CN101848100A - 基于conntrack同步的防火墙双机热备系统 - Google Patents
基于conntrack同步的防火墙双机热备系统 Download PDFInfo
- Publication number
- CN101848100A CN101848100A CN200910080662A CN200910080662A CN101848100A CN 101848100 A CN101848100 A CN 101848100A CN 200910080662 A CN200910080662 A CN 200910080662A CN 200910080662 A CN200910080662 A CN 200910080662A CN 101848100 A CN101848100 A CN 101848100A
- Authority
- CN
- China
- Prior art keywords
- fire compartment
- compartment wall
- network
- network interface
- conntrack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Hardware Redundancy (AREA)
Abstract
本发明公开了网络安全技术领域中的一种基于CONNTRACK同步的防火墙双机热备系统。技术方案是,防火墙双机热备系统由第一防火墙和第二防火墙组成;其中,第一防火墙与第二防火墙通过心跳线连接,实现CONNTRACK同步;第一防火墙包括第一网络接口和第二网络接口,第一网络接口通过网线接入不可信网络;第二网络接口通过网线接入可信网络;第二防火墙包括第三网络接口和第四网络接口,第三网络接口通过网线接入不可信网络;第四网络接口通过网线接入可信网络。当与防火墙连接的网络出现故障,或者防火墙网络接口出现故障时,本发明能够保证网络应用的会话不会发生中断,进而确保网络的安全性和可靠性。
Description
技术领域
本发明属于网络安全技术领域,尤其涉及一种基于CONNTRACK同步的防火墙双机热备系统。
背景技术
防火墙是位于网络边界防范网络攻击的屏障,是可信网络与不可信网络进行联络的唯一纽带。防火墙系统的可靠性直接关系着整个受保护网络的可用性,所以必须利用相关技术为它提供数据通道的冗余。目前,当网络中的防火墙没有发生故障时,防火墙可以起到保护整个网络的安全运行的作用,但当防火墙本身或其他线路发生故障时,这种保护便无从谈起。本发明对这类故障提出了解决方案,基于CONNTRACK同步原理,在两台防火墙同时启动热备功能后,当一台防火墙在CONNTRACK表中产生一条新的CONNTRACK记录时,防火墙会将这条记录通过连接两个防火墙的心跳线发送到另一台防火墙上,这样当一台防火墙出现故障而不能正常运行时,自动切换到另一台防火墙,从而保证网络环境正常有效运行。当故障恢复后,会自动切换到原来的防火墙,从而实现两台防火墙之间的相互热备。
发明内容
本发明的目的在于,针对当前网络系统中的防火墙缺乏热备功能,在防火墙或与防火墙连接的网络出现故障时,网络安全性无法有效保障的问题,提出一种基于CONNTRACK同步的防火墙双机热备系统。
本发明的技术方案是,一种基于CONNTRACK同步的防火墙双机热备系统,其特征是所述系统由第一防火墙和第二防火墙组成;其中,
第一防火墙1与第二防火墙2通过心跳线15连接,实现CONNTRACK同步;
第一防火墙1包括第一网络接口3和第二网络接口4,第一网络接口3通过网线接入不可信网络;第二网络接口4通过网线接入可信网络;
第二防火墙2包括第三网络接口5和第四网络接口6,第三网络接口5通过网线接入不可信网络;第四网络接口6通过网线接入可信网络;
所述第一防火墙1与第二防火墙2采用主备方式的双机热备或者主主方式的双机热备;
所述主备方式的双机热备,以第一防火墙1为主防火墙,第二防火墙2为备份防火墙;或者以第二防火墙2为主防火墙,第一防火墙1为备份防火墙;
所述主主方式的双机热备,以第一防火墙1为主防火墙,第二防火墙2也为主防火墙,两个防火墙各自独立工作的同时进行相互备份。
所述第一防火墙1的第一网络接口3与所述第二防火墙2的第三网络接口5接入相同的不可信网络。
所述第一防火墙1的第二网络接口4与所述第二防火墙2的第四网络接口6接入相同的可信网络。
本发明的效果在于,当与防火墙连接的网络或者防火墙网络接口出现故障时,由于两个防火墙间会话信息始终保持一致,因此系统也能正确地进行状态检查和流量转发,从而保证网络应用的会话不会发生中断,进而确保网络的安全性和可靠性。
附图说明
图1是基于CONNTRACK同步的防火墙双机热备系统的结构示意图。
图2是本发明提供的实施例的结构示意图。
具体实施方式
下面结合附图,对优选实施例作详细说明。应该强调的是,下述说明仅仅是示例性的,而不是为了限制本发明的范围及其应用。
图1是基于CONNTRACK同步的防火墙双机热备系统的结构示意图。图1中,第一防火墙1与第二防火墙2通过心跳线15连接,第一防火墙的第一网络接口3和第二防火墙的第三网络接口5通过网线接入相同的不可信网络,第一防火墙1的第二网络接口4和第二防火墙2的第四网络接口6通过网线接入相同的可信网络。
当两台防火墙同时启动热备功能后,一台防火墙在CONNTRACK表中产生一条新的CONNTRACK记录时,会触发CONNTRACK同步函数,这个函数将这条记录通过连接两个防火墙的心跳线发送到另一台防火墙上,实现CONNTRACK表的同步。
当第一防火墙1与第二防火墙2以主备方式进行防火墙双机热备时,网络数据通过主防火墙在可信网络与不可信网络之间进行传输。同时,备份防火墙会对对端的主防火墙的CONNTRACK表进行同步,在备份防火墙上形成同步CONNTRACK表;当数据路由到防火墙后,防火墙会检测此连接所在的CONNTRACK表,当确定数据所属连接属于同步CONNTRACK表后,再根据对端的备份防火墙的网口的状态决定是否将数据通过心跳线进行转发。若不属于同步CONNTRACK表,则按照正常路由进行转发。
当第一防火墙1与第二防火墙2以主主方式进行防火墙双机热备时,网络数据同时通过两个防火墙在可信网络与不可信网络之间进行传输。同时,一个防火墙会对对端的另一个防火墙的CONNTRACK表进行同步,形成同步CONNTRACK表;当数据路由到一个防火墙后,该防火墙会检测此连接所在的CONNTRACK表,当确定数据包所属连接属于同步CONNTRACK表后,再根据对端的另一个防火墙的网口的状态决定是否将数据包通过心跳线进行转发。
图2是本发明提供的实施例的结构示意图。图2中,实施例使用了两个路由器作为防火墙与可信网络以及防火墙与不可信网络之间的转发设备。事实上,实施例中的路由器还可以使用交换机、集线器等设备替代。实施例通过第一路由器7和第二路由器8将基于CONNTRACK同步的防火墙双机热备系统分别接入不可信网络与可信网络。图2中,第一防火墙1与第二防火墙2通过心跳线15连接,第一防火墙1的第一网络接口3通过第一网线11与第一路由器7连接,第二防火墙2的第三网络接口5通过第二网线12与第一路由器7连接,第一路由器7通过网线与不可信网络中的终端9连接;第一防火墙1的第二网络接口4通过第三网线13与第二路由器8连接,第二防火墙2的第四网络接口6通过第四网线14与第二路由器8连接,第二路由器8通过网线与可信网络中的终端10连接。
实施例1:基于CONNTRACK同步的防火墙双机热备系统采用主备方式。此时,不失一般性,设第一防火墙1为主防火墙,第二防火墙2为备份防火墙。可信网络的终端10通过第一防火墙1访问不可信网络的终端9。与此同时,第二防火墙2会对第一防火墙1的CONNTRACK表进行同步,形成同步CONNTRACK表。
情况一:当第一网线11发生故障时,原连接保持不断,即终端9通过第一路由器7将数据发送给第二防火墙2,因为这条连接属于同步CONNTRACK表,并且第三网线13是正常的,所以第二防火墙2再将数据转发给第一防火墙1,并经过第二路由器8将数据发送到终端10。新建连接数据流向为,终端10发送给终端9的数据先经第二路由器8发送到防火墙1,再路由到防火墙2,再路由到第一路由器7,最后到达终端9。终端9发送给终端10的数据先经第一路由器7到达防火墙2,再路由到第二路由器8,在到达终端10。即新建连接数据流向为,10→8→13→1→15→2→12→7→9和9→7→12→2→14→8→10。当第一网线11恢复正常时,就没有流量经过第二防火墙2了,网络转发工作交给第一防火墙1。
情况二:当第三网线13发生故障时,原连接保持不断,即终端9发送给终端10的数据先经第一路由器7发送到防火墙1,再路由到防火墙2,再路由到第二路由器8,最后到达终端10。新建连接数据流向为,终端10发送给终端9的数据先经第二路由器8发送到防火墙2,再路由到第一路由器7,最后到达终端9。终端9发送到终端10的数据先发经第一路由器7发送到第二防火墙2,再路由到第二路由器8,最后到达终端10。即新建连接数据流向为,10→8→14→2→12→7→9和9→7→12→2→14→8→10。当第三网线13恢复正常时,就没有流量经过第二防火墙2了,网络转发工作交给第一防火墙1。
情况三:第一网线11与第三网线13同时发生故障时,原连接保持不断,即终端9通过第一路由器7将数据发送给第二防火墙2,因为这条连接属于同步CONNTRACK表,但第三网线13是有故障的,所以第二防火墙2不将数据转发给第一防火墙1,而是直接路由到第二路由器8,最后将数据发送到终端10。新建连接数据流向为,10→8→14→2→12→7→9和9→7→12→2→14→8→10,当第一网线11与第三网线13恢复正常时,就没有流量经过第二防火墙2了,网络转发工作交给第一防火墙1。
实施例2:基于CONNTRACK同步的防火墙双机热备系统采用主主方式。此时,第一防火墙1为主防火墙,第二防火墙2也为主防火墙。可信网络的终端10和不可信网络的终端9通过第一防火墙1进行数据通信。与此同时,第一防火墙1会对第二防火墙2的CONNTRACK表进行同步,形成同步CONNTRACK表。第二防火墙2也会对第一防火墙1的CONNTRACK表进行同步,形成同步CONNTRACK表。这使得第一防火墙1和第二防火墙2的CONNTRACK表始终保持一致。
情况一,当第一网线11发生故障时;情况二,当第三网线13发生故障时;情况三,当第一网线11与第三网线13同时发生故障时,分别与实施例1中主备模式的情况一,情况二,情况三相同。
情况四:当第一网线11与第四网线14同时发生故障时,原连接保持不断,即终端9通过第一路由器7将数据发送给第二防火墙2,因为这条连接属于同步CONNTRACK表,并且第三网线13是正常的,所以第二防火墙2再将数据转发给第一防火墙1,并通过第二路由器8将数据发送到终端10。新建连接数据流向为,10→8→13→1→15→2→12→7→9和9→7→12→2→15→1→13→8→10。当第一网线11与第四网线14恢复后,数据流向为10→8→13→1→11→7→9和9→7→11→1→13→8→10。
情况五:当第二网线12与第三网线13同时发生故障时,原连接保持不断,即终端9发送给终端10的数据先经第一路由器7发送到防火墙1,再路由到防火墙2,再路由到第二路由器8,最后到达终端10。新建连接数据流向为10→8→14→2→15→1→11→7→9和9→7→11→1→15→2→14→8→10。当第二网线12与第三网线13恢复后,数据流向为10→8→13→1→11→7→9和9→7→11→1→13→8→10。
本发明提供的一种基于CONNTRACK同步的防火墙双机热备系统,当与防火墙相连接的网络出现故障,或者防火墙的网络接口出现故障时,由于两个防火墙间会话信息始终保持一致,因此系统也能正确地进行状态检查和流量转发,从而保证网络应用的会话不会发生中断,进而确保网络的安全性和可靠性。另外,本发明提供的基于CONNTRACK同步的防火墙双机热备系统切换过程自动实现,并且不需改变当前网络的组网结构。在主主模式下,每台防火墙均分流量和处理任务,充分发挥了设备的可用性。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
Claims (3)
1.一种基于CONNTRACK同步的防火墙双机热备系统,其特征是所述系统由第一防火墙和第二防火墙组成;其中,
第一防火墙(1)与第二防火墙(2)通过心跳线(15)连接,实现CONNTRACK同步;
第一防火墙(1)包括第一网络接口(3)和第二网络接口(4),第一网络接口(3)通过网线接入不可信网络;第二网络接口(4)通过网线接入可信网络;
第二防火墙(2)包括第三网络接口(5)和第四网络接口(6),第三网络接口(5)通过网线接入不可信网络;第四网络接口(6)通过网线接入可信网络;
所述第一防火墙(1)与第二防火墙(2)采用主备方式的双机热备或者主主方式的双机热备;
所述主备方式的双机热备,以第一防火墙(1)为主防火墙,第二防火墙(2)为备份防火墙;或者以第二防火墙(2)为主防火墙,第一防火墙(1)为备份防火墙;
所述主主方式的双机热备,以第一防火墙(1)为主防火墙,第二防火墙(2)也为主防火墙,两个防火墙各自独立工作的同时进行相互备份。
2.根据权利要求1所述的一种基于CONNTRACK同步的防火墙双机热备系统,其特征是所述第一防火墙(1)的第一网络接口(3)与所述第二防火墙(2)的第三网络接口(5)接入相同的不可信网络。
3.根据权利要求1所述的一种基于CONNTRACK同步的防火墙双机热备系统,其特征是所述第一防火墙(1)的第二网络接口(4)与所述第二防火墙(2)的第四网络接口(6)接入相同的可信网络。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200910080662A CN101848100A (zh) | 2009-03-23 | 2009-03-23 | 基于conntrack同步的防火墙双机热备系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200910080662A CN101848100A (zh) | 2009-03-23 | 2009-03-23 | 基于conntrack同步的防火墙双机热备系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN101848100A true CN101848100A (zh) | 2010-09-29 |
Family
ID=42772566
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN200910080662A Pending CN101848100A (zh) | 2009-03-23 | 2009-03-23 | 基于conntrack同步的防火墙双机热备系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101848100A (zh) |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102594781A (zh) * | 2011-01-12 | 2012-07-18 | 深圳市震有科技有限公司 | Sip防火墙软件中的主备同步机制 |
CN103227725A (zh) * | 2012-03-30 | 2013-07-31 | 杭州华三通信技术有限公司 | 一种防火墙双机备份的方法及装置 |
CN103414706A (zh) * | 2013-07-30 | 2013-11-27 | 曙光信息产业(北京)有限公司 | 双机防火墙系统的管理方法和装置 |
CN103944749A (zh) * | 2014-02-28 | 2014-07-23 | 汉柏科技有限公司 | 一种基于心跳的双机热备方法及系统 |
WO2016150307A1 (zh) * | 2015-03-23 | 2016-09-29 | 中兴通讯股份有限公司 | 一种防火墙双机热备方法、装置及系统 |
CN107241208A (zh) * | 2016-03-29 | 2017-10-10 | 华为技术有限公司 | 一种报文转发方法、第一交换机及相关系统 |
CN107508833A (zh) * | 2017-09-22 | 2017-12-22 | 江苏海事职业技术学院 | 一种校园网络安全防护体系部署方法 |
CN113965347A (zh) * | 2021-09-09 | 2022-01-21 | 山石网科通信技术股份有限公司 | 防火墙的数据处理方法及装置 |
CN114301842A (zh) * | 2021-12-30 | 2022-04-08 | 山石网科通信技术股份有限公司 | 路由查找方法及装置、存储介质和处理器、网络系统 |
CN114301766A (zh) * | 2021-12-30 | 2022-04-08 | 山石网科通信技术股份有限公司 | 通信方法、装置、存储介质以及处理器 |
CN115150167A (zh) * | 2022-06-30 | 2022-10-04 | 北京天融信网络安全技术有限公司 | 同步控制的方法、装置、电子设备及计算机可读存储介质 |
-
2009
- 2009-03-23 CN CN200910080662A patent/CN101848100A/zh active Pending
Cited By (19)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102594781A (zh) * | 2011-01-12 | 2012-07-18 | 深圳市震有科技有限公司 | Sip防火墙软件中的主备同步机制 |
CN102594781B (zh) * | 2011-01-12 | 2017-04-12 | 深圳震有科技股份有限公司 | Sip防火墙软件中的主备同步机制 |
CN103227725A (zh) * | 2012-03-30 | 2013-07-31 | 杭州华三通信技术有限公司 | 一种防火墙双机备份的方法及装置 |
CN103227725B (zh) * | 2012-03-30 | 2018-01-09 | 新华三技术有限公司 | 一种防火墙双机备份的方法及装置 |
CN103414706A (zh) * | 2013-07-30 | 2013-11-27 | 曙光信息产业(北京)有限公司 | 双机防火墙系统的管理方法和装置 |
CN103944749B (zh) * | 2014-02-28 | 2017-12-12 | 汉柏科技有限公司 | 一种基于心跳的双机热备方法及系统 |
CN103944749A (zh) * | 2014-02-28 | 2014-07-23 | 汉柏科技有限公司 | 一种基于心跳的双机热备方法及系统 |
WO2016150307A1 (zh) * | 2015-03-23 | 2016-09-29 | 中兴通讯股份有限公司 | 一种防火墙双机热备方法、装置及系统 |
CN106161331A (zh) * | 2015-03-23 | 2016-11-23 | 中兴通讯股份有限公司 | 一种防火墙双机热备方法、装置及系统 |
CN107241208A (zh) * | 2016-03-29 | 2017-10-10 | 华为技术有限公司 | 一种报文转发方法、第一交换机及相关系统 |
CN107241208B (zh) * | 2016-03-29 | 2020-02-21 | 华为技术有限公司 | 一种报文转发方法、第一交换机及相关系统 |
CN107508833A (zh) * | 2017-09-22 | 2017-12-22 | 江苏海事职业技术学院 | 一种校园网络安全防护体系部署方法 |
CN113965347A (zh) * | 2021-09-09 | 2022-01-21 | 山石网科通信技术股份有限公司 | 防火墙的数据处理方法及装置 |
CN113965347B (zh) * | 2021-09-09 | 2024-03-15 | 山石网科通信技术股份有限公司 | 防火墙的数据处理方法及装置 |
CN114301842A (zh) * | 2021-12-30 | 2022-04-08 | 山石网科通信技术股份有限公司 | 路由查找方法及装置、存储介质和处理器、网络系统 |
CN114301766A (zh) * | 2021-12-30 | 2022-04-08 | 山石网科通信技术股份有限公司 | 通信方法、装置、存储介质以及处理器 |
CN114301842B (zh) * | 2021-12-30 | 2024-03-15 | 山石网科通信技术股份有限公司 | 路由查找方法及装置、存储介质和处理器、网络系统 |
CN115150167A (zh) * | 2022-06-30 | 2022-10-04 | 北京天融信网络安全技术有限公司 | 同步控制的方法、装置、电子设备及计算机可读存储介质 |
CN115150167B (zh) * | 2022-06-30 | 2024-03-12 | 北京天融信网络安全技术有限公司 | 同步控制的方法、装置、电子设备及计算机可读存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101848100A (zh) | 基于conntrack同步的防火墙双机热备系统 | |
CN101009569B (zh) | 数据通信装置及其方法 | |
EP3373547B1 (en) | Method for realizing disaster tolerance backup | |
CN101652963B (zh) | 重配通信网络的方法 | |
US9628324B2 (en) | Openflow switch and failure recovery method in openflow network | |
CN100454875C (zh) | 一种用户网络边缘设备双归属或多归属的实现方法及系统 | |
CN101860492A (zh) | 快速切换的方法、装置和系统 | |
CN102025646A (zh) | 链路倒换方法及其装置 | |
CN104243239B (zh) | 一种sdn集群中控制器的状态检测方法和装置 | |
EP2874351B1 (en) | Control method and device for protecting connectivity between ethernet ring network nodes, and first node | |
CN101479992A (zh) | 一种实现点到多点网络链路状态穿通的方法及其设备 | |
CN101557343A (zh) | Vrrp拓扑网络中二层环路的检测与保护方法 | |
CN101317388A (zh) | 多协议标签切换的标签切换路径保护切换的装置和方法 | |
CN103944749A (zh) | 一种基于心跳的双机热备方法及系统 | |
CN101018183A (zh) | 一种基于l2vpn的拓扑通知方法、系统及其装置 | |
CN102264088A (zh) | 伪线保护倒换实现方法及装置 | |
CN105656776B (zh) | 一种伪线双归保护切换系统、方法和装置 | |
CN100446476C (zh) | 一种网络故障检测结果互通的方法和装置 | |
CN102405620B (zh) | 一种网络安全保护方法、装置及系统 | |
US8279752B1 (en) | Activating tunnels using control packets | |
EP2613477B1 (en) | Method for triggering route switching and service provider-end provider edge device | |
CN101242254B (zh) | 虚拟冗余路由器系统及传输虚拟冗余路由协议报文的方法 | |
CN106992931A (zh) | 基于双归环的交换机冗余备份方法和双归环系统 | |
EP2426855B1 (en) | Address refresh method and system | |
CN101964718B (zh) | 以太网双归链路保护切换方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20100929 |