CN103546497B - 一种分布式防火墙IPSec业务负载分担的方法及装置 - Google Patents
一种分布式防火墙IPSec业务负载分担的方法及装置 Download PDFInfo
- Publication number
- CN103546497B CN103546497B CN201210235999.9A CN201210235999A CN103546497B CN 103546497 B CN103546497 B CN 103546497B CN 201210235999 A CN201210235999 A CN 201210235999A CN 103546497 B CN103546497 B CN 103546497B
- Authority
- CN
- China
- Prior art keywords
- message
- business board
- ipsec
- business
- stream information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种分布式防火墙IPsec业务的负载分担的方法及装置,通过主控板及时下发ACL策略信息给所有接口板,以保证来自特定网络设备的报文均发送给对应的接口板;并通过将SA流信息同步到所有业务板,当业务板根据SA流信息,发现其接收的报文不属于其自身处理时,进一步将该报文重定向至与该SA流信息匹配的业务板,通过前述手段,可以保证同一条流的报文都发送到同一个业务板处理,因而,实现了分布式式防火墙上的IPSec业务的负载分担。
Description
技术领域
本发明涉及数据通信技术领域,尤其涉及一种分布式防火墙IPSec业务负载分担的方法和装置。
背景技术
分布式防火墙通过分布式多业务板并行处理业务,以提升整机的处理性能,进而满足用户高并发、高新建以及高吞吐量的需求。
具体地,分布式防火墙设备一般由接口板、业务板以及主控板组成。其中接口板,用于接收和发送报文,并把报文通过交换网络发送到各业务板去处理对应业务;业务板,用于独立地进行会话的建立、报文的转发、Qos的处理、以及IPSec(IP Security,指IP安全)加密等大部分的业务,通过各个独立的业务板能提高防火墙设备整机的业务处理能力;主控板,则用于防火墙设备上的业务板配置和路由等,但不参与具体的业务转发。
为了充分发挥防火墙设备的整体性能,一般需要将从接口板接收到的数据均衡地发送给各个业务板处理。然而,由于防火墙处理的所有业务均需要基于流的处理,这就要求从接口板收到的同一条流的所有正反向报文必须都送到同一个业务板上处理,同时由于ALG(Application Level Gateway,应用层网关)的需要,与之关联的数据流的报文也必须都送到同一个业务板上处理,例如:假如在某应用场景下,ftp业务的控制流分配给业务板1处理,那么对应地,它的数据流也必须保证分配到业务板1上。
为了解决上述问题,现有技术通过中心节点(中心网络设备)来负责各业务板上处理的业务的负载均衡调度,具体地,中心节点保持所有业务板上处理的业务会话信息并对所有的IPSec业务进行加解密处理。采用该种方案,能较好地实现前述所有基于流的IPSec业务的负载均衡,且适用各种组网,通用性较好。
然而,在该方案下,对中心节点的要求较高,由于中心节点需要保留所有业务板上的业务会话信息,并进行所有的IPSec业务的加/解密处理,因而该中心节点很有可能成为性能瓶颈,并不能有效提升防火墙设备的整机性能。
发明内容
有鉴于此,本发明提供一种分布式防火墙IPSec业务负载分担的方法和装置。通过本发明,较好地实现分布式防火墙上的IPSec业务在各个业务板的负载均衡,并能保证IPSec的各项性能能够随业务板数量的上升而成倍上升。
为实现本发明目的,本发明实现方案具体如下:
一种分布式防火墙IPsec业务负载分担的方法,应用于需要通过公网进行IPSec数据传输的网络系统中,其中该网络系统至少包括若干个外网设备和内网设备,所述防火墙设置于所述外网设备和内网设备之间,且至少包括一个主控板和两个以上的接口板和业务板,其中所述方法包括如下步骤:所述业务板通知主控板及时下发ACL策略信息给所有接口板,以保证来自特定网络设备的报文均发送给对应的接口板;所述业务板进一步将将SA流信息同步到其他所有业务板,当业务板根据SA流信息,发现其接收的报文不属于其自身处理时,进一步将该报文重定向至与该SA流信息匹配的业务板。
本发明同时提供了一种分布式防火墙IPsec业务负载分担的装置,所述装置应用于需要通过公网进行IPSec数据传输的网络系统中,其中该网络系统至少包括若干个外网设备和内网设备,所述装置设置于所述外网设备和内网设备之间,且至少包括一个主控板和两个以上的接口板和业务板,其中所述接口板,用于接收来自网络设备的报文,并按照预定策略规则转发给对应的业务板,其中所述业务板,用于对接收来自接口板的报文进行相应的处理并转发给目标网络设备,并通过主控板及时下发ACL策略信息给所有接口板,以保证来自特定网络设备的报文均发送给对应的接口板;并通过将SA流信息同步到所有业务板,当业务板根据SA流信息,发现其接收的报文不属于其自身处理时,进一步将该报文重定向至与该SA流信息匹配的业务板。
与现有的技术方案相比,本发明通过主控板及时下发ACL策略信息给所有接口板,以保证来自特定网络设备的报文均发送给对应的接口板;并通过将SA流信息同步到所有业务板,当业务板根据SA流信息,发现其接收的报文不属于其自身处理时,进一步将该报文重定向至与该SA流信息匹配的业务板,通过前述手段,可以保证同一条流的报文都发送到同一个业务板处理,因而,实现了分布式式防火墙上的IPSec业务的负载分担。
附图说明
图1是本发明分布式防火墙IPSec业务负载分担的装置示意图。
图2是本发明分布式防火墙IPSec业务负载分担的方法流程图。
图3是本发明分布式防火墙IPSec业务负载分担的应用场景图。
图4是图3所示应用场景下采用本发明方法,分支内网设备B1c1向中心内网设备S1发起访问时,本发明分布式防火墙IPSec业务负载分担的流程图。
图5是图3所示应用场景下采用本发明方法,中心内网设备S1向分支内网设备B1c1发起访问时,本发明分布式防火墙IPSec业务负载分担的流程图。
具体实施方式
为了实现本发明目的,本发明采用的核心思想为:本发明分布式防火墙通过主控板及时下发ACL(Access Control List,访问控制列表)策略信息给所有接口板,以保证来自特定网络设备的报文均发送给对应的接口板;并通过将SA(Security Association,安全联盟)流信息同步到所有业务板,当业务板根据SA流信息,发现其接收的报文不属于其自身处理时,进一步将该报文重定向至与该SA流信息匹配的业务板,通过前述手段,可以保证同一条流的报文都发送到同一个业务板处理,因而,实现了分布式式防火墙上的IPSec业务的负载分担。
为使本发明更加清楚和明白,以下结合本发明具体实施例加以说明。具体地,如图1所示,为本发明分布式防火墙IPSec报文业务负载分担的装置,所述装置应用于需要通过公网进行IPSec数据传输的网络系统中,该网络系统至少包括若干个外网设备和内网设备。所述装置设置于所述外网设备和内网设备之间,且至少包括一个主控板和两个以上的接口板和业务板,其中:
所述接口板,用于接收来自网络设备的报文,并按照预定策略规则转发给对应的业务板。
具体地,当分支内网设备向中心内网设备发起访问时,所述网络设备具体为外网(公网)分支设备;当中心内网设备向分支内网设备发起访问时,所述网络设备具体为中心内网设备。另外,在本发明实施例中,所述预定的策略规则,具体为通过Hash算法随机均衡分配业务给对应的业务板。
所述业务板,用于对接收来自接口板的报文进行相应的处理并转发给目标网络设备,通过主控板及时下发ACL策略信息给所有接口板,以保证来自特定网络设备的报文均发送给对应的接口板;并通过将SA流信息同步到所有业务板,当业务板根据SA流信息,发现其接收的报文不属于其自身处理时,进一步将该报文重定向至与该SA流信息匹配的业务板。
具体地,当所述业务板接收到来自接口板的报文时,需要确认是否对所述报文进行IPSec加密或解密处理,进一步地,当分支内网设备向中心内网设备发起访问时,所述业务板确认是否需要对所述报文进行IPSec解密处理;当中心内网设备向分支内网设备发起访问时,所述业务板确认是否需要对所述报文进行IPSec加密处理。当业务板确认需要对所述报文进行IPSec加密处理时,还需要通知主控板下发ACL信息给所有接口板,告知后续源或目的IP地址为传输所述报文的外网设备的IP地址的所有报文均发送至该业务板。反之,如果经确认不需要对所述报文进行IPSec加密或解密处理,则直接对所述报文进行转发处理。
进一步地,当所述业务板确认需要对所述报文进行IPSec加解密处理时,所述业务板查询本地是否保存有对所述报文进行IPSec处理的对应SA流信息,如果查询到本地保存有对所述报文进行IPSec处理的对应SA流信息,则表明所述报文之前已建立起相应的IPSec加密或解密处理策略;反之,如果没有查询到本地保存有对所述报文进行IPSec处理的对应SA流信息,则表明所述报文为新报文,需要进一步与外网分支设备进行IPSec加密处理的IKE协商,以便协商到对应的SA流信息。
进一步地,当所述业务板查询到本板上保存有对所述报文进行IPSec处理的对应SA流信息,需要进一步根据查询到的SA流程判断所述报文是否由本板进行IPSec加密或解密处理,如果是则直接根据该SA流信息进行相应的IPSec加密或解密处理,否则,业务板根据查询到的SA流信息进行匹配,并将该报文重定向发送给匹配到的对应业务板进行IPSec加密或解密处理。具体地,当业务板接收到来自外网分支设备的IPSec报文时,则根据查询到的SA流信息,对所述IPSec报文进行解密处理,并将解密后的报文发送给中心内网设备;反之,如果业务板接收到来自中心内网设备的报文,则根据查询到的SA流信息,对所述中心内网设备发送的报文进行IPSec加密处理,并将加密后的报文发送给外网分支设备。
进一步地,当业务板对来自外网分支设备的IPSec报文进行解密后,还需要通知主控板下发ACL信息给所有接口板,告知后续目的IP为所述该报文源IP地址的报文均发送至该业务板。
进一步地,当业务板根据查询到的SA流信息判断不是由本板进行IPSec加密或解密处理,则根据该查询到的SA流信息进行匹配对应的业务板,并将所述报文重定向至匹配到的业务板进行前述IPSec加密或解密处理。
进一步地,当所述业务板没有查询到本地保存有对所述报文进行IPSec处理的对应SA流信息,则表明所述报文为网络设备新发送的报文,此时所述业务板需要启动与外网分支设备进行IPSec加密/解密处理的IKE协商,以便协商到对应的SA流信息。另外,在协商到对应的SA流信息后,进一步将协商到的SA流信息同步到所有其他业务板,并标识后续具有该SA流信息的报文均由该业务板处理。
如图2所示,为本发明分布式防火墙IPSec业务负载分担的方法流程图,应用于需要通过公网进行IPSec数据传输的网络系统中,该网络系统至少包括若干个外网设备和内网设备。所述防火墙设置于所述外网设备和内网设备之间,且至少包括一个主控板和两个以上的接口板和业务板,其中所述方法包括如下步骤:
步骤1、接口板接收来自网络设备的报文,按照预定策略规则转发给对应的业务板。
具体地,当分支内网设备向中心内网设备发起访问时,所述网络设备具体为外网(公网)分支设备;当中心内网设备向分支内网设备发起访问时,所述网络设备具体为中心内网设备。另外,在本发明实施例中,所述预定的策略规则,具体为通过Hash算法随机均衡分配业务给对应的业务板。
步骤2、业务板确认是否需要对所述报文进行IPSec加密或解密处理,如果是,则进行步骤3,否则,进行步骤8。
具体地,当分支内网设备向中心内网设备发起访问时,所述业务板确认是否需要对所述报文进行IPSec解密处理;当中心内网设备向分支内网设备发起访问时,所述业务板确认是否需要对所述报文进行IPSec加密处理。
另外,当业务板确认需要对所述报文进行IPSec加密处理时,还需要通知主控板下发ACL信息给所有接口板,告知后续源或目的IP地址为传输所述报文的外网设备的IP地址的所有报文均发送至该业务板。
步骤3、业务板查询本地是否保存有对所述报文进行IPSec处理的对应SA流信息,如果有,则进行步骤4,否则进行步骤7。
具体地,当查询到本地保存有对所述报文进行IPSec处理的对应SA流信息,则表明所述报文之前已建立起相应的IPSec加密或解密处理策略;反之,如果没有查询到本地保存有对所述报文进行IPSec处理的对应SA流信息,则表明所述报文为新报文,需要进一步与外网分支设备进行IPSec加密处理的IKE协商,以便协商到对应的SA流信息。
步骤4、业务板根据查询到的SA流信息判断是否由本板进行IPSec加密或解密处理,如果是,则进行步骤5,否则,进行步骤6。
具体地,当业务板查询到本板上保存有对所述报文进行IPSec处理的对应SA流信息,需要进一步根据查询到的SA流程判断所述报文是否由本板进行IPSec加密或解密处理,如果是则直接根据该SA流信息进行相应的IPSec加密或解密处理,否则,业务板根据查询到的SA流信息进行匹配,并将该报文重定向发送给匹配到的对应业务板进行IPSec加密或解密处理。
步骤5、业务板对所述报文进行IPSec加密或解密处理,并将加密或解密后的报文发送给目标网络设备。
具体地,当业务板接收到来自外网分支设备的IPSec报文时,则根据查询到的SA流信息,对所述IPSec报文进行解密处理,并将解密后的报文发送给中心内网设备;反之,如果业务板接收到来自中心内网设备的报文,则根据查询到的SA流信息,对所述中心内网设备发送的报文进行IPSec加密处理,并将加密后的报文发送给外网分支设备。
进一步地,当业务板对来自外网分支设备的IPSec报文进行解密后,还需要通知主控板下发ACL信息给所有接口板,告知后续目的IP为所述该报文源IP地址的报文均发送至该业务板。
步骤6、业务板根据查询到的SA流信息进行匹配,并将该报文重定向发送给匹配到的对应业务板进行IPSec加密或解密处理,并将加密或解密后的报文发送给目标网络设备。
具体地,当业务板根据查询到的SA流信息判断不是由本板进行IPSec加密或解密处理,则根据该查询到的SA流信息进行匹配对应的业务板,并将所述报文重定向至匹配到的业务板进行前述步骤6所述的IPSec加密或解密处理。
步骤7、业务板启动所述报文IPSec加密处理的IKE协商,并将协商到的SA流信息同步到所有其他业务板,并标识后续具有该SA流信息的报文均由该业务板处理。
具体地,如果业务板没有查询到本地保存有对所述报文进行IPSec处理的对应SA流信息,则表明所述报文为网络设备新发送的报文,此时所述业务板需要启动与外网分支设备进行IPSec加密/解密处理的IKE协商,以便协商到对应的SA流信息。另外,在协商到对应的SA流信息后,进一步将协商到的SA流信息同步到所有其他业务板,并标识后续具有该SA流信息的报文均由该业务板处理。
步骤8、直接对所述报文进行转发处理。
如图3所示,为本发明分布式防火墙IPSec业务负载分担的应用场景图,图4则为图3所示应用场景下采用本发明方法分支内网设备B1c1向中心内网设备S1发起访问的流程图。
在该应用场景下,本发明分支内网设备B1c1向中心内网设备S1发起的访问,首先触发外网分支设备B1主动发起对中心设备分布式防火墙的IKE协商。
具体地,外网分支设备B1发送IKE协商报文到中心设备分布式防火墙的接口卡,防火墙接口板通过所述报文源IP地址、目的IP地址、源端口,目的端口以及协议号做HASH处理,假定经HASH处理后发送到业务板C1。
业务板C1在进行转发处理前,先确认是否需要对该报文进行IPSEC加密处理,如果需要进行IPSec加密处理,则进一步查询其上是否保存有对应的SA流信息,如果没有发现其上没有保存符合的SA流信息,则启动IKE协商,同时业务板C1通知主控卡下发ACL信息给所有接口板,通告后续源IP为B1公网地址的报文均发送往业务板C1。
当业务板C1协商到SA流信息后,业务板C1需要进一步把该SA流信息同步到所有的其他业务板上,同时标识该SA流信息的IPSec处理的业务板为C1。
当接口板接收到外网分支设备B1发送的IPSEC加密报文,根据之前下发的ACL信息发送到业务板C1,业务板C1解密后发送到中心内网设备S1,并通知主控板下发ACL给所有接口板,告知后续目的地址为B1c1的报文均发送到业务板C1,同时建立防火墙会话信息。
接口板后续接受到由S1发往B1C1的原始报文,根据ACL匹配发送到C1,由业务卡C1加密后发送给B1。
当接口卡接收到来自中心内网设备Sn发送给B1cn的报文,假如根据随机HASH运算最终发送到业务板Cn,业务板Cn确认需要进行IPSEC加密处理,根据SA流信息确认该SA已经建立,同时进行该IPSec业务处理的仍是业务卡C1,则业务板Cn将中心内网设备Sn发送给B1cn的报文转发给业务板C1,由业务板C1对该报文进行IPSec加密后发送给外网设备B1。如果业务板Cn确认之前没有建立SA信息,则由该业务板Cn发起建立SA的IKE协商,同时标注业务卡Cn为该SA的处理业务板卡。
进一步地,如图5所示,为图3所示应用场景下采用本发明方法,中心内网设备S1向分支内网设备B1c1发起访问的流程图。
在该应用场景下,中心内网设备S1发起对分支内网设备B1c1的访问,首先会触发中心设备分布式防火墙主动发起对分支设备的IPSEC连接。
当中心设备分布式防火墙的接口板接收到中心内网设备S1发送给分支内网设备B1c1的报文,防火墙接口板通过源IP地址、目的IP地址、源端口、目的端口、协议号做HASH处理,假如经HASH处理后将该报文发送到业务板C1。
业务板C1在进行转发处理之前,确认是否需要进行IPSEC加密处理,如果判断需要进行IPSEC加密处理,则进一步查询其上是否保存有与该报文相符合的SA流信息,如果没有,则需要启动与外网分支设备B1的IKE协商,同时,业务板C1通知主控板下发ACL信息给所有的接口卡保证后续源IP为B1公网地址的报文送往业务板C1。
当业务板C1协商到SA后,需要进一步把SA流信息同步到所有的业务卡,同时标识该SA的处理业务板为C1。
当接口卡接受到外网分支设备B1发送的IPSEC加密报文,根据之前下发的ACL信息发送到业务板C1,经业务板C1解密后发送到中心内网设备S1,同时,通知主控板下发ACL给所有接口卡,告知后续所有目的地址为B1c1的报文均发送到业务板C1,同时建立防火墙会话信息。
当接口板后续接受到由中心内网设备S1发往内网分支设备B1c1的原始报文,首先根据ACL匹配发送到业务板C1加密后发送给外网分支设备B1。
当接口板接受到中心内网设备Sn发送BnCn的报文,假定根据随机HASH最终发送到业务板Cn,业务板Cn确认需要进行IPSEC加密处理,根据SA流信息确认该SA没有建立,由该业务板Cn发起对外网分支设备Bn的IKE协商,发送IKE协商报文到Bn。同时通知主控板下发ACL给所有的接口卡,告知后续目的IP为BnCn的报文或则源IP为Bn的报文发送到Cn。
当接口板接受到外网分支设备Bn发送的IKE协商报文,根据ACL匹配发送到业务板Cn,在完成SA协商后,下发该SA流信息给所有的业务板,同时标识该SA的处理板卡为Cn,保证后续来自Bn的IPSEC保温由Cn处理。
与现有的技术方案相比,本发明通过SA保护流信息同步,动态ACL下发和根据SA流信息的报文重定向实现分布式防火墙IPSEC业务的负载分担,同时保证IPSEC加密的同一条流的正反向报文都送往同一个业务卡处理,保证IPSEC信息随业务插卡数量增加而线形增加。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (10)
1.一种分布式防火墙IP安全IPSec业务分担的方法,应用于需要通过公网进行IPSec数据传输的网络系统中,其中该网络系统至少包括若干个外网设备和内网设备,所述防火墙设置于所述外网设备和内网设备之间,且至少包括一个主控板和两个以上的接口板和业务板,其特征在于,所述方法包括如下步骤:
所述业务板通知主控板下发访问控制列表ACL策略信息给所有接口板,以保证来自特定网络设备的报文均发送给对应的接口板;
所述业务板进一步将安全联盟SA流信息同步到其他所有业务板,当业务板根据SA流信息,发现其接收的报文不属于其自身处理时,进一步将该报文重定向至与该SA流信息匹配的业务板。
2.如权利要求1所述的方法,其特征在于,所述业务板通知主控板下发ACL策略信息给所有接口板具体包括:
当业务板确认需要对所述报文首次进行IPSec加密处理时,通知主控板下发ACL信息给所有接口板,告知后续源或目的IP地址为传输所述报文的外网设备的IP地址的所有报文均发送至该业务板;并且
当业务板对来自外网分支设备的IPSec报文首次进行解密后,还需要通知主控板下发ACL信息给所有接口板,告知后续目的IP为所述该报文源IP地址的报文均发送至该业务板。
3.如权利要求2所述的方法,其特征在于,当所述业务板确认需要对所述报文进行IPSec加密或解密处理时,该业务板查询本地是否保存有对所述报文进行IPSec处理的对应SA流信息,如果没有,则表明所述报文为网络设备新发送的报文,所述业务板需要启动与外网分支设备进行IPSec加密/解密处理的因特网密钥交换协议IKE协商,以便协商到对应的SA流信息。
4.如权利要求3所述的方法,其特征在于,所述业务板在协商到对应的SA流信息后,进一步将协商到的SA流信息同步到所有其他业务板,并标识后续具有该SA流信息的报文均由该业务板处理。
5.如权利要求3所述的方法,其特征在于,如果业务板本地保存有对所述报文进行IPSec处理的对应SA流信息,则所述业务板根据查询到的SA流信息判断是否由本板进行IPSec加密或解密处理,如果判断结果为由本板进行处理,则所述业务板对所述报文进行IPSec加密或解密处理,并将加密或解密后的报文发送给目标网络设备,否则,业务板根据查询到的SA流信息进行匹配,并将该报文重定向发送给匹配到的对应业务板进行IPSec加密或解密处理,并将加密或解密后的报文发送给目标网络设备。
6.一种分布式防火墙IP安全IPSec报文业务负载分担的装置,所述装置应用于需要通过公网进行IPSec数据传输的网络系统中,其中该网络系统至少包括若干个外网设备和内网设备,所述装置设置于所述外网设备和内网设备之间,且至少包括一个主控板和两个以上的接口板和业务板,其中所述接口板,用于接收来自网络设备的报文,并按照预定策略规则转发给对应的业务板,其特征于:
所述业务板,用于对接收来自接口板的报文进行相应的处理并转发给目标网络设备,并通知主控板及时下发访问控制列表ACL策略信息给所有接口板,以保证来自特定网络设备的报文均发送给对应的接口板;并通过将安全联盟SA流信息同步到所有业务板,当业务板根据SA流信息,发现其接收的报文不属于其自身处理时,进一步将该报文重定向至与该SA流信息匹配的业务板。
7.如权利要求6所述的装置,其特征在于,所述业务板通知主控板下发ACL策略信息给所有接口板具体包括:
当业务板确认需要对所述报文首次进行IPSec加密处理时,通知主控板下发ACL信息给所有接口板,告知后续源或目的IP地址为传输所述报文的外网设备的IP地址的所有报文均发送至该业务板;并且
当业务板对来自外网分支设备的IPSec报文首次进行解密后,还需要通知主控板下发ACL信息给所有接口板,告知后续目的IP为所述该报文源IP地址的报文均发送至该业务板。
8.如权利要求7所述的装置,其特征在于,当所述业务板确认需要对所述报文进行IPSec加密或解密处理时,该业务板查询本地是否保存有对所述报文进行IPSec处理的对应SA流信息,如果没有,则表明所述报文为网络设备新发送的报文,所述业务板需要启动与外网分支设备进行IPSec加密/解密处理的因特网密钥交换协议IKE协商,以便协商到对应的SA流信息。
9.如权利要求8所述的装置,其特征在于,所述业务板在协商到对应的SA流信息后,进一步将协商到的SA流信息同步到所有其他业务板,并标识后续具有该SA流信息的报文均由该业务板处理。
10.如权利要求8所述的装置,其特征在于,如果业务板本地保存有对所述报文进行IPSec处理的对应SA流信息,则所述业务板根据查询到的SA流信息判断是否由本板进行IPSec加密或解密处理,如果判断结果为由本板进行处理,则所述业务板对所述报文进行IPSec加密或解密处理,并将加密或解密后的报文发送给目标网络设备,否则,业务板根据查询到的SA流信息进行匹配,并将该报文重定向发送给匹配到的对应业务板进行IPSec加密或解密处理,并将加密或解密后的报文发送给目标网络设备。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210235999.9A CN103546497B (zh) | 2012-07-09 | 2012-07-09 | 一种分布式防火墙IPSec业务负载分担的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210235999.9A CN103546497B (zh) | 2012-07-09 | 2012-07-09 | 一种分布式防火墙IPSec业务负载分担的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103546497A CN103546497A (zh) | 2014-01-29 |
| CN103546497B true CN103546497B (zh) | 2016-12-21 |
Family
ID=49969544
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210235999.9A Active CN103546497B (zh) | 2012-07-09 | 2012-07-09 | 一种分布式防火墙IPSec业务负载分担的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103546497B (zh) |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105099898B (zh) * | 2014-04-16 | 2018-09-04 | 杭州迪普科技股份有限公司 | 一种pppoe报文转发方法以及bras服务器 |
| CN105227463B (zh) * | 2014-06-13 | 2018-09-04 | 杭州迪普科技股份有限公司 | 一种分布式设备中业务板间的通信方法 |
| CN107846699B (zh) * | 2014-09-02 | 2021-04-13 | 安科讯(福建)科技有限公司 | 多板卡lte网关的数据处理方法及系统 |
| US9565167B2 (en) * | 2015-01-21 | 2017-02-07 | Huawei Technologies Co., Ltd. | Load balancing internet protocol security tunnels |
| CN106161340B (zh) * | 2015-03-26 | 2020-06-09 | 中兴通讯股份有限公司 | 业务分流方法和系统 |
| CN105991464B (zh) * | 2015-04-20 | 2018-12-25 | 杭州迪普科技股份有限公司 | 网络流量的分流方法、主控板、接口板及网关设备 |
| CN106330785B (zh) * | 2015-06-17 | 2020-08-11 | 深圳市腾讯计算机系统有限公司 | 一种选择业务节点的方法和装置 |
| CN105939291B (zh) * | 2015-09-25 | 2019-09-06 | 杭州迪普科技股份有限公司 | 报文处理方法和网络设备 |
| CN107547479A (zh) * | 2016-06-29 | 2018-01-05 | 迈普通信技术股份有限公司 | IPsec的实现方法及装置 |
| CN109525544B (zh) * | 2018-06-01 | 2021-08-13 | 中央军委后勤保障部信息中心 | 一种基于密码机集群的业务系统访问方法及系统 |
| CN111866046A (zh) * | 2019-04-30 | 2020-10-30 | 华为技术有限公司 | 一种实现集群的方法及相关设备 |
| CN113923046B (zh) * | 2021-11-04 | 2023-11-10 | 北京天融信网络安全技术有限公司 | 一种分布式防火墙安全通信的实现方法及系统 |
| CN114785536B (zh) * | 2022-02-28 | 2024-08-06 | 新华三信息安全技术有限公司 | 一种报文处理方法及装置 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101106450A (zh) * | 2007-08-16 | 2008-01-16 | 杭州华三通信技术有限公司 | 分布式报文传输安全保护装置和方法 |
| CN101309273A (zh) * | 2008-07-16 | 2008-11-19 | 杭州华三通信技术有限公司 | 一种生成安全联盟的方法和装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7574738B2 (en) * | 2002-11-06 | 2009-08-11 | At&T Intellectual Property Ii, L.P. | Virtual private network crossovers based on certificates |
-
2012
- 2012-07-09 CN CN201210235999.9A patent/CN103546497B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101106450A (zh) * | 2007-08-16 | 2008-01-16 | 杭州华三通信技术有限公司 | 分布式报文传输安全保护装置和方法 |
| CN101309273A (zh) * | 2008-07-16 | 2008-11-19 | 杭州华三通信技术有限公司 | 一种生成安全联盟的方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103546497A (zh) | 2014-01-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103546497B (zh) | 一种分布式防火墙IPSec业务负载分担的方法及装置 | |
| US7028337B2 (en) | Method of virtual private network communication in security gateway apparatus and security gateway apparatus using the same | |
| CN100596062C (zh) | 分布式报文传输安全保护装置和方法 | |
| US8583912B2 (en) | Communication system of client terminals and relay server and communication method | |
| US8295488B2 (en) | Exchange of key material | |
| CN102710669B (zh) | 一种防火墙策略控制的方法及装置 | |
| US7228414B2 (en) | Method and apparatus for transferring a communication session | |
| US7228415B2 (en) | Method and apparatus for transferring a communication session | |
| CN101499972B (zh) | Ip安全报文转发方法及装置 | |
| CN110087236A (zh) | 用于通过无线网络与匿名主机建立安全通信会话的协议 | |
| US20060168445A1 (en) | Method, gateway and system for transmitting data between a device in a public network and a device in an internal network | |
| CN101567831B (zh) | 局域网之间发送、接收信息的方法和装置以及通信的系统 | |
| JP2004241976A (ja) | 移動通信ネットワークシステムおよび移動端末認証方法 | |
| CN101110672A (zh) | 通信系统中建立esp安全联盟的方法和系统 | |
| CN102301660A (zh) | Tcp通信方案 | |
| CN105516062A (zh) | 一种实现L2TP over IPsec接入的方法 | |
| CN105812322A (zh) | 因特网安全协议安全联盟的建立方法及装置 | |
| CN101861712A (zh) | 基于移动因特网协议的服务器的安全方法 | |
| US20210273926A1 (en) | Method for editing messages by a device on a communication path established between two nodes | |
| RU2447603C2 (ru) | Способ передачи сообщений dhcp | |
| CN101517986A (zh) | 用于在加密的通信关系中编址和路由的方法和系统 | |
| CN102664804A (zh) | 网络设备实现网桥功能的方法及系统 | |
| CN107547621A (zh) | 一种报文转发方法及装置 | |
| CN110662218A (zh) | 数据摆渡装置及其方法 | |
| CN103916849B (zh) | 用于无线局域网通信的方法和设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou science and Technology Development Zone, Zhejiang high tech park, No. six and road, No. 310 Patentee before: Huasan Communication Technology Co., Ltd. |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20180925 Address after: 230088 the 541 phase of H2 two, two innovation industrial park, No. 2800, innovation Avenue, Hi-tech Zone, Hefei, Anhui. Patentee after: Xinhua three information Safe Technology Ltd Address before: 310052 Changhe Road, Binjiang District, Hangzhou, Zhejiang Province, No. 466 Patentee before: Xinhua three Technology Co., Ltd. |