【技术实现步骤摘要】
一种防火墙数据同步方法及装置
本专利技术涉及软件定义网络
,特别是涉及一种防火墙数据同步方法及装置。
技术介绍
随着云计算的普及,基于openstack的开源云管平台越来越多的被使用于各个设备厂商云计算解决方案中。Neutron是openstack项目中负责提供网络服务的组件,它基于软件定义网络的思想,实现了网络虚拟化下的资源管理。Neutron常被用于通过插件对接厂商的SDN控制器,以实现对网络设备的可编程管理。其中FwaaS作为Neutron中的配置防火墙的插件,通过调用SDN控制器的北向接口来实现防火墙策略、规则、虚拟资源的配置下发。但是若调用北向RestAPI接口下发数据出现异常,会导致openstack平台侧与SDN控制器侧的防火墙数据出现差异,再次通过北向接口下发配置数据往往会出错。由于目前各厂家的北向RestAPI接口并不统一,目前openstack官方或者第三方平台均不支持FwaaS的数据同步功能。当openstack通过北向接口下发配置数据给SDN控制器时,如果出现异常,会标识出当前数据的状态为ERROR或者PENDING_UPDATE状态。这种情况下,需要用户手动在SDN控制器上删除残留配置数据,然后再次通过OpenStackWEB前台下发配置数据。然而,手动删除防火墙配置不仅效率低,而且在数据量比较大的情况下,容易造成数据错误导致出现更为复杂的问题,影响防火墙的功能。
技术实现思路
本专利技术实施例的目的在于提供一种防火墙数据同步方法及装置,以实现同步o...
【技术保护点】
1.一种防火墙数据同步方法,其特征在于,所述方法包括:/n获取预先配置在openstack云平台的第一防火墙数据,所述第一防火墙数据包括第一配置数据、第一策略数据和第一规则数据;获取预先下发至软件定义网络SDN控制器一侧的第二防火墙数据,所述第二防火墙数据包括第二配置数据、第二策略数据和第二规则数据;/n比对所述第一防火墙数据和第二防火墙数据,确定所述第二防火墙数据相对于所述第一防火墙数据的防火墙差异数据,所述防火墙差异数据包括所述第二配置数据相对于第一配置数据的配置差异数据、所述第二策略数据相对于所述第一策略数据的策略差异数据和所述第二规则数据相对于所述第一规则数据的规则差异数据;/n基于所述防火墙差异数据,更新所述SDN控制器一侧的第二防火墙数据。/n
【技术特征摘要】
1.一种防火墙数据同步方法,其特征在于,所述方法包括:
获取预先配置在openstack云平台的第一防火墙数据,所述第一防火墙数据包括第一配置数据、第一策略数据和第一规则数据;获取预先下发至软件定义网络SDN控制器一侧的第二防火墙数据,所述第二防火墙数据包括第二配置数据、第二策略数据和第二规则数据;
比对所述第一防火墙数据和第二防火墙数据,确定所述第二防火墙数据相对于所述第一防火墙数据的防火墙差异数据,所述防火墙差异数据包括所述第二配置数据相对于第一配置数据的配置差异数据、所述第二策略数据相对于所述第一策略数据的策略差异数据和所述第二规则数据相对于所述第一规则数据的规则差异数据;
基于所述防火墙差异数据,更新所述SDN控制器一侧的第二防火墙数据。
2.根据权利要求1所述的方法,其特征在于,所述获取openstack云平台的第一防火墙数据,包括:
从所述openstack云平台中FwaaS插件提供的数据库接口获取所述第一防火墙数据;
所述获取SDN控制器的第二防火墙数据,包括:
从所述SDN控制器的北向RestAPI接口获取所述第二防火墙数据。
3.根据权利要求1所述的方法,其特征在于,
所述第一防火墙数据由配置在openstack云平台的目标租户的防火墙数据构成;所述第二防火墙数据由下发至SDN控制器一侧的目标租户的防火墙数据构成;所述目标租户为接入所述openstack云平台的至少一个租户;
所述第一配置数据和第一策略数据是采用分租户方式从所述openstack云平台获取的;所述第二配置数据和第二策略数据是采用分租户方式从所述SDN控制器获取的;
所述第一规则数据是采用分租户多进程同步方式从所述openstack云平台获取的;所述第二规则数据是采用分租户多进程同步方式从所述SDN控制器获取的。
4.根据权利要求1所述的方法,其特征在于,所述比对所述第一防火墙数据和第二防火墙数据,确定所述第二防火墙数据相对于所述第一防火墙数据的防火墙差异数据,包括:
将所述第一配置数据、所述第一策略数据、所述第一规则数据、所述第二配置数据、所述第二策略数据和所述第二规则数据均转换为特征值;
分别比对所述第二配置数据的标识与所述第一配置数据的标识、所述第二策略数据的标识与所述第一策略数据的标识、以及所述第二规则数据的标识与所述第一规则数据的标识;
将所述第二配置数据的标识中相对于所述第一配置数据的标识的多余的标识对应的第二配置数据确定为多余的配置差异数据;将所述第二配置数据的标识中相对于所述第一配置数据的标识的缺失的标识对应的第一配置数据确定为缺失的配置差异数据;将所述第二配置数据和第一配置数据中标识相同,特征值不同的第二配置数据确定为待更正的配置差异数据;
将所述第二策略数据的标识中相对于所述第一策略数据的标识的多余的标识对应的第二策略数据确定为多余的策略差异数据;将所述第二策略数据的标识中相对于所述第一策略数据的标识的缺失的标识对应的第一策略数据确定为缺失的策略差异数据;将所述第二策略数据和第一策略数据中标识相同,特征值不同的第二策略数据确定为待更正的策略差异数据;
将所述第二规则数据的标识中相对于所述第一规则数据的标识的多余的标识对应的第二规则数据确定为多余的规则差异数据;将所述第二规则数据的标识中相对于所述第一规则数据的标识的缺失的标识对应的第一规则数据确定为缺失的规则差异数据;将所述第二规则数据和第一规则数据中标识相同,特征值不同的第二规则数据确定为待更正的规则差异数据。
5.根据权利要求4所述的方法,其特征在于,所述基于所述防火墙差异数据,更新所述SDN控制器一侧的第二防火墙数据,包括:
依次删除所述SDN控制器一侧的所述多余的配置差异数据、所述多余的策略差异数据和所述多余的规则差异数据;
依次向所述SDN控制器一侧下发所述缺失的规则差异数据、所述缺失的策略差异数据和所述缺失的配置差异数据;
依次更正所述SDN控制器一侧...
【专利技术属性】
技术研发人员:吴志会,
申请(专利权)人:新华三信息安全技术有限公司,
类型:发明
国别省市:安徽;34
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。