CN107872503B - 一种防火墙会话数监控方法及装置 - Google Patents
一种防火墙会话数监控方法及装置 Download PDFInfo
- Publication number
- CN107872503B CN107872503B CN201610975524.1A CN201610975524A CN107872503B CN 107872503 B CN107872503 B CN 107872503B CN 201610975524 A CN201610975524 A CN 201610975524A CN 107872503 B CN107872503 B CN 107872503B
- Authority
- CN
- China
- Prior art keywords
- saegw
- firewall
- quintuple
- session
- data transmission
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
Abstract
本发明提供了一种防火墙会话数监控方法及装置,所述方法包括:在新业务流产生时SAEGW创建SAEGW五元组,并同时创建防火墙五元组并将防火墙会话数加一,并将两个五元组关联;在业务数据暂停时间达到预设的SAEGW会话老化时间时,则老化所述SAEGW五元组,并解除其与所述防火墙五元组的关联;在业务数据传输恢复时,重新创建SAEGW五元组,并进行五元组关联;在业务数据传输结束时,释放两个五元组,并将所述防火墙会话数减一。如此,本发明在不增加网络设备、不调整网络结构的前提下,在SAEGW上通过监控SAEGW五元组指标达到监控防火墙会话数指标情况的目的,从而实现对防火墙的会话数指标的实时监控。
Description
技术领域
本发明涉及通信数据业务技术领域,尤其涉及一种防火墙会话数监控方法及装置。
背景技术
伴随LTE的商用与智能终端的普及,数据业务近年来得到了迅猛发展,数据核心网的瓶颈由用户数发展为单板、链路的转发能力,而随着QQ、微信、支付宝等应用“抢红包”业务的兴起,核心网设备的业务支持能力成了新的网络瓶颈,这其中核心网防火墙的会话数更是成为影响业务感知的一项重要参数。
在2G/3G网络时期,数据业务量小、业务类型单一,防火墙成为网络瓶颈概率极小,因此防火墙设备未采购专业网管,无法实时把控防火墙的重要性能指标,同时无法保存防火墙会话数等历史数据。在LTE网络大规模发展后,数据业务量呈爆炸式增长、业务类型复杂多变,目前防火墙会话数逐步发展为EPC网络主要瓶颈,需要重点关注,无专用网管给防火墙的实时监控与性能分析带来诸多不便,上述工作只能通过手动登录防火墙设备输入指令采集相关数据直接监控与通过第三方开发网管系统间接监控两种方式进行。
现有技术中,防火墙由于未接入专业网管,只能通过登陆防火墙以输入指令的形式进行会话数查询,对故障的发现排查与设备性能分析带来诸多不便:如防火墙的用户会话数等指标只能实时通过指令查看,不能存储、回顾与分析,对故障的发现和排查造成了一定的滞后性;由于防火墙会话数只能实时查询,无法保存一定时期的历史数据进行统计分析,无法掌握一段时间内的防火墙业务波动情况,更无法对防火墙相关性能指标进行全面把控;即使通过外部接口采集防火墙某些数据,在第三方网管系统上呈现防火墙会话数等指标的方式,也存在投资成本高、数据可能滞后且不准确的问题。
发明内容
针对现有技术的缺陷,本发明提供了一种防火墙会话数监控方法及装置,能够解决现有技术中只能通过登陆防火墙以输入指令的形式进行会话数查询,对故障的发现排查与设备性能分析带来诸多不便的问题。
第一方面,本发明提供了一种防火墙会话数监控方法,所述方法包括:
在新业务流产生时,系统结构演进网关SAEGW创建与SAEGW会话对应的SAEGW五元组,同时创建与防火墙会话对应的防火墙五元组并将防火墙会话数加一,并将所述SAEGW五元组与所述防火墙五元组进行关联;
在业务数据传输暂停时,若暂停时间达到预设的SAEGW会话老化时间,则老化所述SAEGW会话并释放所述SAEGW五元组,并解除所述SAEGW五元组与所述防火墙五元组的关联;
在所述业务数据传输恢复时,重新创建SAEGW五元组,并将所述SAEGW五元组与所述防火墙五元组进行关联;
在业务数据传输结束时,释放所述SAEGW五元组及所述防火墙五元组,并将所述防火墙会话数减一。
可选地,所述方法还包括:
在业务数据传输暂停时,若暂停时间达到预设的防火墙会话老化时间,则老化所述防火墙会话,并将所述防火墙会话数减一;
其中,所述预设的防火墙会话老化时间大于所述预设的SAEGW会话老化时间。
可选地,所述方法还包括:
基于业务数据传输过程,根据SAEGW五元组的数量获得所述SAEGW产生的总防火墙会话数。
可选地,所述基于业务数据传输过程,根据SAEGW五元组的数量获得所述SAEGW产生的总防火墙会话数,包括:
采用公式一计算得到所述SAEGW产生的总防火墙会话数:
其中,t=1,2,3,…;zT为在第T秒所述SAEGW产生的总防火墙会话数;xt为第t秒新建的SAEGW五元组数量;yt为业务流存在的情况下,业务数据传输暂停时间超过SAEGW会话老化时间TGW且数据传输恢复,SAEGW为继续数据传输在第t秒重新建立的SAEGW五元组数量;当t<TGW时,yt=0;k为业务数据传输暂停时间超过防火墙会话老化时间TFW,导致防火墙五元组和防火墙会话均老化,业务流中断的SAEGW五元组减少数量;当t<TFW时,k=0;l为业务数据传输结束后服务器或终端拆链引起的SAEGW五元组减少数量。
可选地,所述方法还包括:
根据所述SAEGW产生的总防火墙会话数、防火墙的总会话能力、防火墙每秒并发会话数及防火墙同时对接的SAEGW的数量,采用公式二及公式三分别计算得到所述SAEGW的总会话数利用率及每秒并发会话数利用率:
在所述总会话数利用率超过第一预设阈值或者所述每秒并发会话数利用率超过第二预设阈值时,触发告警信息;
其中,Ma为与所述SAEGW对接的防火墙的总会话能力;Mb为该防火墙每秒并发会话数;n为该防火墙同时对接的SAEGW的数量。
可选地,所述方法还包括:
按照一定的时间粒度对预设时间段内的防火墙总会话数zT与防火墙每秒并发会话数(xt-yt)进行数据呈现。
第二方面,本发明提供了一种防火墙会话数监控装置,所述装置包括:
五元组关联单元,用于在新业务流产生时,创建与SAEGW会话对应的SAEGW五元组,同时创建与防火墙会话对应的防火墙五元组并将防火墙会话数加一,并将所述SAEGW五元组与所述防火墙五元组进行关联;
第一会话老化单元,用于在业务数据传输暂停时,若暂停时间达到预设的SAEGW会话老化时间,则老化所述SAEGW会话并释放所述SAEGW五元组,并解除所述SAEGW五元组与所述防火墙五元组的关联;
五元组重建单元,用于在所述业务数据传输恢复时,重新创建SAEGW五元组,并将所述SAEGW五元组与所述防火墙五元组进行关联;
五元组释放单元,用于在业务数据传输结束时,释放所述SAEGW五元组及所述防火墙五元组,并将所述防火墙会话数减一。
可选地,所述装置还包括:第二会话老化单元,用于:
在业务数据传输暂停时,若暂停时间达到预设的防火墙会话老化时间,则老化所述防火墙会话,并将所述防火墙会话数减一;
其中,所述预设的防火墙会话老化时间大于所述预设的SAEGW会话老化时间。
可选地,所述装置还包括:会话数统计单元,用于:
基于业务数据传输过程,根据SAEGW五元组的数量获得所述SAEGW产生的总防火墙会话数。
可选地,所述会话数统计单元,具体用于:
采用公式一计算得到所述SAEGW产生的总防火墙会话数:
其中,t=1,2,3,…;zT为在第T秒所述SAEGW产生的总防火墙会话数;xt为第t秒新建的SAEGW五元组数量;yt为业务流存在的情况下,业务数据传输暂停时间超过SAEGW会话老化时间TGW且数据传输恢复,SAEGW为继续数据传输在第t秒重新建立的SAEGW五元组数量;当t<TGW时,yt=0;k为业务数据传输暂停时间超过防火墙会话老化时间TFW,导致防火墙五元组和防火墙会话均老化,业务流中断的SAEGW五元组减少数量;当t<TFW时,k=0;l为业务数据传输结束后服务器或终端拆链引起的SAEGW五元组减少数量。
由上述技术方案可知,本发明提供一种防火墙会话数监控方法及装置,在新业务流产生时SAEGW创建SAEGW五元组,并同时创建防火墙五元组并将防火墙会话数加一,并将所述SAEGW五元组与所述防火墙五元组进行关联,从而在业务数据暂停时将暂停时间与SAEGW会话老化时间进行比较,以判定是否对会话老化并解除五元组关联,在业务数据传输恢复时,在不存在SAEGW五元组时重新创建SAEGW五元组,并进行五元组关联,而在业务数据传输结束时,释放所述SAEGW五元组及所述防火墙五元组,并并将所述防火墙会话数减一。如此,本发明在不增加网络设备、不调整网络结构的前提下,分析防火墙会话的产生机制,提出了构建SAEGW五元组和防火墙会话的相互关系,进而通过监控SAEGW五元组指标达到监控防火墙会话数指标情况的目的,从而实现对防火墙的会话数指标的实时监控。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些图获得其他的附图。
图1是本发明一实施例提供的防火墙会话数监控方法的流程示意图;
图2是本发明另一实施例提供的防火墙会话数监控方法的流程示意图;
图3是本发明一实施例提供的防火墙会话数监控方装置的结构示意图;
图4是本发明一实施例提供的防火墙会话数监控方设备的结构框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1是本发明一实施例中的一种防火墙会话数监控方法的流程示意图,本实施例的执行主体为系统结构演进网关(System Architecture Evolution Gate Way,简称SAEGW),如图1所示,所述方法包括如下步骤:
S101:在新业务流产生时,系统结构演进网关SAEGW创建与SAEGW会话对应的SAEGW五元组,同时创建与防火墙会话对应的防火墙五元组并将防火墙会话数加一,并将所述SAEGW五元组与所述防火墙五元组进行关联。
需要说明的是,SAEGW会话和防火墙会话均在上述新的业务流产生时触发产生,两者侧重点不同,两者的差异与设备的具体功能有关。SAEGW更侧重于信令、计费业务的管理,而防火墙更侧重于数据转发的管理,应用功能的侧重不同导致了会话差异。相应地,SAEGW五元组为业务协议识别、计费、控制的五元组;防火墙五元组为防火墙会话对应的五元组。
其中,五元组包括:协议、源地址、源端口、目的地址及目的端口,每个五元组信息可以唯一表示一条会话。
具体地,在新业务流产生时,如SAEGW接收到终端UE发送的业务请求时,会触发产生SAEGW会话和防火墙会话,则SAEGW创建SAEGW五元组,并同时创建防火墙五元组,且将防火墙会话数加一,并将所述SAEGW五元组与所述防火墙五元组进行关联。进一步地,SAEGW对该业务对应的协议进行识别,以进行业务数据传输。
可理解地,在业务数据传输中所述SAEGW五元组与所述防火墙五元组均不会被老化。
S102:在业务数据传输暂停时,若暂停时间达到预设的SAEGW会话老化时间,则老化所述SAEGW会话并释放所述SAEGW五元组,并解除所述SAEGW五元组与所述防火墙五元组的关联。
具体地,在业务数据传输暂停时,计时器开始计时以获得暂停时间,并将暂停时间与预设的SAEGW会话老化时间进行比较,而当暂停时间达到预设的SAEGW会话老化时间时,则SAEGW会话老化,此时SAEGW会话数减一,且接触SAEGW五元组与所述防火墙五元组的关联,并释放SAEGW五元组。
可理解地,若暂停时间并未达到预设的SAEGW会话老化时间,则无需执行老化所述SAEGW会话并释放所述SAEGW五元组并解除所述SAEGW五元组与所述防火墙五元组的关联的步骤,且保持SAEGW会话数及防火墙会话数不变。
需要说明的是,还需将暂停时间与预设的防火墙会话老化时间进行比较,而由于防火墙会话老化时间比较长,暂停时间一般小于防火墙会话老化时间,则无需对防火墙会话进行老化,且SAEGW上记录的防火墙会话数保持不变。
S103:在所述业务数据传输恢复时,重新创建SAEGW五元组,并将所述SAEGW五元组与所述防火墙五元组进行关联。
具体地,由于步骤S102中老化所述SAEGW会话并释放所述SAEGW五元组,则在上述业务数据传输恢复时,需要重新创建SAEGW五元组,并将重新创建的SAEGW五元组与上述防火墙五元组重新进行关联,并继续进行业务数据传输。
可理解地,此过程中SAEGW五元组及防火墙五元组均不能老化,则SAEGW上记录的防火墙会话数保持不变。
S104:在业务数据传输结束时,释放所述SAEGW五元组及所述防火墙五元组,并将所述防火墙会话数减一。
具体地,业务数据传输结束后,所述SAEGW五元组及所述防火墙五元组均老化释放,SAEGW会话减一,相应地SAEGW上记录的防火墙会话数减一。
本实施例中根据SAEGW会话和防火墙会话的产生机制,将SAEGW会话对应的SAEGW五元组与防火墙会话对应的防火墙五元组进行关联。虽然SAEGW会话与防火墙会话具有相同的五元组表示模型,但涉及到整个会话机制两者仍然存在较大差异,主要包括以下几点:
1、组成规模的不同
目前现网组网结构为多台SAEGW业务汇聚到一台防火墙上,因此某台SAEGW的会话数通常只是该SAEGW所对应防火墙会话数的一部分。
2、创建机制的不同
SAEGW会话与防火墙会话虽然都是由数据流创建触发,但其侧重点各不相同。该差异与设备的具体功能有关,SAEGW更侧重信令、计费业务的管理,而防火墙则侧重于数据转发的管理,应用功能的侧重不同导致了会话差异。
3、关闭机制的不同
任何会话都存在老化机制,即没有数据流传输后将开启老化定时器,定时器超时后仍无数据流则该会话资源释放。由于SAEGW会话需要根据业务计费和控制策略及时的回收资源,而防火墙会话则需要有足够的时间放行数据和判断异常,因此两者老化时间的设置并不一致,正常情况下防火墙上设置的会话老化时间远大于SAEGW上设置的会话老化时间。
因此,本实施例中提出一种在SAEGW上利用由相关话务统计的五元组信息构建无话务的防火墙会话信息的方案。具体通过在SAEGW上增加SAEGW五元组信息及防火墙五元组,以在数据传输过程中通过SAEGW五元组构建与防火墙会话对应的防火墙五元组的相互关系,从而通过SAEGW五元组数量统计间接反映防火墙会话数指标情况。
本实施例中,在新业务流产生时SAEGW创建SAEGW五元组,并同时创建防火墙五元组并更新防火墙会话数,并将所述SAEGW五元组与所述防火墙五元组进行关联,从而在业务数据暂停时将暂停时间与SAEGW会话老化时间进行比较,以判定是否对会话老化并解除五元组关联,在业务数据传输恢复时,在不存在SAEGW五元组时重新创建SAEGW五元组,并进行五元组关联,而在业务数据传输结束时,释放所述SAEGW五元组及所述防火墙五元组,并更新所述防火墙会话数。如此,本实施例在不增加网络设备、不调整网络结构的前提下,分析防火墙会话的产生机制,提出了构建SAEGW五元组和防火墙会话的相互关系,进而通过监控SAEGW五元组指标达到监控防火墙会话数指标情况的目的,从而实现对防火墙的会话数指标的实时监控。
与现有技术相比,本实施例中构建了EPC核心网设备SAEGW与数通设备防火墙关于五元组与会话之间的相互关系,通过将易于观察且纳入集中性能和集中告警平台的SAEGW设备的五元组数指标来间接反映不易于观察且未纳入集中性能和集中告警平台的防火墙的会话数指标,便于对该重要指标进行实时监控与性能分析。
在本发明的一个可选实施例中,如图2所示,防火墙会话数监控方法具体包括如下步骤:
S201:在新业务流产生时,系统结构演进网关SAEGW创建与SAEGW会话对应的SAEGW五元组,同时创建与防火墙会话对应的防火墙五元组并将防火墙会话数加一,并将所述SAEGW五元组与所述防火墙五元组进行关联。
可理解地,本步骤与上述实施例中的步骤S101一致,在此不再赘述。
S202:在业务数据传输暂停时,若暂停时间达到预设的SAEGW会话老化时间,则老化所述SAEGW会话并释放所述SAEGW五元组,并解除所述SAEGW五元组与所述防火墙五元组的关联。
可理解地,本步骤与上述实施例中的步骤S102一致,在此不再赘述。
S203:若暂停时间达到预设的防火墙会话老化时间,则老化所述防火墙会话,并将所述防火墙会话数减一。
其中,所述预设的防火墙会话老化时间大于所述预设的SAEGW会话老化时间。
本实施例中,暂停时间超过预设的SAEGW会话老化时间,且超过预设的防火墙会话老化时间,则导致SAEGW会话及防火墙会话均老化,此时业务流中断。
进一步地,在本发明的一个可选实施例中,所述方法还包括如下步骤:
S105:基于业务数据传输过程,根据SAEGW五元组的数量获得所述SAEGW产生的总防火墙会话数。
具体地,基于上述实施例中各步骤的方法可进行数学建模,以根据SAEGW五元组的数量实时统计防火墙会话数。
进一步地,所述S105,具体包括:
采用公式(1)计算得到所述SAEGW产生的总防火墙会话数:
其中,t=1,2,3,…;zT为在第T秒所述SAEGW产生的总防火墙会话数;xt为第t秒新建的SAEGW五元组数量;yt为业务流存在的情况下,业务数据传输暂停时间超过SAEGW会话老化时间TGW且数据传输恢复,SAEGW为继续数据传输在第t秒重新建立的SAEGW五元组数量;当t<TGW时,yt=0;k为业务数据传输暂停时间超过防火墙会话老化时间TFW,导致防火墙五元组和防火墙会话均老化,业务流中断的SAEGW五元组减少数量;当t<TFW时,k=0;l为业务数据传输结束后服务器或终端拆链(将SAEGW五元组与防火墙五元组均释放)引起的SAEGW五元组减少数量。
如此,本实施例根据上述实施例中各步骤的方法进行数学建模得到公式(1),使得在SAEGW上即可实时监控两项防火墙的重要性能统计:防火墙总会话数zt与防火墙每秒并发会话数xt-yt,而无需增加网络设备或者调整网络结构,为故障的发现排查与设备性能分析带来诸多便利。
进一步地,在本发明的一个可选实施例中,所述步骤S105之后,所述方法还包括如下步骤:
S106:根据所述SAEGW产生的总防火墙会话数、防火墙的总会话能力、防火墙每秒并发会话数及防火墙同时对接的SAEGW的数量,采用公式(2)及公式(3)分别计算得到所述SAEGW的总会话数利用率及每秒并发会话数利用率:
其中,Ma为与所述SAEGW对接的防火墙的总会话能力;Mb为该防火墙每秒并发会话数;n为该防火墙同时对接的SAEGW的数量。
S107:在所述总会话数利用率超过第一预设阈值或者所述每秒并发会话数利用率超过第二预设阈值时,触发告警信息。
如此,本实施例通过获得SAEGW的总会话利用率与每秒并发会话数利用率,则当该SAEGW上的总会话利用率或者每秒并发会话数利用率超过预设阈值时,可以触发相关警告,提示运维人员关注业务增加情况,以及时进行网络调整。
在本发明的一个可选实施例中,所述步骤S105之后,所述方法还包括如下步骤:
S106’:按照一定的时间粒度对预设时间段内的防火墙总会话数zT与防火墙每秒并发会话数(xt-yt)进行数据呈现。
本实施例中,按照一定的时间粒度对某段时间内的防火墙总会话数及每秒并发会话数进行性能统计与数据呈现,便于运维人员开展业务分析与性能评估。
图3是本发明一实施例中的一种防火墙会话数监控装置的结构示意图,如图3所示,所述装置包括:五元组关联单元301、第一会话老化单元302、五元组重建单元303及五元组释放单元304。其中:
五元组关联单元301用于在新业务流产生时,创建与SAEGW会话对应的SAEGW五元组,同时创建与防火墙会话对应的防火墙五元组并将防火墙会话数加一,并将所述SAEGW五元组与所述防火墙五元组进行关联;第一会话老化单元302用于在业务数据传输暂停时,若暂停时间达到预设的SAEGW会话老化时间,则老化所述SAEGW会话并释放所述SAEGW五元组,并解除所述SAEGW五元组与所述防火墙五元组的关联;五元组重建单元303用于在所述业务数据传输恢复时,重新创建SAEGW五元组,并将所述SAEGW五元组与所述防火墙五元组进行关联;五元组释放单元304用于在业务数据传输结束时,释放所述SAEGW五元组及所述防火墙五元组304并将所述防火墙会话数减一。
本实施例中,五元组关联单元301在新业务流产生时SAEGW创建SAEGW五元组,并同时创建防火墙五元组并将防火墙会话数加一,并将所述SAEGW五元组与所述防火墙五元组进行关联,第一会话老化单元302在业务数据暂停时将暂停时间与SAEGW会话老化时间进行比较,以判定是否对会话老化并解除五元组关联,五元组重建单元303在业务数据传输恢复时,在不存在SAEGW五元组时重新创建SAEGW五元组,并进行五元组关联,而五元组释放单元304在业务数据传输结束时,释放所述SAEGW五元组及所述防火墙五元组,并将所述防火墙会话数减一。如此,本实施例在不增加网络设备、不调整网络结构的前提下,分析防火墙会话的产生机制,提出了构建SAEGW五元组和防火墙会话的相互关系,进而通过监控SAEGW五元组指标达到监控防火墙会话数指标情况的目的,从而实现对防火墙的会话数指标的实时监控。
在本发明的一个可选实施例中,所述装置还包括:第二会话老化单元,用于:
在业务数据传输暂停时,若暂停时间达到预设的防火墙会话老化时间,则老化所述防火墙会话,并将所述防火墙会话数减一;
其中,所述预设的防火墙会话老化时间大于所述预设的SAEGW会话老化时间。
在本发明的一个可选实施例中,所述装置还包括:会话数统计单元,用于:
基于业务数据传输过程,根据SAEGW五元组的数量获得所述SAEGW产生的总防火墙会话数。
进一步地,所述会话数统计单元,具体用于:
采用公式(1)计算得到所述SAEGW产生的总防火墙会话数:
其中,t=1,2,3,...;zT为在第T秒所述SAEGW产生的总防火墙会话数;xt为第t秒新建的SAEGW五元组数量;yt为业务流存在的情况下,业务数据传输暂停时间超过SAEGW会话老化时间TGW且数据传输恢复,SAEGW为继续数据传输在第t秒重新建立的SAEGW五元组数量;当t<TGW时,yt=0;k为业务数据传输暂停时间超过防火墙会话老化时间TFW,导致防火墙五元组和防火墙会话均老化,业务流中断的SAEGW五元组减少数量;当t<TFW时,k=0;l为业务数据传输结束后服务器或终端拆链引起的SAEGW五元组减少数量。
在本发明的一个可选实施例中,所述装置还包括:告警单元,用于:
根据所述SAEGW产生的总防火墙会话数、防火墙的总会话能力、防火墙每秒并发会话数及防火墙同时对接的SAEGW的数量,采用公式(2)及公式(3)分别计算得到所述SAEGW的总会话数利用率及每秒并发会话数利用率:
在所述总会话数利用率超过第一预设阈值或者所述每秒并发会话数利用率超过第二预设阈值时,触发告警信息;
其中,Ma为与所述SAEGW对接的防火墙的总会话能力;Mb为该防火墙每秒并发会话数;n为该防火墙同时对接的SAEGW的数量。
在本发明的一个可选实施例中,所述装置还包括:呈现单元,用于:
按照一定的时间粒度对预设时间段内的防火墙总会话数zT与防火墙每秒并发会话数(xt-yt)进行数据呈现。
对于装置实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
图4是本发明一实施例中的一种防火墙会话数监控设备的结构框图。
参照图4,所述邻区优化设备,包括:处理器(processor)401、存储器(memory)402、通信接口(Communications Interface)403和通信总线404;其中,
所述处理器401、存储器402、通信接口403通过所述通信总线404完成相互间的通信;
所述通信接口403用于防火墙会话数监控设备与服务器或终端之间的信息传输;
所述处理器401用于调用所述存储器402中的程序指令,以执行上述各方法实施例所提供的方法,例如包括:在新业务流产生时,系统结构演进网关SAEGW创建与SAEGW会话对应的SAEGW五元组,同时创建与防火墙会话对应的防火墙五元组并将防火墙会话数加一,并将所述SAEGW五元组与所述防火墙五元组进行关联;在业务数据传输暂停时,若暂停时间达到预设的SAEGW会话老化时间,则老化所述SAEGW会话并释放所述SAEGW五元组,并解除所述SAEGW五元组与所述防火墙五元组的关联;在所述业务数据传输恢复时,重新创建SAEGW五元组,并将所述SAEGW五元组与所述防火墙五元组进行关联;在业务数据传输结束时,释放所述SAEGW五元组及所述防火墙五元组,并将所述防火墙会话数减一。
本发明一实施例公开一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法实施例所提供的方法,例如包括:在新业务流产生时,系统结构演进网关SAEGW创建与SAEGW会话对应的SAEGW五元组,同时创建与防火墙会话对应的防火墙五元组并将防火墙会话数加一,并将所述SAEGW五元组与所述防火墙五元组进行关联;在业务数据传输暂停时,若暂停时间达到预设的SAEGW会话老化时间,则老化所述SAEGW会话并释放所述SAEGW五元组,并解除所述SAEGW五元组与所述防火墙五元组的关联;在所述业务数据传输恢复时,重新创建SAEGW五元组,并将所述SAEGW五元组与所述防火墙五元组进行关联;在业务数据传输结束时,释放所述SAEGW五元组及所述防火墙五元组,并将所述防火墙会话数减一。
本发明一实施例提供一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行上述各方法实施例所提供的方法,例如包括:在新业务流产生时,系统结构演进网关SAEGW创建与SAEGW会话对应的SAEGW五元组,同时创建与防火墙会话对应的防火墙五元组并将防火墙会话数加一,并将所述SAEGW五元组与所述防火墙五元组进行关联;在业务数据传输暂停时,若暂停时间达到预设的SAEGW会话老化时间,则老化所述SAEGW会话并释放所述SAEGW五元组,并解除所述SAEGW五元组与所述防火墙五元组的关联;在所述业务数据传输恢复时,重新创建SAEGW五元组,并将所述SAEGW五元组与所述防火墙五元组进行关联;在业务数据传输结束时,释放所述SAEGW五元组及所述防火墙五元组,并将所述防火墙会话数减一。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所描述的显示装置的测试设备等实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种防火墙会话数监控方法,其特征在于,所述方法包括:
在新业务流产生时,系统结构演进网关SAEGW创建与SAEGW会话对应的SAEGW五元组,同时创建与防火墙会话对应的防火墙五元组并将防火墙会话数加一,并将所述SAEGW五元组与所述防火墙五元组进行关联;
在业务数据传输暂停时,若暂停时间达到预设的SAEGW会话老化时间,则老化所述SAEGW会话并释放所述SAEGW五元组,并解除所述SAEGW五元组与所述防火墙五元组的关联;
在所述业务数据传输恢复时,重新创建SAEGW五元组,并将所述SAEGW五元组与所述防火墙五元组进行关联;
在业务数据传输结束时,释放所述SAEGW五元组及所述防火墙五元组,并将所述防火墙会话数减一。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在业务数据传输暂停时,若暂停时间达到预设的防火墙会话老化时间,则老化所述防火墙会话,并将所述防火墙会话数减一;
其中,所述预设的防火墙会话老化时间大于所述预设的SAEGW会话老化时间。
3.根据权利要求1或2所述的方法,其特征在于,所述方法还包括:
基于业务数据传输过程,根据SAEGW五元组的数量获得所述SAEGW产生的总防火墙会话数。
4.根据权利要求3所述的方法,其特征在于,所述基于业务数据传输过程,根据SAEGW五元组的数量获得所述SAEGW产生的总防火墙会话数,包括:
采用公式一计算得到所述SAEGW产生的总防火墙会话数:
其中,t=1,2,3,...;zT为在第T秒所述SAEGW产生的总防火墙会话数;xt为第t秒新建的SAEGW五元组数量;yt为业务流存在的情况下,业务数据传输暂停时间超过SAEGW会话老化时间TGW且数据传输恢复,SAEGW为继续数据传输在第t秒重新建立的SAEGW五元组数量;当t<TGW时,yt=0;k为业务数据传输暂停时间超过防火墙会话老化时间TFW,导致防火墙五元组和防火墙会话均老化,业务流中断的SAEGW五元组减少数量;当t<TFW时,k=0;l为业务数据传输结束后服务器或终端拆链引起的SAEGW五元组减少数量。
6.根据权利要求4所述的方法,其特征在于,所述方法还包括:
按照一定的时间粒度对预设时间段内的防火墙总会话数zT与防火墙每秒并发会话数(xt-yt)进行数据呈现。
7.一种防火墙会话数监控装置,其特征在于,所述装置包括:
五元组关联单元,用于在新业务流产生时,创建与SAEGW会话对应的SAEGW五元组,同时创建与防火墙会话对应的防火墙五元组并将防火墙会话数加一,并将所述SAEGW五元组与所述防火墙五元组进行关联;
第一会话老化单元,用于在业务数据传输暂停时,若暂停时间达到预设的SAEGW会话老化时间,则老化所述SAEGW会话并释放所述SAEGW五元组,并解除所述SAEGW五元组与所述防火墙五元组的关联;
五元组重建单元,用于在所述业务数据传输恢复时,重新创建SAEGW五元组,并将所述SAEGW五元组与所述防火墙五元组进行关联;
五元组释放单元,用于在业务数据传输结束时,释放所述SAEGW五元组及所述防火墙五元组,并将所述防火墙会话数减一。
8.根据权利要求7所述的装置,其特征在于,所述装置还包括:第二会话老化单元,用于:
在业务数据传输暂停时,若暂停时间达到预设的防火墙会话老化时间,则老化所述防火墙会话,并将所述防火墙会话数减一;
其中,所述预设的防火墙会话老化时间大于所述预设的SAEGW会话老化时间。
9.根据权利要求7或8所述的装置,其特征在于,所述装置还包括:会话数统计单元,用于:
基于业务数据传输过程,根据SAEGW五元组的数量获得所述SAEGW产生的总防火墙会话数。
10.根据权利要求9所述的装置,其特征在于,所述会话数统计单元,具体用于:
采用公式一计算得到所述SAEGW产生的总防火墙会话数:
其中,t=1,2,3,...;zT为在第T秒所述SAEGW产生的总防火墙会话数;xt为第t秒新建的SAEGW五元组数量;yt为业务流存在的情况下,业务数据传输暂停时间超过SAEGW会话老化时间TGW且数据传输恢复,SAEGW为继续数据传输在第t秒重新建立的SAEGW五元组数量;当t<TGW时,yt=0;k为业务数据传输暂停时间超过防火墙会话老化时间TFW,导致防火墙五元组和防火墙会话均老化,业务流中断的SAEGW五元组减少数量;当t<TFW时,k=0;l为业务数据传输结束后服务器或终端拆链引起的SAEGW五元组减少数量。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610975524.1A CN107872503B (zh) | 2016-11-07 | 2016-11-07 | 一种防火墙会话数监控方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610975524.1A CN107872503B (zh) | 2016-11-07 | 2016-11-07 | 一种防火墙会话数监控方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107872503A CN107872503A (zh) | 2018-04-03 |
CN107872503B true CN107872503B (zh) | 2020-08-14 |
Family
ID=61761312
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610975524.1A Active CN107872503B (zh) | 2016-11-07 | 2016-11-07 | 一种防火墙会话数监控方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107872503B (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109743314A (zh) * | 2018-12-29 | 2019-05-10 | 杭州迪普科技股份有限公司 | 网络异常的监控方法、装置、计算机设备及其存储介质 |
CN112291797B (zh) * | 2019-07-11 | 2022-08-30 | 中国移动通信集团湖南有限公司 | 一种数据的处理方法、装置及电子设备 |
CN114124942B (zh) * | 2020-08-10 | 2023-08-15 | 中国移动通信集团湖南有限公司 | 核心网资源调度方法、装置及电子设备 |
CN115086056B (zh) * | 2022-06-27 | 2023-07-14 | 北京经纬恒润科技股份有限公司 | 一种车载以太网防火墙分类统计方法、装置和设备 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6823378B2 (en) * | 2000-12-18 | 2004-11-23 | International Business Machines Corporation | Method and apparatus in network management system for performance-based network protocol layer firewall |
CA2886055A1 (en) * | 2012-09-28 | 2014-04-03 | Adventium Enterprises, Llc | Virtual machine services |
CN103973671A (zh) * | 2014-04-09 | 2014-08-06 | 汉柏科技有限公司 | 一种局域网防火墙用户数接入的控制方法及装置 |
CN104539586A (zh) * | 2014-12-08 | 2015-04-22 | 中兴通讯股份有限公司 | 会话管理方法和装置 |
CN105141591A (zh) * | 2015-08-03 | 2015-12-09 | 汉柏科技有限公司 | 防火墙最大并发连接数量的获取方法及系统 |
CN105592001A (zh) * | 2014-10-20 | 2016-05-18 | 中国移动通信集团广东有限公司 | 一种Gi防火墙负荷分担组网的方法、装置及系统 |
-
2016
- 2016-11-07 CN CN201610975524.1A patent/CN107872503B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6823378B2 (en) * | 2000-12-18 | 2004-11-23 | International Business Machines Corporation | Method and apparatus in network management system for performance-based network protocol layer firewall |
CA2886055A1 (en) * | 2012-09-28 | 2014-04-03 | Adventium Enterprises, Llc | Virtual machine services |
CN103973671A (zh) * | 2014-04-09 | 2014-08-06 | 汉柏科技有限公司 | 一种局域网防火墙用户数接入的控制方法及装置 |
CN105592001A (zh) * | 2014-10-20 | 2016-05-18 | 中国移动通信集团广东有限公司 | 一种Gi防火墙负荷分担组网的方法、装置及系统 |
CN104539586A (zh) * | 2014-12-08 | 2015-04-22 | 中兴通讯股份有限公司 | 会话管理方法和装置 |
CN105141591A (zh) * | 2015-08-03 | 2015-12-09 | 汉柏科技有限公司 | 防火墙最大并发连接数量的获取方法及系统 |
Non-Patent Citations (1)
Title |
---|
一个基于访问控制列表的会话数受限防火墙系统的设计与实现;柯舒恒;《中国优秀硕士学位论文数据库(电子期刊)》;20130731;全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN107872503A (zh) | 2018-04-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107872503B (zh) | 一种防火墙会话数监控方法及装置 | |
EP2661020B1 (en) | Adaptive monitoring of telecommunications networks | |
US10339456B2 (en) | Machine learning-based troubleshooting of VoLTE calls | |
EP3436951B1 (en) | Systems and methods for measuring effective customer impact of network problems in real-time using streaming analytics | |
US9853867B2 (en) | Method and apparatus to determine network quality | |
US9680722B2 (en) | Method for determining a severity of a network incident | |
US11463866B2 (en) | Location change reporting method, device, and system | |
US20150019916A1 (en) | System and method for identifying problems on a network | |
DE102006001998A1 (de) | Werkzeuge, Verfahren und Systeme zum entfernten Speichern und Wiedererlangen von Detailaufzeichnungen in Anbetracht eines spezifischen Anrufs oder einer Datensitzung | |
CN107204894A (zh) | 网络业务质量的监控方法及装置 | |
WO2012041060A1 (zh) | 一种无线数据业务分类方法及装置 | |
CN112312427A (zh) | 一种优化网络质量的方法和电子设备 | |
US10708155B2 (en) | Systems and methods for managing network operations | |
WO2015003551A1 (zh) | 网络测试方法及其数据采集方法、网络测试装置及系统 | |
WO2015081685A1 (zh) | 业务质量的处理方法及装置 | |
US20140171021A1 (en) | Method and apparatus for optimizing delivery of network usage and billing data | |
CN105722139A (zh) | 一种基于pcc架构的信令风暴管理方法和装置 | |
CN109150794B (zh) | 一种VoLTE语音业务质量分析处理方法及装置 | |
CN108271189A (zh) | 一种业务质量监测方法和装置 | |
CN110784358A (zh) | 网络调用关系拓扑图的构建方法及装置 | |
CN104539482A (zh) | 融合通信网络监测管理系统 | |
CN108989137B (zh) | 端到端通信的时延测量方法及装置、计算机可读存储介质 | |
US20190364532A1 (en) | Characterization of a geographical location in a wireless network | |
Xu et al. | Minimizing multi-controller deployment cost in software-defined networking | |
CN109936526B (zh) | 一种确定语音质量的方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |