本发明专利技术公开了一种防火墙的数据处理方法及装置。其中,该方法包括:接收第一对端防火墙发送的第一会话控制模块,其中,第一会话控制模块用于发送数据流的数据包;安装第一会话控制模块;接收数据流的反向首包,其中,反向首包为数据流经过服务器处理后的第一个数据包;通过安装完成的第一会话控制模块将反向首包发送给客户端,其中,反向首包为第一对端防火墙接收客户端发送的数据流的正向首包后,发送给服务器,由服务器根据正向首包生成的反向首包,正向首包为数据流向服务器发送时的第一个数据包。本发明专利技术解决了相关技术中的防火墙,无法保证会话控制对象早于数据流的反向数据,导致反向数据出错,无法发送的技术问题。无法发送的技术问题。无法发送的技术问题。
【技术实现步骤摘要】
防火墙的数据处理方法及装置
[0001]本专利技术涉及数据安全领域,具体而言,涉及一种防火墙的数据处理方法及装置。
技术介绍
[0002]对于两台防火墙组成的HA(高可用性,也成双机热备)环境,如果流量是非对称的(数据流的上下行报文不从同一台防火墙通过,图1是现有技术中防火墙HA的数据传输的示意图,如图1所示,上行报文从左侧防火墙A通过,下行报文从右侧防火墙B通过,则反向第一个报文,也即是反向首包(比如TCP连接的第二个报文:SYN
‑
ACK报文)到达防火墙B时,有可能这个报文对应的数据流会话控制模块(flow session)还没有从对端防火墙同步过来。(每条数据流flow的首包,会在本端防火墙上面建立flow session,并马上将此flow session通过两台HA防火墙之间的HA通道同步到对端防火墙)此时,反向首包找不到正确的flow session,导致此报文匹配到错误的防火墙策略(policy)或被丢弃。
[0003]相关技术中,通过防火墙延迟发送首包的方式解决上述问题,具体在防火墙上延迟XXX毫秒发送flow(数据流)首包,具体延迟时间可以配置。但是通常无法准确估计延迟多久合适。如果延迟时间过大,会导致网络数据包延迟加大,性能下降。如果延迟时间过小,依然会导致反向第一个报文早于session(会话控制模块)同步消息到达对端防火墙,方案失效。
[0004]针对上述的问题,目前尚未提出有效的解决方案。
技术实现思路
[0005]本专利技术实施例提供了一种防火墙的数据处理方法及装置,以至少解决相关技术中的防火墙,无法保证会话控制对象早于数据流的反向数据,导致反向数据出错,无法发送的技术问题。
[0006]根据本专利技术实施例的一个方面,提供了一种防火墙的数据处理方法,包括:接收第一对端防火墙发送的第一会话控制模块,其中,所述第一会话控制模块用于发送数据流的数据包;安装所述第一会话控制模块;接收数据流的反向首包,其中,所述反向首包为所述数据流经过服务器处理后的第一个数据包;通过安装完成的所述第一会话控制模块将所述反向首包发送给客户端,其中,所述反向首包为所述第一对端防火墙接收所述客户端发送的数据流的正向首包后,发送给服务器,由所述服务器根据所述正向首包生成的所述反向首包,所述正向首包为所述数据流向所述服务器发送时的第一个数据包。
[0007]可选的,接收第一对端防火墙发送的第一会话控制模块包括:接收所述第一对端防火墙发送的数据流的正向首包,以及所述第一会话控制模块,其中,所述正向首包和所述第一会话控制模块经过保序处理;安装所述第一会话控制模块包括:按照所述保序处理的要求,先安装所述第一会话控制模块;在所述第一会话控制模块安装完成后,将所述正向首包弹回给所述第一对端防火墙。
[0008]可选的,在接收第一对端防火墙发送的第一会话控制模块之后,还包括:在所述第
一会话控制模块安装完成后,向所述第一对端防火墙发送完成消息,其中,所述完成消息用于提示所述第一对端防火墙发送缓存的数据流正向首包。
[0009]可选的,通过安装完成的所述第一会话控制模块将所述反向首包发送给客户端之前,还包括:判断所述第一会话控制模块是否安装完成;在所述第一会话控制模块未安装完成的情况下,缓存所述反向首包,预设时间后,重新判断所述第一会话控制模块是否安装完成,直至所述第一会话控制模块安装完成。
[0010]可选的,所述第一会话控制模块与所述数据流对应,用于发送所述数据流的报文数据包,其中,所述报文数据包包括所述正向首包和所述反向首包,所述第一会话控制模块包括多层防火墙所有相关的会话控制模块。
[0011]根据本专利技术实施例的另一方面,还提供了一种防火墙的数据处理方法,包括:接收客户端发送的数据流的正向首包,并安装所述数据流的第二会话控制模块,其中,所述正向首包为所述数据流向服务器发送的第一个数据包,所述第二会话控制模块包括多层防火墙所有相关的会话控制模块;将所述第二会话控制模块发送给第二对端防火墙,并通过所述第二会话控制模块,将所述正向首包发送给服务器;其中,所述服务器接收所述正向首包后,根据所述正向首包生成所述反向首包,将所述反向首包发送给所述第二对端防火墙,所述第二对端防火墙,通过安装的第二会话控制模块将所述反向首包发送给所述客户端,所述第二会话控制模块是所述第二对端防火墙根据接收的第二会话控制模块安装的,所述反向首包为服务器对所述数据流处理后发送的第一个数据包。
[0012]可选的,将所述第二会话控制模块发送给第二对端防火墙,并通过所述第二会话控制模块,将所述正向首包发送给服务器包括:对所述正向首包和所述第二会话控制模块进行保序处理,以保证所述第二对端防火墙先安装所述第二会话控制模块;将保序处理后的正向首包和第二会话控制模块发送给所述第二对端防火墙;接收所述第二对端防火墙弹回的正向首包,其中,所述第二对端防火墙安装所述第二会话控制模块后,将所述正向首包弹回;通过所述第二会话控制模块将所述正向首包发送给所述服务器。
[0013]可选的,将所述第二会话控制模块发送给第二对端防火墙,并通过所述第二会话控制模块,将所述正向首包发送给服务器包括:缓存所述正向首包;将所述第二会话控制模块发送给所述第二对端防火墙;接收所述第二对端防火墙对所述第二会话控制模块安装完成的完成消息;响应所述完成消息,通过所述第二会话控制模块将缓存的所述正向首包发送给所述服务器。
[0014]根据本专利技术实施例的另一方面,还提供了一种防火墙的数据处理装置,包括:第一接收模块,用于接收第一对端防火墙发送的第一会话控制模块,其中,所述第一会话控制模块用于发送数据流的数据包;安装模块,用于安装所述第一会话控制模块;第二接收模块,用于接收数据流的反向首包,其中,所述反向首包为所述数据流经过服务器处理后的第一个数据包;第一发送模块,用于通过安装完成的所述第一会话控制模块将所述反向首包发送给客户端,其中,所述反向首包为所述第一对端防火墙接收所述客户端发送的数据流的正向首包后,发送给服务器,由所述服务器根据所述正向首包生成的所述反向首包,所述正向首包为所述数据流向所述服务器发送时的第一个数据包。
[0015]根据本专利技术实施例的另一方面,还提供了一种防火墙的数据处理装置,包括:第三接收模块,用于接收客户端发送的数据流的正向首包,并安装所述数据流的第二会话控制
模块,其中,所述正向首包为所述数据流向服务器发送的第一个数据包,所述第二会话控制模块包括多层防火墙所有相关的会话控制模块;第二发送模块,用于将所述第二会话控制模块发送给第二对端防火墙,并通过所述第二会话控制模块,将所述正向首包发送给服务器;其中,所述服务器接收所述正向首包后,根据所述正向首包生成所述反向首包,将所述反向首包发送给所述第二对端防火墙,所述第二对端防火墙,通过安装的第二会话控制模块将所述反向首包发送给所述客户端,所述第二会话控制模块是所述第二对端防火墙根据接收的第二会话控制模块安装的,所述反向首包为服务器对所述数据流处理后本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种防火墙的数据处理方法,其特征在于,包括:接收第一对端防火墙发送的第一会话控制模块,其中,所述第一会话控制模块用于发送数据流的数据包;安装所述第一会话控制模块;接收数据流的反向首包,其中,所述反向首包为所述数据流经过服务器处理后的第一个数据包;通过安装完成的所述第一会话控制模块将所述反向首包发送给客户端,其中,所述反向首包为所述第一对端防火墙接收所述客户端发送的数据流的正向首包后,发送给服务器,由所述服务器根据所述正向首包生成的所述反向首包,所述正向首包为所述数据流向所述服务器发送时的第一个数据包。2.根据权利要求1所述的方法,其特征在于,接收第一对端防火墙发送的第一会话控制模块包括:接收所述第一对端防火墙发送的数据流的正向首包,以及所述第一会话控制模块,其中,所述正向首包和所述第一会话控制模块经过保序处理;安装所述第一会话控制模块包括:按照所述保序处理的要求,先安装所述第一会话控制模块;在所述第一会话控制模块安装完成后,将所述正向首包弹回给所述第一对端防火墙。3.根据权利要求1所述的方法,其特征在于,在接收第一对端防火墙发送的第一会话控制模块之后,还包括:在所述第一会话控制模块安装完成后,向所述第一对端防火墙发送完成消息,其中,所述完成消息用于提示所述第一对端防火墙发送缓存的数据流正向首包。4.根据权利要求1所述的方法,其特征在于,通过安装完成的所述第一会话控制模块将所述反向首包发送给客户端之前,还包括:判断所述第一会话控制模块是否安装完成;在所述第一会话控制模块未安装完成的情况下,缓存所述反向首包,预设时间后,重新判断所述第一会话控制模块是否安装完成,直至所述第一会话控制模块安装完成。5.根据权利要求1至4中任一项所述的方法,其特征在于,所述第一会话控制模块与所述数据流对应,用于发送所述数据流的报文数据包,其中,所述报文数据包包括所述正向首包和所述反向首包,所述第一会话控制模块包括多层防火墙所有相关的会话控制模块。6.一种防火墙的数据处理方法,其特征在于,包括:接收客户端发送的数据流的正向首包,并安装所述数据流的第二会话控制模块,其中,所述正向首包为所述数据流向服务器发送的第一个数据包,所述第二会话控制模块包括多层防火墙所有相关的会话控制模块;将所述第二会话控制模块发送给第二对端防火墙,并通过所述第二会话控制模块,将所述正向首包发送给服务器;其中,所述服务器接收所述正向首包后,根据所述正向首包生成反向首包,将所述反向首包发送给所述第二对端防火墙,所述第二对端防火墙,通过安装的第二会话控制模块将所述反向首包发送给所述客户端,所述第二会话控制模块是所述第二对端防火墙根据接收的第二会话控制模块安装的,所述反向首包为服务器对所述数据流处理后发送的第一个数
...
【专利技术属性】
技术研发人员:鲍志军,王镜清,王海旭,梁天怡,陈白杨,
申请(专利权)人:山石网科通信技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。