CN103501299A - 集群防火墙的管理方法和系统 - Google Patents
集群防火墙的管理方法和系统 Download PDFInfo
- Publication number
- CN103501299A CN103501299A CN201310459338.9A CN201310459338A CN103501299A CN 103501299 A CN103501299 A CN 103501299A CN 201310459338 A CN201310459338 A CN 201310459338A CN 103501299 A CN103501299 A CN 103501299A
- Authority
- CN
- China
- Prior art keywords
- fire compartment
- compartment wall
- firewall
- abnormal
- task
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种集群防火墙的管理方法和系统,其中,该管理方法包括:对于集群防火墙中的每个防火墙以及与该防火墙存在备用关系的备用防火墙分配任务,以便每个防火墙根据接收的任务生成各自的链表;每个防火墙根据各自的链表进行工作,并且,每个防火墙将其链表同步至与该防火墙存在备用关系的备用防火墙,其中,集群防火墙中出现异常防火墙时,该异常防火墙的备用防火墙利用借助同步得到的异常防火墙的链表,接替异常防火墙的任务。本发明通过将任务分配到多个防火墙进行处理能够提高防火墙系统的性能,并且通过在集群防火墙中出现异常防火墙时,该异常防火墙的备用防火墙能接替其任务,避免了出现单点故障的情况。
Description
技术领域
本发明涉及计算机中的系统防火墙领域,并且特别地,涉及一种集群防火墙的管理方法和系统。
背景技术
防火墙(firewall)是一种访问控制设备,用来确保网络信息安全,可以依照特定的规则,允许或是限制传输的数据通过。防火墙可以是一台专属的硬件也可以是架设在一般硬件上的一套软件。随着网络带宽的增长,传统单一的防火墙已经成为限制网络带宽增长的主要限制瓶颈,极大地制约着网络的实际应用,同时也降低了网络性能和可扩展性,主要原因有:
(1)随着网络视频、IPTV和P2P业务的广泛应用导致互联网络流量高速增长,防火墙网络带宽不够;
(2)防火墙所能处理的连接数目有限,无法处理过多用户的通信需求;
(3)防火墙身兼认证、访问控制、完整性检查等多项任务,处理能力有限。
单一的防火墙不仅存在性能问题,还存在单点故障的瓶颈问题。为了解决避免单一防火墙所造成的问题,目前大多数防火墙系统采用双机热备的方式设备防火墙系统。双机热备系统是由两台防火墙及双机热备软件组成,它采用主从工作方式,即一台防火墙节点处于活动工作状态,称为活动防火墙,另一台防火墙节点为备用机,处于热等待监控状态,或者说,双机热备指基于高可用系统中的两台设备的热备(或高可用),因两机高可在使用较多,故得名双机热备,但是双机热备的防火墙系统并没有改变防火墙的单点接入方式。
针对相关技术中单防火墙接入导致单点故障及性能较低的问题,目前尚未提出有效的解决方案。
发明内容
针对相关技术中单防火墙接入导致单点故障及性能较低的问题,本发明提出一种集群防火墙的管理方法和系统,能够实现多个防火墙共同处理分配到的任务提高防火墙系统的性能,并且避免了单点故障。
本发明的技术方案是这样实现的:
根据本发明的一个方面,提供了一种集群防火墙的管理方法。
该管理方法包括:
对于集群防火墙中的每个防火墙以及与该防火墙存在备用关系的备用防火墙分配任务,以便每个防火墙根据接收的任务生成各自的链表;
每个防火墙根据各自的链表进行工作,并且,每个防火墙将其链表同步至与该防火墙存在备用关系的备用防火墙,其中,集群防火墙中出现异常防火墙时,该异常防火墙的备用防火墙利用借助同步得到的异常防火墙的链表,接替异常防火墙的任务。
其中,集群防火墙中每个防火墙的性能相同。
此外,该管理方法进一步包括:
为每个防火墙预先配置至少一台备用防火墙。
进一步地,集群防火墙中出现异常防火墙时,该异常防火墙的备用防火墙利用借助同步得到的异常防火墙的链表,接替异常防火墙的任务包括:
根据异常防火墙的备用防火墙的数量划分异常防火墙的任务;
将划分后的任务切换到与异常防火墙的备用防火墙。
此外,该管理方法进一步包括:
以预定周期检测每个防火墙是否处于工作状态。
优选地,上述集群防火墙设备用于龙芯架构。
根据本发明的另一个方面,提供了一种集群防火墙的管理系统。
该管理系统包括:
任务分配模块,用于对于集群防火墙中的每个防火墙以及与该防火墙存在备用关系的备用防火墙分配任务,以便每个防火墙根据接收的任务生成各自的链表;
每个防火墙包括:同步模块和工作控制模块,其中,同步模块用于将每个防火墙的链表同步至与该防火墙存在备用关系的备用防火墙;工作控制模块用于控制所在的防火墙根据各自的链表进行工作,并且用于所在防火墙的主防火墙出现异常时,根据该主防火墙的链表接替该主防火墙的任务。
其中,工作控制模块用于根据异常防火墙的备用防火墙的数量划分异常防火墙的任务;
工作控制模块还用于将划分后的任务切换到与异常防火墙的备用防火墙。
此外,该管理系统进一步包括:
检测模块,用于以预定周期检测每个防火墙是否处于工作状态。
优选地,上述集群防火墙设备用于龙芯架构。
本发明通过将任务分配到多个防火墙进行处理能够提高防火墙系统的性能,并且通过在集群防火墙中出现异常防火墙时,该异常防火墙的备用防火墙能接替其任务,避免了出现单点故障的情况。
附图说明
图1是根据本发明实施例的集群防火墙的管理方法的流程图;
图2是根据本发明的一个实施例的管理方法实现的龙芯架构中防火墙集群系统的示意图;
图3是根据本发明实施例的集群防火墙的管理装置的框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员所获得的所有其他实施例,都属于本发明保护的范围。
根据本发明的实施例,提供了一种集群防火墙的管理方法。
如图1所示,根据本发明实施例的管理方法可以包括:
步骤S101,对于集群防火墙中的每个防火墙以及与该防火墙存在备用关系的备用防火墙分配任务,以便每个防火墙根据接收的任务生成各自的链表;
步骤S103,每个防火墙根据各自的链表进行工作,并且,每个防火墙将其链表同步至与该防火墙存在备用关系的备用防火墙(即将本防火墙的链接同步到与该防火墙对应的备用防火墙中),其中,集群防火墙中出现异常防火墙时,该异常防火墙的备用防火墙利用借助同步得到的异常防火墙的链表,接替异常防火墙的任务。
其中,集群防火墙中的每个防火墙的性能可以相同,也可以根据用户需求设置不同性能的防火墙。
此外,根据本发明实施例的管理方法可以进一步为每个防火墙预先配置至少一台备用防火墙,并且,在一个实施例中,可以将除本机外的所有防火墙设置为本机的备用防火墙。
进一步地,集群防火墙中出现异常防火墙时,该异常防火墙的备用防火墙利用借助同步得到的异常防火墙的链表,接替异常防火墙的任务可以根据异常防火墙的备用防火墙的数量划分异常防火墙的任务;然后将划分后的任务切换到与异常防火墙的备用防火墙。
此外,根据本发明实施例的管理方法可以进一步以预定周期检测每个防火墙是否处于工作状态,以便及时地检测出失效的防火墙,便于该失效防火墙的任务分配。
优选地,上述集群防火墙设备用于龙芯架构。龙芯(Loongson,旧称GODSON1)是一种通用CPU,用于采用简单指令集,类似于MIPS(MillionInstructions Per Second,单字长定点指令平均执行速度)指令集。
根据本发明的一个实施例,提供了一种龙芯防火墙集群的管理方法,如图2所示为根据本发明实施例的管理方法实现的龙芯防火墙集群系统的示意图,该系统主要包括:内部交换机、(龙芯)防火墙、外部交换机和客户端。
其中,内部交换机的另一边可以连接服务器(未示出)。
一组龙芯防火墙共享一个IP,作为一个整体向用户提供网络资源,从而为用户提供业务,并且这一组中的所有龙芯防火墙均共享链表,即,每一台防火墙的链表中均含有其它防火墙的链接,从而可以在任意一台或多台防火墙出现错误的时候,由其它防火墙进行任务接替。可以体现出龙芯防火墙集群系统的高可用性的主要优势,集群防火墙能够自动检测防火墙故障,并且具备会话保护技术(例如通过心跳机制进行会话保护),保证一台防火墙或多台发生问题后,其上的网络流量负载可以迅速切换到其它防火墙上,而用户丝毫不会察觉到瞬间的服务暂停和延迟,从而提供了系统连接正常运行的高可用性。
防火墙提供的资源通过外部交换机传到客户端,外部交换机也起到负载均衡的作用,在任意一台或多台防火墙出现错误的时候,将无效的防火墙的任务进行划分,然后均衡地分配到其它的防火墙。通过外部交换机可以体现龙芯防火墙集群系统的负载均衡的优势,即通过负载均衡技术解决单一防火墙负载过大的问题,采用集群防火墙的方式,可以从整体上提高防火墙对网络信息处理的能力。此外,龙芯防火墙集群系统还具有可扩展性的优势,良好的可扩展性使得防火墙性能随着防火墙节点数目的增加而线性增长,并且由于防火墙各节点的主动负载均衡技术使得整个集群系统不需要价格昂贵的负载均衡器,具备良好的成本/性能优势。
此外,龙芯防火墙集群系统还具有高可管理性,系统的管理人员能够在减少防火墙的时候,将减少的防火墙作为失效防火墙,将其上的网络负载分配给集群中其它防火墙,或者在增加防火墙的时候,通过同步连接表来将其它防火墙的流量负载分配到新增的防火墙中,无需人工中断网络连接,即可对防火墙集群节点进行动态维护和升级。
龙芯防火墙集群系统是实现防火墙高可用性的重要手段。集群式龙芯防火墙是作为单一系统进行管理的一组独立的防火墙,用于实现更高的可用性、可管理性和更优异的可伸缩性,可通过专用的集群组件和协议来实现。
根据本发明实现的龙芯防火墙集群系统的实现方法可以将多台性能相同防火墙并行连接,在实现协同工作实现传统单一防火墙的功能的同时可以获得更高的性能和可用性,防止了传统单一防火墙的单点失效。
根据本发明的实施例,提供了一种集群防火墙的管理系统。
根据本发明实施例的管理系统包括:
任务分配模块31,用于对于集群防火墙中的每个防火墙以及与该防火墙存在备用关系的备用防火墙分配任务,以便每个防火墙根据接收的任务生成各自的链表;
每个防火墙包括:同步模块32和工作控制模块33,其中,同步模块32用于将每个防火墙的链表同步至与该防火墙存在备用关系的备用防火墙;工作控制模块用于控制所在的防火墙根据各自的链表进行工作,并且用于所在防火墙的主防火墙出现异常时,根据该主防火墙的链表接替该主防火墙的任务。
其中,工作控制模33块用于根据异常防火墙的备用防火墙的数量划分异常防火墙的任务;
工作控制模块33还用于将划分后的任务切换到与异常防火墙的备用防火墙。
此外,根据本发明实施例的管理系统可以进一步包括:
检测模块(未示出),用于以预定周期检测每个防火墙是否处于工作状态。
优选地,上述集群防火墙设备用于龙芯架构。
综上所述,借助于本发明的上述技术方案,本发明通过将任务分配到多个防火墙进行处理能够提高防火墙系统的性能,并且通过在集群防火墙中出现异常防火墙时,该异常防火墙的备用防火墙能接替其任务,避免了出现单点故障的情况,本发明的技术方案还提出了一种龙芯防火墙集群系统的实现方法,将多台性能相同的防火墙并行连接,实现协同工作实现传统单一防火墙的功能,解决了单台龙芯防火墙设备性能不足的问题,可以比传统单一防火墙获得高性能和高可用性,防止了传统单一防火墙的单点失效,提高了产品的性能和灵活性,还具备高可用性、可扩展性、可管理性等应用特征。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种集群防火墙的管理方法,其特征在于,包括:
对于所述集群防火墙中的每个防火墙以及与该防火墙存在备用关系的备用防火墙分配任务,以便每个防火墙根据接收的任务生成各自的链表;
每个防火墙根据各自的链表进行工作,并且,每个防火墙将其链表同步至与该防火墙存在备用关系的备用防火墙,其中,所述集群防火墙中出现异常防火墙时,该异常防火墙的备用防火墙利用借助同步得到的所述异常防火墙的链表,接替所述异常防火墙的任务。
2.根据权利要求1所述的管理方法,其特征在于,所述集群防火墙中每个防火墙的性能相同。
3.根据权利要求1所述的管理方法,其特征在于,进一步包括:
为所述每个防火墙预先配置至少一台备用防火墙。
4.根据权利要求1所述的管理方法,其特征在于,所述集群防火墙中出现异常防火墙时,该异常防火墙的备用防火墙利用借助同步得到的所述异常防火墙的链表,接替所述异常防火墙的任务包括:
根据所述异常防火墙的备用防火墙的数量划分所述异常防火墙的任务;
将划分后的任务切换到与所述异常防火墙的备用防火墙。
5.根据权利要求1所述的管理方法,其特征在于,进一步包括:
以预定周期检测每个防火墙是否处于工作状态。
6.根据权利要求1至5中任一项所述的管理方法,其特征在于,所述集群防火墙设备用于龙芯架构。
7.一种集群防火墙的管理系统,其特征在于,包括:
任务分配模块,用于对于所述集群防火墙中的每个防火墙以及与该防火墙存在备用关系的备用防火墙分配任务,以便每个防火墙根据接收的任务生成各自的链表;
每个防火墙包括:同步模块和工作控制模块,其中,所述同步模块用于将每个防火墙的链表同步至与该防火墙存在备用关系的备用防火墙;所述工作控制模块用于控制所在的防火墙根据各自的链表进行工作,并且用于所在防火墙的主防火墙出现异常时,根据该主防火墙的链表接替该主防火墙的任务。
8.根据权利要求7所述的管理系统,其特征在于,所述工作控制模块用于根据所述异常防火墙的备用防火墙的数量划分所述异常防火墙的任务;
所述工作控制模块还用于将划分后的任务切换到与所述异常防火墙的备用防火墙。
9.根据权利要求7所述的管理系统,其特征在于,进一步包括:
检测模块,用于以预定周期检测每个防火墙是否处于工作状态。
10.根据权利要求7至9中任一项所述的管理系统,其特征在于,所述集群防火墙设备用于龙芯架构。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310459338.9A CN103501299A (zh) | 2013-09-24 | 2013-09-24 | 集群防火墙的管理方法和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310459338.9A CN103501299A (zh) | 2013-09-24 | 2013-09-24 | 集群防火墙的管理方法和系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN103501299A true CN103501299A (zh) | 2014-01-08 |
Family
ID=49866471
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201310459338.9A Pending CN103501299A (zh) | 2013-09-24 | 2013-09-24 | 集群防火墙的管理方法和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103501299A (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105516202A (zh) * | 2016-01-21 | 2016-04-20 | 上海龙田数码科技有限公司 | 一种防火墙的管理方法 |
US9628504B2 (en) | 2015-03-09 | 2017-04-18 | International Business Machines Corporation | Deploying a security appliance system in a high availability environment without extra network burden |
CN107689992A (zh) * | 2017-08-24 | 2018-02-13 | 南京南瑞集团公司 | 一种高性能的防火墙集群实现方法 |
CN107888621A (zh) * | 2017-12-14 | 2018-04-06 | 新华三技术有限公司 | 防火墙管理方法、装置及防火墙堆叠系统 |
CN109743316A (zh) * | 2018-12-29 | 2019-05-10 | 中国联合网络通信集团有限公司 | 数据传输方法、出口路由器、防火墙及双台防火墙系统 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1595906A (zh) * | 2003-12-17 | 2005-03-16 | 浪潮电子信息产业股份有限公司 | 集群网络的单一地址流量分发器 |
CN101651680A (zh) * | 2009-09-14 | 2010-02-17 | 杭州华三通信技术有限公司 | 一种网络安全部署方法和一种网络安全设备 |
-
2013
- 2013-09-24 CN CN201310459338.9A patent/CN103501299A/zh active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1595906A (zh) * | 2003-12-17 | 2005-03-16 | 浪潮电子信息产业股份有限公司 | 集群网络的单一地址流量分发器 |
CN101651680A (zh) * | 2009-09-14 | 2010-02-17 | 杭州华三通信技术有限公司 | 一种网络安全部署方法和一种网络安全设备 |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9628504B2 (en) | 2015-03-09 | 2017-04-18 | International Business Machines Corporation | Deploying a security appliance system in a high availability environment without extra network burden |
US9628505B2 (en) | 2015-03-09 | 2017-04-18 | International Business Machines Corporation | Deploying a security appliance system in a high availability environment without extra network burden |
CN105516202A (zh) * | 2016-01-21 | 2016-04-20 | 上海龙田数码科技有限公司 | 一种防火墙的管理方法 |
CN107689992A (zh) * | 2017-08-24 | 2018-02-13 | 南京南瑞集团公司 | 一种高性能的防火墙集群实现方法 |
CN107888621A (zh) * | 2017-12-14 | 2018-04-06 | 新华三技术有限公司 | 防火墙管理方法、装置及防火墙堆叠系统 |
CN109743316A (zh) * | 2018-12-29 | 2019-05-10 | 中国联合网络通信集团有限公司 | 数据传输方法、出口路由器、防火墙及双台防火墙系统 |
CN109743316B (zh) * | 2018-12-29 | 2021-06-29 | 中国联合网络通信集团有限公司 | 数据传输方法、出口路由器、防火墙及双台防火墙系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3490224B1 (en) | Data synchronization method and system | |
EP3016316B1 (en) | Network control method and apparatus | |
CN102158386B (zh) | 系统管理程序级的分布式负载平衡 | |
CN107483390B (zh) | 一种云渲染网络部署子系统、系统及云渲染平台 | |
US11416359B2 (en) | Hot standby method, apparatus, and system | |
EP2993838B1 (en) | Methods for setting a member identity of gateway device and corresponding management gateway devices | |
CN103618621B (zh) | 一种软件定义网络sdn的自动配置方法、设备及系统 | |
CN104468236B (zh) | Sdn控制器集群、sdn交换机及其连接控制方法 | |
CN103501299A (zh) | 集群防火墙的管理方法和系统 | |
EP3588853A1 (en) | Disaster recovery deployment method, device and system | |
WO2012013050A1 (zh) | 主备用设备间的信息同步方法和服务器 | |
CN102387218A (zh) | 一种计算机多机热备负载均衡系统 | |
CN104486103A (zh) | 一种报文传输的方法和设备 | |
CN106549875A (zh) | 一种会话管理方法、装置及负载均衡器 | |
US20130205011A1 (en) | Service providing system | |
US20230291598A1 (en) | Method to support redundancy switching of virtual mac cores | |
CN104092746A (zh) | 一种运维审计系统及用在其系统中的网络负载均衡方法 | |
CN103986789A (zh) | 一种实现基于nfs的hadoop ha集群中nfs节点双机冗余的方法 | |
CN104580502A (zh) | 一种实现负载均衡双机热备的方法 | |
KR102494744B1 (ko) | 서비스의 연속성을 지원하는 클라우드 서버, 이를 포함하는 시스템 및 방법 | |
CN104202364A (zh) | 一种控制器的自动发现和配置方法和设备 | |
JP5647561B2 (ja) | 電力系統の監視制御システム | |
CN106210058A (zh) | 一种多核并行的反向代理方法 | |
CN106059940A (zh) | 一种流量控制方法及装置 | |
CN107925684A (zh) | 主从型网络的ip地址分配方法、装置及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20140108 |
|
RJ01 | Rejection of invention patent application after publication |