CN113765885B - 一种防火墙规则同步方法、装置及电子设备和存储介质 - Google Patents

一种防火墙规则同步方法、装置及电子设备和存储介质 Download PDF

Info

Publication number
CN113765885B
CN113765885B CN202110873717.7A CN202110873717A CN113765885B CN 113765885 B CN113765885 B CN 113765885B CN 202110873717 A CN202110873717 A CN 202110873717A CN 113765885 B CN113765885 B CN 113765885B
Authority
CN
China
Prior art keywords
firewall rule
firewall
router
transaction
deleted
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110873717.7A
Other languages
English (en)
Other versions
CN113765885A (zh
Inventor
张同剑
秦海中
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guangdong Inspur Smart Computing Technology Co Ltd
Original Assignee
Guangdong Inspur Smart Computing Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guangdong Inspur Smart Computing Technology Co Ltd filed Critical Guangdong Inspur Smart Computing Technology Co Ltd
Priority to CN202110873717.7A priority Critical patent/CN113765885B/zh
Publication of CN113765885A publication Critical patent/CN113765885A/zh
Application granted granted Critical
Publication of CN113765885B publication Critical patent/CN113765885B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Abstract

本申请公开了一种防火墙规则同步方法、装置及一种电子设备和计算机可读存储介质,该方法包括:获取防火墙路由器关联表,并创建防火墙规则同步事务;利用所述防火墙规则同步事务在所述防火墙路由器关联表中提取待添加路由器和待删除路由器;利用所述防火墙规则同步事务删除所述待删除路由器下当前同步的第一防火墙规则;利用所述防火墙规则同步事务在所述待添加路由器中添加待同步的第二防火墙规则。本申请提供的防火墙规则同步方法,提高了防火墙规则同步的安全性。

Description

一种防火墙规则同步方法、装置及电子设备和存储介质
技术领域
本申请涉及计算机技术领域,更具体地说,涉及一种防火墙规则同步方法、装置及一种电子设备和一种计算机可读存储介质。
背景技术
随着Openstack云计算的快速发展,目前在基于Openstack框架部署私有云平台的应用场景中,Neutron是Openstack项目中负责网络服务的组件,实现了对虚拟化网络的管理,其中Neutron FwaaS作为Neutron中提供防火墙服务的插件。
对于防火墙同步规则,在相关技术中,首先删除所有之前的规则,再下发用户配置的新的规则到Virtual Router中,这种机制会带来网络流量漏风的风险,由于在规则同步的过程中,旧规则的删除和新规则的添加不是一个原子性的操作,同步操作的间隙会持续有网络流量由于没有有效的规则防护从而会导致漏风的风险,此时的防火墙是无法真正意义上的达到安全防护的功能,会给虚拟机的租户网络带来很多网络问题,如攻击型报文,ARP(地址解析协议,Address Resolution Protocol)欺骗报文,病毒流量等造成网络瘫痪。
因此,如何提高防火墙规则同步的安全性是本领域技术人员需要解决的技术问题
发明内容
本申请的目的在于提供一种防火墙规则同步方法、装置及一种电子设备和一种计算机可读存储介质,提高了防火墙规则同步的安全性。
为实现上述目的,本申请提供了一种防火墙规则同步方法,包括:
获取防火墙路由器关联表,并创建防火墙规则同步事务;
利用所述防火墙规则同步事务在所述防火墙路由器关联表中提取待添加路由器和待删除路由器;
利用所述防火墙规则同步事务删除所述待删除路由器下当前同步的第一防火墙规则;
利用所述防火墙规则同步事务在所述待添加路由器中添加待同步的第二防火墙规则。
其中,所述利用所述防火墙规则同步事务删除所述待删除路由器下当前同步的第一防火墙规则,包括:
利用所述防火墙规则同步事务删除所述待删除路由器和当前同步的第一防火墙规则之间的关联关系。
其中,所述利用所述防火墙规则同步事务删除所述待删除路由器和当前同步的第一防火墙规则之间的关联关系之后,还包括:
遍历当前所有的防火墙关联路由表,判断是否存在与所述第一防火墙规则存在关联关系的路由器;
若否,则删除所述第一防火墙规则。
其中,所述利用所述防火墙规则同步事务在所述待添加路由器中添加待同步的第二防火墙规则,包括:
利用所述防火墙规则同步事务判断是否存在待同步的第二防火墙规则;
若是,则建立所述第二防火墙规则与所述待添加路由器之间的关联关系;
若否,则新建所述第二防火墙规则,并建立所述第二防火墙规则与所述待添加路由器之间的关联关系。
其中,若存在待同步的第二防火墙规则,则所述建立所述第二防火墙规则与所述待添加路由器之间的关联关系之前,还包括:
利用获取到的所述第二防火墙规则的规则信息覆盖已存在的第二防火墙规则的规则信息。
其中,所述创建防火墙规则同步事务之前,还包括:
判断当前防火墙的状态是否为等待状态;
若是,则执行所述创建防火墙规则同步事务的步骤。
其中,所述利用所述防火墙规则同步事务删除所述待删除路由器下当前同步的第一防火墙规则,或,所述利用所述防火墙规则同步事务在所述待添加路由器中添加待同步的第二防火墙规则之后,还包括:
利用所述防火墙规则同步事务构造OVSDB协议格式的同步消息,将所述同步消息发送至OVN北向数据库和OVN南向数据库中,以便基于所述同步消息对所述OVN北向数据库和所述OVN南向数据库执行对应的操作。
为实现上述目的,本申请提供了一种防火墙规则同步装置,包括:
创建模块,用于获取防火墙路由器关联表,并创建防火墙规则同步事务;
提取模块,用于利用所述防火墙规则同步事务在所述防火墙路由器关联表中提取待添加路由器和待删除路由器;
删除模块,用于利用所述防火墙规则同步事务删除所述待删除路由器下当前同步的第一防火墙规则;
添加模块,用于利用所述防火墙规则同步事务在所述待添加路由器中添加待同步的第二防火墙规则。
为实现上述目的,本申请提供了一种电子设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如上述防火墙规则同步方法的步骤。
为实现上述目的,本申请提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上述防火墙规则同步方法的步骤。
通过以上方案可知,本申请提供的一种防火墙规则同步方法,包括:获取防火墙路由器关联表,并创建防火墙规则同步事务;利用所述防火墙规则同步事务在所述防火墙路由器关联表中提取待添加路由器和待删除路由器;利用所述防火墙规则同步事务删除所述待删除路由器下当前同步的第一防火墙规则;利用所述防火墙规则同步事务在所述待添加路由器中添加待同步的第二防火墙规则。
本申请提供的防火墙规则同步方法,对防火墙策略规则同步操作属于同一个事务的原子操作,同事物原子性的操作有效的隔离了由于操作同步间隙导致的时间空挡期网络流量的肆意行为,从而保证了进出虚拟路由器的租户流量避免产生漏风的风险从而导致的虚拟化网络环境中的租户网络的网络安全问题,同时也把问题的发生的风险规避到单个事务中,即使单个节点单个事务出现问题,对造成全局的致命性的网络瘫痪概率大大减轻了,减少了故障的概率,提高了防火墙规则同步的安全性。本申请还公开了一种防火墙规则同步装置及一种电子设备和一种计算机可读存储介质,同样能实现上述技术效果。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性的,并不能限制本申请。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。附图是用来提供对本公开的进一步理解,并且构成说明书的一部分,与下面的具体实施方式一起用于解释本公开,但并不构成对本公开的限制。在附图中:
图1为根据一示例性实施例示出的一种防火墙规则同步方法的流程图;
图2为根据一示例性实施例示出的一种防火墙策略规则的同步操作的的流程图;
图3为根据一示例性实施例示出的一种防火墙规则同步装置的结构图;
图4为根据一示例性实施例示出的一种电子设备的结构图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述。显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。另外,在本申请实施例中,“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。
本申请实施例公开了一种防火墙规则同步方法,提高了防火墙规则同步的安全性。
参见图1,根据一示例性实施例示出的一种防火墙规则同步方法的流程图,如图1所示,包括:
S101:获取防火墙路由器关联表,并创建防火墙规则同步事务;
本实施例应用于Openstack的多架构的集群环境中,在具体实施中,对Openstack架构中的Neutron组件加载的防火墙插件的底层驱动程序通过加载OVN(Open VirtualNetwork,开发虚拟网络)驱动中的策略路由程序来实现,Neutron Fwaas插件加载开发Fwaas Update Handle模块处理来自Neutron Server防火墙事件。Neutron Fwaas插件通过接收来自Neutron Server用户的防火墙策略规则同步事件,通过监听防火墙策略规则同步事件,Fwaas Update Handle根据相应的处理逻辑保证策略同步事务的原子性,从而防止规则同步瞬间的流量漏风风险。Fwaas Update Handle模块属于基于Neutron Fwaas插件开发,属于独立模块,易维护可裁剪,同时加强了防火墙功能的健壮性。
在本步骤中,Neutron Fwaas插件获取防火墙路由器关联表,Fwaas UpdateHandle模块创建防火墙规则同步事务,用于基于防火墙路由器关联表进行防火墙规则的同步。
作为一种优选实施方式,所述创建防火墙规则同步事务之前,还包括:判断当前防火墙的状态是否为等待状态;若是,则执行所述创建防火墙规则同步事务的步骤。在具体实施中,Neutron-Fwass中的Fwaas Update Handle接收处理来自Neutron Server的防火墙同步事件。Fwaas Update Handle判断当前防火墙的状态是否为Pending状态,如果否,则抛出异常,不允许操作,如果为是,则继续进行。
S102:利用所述防火墙规则同步事务在所述防火墙路由器关联表中提取待添加路由器和待删除路由器;
在本步骤中,防火墙规则同步事务根据Neutron Fwaas插件接收的同步的防火墙路由器关联表,提取其中的待添加的路由器列表和待删除的路由器列表,待添加的路由器列表包括一个或多个待添加路由器,待删除的路由器列表包括一个或多个待删除路由器。
S103:利用所述防火墙规则同步事务删除所述待删除路由器下当前同步的第一防火墙规则;
在本步骤中,遍历待删除的路由器列表,删除待删除路由器下的当前同步的防火墙规则,即第一防火墙规则。作为一种可行的实施方式,本步骤包括:利用所述防火墙规则同步事务删除所述待删除路由器和当前同步的第一防火墙规则之间的关联关系。在具体实施中,去除防火墙规则和待删除路由器的关联关系。作为一种优选实施方式,所述利用所述防火墙规则同步事务删除所述待删除路由器和当前同步的第一防火墙规则之间的关联关系之后,还包括:遍历当前所有的防火墙关联路由表,判断是否存在与所述第一防火墙规则存在关联关系的路由器;若否,则删除所述第一防火墙规则。在具体实施中,遍历当前的所有的防火墙关联路由器表,查询是否有路由器与当前的防火墙规则有关联关系,如果有,则直接返回,事务结束;如果没有,则执行删除规则的操作,根据OVSDB(Open vSwitchDatabase,开放虚拟交换机数据库)协议格式,构造OVSDB消息,通过OVSDB客户端向OVNNorthbound DB Server(开放虚拟网络北向数据库服务器)发送删除消息。
S104:利用所述防火墙规则同步事务在所述待添加路由器中添加待同步的第二防火墙规则。
在本步骤中,遍历待添加的路由器列表,依次向待添加的路由器列表中同步的当前的待同步的防火墙规则,即第二防火墙规则。作为一种可行的实施方式,本步骤包括:利用所述防火墙规则同步事务判断是否存在待同步的第二防火墙规则;若是,则建立所述第二防火墙规则与所述待添加路由器之间的关联关系;若否,则新建所述第二防火墙规则,并建立所述第二防火墙规则与所述待添加路由器之间的关联关系。优选的,若存在待同步的第二防火墙规则,则所述建立所述第二防火墙规则与所述待添加路由器之间的关联关系之前,还包括:利用获取到的所述第二防火墙规则的规则信息覆盖已存在的第二防火墙规则的规则信息。在具体实施中,判断当前的待同步的防火墙策略规则是否存在,如果存在,同步当前规则信息覆盖原有的规则信息,并向当前待添加的路由器做关联关系,如果不存在,则新建防火墙规则,并向当前待添加的路由器做关联关系。
在上述基础上,作为一种优选实施方式,所述利用所述防火墙规则同步事务删除所述待删除路由器下当前同步的第一防火墙规则,或,所述利用所述防火墙规则同步事务在所述待添加路由器中添加待同步的第二防火墙规则之后,还包括:利用所述防火墙规则同步事务构造OVSDB协议格式的同步消息,将所述同步消息发送至OVN北向数据库和OVN南向数据库中,以便基于所述同步消息对所述OVN北向数据库和所述OVN南向数据库执行对应的操作。
在具体实施中,Neutron Faaws插件接收防火墙策略同步事件后,加载FwaasUpdate Handle模块,经过Fwaas Update Handle处理后,把待同步的防火墙策略规则根据OVSDB协议格式组装消息,启动OVSDB客户端向OVN Northbond DB Server发送同步消息,OVN Northbound DB Server接收到消息解析并存储在OVN Northbond DB(开放虚拟网络北向数据库)中,同时守护进程OVN Northd Deamon(OVN用于同步北向数据库到南向数据库的守护进程)监听到OVN Northbound DB的数据发生变化,会把OVN Northbound DB发生的变化的数据封装成OVSDB的消息格式,发送到OVN Sorthbound DB Server(开放虚拟网络南向数据库服务器)中,OVN Sorthbound DB Server收到消息解析并存储在Sorthbound DB(开放虚拟网络南向数据库)中,同时向OVN Control发送同步OpenFlow消息,OVN Control接收消息解析OpenFlow消息翻译为OVS物理流表存储在内存中,后续经过Openvswitch转发的流量都需要经过对流表的匹配后,根据匹配规则中的具体的动作进行转发或者丢弃,从而实现对虚拟化网络流量进出Virtual Router访问租户网络进行有效的控制。
可见,通过把各种Neutron Server的用户配置转换成OVSDB协议格式的消息,下发到Openvswitch虚拟交换机中,减轻了原有的依赖于L3 Agent以及路由器命名的技术来实现的防火墙对于CPU内核等性能部分的消耗,同时也裁剪掉了Neutron Server与Agents的RPC(Remote Procedure Call,远程过程调用)消息机制,这样就降低了由于RPC消息队列导致的规则同步不同步的问题。
本申请实施例提供的防火墙规则同步方法,对防火墙策略规则同步操作属于同一个事务的原子操作,同事物原子性的操作有效的隔离了由于操作同步间隙导致的时间空挡期网络流量的肆意行为,从而保证了进出虚拟路由器的租户流量避免产生漏风的风险从而导致的虚拟化网络环境中的租户网络的网络安全问题,同时也把问题的发生的风险规避到单个事务中,即使单个节点单个事务出现问题,对造成全局的致命性的网络瘫痪概率大大减轻了,减少了故障的概率,提高了防火墙规则同步的安全性。
下面介绍本申请提供的一种应用实施例,Neutron-Fwaas插件中加载的FwaasUpdate Handle模块的对于防火墙策略规则的同步操作的具体实现如图2,具体实施过程如下:
步骤1:Neutron-Fwass中的Fwaas Update Handle接收处理来自Neutron Server的防火墙同步事件。
步骤2:Fwaas Update Handle判断当前防火墙的状态是否为Pending状态,如果否,则抛出异常,不允许操作,如果为是,则继续进行。
步骤3:Fwaas Update Handle创建同步事务,用于同步防火墙策略规则,则执行具体流程如下:
3.1:根据Neutron Fwaas插件接收的同步的防火墙路由器关联表,提取其中的待添加的路由器列表和待删除的路由器列表;
3.2:首先遍历待删除的路由器列表,删除待删除路由器下的当前同步的防火墙规则,具体操作如下:去除防火墙规则和待删除路由器的关联关系;遍历当前的所有的防火墙关联路由器表,查询是否有路由器与当前的防火墙规则有关联关系,如果有,则直接返回,事务结束;如果没有,则执行删除规则的操作,根据OVSDB协议格式,构造OVSDB消息,通过OVSDB客户端向OVN Northbound DB Server发送删除消息;
3.3:接着遍历待添加的路由器列表,依次向待添加的路由器列表中同步的当前的待同步的防火墙规则,具体操作如下:触发Firewall Rule Update模块,判断当前的待同步的防火墙策略规则是否存在,如果存在,同步当前规则信息覆盖原有的规则信息,并向当前待添加的路由器做关联关系;如果不存在,则新建防火墙规则,并向当前待添加的路由器做关联关系;根据上述的操作后,根据OVSDB协议格式,构造OVSDB消息,通过OVSDB客户端向OVN Northbound DB Server发送同步消息;
3.4:OVN Northbound DB Server接收到OVSDB客户端发送来的消息后,根据消息的内容如同步或者删除,分别对OVN Northbound DB中的规则执行相应的操作;
3.5:OVN Northd Deamon属于守护进程,当监听到OVN Northbound DB的数据发生变化,会把OVN Northbound DB发生变化的类容封装成OVSDB消息,发送到OVN SorthboundDB Server,OVN Sorthbound DB Server接收到OVSDB客户端发送来的消息后,根据消息的内容如同步或者删除,分别对OVN Sorthbound DB中的规则执行相应的操作并同时向OVNControl发送同步OVSDB消息。
3.6:OVN Control服务接收OVSDB的消息后,根据消息内容会把防火墙相关配置转换成的OVS物理流表存储在内存中。
3.7:至此,防火墙策略规则同步事务结束;
下面对本申请实施例提供的一种防火墙规则同步装置进行介绍,下文描述的一种防火墙规则同步装置与上文描述的一种防火墙规则同步方法可以相互参照。
参见图3,根据一示例性实施例示出的一种防火墙规则同步装置的结构图,如图3所示,包括:
创建模块301,用于获取防火墙路由器关联表,并创建防火墙规则同步事务;
提取模块302,用于利用所述防火墙规则同步事务在所述防火墙路由器关联表中提取待添加路由器和待删除路由器;
删除模块303,用于利用所述防火墙规则同步事务删除所述待删除路由器下当前同步的第一防火墙规则;
添加模块304,用于利用所述防火墙规则同步事务在所述待添加路由器中添加待同步的第二防火墙规则。
本申请实施例提供的防火墙规则同步装置,对防火墙策略规则同步操作属于同一个事务的原子操作,同事物原子性的操作有效的隔离了由于操作同步间隙导致的时间空挡期网络流量的肆意行为,从而保证了进出虚拟路由器的租户流量避免产生漏风的风险从而导致的虚拟化网络环境中的租户网络的网络安全问题,同时也把问题的发生的风险规避到单个事务中,即使单个节点单个事务出现问题,对造成全局的致命性的网络瘫痪概率大大减轻了,减少了故障的概率,提高了防火墙规则同步的安全性。
在上述实施例的基础上,作为一种优选实施方式,所述删除模块303包括:
第一删除单元,用于利用所述防火墙规则同步事务删除所述待删除路由器和当前同步的第一防火墙规则之间的关联关系。
在上述实施例的基础上,作为一种优选实施方式,所述删除模块303还包括:
第二删除单元,用于遍历当前所有的防火墙关联路由表,判断是否存在与所述第一防火墙规则存在关联关系的路由器;若否,则删除所述第一防火墙规则。
在上述实施例的基础上,作为一种优选实施方式,所述添加模块304包括:
第一判断单元,用于利用所述防火墙规则同步事务判断是否存在待同步的第二防火墙规则;若是,则启动第一建立单元的工作流程;若否,则启动第二建立单元的工作流程;
第一建立单元,用于建立所述第二防火墙规则与所述待添加路由器之间的关联关系;
第二建立单元,用于新建所述第二防火墙规则,并建立所述第二防火墙规则与所述待添加路由器之间的关联关系。
在上述实施例的基础上,作为一种优选实施方式,所述第一建立单元具体为利用获取到的所述第二防火墙规则的规则信息覆盖已存在的第二防火墙规则的规则信息,并建立所述第二防火墙规则与所述待添加路由器之间的关联关系的单元。
在上述实施例的基础上,作为一种优选实施方式,所述创建模块301包括:
获取单元,用于获取防火墙路由器关联表;
第二判断单元,用于判断当前防火墙的状态是否为等待状态;若是,则启动创建单元的工作流程;
创建单元,用于创建防火墙规则同步事务。
在上述实施例的基础上,作为一种优选实施方式,还包括:
发送模块,用于利用所述防火墙规则同步事务构造OVSDB协议格式的同步消息,将所述同步消息发送至OVN北向数据库和OVN南向数据库中,以便基于所述同步消息对所述OVN北向数据库和所述OVN南向数据库执行对应的操作。
关于上述实施例中的装置,其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
基于上述程序模块的硬件实现,且为了实现本申请实施例的方法,本申请实施例还提供了一种电子设备,图4为根据一示例性实施例示出的一种电子设备的结构图,如图4所示,电子设备包括:
通信接口1,能够与其它设备比如网络设备等进行信息交互;
处理器2,与通信接口1连接,以实现与其它设备进行信息交互,用于运行计算机程序时,执行上述一个或多个技术方案提供的防火墙规则同步方法。而所述计算机程序存储在存储器3上。
当然,实际应用时,电子设备中的各个组件通过总线系统4耦合在一起。可理解,总线系统4用于实现这些组件之间的连接通信。总线系统4除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见,在图4中将各种总线都标为总线系统4。
本申请实施例中的存储器3用于存储各种类型的数据以支持电子设备的操作。这些数据的示例包括:用于在电子设备上操作的任何计算机程序。
可以理解,存储器3可以是易失性存储器或非易失性存储器,也可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(ROM,Read Only Memory)、可编程只读存储器(PROM,Programmable Read-Only Memory)、可擦除可编程只读存储器(EPROM,Erasable Programmable Read-Only Memory)、电可擦除可编程只读存储器(EEPROM,Electrically Erasable Programmable Read-Only Memory)、磁性随机存取存储器(FRAM,ferromagnetic random access memory)、快闪存储器(Flash Memory)、磁表面存储器、光盘、或只读光盘(CD-ROM,Compact Disc Read-Only Memory);磁表面存储器可以是磁盘存储器或磁带存储器。易失性存储器可以是随机存取存储器(RAM,Random AccessMemory),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(SRAM,Static Random Access Memory)、同步静态随机存取存储器(SSRAM,Synchronous Static Random Access Memory)、动态随机存取存储器(DRAM,Dynamic Random Access Memory)、同步动态随机存取存储器(SDRAM,SynchronousDynamic Random Access Memory)、双倍数据速率同步动态随机存取存储器(DDRSDRAM,Double Data Rate Synchronous Dynamic Random Access Memory)、增强型同步动态随机存取存储器(ESDRAM,Enhanced Synchronous Dynamic Random Access Memory)、同步连接动态随机存取存储器(SLDRAM,SyncLink Dynamic Random Access Memory)、直接内存总线随机存取存储器(DRRAM,Direct Rambus Random Access Memory)。本申请实施例描述的存储器2旨在包括但不限于这些和任意其它适合类型的存储器。
上述本申请实施例揭示的方法可以应用于处理器2中,或者由处理器2实现。处理器2可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器2中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器2可以是通用处理器、DSP,或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。处理器2可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的方法的步骤,可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于存储介质中,该存储介质位于存储器3,处理器2读取存储器3中的程序,结合其硬件完成前述方法的步骤。
处理器2执行所述程序时实现本申请实施例的各个方法中的相应流程,为了简洁,在此不再赘述。
在示例性实施例中,本申请实施例还提供了一种存储介质,即计算机存储介质,具体为计算机可读存储介质,例如包括存储计算机程序的存储器3,上述计算机程序可由处理器2执行,以完成前述方法所述步骤。计算机可读存储介质可以是FRAM、ROM、PROM、EPROM、EEPROM、Flash Memory、磁表面存储器、光盘、或CD-ROM等存储器。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:移动存储设备、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
或者,本申请上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台电子设备(可以是个人计算机、服务器、或者网络设备等)执行本申请各个实施例所述方法的全部或部分。而前述的存储介质包括:移动存储设备、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。

Claims (14)

1.一种防火墙规则同步方法,其特征在于,包括:
获取防火墙路由器关联表,并创建防火墙规则同步事务;
利用所述防火墙规则同步事务在所述防火墙路由器关联表中提取待添加路由器和待删除路由器;
利用所述防火墙规则同步事务删除所述待删除路由器下当前同步的第一防火墙规则;
利用所述防火墙规则同步事务在所述待添加路由器中添加待同步的第二防火墙规则;
其中,所述利用所述防火墙规则同步事务删除所述待删除路由器下当前同步的第一防火墙规则,包括:
利用所述防火墙规则同步事务删除所述待删除路由器和当前同步的第一防火墙规则之间的关联关系;
其中,所述利用所述防火墙规则同步事务删除所述待删除路由器和当前同步的第一防火墙规则之间的关联关系之后,还包括:
遍历当前所有的防火墙关联路由表,判断是否存在与所述第一防火墙规则存在关联关系的路由器;
若否,则删除所述第一防火墙规则。
2.根据权利要求1所述防火墙规则同步方法,其特征在于,所述创建防火墙规则同步事务之前,还包括:
判断当前防火墙的状态是否为等待状态;
若是,则执行所述创建防火墙规则同步事务的步骤。
3.一种防火墙规则同步方法,其特征在于,包括:
获取防火墙路由器关联表,并创建防火墙规则同步事务;
利用所述防火墙规则同步事务在所述防火墙路由器关联表中提取待添加路由器和待删除路由器;
利用所述防火墙规则同步事务删除所述待删除路由器下当前同步的第一防火墙规则;
利用所述防火墙规则同步事务在所述待添加路由器中添加待同步的第二防火墙规则;
其中,所述利用所述防火墙规则同步事务在所述待添加路由器中添加待同步的第二防火墙规则,包括:
利用所述防火墙规则同步事务判断是否存在待同步的第二防火墙规则;
若是,则建立所述第二防火墙规则与所述待添加路由器之间的关联关系;
若否,则新建所述第二防火墙规则,并建立所述第二防火墙规则与所述待添加路由器之间的关联关系。
4.根据权利要求3所述防火墙规则同步方法,其特征在于,若存在待同步的第二防火墙规则,则所述建立所述第二防火墙规则与所述待添加路由器之间的关联关系之前,还包括:
利用获取到的所述第二防火墙规则的规则信息覆盖已存在的第二防火墙规则的规则信息。
5.根据权利要求3所述防火墙规则同步方法,其特征在于,所述利用所述防火墙规则同步事务删除所述待删除路由器下当前同步的第一防火墙规则,包括:
利用所述防火墙规则同步事务删除所述待删除路由器和当前同步的第一防火墙规则之间的关联关系。
6.根据权利要求5所述防火墙规则同步方法,其特征在于,所述利用所述防火墙规则同步事务删除所述待删除路由器和当前同步的第一防火墙规则之间的关联关系之后,还包括:
遍历当前所有的防火墙关联路由表,判断是否存在与所述第一防火墙规则存在关联关系的路由器;
若否,则删除所述第一防火墙规则。
7.一种防火墙规则同步方法,其特征在于,包括:
获取防火墙路由器关联表,并创建防火墙规则同步事务;
利用所述防火墙规则同步事务在所述防火墙路由器关联表中提取待添加路由器和待删除路由器;
利用所述防火墙规则同步事务删除所述待删除路由器下当前同步的第一防火墙规则;
利用所述防火墙规则同步事务在所述待添加路由器中添加待同步的第二防火墙规则;
其中,所述利用所述防火墙规则同步事务删除所述待删除路由器下当前同步的第一防火墙规则,或,所述利用所述防火墙规则同步事务在所述待添加路由器中添加待同步的第二防火墙规则之后,还包括:
利用所述防火墙规则同步事务构造OVSDB协议格式的同步消息,将所述同步消息发送至OVN北向数据库和OVN南向数据库中,以便基于所述同步消息对所述OVN北向数据库和所述OVN南向数据库执行对应的操作。
8.根据权利要求7所述防火墙规则同步方法,其特征在于,所述利用所述防火墙规则同步事务删除所述待删除路由器下当前同步的第一防火墙规则,包括:
利用所述防火墙规则同步事务删除所述待删除路由器和当前同步的第一防火墙规则之间的关联关系。
9.根据权利要求8所述防火墙规则同步方法,其特征在于,所述利用所述防火墙规则同步事务删除所述待删除路由器和当前同步的第一防火墙规则之间的关联关系之后,还包括:
遍历当前所有的防火墙关联路由表,判断是否存在与所述第一防火墙规则存在关联关系的路由器;
若否,则删除所述第一防火墙规则。
10.一种防火墙规则同步装置,其特征在于,包括:
创建模块,用于获取防火墙路由器关联表,并创建防火墙规则同步事务;
提取模块,用于利用所述防火墙规则同步事务在所述防火墙路由器关联表中提取待添加路由器和待删除路由器;
删除模块,用于利用所述防火墙规则同步事务删除所述待删除路由器下当前同步的第一防火墙规则;
添加模块,用于利用所述防火墙规则同步事务在所述待添加路由器中添加待同步的第二防火墙规则;
其中,所述删除模块包括:
第一删除单元,用于利用所述防火墙规则同步事务删除所述待删除路由器和当前同步的第一防火墙规则之间的关联关系;
第二删除单元,用于遍历当前所有的防火墙关联路由表,判断是否存在与所述第一防火墙规则存在关联关系的路由器;若否,则删除所述第一防火墙规则。
11.一种防火墙规则同步装置,其特征在于,包括:
创建模块,用于获取防火墙路由器关联表,并创建防火墙规则同步事务;
提取模块,用于利用所述防火墙规则同步事务在所述防火墙路由器关联表中提取待添加路由器和待删除路由器;
删除模块,用于利用所述防火墙规则同步事务删除所述待删除路由器下当前同步的第一防火墙规则;
添加模块,用于利用所述防火墙规则同步事务在所述待添加路由器中添加待同步的第二防火墙规则;
其中,所述添加模块包括:
第一判断单元,用于利用所述防火墙规则同步事务判断是否存在待同步的第二防火墙规则;若是,则启动第一建立单元的工作流程;若否,则启动第二建立单元的工作流程;
第一建立单元,用于建立所述第二防火墙规则与所述待添加路由器之间的关联关系;
第二建立单元,用于新建所述第二防火墙规则,并建立所述第二防火墙规则与所述待添加路由器之间的关联关系。
12.一种防火墙规则同步装置,其特征在于,包括:
创建模块,用于获取防火墙路由器关联表,并创建防火墙规则同步事务;
提取模块,用于利用所述防火墙规则同步事务在所述防火墙路由器关联表中提取待添加路由器和待删除路由器;
删除模块,用于利用所述防火墙规则同步事务删除所述待删除路由器下当前同步的第一防火墙规则;
添加模块,用于利用所述防火墙规则同步事务在所述待添加路由器中添加待同步的第二防火墙规则;
其中,还包括:
发送模块,用于利用所述防火墙规则同步事务构造OVSDB协议格式的同步消息,将所述同步消息发送至OVN北向数据库和OVN南向数据库中,以便基于所述同步消息对所述OVN北向数据库和所述OVN南向数据库执行对应的操作。
13.一种电子设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至9任一项所述防火墙规则同步方法的步骤。
14.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至9任一项所述防火墙规则同步方法的步骤。
CN202110873717.7A 2021-07-30 2021-07-30 一种防火墙规则同步方法、装置及电子设备和存储介质 Active CN113765885B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110873717.7A CN113765885B (zh) 2021-07-30 2021-07-30 一种防火墙规则同步方法、装置及电子设备和存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110873717.7A CN113765885B (zh) 2021-07-30 2021-07-30 一种防火墙规则同步方法、装置及电子设备和存储介质

Publications (2)

Publication Number Publication Date
CN113765885A CN113765885A (zh) 2021-12-07
CN113765885B true CN113765885B (zh) 2023-08-15

Family

ID=78788272

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110873717.7A Active CN113765885B (zh) 2021-07-30 2021-07-30 一种防火墙规则同步方法、装置及电子设备和存储介质

Country Status (1)

Country Link
CN (1) CN113765885B (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104954335A (zh) * 2014-03-27 2015-09-30 中国移动通信集团安徽有限公司 一种阻断高风险网络入侵的方法及系统
CN106302466A (zh) * 2016-08-17 2017-01-04 东软集团股份有限公司 一种防火墙的管理方法及系统
CN108173842A (zh) * 2017-12-26 2018-06-15 国家电网公司 基于openstack云平台的软件定义防火墙的部署优化方法
CN112000434A (zh) * 2020-08-14 2020-11-27 苏州浪潮智能科技有限公司 一种基于Kubernetes动态管理服务治理规则配置方法和系统
CN112217902A (zh) * 2020-10-22 2021-01-12 新华三信息安全技术有限公司 一种防火墙数据同步方法及装置

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8949418B2 (en) * 2012-12-11 2015-02-03 International Business Machines Corporation Firewall event reduction for rule use counting
US10587578B2 (en) * 2016-12-19 2020-03-10 Nicira, Inc. Firewall rule management for hierarchical entities

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104954335A (zh) * 2014-03-27 2015-09-30 中国移动通信集团安徽有限公司 一种阻断高风险网络入侵的方法及系统
CN106302466A (zh) * 2016-08-17 2017-01-04 东软集团股份有限公司 一种防火墙的管理方法及系统
CN108173842A (zh) * 2017-12-26 2018-06-15 国家电网公司 基于openstack云平台的软件定义防火墙的部署优化方法
CN112000434A (zh) * 2020-08-14 2020-11-27 苏州浪潮智能科技有限公司 一种基于Kubernetes动态管理服务治理规则配置方法和系统
CN112217902A (zh) * 2020-10-22 2021-01-12 新华三信息安全技术有限公司 一种防火墙数据同步方法及装置

Also Published As

Publication number Publication date
CN113765885A (zh) 2021-12-07

Similar Documents

Publication Publication Date Title
US10831574B2 (en) Remote procedure call method for network device and network device
CN112738791B (zh) 基于5g核心网的用户信息关联回填方法、装置、设备和介质
US20150215165A1 (en) Management device and method of managing configuration information of network device
CN111787126B (zh) 容器创建方法、服务器及存储介质
CN113326101B (zh) 基于远程直接数据存储的热迁移方法、装置及设备
CN112887229B (zh) 一种会话信息同步方法及装置
CN112035216A (zh) 一种Kubernetes集群网络和OpenStack网络的打通方法
CN112491789B (zh) 一种基于OpenStack框架的虚拟防火墙构建方法及存储介质
CN113992738A (zh) 基于微服务网关的反向代理方法、装置、设备及存储介质
CN111064626A (zh) 配置更新方法、装置、服务器及可读存储介质
CN106941418B (zh) Ssl vpn配置信息的同步方法和装置
CN112003794B (zh) 一种浮动ip限流方法、系统、终端及存储介质
CN113765885B (zh) 一种防火墙规则同步方法、装置及电子设备和存储介质
US11080150B2 (en) Method for creating consistency snapshot for distributed application, apparatus, and distributed system
CN113268308A (zh) 信息处理方法、装置以及存储介质
US20240039825A1 (en) Network switching method and apparatus, electronic device, and storage medium
CN115913778A (zh) 一种基于边车模式的网络策略更新方法、系统及存储介质
CN114422358A (zh) Api网关配置更新方法及设备
US11604877B1 (en) Nested courses of action to support incident response in an information technology environment
CN109710423B (zh) 一种用于虚拟机间通信的方法及设备
CN112395049A (zh) 一种业务服务器调用方法、系统、设备及存储介质
CN115913824B (zh) 跨vpc的虚拟服务器通信方法及系统
CN111988154A (zh) 一种网络传输加速的方法、装置及计算机可读存储介质
RU2802373C1 (ru) Системы и способы получения информации сети радиодоступа
CN113098954B (zh) 报文转发方法、装置、计算机设备和存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant