CN106209425A - 基于交换机的防火墙自动bypass的方法及系统 - Google Patents
基于交换机的防火墙自动bypass的方法及系统 Download PDFInfo
- Publication number
- CN106209425A CN106209425A CN201610487827.9A CN201610487827A CN106209425A CN 106209425 A CN106209425 A CN 106209425A CN 201610487827 A CN201610487827 A CN 201610487827A CN 106209425 A CN106209425 A CN 106209425A
- Authority
- CN
- China
- Prior art keywords
- fire wall
- bypass
- switch
- physical cord
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0654—Management of faults, events, alarms or notifications using network fault recovery
- H04L41/0663—Performing the actions predefined by failover planning, e.g. switching to standby network elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/302—Route determination based on requested QoS
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Alarm Systems (AREA)
- Fire Alarms (AREA)
Abstract
本发明公开了一种基于交换机的防火墙自动bypass的方法及系统,方法包括:S1、将防火墙接入到两个交换机之间,部署bypass物理线,用于将两个交换机直接连接;S2、配置网络生成树协议,设置bypass物理线的网络接口的优先级为高;将防火墙的路由信息传输至两个交换机上,设置路由优先级为高;将bypass物理线的网络接口状态设置为down;S3、每隔一时间段监测一次防火墙的网络状况,在连续若干次出现网络状况异常后执行S4;S4、将bypass物理线的网络接口状态设置为up,两个交换机之间的流量通过bypass物理线运行。本发明在防火墙出现故障时自动执行bypass功能,节省排障和变更的时间。
Description
技术领域
本发明涉及一种网络安全技术领域,特别是涉及一种基于交换机的防火墙自动bypass的方法及系统。
背景技术
防火墙是网络安全领域用来阻挡对网站的非法请求的一个重要工具,通常串联部署在网络链路中,如果发生故障或者变更操作,则会造成网站的访问问题。有很多品牌和型号的防火墙没有自带bypass(旁路功能)模块,发生问题如电源故障、硬件故障、操作系统故障时,需要工程师到机房现场解决故障,这会浪费大量的时间,无法满足快速恢复网站业务的要求。
发明内容
本发明要解决的技术问题是为了克服现有技术中防火墙没有bypass模块导致出现故障时无法快速恢复的缺陷,提供一种基于交换机的防火墙自动bypass的方法及系统。
本发明是通过下述技术方案来解决上述技术问题的:
本发明提供了一种基于交换机的防火墙自动bypass的方法,其特点在于,包括以下步骤:
S1、将防火墙接入到两个交换机之间,并部署一条bypass物理线,所述bypass物理线用于将所述两个交换机直接连接;
S2、配置网络生成树协议,设置所述bypass物理线的网络接口的优先级为高;将所述防火墙的路由信息传输至所述两个交换机上,并设置所述防火墙的路由优先级为高;将所述bypass物理线的网络接口状态设置为down;
S3、每隔一时间段监测一次所述防火墙的网络状况,在连续若干次出现网络状况异常后执行步骤S4;
S4、将所述bypass物理线的网络接口状态设置为up,所述两个交换机之间的流量通过所述bypass物理线运行。
较佳地,步骤S4之后还包括:
S5、在监测到所述防火墙的网络状况恢复正常后,将所述bypass物理线的网络接口状态设置为down,并将所述两个交换机通过所述防火墙连接。
较佳地,步骤S4之后还包括:将所述防火墙自动bypass的信息通过邮件和/或短信发送出去。
本发明的目的在于还提供了一种基于交换机的防火墙自动bypass的系统,其特点在于,包括:
网络部署模块,用于将防火墙接入到两个交换机之间,并部署一条bypass物理线,所述bypass物理线用于将所述两个交换机直接连接;
网络配置模块,用于配置网络生成树协议,设置所述bypass物理线的网络接口的优先级为高;将所述防火墙的路由信息传输至所述两个交换机上,并设置所述防火墙的路由优先级为高;将所述bypass物理线的网络接口状态设置为down;
防火墙监测模块,用于每隔一时间段监测一次所述防火墙的网络状况,在连续若干次出现网络状况异常后则调用一防火墙自动bypass模块;
所述防火墙自动bypass模块用于将所述bypass物理线的网络接口状态设置为up,所述两个交换机之间的流量通过所述bypass物理线运行。
较佳地,所述系统还包括防火墙恢复模块,用于在所述防火墙监测模块监测到所述防火墙的网络状况恢复正常后,将所述bypass物理线的网络接口状态设置为down,并将所述两个交换机通过所述防火墙连接。
较佳地,所述系统还包括信息通知模块,用于将所述防火墙自动bypass的信息通过邮件和/或短信发送出去。
本发明的积极进步效果在于:本发明能够在防火墙出现故障时自动化地执行bypass功能,通过bypass物理线保证两个交换机之间的流量运行,从而节省了排障和变更的时间,可以最快时间恢复网站业务;并且本发明无需工程师手动登录交换机执行命令,可以大大减少人工出错的概率,同时本发明可以提高工作效率,对于防火墙数量众多的大中型网站非常有益。
附图说明
图1为本发明的较佳实施例的基于交换机的防火墙自动bypass的系统的模块示意图。
图2为本发明的较佳实施例的基于交换机的防火墙自动bypass的方法的流程图。
具体实施方式
下面通过实施例的方式进一步说明本发明,但并不因此将本发明限制在所述的实施例范围之中。
如图1所示,本发明的基于交换机的防火墙自动bypass的系统包括网络部署模块1、网络配置模块2、防火墙监测模块3、防火墙自动bypass模块4、防火墙恢复模块5以及信息通知模块6。
其中,所述网络部署模块1用于将防火墙接入到两个交换机之间,并部署一条bypass物理线,所述bypass物理线用于将所述两个交换机直接连接;所述网络配置模块2则配置网络生成树协议,设置所述bypass物理线的网络接口(即交换机的网络直连接口)的优先级为高;将所述防火墙的路由信息传输至所述两个交换机上,并设置所述防火墙的路由优先级为高;将所述bypass物理线的网络接口状态设置为down,此时所述两个交换机之间的流量通过所述防火墙运行;
所述防火墙监测模块3用于每隔一时间段(例如:5s)监测一次所述防火墙的网络状况,在连续若干次(例如:3次)出现网络状况异常后则调用所述防火墙自动bypass模块4;若连续若干次出现网络状况异常,则说明所述防火墙出现故障,具体出现故障的原因可包括电源故障、硬件故障、操作系统故障等,此时可下达指令给所述防火墙自动bypass模块4;
所述防火墙自动bypass模块4在接收到指令后会让程序自动登录交换机,并将所述bypass物理线的网络接口状态设置为up,根据网络生成树协议的理论,此时所述两个交换机之间的流量通过所述bypass物理线运行,不再经过所述防火墙。
而所述信息通知模块6则会将所述防火墙自动bypass的信息通过邮件、短信的方式发送给工程师,以及时将相关信息通知到工程师。
在所述防火墙监测模块3检测到所述防火墙的网络状况恢复正常后,所述防火墙恢复模块5还将所述bypass物理线的网络接口状态设置为down,并将所述两个交换机通过所述防火墙连接,此时所述两个交换机之间的流量会自动切换为通过所述防火墙运行,而不再经过所述bypass物理线。
如图2所示,本发明的基于交换机的防火墙自动bypass的方法包括以下步骤:
步骤101、将防火墙接入到两个交换机之间,并部署一条bypass物理线,所述bypass物理线用于将所述两个交换机直接连接;
步骤102、配置网络生成树协议,设置所述bypass物理线的网络接口的优先级为高;将所述防火墙的路由信息传输至所述两个交换机上,并设置所述防火墙的路由优先级为高;将所述bypass物理线的网络接口状态设置为down;
步骤103、每隔一时间段监测一次所述防火墙的网络状况,在连续若干次出现网络状况异常后执行步骤104,否则就重复执行步骤103;
步骤104、将所述bypass物理线的网络接口状态设置为up,所述两个交换机之间的流量通过所述bypass物理线运行;
步骤105、将所述防火墙自动bypass的信息通过邮件和/或短信发送出去;
步骤106、在监测到所述防火墙的网络状况恢复正常后,将所述bypass物理线的网络接口状态设置为down,并将所述两个交换机通过所述防火墙连接。
虽然以上描述了本发明的具体实施方式,但是本领域的技术人员应当理解,这些仅是举例说明,本发明的保护范围是由所附权利要求书限定的。本领域的技术人员在不背离本发明的原理和实质的前提下,可以对这些实施方式做出多种变更或修改,但这些变更和修改均落入本发明的保护范围。
Claims (6)
1.一种基于交换机的防火墙自动bypass的方法,其特征在于,包括以下步骤:
S1、将防火墙接入到两个交换机之间,并部署一条bypass物理线,所述bypass物理线用于将所述两个交换机直接连接;
S2、配置网络生成树协议,设置所述bypass物理线的网络接口的优先级为高;将所述防火墙的路由信息传输至所述两个交换机上,并设置所述防火墙的路由优先级为高;将所述bypass物理线的网络接口状态设置为down;
S3、每隔一时间段监测一次所述防火墙的网络状况,在连续若干次出现网络状况异常后执行步骤S4;
S4、将所述bypass物理线的网络接口状态设置为up,所述两个交换机之间的流量通过所述bypass物理线运行。
2.如权利要求1所述的基于交换机的防火墙自动bypass的方法,其特征在于,步骤S4之后还包括:
S5、在监测到所述防火墙的网络状况恢复正常后,将所述bypass物理线的网络接口状态设置为down,并将所述两个交换机通过所述防火墙连接。
3.如权利要求1所述的基于交换机的防火墙自动bypass的方法,其特征在于,步骤S4之后还包括:将所述防火墙自动bypass的信息通过邮件和/或短信发送出去。
4.一种基于交换机的防火墙自动bypass的系统,其特征在于,包括:
网络部署模块,用于将防火墙接入到两个交换机之间,并部署一条bypass物理线,所述bypass物理线用于将所述两个交换机直接连接;
网络配置模块,用于配置网络生成树协议,设置所述bypass物理线的网络接口的优先级为高;将所述防火墙的路由信息传输至所述两个交换机上,并设置所述防火墙的路由优先级为高;将所述bypass物理线的网络接口状态设置为down;
防火墙监测模块,用于每隔一时间段监测一次所述防火墙的网络状况,在连续若干次出现网络状况异常后则调用一防火墙自动bypass模块;
所述防火墙自动bypass模块用于将所述bypass物理线的网络接口状态设置为up,所述两个交换机之间的流量通过所述bypass物理线运行。
5.如权利要求4所述的基于交换机的防火墙自动bypass的系统,其特征在于,所述系统还包括防火墙恢复模块,用于在所述防火墙监测模块监测到所述防火墙的网络状况恢复正常后,将所述bypass物理线的网络接口状态设置为down,并将所述两个交换机通过所述防火墙连接。
6.如权利要求4所述的基于交换机的防火墙自动bypass的系统,其特征在于,所述系统还包括信息通知模块,用于将所述防火墙自动bypass的信息通过邮件和/或短信发送出去。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610487827.9A CN106209425A (zh) | 2016-06-28 | 2016-06-28 | 基于交换机的防火墙自动bypass的方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610487827.9A CN106209425A (zh) | 2016-06-28 | 2016-06-28 | 基于交换机的防火墙自动bypass的方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106209425A true CN106209425A (zh) | 2016-12-07 |
Family
ID=57461557
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610487827.9A Pending CN106209425A (zh) | 2016-06-28 | 2016-06-28 | 基于交换机的防火墙自动bypass的方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106209425A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111314290A (zh) * | 2019-12-30 | 2020-06-19 | 北京长亭未来科技有限公司 | 一种web应用防火墙业务连续性保护方法、装置及电子设备 |
| CN112165450A (zh) * | 2020-08-27 | 2021-01-01 | 杭州安恒信息技术股份有限公司 | Web应用防火墙的安全防护方法、装置和电子装置 |
| CN114598673A (zh) * | 2022-05-09 | 2022-06-07 | 太平金融科技服务(上海)有限公司深圳分公司 | 电子邮箱系统、邮箱处理方法、装置和计算机设备 |
| CN114679295A (zh) * | 2022-01-26 | 2022-06-28 | 杭州迪普科技股份有限公司 | 防火墙安全配置方法及装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2000051216A1 (en) * | 1999-02-25 | 2000-08-31 | Lodgenet Entertainment Corporation | Method and apparatus for providing uninterrupted communication over a network link |
| CN101001165A (zh) * | 2006-01-11 | 2007-07-18 | 大唐移动通信设备有限公司 | 具有冗余端口的网络故障恢复方法 |
| US20090141645A1 (en) * | 2002-09-10 | 2009-06-04 | Capital One Financial Corporation | Stealth network |
| CN102611567A (zh) * | 2011-12-19 | 2012-07-25 | 北京星网锐捷网络技术有限公司 | 一种双机备份的组网系统及报文传输方法 |
| CN104113527A (zh) * | 2014-06-19 | 2014-10-22 | 上海地面通信息网络有限公司 | 一种应用于云计算网络的waf防火墙配置 |
-
2016
- 2016-06-28 CN CN201610487827.9A patent/CN106209425A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2000051216A1 (en) * | 1999-02-25 | 2000-08-31 | Lodgenet Entertainment Corporation | Method and apparatus for providing uninterrupted communication over a network link |
| US20090141645A1 (en) * | 2002-09-10 | 2009-06-04 | Capital One Financial Corporation | Stealth network |
| CN101001165A (zh) * | 2006-01-11 | 2007-07-18 | 大唐移动通信设备有限公司 | 具有冗余端口的网络故障恢复方法 |
| CN102611567A (zh) * | 2011-12-19 | 2012-07-25 | 北京星网锐捷网络技术有限公司 | 一种双机备份的组网系统及报文传输方法 |
| CN104113527A (zh) * | 2014-06-19 | 2014-10-22 | 上海地面通信息网络有限公司 | 一种应用于云计算网络的waf防火墙配置 |
Non-Patent Citations (1)
| Title |
|---|
| SANSSEN: "光纤损坏则bypass解决方案", 《HTTPS://WENKU.BAIDU.COM/VIEW/14ED9202EFF9AEF8941E06DB.HTML》 * |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111314290A (zh) * | 2019-12-30 | 2020-06-19 | 北京长亭未来科技有限公司 | 一种web应用防火墙业务连续性保护方法、装置及电子设备 |
| CN111314290B (zh) * | 2019-12-30 | 2022-06-24 | 北京长亭未来科技有限公司 | 一种web应用防火墙业务连续性保护的方法、装置及电子设备 |
| CN112165450A (zh) * | 2020-08-27 | 2021-01-01 | 杭州安恒信息技术股份有限公司 | Web应用防火墙的安全防护方法、装置和电子装置 |
| CN112165450B (zh) * | 2020-08-27 | 2023-04-21 | 杭州安恒信息技术股份有限公司 | Web应用防火墙的安全防护方法、装置和电子装置 |
| CN114679295A (zh) * | 2022-01-26 | 2022-06-28 | 杭州迪普科技股份有限公司 | 防火墙安全配置方法及装置 |
| CN114598673A (zh) * | 2022-05-09 | 2022-06-07 | 太平金融科技服务(上海)有限公司深圳分公司 | 电子邮箱系统、邮箱处理方法、装置和计算机设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104137477B (zh) | 用于处置互连节点中状况改变的技术 | |
| CN106209425A (zh) | 基于交换机的防火墙自动bypass的方法及系统 | |
| CN105656645B (zh) | 堆叠系统的故障处理的决策方法和装置 | |
| CN106789306A (zh) | 通信设备软件故障检测收集恢复方法和系统 | |
| CN102281178A (zh) | 环网链路冗余控制系统及控制方法 | |
| CN106850308A (zh) | 一种双机热备份系统 | |
| CN103580886A (zh) | 分组传送网络保护倒换装置和方法 | |
| CN1960310A (zh) | 一种实现环网保护的方法及系统 | |
| CN101222402B (zh) | 以太环网保护方法、系统及装置 | |
| CN103390882A (zh) | 一种海上电网保护定值修改方法 | |
| CN107453913A (zh) | 具备处理器间高速通信的网关冗余方法 | |
| CN102281103B (zh) | 基于模糊集合解算的光网络多故障恢复方法 | |
| CN105387944A (zh) | 一种红外线轴温探测系统调制解调器故障排除方法 | |
| CN105067959B (zh) | 环网供电条件下的故障定位方法 | |
| CN104468347B (zh) | 网络数据自环回的控制方法及装置 | |
| CN107979499A (zh) | 基于有状态数据平面的网络多点故障恢复方法 | |
| CN103490920A (zh) | 电力光纤通信网络中的多重故障保护/恢复方法及系统 | |
| CN105743565A (zh) | 一种光传送网的保护倒换方法及装置 | |
| CN101330382A (zh) | 一种基于加密隧道智能选择的自动旁路方法 | |
| CN101980478A (zh) | 设备故障的检测处理方法、装置和网络设备 | |
| CN104901839B (zh) | 动车组主处理器mpu冗余方法 | |
| CN101753465B (zh) | 以太环网保护系统控制vlan报文的保护方法及设备 | |
| CN104753722B (zh) | 一种快速倒换的dni‑pw实现方法及系统 | |
| CN106844078A (zh) | 一种pcie故障的处理方法和装置 | |
| CN102780576B (zh) | 故障产生和消失的上报方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20161207 |