一种网络拓扑排查的装置

摘要

本发明的目的在于提供一种网络拓扑排查的装置。使用该装置能快速有效探明信息系统网络连接情况，自动生成系统真实的、与系统在运情况一致的拓扑图，有效发现信息系统中存在的非法外联情况，辅助运维人员、测试人员快速定位排除系统安全隐患，保障信息系统的安全。本发明的装置所进行的网络拓扑排查过程的步骤包括资产导入及设备分类、配置获取及自动解析、边界界定、设备存活性扫描、设备登录核实、设备外联情况测试、信息汇总及报告生成。本发明的装置包括资产导入及设备分类模块、配置获取及自动解析模块、边界界定模块、设备存活性扫描模块、设备登录核实模块、设备外联情况测试模块、信息汇总及报告生成模块。

主权项

一种网络拓扑排查的装置，其特征在于包括如下模块:资产导入及设备分类模块、配置获取及自动解析模块、边界界定模块、设备存活性扫描模块、设备登录核实模块、设备外联情况测试模块、信息汇总及报告生成模块；其中设备外联情况测试模块包含：互联网连通测试子模块、设备网络接口测试子模块、设备网段扫描子模块、设备网段设备登录核实及外联情况测试子模块；所述资产导入及设备分类模块用于导入初步的信息系统资产表，并根据初步的信息系统资产表对信息系统所包含的网络设备、网络安全设备及主机的三类设备进行分类；所述配置获取及自动解析模块用于通过外部导入配置或者串口连接网络设备及网络安全设备的方式获取网络设备及网络安全设备的网络配置，并自动解析设备的网络配置，并通过解析设备配置获得信息系统所有在运的网段信息、网络设备及网络安全设备的各端口连接信息、设备路由表、IP‑MAC转发表、MAC地址信息；所述边界界定模块用于自动以网络安全设备设定为信息系统的边界；所述设备存活性扫描模块用于分别配置信息系统所包含各个通信网段非在用的IP地址，采用trunk接口扫描或者各网段扫描的方式对信息系统所包含所有通信网段中的所有IP进行设备存活性扫描，通过设备存活性判断获得信息系统所有存活设备的IP信息、MAC信息、主机名信息或者banner信息，并将已经扫描过的网段标记成已扫描网段；所述设备登录模块用于对各网段所有存活的设备逐一远程登录核实，对不能登录的设备，当作有风险的设备处理；所述设备外联情况测试模块用于在登录存活设备之后，对存活设备的网络接口连接情况进行深度测试，并反馈保存测试结果，设备外联情况测试模块包括：互联网连通测试子模块、设备网络接口测试子模块、设备网段扫描子模块、设备网段设备登录核实及外联情况测试子模块；所述信息汇总及报告生成模块用于汇总所有存活设备上的主机名信息、所有存活设备上的所有IP以MAC对应信息、所有存活设备上的接口连接情况、所有存活设备上互联网连接情况信息、所有网络设备及网络安全设备上的端口连接信息及路由信息，绘制系统真实的拓扑图，生成信息系统当前在运的资产表；同时，根据将信息系统当前在运的资产表与初步的信息系统资产表对比，生成资产表对比表，并标示出系统存在的非法外联设备；所述互联网连通测试子模块用于执行互联网连通测试，即通过ICMP方式探测互联网公开IP地址；所述设备网络接口测试子模块用于执行设备网络接口连接情况测试，即：执行设备网络接口查看指令，如果发现设备只有一个IP地址或者同一网段多个IP地址，则记录该设备全部的IP地址、MAC地址、主机名或者banner信息，并退出外联情况测试；如果发现设备有多个网段的IP地址，则记录该设备全部的IP地址、MAC地址、主机名或者banner信息，将该设备上新发现的所有网段定义为设备新发现全部网段，并对设备新发现全部网段中包含的每个网段执行设备网段扫描，直到设备新发现全部网段中的所有网段都完成设备网段扫描为止；所述设备网段扫描子模块用于判断所扫描的网段是否为已扫描网段或者设备的IP地址及MAC地址是否在已扫描网段的设备列表当中；如果所扫描的网段为已扫描网段且该设备的IP地址及MAC地址在已扫描网段的设备列表当中，则不对该网段进行扫描，并退出该网段的设备网段扫描；如果所扫描的网段不属于已扫描网段或者该设备的IP及MAC地址不在已扫描网段的设备列表当中，则在设备上针对该网段包含的所有IP执行设备存活性扫描和设备存活性判断,并将发现的存活主机定义为设备网段存活设备；所述设备网段设备登录核实及外联情况测试子模块:用于对设备网段设备逐一远程登录核实，对不能登录的设备网段设备，当作有风险的设备处理，对能成功登录的设备网段设备，在设备上执行外联情况测试，直到探测到网络安全设备或者互联网地址为止。