一種網(wǎng)絡拓撲排查的裝置的制造方法
【技術領域】
[0001]本發(fā)明涉及網(wǎng)絡安全技術領域����,具體來說涉及一種網(wǎng)絡拓撲排查的裝置。
【背景技術】
[0002]近年來����,網(wǎng)絡安全問題日益突出,黑客入侵以及網(wǎng)絡攻擊現(xiàn)象日益增多��,而隨著計算機網(wǎng)絡技術的不斷普及�,公眾使用計算機的次數(shù)越來越多����,特別是公用信息基礎設施建設推動了政府、企業(yè)日益依賴各種信息系統(tǒng)���,一些涉及國計民生的業(yè)務��、系統(tǒng)受到了前所未有的安全挑戰(zhàn)�,如維基解密網(wǎng)站泄漏了大量政府的機密信息;花旗集團受黑客攻擊導致36多萬的客戶賬戶信息被竊?��?���;CSDN網(wǎng)站被攻擊導致600余萬用戶資料被泄漏等���。這些事故充分說明網(wǎng)絡安全對國家�、政府和企業(yè)的重要性����。
[0003]目前,國家大量的基礎設施采用信息系統(tǒng)(如電力監(jiān)控系統(tǒng)SCADA)進行系統(tǒng)集中監(jiān)視與控制��,并采用相應的技術對諸如此類的信息系統(tǒng)進行信息安全防護��。其中�,將生成業(yè)務系統(tǒng)與互聯(lián)網(wǎng)系統(tǒng)物理隔離是一種簡單有效的安全防護技術。然而��,由于管理原因及技術原因�����,生成業(yè)務系統(tǒng)出現(xiàn)了各式各樣的非法外聯(lián),系統(tǒng)出現(xiàn)跨安全域連接到了辦公網(wǎng)甚至互聯(lián)網(wǎng)的情況�,傳統(tǒng)的物理隔離防線被突破,給生成業(yè)務系統(tǒng)帶來嚴重信息安全隱患��。
【發(fā)明內(nèi)容】
[0004]本發(fā)明的目的在于提供一種網(wǎng)絡拓撲排查的裝置�����。本發(fā)明的裝置能快速有效探明信息系統(tǒng)網(wǎng)絡連接情況�,自動生成系統(tǒng)真實的、與系統(tǒng)在運情況一致的拓撲圖�����,有效發(fā)現(xiàn)信息系統(tǒng)中存在的非法外聯(lián)情況��,輔助運維人員��、檢查人員快速定位排除系統(tǒng)安全隱患��,保障信息系統(tǒng)的安全�����。
[0005]為實現(xiàn)上述發(fā)明目的本發(fā)明采用如下技術方案:
[0006]—種網(wǎng)絡拓撲排查的裝置���,包括如下模塊:資產(chǎn)導入及設備分類模塊�、配置獲取及自動解析模塊��、邊界界定模塊����、設備存活性掃描模塊、設備登錄核實模塊���、設備外聯(lián)情況測試模塊�����、信息匯總及報告生成模塊���;其中設備外聯(lián)情況測試模塊包含:互聯(lián)網(wǎng)連通測試子模塊、設備網(wǎng)絡接口測試子模塊����、設備網(wǎng)段掃描子模塊、設備網(wǎng)段設備登錄核實及外聯(lián)情況測試子模塊��。
[0007]所述資產(chǎn)導入及設備分類模塊用于導入初步的信息系統(tǒng)資產(chǎn)表�,并根據(jù)初步的信息系統(tǒng)資產(chǎn)表對信息系統(tǒng)所包含的網(wǎng)絡設備��、網(wǎng)絡安全設備及主機的三類設備進行分類��;
[0008]其中����,所述的導入初步的信息系統(tǒng)資產(chǎn)表是指管理員提供信息系統(tǒng)初步資產(chǎn)表���,并將其導入網(wǎng)絡拓撲排查的裝置的過程���,所述的信息系統(tǒng)初步資產(chǎn)表被認為是不可信的資產(chǎn)表,被認為是并不能全面真實反映信息系統(tǒng)網(wǎng)絡連接情況的�。
[0009]所述的網(wǎng)絡設備是指交換機、路由器����、防火墻或入侵檢測系統(tǒng)IDS設備;所述的網(wǎng)絡安全設備是指防火墻����、網(wǎng)閘/電力網(wǎng)絡隔離裝置、VPN設備/電力縱向加密認證裝置或入侵防御系統(tǒng)IPS設備����;所述的主機是指服務器、工作站或者嵌入式工控機����,所述主機運行的系統(tǒng)一般為Windows系統(tǒng)、Linux系統(tǒng)�����、AIX系統(tǒng)��、Solaris系統(tǒng)�、UNIX系統(tǒng)、類UNIX系統(tǒng)����、Tru 64系統(tǒng)或者其它的含有IP的嵌入式系統(tǒng);所述的信息系統(tǒng)是指基于TCP/IP協(xié)議通信的計算機應用系統(tǒng)�,其主要由網(wǎng)絡設備、網(wǎng)絡安全設備�、主機及通信線路組成。
[0010]所述配置獲取及自動解析模塊用于通過外部導入配置或者串口連接網(wǎng)絡設備及網(wǎng)絡安全設備的方式獲取網(wǎng)絡設備及網(wǎng)絡安全設備的網(wǎng)絡配置���,并自動解析設備的網(wǎng)絡配置��,并通過解析設備配置獲得信息系統(tǒng)所有在運的網(wǎng)段信息�����、網(wǎng)絡設備及網(wǎng)絡安全設備的各端口連接信息����、設備路由表、IP-MAC轉(zhuǎn)發(fā)表���、MAC地址信息�;
[0011]所述邊界界定模塊用于自動以網(wǎng)絡安全設備設定為信息系統(tǒng)的邊界��。
[0012]所述設備存活性掃描模塊用于分別配置信息系統(tǒng)所包含各個通信網(wǎng)段非在用的IP地址�����,采用trunk接口掃描或者各網(wǎng)段掃描的方式對信息系統(tǒng)所包含所有通信網(wǎng)段中的所有IP進行設備存活性掃描���,通過設備存活性判斷獲得信息系統(tǒng)所有存活設備的IP信息�、MAC信息���、主機名信息或者banner信息���,并將已經(jīng)掃描過的網(wǎng)段標記成已掃描網(wǎng)段�����。
[0013]所述的trunk接口掃描是指配置網(wǎng)卡為trunk接口模式,并將該配置成trunk接口模式的網(wǎng)卡連接至網(wǎng)絡設備的trunk接口����,并對網(wǎng)絡設備trunk接口承載的各網(wǎng)段進行設備存活性掃描和設備存活性判斷;所述的各網(wǎng)段掃描是指接入網(wǎng)絡設備的各個VLANjt每一個VLAN承載的網(wǎng)段進行設備存活性掃描����。
[0014]所述的設備存活性掃描是指通過發(fā)送數(shù)據(jù)包的方法進行網(wǎng)絡掃描的方法,所述數(shù)據(jù)包為ICMP數(shù)據(jù)包�����、ARP/RARP數(shù)據(jù)包或IP業(yè)務端口探測包����。
[0015]所述的設備存活性判斷是指綜合利用通過網(wǎng)絡物理連線狀態(tài)、數(shù)據(jù)鏈路層狀態(tài)����、IP存活狀態(tài)、通信業(yè)務狀態(tài)判斷指定IP或MAC的設備是否連接在信息系統(tǒng)中的方法。其中����,網(wǎng)絡物理連接狀態(tài)是指網(wǎng)絡設備、網(wǎng)絡安全設備及主機端口 UP及DOWN狀態(tài)����;數(shù)據(jù)鏈路層狀態(tài)是指通過ARP及RARP協(xié)議探測到的MAC地址存活狀態(tài),或者通過網(wǎng)絡設備及網(wǎng)絡安全設備內(nèi)部的MAC地址表獲得的MAC地址存活狀態(tài)�;IP存活狀態(tài)是指通過ICMP協(xié)議探測到的IP地址存活狀態(tài);通信業(yè)務狀態(tài)是指通過應用層端口判斷設備的存活性���,諸如通過判斷FTP端口�、HTTP端口開放情況判斷設備的存活性����。同時,在設備存活性掃描或者設備存活性判斷階段����,獲得并保存各設備IP與MAC地址的匹配關系,并將探測到的有MAC地址���,無IP地址的設備���,當作有風險的設備處理����。
[0016]所述設備登錄模塊用于對各網(wǎng)段所有存活的設備逐一遠程登錄核實�����,對不能登錄的設備����,當作有風險的設備處理��。其中��,所述的遠程登錄是指采用telnet�����、SSH��、rlogin��、rsh���、遠程桌面�����、VNC��、xmanager或radmin中的一種或多種方式對存活設備進行登錄�����。
[0017]所述設備外聯(lián)情況測試模塊用于在登錄存活設備之后���,對存活設備的網(wǎng)絡接口連接情況進行深度測試��,并反饋保存測試結(jié)果����,設備外聯(lián)情況測試模塊包括:互聯(lián)網(wǎng)連通測試子模塊��、設備網(wǎng)絡接口測試子模塊�、設備網(wǎng)段掃描子模塊、設備網(wǎng)段設備登錄核實及外聯(lián)情況測試子模塊�����;
[0018]所述信息匯總及報告生成模塊用于匯總所有存活設備上的主機名信息、所有存活設備上的所有IP以MAC對應信息����、所有存活設備上的接口連接情況、所有存活設備上互聯(lián)網(wǎng)連接情況信息����、所有網(wǎng)絡設備及網(wǎng)絡安全設備上的端口連接信息及路由信息,繪制系統(tǒng)真實的拓撲圖�����,生成信息系統(tǒng)當前在運的資產(chǎn)表����。同時���,根據(jù)將信息系統(tǒng)當前在運的資產(chǎn)表與初步的信息系統(tǒng)資產(chǎn)表對比���,生成資產(chǎn)表對比表,并標示出系統(tǒng)存在的非法外聯(lián)設備�����。
[0019]所述互聯(lián)網(wǎng)連通測試子模塊用于執(zhí)行互聯(lián)網(wǎng)連通測試,即通過ICMP方式探測互聯(lián)網(wǎng)公開IP地址(如百度服務器地址:180.97.33.107����,谷歌DNS服務器地址:8.8.8.8);
[0020]所述設備網(wǎng)絡接口測試子模塊用于執(zhí)行設備網(wǎng)絡接口連接情況測試�,即:執(zhí)行設備網(wǎng)絡接口查看指令,如果發(fā)現(xiàn)設備只有一個IP地址或者同一網(wǎng)段多個IP地址����,則記錄該設備全部的IP地址、MAC地址��、主機名或者banner信息等�����,并退出外聯(lián)情況測試�����;如果發(fā)現(xiàn)設備有多個網(wǎng)段的IP地址�,則記錄該設備全部的IP地址、MAC地址�����、主機名或者banner信息等,將該設備上新發(fā)現(xiàn)的所有網(wǎng)段定義為設備新發(fā)現(xiàn)全部網(wǎng)段�����,并對設備新發(fā)現(xiàn)全部網(wǎng)段中包含的每個網(wǎng)段執(zhí)行設備網(wǎng)段掃描��,直到設備新發(fā)現(xiàn)全部網(wǎng)段中的所