[发明专利]防火墙隐性NAT故障判断的方法及装置

说明书

本发明公开一种防火墙隐性NAT故障判断的方法及装置，能够实现防火墙隐性NAT故障的判断。该方法包括：S10、周期性统计防火墙设备的TCP会话数量和UDP会话数量，并计算当前周期统计的TCP会话数量和UDP会话数量的比值；S11、根据所述比值确定所述防火墙设备是否存在隐性NAT故障。

技术领域

本发明涉及移动通信技术核心网领域，具体涉及一种防火墙隐性NAT故障判断的方法及装置。

背景技术

在移动通信核心网领域或者其他防火墙NAT(Network Address Translation，网络地址转换)应用的领域，由于NAT功能的应用，使得少量的公有IP地址代表较多的私有IP地址，有助于减缓可用的IP地址空间的枯竭。而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的终端(或计算机)。NAT的基本流程图如图1所示。

由于NAT功能的应用，使得不可避免的存在一些NAT转换问题导致系统资源不足的问题，从而引起防火墙故障，造成业务的不可用。

而目前对防火墙的监控主要是对端口告警的监控，一些领域也引入了对Session(会话)数量的监控。现有对防火墙NAT功能的监控还停留在对session数量的监控，判定其是否超出门限、是否激增等。但由于转换错误、网络攻击或者系统错误等原因，可能导致防火器会话数量缓慢变化并触发设备故障。目前缺少挖掘该类故障判断的方法及装置。

发明内容

有鉴于此，本发明提供一种防火墙隐性NAT故障判断的方法及装置，能够实现防火墙隐性NAT故障的判断。

一方面，本发明实施例提出一种防火墙隐性NAT故障判断的方法，包括：

S10、周期性统计防火墙设备的TCP会话数量和UDP会话数量，并计算当前周期统计的TCP会话数量和UDP会话数量的比值；

S11、根据所述比值确定所述防火墙设备是否存在隐性NAT故障。

另一方面，本发明实施例提出一种防火墙隐性NAT故障判断的方法，包括：

S20、周期性统计防火墙设备的half-open会话数量和half-close会话数量；

S21、根据所述half-open会话数量和half-close会话数量确定所述防火墙设备是否存在隐性NAT故障。

另一方面，本发明实施例提出一种防火墙隐性NAT故障判断的装置，包括：

第一统计单元，用于周期性统计防火墙设备的TCP会话数量和UDP会话数量，并计算当前周期统计的TCP会话数量和UDP会话数量的比值；

第一确定单元，用于根据所述比值确定所述防火墙设备是否存在隐性NAT故障。

另一方面，本发明实施例提出一种防火墙隐性NAT故障判断的装置，包括：

第二统计单元，用于周期性统计防火墙设备的half-open会话数量和half-close会话数量；

第二确定单元，用于根据所述half-open会话数量和half-close会话数量确定所述防火墙设备是否存在隐性NAT故障。

在防火墙的NAT会话中，最主要的会话是TCP和UDP会话，这两种会话的数量和业务量紧密相关，同时也和TCP和UDP的老化时间相关，但在应用中，TCP和UDP的老化时间通常保持不变(紧急情况可能调整)。所以一般情况下业务量基本决定了TCP和UDP会话的数量。