本申请公开了一种防火墙的处理方法和装置、处理器,涉及计算机安全技术领域,该方法包括:接收目标防火墙的第二长连接请求;依据目标防火墙的标识信息从Redis数据库中读取目标防火墙的长连接的连接状态,第一长连接为第一设备管理器与目标防火墙之间的长连接;若长连接的连接状态为第一长连接已连接,则通过负载均衡器从多个设备管理器中选择第二设备管理器;依据第二长连接请求建立第二设备管理器与目标防火墙之间的第二长连接,并在第二长连接建立完成后,对Redis数据库中的目标数据信息进行更新处理。通过本申请,解决了相关技术中通过IP将防火墙的连接转发到设备管理器中,导致设备管理器负载不均衡的问题。致设备管理器负载不均衡的问题。致设备管理器负载不均衡的问题。
【技术实现步骤摘要】
防火墙的处理方法和装置、处理器
[0001]本申请涉及计算机安全
,具体而言,涉及一种防火墙的处理方法和装置、处理器。
技术介绍
[0002]防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术。
[0003]防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题,其中处理措施包括隔离与保护,同时可对计算机网络安全当中的各项操作实施记录与检测,以确保计算机网络运行的安全性,保障用户资料与信息的完整性,为用户提供更好、更安全的计算机网络使用体验。
[0004]随着时代的发展,用户的计算机网络正变得变来越庞大,传统的单机管理的方式已经变得越来越无能为力,而网管系统的水平扩展功能对于现代用户网络已经变的越来越重要。随着用户网络的不断扩展,网管系统也需要能通过扩展服务器结点来灵活支撑防火墙设备的扩展。
[0005]从图1可以看到,传统防火墙的管理方式往往是,用户通过登录UI界面(WebUI)创建配置,并以netconf协议方式传递给防火墙代理模块,最终实现了对防火墙的配置。
[0006]在集中网管系统出现后,防火墙设备与网管系统建立tcp长连接,通过在网管上集中进行配置,并通过tcp长连接将符合netconf协议的xml传下发至防火墙,从而达到对批量防火墙设备进行集中配置的目的。如图2与图3所示。现有技术中通过Nginx等负载均衡组件,将防火墙的注册请求进行转发达到均衡的目的。Nginx(engine x)是一个高性能的HTTP和反向代理web服务器,同时也提供了IMAP/POP3/SMTP服务。Nginx服务器是介于客户端和服务器之间的中介,通过其反向代理的功能,客户端发送的请求先经过Nginx,然后通过Nginx将请求根据相应的规则分发到相应的服务或服务器。这个技术方案所带来的主要问题是:如果以ip/hash的方式进行负载转发,会因为snat环境导致防火墙设备负载不均衡。
[0007]针对相关技术中通过IP将防火墙的连接转发到设备管理器中,导致设备管理器负载不均衡的问题,目前尚未提出有效的解决方案。
技术实现思路
[0008]本申请的主要目的在于提供一种防火墙的处理方法和装置、处理器,以解决相关技术中通过IP将防火墙的连接转发到设备管理器中,导致设备管理器负载不均衡的问题。
[0009]为了实现上述目的,根据本申请的一个方面,提供了一种防火墙的处理方法。该方法包括:接收目标防火墙的第二长连接请求,其中,所述第二长连接请求中至少包括所述目标防火墙的标识信息;依据所述目标防火墙的标识信息从Redis数据库中读取所述目标防火墙的长连接的连接状态,其中,所述Redis数据库中存储有所述目标防火墙的目标数据信
息,所述目标数据信息至少包括:所述目标防火墙的标识信息、长连接的连接状态和第一长连接对应的第一设备管理器的标识信息,所述第一长连接为所述第一设备管理器与所述目标防火墙之间的长连接;若所述长连接的连接状态为第一长连接已连接,则通过负载均衡器从多个设备管理器中选择第二设备管理器;依据所述第二长连接请求建立所述第二设备管理器与所述目标防火墙之间的第二长连接,并在所述第二长连接建立完成后,对所述Redis数据库中的目标数据信息进行更新处理。
[0010]进一步地,通过负载均衡器从多个设备管理器中选择第二设备管理器包括:获取每个设备管理器的当前的负载情况;所述负载均衡器依据所述负载情况从多个设备管理器中选择第二设备管理器。
[0011]进一步地,依据所述第二长连接请求建立所述第二设备管理器与所述目标防火墙之间的第二长连接包括:所述目标防火墙发送第一报文至所述第二设备管理器;所述第二设备管理器在接收到所述第一报文后,对所述第一报文进行处理,得到第二报文,并将所述第二报文发送至所述目标防火墙;所述目标防火墙对所述第二报文进行验证,若验证通过,则表征所述第二设备管理器与所述目标防火墙之间的第二长连接已建立。
[0012]进一步地,在接收目标防火墙的第二长连接请求之前,所述方法还包括:接收所述目标防火墙的第一长连接请求;通过所述负载均衡器从多个设备管理器中选择所述第一设备管理器,并建立所述目标防火墙与所述第一设备管理器之间的第一长连接;在所述第一长连接建立完成后,将所述目标数据信息存储在Redis数据库中。
[0013]进一步地,对所述Redis数据库中的目标数据信息进行更新处理包括:将所述长连接的连接状态更新为第二长连接已连接;将所述第二长连接对应的第二设备管理器的标识信息添加到所述目标数据信息中。
[0014]进一步地,在对所述Redis数据库中的目标数据信息进行更新处理之后,所述方法还包括:判断所述目标防火墙是否还存在其他长连接请求;若所述目标防火墙不存在其他长连接请求,则表征所述目标防火墙的长连接已完成。
[0015]进一步地,在所述目标防火墙的长连接已完成之后,所述方法还包括:若接收到对所述目标防火墙的操作指令,则确定所述操作指令对应的目标设备管理器;将所述操作指令下发至所述目标设备管理器,以通过所述目标设备管理器将所述操作指令下发至所述目标防火墙。
[0016]进一步地,确定所述操作指令对应的目标设备管理器包括:依据所述操作指令,确定操作类型;依据所述操作类型,从所述目标防火墙对应的多个长连接中确定目标长连接;依据所述目标长连接和所述目标防火墙的标识信息,从所述Redis数据库存储的目标数据信息中确定所述目标长连接对应的所述目标设备管理器。
[0017]为了实现上述目的,根据本申请的另一方面,提供了一种防火墙的处理装置。该装置包括:第一接收单元,用于接收目标防火墙的第二长连接请求,其中,所述第二长连接请求中至少包括所述目标防火墙的标识信息;读取单元,用于依据所述目标防火墙的标识信息从Redis数据库中读取所述目标防火墙的长连接的连接状态,其中,所述Redis数据库中存储有所述目标防火墙的目标数据信息,所述目标数据信息至少包括:所述目标防火墙的标识信息、长连接的连接状态和第一长连接对应的第一设备管理器的标识信息,所述第一长连接为所述第一设备管理器与所述目标防火墙之间的长连接;选择单元,用于若所述长
连接的连接状态为第一长连接已连接,则通过负载均衡器从多个设备管理器中选择第二设备管理器;建立单元,用于依据所述第二长连接请求建立所述第二设备管理器与所述目标防火墙之间的第二长连接,并在所述第二长连接建立完成后,对所述Redis数据库中的目标数据信息进行更新处理。
[0018]进一步地,所述选择单元包括:获取模块,用于获取每个设备管理器的当前的负载情况;选择模块,用于所述负载均衡器依据所述负载情况从多个设备管理器中选择第二设备管理器。
[0019]进一步地,所述建立单元包括:发送模块,用于所述目标防火墙发送第一报文至所述第二设备管理器;处理模块,用于所述第二设备管理器在接本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种防火墙的处理方法,其特征在于,包括:接收目标防火墙的第二长连接请求,其中,所述第二长连接请求中至少包括所述目标防火墙的标识信息;依据所述目标防火墙的标识信息从Redis数据库中读取所述目标防火墙的长连接的连接状态,其中,所述Redis数据库中存储有所述目标防火墙的目标数据信息,所述目标数据信息至少包括:所述目标防火墙的标识信息、长连接的连接状态和第一长连接对应的第一设备管理器的标识信息,所述第一长连接为所述第一设备管理器与所述目标防火墙之间的长连接;若所述长连接的连接状态为第一长连接已连接,则通过负载均衡器从多个设备管理器中选择第二设备管理器;依据所述第二长连接请求建立所述第二设备管理器与所述目标防火墙之间的第二长连接,并在所述第二长连接建立完成后,对所述Redis数据库中的目标数据信息进行更新处理。2.根据权利要求1所述的方法,其特征在于,通过负载均衡器从多个设备管理器中选择第二设备管理器包括:获取每个设备管理器的当前的负载情况;所述负载均衡器依据所述负载情况从多个设备管理器中选择第二设备管理器。3.根据权利要求1所述的方法,其特征在于,依据所述第二长连接请求建立所述第二设备管理器与所述目标防火墙之间的第二长连接包括:所述目标防火墙发送第一报文至所述第二设备管理器;所述第二设备管理器在接收到所述第一报文后,对所述第一报文进行处理,得到第二报文,并将所述第二报文发送至所述目标防火墙;所述目标防火墙对所述第二报文进行验证,若验证通过,则表征所述第二设备管理器与所述目标防火墙之间的第二长连接已建立。4.根据权利要求1所述的方法,其特征在于,在接收目标防火墙的第二长连接请求之前,所述方法还包括:接收所述目标防火墙的第一长连接请求;通过所述负载均衡器从多个设备管理器中选择所述第一设备管理器,并建立所述目标防火墙与所述第一设备管理器之间的第一长连接;在所述第一长连接建立完成后,将所述目标数据信息存储在Redis数据库中。5.根据权利要求1所述的方法,其特征在于,对所述Redis数据库中的目标数据信息进行更新处理包括:将所述长连接的连接状态更新为第二长连接已连接;将所述第二长连接...
【专利技术属性】
技术研发人员:滕召奇,杨施俊,刘冬冬,陈明哲,郭利娟,
申请(专利权)人:山石网科通信技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。