15.所述判断目标端的探测结果，包括：在预设周期内，定时的向目标端发送预设数量的探测报文，记录收到的应答报文数量以及每个应答报文的延迟时长；若应答报文数量与发送报文数量的比例小于预设比例，和/或应答报文的平均延迟时长大于预设时长，和/或至少存在一个应答报文的延迟时长大于预设时限，则该目标端的探测结果为不通。
16.若所述探测请求为arp探测：使用arping 命令来实现；每次探测配置至少两组目标端，每组目标端包括两个目的ip并且目的ip和arp请求源ip为同一网段；若任意一组内所有目的ip的arp请求均探测不通，则判断链路的总体状态为链路故障。
17.若所述探测请求为ping 探测：使用ping命令来实现；每次探测配置至少两组目标端，每组目标端包括两个目的ip；若任意一组内所有目的ip均ping不通（任意一组ip发送icmp请求均探测不通），则判断链路的总体状态为链路故障。
18.若所述探测请求为dns探测，使用nslookup 命令来实现；配置两组dns服务器，每组包括两个服务器ip；若任意一组内的所有dns服务器解析域名均为失败，则判断链路的总体状态为链路故障。
19.将所述探测结果应用到对应的静态路由状态，若接口链路状态异常则判断对应静态路由的状态为无效。
20.根据所述链路探测结果，更新接口数据库的状态信息，以及更新路由数据库的状态信息。
21.如图2所示，提供一种链路探测装置实施例，包括：配置模块，用于配置是否进行探测，以及链路探测的类型、目标端与链路故障判断条件；探测模块，用于根据所述配置参数执行各类型的链路探测，并输出链路状态；
数据库模块，用于存储链路探测结果，已被界面查询。
22.所述探测模块，向预设的目的端发送探测请求报文，根据目的端的回应报文判断链路状态并更新数据库；其中，每个探测请求包括至少两个目标端；若探测请求的所有目标端的探测结果均为不通，则该请求的探测结果为不通；以及若存在至少一个请求的探测结果为不通，则链路的本次探测结果为故障。
23.同时，本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成，所述的程序可以存储于一计算机可读取存储介质中，所述的存储介质，如：rom/ram、磁碟、光盘等。
24.在防火墙配置链路状态检测功能，执行对接口的arp、dns或ping探测，根据预设的规则判断链路状态并更新相应数据库中的状态信息，界面通过访问对应的数据库实时获取链路状态信息并显示，快速发现链路失效/故障，使防火墙及时进行策略调整，有效避免无效转发处理；并且将接口的链路探测结果应用到静态路由，节约系统资源。
25.对上述公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和相一致的最宽的范围。


技术特征：
1.一种防火墙的链路探测方法，包括：向预设的目的端发送探测请求报文，根据目的端的回应报文判断链路状态并更新数据库；其特征在于，每个探测请求包括至少两个目标端；若探测请求的所有目标端的探测结果均为不通，则该请求的探测结果为不通；以及若存在至少一个请求的探测结果为不通，则链路的本次探测结果为故障。2.根据权利要求1所述的链路探测方法，其特征在于，所述探测请求包括arp探测、dns探测与ping探测的至少一种。3.根据权利要求1所述的链路探测方法，其特征在于，所述判断目标端的探测结果，包括：在预设周期内，定时的向目标端发送预设数量的探测报文，记录收到的应答报文数量以及每个应答报文的延迟时长；若应答报文数量与发送报文数量的比例小于预设比例，和/或应答报文的平均延迟时长大于预设时长，和/或至少存在一个应答报文的延迟时长大于预设时限，则该目标端的探测结果为不通。4.根据权利要求1-3任一所述的链路探测方法，其特征在于，若所述探测请求为arp探测：使用arping 命令来实现；每次探测配置至少两组目标端，每组目标端包括两个目的ip并且目的ip和arp请求源ip为同一网段；若任意一组内所有目的ip的arp请求均探测不通，则判断链路的总体状态为链路故障。5.根据权利要求1-3任一所述的链路探测方法，其特征在于，若所述探测请求为ping 探测：使用ping命令来实现；每次探测配置至少两组目标端，每组目标端包括两个目的ip；若任意一组内所有目的ip均ping不通（任意一组ip发送icmp请求均探测不通），则判断链路的总体状态为链路故障。6.根据权利要求1-3任一所述的链路探测方法，其特征在于，若所述探测请求为dns探测，使用nslookup 命令来实现；配置两组dns服务器，每组包括两个服务器ip；若任意一组内的所有dns服务器解析域名均为失败，则判断链路的总体状态为链路故障。7.根据权利要求1所述的链路探测方法，其特征在于，将所述探测结果应用到对应的静态路由状态，若接口链路状态异常则判断对应静态路由的状态为无效。8.根据权利要求1所述的链路探测方法，其特征在于，根据所述链路探测结果，更新接口数据库的状态信息，以及更新路由数据库的状态信息。9.一种链路探测装置，其特征在于，所述装置包括：配置模块，用于配置是否进行探测，以及链路探测的类型、目标端与链路故障判断条件；探测模块，用于根据所述配置参数执行各类型的链路探测，并输出链路状态；数据库模块，用于存储链路探测结果，已被界面查询。10.根据权利要求9所述的链路探测装置，其特征在于，所述探测模块，向预设的目的端发送探测请求报文，根据目的端的回应报文判断链路状态并更新数据库；其中，每个探测请求包括至少两个目标端；若探测请求的所有目标端的探测结果均为不通，则该请求的探测结果为不通；以及若存在至少一个请求的探测结果为不通，则链路的本次探测结果为故障。

技术总结
本发明公开一种防火墙的链路探测方法及装置，在防火墙配置链路状态检测功能，执行对接口的ARP、DNS或PING探测，根据预设的规则判断链路状态并更新相应数据库中的状态信息，界面通过访问对应的数据库实时获取链路状态信息并显示，能够有效避免无效转发处理；并且将接口的链路探测结果应用到静态路由，节约系统资源。资源。


技术研发人员：刘亚轩 何建锋
受保护的技术使用者：西安交大捷普网络科技有限公司
技术研发日：2022.06.29
技术公布日：2022/11/18