CN101651680A - 一种网络安全部署方法和一种网络安全设备 - Google Patents
一种网络安全部署方法和一种网络安全设备 Download PDFInfo
- Publication number
- CN101651680A CN101651680A CN200910092642A CN200910092642A CN101651680A CN 101651680 A CN101651680 A CN 101651680A CN 200910092642 A CN200910092642 A CN 200910092642A CN 200910092642 A CN200910092642 A CN 200910092642A CN 101651680 A CN101651680 A CN 101651680A
- Authority
- CN
- China
- Prior art keywords
- card
- plug
- cluster
- fire compartment
- compartment wall
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种网络安全部署方法,包括:将多个防火墙插卡组成一个集群,在集群中选举一个防火墙插卡作为主防火墙插卡,则其他防火墙插卡为从防火墙插卡;主防火墙插卡对集群中的所有防火墙插卡实现配置信息的同步以及业务状态信息的同步;将集群中的各个防火墙插卡的各业务端口,聚合成一个聚合端口组,并在聚合端口组上配置负载分担算法,使得进入集群的业务流量在集群的各防火墙插卡之间实现负载分担。本发明还公开了一种网络安全设备。本发明的技术方案能够在多个防火墙插卡之间实现均匀的负载分担,且组网灵活、配置简单。
Description
技术领域
本发明涉及网络安全技术领域,尤指一种网络安全部署方法和一种网络安全设备。
背景技术
随着网络应用的深化,网络安全变得越来越重要。将网络安全融入到网络应用和网络设备中,是目前和未来网络发展的必然趋势。目前各个设备厂家都推出了在交换机上部署的防火墙插卡。
通过防火墙插卡,用户可灵活、迅速地在以太网交换机当中整合防火墙、虚拟专用网(VPN)等安全功能,实现网络和安全防护的高度一体化。
目前的防火墙插卡已经完全实现了三层交换机的转发机制,这使得防火墙可以极灵活地应用在现在越来越流行的多层交换网络中,同时又提供了丰富的安全特性,为用户网络提供安全保护。其特点如下:
a、将交换机的转发和业务处理有机融合在一起,在实现交换机的高性能数据转发的同时,能够根据组网的特点处理安全业务,实现安全防护和监控;
b、防火墙插卡可以提供多个业务口,充分满足用户的业务扩展;通过内部的高速10G以太网接口与交换机或其他网络设备相连,同时具有线速转发能力,更保证了与业务插卡间通畅的数据转发;
c、防火墙插卡都采用了专用多核高性能处理器和高速存储器,在高速处理安全业务的同时,交换机的原有业务处理不会受到任何影响;
d、防火墙插卡定位在内网和外网之间,实现企业内容和intranet,extranet的安全接入互联;实现为基于用户的业务和接入控制,对各种网络攻击的防范;
e、防火墙插卡可以插在交换机的任何槽位,并且在一台设备上可以插入多块防火墙插卡进行性能扩展,轻松适应不断升级的网络需求。
在现有的组网中,通过在网络设备上部署两块防火墙插卡,并启用双机热备功能和虚拟路由器冗余协议(VRRP)功能,可以提供组网应用的高可靠性。但在此种部署方式中,防火墙插卡多作为主备模式部署,未实现负载分担,硬件利用率不高。要实现业务的负载分担,防火墙插卡需作为服务器网关设备,并配置多组VRRP虚地址作为服务器网关地址,服务器基于不同的网管将流量分担到不同的防火墙插卡上。如果防火墙插卡不作为服务器的网关设备,则只能通过路由设计来满足负载分担的需求,即为了每个防火墙插卡分别配置IP地址,将不同的业务流分担到不同IP地址的防火墙插卡。
现有的方法只能通过配置多网关的方式或通过路由设计的方式简单地实现流量的负载分担,该负载分担需要人为设计且只能基于IP地址段,严格来说不是真正意义上的负载分担,由此带来的问题就是业务区分方式不灵活,组网限制大,分担流量不均匀,配置复杂等。现有的方法只能实现双防火墙插卡的热备份功能,缺乏可扩展性,即当三个或三个以上的防火墙插卡之间实现负载分担时,不能实现热备份功能。此外,将防火墙插卡部署为服务器网关的方式缺乏灵活性,而通过路由设计实现负载分担的方式在实际部署中配置复杂。
发明内容
本发明提供了一种网络安全部署方法,该方法能够在多个防火墙插卡之间实现均匀的负载分担和热备份功能,且组网灵活、配置简单。
本发明还提供了一种网络安全设备,该设备能够在多个防火墙插卡之间实现均匀的负载分担和热备份功能,且组网灵活、配置简单。
为达到上述目的,本发明的技术方案具体是这样实现的:
本发明公开了一种网络安全部署方法,该方法包括:
将交换设备中的多个防火墙插卡组成一个集群,在集群中选举一个防火墙插卡作为主防火墙插卡,则其他防火墙插卡为从防火墙插卡;
主防火墙插卡对集群中的所有防火墙插卡实现配置信息的同步以及业务状态信息的同步;
将集群中的各个防火墙插卡的各业务端口,聚合成一个聚合端口组,并在聚合端口组上配置负载分担算法,使得进入集群的业务流量在集群的各防火墙插卡之间实现负载分担;
其中,所述交换设备为交换机或堆叠交换机。
本发明还公开了一种网络安全设备,该设备包括多个防火墙插卡,且该多个防火墙插卡组成一个集群;
集群中的各防火墙插卡,用于选举一个防火墙插卡作为主防火墙插卡,则其他防火墙插卡为从防火墙插卡;
集群中的主防火墙插卡,用于对集群中的所有防火墙插卡实现配置信息的同步以及业务状态信息的同步;
集群中的各个防火墙插卡的各业务端口,被聚合成一个聚合端口组;并在聚合端口组上配置有负载分担算法,使得进入集群的业务流量在集群的各防火墙插卡之间实现负载分担。
由上述技术方案可见,本发明这种将多个防火墙插卡组成一个集群,在集群中选举一个防火墙插卡作为主防火墙插卡,则其他防火墙插卡为从防火墙插卡;主防火墙插卡对集群中的所有防火墙插卡实现配置信息的同步以及业务状态信息的同步;将集群中的各个防火墙插卡的各业务端口,聚合成一个聚合端口组,并在聚合端口组上配置负载分担算法,使得进入集群的业务流量在集群的各防火墙插卡之间实现负载分担是技术方案,能够在多个防火墙插卡之间实现均匀的负载分担和热备份功能,且组网灵活、配置简单。
附图说明
图1是本发明实施例中的多个防火墙插卡形成集群的示意图;
图2是本发明实施例中master选举完成后的集群系统示意图;
图3是本发明实施例中在防火墙集群上实现负载分担的示意图;
图4是本发明实施例中防火墙插卡集群实现业务处理的示意图;
图5是本发明实施例中的故障处理机制的示意图;
图6是本发明实施例中在堆叠交换机上部署防火墙插卡集群的示意图;
图7是本发明实施例中在堆叠交换机上部署多组防火墙插卡集群的示意图。
具体实施方式
本发明的核心思想是:多个防火墙插卡通过配置集群形成一个虚拟的防火墙设备,实现统一管理;并且各防火墙插卡的各业务端口通过聚合,实现负载分担。
总体来说本发明的技术方案包括以下技术关键点:
(1)将交换设备中的多个防火墙插卡组成一个集群,在集群中选举一个防火墙插卡作为主防火墙插卡,则其他防火墙插卡为从防火墙插卡;所述交换设备可以是独立的一台交换机,也可以是包括多台交换的堆叠交换机;
(2)主防火墙插卡对集群中的所有防火墙插卡实现配置信息的同步以及业务状态信息的同步;
(3)将集群中的各个防火墙插卡的各业务端口,聚合成一个聚合端口组,并在聚合端口组上配置负载分担算法,使得进入集群的业务流量在集群的各防火墙插卡之间实现负载分担。
为使本发明的目的、技术方案及优点更加清楚明白,以下参照附图并举实施例,对本发明进一步详细说明。
一、配置集群
1、采用心跳线连接
在本发明实施例中用心跳线连接各防火墙插卡的管理口,将多个防火墙插卡串联成一个环,形成集群。
图1是本发明实施例中的多个防火墙插卡形成集群的示意图。如图1所示,以三个防火墙插卡组成集群为例进行了说明。其中,用黑色的正方形框表示防火墙插卡的管理口,用灰色的长方形框表示防火墙插卡的业务端口。可见,本实施例中在每个防火墙插卡上都选择两个管理口,用心跳线进行串联,形成一个环。
2、主防火墙插卡(master)的选举
在集群环境中,每个防火墙插卡都可以通过与自己直接连接的其他成员防火墙插卡之间交互HOLLE报文来收集整个集群的基本信息。HOLLE报文是集群协议中报文,是现有技术,这里不再介绍。
初始化状态下,集群中的每一防火墙插卡只记录了自己的基本信息,包括:集群端口的连接关系(即连接心跳线的管理口之间的连接关系)、管理口IP地址、系统桥MAC地址、优先级信息和系统标识等。每个防火墙插卡都将自身的基本信息携带在HELLO报文中,并通过心线发送给集群中的其他防火墙插卡,这样每个防火墙插卡都能收集到集群中的所有防火墙插卡的基本信息。
具体来说,当防火墙插卡配置了集群且集群端口终端为“up”时,集群中个每个防火墙插卡都将自身的基本信息携带在HELLO报文中,并周期性地从“up”状态的集群端口发送出去。集群中防火墙插卡收到邻居的HOLLE报文后,更新本地记录相关基本信息。经过一段时间的收集,所有的防火墙插卡上都会收集到完整的集群基本信息。
然后,每个防火墙插卡根据集群中的所有防火墙插卡的基本信息,确定自身是主防火墙插卡还是从防火墙插卡。其中,每个防火墙插卡判断,自身的管理口IP地址/系统桥MAC地址/优先级信息/系统标识,在集群中是否是最大/小值;是则,确定自身是主防火墙插卡;否则,确定自身是从防火墙插卡。
例如,每个防火墙插卡都判断在所有防火墙插卡的管理口IP地址中,自身的管理口IP地址是否是最大的,是则确定自身是主防火墙插卡,在集群中是master角色,否则确定自身是从防火墙插卡,在集群中是slave角色。再或者,每个防火墙插卡都判断在所有防火墙插卡的优先级中,自身的优先级是否是最高的,是则确定自身是主防火墙插卡,否则确定自身是从防火墙插卡。以此类推。
图2是本发明实施例中master选举完成后的集群系统示意图。
二、配置信息以及业务状态信息的同步
在本发明实施例中,由master管理和控制整个集群系统,并且maste和各slave保持配置信息和业务状态信息的同步。当maste故障时,集群系统将选择一个salve作为新的master,从而提供了高可靠性。
在本发明实施例中,由作为master的主防火墙插卡对集群中的所有防火墙插卡实现配置信息的同步以及业务状态信息的同步。
1、配置信息的同步
通过集群连接形成的这台虚拟防火墙设备在管理上可以看作是单一实体,用户可以使用Console口、Telnet方式或者WEB页面登录到集群中的任意一个防火墙插卡,都可以对整个集群系统进行管理和配置。
主防火墙插卡作为集群系统的管理核心,负责响应用户的登录请求,即用户无论使用什么方式,通过哪个成员登录,最终都是对主防火墙插卡进行配置,再有主防火墙插卡负责将用户的配置信息下发给各个从防火墙插卡。这种方式可以使集群内的各个成员的配置保持高度统一。
当主防火墙插卡的配置信息变化时,通过心跳线,将变化的配置信息同步给集群中的其他成员防火墙插卡。配置信息的同步通过主防火墙插卡的设备增量触发,这样可以避免在配置信息没有变化的情况下进行同步处理,进而浪费集群系统资源。
配置信息主要包括:
A、命令行接口(CLI,Command Line Interface)方式下的配置信息;
上述的Console口和Telnet方式都属于命令行接口方式;
B、WEB方式下的配置信息。
2、业务状态信息的同步
在本发明实施例中,每个从防火墙插卡将自身的业务状态信息周期性地上报给主防火墙插卡,由主防火墙插卡将从防火墙插卡上报的业务状态信息通过心跳线发送给集群中的所有防火墙插卡;此外,主防火墙插卡周期性地将自身的业务状态信息通过心跳线发送给集群中的所有防火墙插卡。
上述周期应该保持在一个较短的时间内,以保证业务状态信息的实时性。
需要同步的业务状态信息包括但不限于如下几种:网络地址转换(NAT)业务状态信息、应用层的包过滤(ASPF)业务状态信息、攻击防范业务状态信息、防火墙包过滤业务状态信息、安全流量统计业务状态信息、面向对象业务状态信息以及路由转发表项业务状态信息等。
上述配置信息和业务状态信息的同步,可以保证集群中的某个防火墙插卡故障时,由集群中其他的防火墙插卡顺利接管该故障防火墙插卡的业务。
三、配置聚合端口组
在本发明实施例中,将集群中的各个防火墙插卡的各业务端口,聚合成一个聚合端口组,并在聚合端口组上配置负载分担算法,使得进入集群的业务流量在集群的各防火墙插卡之间实现负载分担。
图3是本发明实施例中在防火墙集群上实现负载分担的示意图。如图3所示,用椭圆形表示聚合端口组,不同的用户业务流量通过交换机后被分担到不同的防火墙插卡,分担的实现基于聚合端口的HASH算法完成。即业务流的负载分担是基于标准的动态链路聚合方式实现的,业务流的分类可以基于数据包的IP地址和端口号等五元组进行HASH计算,保证流量分担的一致性。
四、集群中的防火墙插卡独立完成各自的防御功能
图4是本发明实施例中防火墙插卡集群实现业务处理的示意图。如图4所示,集群中的各防火墙插卡独立完成各种防御工作,即每个防火墙插卡将处理后的数据流仍通过本插卡的接口返回给交换机。
各防火墙插卡独立完成的防御工作包括:代理(虚假源分析)、非法包判断、攻击检测等。但检测和过滤的相关信息需要通过主防火墙插卡利用集群链路(即心跳线)在各成员防火墙插卡之间进行实时同步。
可见,在本发明实施例中,防火墙插卡之间的集群链路仅用于传递集群相关的控制报文和需要同步的各种信息,而不承载用户业务流量。
五、故障处理机制
(1)当集群中的主防火墙插卡发生故障时,从集群中的非故障防火墙插卡中重新选举一个防火墙插卡作为主防火墙插卡,且发生故障的防火墙插卡上业务切换到集群中的非故障防火墙插卡上;
(2)当集群中的从防火墙插卡发生故障时,该发生故障的从防火墙插卡上业务切换到集群中的非故障防火墙插卡上。
由于,集群中的个防火墙插卡之间实现了配置信息和业务状态信息的同步,因此故障防火墙插卡到非故障防火墙插卡的业务切换可以顺利执行。
可见,在本发明的方案中,集群中的各防火墙插卡之间都可以实现热备份的功能。
图5是本发明实施例中的故障处理机制的示意图。参见图5,当集群中的主防火墙插卡发生故障时,原来的一个从防火墙被选举为新的主防火期插卡,并且发生故障的原主防火墙插卡上业务切换到了新的主防火墙插卡上。由于新的主防火墙插卡同步了原主防火墙插卡上的业务状态信息,因此业务的切换可以保证业务不中断,大大提高了设备的可靠性。
六、防火墙插卡集群在堆叠交换机上的应用
目前交换机堆叠技术在组网中的应用越来越广泛,核心或汇聚交换机经过堆叠后虚拟为一台独立的交换机,但在现有技术中堆叠中的各交换机上的部署的防火墙插卡仍然工作在独立运行模式或者双机热备模式,因此防火墙插卡的整合性和扩展性都不高,且不能满足对组网灵活部署的要求。
在本发明中的防火墙插卡集群可以直接应用于堆叠交换机上。
图6是本发明实施例中在堆叠交换机上部署防火墙插卡集群的示意图。如图6所示,在配置了堆叠的交换机上,多台物理交换机被虚拟为一台堆叠交换机,堆叠交换机提供统一的管理和数据业务。在本实施例中,将不同堆叠成员交换机上的防火墙插卡部署为集群模式,并且该集群以本发明的上述实施例中所述的模式工作。即堆叠中的多台交换机对外表现为一台虚拟交换机,而集群中的防火墙插卡其实表现为部署在该虚拟交换机上,因此这种部署方式可以实现防火墙插卡的跨设备集群,从而实现与交换机堆叠的无缝融合。
图7是本发明实施例中在堆叠交换机上部署多组防火墙插卡集群的示意图。如图7所示,在同一堆叠交换机上部署了A、B两组防火墙插卡集群,两组防火墙插卡集群分别按照本发明上述实施例中所述的模式工作。这种方式提供了更大的组网灵活性。
在图7中,可以采用任意一种策略将进入堆叠交换机的业务流分配到A、B两组。例如,将某一类型的业务流分配给A组,而将其他的所有业务流分配给B组等。
通过上述实施例可以看出,本发明实施例中部署防火墙集群的技术方案,能够在多防火墙插卡之间实现负载分担,保证了业务流量的均匀分担,有效提高了防火墙插卡的效率。集群中由主防火墙插卡实现统一集中式管理的方案,简化了集群中的各防火墙插卡的配置和部署的复杂度,提高了多防火墙插卡的管理效率。集群中各防火墙插卡通过同步配置信息和业务状态信息,进而使得各防火墙插卡之间互为备份,提高了可靠性。
此外,现有的防火墙插卡负载分担方式只能局限于三层路由模式,即需要为独立的各防火墙插卡分别配置IP地址,将不同的业务流路由到不同IP地址的防火墙插卡,实现负载分担。现有的防火墙插卡负载分担方式不能应用于二层转发模式,否则会出现环路,这是因为:在二层转发模式下,每个防火墙插卡上的业务出入端口都没有配置IP地址,不同的业务流被分发到不同MAC地址的防火墙插卡,而各防火墙插卡的对应业务端口是属于相同VLAN的,一旦出现广播流(没有查找到相应的下一跳MAC时会广播数据),则广播流会在各防火墙插卡之间形成环路。
而本发明的方法则不受此限制,由于在本发明中,集群中的各个业务端口聚合成一个聚合端口组,对外表现为一个逻辑端口,因此即可以为该逻辑端口分配IP地址,将业务流基于三层路由模式转发到该逻辑端口,也可以不为该逻辑端口分配IP地址,将业务流基于二层透明模式转发到该逻辑端口。转发该逻辑端口的业务流再根据聚合端口固有的负载分担算法在各个物理端口之间实现负载分担。因此本发明中的防火墙集群即支持三层路由模式,也支持二层透明模式。
基于上述实施例给出本发明中的一种网络安全设备的组成结构框图。关于下面的描述可以参考图3或图4。
本发发明实施例中的一种网络安全设备包括:多个防火墙插卡,且该多个防火墙插卡组成一个集群;
集群中的各防火墙插卡,用于选举一个防火墙插卡作为主防火墙插卡,则其他防火墙插卡为从防火墙插卡;
集群中的主防火墙插卡,用于对集群中的所有防火墙插卡实现配置信息的同步以及业务状态信息的同步;
集群中的各个防火墙插卡的各业务端口,被聚合成一个聚合端口组;并在聚合端口组上配置有负载分担算法,使得进入集群的业务流量在集群的各防火墙插卡之间实现负载分担。
在所述网络安全设备中,所述多个防火墙插卡的管理口通过心跳连接,使得多个防火墙串联成一个环,形成集群。
在所述网络安全设备中,集群中的每个防火墙插卡,用于将自身的基本信息携带在HELLO报文中,并通过心线发送给集群中的其他防火墙插卡;用于根据集群中的所有防火墙插卡的基本信息,确定自身是主防火墙插卡或从防火墙插卡。
在所述网络安全设备中,所述基本信息包括:集群端口的连接关系、管理口IP地址、系统桥MAC地址、优先级信息和系统标识;
集群中每个防火墙插卡,用于判断自身的管理口IP地址/系统桥MAC地址/优先级信息/系统标识,在集群中是否是最大/小值,是则,确定自身是主防火墙插卡,否则,确定自身是从防火墙插卡。
在所述网络安全设备中,主防火墙插卡,用于将配置信息通过心跳线发送给集群中的所有防火墙插卡;其中,配置信息包括:命令行接口CLI配置信息和环球网WEB配置信息。
在所述网络安全设备中,每个从防火墙插卡,用于将自身的业务状态信息周期性地上报给主防火墙插卡;主防火墙插卡,用于将从防火墙插卡上报的业务状态信息通过心跳线发送给集群中的所有防火墙插卡;并用于周期性地将自身的业务状态信息通过心跳线发送给集群中的所有防火墙插卡。
在所述网络安全设备中,当主防火墙插卡发生故障时,集群中各非故障防火墙插卡重新选举一个防火墙插卡作为主防火墙插卡,且发生故障的防火墙插卡上业务切换到集群中的非故障防火墙插卡上;当从防火墙插卡发生故障时,该发生故障的从防火墙插卡上业务切换到集群中的非故障防火墙插卡上。
综上所述,本发明实施例中的这种将多个防火墙插卡组成一个集群,在集群中选举一个防火墙插卡作为主防火墙插卡,则其他防火墙插卡为从防火墙插卡;主防火墙插卡对集群中的所有防火墙插卡实现配置信息的同步以及业务状态信息的同步;将集群中的各个防火墙插卡的各业务端口,聚合成一个聚合端口组,并在聚合端口组上配置负载分担算法,使得进入集群的业务流量在集群的各防火墙插卡之间实现负载分担是技术方案,能够在多个防火墙插卡之间实现均匀的负载分担,且组网灵活、配置简单。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围,凡在本发明的精神和原则之内所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1、一种网络安全部署方法,其特征在于,该方法包括:
将交换设备中的多个防火墙插卡组成一个集群,在集群中选举一个防火墙插卡作为主防火墙插卡,则其他防火墙插卡为从防火墙插卡;
主防火墙插卡对集群中的所有防火墙插卡实现配置信息的同步以及业务状态信息的同步;
将集群中的各个防火墙插卡的各业务端口,聚合成一个聚合端口组,并在聚合端口组上配置负载分担算法,使得进入集群的业务流量在集群的各防火墙插卡之间实现负载分担;
其中,所述交换设备为交换机或堆叠交换机。
2、如权利要求1所述的方法,其特征在于,
所述将多个防火墙插卡组成一个集群包括:用心跳线连接各防火墙插卡的管理口,将多个防火墙插卡串联成一个环,形成集群;
所述在集群中选举一个防火墙插卡作为主防火墙插卡包括:每个防火墙插卡都将自身的基本信息携带在HELLO报文中,并通过心线发送给集群中的其他防火墙插卡;每个防火墙插卡根据集群中的所有防火墙插卡的基本信息,确定自身是主防火墙插卡或从防火墙插卡。
3、如权利要求2所述的方法,其特征在于,
所述基本信息包括:集群端口的连接关系、管理口IP地址、系统桥MAC地址、优先级信息和系统标识;
所述每个防火墙插卡根据集群中的所有防火墙插卡的基本信息,确定自身是主防火墙插卡或从防火墙插卡包括:每个防火墙插卡判断,自身的管理口IP地址/系统桥MAC地址/优先级信息/系统标识,在集群中是否是最大/小值;是则,确定自身是主防火墙插卡;否则,确定自身是从防火墙插卡。
4、如权利要求2所述的方法,其特征在于,所述主防火墙插卡对集群中的所有防火墙插卡实现业务状态信息的同步包括:
每个从防火墙插卡将自身的业务状态信息周期性地上报给主防火墙插卡;主防火墙插卡将从防火墙插卡上报的业务状态信息通过心跳线发送给集群中的所有防火墙插卡;
主防火墙插卡周期性地将自身的业务状态信息通过心跳线发送给集群中的所有防火墙插卡。
5、如权利要求1至4中任一项所述的方法,其特征在于,该方法进一步包括:
当主防火墙插卡发生故障时,从集群中的非故障防火墙插卡中重新选举一个防火墙插卡作为主防火墙插卡,且发生故障的防火墙插卡上业务切换到集群中的非故障防火墙插卡上;
当从防火墙插卡发生故障时,该发生故障的从防火墙插卡上业务切换到集群中的非故障防火墙插卡上。
6、一种网络安全设备,其特征在于,该设备包括多个防火墙插卡,且该多个防火墙插卡组成一个集群;
集群中的各防火墙插卡,用于选举一个防火墙插卡作为主防火墙插卡,则其他防火墙插卡为从防火墙插卡;
集群中的主防火墙插卡,用于对集群中的所有防火墙插卡实现配置信息的同步以及业务状态信息的同步;
集群中的各个防火墙插卡的各业务端口,被聚合成一个聚合端口组;并在聚合端口组上配置有负载分担算法,使得进入集群的业务流量在集群的各防火墙插卡之间实现负载分担。
7、如权利要求6所述的设备,其特征在于,
所述多个防火墙插卡的管理口通过心跳连接,使得多个防火墙串联成一个环,形成集群;
集群中的每个防火墙插卡,用于将自身的基本信息携带在HELLO报文中,并通过心线发送给集群中的其他防火墙插卡;用于根据集群中的所有防火墙插卡的基本信息,确定自身是主防火墙插卡或从防火墙插卡。
8、如权利要求7所述的设备,其特征在于,
所述基本信息包括:集群端口的连接关系、管理口IP地址、系统桥MAC地址、优先级信息和系统标识;
集群中每个防火墙插卡,用于判断自身的管理口IP地址/系统桥MAC地址/优先级信息/系统标识,在集群中是否是最大/小值,是则,确定自身是主防火墙插卡,否则,确定自身是从防火墙插卡。
9、如权利要求7所述的设备,其特征在于,
每个从防火墙插卡,用于将自身的业务状态信息周期性地上报给主防火墙插卡;
主防火墙插卡,用于将从防火墙插卡上报的业务状态信息通过心跳线发送给集群中的所有防火墙插卡;并用于周期性地将自身的业务状态信息通过心跳线发送给集群中的所有防火墙插卡。
10、如权利要求6至9中任一项所述的设备,其特征在于,
当主防火墙插卡发生故障时,集群中各非故障防火墙插卡重新选举一个防火墙插卡作为主防火墙插卡,且发生故障的防火墙插卡上业务切换到集群中的非故障防火墙插卡上;
当从防火墙插卡发生故障时,该发生故障的从防火墙插卡上业务切换到集群中的非故障防火墙插卡上。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910092642A CN101651680A (zh) | 2009-09-14 | 2009-09-14 | 一种网络安全部署方法和一种网络安全设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910092642A CN101651680A (zh) | 2009-09-14 | 2009-09-14 | 一种网络安全部署方法和一种网络安全设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101651680A true CN101651680A (zh) | 2010-02-17 |
Family
ID=41673789
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200910092642A Pending CN101651680A (zh) | 2009-09-14 | 2009-09-14 | 一种网络安全部署方法和一种网络安全设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101651680A (zh) |
Cited By (31)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102006310A (zh) * | 2010-12-24 | 2011-04-06 | 山石网科通信技术(北京)有限公司 | 数据流的处理方法及防火墙 |
| CN102394914A (zh) * | 2011-09-22 | 2012-03-28 | 浪潮(北京)电子信息产业有限公司 | 集群脑裂处理方法和装置 |
| CN102420767A (zh) * | 2011-12-15 | 2012-04-18 | 北京星网锐捷网络技术有限公司 | 转发路径切换方法、装置及网络设备 |
| CN102480402A (zh) * | 2010-11-19 | 2012-05-30 | 西门子公司 | 用于通信网络的具有集成的安全组件的开关-网络节点 |
| CN102932190A (zh) * | 2012-11-22 | 2013-02-13 | 杭州迪普科技有限公司 | 一种设备单点故障的解决方法及装置 |
| CN103051534A (zh) * | 2012-11-20 | 2013-04-17 | 杭州迪普科技有限公司 | 一种报文处理方法及装置 |
| CN103227725A (zh) * | 2012-03-30 | 2013-07-31 | 杭州华三通信技术有限公司 | 一种防火墙双机备份的方法及装置 |
| CN103401779A (zh) * | 2013-07-15 | 2013-11-20 | 福建星网锐捷网络有限公司 | 报文转发路径切换方法、装置及网络设备 |
| CN103501299A (zh) * | 2013-09-24 | 2014-01-08 | 曙光信息产业(北京)有限公司 | 集群防火墙的管理方法和系统 |
| CN103858383A (zh) * | 2011-09-08 | 2014-06-11 | 迈可菲公司 | 防火墙群集中的验证共享 |
| CN103959712A (zh) * | 2011-12-13 | 2014-07-30 | 迈克菲公司 | 大型防火墙集群中的定时管理 |
| CN104092605A (zh) * | 2014-07-15 | 2014-10-08 | 杭州华三通信技术有限公司 | 用于堆叠形成虚拟化路由设备的路由器以及该虚拟化路由设备 |
| CN104184707A (zh) * | 2013-05-24 | 2014-12-03 | 北京瑞星信息技术有限公司 | 双核心双出口星型网络的防毒方法、装置及系统 |
| CN104468389A (zh) * | 2014-11-27 | 2015-03-25 | 华为技术有限公司 | 消息的处理方法、服务器和服务器系统 |
| CN104601597A (zh) * | 2011-09-08 | 2015-05-06 | 迈可菲公司 | 防火墙群集中的应用状态共享 |
| CN104754016A (zh) * | 2013-12-31 | 2015-07-01 | 中国移动通信集团河南有限公司 | 对等网络中节点集群实现方法、装置及系统 |
| CN105743801A (zh) * | 2014-12-08 | 2016-07-06 | 中兴通讯股份有限公司 | 一种堆叠系统的流量转发的方法及装置 |
| US9419890B2 (en) | 2010-07-16 | 2016-08-16 | Huawei Technologies Co., Ltd. | Streaming service load sharing method, streaming service processing method, and corresponding device and system |
| CN105939356A (zh) * | 2016-06-13 | 2016-09-14 | 北京网康科技有限公司 | 一种虚拟防火墙划分方法和装置 |
| WO2016150307A1 (zh) * | 2015-03-23 | 2016-09-29 | 中兴通讯股份有限公司 | 一种防火墙双机热备方法、装置及系统 |
| CN106130911A (zh) * | 2016-08-31 | 2016-11-16 | 南京元融信息技术有限公司 | 转发流表切片化的脊交换机所组构的云计算中心网络架构 |
| CN106209419A (zh) * | 2016-06-27 | 2016-12-07 | 上海华为技术有限公司 | 一种选择网络功能进行数据转发的方法及业务功能转发器 |
| CN106330785A (zh) * | 2015-06-17 | 2017-01-11 | 深圳市腾讯计算机系统有限公司 | 一种选择业务节点的方法和装置 |
| CN106452860A (zh) * | 2016-09-29 | 2017-02-22 | 杭州华三通信技术有限公司 | 一种设备部署方法及装置 |
| CN107579963A (zh) * | 2017-08-24 | 2018-01-12 | 南京南瑞集团公司 | 一种高性能的防火墙集群 |
| CN107888621A (zh) * | 2017-12-14 | 2018-04-06 | 新华三技术有限公司 | 防火墙管理方法、装置及防火墙堆叠系统 |
| CN109395418A (zh) * | 2018-11-13 | 2019-03-01 | 上海葡萄纬度科技有限公司 | 总线主从设备确定方法和系统及其介质与总线设备 |
| CN111935300A (zh) * | 2020-08-19 | 2020-11-13 | 腾讯科技(深圳)有限公司 | 报文处理方法、装置、计算机设备及存储介质 |
| CN112333162A (zh) * | 2020-10-23 | 2021-02-05 | 新华三信息安全技术有限公司 | 一种业务处理方法及设备 |
| CN113595802A (zh) * | 2021-08-09 | 2021-11-02 | 山石网科通信技术股份有限公司 | 分布式防火墙的升级方法及其装置 |
| CN115150167A (zh) * | 2022-06-30 | 2022-10-04 | 北京天融信网络安全技术有限公司 | 同步控制的方法、装置、电子设备及计算机可读存储介质 |
-
2009
- 2009-09-14 CN CN200910092642A patent/CN101651680A/zh active Pending
Cited By (55)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9419890B2 (en) | 2010-07-16 | 2016-08-16 | Huawei Technologies Co., Ltd. | Streaming service load sharing method, streaming service processing method, and corresponding device and system |
| CN102480402A (zh) * | 2010-11-19 | 2012-05-30 | 西门子公司 | 用于通信网络的具有集成的安全组件的开关-网络节点 |
| CN102006310A (zh) * | 2010-12-24 | 2011-04-06 | 山石网科通信技术(北京)有限公司 | 数据流的处理方法及防火墙 |
| CN103858383A (zh) * | 2011-09-08 | 2014-06-11 | 迈可菲公司 | 防火墙群集中的验证共享 |
| CN103858382B (zh) * | 2011-09-08 | 2018-01-16 | 迈可菲公司 | 用于防火墙群集中的应用状态共享的方法和装置 |
| CN104601597B (zh) * | 2011-09-08 | 2018-10-26 | 迈可菲公司 | 用于防火墙群集中状态数据共享的设备和方法 |
| CN104601597A (zh) * | 2011-09-08 | 2015-05-06 | 迈可菲公司 | 防火墙群集中的应用状态共享 |
| CN103858383B (zh) * | 2011-09-08 | 2017-04-19 | 迈可菲公司 | 防火墙群集中的验证共享 |
| CN102394914A (zh) * | 2011-09-22 | 2012-03-28 | 浪潮(北京)电子信息产业有限公司 | 集群脑裂处理方法和装置 |
| CN107257332B (zh) * | 2011-12-13 | 2021-02-02 | 迈克菲有限责任公司 | 大型防火墙集群中的定时管理 |
| US10721209B2 (en) | 2011-12-13 | 2020-07-21 | Mcafee, Llc | Timing management in a large firewall cluster |
| CN103959712A (zh) * | 2011-12-13 | 2014-07-30 | 迈克菲公司 | 大型防火墙集群中的定时管理 |
| CN103959712B (zh) * | 2011-12-13 | 2017-06-20 | 迈克菲公司 | 大型防火墙集群中的定时管理 |
| CN107257332A (zh) * | 2011-12-13 | 2017-10-17 | 迈克菲公司 | 大型防火墙集群中的定时管理 |
| CN102420767A (zh) * | 2011-12-15 | 2012-04-18 | 北京星网锐捷网络技术有限公司 | 转发路径切换方法、装置及网络设备 |
| CN102420767B (zh) * | 2011-12-15 | 2014-07-02 | 北京星网锐捷网络技术有限公司 | 转发路径切换方法、装置及网络设备 |
| CN103227725A (zh) * | 2012-03-30 | 2013-07-31 | 杭州华三通信技术有限公司 | 一种防火墙双机备份的方法及装置 |
| CN103227725B (zh) * | 2012-03-30 | 2018-01-09 | 新华三技术有限公司 | 一种防火墙双机备份的方法及装置 |
| CN103051534B (zh) * | 2012-11-20 | 2016-04-06 | 杭州迪普科技有限公司 | 一种报文处理方法及装置 |
| CN103051534A (zh) * | 2012-11-20 | 2013-04-17 | 杭州迪普科技有限公司 | 一种报文处理方法及装置 |
| CN102932190A (zh) * | 2012-11-22 | 2013-02-13 | 杭州迪普科技有限公司 | 一种设备单点故障的解决方法及装置 |
| CN104184707A (zh) * | 2013-05-24 | 2014-12-03 | 北京瑞星信息技术有限公司 | 双核心双出口星型网络的防毒方法、装置及系统 |
| CN104184707B (zh) * | 2013-05-24 | 2017-10-03 | 北京瑞星信息技术股份有限公司 | 双核心双出口星型网络的防毒方法、装置及系统 |
| CN103401779A (zh) * | 2013-07-15 | 2013-11-20 | 福建星网锐捷网络有限公司 | 报文转发路径切换方法、装置及网络设备 |
| CN103401779B (zh) * | 2013-07-15 | 2016-12-28 | 福建星网锐捷网络有限公司 | 报文转发路径切换方法、装置及网络设备 |
| CN103501299A (zh) * | 2013-09-24 | 2014-01-08 | 曙光信息产业(北京)有限公司 | 集群防火墙的管理方法和系统 |
| CN104754016B (zh) * | 2013-12-31 | 2019-01-18 | 中国移动通信集团河南有限公司 | 对等网络中节点集群实现方法、装置及系统 |
| CN104754016A (zh) * | 2013-12-31 | 2015-07-01 | 中国移动通信集团河南有限公司 | 对等网络中节点集群实现方法、装置及系统 |
| CN104092605A (zh) * | 2014-07-15 | 2014-10-08 | 杭州华三通信技术有限公司 | 用于堆叠形成虚拟化路由设备的路由器以及该虚拟化路由设备 |
| CN104092605B (zh) * | 2014-07-15 | 2017-07-14 | 新华三技术有限公司 | 用于堆叠形成虚拟化路由设备的路由器以及该虚拟化路由设备 |
| CN104468389B (zh) * | 2014-11-27 | 2018-02-06 | 华为技术有限公司 | 消息的处理方法、服务器和服务器系统 |
| CN104468389A (zh) * | 2014-11-27 | 2015-03-25 | 华为技术有限公司 | 消息的处理方法、服务器和服务器系统 |
| CN105743801A (zh) * | 2014-12-08 | 2016-07-06 | 中兴通讯股份有限公司 | 一种堆叠系统的流量转发的方法及装置 |
| CN106161331A (zh) * | 2015-03-23 | 2016-11-23 | 中兴通讯股份有限公司 | 一种防火墙双机热备方法、装置及系统 |
| WO2016150307A1 (zh) * | 2015-03-23 | 2016-09-29 | 中兴通讯股份有限公司 | 一种防火墙双机热备方法、装置及系统 |
| CN106330785A (zh) * | 2015-06-17 | 2017-01-11 | 深圳市腾讯计算机系统有限公司 | 一种选择业务节点的方法和装置 |
| CN105939356A (zh) * | 2016-06-13 | 2016-09-14 | 北京网康科技有限公司 | 一种虚拟防火墙划分方法和装置 |
| CN106209419A (zh) * | 2016-06-27 | 2016-12-07 | 上海华为技术有限公司 | 一种选择网络功能进行数据转发的方法及业务功能转发器 |
| WO2018001011A1 (zh) * | 2016-06-27 | 2018-01-04 | 华为技术有限公司 | 一种选择网络功能进行数据转发的方法及业务功能转发器 |
| CN106209419B (zh) * | 2016-06-27 | 2019-12-24 | 上海华为技术有限公司 | 一种选择网络功能进行数据转发的方法及业务功能转发器 |
| CN106130911A (zh) * | 2016-08-31 | 2016-11-16 | 南京元融信息技术有限公司 | 转发流表切片化的脊交换机所组构的云计算中心网络架构 |
| CN106130911B (zh) * | 2016-08-31 | 2019-04-05 | 星融元数据技术(苏州)有限公司 | 转发流表切片化的脊交换机所组构的云计算中心网络架构 |
| CN106452860A (zh) * | 2016-09-29 | 2017-02-22 | 杭州华三通信技术有限公司 | 一种设备部署方法及装置 |
| CN106452860B (zh) * | 2016-09-29 | 2021-01-08 | 新华三技术有限公司 | 一种设备部署方法及装置 |
| CN107579963A (zh) * | 2017-08-24 | 2018-01-12 | 南京南瑞集团公司 | 一种高性能的防火墙集群 |
| CN107888621A (zh) * | 2017-12-14 | 2018-04-06 | 新华三技术有限公司 | 防火墙管理方法、装置及防火墙堆叠系统 |
| CN109395418A (zh) * | 2018-11-13 | 2019-03-01 | 上海葡萄纬度科技有限公司 | 总线主从设备确定方法和系统及其介质与总线设备 |
| CN109395418B (zh) * | 2018-11-13 | 2022-02-11 | 上海葡萄纬度科技有限公司 | 总线主从设备确定方法和系统及其介质与总线设备 |
| CN111935300A (zh) * | 2020-08-19 | 2020-11-13 | 腾讯科技(深圳)有限公司 | 报文处理方法、装置、计算机设备及存储介质 |
| CN111935300B (zh) * | 2020-08-19 | 2021-09-14 | 腾讯科技(深圳)有限公司 | 报文处理方法、装置、计算机设备及存储介质 |
| CN112333162A (zh) * | 2020-10-23 | 2021-02-05 | 新华三信息安全技术有限公司 | 一种业务处理方法及设备 |
| CN112333162B (zh) * | 2020-10-23 | 2022-05-24 | 新华三信息安全技术有限公司 | 一种业务处理方法及设备 |
| CN113595802A (zh) * | 2021-08-09 | 2021-11-02 | 山石网科通信技术股份有限公司 | 分布式防火墙的升级方法及其装置 |
| CN115150167A (zh) * | 2022-06-30 | 2022-10-04 | 北京天融信网络安全技术有限公司 | 同步控制的方法、装置、电子设备及计算机可读存储介质 |
| CN115150167B (zh) * | 2022-06-30 | 2024-03-12 | 北京天融信网络安全技术有限公司 | 同步控制的方法、装置、电子设备及计算机可读存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101651680A (zh) | 一种网络安全部署方法和一种网络安全设备 | |
| CN1812300B (zh) | 环型网络连接控制方法、路由交换设备及环型网络系统 | |
| CN101155109B (zh) | 一种以太网交换系统及设备 | |
| CN100558111C (zh) | 城域以太网提供多业务组网下的可靠性处理方法及系统 | |
| CN101841451B (zh) | 一种云主机基于虚拟局域网的限速方法和系统 | |
| CN1914867B (zh) | 虚拟网络设备中的接口束 | |
| CN104221336B (zh) | 用于虚拟网络架构链路故障恢复的系统和方法 | |
| EP1758320B1 (en) | Forwarding table management in ethernet switch | |
| US8649379B2 (en) | Method and apparatus for configuring a link aggregation group on a stacked switch | |
| US9998366B2 (en) | System, method and device for forwarding packet | |
| CN101160909B (zh) | 一种在弹性分组环上实现虚拟路由冗余协议的方法及系统 | |
| JP2003158539A (ja) | ネットワーク転送システム及び転送方法 | |
| CN102986172A (zh) | 虚拟集群交换 | |
| CN102209024A (zh) | 虚拟机的迁移方法以及系统 | |
| EP2617165A1 (en) | System and method for providing ethernet over infiniband virtual hub scalability in a middleware machine environment | |
| CN110417665B (zh) | 一种数据中心多Fabric场景的EVPN组网系统及方法 | |
| CN102130776A (zh) | 一种通信方法和系统 | |
| CN102984057A (zh) | 一种多业务一体化双冗余网络系统 | |
| US20110299551A1 (en) | Method and Apparatus for Transferring Data Packets Between a First Network and a Second Network | |
| CN102571612A (zh) | 一种vrrp状态切换方法和三层交换设备 | |
| CN104869038A (zh) | 一种具有冗余功能的计算机组网方法 | |
| CN100352217C (zh) | 异步传输模式通信网络及其组网控制器 | |
| CN115766335A (zh) | 技术研究成果信息共享的组网系统 | |
| CN106656554A (zh) | Mlag环境下实现lacp的方法及装置 | |
| CN111371535B (zh) | 一种异地主备数据中心灾备系统及切换方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20100217 |