本申请提供一种控制方法、装置,防火墙及计算机可读存储介质。该方法包括:在自身被切换为主防火墙后,基于自身的各出接口的标记确定各出接口的状态;当业务流会话所对应的出接口为不通的状态时,查找与业务流会话对应的新的路由以及新的出接口;当查找到新的路由以及新的出接口时,基于新的路由以及新的出接口更新业务流会话,以使与业务流会话对应的报文基于新的路由路径从新的出接口发出。通过上述方式,可以实现当备份防火墙的业务流会话对应的出接口不通,而在主备防火墙切换后,通过新的路由和新的出接口进行业务通信,并且采用该方式可以使得主备防火墙的平滑切换。式可以使得主备防火墙的平滑切换。式可以使得主备防火墙的平滑切换。
【技术实现步骤摘要】
一种控制方法、装置,防火墙及计算机可读存储介质
[0001]本申请涉及网络安全
,具体而言,涉及一种控制方法、装置,防火墙及计算机可读存储介质。
技术介绍
[0002]防火墙,是借助硬件和软件的作用于内部和外部网络的环境间产生一种保护的屏障,从而实现对计算机不安全网络因素的阻断。
[0003]HA(Highly Available,高可用性)防火墙系统,主要包括一个主防火墙以及一个备用防火墙。如图1所示,防火墙FW01为主防火墙,防火墙FW02为备用防火墙。主备防火墙上的业务流会话是对称的,由于主防火墙上的业务流会话在下行方向指向出接口eth1,因此备用防火墙上对应的业务流会话在下行方向也指向出接口eth1。
[0004]然而,专利技术人在实践中发现,当备份防火墙的出接口eth1不通时,若是此时触发了主备防火墙切换,如图2所示,切换后此时防火墙FW02成为新的主防火墙,防火墙FW01成为新的备用防火墙,由于业务流会话在防火墙FW02是指向为不通状态的出接口eth1,进而导致此业务流会话在被老化删除之前,此会话相关的业务一直不通。防火墙上会话老化是指当一直没有流量命中此会话达到一个固定时间(比如:1800秒)后,此会话超时被删除。
技术实现思路
[0005]本申请实施例的目的在于提供一种控制方法、装置,防火墙及计算机可读存储介质,以实现当备份防火墙的业务流会话对应的出接口不通时,在主备防火墙切换后,仍然能够保证业务正常通信。
[0006]本专利技术是这样实现的:
[0007]第一方面,本申请实施例提供一种控制方法,应用于防火墙;所述方法包括:在自身被切换为主防火墙后,基于自身的各出接口的标记确定各出接口的状态;当业务流会话所对应的出接口为不通的状态时,查找与所述业务流会话对应的新的路由以及新的出接口;当查找到所述新的路由以及所述新的出接口时,基于所述新的路由以及所述新的出接口更新所述业务流会话,以使与所述业务流会话对应的报文基于新的路由路径从所述新的出接口发出。
[0008]在本申请实施例中,当防火墙在被切换为主防火墙后,可以基于各出接口的标记确定各出接口的状态,然后当与业务流会话所对应的出接口为不通的状态时,此时会查找出新的路由以及新的出接口来对业务流会话进行更新。通过上述方式,可以实现当备份防火墙的业务流会话对应的出接口不通,而在主备防火墙切换后,通过新的路由和新的出接口进行业务通信,并且采用该方式可以使得主备防火墙的平滑切换。
[0009]结合上述第一方面提供的技术方案,在一些可能的实现方式中,当未查找到新的路由以及新的出接口时,所述方法还包括:将所述业务流会话删除。
[0010]在本申请实施例中,防火墙在未查找到新的路由以及新的出接口时,直接将与不
通状态的出接口所对应的业务流会话删除,通过该方式,可以避免出现由于该业务流会话一直指向不通的出接口,导致此业务流会话在被老化删除之前,业务一直不通的情况。
[0011]结合上述第一方面提供的技术方案,在一些可能的实现方式中,在所述将所述业务流会话删除之后,所述方法还包括:当自身的出接口恢复为通畅的状态时,基于接收到的业务报文重新构建新的业务流会话。
[0012]在本申请实施例中,由于指向不通状态的出接口的业务流会话已被删除,因此,当自身的出接口恢复为通畅的状态时,可以基于业务报文重新构建新的业务流会话,以便于业务第一时间恢复通信。
[0013]结合上述第一方面提供的技术方案,在一些可能的实现方式中,在自身被切换为主防火墙之前,所述方法还包括:检测自身的各出接口的状态;当检测到自身的第一出接口为不通的状态时,对所述第一出接口进行标记;其中,所述标记用于表征所述第一出接口为不通的状态。
[0014]在本申请实施例中,防火墙在为备用防火墙时,会检测自身的各出接口的状态,检测到自身的第一出接口为不通的状态时,对第一出接口进行标记,通过提前进行检测并标记,以便于后续当自身切换为主防火墙时,能够直接利用标记结果实现控制,以实现主备防火墙之间的平滑切换。
[0015]结合上述第一方面提供的技术方案,在一些可能的实现方式中,所述检测自身的各出接口的状态,包括:向与每个出接口连接的对端设备发送心跳报文,以检测自身的各出接口的状态。
[0016]在本申请实施例中,防火墙通过向各出接口连接的对端设备发送心跳报文,可以方便且准确地检测自身的各出接口的状态。
[0017]结合上述第一方面提供的技术方案,在一些可能的实现方式中,在自身被切换为主防火墙之前,所述方法还包括:持续检测自身的各出接口的状态;当检测到所述第一出接口恢复为通畅的状态时,删除所述第一出接口的标记。
[0018]在本申请实施例中,防火墙在被切换为主防火墙之前,会持续地检测自身的各出接口的状态,并且当检测到第一出接口恢复为通畅的状态时,删除第一出接口的标记,以使得后续当防火墙被切换为主防火墙时,能继续利用该第一出接口实现业务流会话的正常通信。
[0019]第二方面,本申请实施例提供一种控制装置,应用于防火墙;所述装置包括:出接口模块,用于在自身被切换为主防火墙后,基于自身的各出接口的标记确定各出接口的状态;会话管理模块,用于当业务流会话所对应的出接口为不通的状态时,查找与所述业务流会话对应的新的路由以及新的出接口;以及当查找到所述新的路由以及所述新的出接口时,基于所述新的路由以及所述新的出接口更新所述业务流会话,以使与所述业务流会话对应的报文基于新的路由路径从所述新的出接口发出。
[0020]结合上述第二方面提供的技术方案,在一些可能的实现方式中,所述会话管理模块还用于当未查找到新的路由以及新的出接口时,将所述业务流会话删除。
[0021]第三方面,本申请实施例提供一种防火墙,包括:处理器和存储器,所述处理器和所述存储器连接;所述存储器用于存储程序;所述处理器用于调用存储在所述存储器中的程序,执行如上述第一方面实施例和/或结合上述第一方面实施例的一些可能的实现方式
提供的方法。
[0022]第四方面,本申请实施例提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序在被处理器运行时执行如上述第一方面实施例和/或结合上述第一方面实施例的一些可能的实现方式提供的方法。
附图说明
[0023]为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
[0024]图1为一种HA防火墙系统的模块框图。
[0025]图2为另一种HA防火墙系统的模块框图。
[0026]图3为本申请实施例提供的第一种HA防火墙系统的模块框图。
[0027]图4为本申请实施例提供的一种防火墙的模块框图。
[0028]图5为本申请实施例提供的第二种本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种控制方法,其特征在于,应用于防火墙;所述方法包括:在自身被切换为主防火墙后,基于自身的各出接口的标记确定各出接口的状态;当业务流会话所对应的出接口为不通的状态时,查找与所述业务流会话对应的新的路由以及新的出接口;当查找到所述新的路由以及所述新的出接口时,基于所述新的路由以及所述新的出接口更新所述业务流会话,以使与所述业务流会话对应的报文基于新的路由路径从所述新的出接口发出。2.根据权利要求1所述的方法,其特征在于,当未查找到新的路由以及新的出接口时,所述方法还包括:将所述业务流会话删除。3.根据权利要求2所述的方法,其特征在于,在所述将所述业务流会话删除之后,所述方法还包括:当自身的出接口恢复为通畅的状态时,基于接收到的业务报文重新构建新的业务流会话。4.根据权利要求1所述的方法,其特征在于,在自身被切换为主防火墙之前,所述方法还包括:检测自身的各出接口的状态;当检测到自身的第一出接口为不通的状态时,对所述第一出接口进行标记;其中,所述标记用于表征所述第一出接口为不通的状态。5.根据权利要求4所述的方法,其特征在于,所述检测自身的各出接口的状态,包括:向与每个出接口连接的对端设备发送心跳报文,以检测自身的各出接口的状态。6.根据权利要求4所述的方法,其特征在于,在...
【专利技术属性】
技术研发人员:鲍志军,李家顺,王镜清,王国盛,尹伟伟,
申请(专利权)人:山石网科通信技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。