本發(fā)明涉及網(wǎng)絡(luò)
技術(shù)領(lǐng)域:
:,特別涉及一種針對防火墻配置文件的檢測方法及裝置��。
背景技術(shù):
::防火墻(iptables)組件是一種工具���,也稱為用戶空間(userspace)���,它使插入、修改和除去信息包過濾表中的規(guī)則變得容易�。目前,通常都是人為直接設(shè)置iptables����,從而進行信息包的過濾。但是如果防火墻規(guī)則改變�,但并不是系統(tǒng)管理員已知的修改���,則系統(tǒng)管理員無法知道防火墻配置文件被修改了什么,也不知道什么時間被修改的�����。由于無法實時監(jiān)控防火墻的配置文件的狀態(tài)�����,無法及時了解防火墻的配置文件是否被修改�,這樣會對系統(tǒng)管理人員排查問題造成困難,導(dǎo)致系統(tǒng)的安全性下降���。技術(shù)實現(xiàn)要素:本發(fā)明實施例的目的在于提供一種針對防火墻配置文件的檢測方法及裝置����,以提高系統(tǒng)的安全性��。為達到上述目的����,本發(fā)明實施例公開了一種針對防火墻配置文件的檢測方法,方法包括:利用預(yù)設(shè)算法對防火墻的當(dāng)前配置文件進行計算;根據(jù)計算所得到的值以及預(yù)先存儲的值���,檢測所述防火墻的當(dāng)前配置文件是否被修改�,其中���,預(yù)先存儲的值為預(yù)先利用所述預(yù)設(shè)算法對防火墻的配置文件進行計算得到的��。較佳的�,所述預(yù)設(shè)算法為以下算法的一種:消息摘要算法�、安全哈希算法�����。較佳的�����,所述根據(jù)計算所得到的值以及預(yù)先存儲的值����,檢測所述防火墻的當(dāng)前配置文件是否被修改,包括:對比計算所得到的值以及預(yù)先存儲的值是否相同���,如果相同����,表示所述防火墻的當(dāng)前配置文件未被修改,如果不相同�����,表示所述防火墻的當(dāng)前配置文件被修改�����。較佳的�����,在檢測出所述防火墻的當(dāng)前配置文件被修改的情況下�,所述方法還包括:向用戶展示提示信息,其中����,所述提示信息用于提示用戶防火墻的當(dāng)前配置文件被修改。較佳的�����,在檢測出所述防火墻的當(dāng)前配置文件被修改的情況下,所述方法還包括:對比所述當(dāng)前配置文件與預(yù)先存儲的所述防火墻的配置文件��;向用戶展示對比結(jié)果���。為達到上述目的����,本發(fā)明實施例公開了一種針對防火墻配置文件的檢測裝置�����,裝置包括:計算模塊���,用于利用預(yù)設(shè)算法對防火墻的當(dāng)前配置文件進行計算;檢測模塊�,用于根據(jù)計算所得到的值以及預(yù)先存儲的值,檢測所述防火墻的當(dāng)前配置文件是否被修改���,其中�����,預(yù)先存儲的值為預(yù)先利用所述預(yù)設(shè)算法對防火墻的配置文件進行計算得到的���。較佳的��,所述預(yù)設(shè)算法為以下算法的一種:消息摘要算法��、安全哈希算法��。較佳的��,所述檢測模塊���,具體用于:對比計算所得到的值以及預(yù)先存儲的值是否相同,如果相同����,表示所述防火墻的當(dāng)前配置文件未被修改,如果不相同�,表示所述防火墻的當(dāng)前配置文件被修改。較佳的�,所述裝置還包括:第一展示模塊,在檢測出所述防火墻的當(dāng)前配置文件被修改的情況下��,用于向用戶展示提示信息,其中�����,所述提示信息用于提示用戶防火墻的當(dāng)前配置文件被修改���。較佳的��,所述裝置還包括:對比模塊���,用于在檢測出所述防火墻的當(dāng)前配置文件被修改的情況下,對比所述當(dāng)前配置文件與預(yù)先存儲的所述防火墻的配置文件�;第二展示模塊,用于向用戶展示對比結(jié)果�����。由上述的技術(shù)方案可見����,本發(fā)明實施例提供了一種針對防火墻配置文件的檢測方法及裝置�,利用預(yù)設(shè)算法對防火墻的當(dāng)前配置文件進行計算;根據(jù)計算所得到的值以及預(yù)先存儲的值�,檢測所述防火墻的當(dāng)前配置文件是否被修改���,其中�,預(yù)先存儲的值為預(yù)先利用所述預(yù)設(shè)算法對防火墻的配置文件進行計算得到的��?���?梢姡盟惴▽Ψ阑饓Φ漠?dāng)前配置文件進行計算��,并利用計算得到的值和預(yù)先存儲的值檢測防火墻當(dāng)前配置文件是否被修改��,可以及時排查并處理防火墻的當(dāng)前配置文件出現(xiàn)的問題����,減少對系統(tǒng)可能造成的危害,從而提高了系統(tǒng)的安全性��。當(dāng)然,實施本發(fā)明的任一產(chǎn)品或方法必不一定需要同時達到以上所述的所有優(yōu)點�。附圖說明為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對實施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹�����,顯而易見地�,下面描述中的附圖僅僅是本發(fā)明的一些實施例��,對于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動的前提下�����,還可以根據(jù)這些附圖獲得其他的附圖����。圖1為本發(fā)明實施例提供的針對防火墻配置文件的檢測方法的一種流程示意圖���;圖2為本發(fā)明實施例提供的針對防火墻配置文件的檢測方法的另一種流程示意圖�����;圖3為本發(fā)明實施例提供的針對防火墻配置文件的檢測方法的再一種流程示意圖�����;圖4為本發(fā)明實施例提供的針對防火墻配置文件的檢測裝置的一種結(jié)構(gòu)示意圖�;圖5為本發(fā)明實施例提供的針對防火墻配置文件的檢測裝置的另一種結(jié)構(gòu)示意圖��;圖6為本發(fā)明實施例提供的針對防火墻配置文件的檢測裝置的再一種結(jié)構(gòu)示意圖����。具體實施方式下面將結(jié)合本發(fā)明實施例中的附圖�����,對本發(fā)明實施例中的技術(shù)方案進行清楚、完整地描述�����,顯然,所描述的實施例僅僅是本發(fā)明一部分實施例����,而不是全部的實施例���。基于本發(fā)明中的實施例�,本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造性勞動前提下所獲得的所有其他實施例����,都屬于本發(fā)明保護的范圍���。下面首先對本發(fā)明實施例提供的一種針對防火墻配置文件的檢測方法進行詳細說明�����。參見圖1���,圖1為本發(fā)明實施例提供的針對防火墻配置文件的檢測方法的一種流程示意圖�����,可以包括如下步驟:S101�����,利用預(yù)設(shè)算法對防火墻的當(dāng)前配置文件進行計算���;具體的,所述預(yù)設(shè)算法可以為以下算法的一種:消息摘要算法���、安全哈希算法。其中��,在實際應(yīng)用中��,預(yù)設(shè)算法可以為加密算法,例如消息摘要算法第五版(MD5)��、安全散列算法(SHA-1)等算法�。S102,根據(jù)計算所得到的值以及預(yù)先存儲的值�����,檢測所述防火墻的當(dāng)前配置文件是否被修改����,其中�����,預(yù)先存儲的值為預(yù)先利用所述預(yù)設(shè)算法對防火墻的配置文件進行計算得到的����。具體的�����,在實際應(yīng)用中��,可以對比計算所得到的值以及預(yù)先存儲的值是否相同�,如果相同,表示所述防火墻的當(dāng)前配置文件未被修改��,如果不相同��,表示所述防火墻的當(dāng)前配置文件被修改���。其中�����,還可以通過短信�、郵件等方式將當(dāng)前配置文件被修改的信息發(fā)送給系統(tǒng)管理員等相關(guān)用戶,以供管理人員及時排查并處理防火墻出現(xiàn)的問題�。示例性的,可以預(yù)先利用MD5(中文名為消息摘要算法第五版)算法對現(xiàn)有生產(chǎn)環(huán)境服務(wù)器的iptables(防火墻)配置文件做MD5值的計算��,并且把MD5值和配置文件存儲到遠端數(shù)據(jù)庫中���,從而得到預(yù)先存儲的值a����。利用shell(計算機殼層)命令語言判斷語句�����,將上述利用MD5算法對防火墻的當(dāng)前配置文件計算所得到的值b與a進行對比�����,并做操作日志記錄����。如果兩個值對比相同�����,說明防火墻的當(dāng)前配置文件沒有被修改�,如果對比不相同�����,說明防火墻的當(dāng)前配置文件被修改�����。在實際應(yīng)用中�����,可以通過后臺命令把shell腳本設(shè)置到系統(tǒng)后臺運行��,并且記錄相關(guān)日志�����,實時監(jiān)控iptables(防火墻)當(dāng)前配置文件的MD5值����,這樣對系統(tǒng)管理員保障系統(tǒng)安全起到了非常好的作用。可見���,利用算法對防火墻的當(dāng)前配置文件進行計算��,并利用計算得到的值和預(yù)先存儲的值檢測防火墻當(dāng)前配置文件是否被修改,可以及時排查并處理防火墻的當(dāng)前配置文件出現(xiàn)的問題��,減少對系統(tǒng)可能造成的危害����,從而提高了系統(tǒng)的安全性。參見圖2�,圖2為本發(fā)明實施例提供的針對防火墻配置文件的檢測方法的另一種流程示意圖,本發(fā)明圖2所示實施例在圖1所示實施例的基礎(chǔ)上�,增加S103:在檢測出防火墻的當(dāng)前配置文件被修改的情況下,向用戶展示提示信息�����,其中���,所述提示信息用于提示用戶防火墻的當(dāng)前配置文件被修改��。具體的���,在檢測出防火墻的當(dāng)前配置文件被修改的情況下�,可以向相關(guān)用戶(諸如系統(tǒng)管理員)展示防火墻的當(dāng)前配置文件被修改的提示信息。在實際應(yīng)用中�����,可以通過短信��、郵件等方式將提示信息發(fā)送給用戶����,以提示用戶及時進行相應(yīng)處理���??梢?���,利用算法對防火墻的當(dāng)前配置文件進行計算����,并利用計算得到的值和預(yù)先存儲的值檢測防火墻當(dāng)前配置文件是否被修改,可以及時排查并處理防火墻的當(dāng)前配置文件出現(xiàn)的問題��,減少對系統(tǒng)可能造成的危害��,從而提高了系統(tǒng)的安全性��。參見圖3���,圖3為本發(fā)明實施例提供的針對防火墻配置文件的檢測方法的再一種流程示意圖���,本發(fā)明圖3所示實施例在圖1所示實施例的基礎(chǔ)上����,增加以下兩個步驟:S104:在檢測出防火墻的當(dāng)前配置文件被修改的情況下,對比所述當(dāng)前配置文件與預(yù)先存儲的所述防火墻的配置文件����;S105:向用戶展示對比結(jié)果����。示例性的�,在實際應(yīng)用中�����,可以利用diff命令對預(yù)先存儲在數(shù)據(jù)庫中的防火墻的配置文件和當(dāng)前配置文件進行對比����,對比出不一致的參數(shù)c、d�����、e����,并寫入到操作日志中���,通過短信收發(fā)設(shè)備(例如短信貓)以短信方式或者通過郵件群發(fā)設(shè)備以郵件方式,將不一致的參數(shù)通知給用戶(例如系統(tǒng)管理員)��,從而向用戶展示對比結(jié)果�����,即對比得到的不一致的參數(shù)�?�?梢姡盟惴▽Ψ阑饓Φ漠?dāng)前配置文件進行計算���,并利用計算得到的值和預(yù)先存儲的值檢測防火墻當(dāng)前配置文件是否被修改����,可以及時排查并處理防火墻的當(dāng)前配置文件出現(xiàn)的問題��,減少對系統(tǒng)可能造成的危害,從而提高了系統(tǒng)的安全性����。參見圖4���,圖4為本發(fā)明實施例提供的針對防火墻配置文件的檢測裝置的一種結(jié)構(gòu)示意圖,與圖1所示的流程相對應(yīng),該檢測裝置包括:計算模塊401��、檢測模塊402�����。計算模塊401�����,用于利用預(yù)設(shè)算法對防火墻的當(dāng)前配置文件進行計算�;具體的���,所述預(yù)設(shè)算法可以為以下算法的一種:消息摘要算法�、安全哈希算法����。檢測模塊402����,用于根據(jù)計算所得到的值以及預(yù)先存儲的值,檢測所述防火墻的當(dāng)前配置文件是否被修改����,其中,預(yù)先存儲的值為預(yù)先利用所述預(yù)設(shè)算法對防火墻的配置文件進行計算得到的����。具體的,檢測模塊402�,具體可以用于:對比計算所得到的值以及預(yù)先存儲的值是否相同���,如果相同,表示所述防火墻的當(dāng)前配置文件未被修改����,如果不相同,表示所述防火墻的當(dāng)前配置文件被修改�。可見����,利用算法對防火墻的當(dāng)前配置文件進行計算,并利用計算得到的值和預(yù)先存儲的值檢測防火墻當(dāng)前配置文件是否被修改�,可以及時排查并處理防火墻的當(dāng)前配置文件出現(xiàn)的問題,減少對系統(tǒng)可能造成的危害�����,從而提高了系統(tǒng)的安全性���。參見圖5��,圖5為本發(fā)明實施例提供的針對防火墻配置文件的檢測裝置的另一種結(jié)構(gòu)示意圖�,與圖2所示的流程相對應(yīng)��,本發(fā)明圖5所示實施例在圖4所示實施例的基礎(chǔ)上,增加第一展示模塊403��,用于在檢測出防火墻的當(dāng)前配置文件被修改的情況下����,向用戶展示提示信息,其中����,所述提示信息用于提示用戶防火墻的當(dāng)前配置文件被修改���?��?梢姡盟惴▽Ψ阑饓Φ漠?dāng)前配置文件進行計算���,并利用計算得到的值和預(yù)先存儲的值檢測防火墻當(dāng)前配置文件是否被修改����,可以及時排查并處理防火墻的當(dāng)前配置文件出現(xiàn)的問題�,減少對系統(tǒng)可能造成的危害,從而提高了系統(tǒng)的安全性��。參見圖6,圖6為本發(fā)明實施例提供的針對防火墻配置文件的檢測裝置的再一種結(jié)構(gòu)示意圖��,與圖3所示的流程相對應(yīng)�����,本發(fā)明圖6所示實施例在圖4所示實施例的基礎(chǔ)上�����,增加以下兩個模塊:對比模塊404���,用于在檢測出防火墻的當(dāng)前配置文件被修改的情況下����,對比所述當(dāng)前配置文件與預(yù)先存儲的所述防火墻的配置文件���;第二展示模塊405,用于向用戶展示對比結(jié)果�����。可見���,利用算法對防火墻的當(dāng)前配置文件進行計算���,并利用計算得到的值和預(yù)先存儲的值檢測防火墻當(dāng)前配置文件是否被修改,可以及時排查并處理防火墻的當(dāng)前配置文件出現(xiàn)的問題�����,減少對系統(tǒng)可能造成的危害����,從而提高了系統(tǒng)的安全性�����。需要說明的是��,在本文中�,諸如第一和第二等之類的關(guān)系術(shù)語僅僅用來將一個實體或者操作與另一個實體或操作區(qū)分開來���,而不一定要求或者暗示這些實體或操作之間存在任何這種實際的關(guān)系或者順序���。而且,術(shù)語“包括”����、“包含”或者其任何其他變體意在涵蓋非排他性的包含,從而使得包括一系列要素的過程�、方法、物品或者設(shè)備不僅包括那些要素����,而且還包括沒有明確列出的其他要素,或者是還包括為這種過程���、方法���、物品或者設(shè)備所固有的要素����。在沒有更多限制的情況下����,由語句“包括一個……”限定的要素,并不排除在包括所述要素的過程���、方法�����、物品或者設(shè)備中還存在另外的相同要素。本說明書中的各個實施例均采用相關(guān)的方式描述,各個實施例之間相同相似的部分互相參見即可��,每個實施例重點說明的都是與其他實施例的不同之處��。尤其��,對于裝置實施例而言�����,由于其基本相似于方法實施例����,所以描述的比較簡單,相關(guān)之處參見方法實施例的部分說明即可。本領(lǐng)域普通技術(shù)人員可以理解實現(xiàn)上述方法實施方式中的全部或部分步驟是可以通過程序來指令相關(guān)的硬件來完成�����,所述的程序可以存儲于計算機可讀取存儲介質(zhì)中,這里所稱得的存儲介質(zhì)�����,如:ROM/RAM����、磁碟、光盤等。以上所述僅為本發(fā)明的較佳實施例而已��,并非用于限定本發(fā)明的保護范圍。凡在本發(fā)明的精神和原則之內(nèi)所作的任何修改����、等同替換����、改進等�,均包含在本發(fā)明的保護范圍內(nèi)。當(dāng)前第1頁1 2 3 當(dāng)前第1頁1 2 3