[发明专利]数据传输方法、数据传输系统、防火墙设备和存储介质

说明书

本公开提供了一种数据传输方法，应用于第一防火墙，该方法包括：在通过第二防火墙向服务端发送来自客户端的请求数据包的情况下，接收来自服务端的响应数据包，其中，第一防火墙为第二防火墙的备份防火墙；对响应数据包进行解析，得到解析数据；根据解析数据查找是否存在与响应数据包匹配的会话数据，以确定是否向第二防火墙发送响应数据包；以及在不存在与响应数据包匹配的会话数据的情况下，向第二防火墙发送响应数据包，以使得通过第二防火墙对响应数据包进行处理。本公开还提供了一种应用于第二防火墙的数据传输方法，一种数据传输系统和一种防火墙设备、一种可读存储介质和一种计算机程序产品。

技术领域

本公开涉及计算机技术领域，更具体地，涉及一种数据传输方法，一种数据传输系统和一种防火墙设备、一种可读存储介质和一种计算机程序产品。

背景技术

在部署多台防火墙设备(以下简称防火墙)时，因客户网络环境复杂，普遍存在一些特殊需求，例如：不改变当前网络组网、不能因防火墙部署带来其他网络设备的采购、防火墙之间独立工作且互为备份、支持非对称路由结构下的路径冗余。

目前主流厂商防火墙，基于链路级的多重冗余能力，能提供多种环境下灵活组网，具体部署时可以依据具体客户网络环境选择主/备和主/主结构下的口型或Full Mesh组网方式，支持多台防火墙独立工作时的会话同步。在支持多台防火墙会话同步时，防火墙之间需要传输各自创建的会话数据，然后基于创建的会话数据进行数据包的转发。

在实现本公开构思的过程中，发明人发现相关技术中至少存在如下问题：如果防火墙在无会话数据的情况下收到服务端返回的数据包，可能会出现本该转发给客户端却丢包的情况，导致客户端需要重新发起连接建立过程，从而影响数据传输效率。

发明内容

有鉴于此，本公开提供了一种数据传输方法，一种数据传输系统和一种防火墙设备。

本公开的一个方面提供了一种数据传输方法，应用于第一防火墙，所述方法包括：在通过第二防火墙向服务端发送来自客户端的请求数据包的情况下，接收来自所述服务端的响应数据包，其中，所述第一防火墙为所述第二防火墙的备份防火墙；对所述响应数据包进行解析，得到解析数据；根据所述解析数据查找是否存在与所述响应数据包匹配的会话数据，以确定是否向所述第二防火墙发送所述响应数据包；以及在不存在与所述响应数据包匹配的会话数据的情况下，向所述第二防火墙发送所述响应数据包，以使得通过所述第二防火墙对所述响应数据包进行处理。

根据本公开的实施例，所述的方法还包括：在不存在与所述响应数据包匹配的会话数据的情况下，在向所述第二防火墙发送所述响应数据包之前，确定所述响应数据包的协议类型；判断所述响应数据包的协议类型是否配置了转发策略；以及在所述响应数据包的协议类型配置了转发策略的情况下，向所述第二防火墙发送所述响应数据包。

根据本公开的实施例，所述的方法还包括：在所述响应数据包的协议类型没有配置转发策略的情况下，对所述响应数据包执行检查操作；在所述响应数据包检查通过的情况下，创建与所述响应数据包对应的会话，并向所述客户端发送所述响应数据包；以及在所述响应数据包检查不通过的情况下，对所述响应数据包进行丢包处理。

根据本公开的实施例，所述的方法还包括：在存在与所述响应数据包匹配的会话数据的情况下，向所述客户端发送所述响应数据包。

根据本公开的实施例，通过所述第二防火墙对所述响应数据包进行处理包括：判断所述第二防火墙是否存在与所述响应数据包匹配的会话数据；以及在所述第二防火墙不存在与所述响应数据包匹配的会话数据的情况下，对所述响应数据包进行丢包处理。

根据本公开的实施例，所述的方法还包括：在所述第二防火墙存在与所述响应数据包匹配的会话数据的情况下，向所述客户端发送所述响应数据包；以及向所述第一防火墙发送所述会话数据，以便所述第一防火墙保存所述会话数据。