本发明专利技术公开了一种改变防火墙实例容量的方法、装置、设备及存储介质。该方法包括:确定新增防火墙实例的新增实例标识,并将正在运行的第一防火墙实例存储的业务配置数据同步到新增防火墙实例中;若存在空闲标记,则从空闲标记中确定目标标记,并根据目标标记和新增实例标识,确定新增防火墙实例的第一路由规则,并根据目标标记确定目标数据包标记集合;从目标数据包标记集合中,将筛选出的与第一路由规则中的目标标记相同的标记,确定为第一目标数据包标记,并将第一目标数据包标记对应的数据包发送至新增防火墙实例,以实现对防火墙实例的扩容。本发明专利技术实施例的技术方案,解决了在更改防火墙实例的容量的过程中,数据的安全性无法保证的问题。法保证的问题。法保证的问题。
【技术实现步骤摘要】
一种改变防火墙实例容量的方法、装置、设备及存储介质
[0001]本专利技术涉及网络安全
,尤其涉及一种改变防火墙实例容量的方法、装置、设备及存储介质。
技术介绍
[0002]随着信息化技术的不断发展,数据安全变得越来重要。防火墙技术是通过利用各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内网和外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术。
[0003]目前,防火墙实例(安装了防火墙的虚拟主机)通常需要扩容以提升其防护能力。通常情况下,防火墙实例扩容或缩容的步骤包括:首先切断防火墙实例的流量牵引路径,使内外网直接进行通讯,然后使防火墙实例关机,直接对防火墙实例进行扩容或缩容,如对防火墙实例的中央处理器和内存等进行扩容或缩容等,再重新启动防火墙实例,并重新接通防火墙实例的流量牵引路径,使防火墙重新发挥其保护数据安全的能力。
[0004]然而,传统的改变防火墙实例容量的方法执行的时间较长,在这段时间内生产业务没有防火墙的安全防护,数据的安全性无法保证。
技术实现思路
[0005]本专利技术提供了一种改变防火墙实例容量的方法、装置、设备及存储介质,以解决更改防火墙实例的容量时,数据的安全性无法保证的问题。
[0006]第一方面,本专利技术提供了一种改变防火墙实例容量的方法,包括:
[0007]确定新增防火墙实例的新增实例标识,并将正在运行的第一防火墙实例存储的业务配置数据同步到所述新增防火墙实例中;
[0008]判断是否存在空闲标记,若存在,则从所述空闲标记中确定目标标记,并根据所述目标标记和所述新增实例标识,确定所述新增防火墙实例的第一路由规则,并根据所述目标标记确定目标数据包标记集合,其中,所述空闲标记为已被删除且在防火墙实例链路中曾处于中间位置的防火墙实例对应的数据包标记,所述防火墙实例链路中包含多个按照预设顺序要求排列的防火墙实例,数据包标记基于无标记数据包的源地址和目的地址确定,所述目标数据包标记集合中包含所述第一防火墙实例对应的数据包标记和所述目标标记;
[0009]从所述目标数据包标记集合中,将筛选出的与所述第一路由规则中的目标标记相同的数据包标记,确定为第一目标数据包标记,并将所述第一目标数据包标记对应的数据包发送至所述新增防火墙实例,以实现对防火墙实例的扩容。
[0010]第二方面,本专利技术提供了一种改变防火墙实例容量的装置,包括:
[0011]实例标识确定模块,用于确定新增防火墙实例的新增实例标识,并将正在运行的第一防火墙实例存储的业务配置数据同步到所述新增防火墙实例中;
[0012]标记集合确定模块,用于判断是否存在空闲标记,若存在,则从所述空闲标记中确定目标标记,并根据所述目标标记和所述新增实例标识,确定所述新增防火墙实例的第一
路由规则,并根据所述目标标记确定目标数据包标记集合,其中,所述空闲标记为已被删除且在防火墙实例链路中曾处于中间位置的防火墙实例对应的数据包标记,所述防火墙实例链路中包含多个按照预设顺序要求排列的防火墙实例,数据包标记基于无标记数据包的源地址和目的地址确定,所述目标数据包标记集合中包含所述第一防火墙实例对应的数据包标记和所述目标标记;
[0013]第一数据包发送模块,从所述目标数据包标记集合中,将筛选出的与所述第一路由规则中的目标标记相同的数据包标记,确定为第一目标数据包标记,并将所述第一目标数据包标记对应的数据包发送至所述新增防火墙实例,以实现对防火墙实例的扩容。
[0014]第三方面,本专利技术提供了一种电子设备,该电子设备包括:
[0015]至少一个处理器;
[0016]以及与至少一个处理器通信连接的存储器;
[0017]其中,存储器存储有可被至少一个处理器执行的计算机程序,该计算机程序被至少一个处理器执行,以使至少一个处理器能够执行上述第一方面的改变防火墙实例容量的方法。
[0018]第四方面,本专利技术提供了一种计算机可读存储介质,该计算机可读存储介质存储有计算机指令,计算机指令用于使处理器执行时实现上述第一方面的改变防火墙实例容量的方法。
[0019]本专利技术提供的改变防火墙实例容量的方案,确定新增防火墙实例的新增实例标识,并将正在运行的第一防火墙实例存储的业务配置数据同步到所述新增防火墙实例中,判断是否存在空闲标记,若存在,则从所述空闲标记中确定目标标记,并根据所述目标标记和所述新增实例标识,确定所述新增防火墙实例的第一路由规则,并根据所述目标标记确定目标数据包标记集合,其中,所述空闲标记为已被删除且在防火墙实例链路中曾处于中间位置的防火墙实例对应的数据包标记,所述防火墙实例链路中包含多个按照预设顺序要求排列的防火墙实例,数据包标记基于无标记数据包的源地址和目的地址确定,所述目标数据包标记集合中包含所述第一防火墙实例对应的数据包标记和所述目标标记,从所述目标数据包标记集合中,将筛选出的与所述第一路由规则中的目标标记相同的数据包标记,确定为第一目标数据包标记,并将所述第一目标数据包标记对应的数据包发送至所述新增防火墙实例,以实现对防火墙实例的扩容。通过采用上述技术方案,首先将正在运行的第一防火墙实例存储的业务配置数据同步到新增防火墙实例中,然后若存在空闲标记,则从空闲标记中确定目标标记,并根据目标标记和新增实例标识,确定新增防火墙实例的第一路由规则和目标数据包标记集合,最后根据第一路由规则,从目标数据包标记集合中筛选出第一目标数据包标记,并将该标记对应的数据包发送至新增防火墙实例,当需要新增防火墙实例时,无需切断现有的防火墙实例的流量牵引路径或关闭流量牵引功能,仅需从空闲标记中确定目标标记,并根据该标记新建新增的防火墙实例的路由规则,再遵循该路由规则将数据包发送给新增的防火墙实例,即可完成对防火墙实例的扩容,解决了在更改防火墙实例的容量的过程中,数据的安全性无法保证的问题。
[0020]应当理解,本部分所描述的内容并非旨在标识本专利技术的关键或重要特征,也不用于限制本专利技术的范围。本专利技术的其它特征将通过以下的说明书而变得容易理解。
附图说明
[0021]为了更清楚地说明本专利技术实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0022]图1是根据本专利技术实施例一提供的一种改变防火墙实例容量的方法的流程图;
[0023]图2是根据本专利技术实施例二提供的一种改变防火墙实例容量的方法的流程图;
[0024]图3是根据本专利技术实施例二提供的一种对防火墙实例扩容和缩容的示意图;
[0025]图4是根据本专利技术实施例三提供的一种改变防火墙实例容量的装置的结构示意图;
[0026]图5是根据本专利技术实施例四提供的一种电子设备的结构示意图。
具体实施方式
[0027]为了使本
的人员更好地理解本专利技术方案,下面将本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种改变防火墙实例容量的方法,其特征在于,包括:确定新增防火墙实例的新增实例标识,并将正在运行的第一防火墙实例存储的业务配置数据同步到所述新增防火墙实例中;判断是否存在空闲标记,若存在,则从所述空闲标记中确定目标标记,并根据所述目标标记和所述新增实例标识,确定所述新增防火墙实例的第一路由规则,并根据所述目标标记确定目标数据包标记集合,其中,所述空闲标记为已被删除且在防火墙实例链路中曾处于中间位置的防火墙实例对应的数据包标记,所述防火墙实例链路中包含多个按照预设顺序要求排列的防火墙实例,数据包标记基于无标记数据包的源地址和目的地址确定,所述目标数据包标记集合中包含所述第一防火墙实例对应的数据包标记和所述目标标记;从所述目标数据包标记集合中,将筛选出的与所述第一路由规则中的目标标记相同的数据包标记,确定为第一目标数据包标记,并将所述第一目标数据包标记对应的数据包发送至所述新增防火墙实例,以实现对防火墙实例的扩容。2.根据权利要求1所述的方法,其特征在于,所述第一防火墙实例对应的数据包标记的确定方式包括:计算所述第一防火墙实例的数量和所述空闲标记的数量的和值,以得到模数;基于所述模数、预设基数以及预设偏移量,对无标记数据包的源地址和目的地址进行哈希运算,得到第一哈希标记值,并根据所述空闲标记,从多个所述第一哈希标记值中,确定所述第一防火墙实例对应的数据包标记,其中,所述第一防火墙实例对应的数据包标记中不包含所述空闲标记。3.根据权利要求1所述的方法,其特征在于,在所述判断是否存在空闲标记之后,还包括:若不存在,则计算当前模数与新增防火墙实例的数量的和值,并将所述和值确定为第一目标模数,其中,所述当前模数与所述第一防火墙实例的数量一致;利用所述第一目标模数、预设基数以及预设偏移量,对无标记数据包的源地址和目的地址进行哈希运算,得到第二哈希标记值,并将所述第二哈希标记值确定为无标记数据包的第一数据包标记,并在多个所述第一数据包标记中,将与所述第一防火墙实例对应的数据包标记不同的数据包标记确定为新增标记;根据所述新增标记和所述新增实例标识,确定所述新增防火墙实例的第二路由规则;将多个所述第一数据包标记中,与所述第二路由规则中的新增标记相同的数据包标记确定为第二目标数据包标记,并将所述第二目标数据包标记对应的数据包发送至所述新增防火墙实例,以实现对防火墙实例的扩容。4.根据权利要求1
‑
3中任一项所述的方法,其特征在于,所述从所述空闲标记中确定目标标记,并根据所述目标标记和所述新增实例标识,确定所述新增防火墙实例的第一路由规则,包括:若所述空闲标记为多个,则根据预设策略,从多个所述空闲标记中确定目标标记,其中,所述目标标记的数量与所述新增防火墙实例的数量一致;建立所述目标标记和所述新增实例标识的对应关系,将所述对应关系确定为所述新增防火墙实例的第一路由规则。5.根据权利要求2所述的方法,其特征在于,还包括:
从所述第一防火墙实例中确定待删除防火墙实...
【专利技术属性】
技术研发人员:林东森,
申请(专利权)人:北京青云科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。