配置信息的同步方法、装置、设备和存储介质与流程

本技术涉及网络安全，尤其涉及一种配置信息的同步方法、装置、设备和存储介质。

背景技术：

1、web应用防火墙(web application firewall，waf)是通过执行一系列针对http/https的安全策略来专门为全球广域网(world wide web，web)应用提供安全保护的一款产品。主要用于防御web应用攻击，恶意爬虫等危害网站的行为。

2、目前，在安全配置文件下发时，为保证各个节点的配置文件的一致性，必须下发至所有节点，这就必须要求所有节点都成功才算成功。节点较多的时候会导致等待时间偏长并且需要通过网络传输大量数据，导致系统容错性较差，一旦任何节点异常，都会导致本次配置下发失败。

技术实现思路

1、有鉴于此，本技术实施例提供了一种配置信息的同步方法、装置、设备和存储介质，旨在降低waf系统配置同步的网络传输量，提高配置同步效率。

2、本技术实施例的技术方案是这样实现的：

3、第一方面，本技术实施例提供了一种配置信息的同步方法，应用于防火墙管理平台，包括：

4、接收请求节点发送的配置同步请求，所述配置同步请求包括所述请求节点的节点名称和第一信息，所述第一信息表征所述请求节点的当前配置信息；

5、基于所述节点名称和第二信息确定第三信息，所述第二信息包括所述防火墙管理平台维护的各节点的配置维护信息；所述第三信息表征所述请求节点的预期配置信息；

6、基于所述第一信息与所述第三信息的比较结果，生成配置变更指示信息；

7、发送所述配置变更指示信息至所述请求节点，所述配置变更指示信息用于指示所述请求节点对本地配置文件进行更新。

8、上述方案中，所述第二信息包括：指示维护的节点和节点组的对应关系的映射信息，所述基于所述节点名称和第二信息确定第三信息，包括：

9、基于所述节点名称和所述映射信息确定所述请求节点所属的节点组集合；

10、基于所述节点组集合中各节点的配置维护信息，确定所述请求节点的第三信息。

11、上述方案中，所述第一信息包括：所述请求节点管理的第一域名集合及所述第一域名集合中各网站域名对应的第一配置文件标识；所述第三信息包括所述请求节点的第三域名集合及所述第三域名集合中各网站域名对应的第三配置文件标识；所述基于所述第一信息与所述第三信息的比较结果，生成配置变更指示信息，包括：

12、若所述第一域名集合中存在不属于所述第三域名集合的网站域名，则生成第一指示信息，所述第一指示信息用于指示所述请求节点删除所述第一域名集合中不属于第三域名集合的网站域名和相应的网站域名的本地配置文件；

13、若所述第三域名集合中存在不属于所述第一域名集合的网站域名，则生成第二指示信息，所述第二指示信息用于指示所述请求节点增加所述第三域名集合中不属于第一域名集合的网站域名并下载相应的网站域名的待下载配置文件；

14、若所述第三域名集合与所述第一域名集合中的网站域名相同且所述第三配置文件标识和所述第一配置文件标识不同，则生成第三指示信息，所述第三指示信息用于指示所述请求节点下载所述第三配置文件标识对应的待下载配置文件并将所述第一配置文件标识更新为所述第三配置文件标识；

15、其中，所述待下载配置文件存储于配置文件存储中心。

16、上述方案中，所述方法还包括：

17、接收网站域名的配置变更请求；

18、基于所述配置变更请求和生成模板，生成所述网站域名对应的配置文件；

19、将所述网站域名对应的配置文件发送至配置文件存储中心；

20、接收来自所述配置文件文件存储中心的所述网站域名对应的配置文件标识；

21、基于所述网站域名和所述网站域名对应的配置文件标识，更新所述第二信息。

22、上述方案中，所述第二信息包括：维护的节点组的第二域名集合、所述第二域名集合中各网站域名对应的第二配置文件标识及指示维护的节点和节点组的对应关系的映射信息；所述方法还包括：

23、接收所述请求节点的初始化请求，所述请求节点的初始化请求包括节点名称和所述请求节点所属的节点组信息；

24、基于所述节点名称和所述请求节点所属的节点组信息，更新所述映射信息；

25、基于所述请求节点所属的节点组的第二域名集合和所述第二域名集合中各网站域名对应的第二配置文件标识确定所述请求节点的网站域名集合和所述网站域名集合对应的配置文件标识；

26、发送第四指示信息至所述请求节点，所述第四指示信息用于指示所述请求节点下载所述网站域名集合对应的配置文件标识的待下载配置文件，所述第四指示信息包括所述请求节点的网站域名集合和所述网站域名对应的配置文件标识。

27、上述方案中，所述方法还包括：

28、存储来自所述请求节点的配置同步请求和所述配置同步请求的请求时间。

29、第二方面，一种配置信息的同步方法，应用于防火墙系统的节点，包括：

30、向防火墙管理平台发送配置同步请求，所述配置同步请求包括所述节点的节点名称和第一信息，所述第一信息表征所述节点的当前配置信息；

31、接收所述管理平台发送的配置变更指示信息，其中，所述配置变更指示信息由所述第一信息和第三信息的比较结果生成；所述第三信息表征所述节点的预期配置信息，所述第三信息由所述节点名称和第二信息确定；所述第二信息包括防火墙管理节点维护的各节点的配置维护信息；

32、基于所述配置变更指示信息，对本地配置文件进行更新。

33、第三方面，本技术实施例提供了一种配置信息的同步装置，应用于防火墙管理平台，包括：

34、第一接收模块，用于接收请求节点发送的配置同步请求，所述配置同步请求包括所述请求节点的节点名称和第一信息，所述第一信息表征所述请求节点的当前配置信息；

35、确定模块，用于基于所述节点名称和第二信息确定第三信息，所述第二信息包括所述防火墙管理平台维护的各请求节点的配置维护信息，所述第三信息表征所述请求节点的预期配置信息；

36、生成模块，用于基于所述第一信息与所述第三信息的比较结果，生成配置变更指示信息；

37、第一发送模块，用于发送所述配置变更指示信息至所述请求节点，所述配置变更指示信息用于指示所述请求节点对本地配置文件进行更新。

38、第四方面，本技术实施例提供了一种配置信息的同步装置，应用于防火墙请求节点，所述装置包括：

39、第二发送模块，用于向防火墙管理平台发送配置同步请求，所述配置同步请求包括所述请求节点的节点名称和第一信息，所述第一信息表征所述请求节点的当前配置信息；

40、第二接收模块，用于接收所述管理平台发送的配置变更指示信息；

41、更新模块，用于基于所述配置变更指示信息，对本地配置文件进行更新。

42、第五方面，本技术实施例提供了一种防火墙管理平台，包括：处理器和用于存储能够在处理器上运行的计算机程序的存储器，其中，所述处理器，用于运行计算机程序时，执行上述第一方面所述方法的步骤。

43、第六方面，本技术实施例提供了一种防火墙系统的节点，包括：处理器和用于存储能够在处理器上运行的计算机程序的存储器，其中，所述处理器，用于运行计算机程序时，执行上述第二方面所述方法的步骤。

44、第七方面，本技术实施例提供了一种防火墙系统，包括如上述第五方面所述的防火墙系统和上述第六方面所述防火墙系统的节点。

45、第八方面，本技术实施例提供了一种计算机介质，所述存储介质上存储有计算机程序，所述计算机程序被处理器执行时，实现本技术实施例任一方面所述方法的步骤。

46、本技术实施例提供的技术方案，防火墙管理平台通过管理第二信息，第二信息包括各请求节点的配置维护信息，接收来自请求节点的配置同步请求，配置同步请求包括请求节点的节点名称和第一信息；并基于第一信息与第二信息的比较结果，生成用于指示请求节点对本地配置文件进行更新的配置变更指示信息。如此，在防火墙管理平台实现了对请求节点安全配置信息的比对和安全配置文件同步的统一管理，节点仅需要根据管理平台的指示进行本地配置文件的更新，提高了waf系统的可扩展性，降低了waf系统节点的配置文件同步的操作复杂度和网络传输量，提高了安全配置文件同步的效率。