CN112217902B - 一种防火墙数据同步方法及装置 - Google Patents
一种防火墙数据同步方法及装置 Download PDFInfo
- Publication number
- CN112217902B CN112217902B CN202011141455.7A CN202011141455A CN112217902B CN 112217902 B CN112217902 B CN 112217902B CN 202011141455 A CN202011141455 A CN 202011141455A CN 112217902 B CN112217902 B CN 112217902B
- Authority
- CN
- China
- Prior art keywords
- data
- firewall
- rule
- configuration
- difference
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1095—Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供了防火墙数据同步方法及装置,获取预先配置在openstack云平台的第一防火墙数据,获取预先下发至SDN控制器一侧的第二防火墙数据;比对第一防火墙数据和第二防火墙数据,确定第二防火墙数据相对于第一防火墙数据的防火墙差异数据,防火墙差异数据包括第二配置数据相对于第一配置数据的配置差异数据、第二策略数据相对于第一策略数据的策略差异数据和第二规则数据相对于第一规则数据的规则差异数据;基于防火墙差异数据,更新SDN控制器一侧的第二防火墙数据。能够实现同步openstack云平台和SDN控制器的防火墙数据,相比于人工手动操作,提高了同步防火墙数据的效率和准确率。
Description
技术领域
本发明涉及软件定义网络技术领域,特别是涉及一种防火墙数据同步方法及装置。
背景技术
随着云计算的普及,基于openstack的开源云管平台越来越多的被使用于各个设备厂商云计算解决方案中。Neutron是openstack项目中负责提供网络服务的组件,它基于软件定义网络的思想,实现了网络虚拟化下的资源管理。Neutron常被用于通过插件对接厂商的SDN控制器,以实现对网络设备的可编程管理。
其中FwaaS作为Neutron中的配置防火墙的插件,通过调用SDN控制器的北向接口来实现防火墙策略、规则、虚拟资源的配置下发。
但是若调用北向RestAPI接口下发数据出现异常,会导致openstack平台侧与SDN控制器侧的防火墙数据出现差异,再次通过北向接口下发配置数据往往会出错。
由于目前各厂家的北向RestAPI接口并不统一,目前openstack官方或者第三方平台均不支持FwaaS的数据同步功能。当openstack通过北向接口下发配置数据给SDN控制器时,如果出现异常,会标识出当前数据的状态为ERROR或者PENDING_UPDATE状态。这种情况下,需要用户手动在SDN控制器上删除残留配置数据,然后再次通过OpenStack WEB前台下发配置数据。然而,手动删除防火墙配置不仅效率低,而且在数据量比较大的情况下,容易造成数据错误导致出现更为复杂的问题,影响防火墙的功能。
发明内容
本发明实施例的目的在于提供一种防火墙数据同步方法及装置,以实现同步openstack云平台和SDN控制器的防火墙数据。具体技术方案如下:
为实现上述目的,本发明实施例提供了一种防火墙数据同步方法,所述方法包括:
获取预先配置在openstack云平台的第一防火墙数据,所述第一防火墙数据包括第一配置数据、第一策略数据和第一规则数据;获取预先下发至软件定义网络SDN控制器一侧的第二防火墙数据,所述第二防火墙数据包括第二配置数据、第二策略数据和第二规则数据;
比对所述第一防火墙数据和第二防火墙数据,确定所述第二防火墙数据相对于所述第一防火墙数据的防火墙差异数据,所述防火墙差异数据包括所述第二配置数据相对于第一配置数据的配置差异数据、所述第二策略数据相对于所述第一策略数据的策略差异数据和所述第二规则数据相对于所述第一规则数据的规则差异数据;
基于所述防火墙差异数据,更新所述SDN控制器一侧的第二防火墙数据。
可选的,所述获取openstack云平台的第一防火墙数据,包括:
从所述openstack云平台中FwaaS插件提供的数据库接口获取所述第一防火墙数据;
所述获取SDN控制器的第二防火墙数据,包括:
从所述SDN控制器的北向RestAPI接口获取所述第二防火墙数据。
可选的,所述第一防火墙数据由配置在openstack云平台的目标租户的防火墙数据构成;所述第二防火墙数据由下发至SDN控制器一侧的目标租户的防火墙数据构成;所述目标租户为接入所述openstack云平台的至少一个租户;
所述第一配置数据和第一策略数据是采用分租户方式从所述openstack云平台获取的;所述第二配置数据和第二策略数据是采用分租户方式从所述SDN控制器获取的;
所述第一规则数据是采用分租户多进程同步方式从所述openstack云平台获取的;所述第二规则数据是采用分租户多进程同步方式从所述SDN控制器获取的。
可选的,所述比对所述第一防火墙数据和第二防火墙数据,确定所述第二防火墙数据相对于所述第一防火墙数据的防火墙差异数据,包括:
将所述第一配置数据、所述第一策略数据、所述第一规则数据、所述第二配置数据、所述第二策略数据和所述第二规则数据均转换为特征值;
分别比对所述第二配置数据的标识与所述第一配置数据的标识、所述第二策略数据的标识与所述第一策略数据的标识、以及所述第二规则数据的标识与所述第一规则数据的标识;
将所述第二配置数据的标识中相对于所述第一配置数据的标识的多余的标识对应的第二配置数据确定为多余的配置差异数据;将所述第二配置数据的标识中相对于所述第一配置数据的标识的缺失的标识对应的第一配置数据确定为缺失的配置差异数据;将所述第二配置数据和第一配置数据中标识相同,特征值不同的第二配置数据确定为待更正的配置差异数据;
将所述第二策略数据的标识中相对于所述第一策略数据的标识的多余的标识对应的第二策略数据确定为多余的策略差异数据;将所述第二策略数据的标识中相对于所述第一策略数据的标识的缺失的标识对应的第一策略数据确定为缺失的策略差异数据;将所述第二策略数据和第一策略数据中标识相同,特征值不同的第二策略数据确定为待更正的策略差异数据;
将所述第二规则数据的标识中相对于所述第一规则数据的标识的多余的标识对应的第二规则数据确定为多余的规则差异数据;将所述第二规则数据的标识中相对于所述第一规则数据的标识的缺失的标识对应的第一规则数据确定为缺失的规则差异数据;将所述第二规则数据和第一规则数据中标识相同,特征值不同的第二规则数据确定为待更正的规则差异数据。
可选的,所述基于所述防火墙差异数据,更新所述SDN控制器一侧的第二防火墙数据,包括:
依次删除所述SDN控制器一侧的所述多余的配置差异数据、所述多余的策略差异数据和所述多余的规则差异数据;
依次向所述SDN控制器一侧下发所述缺失的规则差异数据、所述缺失的策略差异数据和所述缺失的配置差异数据;
依次更正所述SDN控制器一侧的所述待更正的规则差异数据、所述待更正的策略差异数据和所述待更正的配置差异数据。
为实现上述目的,本发明实施例还提供了一种防火墙数据同步装置,所述装置包括:
获取模块,用于获取预先配置在openstack云平台的第一防火墙数据,所述第一防火墙数据包括第一配置数据、第一策略数据和第一规则数据;获取预先下发至软件定义网络SDN控制器一侧的第二防火墙数据,所述第二防火墙数据包括第二配置数据、第二策略数据和第二规则数据;
比对模块,用于比对所述第一防火墙数据和第二防火墙数据,确定所述第二防火墙数据相对于所述第一防火墙数据的防火墙差异数据,所述防火墙差异数据包括所述第二配置数据相对于第一配置数据的配置差异数据、所述第二策略数据相对于所述第一策略数据的策略差异数据和所述第二规则数据相对于所述第一规则数据的规则差异数据;
更新模块,用于基于所述防火墙差异数据,更新所述SDN控制器一侧的第二防火墙数据。
可选的,所述获取模块,具体用于:
从所述openstack云平台中FwaaS插件提供的数据库接口获取所述第一防火墙数据;
从所述SDN控制器的北向RestAPI接口获取所述第二防火墙数据。
可选的,所述第一防火墙数据由配置在openstack云平台的目标租户的防火墙数据构成;所述第二防火墙数据由下发至SDN控制器一侧的目标租户的防火墙数据构成;所述目标租户为接入所述openstack云平台的至少一个租户;
所述第一配置数据和第一策略数据是采用分租户方式从所述openstack云平台获取的;所述第二配置数据和第二策略数据是采用分租户方式从所述SDN控制器获取的;
所述第一规则数据是采用分租户多进程同步方式从所述openstack云平台获取的;所述第二规则数据是采用分租户多进程同步方式从所述SDN控制器获取的。
可选的,所述比对模块,具体用于:
将所述第一配置数据、所述第一策略数据、所述第一规则数据、所述第二配置数据、所述第二策略数据和所述第二规则数据均转换为特征值;
分别比对所述第二配置数据的标识与所述第一配置数据的标识、所述第二策略数据的标识与所述第一策略数据的标识、以及所述第二规则数据的标识与所述第一规则数据的标识;
将所述第二配置数据的标识中相对于所述第一配置数据的标识的多余的标识对应的第二配置数据确定为多余的配置差异数据;将所述第二配置数据的标识中相对于所述第一配置数据的标识的缺失的标识对应的第一配置数据确定为缺失的配置差异数据;将所述第二配置数据和第一配置数据中标识相同,特征值不同的第二配置数据确定为待更正的配置差异数据;
将所述第二策略数据的标识中相对于所述第一策略数据的标识的多余的标识对应的第二策略数据确定为多余的策略差异数据;将所述第二策略数据的标识中相对于所述第一策略数据的标识的缺失的标识对应的第一策略数据确定为缺失的策略差异数据;将所述第二策略数据和第一策略数据中标识相同,特征值不同的第二策略数据确定为待更正的策略差异数据;
将所述第二规则数据的标识中相对于所述第一规则数据的标识的多余的标识对应的第二规则数据确定为多余的规则差异数据;将所述第二规则数据的标识中相对于所述第一规则数据的标识的缺失的标识对应的第一规则数据确定为缺失的规则差异数据;将所述第二规则数据和第一规则数据中标识相同,特征值不同的第二规则数据确定为待更正的规则差异数据。
可选的,所述更新模块,具体用于:
依次删除所述SDN控制器一侧的所述多余的配置差异数据、所述多余的策略差异数据和所述多余的规则差异数据;
依次向所述SDN控制器一侧下发所述缺失的规则差异数据、所述缺失的策略差异数据和所述缺失的配置差异数据;
依次更正所述SDN控制器一侧的所述待更正的规则差异数据、所述待更正的策略差异数据和所述待更正的配置差异数据。
为实现上述目的,本发明实施例还提供了一种电子设备,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现上述任一方法步骤。
为实现上述目的,本发明实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述任一方法步骤。
本发明实施例有益效果:
应用本发明实施例提供的防火墙数据同步方法及装置,获取预先配置在openstack云平台的第一防火墙数据,第一防火墙数据包括第一配置数据、第一策略数据和第一规则数据;获取预先下发至SDN控制器一侧的第二防火墙数据,第二防火墙数据包括第二配置数据、第二策略数据和第二规则数据;比对第一防火墙数据和第二防火墙数据,确定第二防火墙数据相对于第一防火墙数据的防火墙差异数据,防火墙差异数据包括第二配置数据相对于第一配置数据的配置差异数据、第二策略数据相对于第一策略数据的策略差异数据和第二规则数据相对于第一规则数据的规则差异数据;基于防火墙差异数据,更新SDN控制器一侧的第二防火墙数据。能够实现同步openstack云平台和SDN控制器的防火墙数据,相比于人工手动操作,提高了同步防火墙数据的效率和准确率。
当然,实施本发明的任一产品或方法并不一定需要同时达到以上所述的所有优点。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的实施例。
图1为本发明实施例提供的配置防火墙数据的一种示意图;
图2为本发明实施例提供的防火墙数据同步方法的一种流程示意图;
图3为本发明实施例提供的多进程同步获取规则数据的一种示意图;
图4为本发明实施例提供的比对防火墙数据的一种流程示意图;
图5(a)为本发明实施例提供的获取规则数据和处理规则数据的一种示意图,图5(b)为本发明实施例提供的获取规则数据和处理规则数据的另一种示意图;
图6为本发明实施例提供的更新第二防火墙数据的一种流程示意图;
图7为本发明实施例提供的防火墙数据同步装置的一种结构示意图;
图8为本发明实施例提供的电子设备的一种结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为了解决现有的openstack平台侧与SDN控制器侧的防火墙数据出现差异时人工手动删除防火墙配置效率低下且容易出错的技术问题,本发明实施例提供了一种防火墙数据同步方法及装置。
为了便于理解,先对本发明实施例的应用场景进行介绍。参见图1,图1为本发明实施例提供的配置防火墙数据的一种示意图,如图1所示,openstack云平台中FwaaS插件通过SDN的北向RestAPI接口与SDN控制器连接,openstack云平台提供用户界面,用户可以在openstack云平台配置防火墙数据,并通过北向RestAPI接口向SDN控制器下发防火墙数据,下发的防火墙数据被配置在SDN控制器一侧的网络设备。
如果下发防火墙数据的过程出现错误或其他原因导致openstack云平台一侧和SDN控制器一侧的防火墙数据不同步,则可以采用本发明实施例提供的防火墙数据同步方法,以对openstack云平台一侧和SDN控制器一侧的防火墙数据进行同步。
本发明实施例提供的防火墙数据同步方法可以应用于openstack云平台一侧的客户端,该客户端可以通过相应接口与openstack云平台和SDN控制器分别连接。参见图2,图2为本发明实施例提供的防火墙数据同步方法的一种流程示意图,方法包括以下步骤:
S201:获取预先配置在openstack云平台的第一防火墙数据,第一防火墙数据包括第一配置数据、第一策略数据和第一规则数据;获取预先下发至SDN控制器一侧的第二防火墙数据,第二防火墙数据包括第二配置数据、第二策略数据和第二规则数据。
本发明实施例中,防火墙数据可以包括配置数据、策略数据和规则数据,其中配置数据表示与防火墙相关的配置信息的描述,通常可以包括防火墙身份标识(Identity,ID)、路由器ID、防火墙所属项目ID、承租人ID和该防火墙的策略ID等。
作为一个示例,以下代码数据可以表示一条防火墙数据中的一条配置数据:
本发明实施例中,策略数据表示与防火墙的安全策略相关的信息描述,其中安全策略表示按一定的规则检查数据流是否可以通过防火墙的安全控制机制,通常策略数据可以包括防火墙策略ID、防火墙策略信息描述、实施防火墙策略的具体规则的ID等信息。
作为一个示例,以下代码数据可以表示一条防火墙数据中的一条策略数据:
本发明实施例中,规则数据表示用于实施防火墙策略的具体规则,通常与数据包的过滤、筛选相关。例如,具体规则可以为限制传输控制协议(Transmission ControlProtocol,TCP)80端口的访问、根据数据包中关键字符过滤报文等。
作为一个示例,以下代码数据可以表示一条防火墙数据中的一条规则数据:
通常配置数据和策略数据的数目较少,且一条配置数据对应一条策略数据,而规则数据的数目较多。
在本发明的一种实施例中,为了对openstack云平台一侧和SDN控制器一侧的防火墙数据进行比对,可以从openstack云平台中FwaaS插件提供的数据库接口获取第一防火墙数据,第一防火墙数据即为用户预先配置在openstack云平台一侧的所有防火墙的相关数据,按照防火墙数据的分类,可以分为第一配置数据、第一策略数据和第一规则数据。此外可以从SDN控制器的北向RestAPI接口获取第二防火墙数据,第二防火墙数据即为预先下发至SDN控制器一侧的所有防火墙的相关数据,也可以理解为部署在SDN控制器南向接口一侧的网络设备的所有防火墙的相关数据,按照防火墙数据的分类,可以将第二防火墙数据分为第二配置数据、第二策略数据和第二规则数据。
本发明实施例中,在正常配置防火墙数据的情况下,预先配置在openstack云平台一侧的第一防火墙数据和预先下发至SDN控制器一侧的第二防火墙数据是完全相同的,但如果下发防火墙数据的过程出现错误或其他原因会导致openstack云平台一侧和SDN控制器一侧的防火墙数据不同步。
本发明实施例中,第一防火墙数据是由配置在openstack云平台的目标租户的防火墙数据构成;第二防火墙数据由下发至SDN控制器一侧的目标租户的防火墙数据构成;目标租户为接入openstack云平台的至少一个租户。
举例来讲,以目标租户为接入openstack云平台的所有租户为例进行说明,若接入openstack云平台的所有租户包括租户A,租户B和租户C,租户A的防火墙包括A1、A2和A3,租户B的防火墙包括B1和B2,租户C的防火墙包括C1和C2,则第一防火墙数据包括针对租户A的防火墙A1、A2和A3配置在openstack云平台的防火墙数据、针对租户B的防火墙B1和B2配置在openstack云平台的防火墙数据和针对租户C的防火墙C1和C2配置在openstack云平台。相应的,第二防火墙数据包括下发至SDN控制器一侧的租户A的防火墙A1、A2和A3的防火墙数据、下发至SDN控制器一侧的租户B的防火墙B1和B2的防火墙数据和下发至SDN控制器一侧的租户C的防火墙C1和C2的防火墙数据。
本发明实施例中,接入openstack云平台的租户可能较多,为了提高获取数据的准确率和效率,可以以租户为单位分别获取openstack云平台一侧的第一防火墙数据和SDN一侧的第二防火墙数据。
具体的,可以采用分租户方式从openstack云平台获取第一配置数据和第一策略数据;可以采用分租户方式从SDN控制器获取第二配置数据和第二策略数据。
也就是说,采用分租户方式通过openstack云平台中FwaaS插件提供的数据库接口获取第一配置数据和第一策略数据;采用分租户方式通过SDN控制器的北向RestAPI接口获取第二配置数据和第二策略数据。
此外,由于规则数据数目远大于配置数据和策略数据的数目,因此可以采用分租户多进程同步方式获取规则数据。具体的,可以采用分租户多进程同步方式从openstack云平台获取第一规则数据;可以采用分租户多进程同步方式从SDN控制器获取第二规则数据。也就是说,采用分租户多进程同步方式方式通过openstack云平台中FwaaS插件提供的数据库接口获取第一规则数据;采用分租户多进程同步方式通过SDN控制器的北向RestAPI接口获取第二规则数据。
即针对接入openstack云平台的每个租户,可以基于多进程同步方式分别获取openstack云平台中该租户的防火墙的规则数据和SDN控制器中该租户的防火墙的规则数据。
具体的,参见图3,图3为本发明实施例提供的多进程同步获取规则数据的一种示意图,如图3所示,可以创建多个进程,每个进程对应一个租户,用于获取该租户的防火墙的规则数据和防火墙的规则数据。进程1中,从openstack云平台中FwaaS插件提供的数据库接口获取租户A的防火墙的规则数据,并从SDN控制器的北向RestAPI接口获取租户A的防火墙的规则数据;进程2中,从openstack云平台中FwaaS插件提供的数据库接口获取租户B的防火墙的规则数据,并从SDN控制器的北向RestAPI接口获取租户B的防火墙的规则数据。进程1和进程2可以同步进行。
S202:比对第一防火墙数据和第二防火墙数据,确定第二防火墙数据相对于第一防火墙数据的防火墙差异数据,防火墙差异数据包括第二配置数据相对于第一配置数据的配置差异数据、第二策略数据相对于第一策略数据的策略差异数据和第二规则数据相对于第一规则数据的规则差异数据。
本发明实施例中,第一防火墙数据是openstack云平台侧的,是工作人员配置在openstack云平台的,因此以第一防火墙数据作为标准,通过比对第一防火墙数据和第二防火墙数据,可以确定第二防火墙数据相对于第一防火墙数据的防火墙差异数据。
具体的,防火墙数据包括配置数据、策略数据和规则数据,则相应的,防火墙差异数据包含第二配置数据相对于第一配置数据的配置差异数据、第二策略数据相对于第一策略数据的策略差异数据和第二规则数据相对于第一规则数据的规则差异数据。
在本发明的一种实施例中,参见图4,上述S202具体可以包括以下细化步骤:
S401:将第一配置数据、第一策略数据、第一规则数据、第二配置数据、第二策略数据和第二规则数据均转换为特征值。
本发明实施例中,为了便于防火墙相关数据的比对,可以将每一条第一配置数据、第一策略数据、第一规则数据、第二配置数据、第二策略数据和第二规则数据均转换为特征值。其中,特征值可以是通过哈希算法计算得到的hash值。
S402:分别比对第二配置数据的标识与第一配置数据的标识、第二策略数据的标识与第一策略数据的标识、以及第二规则数据的标识与第一规则数据的标识。
本发明实施例中,每条配置数据、策略数据和规则数据都包含一个固有的标识。可以比对第二配置数据的标识与第一配置数据的标识,以确定针对配置数据的差异数据,还可以比对第二策略数据的标识和第一策略数据的标识,以确定针对策略数据的差异数据,还可以比对第二规则数据的标识和第一规则数据的标识,以确定针对规则数据的差异数据。
S403:将第二配置数据的标识中相对于第一配置数据的标识的多余的标识对应的第二配置数据确定为多余的配置差异数据;将第二配置数据的标识中相对于第一配置数据的标识的缺失的标识对应的第一配置数据确定为缺失的配置差异数据;将第二配置数据和第一配置数据中标识相同,特征值不同的配置数据确定为待更正的配置差异数据。
本发明实施例中,可以根据标识比对,确定openstack云平台一侧和SDN控制器一侧的防火墙数据差异。
具体的,针对配置数据,可以将第二配置数据的标识中相对于第一配置数据的标识的多余的标识对应的第二配置数据确定为多余的配置差异数据。
作为一个示例,若第一配置数据的标识包括:标识1,标识2和标识3,第二配置数据的标识包括:标识2,标识3,标识4,则第二配置数据的标识中相对于第一配置数据的标识的多余的标识为标识4,则标识4对应的第二配置数据即为SDN控制器一侧相对于openstack云平台一侧多余的配置差异数据。
此外,可以将第二配置数据的标识中相对于第一配置数据的标识的缺失的标识对应的第一配置数据确定为缺失的配置差异数据。
承接上述示例,第二配置数据的标识中相对于第一配置数据的标识的缺失的标识为标识1,则标识1对应的第一配置数据即为SDN控制器一侧相对于openstack云平台一侧缺失的配置差异数据。
此外,针对标识相同的第一配置数据和第二防火墙数据,可以比对特征值,例如hash值,若hash不同,表示第二防火墙数据出错。因此,可以将第二配置数据和第一配置数据中标识相同,特征值不同的第二配置数据确定为待更正的配置差异数据。
S404:将第二策略数据的标识中相对于第一策略数据的标识的多余的标识对应的第二策略数据确定为多余的策略差异数据;将第二策略数据的标识中相对于第一策略数据的标识的缺失的标识对应的第一策略数据确定为缺失的策略差异数据;将第二策略数据和第一策略数据中标识相同,特征值不同的策略数据确定为待更正的策略差异数据。
本发明实施例中,策略数据的差异比对过程与S403步骤中配置数据的差异比对过程实质相同,可以参见S403步骤中相关描述,在此不赘述。
S405:将第二规则数据的标识中相对于第一规则数据的标识的多余的标识对应的第二规则数据确定为多余的规则差异数据;将第二规则数据的标识中相对于第一规则数据的标识的缺失的标识对应的第一规则数据确定为缺失的规则差异数据;将第二规则数据和第一规则数据中标识相同,特征值不同的规则数据确定为待更正的规则差异数据。
本发明实施例中,规则数据的差异比对过程与S403步骤中配置数据的差异比对过程实质相同,可以参见S403步骤中相关描述,在此不赘述。
由于规则数据较多,为了提高获取规则数据和比对规则数据的效率,本发明实施例中,还可以采用多协程方式来获取规则数据、比对规则数据。具体的,将针对每个租户的规则数据的获取和比对过程设置为一个协程,例如当前有100个用户,则设定100个协程,每个协程用于获取一个租户的规则数据,以及处理该租户的规则数据。
本发明实施例中,如果某协程中正处于获取规则数据的阶段,则优先处理其他已完成获取规则数据的协程,即转入其他协程,进行规则数据的比对处理。
作为一个示例,参见图5(a)-图5(b),协程1用于获取租户A的规则数据,以及处理租户A的规则数据,协程2用于获取租户B的规则数据,以及处理租户B的规则数据。如图5(a)所示,当前租户A的规则数据正在获取中,无法进行比对处理,则转入协程2,协程2中已完成租户B的规则数据的获取,因此可以处理租户B的规则数据。如图5(b)所示,当租户A获取完成规则数据的获取后,再转入租户A的协程1进行处理,即开始比对租户A的规则数据。
采用多协程方式获取和比对规则数据,能够大幅降低程序的阻塞时间,提高了获取规则数据、比对规则数据的效率。
S203:基于防火墙差异数据,更新SDN控制器一侧的第二防火墙数据。
本发明实施例中,是以第一防火墙数据为标准的,在确定第二防火墙数据相对于第一防火墙数据的防火墙差异数据之后,基于防火墙差异数据,更新SDN控制器一侧的第二防火墙数据,使第二防火墙数据与第一防火墙数据同步。
应用本发明实施例提供的防火墙数据同步方法,获取预先配置在openstack云平台的第一防火墙数据,第一防火墙数据包括第一配置数据、第一策略数据和第一规则数据;获取预先下发至SDN控制器一侧的第二防火墙数据,第二防火墙数据包括第二配置数据、第二策略数据和第二规则数据;比对第一防火墙数据和第二防火墙数据,确定第二防火墙数据相对于第一防火墙数据的防火墙差异数据,防火墙差异数据包括第二配置数据相对于第一配置数据的配置差异数据、第二策略数据相对于第一策略数据的策略差异数据和第二规则数据相对于第一规则数据的规则差异数据;基于防火墙差异数据,更新SDN控制器一侧的第二防火墙数据。能够实现同步openstack云平台和SDN控制器的防火墙数据,相比于人工手动操作,提高了同步防火墙数据的效率和准确率。
在本发明的一种实施例中,参见图6,上述步骤S203具体可以包括以下细化步骤:
S601:依次删除SDN控制器一侧的多余的配置差异数据、多余的策略差异数据和多余的规则差异数据。
本发明实施例中,为了对第二防火墙数据进行更新,可以先删除第二防火墙数据相对于第一防火墙数据的多余数据,再下发第二防火墙数据相对于第一防火墙数据的缺失数据,再更新第二防火墙数据相对于第一防火墙数据的待更正数据。
本发明实施例中,由于配置数据引用策略数据,而策略数据引用规则数据,因此需要先删除第二防火墙数据相对于第一防火墙数据的配置差异数据,再删除第二策略数据相对于第一策略数据的多余的策略差异数据,再删除第二规则数据相对于第一规则数据的多余的规则差异数据,避免删除顺序不当导致多余的防火墙数据删除不彻底。
S602:依次向SDN控制器一侧下发缺失的规则差异数据、缺失的策略差异数据和缺失的配置差异数据。
本步骤中,可以依次向SDN控制器一侧下发第二规则数据相对于第一规则数据的缺失的规则差异数据、第二策略数据相对于第一策略数据的缺失的策略差异数据和第二配置数据相对于第一配置数据的缺失的配置差异数据。
具体的,可以通过openstack云平台中FwaaS插件,从SDN控制器的北向接口向SDN控制器下发上述缺失的差异数据。
S603:依次更正SDN控制器一侧的待更正的规则差异数据、待更正的策略差异数据和待更正的配置差异数据。
本步骤中,可以依次更正SDN控制器一侧的第二规则数据相对于第一规则数据的待更正的规则差异数据、第二策略数据相对于第一策略数据的待更正的策略差异数据和第二配置数据相对于第一配置数据的待更正的配置差异数据。
本发明实施例中,待更正的防火墙数据是SDN控制器中出错的防火墙数据,需要进行更正,以保持与openstack云平台中防火墙数据相同步。具体的,可以通过openstack云平台中FwaaS插件,从SDN控制器的北向接口向SDN控制器下发与待更正的防火墙数据的ID相同的规则数据、策略数据和配置数据,以替换SDN控制器中当前存在的同ID的出错的规则数据、策略数据和配置数据。
可见,本发明实施例中,考虑到配置数据、策略数据和规则数据之间的引用关系,制定了删除多余防火墙数据、下发缺失防火墙数据和更新差异防火墙数据的特定顺序,按照该特定顺序对第二防火墙数据进行更新,避免出现数据异常,保证同步防火墙数据过程的准确无误。
本发明实施例中,为了便于操作人员进行同步防火墙数据的处理,可以在openstack云平台的用户界面中设置控制按钮,包括对比按钮、更新按钮。当接收到用户对比对按钮的操作时,对openstack云平台一侧和SDN控制器一侧的防火墙数据进行比对,当接收到用户对更新按钮的操作时,对SDN控制器一侧相对于openstack云平台一侧的防火墙差异数据进行更新,以同步二者的防火墙数据。此外,还可以在openstack云平台的用户界面中实时显示防火墙数据比对结果、防火墙数据同步结果等。
相应于本发明实施例提供的防火墙数据同步方法实施例,本发明实施例还提供了一种防火墙数据同步装置,参见图7,装置可以包括以下模块:
获取模块701,用于获取预先配置在openstack云平台的第一防火墙数据,第一防火墙数据包括第一配置数据、第一策略数据和第一规则数据;获取预先下发至软件定义网络SDN控制器一侧的第二防火墙数据,第二防火墙数据包括第二配置数据、第二策略数据和第二规则数据;
比对模块702,用于比对第一防火墙数据和第二防火墙数据,确定第二防火墙数据相对于第一防火墙数据的防火墙差异数据,防火墙差异数据包括第二配置数据相对于第一配置数据的配置差异数据、第二策略数据相对于第一策略数据的策略差异数据和第二规则数据相对于第一规则数据的规则差异数据;
更新模块703,用于基于防火墙差异数据,更新SDN控制器一侧的第二防火墙数据。
在本发明的一种实施例中,获取模块701,具体可以用于:
从openstack云平台中FwaaS插件提供的数据库接口获取第一防火墙数据;
从SDN控制器的北向RestAPI接口获取第二防火墙数据。
在本发明的一种实施例中,第一防火墙数据由配置在openstack云平台的目标租户的防火墙数据构成;第二防火墙数据由下发至SDN控制器一侧的目标租户的防火墙数据构成;目标租户为接入openstack云平台的至少一个租户;
第一配置数据和第一策略数据是采用分租户方式从openstack云平台获取的;第二配置数据和第二策略数据是采用分租户方式从SDN控制器获取的;
第一规则数据是采用分租户多进程同步方式从openstack云平台获取的;第二规则数据是采用分租户多进程同步方式从SDN控制器获取的。
在本发明的一种实施例中,比对模块702,具体可以用于:
将第一配置数据、第一策略数据、第一规则数据、第二配置数据、第二策略数据和第二规则数据均转换为特征值;
分别比对第二配置数据的标识与第一配置数据的标识、第二策略数据的标识与第一策略数据的标识、以及第二规则数据的标识与第一规则数据的标识;
将第二配置数据的标识中相对于第一配置数据的标识的多余的标识对应的第二配置数据确定为多余的配置差异数据;将第二配置数据的标识中相对于第一配置数据的标识的缺失的标识对应的第一配置数据确定为缺失的配置差异数据;将第二配置数据和第一配置数据中标识相同,特征值不同的第二配置数据确定为待更正的配置差异数据;
将第二策略数据的标识中相对于第一策略数据的标识的多余的标识对应的第二策略数据确定为多余的策略差异数据;将第二策略数据的标识中相对于第一策略数据的标识的缺失的标识对应的第一策略数据确定为缺失的策略差异数据;将第二策略数据和第一策略数据中标识相同,特征值不同的第二策略数据确定为待更正的策略差异数据;
将第二规则数据的标识中相对于第一规则数据的标识的多余的标识对应的第二规则数据确定为多余的规则差异数据;将第二规则数据的标识中相对于第一规则数据的标识的缺失的标识对应的第一规则数据确定为缺失的规则差异数据;将第二规则数据和第一规则数据中标识相同,特征值不同的第二规则数据确定为待更正的规则差异数据。
在本发明的一种实施例中,更新模块703,具体可以用于:
依次删除SDN控制器一侧的多余的配置差异数据、多余的策略差异数据和多余的规则差异数据;
依次向SDN控制器一侧下发缺失的规则差异数据、缺失的策略差异数据和缺失的配置差异数据;
依次更正SDN控制器一侧的待更正的规则差异数据、待更正的策略差异数据和待更正的配置差异数据。
应用本发明实施例提供的防火墙数据同步装置,获取预先配置在openstack云平台的第一防火墙数据,第一防火墙数据包括第一配置数据、第一策略数据和第一规则数据;获取预先下发至SDN控制器一侧的第二防火墙数据,第二防火墙数据包括第二配置数据、第二策略数据和第二规则数据;比对第一防火墙数据和第二防火墙数据,确定第二防火墙数据相对于第一防火墙数据的防火墙差异数据,防火墙差异数据包括第二配置数据相对于第一配置数据的配置差异数据、第二策略数据相对于第一策略数据的策略差异数据和第二规则数据相对于第一规则数据的规则差异数据;基于防火墙差异数据,更新SDN控制器一侧的第二防火墙数据。能够实现同步openstack云平台和SDN控制器的防火墙数据,相比于人工手动操作,提高了同步防火墙数据的效率和准确率。
基于相同的发明构思,根据上述防火墙数据同步方法实施例,本发明实施例还提供了一种电子设备,如图8所示,包括处理器801、通信接口802、存储器803和通信总线804,其中,处理器801,通信接口802,存储器803通过通信总线804完成相互间的通信,
存储器803,用于存放计算机程序;
处理器801,用于执行存储器803上所存放的程序时,实现如下步骤:
获取预先配置在openstack云平台的第一防火墙数据,第一防火墙数据包括第一配置数据、第一策略数据和第一规则数据;获取预先下发至软件定义网络SDN控制器一侧的第二防火墙数据,第二防火墙数据包括第二配置数据、第二策略数据和第二规则数据;
比对第一防火墙数据和第二防火墙数据,确定第二防火墙数据相对于第一防火墙数据的防火墙差异数据,防火墙差异数据包括第二配置数据相对于第一配置数据的配置差异数据、第二策略数据相对于第一策略数据的策略差异数据和第二规则数据相对于第一规则数据的规则差异数据;
基于防火墙差异数据,更新SDN控制器一侧的第二防火墙数据。
上述电子设备提到的通信总线可以是外设部件互连标准(Peripheral ComponentInterconnect,PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture,EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口用于上述电子设备与其他设备之间的通信。
存储器可以包括随机存取存储器(Random Access Memory,RAM),也可以包括非易失性存储器(Non-Volatile Memory,NVM),例如至少一个磁盘存储器。可选的,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(Digital SignalProcessing,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
应用本发明实施例提供的电子设备,获取预先配置在openstack云平台的第一防火墙数据,第一防火墙数据包括第一配置数据、第一策略数据和第一规则数据;获取预先下发至SDN控制器一侧的第二防火墙数据,第二防火墙数据包括第二配置数据、第二策略数据和第二规则数据;比对第一防火墙数据和第二防火墙数据,确定第二防火墙数据相对于第一防火墙数据的防火墙差异数据,防火墙差异数据包括第二配置数据相对于第一配置数据的配置差异数据、第二策略数据相对于第一策略数据的策略差异数据和第二规则数据相对于第一规则数据的规则差异数据;基于防火墙差异数据,更新SDN控制器一侧的第二防火墙数据。能够实现同步openstack云平台和SDN控制器的防火墙数据,相比于人工手动操作,提高了同步防火墙数据的效率和准确率。
在本发明提供的又一实施例中,还提供了一种计算机可读存储介质,该计算机可读存储介质内存储有计算机程序,计算机程序被处理器执行时实现上述任一防火墙数据同步方法的步骤。
在本发明提供的又一实施例中,还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述实施例中任一防火墙数据同步方法的步骤。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘Solid State Disk(SSD))等。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于防火墙数据同步检测装置、电子设备、计算机可读存储介质及计算机程序产品实施例而言,由于其基本相似于防火墙数据同步方法实施例,所以描述的比较简单,相关之处参见防火墙数据同步方法实施例的部分说明即可。
以上所述仅为本发明的较佳实施例,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
Claims (10)
1.一种防火墙数据同步方法,其特征在于,所述方法包括:
获取预先配置在openstack云平台的第一防火墙数据,所述第一防火墙数据包括第一配置数据、第一策略数据和第一规则数据;获取预先下发至软件定义网络SDN控制器一侧的第二防火墙数据,所述第二防火墙数据包括第二配置数据、第二策略数据和第二规则数据;
比对所述第一防火墙数据和第二防火墙数据,确定所述第二防火墙数据相对于所述第一防火墙数据的防火墙差异数据,所述防火墙差异数据包括所述第二配置数据相对于第一配置数据的配置差异数据、所述第二策略数据相对于所述第一策略数据的策略差异数据和所述第二规则数据相对于所述第一规则数据的规则差异数据;
基于所述防火墙差异数据,更新所述SDN控制器一侧的第二防火墙数据。
2.根据权利要求1所述的方法,其特征在于,所述获取openstack云平台的第一防火墙数据,包括:
从所述openstack云平台中FwaaS插件提供的数据库接口获取所述第一防火墙数据;
所述获取SDN控制器的第二防火墙数据,包括:
从所述SDN控制器的北向RestAPI接口获取所述第二防火墙数据。
3.根据权利要求1所述的方法,其特征在于,
所述第一防火墙数据由配置在openstack云平台的目标租户的防火墙数据构成;所述第二防火墙数据由下发至SDN控制器一侧的目标租户的防火墙数据构成;所述目标租户为接入所述openstack云平台的至少一个租户;
所述第一配置数据和第一策略数据是采用分租户方式从所述openstack云平台获取的;所述第二配置数据和第二策略数据是采用分租户方式从所述SDN控制器获取的;
所述第一规则数据是采用分租户多进程同步方式从所述openstack云平台获取的;所述第二规则数据是采用分租户多进程同步方式从所述SDN控制器获取的。
4.根据权利要求1所述的方法,其特征在于,所述比对所述第一防火墙数据和第二防火墙数据,确定所述第二防火墙数据相对于所述第一防火墙数据的防火墙差异数据,包括:
将所述第一配置数据、所述第一策略数据、所述第一规则数据、所述第二配置数据、所述第二策略数据和所述第二规则数据均转换为特征值;
分别比对所述第二配置数据的标识与所述第一配置数据的标识、所述第二策略数据的标识与所述第一策略数据的标识、以及所述第二规则数据的标识与所述第一规则数据的标识;
将所述第二配置数据的标识中相对于所述第一配置数据的标识的多余的标识对应的第二配置数据确定为多余的配置差异数据;将所述第二配置数据的标识中相对于所述第一配置数据的标识的缺失的标识对应的第一配置数据确定为缺失的配置差异数据;将所述第二配置数据和第一配置数据中标识相同,特征值不同的第二配置数据确定为待更正的配置差异数据;
将所述第二策略数据的标识中相对于所述第一策略数据的标识的多余的标识对应的第二策略数据确定为多余的策略差异数据;将所述第二策略数据的标识中相对于所述第一策略数据的标识的缺失的标识对应的第一策略数据确定为缺失的策略差异数据;将所述第二策略数据和第一策略数据中标识相同,特征值不同的第二策略数据确定为待更正的策略差异数据;
将所述第二规则数据的标识中相对于所述第一规则数据的标识的多余的标识对应的第二规则数据确定为多余的规则差异数据;将所述第二规则数据的标识中相对于所述第一规则数据的标识的缺失的标识对应的第一规则数据确定为缺失的规则差异数据;将所述第二规则数据和第一规则数据中标识相同,特征值不同的第二规则数据确定为待更正的规则差异数据。
5.根据权利要求4所述的方法,其特征在于,所述基于所述防火墙差异数据,更新所述SDN控制器一侧的第二防火墙数据,包括:
依次删除所述SDN控制器一侧的所述多余的配置差异数据、所述多余的策略差异数据和所述多余的规则差异数据;
依次向所述SDN控制器一侧下发所述缺失的规则差异数据、所述缺失的策略差异数据和所述缺失的配置差异数据;
依次更正所述SDN控制器一侧的所述待更正的规则差异数据、所述待更正的策略差异数据和所述待更正的配置差异数据。
6.一种防火墙数据同步装置,其特征在于,所述装置包括:
获取模块,用于获取预先配置在openstack云平台的第一防火墙数据,所述第一防火墙数据包括第一配置数据、第一策略数据和第一规则数据;获取预先下发至软件定义网络SDN控制器一侧的第二防火墙数据,所述第二防火墙数据包括第二配置数据、第二策略数据和第二规则数据;
比对模块,用于比对所述第一防火墙数据和第二防火墙数据,确定所述第二防火墙数据相对于所述第一防火墙数据的防火墙差异数据,所述防火墙差异数据包括所述第二配置数据相对于第一配置数据的配置差异数据、所述第二策略数据相对于所述第一策略数据的策略差异数据和所述第二规则数据相对于所述第一规则数据的规则差异数据;
更新模块,用于基于所述防火墙差异数据,更新所述SDN控制器一侧的第二防火墙数据。
7.根据权利要求6所述的装置,其特征在于,所述获取模块,具体用于:
从所述openstack云平台中FwaaS插件提供的数据库接口获取所述第一防火墙数据;
从所述SDN控制器的北向RestAPI接口获取所述第二防火墙数据。
8.根据权利要求6所述的装置,其特征在于,
所述第一防火墙数据由配置在openstack云平台的目标租户的防火墙数据构成;所述第二防火墙数据由下发至SDN控制器一侧的目标租户的防火墙数据构成;所述目标租户为接入所述openstack云平台的至少一个租户;
所述第一配置数据和第一策略数据是采用分租户方式从所述openstack云平台获取的;所述第二配置数据和第二策略数据是采用分租户方式从所述SDN控制器获取的;
所述第一规则数据是采用分租户多进程同步方式从所述openstack云平台获取的;所述第二规则数据是采用分租户多进程同步方式从所述SDN控制器获取的。
9.根据权利要求6所述的装置,其特征在于,所述比对模块,具体用于:
将所述第一配置数据、所述第一策略数据、所述第一规则数据、所述第二配置数据、所述第二策略数据和所述第二规则数据均转换为特征值;
分别比对所述第二配置数据的标识与所述第一配置数据的标识、所述第二策略数据的标识与所述第一策略数据的标识、以及所述第二规则数据的标识与所述第一规则数据的标识;
将所述第二配置数据的标识中相对于所述第一配置数据的标识的多余的标识对应的第二配置数据确定为多余的配置差异数据;将所述第二配置数据的标识中相对于所述第一配置数据的标识的缺失的标识对应的第一配置数据确定为缺失的配置差异数据;将所述第二配置数据和第一配置数据中标识相同,特征值不同的第二配置数据确定为待更正的配置差异数据;
将所述第二策略数据的标识中相对于所述第一策略数据的标识的多余的标识对应的第二策略数据确定为多余的策略差异数据;将所述第二策略数据的标识中相对于所述第一策略数据的标识的缺失的标识对应的第一策略数据确定为缺失的策略差异数据;将所述第二策略数据和第一策略数据中标识相同,特征值不同的第二策略数据确定为待更正的策略差异数据;
将所述第二规则数据的标识中相对于所述第一规则数据的标识的多余的标识对应的第二规则数据确定为多余的规则差异数据;将所述第二规则数据的标识中相对于所述第一规则数据的标识的缺失的标识对应的第一规则数据确定为缺失的规则差异数据;将所述第二规则数据和第一规则数据中标识相同,特征值不同的第二规则数据确定为待更正的规则差异数据。
10.根据权利要求9所述的装置,其特征在于,所述更新模块,具体用于:
依次删除所述SDN控制器一侧的所述多余的配置差异数据、所述多余的策略差异数据和所述多余的规则差异数据;
依次向所述SDN控制器一侧下发所述缺失的规则差异数据、所述缺失的策略差异数据和所述缺失的配置差异数据;
依次更正所述SDN控制器一侧的所述待更正的规则差异数据、所述待更正的策略差异数据和所述待更正的配置差异数据。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011141455.7A CN112217902B (zh) | 2020-10-22 | 2020-10-22 | 一种防火墙数据同步方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011141455.7A CN112217902B (zh) | 2020-10-22 | 2020-10-22 | 一种防火墙数据同步方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112217902A CN112217902A (zh) | 2021-01-12 |
| CN112217902B true CN112217902B (zh) | 2022-03-22 |
Family
ID=74054891
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011141455.7A Active CN112217902B (zh) | 2020-10-22 | 2020-10-22 | 一种防火墙数据同步方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112217902B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112968879B (zh) * | 2021-02-01 | 2022-04-12 | 浪潮思科网络科技有限公司 | 一种实现防火墙管理的方法及设备 |
| CN113709099B (zh) * | 2021-07-12 | 2023-11-07 | 新华三大数据技术有限公司 | 混合云防火墙规则下发方法、装置、设备及存储介质 |
| CN113765885B (zh) * | 2021-07-30 | 2023-08-15 | 广东浪潮智慧计算技术有限公司 | 一种防火墙规则同步方法、装置及电子设备和存储介质 |
| CN115766177A (zh) * | 2022-11-08 | 2023-03-07 | 广西电网有限责任公司 | 一种网络爬虫防火墙策略自动梳理方法及相关装置 |
| CN116319035B (zh) * | 2023-03-23 | 2023-09-19 | 北京安盟信息技术股份有限公司 | 一种防火墙连接状态同步方法及装置 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101340444A (zh) * | 2008-08-26 | 2009-01-07 | 华为技术有限公司 | 防火墙和服务器策略同步方法、系统和设备 |
| CN103825954A (zh) * | 2014-03-10 | 2014-05-28 | 中国联合网络通信集团有限公司 | 一种OpenFlow控制方法及相应插件、平台和网络 |
| CN104580099A (zh) * | 2013-10-22 | 2015-04-29 | 北京神州泰岳软件股份有限公司 | 一种防火墙策略版本管理方法和系统 |
| CN105100109A (zh) * | 2015-08-19 | 2015-11-25 | 华为技术有限公司 | 一种部署安全访问控制策略的方法及装置 |
| CN107181720A (zh) * | 2016-03-11 | 2017-09-19 | 中兴通讯股份有限公司 | 一种软件定义网路sdn安全通信的方法及装置 |
| WO2018028594A1 (zh) * | 2016-08-11 | 2018-02-15 | 中兴通讯股份有限公司 | 一种混合云平台的组网方法及混合云平台系统 |
| CN108173842A (zh) * | 2017-12-26 | 2018-06-15 | 国家电网公司 | 基于openstack云平台的软件定义防火墙的部署优化方法 |
| CN110377661A (zh) * | 2019-06-27 | 2019-10-25 | 浪潮思科网络科技有限公司 | 一种OpenDaylight自动同步Firewall设备数据的方法 |
-
2020
- 2020-10-22 CN CN202011141455.7A patent/CN112217902B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101340444A (zh) * | 2008-08-26 | 2009-01-07 | 华为技术有限公司 | 防火墙和服务器策略同步方法、系统和设备 |
| CN104580099A (zh) * | 2013-10-22 | 2015-04-29 | 北京神州泰岳软件股份有限公司 | 一种防火墙策略版本管理方法和系统 |
| CN103825954A (zh) * | 2014-03-10 | 2014-05-28 | 中国联合网络通信集团有限公司 | 一种OpenFlow控制方法及相应插件、平台和网络 |
| CN105100109A (zh) * | 2015-08-19 | 2015-11-25 | 华为技术有限公司 | 一种部署安全访问控制策略的方法及装置 |
| CN107181720A (zh) * | 2016-03-11 | 2017-09-19 | 中兴通讯股份有限公司 | 一种软件定义网路sdn安全通信的方法及装置 |
| WO2018028594A1 (zh) * | 2016-08-11 | 2018-02-15 | 中兴通讯股份有限公司 | 一种混合云平台的组网方法及混合云平台系统 |
| CN108173842A (zh) * | 2017-12-26 | 2018-06-15 | 国家电网公司 | 基于openstack云平台的软件定义防火墙的部署优化方法 |
| CN110377661A (zh) * | 2019-06-27 | 2019-10-25 | 浪潮思科网络科技有限公司 | 一种OpenDaylight自动同步Firewall设备数据的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112217902A (zh) | 2021-01-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112217902B (zh) | 一种防火墙数据同步方法及装置 | |
| US11394689B2 (en) | Application based network traffic management | |
| US11968103B2 (en) | Policy utilization analysis | |
| CN107948205B (zh) | 防火墙策略生成方法、装置、设备及介质 | |
| US10148731B2 (en) | Methods, systems, and computer readable media for on-boarding virtualized network function (VNF) packages in a network functions virtualization (NFV) system | |
| WO2017019684A1 (en) | Techniques for evaluating server system reliability, vulnerability and component compatibility using crowdsourced server and vulnerability data | |
| CN112217656B (zh) | Sd-wan系统中的网络设备的配置信息同步方法和装置 | |
| CN109842694B (zh) | 一种同步mac地址的方法、网络设备和计算机可读存储介质 | |
| CN110166299B (zh) | Sdn控制器配置恢复方法及装置 | |
| WO2019242162A1 (zh) | 中间件安装方法、装置、计算机设备及存储介质 | |
| CN111225064A (zh) | Ceph集群部署方法、系统、设备和计算机可读存储介质 | |
| CN113468136A (zh) | 云平台的升级方法、装置和服务器 | |
| CN112995163A (zh) | 资源访问的鉴权方法及装置、存储介质、电子设备 | |
| CN110737719A (zh) | 数据同步方法、装置、设备及计算机可读存储介质 | |
| WO2019218460A1 (zh) | 业务线的处理方法、装置、终端设备及介质 | |
| US11341328B2 (en) | Dynamic grammar augmentation for editing multiple network switch configuration files as a single file | |
| CN110912725A (zh) | 一种OpenFlow虚拟交换机的配置方法及配置装置 | |
| US11805146B2 (en) | System and method for detection promotion | |
| CN114244555B (zh) | 一种安全策略的调整方法 | |
| WO2019024238A1 (zh) | 范围值数据统计方法、系统、电子装置及计算机可读存储介质 | |
| US11973762B2 (en) | System for prevention of unauthorized access using authorized environment hash outputs | |
| CN115208671B (zh) | 防火墙配置方法、装置、电子设备和存储介质 | |
| US20230385495A1 (en) | Efficient circuit simulation method and apparatus, device, and storage medium | |
| CN114070889B (zh) | 配置方法、流量转发方法、设备、存储介质及程序产品 | |
| CN115442129A (zh) | 一种管理集群访问权限的方法、装置和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |