由防火墙执行的信息处理方法、装置、电子设备和介质制造方法及图纸

本公开提供了一种信息处理方法，包括：如果防火墙是主用防火墙，获取第一配置信息，第一配置信息包括第一地址信息；将第一地址信息发送到防火墙的第一数据平面，使得防火墙能够使用第一地址信息进行通信；基于第一配置信息，向备用防火墙发送同步信息，同步信息包括第一地址信息，使得备用防火墙将第一地址信息存储于备用防火墙的第二控制平面；如果防火墙是备用防火墙，获取第一地址信息，并将第一地址信息存储于自身的第二控制平面而不发送至自身的第二数据平面，其中，第一地址信息被其他主用防火墙发送到第一数据平面。

Information processing methods, devices, electronic devices and media performed by firewalls

【技术实现步骤摘要】
由防火墙执行的信息处理方法、装置、电子设备和介质
本公开涉及互联网
，更具体地，涉及一种由防火墙执行的信息处理方法、装置、电子设备和介质。
技术介绍
高可用(highavailability，HA)技术是一种保证网络稳定运行的技术。一般由2台或2台以上的设备组成一个集群，并由其中1台设备作为主用设备来进行网络转发以及业务处理等工作。其他设备作为备用设备，用于在主设备异常的时候接替主设备的工作，以保证网络能稳定运行。对于防火墙的主备切换，需要满足主用防火墙和备用防火墙的配置(网际互联地址等)同步和动态信息(包括会话、NAT、IPsec连接等等)同步。然而，用于转发和业务处理的网际互联地址在链路上具有唯一性，若主用防火墙和备用防火墙配置相同的网际互联地址，则会发生地址冲突，而影响网络通信。
技术实现思路
有鉴于此，本公开提供了一种由防火墙执行的信息处理方法、装置、电子设备和介质。本公开的一个方面提供了一种由防火墙执行的信息处理方法，包括：如果所述防火墙是主用防火墙，获取第一配置信息，所述第一配置信息包括第一地址信息；将所述第一地址信息发送到所述防火墙的第一数据平面，使得所述防火墙能够使用所述第一地址信息进行通信；基于所述第一配置信息，向备用防火墙发送同步信息，所述同步信息包括所述第一地址信息，使得所述备用防火墙将所述第一地址信息存储于所述备用防火墙的第二控制平面；如果所述防火墙是备用防火墙，获取第一地址信息，并将所述第一地址信息存储于自身的第二控制平面而不发送至自身的第二数据平面，其中，所述第一地址信息被所述其他主用防火墙发送到第一数据平面。根据本公开的实施例，该方法还包括在所述防火墙是主用防火墙的情况下，响应于获取到切换消息，将所述第一地址信息从所述第一数据平面中删除，其中，所述切换消息用于指示将所述防火墙切换为备用防火墙；以及向所述备用防火墙发送所述切换消息，使得所述备用防火墙响应于所述切换消息从所述第二控制平面中读取所述第一地址信息，并将所述第一地址信息发送到所述备用防火墙的第二数据平面，以由所述备用防火墙使用所述第一地址信息进行通信。根据本公开的实施例，该方法还包括在所述防火墙是主用防火墙的情况下，从第一配置信息中确定出第二地址信息；以及将第二地址信息发送到第一数据平面，使得在防火墙被切换为备用防火墙的情况下，防火墙使用第二地址信息进行通信。根据本公开的实施例，该方法还包括在防火墙的第一地址信息发送到第一数据平面之后，执行重复性地址检测；在通过执行重复性地址检测确定第一地址信息冲突的情况下，将第一地址信息从防火墙中删除。根据本公开的实施例，该方法还包括在防火墙被重启的情况下，从防火墙的配置文件中读取第一配置信息，并将第一地址信息存储到防火墙的第一控制平面；与另一防火墙协商，以重新确定主用防火墙和备用防火墙；在防火墙被重新确定为备用防火墙的情况下，保持第一地址信息在第一控制平面；或者在防火墙被重新确定为主用防火墙的情况下，将第一地址信息发送到第一数据平面。根据本公开的实施例，该方法还包括在防火墙启动后的预设时间内没有接收到来自其他防火墙的心跳包的情况下，确定防火墙为主用防火墙；在防火墙启动后的预设时间内接收到来自其他防火墙的心跳包的情况下，确定防火墙为备用防火墙。根据本公开的实施例，该方法还包括在防火墙启动后的预设时间内接收到来自其他防火墙的心跳包的情况下，将防火墙的优先级与其他防火墙的优先级进行比较；如果防火墙的优先级高于其他防火墙的优先级，确定防火墙变为主用防火墙，并且向其他设备发送心跳包；如果防火墙的优先级低于其他防火墙的优先级，确定防火墙为备用防火墙；在防火墙启动后的预设时间内没有接收到来自其他防火墙的心跳包的情况下，确定防火墙为主用防火墙。本公开的另一个方面提供了一种由防火墙执行的信息处理方法，包括：在防火墙是备用防火墙的情况下，获取第二配置信息，第二配置信息包括第三地址信息；将第三地址信息发送到第二数据平面，以使得防火墙使用第三地址信息通信；接收来自其他主用防火墙的同步信息，同步信息包括第一地址信息，其中，第一地址信息被其他主用防火墙发送到第一数据平面；将第一地址信息存储于防火墙的第二控制平面；以及响应于接收到来自主用防火墙的切换消息，从第二控制平面中读取第一地址信息，并将第一地址信息发送到第二数据平面，以使防火墙能够使用第一地址信息进行通信。本公开的另一个方面提供了一种信息处理装置，包括：第一获取模块，用于如果所述防火墙是主用防火墙，获取第一配置信息，所述第一配置信息包括第一地址信息；第一发送模块，用于将所述第一地址信息发送到所述防火墙的第一数据平面，使得所述防火墙能够使用所述第一地址信息进行通信；第二发送模块，用于基于所述第一配置信息，向备用防火墙发送同步信息，所述同步信息包括所述第一地址信息，使得所述备用防火墙将所述第一地址信息存储于所述备用防火墙的第二控制平面；第二获取模块，用于如果所述防火墙是备用防火墙，获取第一地址信息，并将所述第一地址信息存储于自身的第二控制平面而不发送至自身的第二数据平面，其中，所述第一地址信息被所述其他主用防火墙发送到第一数据平面。本公开的另一个方面提供了一种信息处理装置，包括：第三获取模块，用于在所述防火墙是备用防火墙的情况下，获取第二配置信息，所述第二配置信息包括第三地址信息；第三发送模块，用于将所述第三地址信息发送到所述第二数据平面，以使得所述防火墙使用所述第三地址信息通信；接收模块，用于接收来自其他主用防火墙的同步信息，所述同步信息包括第一地址信息，其中，所述第一地址信息被所述其他主用防火墙发送到第一数据平面；存储模块，用于将所述第一地址信息存储于所述防火墙的第二控制平面；以及切换模块，用于响应于接收到来自所述主用防火墙的切换消息，从所述第二控制平面中读取所述第一地址信息，并将所述第一地址信息发送到所述第二数据平面，以使所述防火墙能够使用所述第一地址信息进行通信。本公开的另一方面提供了一种电子设备，包括：一个或多个处理器；存储装置，用于存储一个或多个程序，其中，当所述一个或多个程序被所述一个或多个处理器执行时，使得所述一个或多个处理器执行上述方法。本公开的另一方面提供了一种计算机可读存储介质，存储有计算机可执行指令，所述指令在被执行时用于实现如上所述的方法。本公开的另一方面提供了一种计算机程序，所述计算机程序包括计算机可执行指令，所述指令在被执行时用于实现如上所述的方法。根据本公开的实施例，可以至少部分地解决防火墙主备切换时网际互联地址冲突的问题，并因此可以实现至少部分地避免防火墙主备切换时网际互联地址冲突，并实现防火墙高可用的技术效果。附图说明通过以下参照附图对本公开实施例的描述，本公开的上述以及其他目的、特征和优点将更为清楚，在附图中：图1示意性示出了根据本公开实施例的可以由防火墙执行的信息处理方法的示例性系统架构；图2A和2B示意性示出了根据本公开实施例的由防火墙执行的信息处理方法的流程图；...

【技术保护点】
1.一种由防火墙执行的信息处理方法，包括：/n如果所述防火墙是主用防火墙，获取第一配置信息，所述第一配置信息包括第一地址信息；/n将所述第一地址信息发送到所述防火墙的第一数据平面，使得所述防火墙能够使用所述第一地址信息进行通信；/n基于所述第一配置信息，向备用防火墙发送同步信息，所述同步信息包括所述第一地址信息，使得所述备用防火墙将所述第一地址信息存储于所述备用防火墙的第二控制平面；/n如果所述防火墙是备用防火墙，获取第一地址信息，并将所述第一地址信息存储于自身的第二控制平面而不发送至自身的第二数据平面，其中，所述第一地址信息被所述其他主用防火墙发送到第一数据平面。/n

【技术特征摘要】
1.一种由防火墙执行的信息处理方法，包括：
如果所述防火墙是主用防火墙，获取第一配置信息，所述第一配置信息包括第一地址信息；
将所述第一地址信息发送到所述防火墙的第一数据平面，使得所述防火墙能够使用所述第一地址信息进行通信；
基于所述第一配置信息，向备用防火墙发送同步信息，所述同步信息包括所述第一地址信息，使得所述备用防火墙将所述第一地址信息存储于所述备用防火墙的第二控制平面；
如果所述防火墙是备用防火墙，获取第一地址信息，并将所述第一地址信息存储于自身的第二控制平面而不发送至自身的第二数据平面，其中，所述第一地址信息被所述其他主用防火墙发送到第一数据平面。


2.根据权利要求1所述的方法，还包括：
在所述防火墙是主用防火墙的情况下，响应于获取到切换消息，将所述第一地址信息从所述第一数据平面中删除，其中，所述切换消息用于指示将所述防火墙切换为备用防火墙；以及
向所述备用防火墙发送所述切换消息，使得所述备用防火墙响应于所述切换消息从所述第二控制平面中读取所述第一地址信息，并将所述第一地址信息发送到所述备用防火墙的第二数据平面，以由所述备用防火墙使用所述第一地址信息进行通信。


3.根据权利要求1所述的方法，还包括：
在所述防火墙是主用防火墙的情况下，从所述第一配置信息中确定出第二地址信息；以及
将所述第二地址信息发送到所述第一数据平面，使得在所述防火墙被切换为备用防火墙的情况下，所述防火墙使用所述第二地址信息进行通信。


4.根据权利要求1所述的方法，还包括：
在所述防火墙的第一地址信息发送到所述第一数据平面之后，执行重复性地址检测；
在通过执行所述重复性地址检测确定所述第一地址信息冲突的情况下，将所述第一地址信息从所述防火墙中删除。


5.根据权利要求1所述的方法，还包括：
在所述防火墙被重启的情况下，从所述防火墙的配置文件中读取所述第一配置信息，并将所述第一地址信息存储到所述防火墙的第一控制平面；
与所述另一防火墙协商，以重新确定主用防火墙和备用防火墙；
在所述防火墙被重新确定为备用防火墙的情况下，保持所述第一地址信息在所述第一控制平面；或者
在所述防火墙被重新确定为主用防火墙的情况下，将所述第一地址信息发送到所述第一数据平面。


6.根据权利要求1所述的方法，还包括：
在所述防火墙启动后的预设时间内没有接收到来自其他防火墙的心跳包的情况下，确定所述防火墙为主用防火墙；
在所述防火墙启动后的预设时间内接收到来自所述其他防火墙的心跳包的情况下，确定所述防火墙为备用防火墙。


7.根据权利要求1所述的方法，还包括：
在所述防火墙启动后的预设时间内接收到来自所述其他防火墙的心跳包的情况下，将所述防火墙的优先级与所述其他防火墙的优先级进行比较；
如果所述防火墙的优先级高于所述其他防火墙的优先级，确定所述防火墙变为主用防火墙，并且向所述其他设备发送心跳包；
如果所述防火墙的优先级低于所述其他防火墙的优先级，确定...

【专利技术属性】
技术研发人员：李杨，胡松，孙宝良，
申请(专利权)人：奇安信科技集团股份有限公司，网神信息技术北京股份有限公司，
类型：发明
国别省市：北京;11