CN107888621A - 防火墙管理方法、装置及防火墙堆叠系统 - Google Patents
防火墙管理方法、装置及防火墙堆叠系统 Download PDFInfo
- Publication number
- CN107888621A CN107888621A CN201711339881.XA CN201711339881A CN107888621A CN 107888621 A CN107888621 A CN 107888621A CN 201711339881 A CN201711339881 A CN 201711339881A CN 107888621 A CN107888621 A CN 107888621A
- Authority
- CN
- China
- Prior art keywords
- fire wall
- state
- fire
- message
- mac address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供的防火墙管理方法、装置及防火墙堆叠系统,涉及通信技术领域。其中,防火墙管理方法应用于防火墙堆叠系统,所述防火墙堆叠系统包括至少两个处于激活状态的防火墙,所述防火墙管理方法包括:根据预设策略从所述至少两个处于激活状态的防火墙中确定一个防火墙作为第一防火墙;通过所述第一防火墙接收终端设备发送的数据报文。通过上述方法,可以确保防火墙利用率,减少资源浪费。
Description
技术领域
本发明涉及通信技术领域,具体而言,涉及一种防火墙管理方法、装置及防火墙堆叠系统。
背景技术
IRF(Intelligent Resilient Framework,智能弹性架构)技术的核心思想是将多台设备虚拟化为一台设备,以实现多台设备之间的协调工作、统一管理和不间断的维护,从而达到简化管理的目的。由于IRF技术具有较大的优势,该技术在防火墙堆叠系统中得到了广泛的应用。但是,经发明人研究发现,在现有的防火墙堆叠系统中,存在资源浪费的问题。
发明内容
有鉴于此,本发明的目的在于提供一种防火墙管理方法、装置及防火墙堆叠系统,以改善现有技术中的防火墙堆叠系统所存在的资源浪费的问题。
为实现上述目的,本发明实施例采用如下技术方案:
一种防火墙管理方法,应用于防火墙堆叠系统,所述防火墙堆叠系统包括至少两个处于激活状态的防火墙,所述方法包括:
根据预设策略从所述至少两个处于激活状态的防火墙中确定一个防火墙作为第一防火墙;
通过所述第一防火墙接收终端设备发送的数据报文。
在本发明实施例较佳的选择中,在上述防火墙管理方法中,根据预设策略从所述至少两个处于激活状态的防火墙中确定一个防火墙作为第一防火墙的步骤包括:
接收终端设备发送的ARP请求报文,并获取所述ARP请求报文的源IP地址;
通过哈希算法对所述源IP地址进行处理,并根据处理结果从所述至少两个处于激活状态的防火墙中确定一个防火墙作为第一防火墙。
在本发明实施例较佳的选择中,在上述防火墙管理方法中,在执行根据预设策略从所述至少两个处于激活状态的防火墙中确定一个防火墙作为第一防火墙的步骤之后,所述方法还包括:
通过所述第一防火墙向所述终端设备发送所述第一防火墙的内网接口绑定的MAC地址,以使所述终端设备能够根据该MAC地址向所述第一防火墙发送数据报文;
在执行通过所述第一防火墙接收终端设备发送的数据报文的步骤之后,所述方法还包括:
通过所述第一防火墙将接收的数据报文的源IP地址替换为绑定的公网IP地址,并通过所述第一防火墙的外网接口将所述数据报文发送至外网。
在本发明实施例较佳的选择中,在上述防火墙管理方法中,所述方法还包括:
检测所述至少两个处于激活状态的防火墙中是否存在从激活状态变更为非激活状态的防火墙;
若存在变更为非激活状态的防火墙,则将变更为非激活状态的防火墙的运行数据绑定至处于激活状态的接管防火墙,其中,所述运行数据包括公网IP地址、MAC地址和NAT会话表项。
在本发明实施例较佳的选择中,在上述防火墙管理方法中,在执行将变更为非激活状态的防火墙的运行数据绑定至处于激活状态的接管防火墙的步骤之后,所述方法还包括:
检测所述从激活状态变更为非激活状态的防火墙的当前状态是否变更为激活状态;
若变更为激活状态,则将变更为激活状态的防火墙处于非激活状态之前绑定的运行数据重新绑定至该防火墙。
在本发明实施例较佳的选择中,在上述防火墙管理方法中,在执行将变更为非激活状态的防火墙的运行数据绑定至处于激活状态的接管防火墙的步骤之后,所述方法还包括:
通过所述接管防火墙向第一交换机发送第一二层广播报文,其中,所述第一交换机用于转发终端设备与防火墙之间的报文,所述第一二层广播报文的源MAC地址为所述接管防火墙的内网接口绑定的MAC地址,以使所述第一交换机根据该MAC地址刷新存储的MAC地址表;
通过所述接管防火墙向第二交换机发送第二二层广播报文,其中,所述第二交换机用于转发防火墙与外网设备之间的报文,所述第二二层广播报文的源MAC地址为所述接管防火墙的外网接口绑定的MAC地址,以使所述第二交换机根据该MAC地址刷新存储的MAC地址表;
在执行将变更为激活状态的防火墙处于非激活状态之前绑定的运行数据重新绑定至该防火墙的步骤之后,还方法还包括:
通过所述变更为激活状态的防火墙向第一交换机发送第三二层广播报文,其中,所述第一交换机用于转发终端设备与防火墙之间的报文,所述第三二层广播报文的源MAC地址为所述变更为激活状态的防火墙的内网接口绑定的MAC地址,以使所述第一交换机根据该MAC地址刷新存储的MAC地址表;
通过所述变更为激活状态的防火墙向第二交换机发送第四二层广播报文,其中,所述第二交换机用于转发防火墙与外网设备之间的报文,所述第四二层广播报文的源MAC地址为所述变更为激活状态的防火墙的外网接口绑定的MAC地址,以使所述第二交换机根据该MAC地址刷新存储的MAC地址表。
本发明实施例还提供了一种防火墙管理装置,应用于防火墙堆叠系统,所述防火墙堆叠系统包括至少两个处于激活状态的防火墙,所述装置包括:
第一防火墙选择模块,用于根据预设策略从所述至少两个处于激活状态的防火墙中确定一个防火墙作为第一防火墙;
数据报文接收模块,用于通过所述第一防火墙接收终端设备发送的数据报文。
在本发明实施例较佳的选择中,在上述防火墙管理装置中,所述第一防火墙选择模块包括:
IP地址获取子模块,用于接收终端设备发送的ARP请求报文,并获取所述ARP请求报文的源IP地址;
第一防火墙选择子模块,用于通过哈希算法对所述源IP地址进行处理,并根据处理结果从所述至少两个处于激活状态的防火墙中确定一个防火墙作为第一防火墙。
在本发明实施例较佳的选择中,在上述防火墙管理装置中,所述装置还包括:
MAC地址发送模块,用于通过所述第一防火墙向所述终端设备发送所述第一防火墙的内网接口绑定的MAC地址,以使所述终端设备能够根据该MAC地址向所述第一防火墙发送数据报文;
数据报文发送模块,用于通过所述第一防火墙将接收的数据报文的源IP地址替换为绑定的公网IP地址,并通过所述第一防火墙的外网接口将所述数据报文发送至外网。
在本发明实施例较佳的选择中,在上述防火墙管理装置中,所述装置还包括:
第一状态变更检测模块,用于检测所述至少两个处于激活状态的防火墙中是否存在从激活状态变更为非激活状态的防火墙;
第一运行数据绑定模块,用于在存在变更为非激活状态的防火墙时,将变更为非激活状态的防火墙的运行数据绑定至处于激活状态的接管防火墙,其中,所述运行数据包括公网IP地址、MAC地址和NAT会话表项。
在本发明实施例较佳的选择中,在上述防火墙管理装置中,所述装置还包括:
第二状态变更检测模块,用于检测所述从激活状态变更为非激活状态的防火墙的当前状态是否变更为激活状态;
第二运行数据绑定模块,用于在变更为激活状态时,将变更为激活状态的防火墙处于非激活状态之前绑定的运行数据重新绑定至该防火墙。
在本发明实施例较佳的选择中,在上述防火墙管理装置中,所述装置还包括:
第一广播报文发送模块,用于在所述第一运行数据绑定模块将变更为非激活状态的防火墙的运行数据绑定至处于激活状态的接管防火墙之后,通过所述接管防火墙向第一交换机发送第一二层广播报文,其中,所述第一交换机用于转发终端设备与防火墙之间的报文,所述第一二层广播报文的源MAC地址为所述接管防火墙的内网接口绑定的MAC地址,以使所述第一交换机根据该MAC地址刷新存储的MAC地址表;
第二广播报文发送模块,用于在所述第一运行数据绑定模块将变更为非激活状态的防火墙的运行数据绑定至处于激活状态的接管防火墙之后,通过所述接管防火墙向第二交换机发送第二二层广播报文,其中,所述第二交换机用于转发防火墙与外网设备之间的报文,所述第二二层广播报文的源MAC地址为所述接管防火墙的外网接口绑定的MAC地址,以使所述第二交换机根据该MAC地址刷新存储的MAC地址表;
所述第一广播报文发送模块,还用于在所述第二运行数据绑定模块将变更为激活状态的防火墙处于非激活状态之前绑定的运行数据重新绑定至该防火墙之后,通过所述变更为激活状态的防火墙向第一交换机发送第三二层广播报文,其中,所述第一交换机用于转发终端设备与防火墙之间的报文,所述第三二层广播报文的源MAC地址为所述变更为激活状态的防火墙的内网接口绑定的MAC地址,以使所述第一交换机根据该MAC地址刷新存储的MAC地址表;
所述第二广播报文发送模块,还用于在所述第二运行数据绑定模块将变更为激活状态的防火墙处于非激活状态之前绑定的运行数据重新绑定至该防火墙之后,通过所述变更为激活状态的防火墙向第二交换机发送第四二层广播报文,其中,所述第二交换机用于转发防火墙与外网设备之间的报文,所述第四二层广播报文的源MAC地址为所述变更为激活状态的防火墙的外网接口绑定的MAC地址,以使所述第二交换机根据该MAC地址刷新存储的MAC地址表。
本发明实施例还提供了一种防火墙堆叠系统,包括至少两个处于激活状态的防火墙,各防火墙包括存储器和处理器,且至少一个处于激活状态的防火墙的存储器存储有可在处理器上运行的计算机程序,该程序在处理器上运行时实现上述防火墙管理方法。
本发明实施例提供的防火墙管理方法、装置及防火墙堆叠系统,设置有至少两个处于激活状态的防火墙,处于激活状态的防火墙均能够接收终端设备发送的数据报文,因而可以根据实际需求灵活选择其中一个防火墙接收终端设备发送的数据报文,提高了防火墙选择的灵活性,避免了防火墙的闲置,提高了资源利用率。
进一步地,本发明实施例提供的防火墙管理方法、装置及防火墙堆叠系统,通过采用哈希算法对终端设备发送的ARP请求报文的源IP地址进行处理,并根据处理结果选择一个防火墙以接收终端设备发送的数据报文,保证了同一源IP地址对应的数据报文可以由同一防火墙进行接收。
为使本发明的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
图1为本发明实施例提供的数据报文转发系统的结构示意图。
图2为本发明实施例提供的防火墙的结构框图。
图3为本发明实施例提供的防火墙管理方法的流程示意图。
图4为图3中的步骤S110的流程示意图。
图5为本发明实施例提供的防火墙管理方法的另一流程示意图。
图6为本发明实施例提供的防火墙管理方法的另一流程示意图。
图7为本发明实施例提供的防火墙管理方法的另一流程示意图。
图8为本发明实施例提供的防火墙管理方法的另一流程示意图。
图9为本发明实施例提供的防火墙堆叠系统的具体应用示意图。
图10为本发明实施例提供的防火墙管理装置的结构框图。
图11为本发明实施例提供的第一防火墙选择模块的结构框图。
图12为本发明实施例提供的防火墙管理装置的另一结构框图。
图13为本发明实施例提供的防火墙管理装置的另一结构框图。
图14为本发明实施例提供的防火墙管理装置的另一结构框图。
图标:10-防火墙堆叠系统;12-存储器;14-处理器;21-终端设备;22-终端设备;30-第一交换机;40-第二交换机;50-服务器;100-防火墙管理装置;110-第一防火墙选择模块;111-IP地址获取子模块;113-第一防火墙选择子模块;120-数据报文接收模块;130-MAC地址发送模块;140-数据报文发送模块;150-第一状态变更检测模块;160-第一运行数据绑定模块;170-第二状态变更检测模块;180-第二运行数据绑定模块;190-第一广播报文发送模块;200-第二广播报文发送模块。
具体实施方式
经发明人研究发现,现有的防火墙堆叠系统中,存在资源浪费的问题,其中,对于防火墙的资源浪费一直被本领域技术人员所忽略,然而,防火墙在防火墙堆叠系统中占据着重要地位,是实现数据报文的接收、转发和网络地址转换的关键设备,因而,确保防火墙的可靠运行及利用率能够显著提高防火墙堆叠系统的实用性和可靠性。
经调研发现,在现有的某些防火墙堆叠系统中,会设置两个通过IRF技术进行管理的防火墙,其中,一个防火墙设置为激活状态,以完成数据报文的接收、转发和网络地址转换的工作,另一个防火墙设置为非激活状态以在前述激活状态的防火墙发生故障时自动激活以替代该防火墙,完成数据报文的接收、转发和网络地址转换的工作。由于两个防火墙中,始终存在一个防火墙处于非激活状态,无法进行数据报文的接收、转发和网络地址转换的工作,因而造成了资源浪费。
基于上述研究,本发明实施例突破现有技术的思维局限,提供了一种防火墙管理方案,设置有至少两个处于激活状态的防火墙,处于激活状态的防火墙均能够接收终端设备发送的数据报文,可以根据实际需求灵活选择其中一个防火墙接收终端设备发送的数据报文,从而提高防火墙选择的灵活性,避免防火墙的闲置,提高资源利用率。
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例只是本发明的一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。
因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。在本发明的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为只是或暗示相对重要性。
在本发明的描述中,除非另有明确的规定和限定,术语“设置”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
如图1所示,本发明实施例提供了一种数据报文转发系统作为本发明实施例中的防火墙管理方案的可选应用场景,所述数据报文转发系统可以包括终端设备、防火墙堆叠系统10、第一交换机30、第二交换机40及服务器50。
在用户需要对服务器50进行访问时,所述终端设备可以根据用户的请求通过所述第一交换机30向所述防火墙堆叠系统10发送报文,所述防火墙堆叠系统10对该报文进行网络地址转换处理后通过所述第二交换机40发送至所述处于外网的服务器50,以实现对服务器50的访问。
本发明实施例还提供了一种防火墙堆叠系统10,所述防火墙堆叠系统10可以包括至少两个处于激活状态的防火墙,且任意一个防火墙中,用于与所述第一交换机30通信的内网接口和用于与所述第二交换机40通信的外网接口处于开启状态,以使该防火墙处于激活状态,进而得到至少两个处于激活状态的防火墙。其中,所述至少两个处于激活状态的防火墙利用堆叠线进行了智能弹性架构(Intelligent Resilient Framework,IRF)的堆叠,堆叠后的所述至少两个处于激活状态的防火墙可以相当于一台虚拟设备,以实现所述至少两个处于激活状态的防火墙的协同工作、统一管理和不间断的维护。
为便于对堆叠后的各防火墙进行统一管理,可以通过智能弹性架构技术从所述至少两个处于激活状态的防火墙中选择一个防火墙作为主防火墙,以对各防火墙进行统一管理。在作为主防火墙的防火墙因发生故障而难以继续对各防火墙进行统一管理时,可以选择其它的任意一个或预定的一个防火墙作为主防火墙,以对各防火墙进行统一管理。
结合图2,在本实施例中,所述防火墙可以包括存储器12、处理器14和防火墙管理装置100。所述存储器12和处理器14之间直接或间接地电性连接,以实现数据的传输或交互。例如,这些元件相互之间可通过一条或多条通讯总线或信号线实现电性连接。所述防火墙管理装置100包括至少一个可以软件或固件(firmware)的形式存储于所述存储器12中的软件功能模块。所述处理器14用于执行所述存储器12中存储的可执行的计算机程序,例如,所述防火墙管理装置100所包括的软件功能模块及计算机程序等,以实现防火墙管理方法,进而实现对所述至少两个处于激活状态的防火墙进行统一管理。
其中,所述存储器12可以是,但不限于,随机存取存储器(Random Access Memory,RAM),只读存储器(Read Only Memory,ROM),可编程只读存储器(Programmable Read-OnlyMemory,PROM),可擦除只读存储器(Erasable Programmable Read-Only Memory,EPROM),电可擦除只读存储器(Electric Erasable Programmable Read-Only Memory,EEPROM)等。其中,存储器12用于存储程序,所述处理器14在接收到执行指令后,执行所述程序。
所述处理器14可能是一种集成电路芯片,具有信号的处理能力。上述的处理器14可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
可以理解,图2所示的结构仅为示意,所述防火墙堆叠系统10中的防火墙还可包括比图2中所示更多或者更少的组件,或者具有与图2所示不同的配置,例如,防火墙还可以包括用于与所述第一交换机30和所述第二交换机40进行报文接收与发送的通信单元。图2中所示的各组件可以采用硬件、软件或其组合实现。
结合图3,本发明实施例还提供一种可应用于上述防火墙堆叠系统10的防火墙管理方法。其中,所述防火墙堆叠系统10包括至少两个处于激活状态的防火墙,所述方法有关的流程所定义的方法步骤可以由主防火墙的处理器14实现。下面将对图3所示的具体流程进行详细阐述。
步骤S110,根据预设策略从所述至少两个处于激活状态的防火墙中确定一个防火墙作为第一防火墙。
步骤S120,通过所述第一防火墙接收终端设备发送的数据报文。
在本实施例中,在用户需要访问服务器50时,终端设备根据用户的请求生成数据报文并通过所述第一交换机30发送至所述防火墙堆叠系统10,所述防火墙堆叠系统10可以从所述至少两个处于激活状态的防火墙中确定一个防火墙作为第一防火墙以接收数据报文。
可选地,通过步骤S110确定第一防火墙以接收所述第一交换机30发送的数据报文的方式不受限制,既可以是随机确定,也可以是按照一定的策略进行确定。为了更为有效地对所述至少两个处于激活状态的防火墙进行管理,在本实施例中,优选为按照一定的策略以确定所述第一防火墙为例进行举例说明。
可选地,该策略的具体内容不受限制,根据实际应用中对所述至少两个处于激活状态的防火墙的具体管理需求进行设置即可,例如,若不考虑具有相同源IP地址的数据报文是否需要通过同一防火墙进行接收、网络地址转换及转发,可以对所述至少两个处于激活状态的防火墙进行排序以得到排序表,然后根据预设时间或预设次数按照各防火墙在所述排序表中的序列轮流选择一个防火墙作为第一防火墙,如在某一个防火墙接收数据报文的时间达到预设时间或接收数据报文的次数达到预设次数时,选择在所述排序表中序列位于该防火墙后一位的防火墙作为第一防火墙以接收数据报文。
又例如,为了减少所述第一防火墙对数据报文的源IP地址进行网络地址转换的流程、减少该防火墙的工作量并提高该防火墙的工作效率,可以根据需要接收的数据报文的源IP地址选择出所述第一防火墙,本实施例列举了其中一种实现流程,请结合图4中的步骤S111和步骤S113。
步骤S111,接收终端设备发送的ARP请求报文,并获取所述ARP请求报文的源IP地址。
在本实施例中,终端设备在发送数据报文之前,会根据用户请求生成ARP请求报文并通过所述第一交换机30发送至所述防火墙堆叠系统10,以通知所述防火墙堆叠系统10准备接收数据报文。其中,所述ARP请求报文为广播报文,将分别发送到所述防火墙堆叠系统10中的各防火墙中,以使确定的第一防火墙可以根据所述ARP请求报文回复应答报文,并通过所述第一交换机30将所述应答报文发送至终端设备,以使终端设备可以根据应答报文向第一防火墙发送数据报文。
步骤S113,通过哈希算法对所述源IP地址进行处理,并根据处理结果从所述至少两个处于激活状态的防火墙中选择一个防火墙作为第一防火墙。
在本实施例中,通过哈希算法对所述源IP地址进行处理可以为:将所述源IP地址除以所述至少两个处于激活状态的防护墙的数量并得到余数,然后根据得到的余数选择出所述第一防火墙。例如,处于激活状态的防火墙的数量为2时,得到的余数包括0和1,若余数为0则选择两个处于激活状态的防火墙中的一个作为第一防火墙,若余数为1则选择另一个作为第一防火墙。通过该种方式,使得具有相同源IP地址的数据报文能够通过同一防火墙进行接收。
在执行步骤S110之后,所述防火墙管理方法还可以包括以下步骤:通过所述第一防火墙向所述终端设备发送所述第一防火墙的内网接口绑定的MAC地址,以使所述终端设备能够根据该MAC地址向所述第一防火墙发送数据报文。
考虑到终端设备发出的数据报文由所述第一交换机30转发至第一防火墙,且第一防火墙通过内网接口与所述第一交换机30的端口连接。本实施例中,防火墙堆叠系统10的防火墙与处于内网的交换机连接的接口称为内网接口,与处于外网的交换机连接的接口称为外网接口。
进一步地,可以将第一防火墙的内网接口绑定MAC地址,以通过MAC地址标识该内网接口。并且,第一交换机30存储MAC地址表,其中,MAC地址表中具有MAC地址和第一交换机30的出端口之间的映射关系,该出端口为与该MAC地址绑定的内网接口连接的端口,以使所述第一交换机30在接收到所述终端设备发送的数据报文时,可以根据所述数据报文中的目的MAC地址通过存储的MAC地址表查找到对应的出端口,并通过该出端口将所述数据报文发送至连接的内网接口,以使第一防火墙通过该内网接口获取所述数据报文。
其中,第一防火墙向终端设备发送MAC地址的方式可以是,基于终端设备发送的ARP请求报文回复应答报文,所述应答报文的源MAC地址为第一防火墙的内网接口绑定的MAC地址。
进一步地,为缓解IP地址枯竭的问题,在本实施例中,所述防火墙管理方法还可以包括以下步骤:通过所述第一防火墙将接收的数据报文的源IP地址替换为绑定的公网IP地址,并通过所述第一防火墙的外网接口将所述数据报文发送至外网。
其中,第一防火墙绑定有公网IP地址,第一防火墙在对数据报文的源IP地址进行网络地址转换时,可以将该源IP地址替换为所述公网IP地址。所述服务器50在接收到数据报文后。通过该方法,可以实现以少量公网IP地址替代终端设备的较多私网IP地址的目的,进而缓解IP地址枯竭的问题。
可选地,第一防火墙绑定的公网IP地址既可以是一个,也可以是多个,根据实际需求进行设置即可,例如,可以根据公网IP地址的数量进行设置,在本实施例中,不做具体的限定。
进一步地,考虑到所述服务器50发送的数据应答报文会通过所述第二交换机40发送至第一防火墙,且所述第二交换机40的端口与第一防火墙的外网接口连接。
在本实施例中,第一防火墙的外网接口绑定有MAC地址,以通过MAC地址标识该外网接口。并且,所述第二交换机40存储MAC地址表,其中,该MAC地址表中具有MAC地址和出端口之间的映射关系,该出端口为第二交换机与该MAC地址绑定的外网接口连接的端口,以使所述第二交换机40在接收到所述终端设备发送的数据应答报文时,可以根据所述数据应答报文中的目的MAC地址查找到对应的出端口,并通过该出端口将所述数据应答报文发送至连接的外网接口,以使所述第一防火墙通过该外网接口获取所述数据应答报文。
进一步地,考虑到处于激活状态的防火墙因发生故障而变为非激活状态,为了保证原激活状态的防火墙处理的流量依然可以被转发,结合图5,在本实施例中,所述防火墙管理方法还可以包括步骤S130和步骤S140。
步骤S130,检测所述至少两个处于激活状态的防火墙中是否存在从激活状态变更为非激活状态的防火墙。
在本实施例中,所述防火墙堆叠系统10启动后,会不断对处于激活状态的防火墙进行检测,以判断该防火墙是否因发生故障而变更为非激活状态。例如,当某一个防火墙的内网接口或外网接口发生故障时,判定该防火墙因发生故障而变更为非激活状态。
步骤S140,若存在变更为非激活状态的防火墙,则将变更为非激活状态的防火墙的运行数据绑定至处于激活状态的接管防火墙。
在本实施例中,所述运行数据包括MAC地址、公网IP地址和NAT会话表项。
其中,接管变更为非激活状态的防火墙的运行数据的防火墙,在本实施例中称为接管防火墙。运行数据中的MAC地址包括内网接口绑定的MAC地址和外网接口绑定的MAC地址。在检测到有防火墙因发生故障而变更为非激活状态时,可以将该防火墙处于激活状态时绑定的MAC地址和公网IP地址绑定至接管防火墙。
其中,所述NAT会话表项用于保证在将MAC地址和公网IP地址绑定至接管防火墙后,基于该MAC地址和公网IP地址与终端设备和服务器50建立的会话一并移交至接管防火墙,从而保证数据报文和数据应答报文的连续、可靠地接收与发送。
可选地,在上述将运行数据绑定至接管防火墙的步骤中,确定接管防火墙的方法不受限制,可以根据实际应用中的需求进行设置,例如,可以随机选择一个处于激活状态的防火墙作为接管防火墙,也可以是按照一定的绑定策略选择一个处于激活状态的防火墙作为接管防火墙。
为了便于对各防火墙的管理,在本实施例中,以按照一定的绑定策略选择一个处于激活状态的防火墙作为接管防火墙为例,进行举例说明。
可选地,所述绑定策略的内容不受限制,例如,可以是对各防火墙设置优先级以从处于激活状态的各防火墙中选择优先级最高的防火墙作为接管防火墙,也可以是获取处于激活状态的各防火墙接收数据报文的频率并选择频率最小的防火墙作为接管防火墙。
进一步地,考虑到在有防火墙因发生故障而变更为非激活状态后,通过对该防火墙进行维护可以使其从非激活状态变更为激活状态,为了保证重新变更为激活状态的防火墙也能正常工作,在执行步骤S140后,可以对变更为激活状态的防火墙重新绑定MAC地址和公网IP地址,以使该防火墙得到充分的利用。可选地,进行上述重新绑定MAC地址和公网IP地址的方式不受限制,例如,可以是针对各防火墙重新绑定MAC地址和公网IP地址。为了尽可能小地增加防火墙堆叠系统10的工作量及减小对当前作为第一防火墙的防火墙的数据报文接收工作的影响,在本实施例中,结合图6,所述防火墙管理方法还可以包括步骤S150和步骤S160,以实现对变更为激活状态的防火墙重新绑定MAC地址和公网IP地址的目的。
步骤S150,检测所述从激活状态变更为非激活状态的防火墙的当前状态是否变更为激活状态。
步骤S160,若变更为激活状态,则将变更为激活状态的防火墙处于非激活状态之前绑定的运行数据重新绑定至该防火墙。
在本实施例中,在检测到有防火墙从非激活状态变更为激活状态时,可以将该防火墙在处于非激活状态之前绑定的MAC地址和公网IP地址,重新绑定至该防火墙,以使该防火墙可以通过绑定的MAC地址和公网IP地址进行数据报文和数据应答报文的接收与发送。
进一步地,考虑到所述第一交换机30和第二交换机40存储有MAC地址表,在执行步骤S140或步骤S160后,存在MAC地址与防火墙的内网接口或外网接口的绑定关系发生变更的问题,若不对该绑定关系表进行刷新,将导致所述第一交换机30无法通过MAC地址将数据报文发送至对应的防火墙并导致所述第二交换机40无法通过MAC地址将数据应答报文发送至对应的防火墙,因此,在本实施例中,结合图7,在执行步骤S140后,所述防火墙管理方法还可以包括步骤S170和步骤S180。
步骤S170,通过接管防火墙向第一交换机30发送第一二层广播报文。
在本实施例中,第一二层广播报文的源MAC地址为接管防火墙的内网接口绑定的MAC地址,其中,该MAC地址为执行步骤S140时接管防火墙的内网接口绑定的MAC地址,以使第一交换机30根据该MAC地址刷新存储的MAC地址表,进而实现第一交换机30可以根据该MAC地址将数据报文发送至接管防火墙。
步骤S180,通过接管防火墙向第二交换机40发送第二二层广播报文。
在本实施例中,第二二层广播报文的源MAC地址为接管防火墙的外网接口绑定的MAC地址,以使所述第二交换机40根据该MAC地址刷新存储的MAC地址表,进而实现所述第二交换机40可以根据该MAC地址将数据应答报文发送至接管防火墙。
结合图8,在执行步骤S160后,所述防火墙管理方法还可以包括步骤S190和步骤S200。
步骤S190,通过所述变更为激活状态的防火墙向第一交换机30发送第三二层广播报文。
在本实施例中,所述第三二层广播报文的源MAC地址为所述变更为激活状态的防火墙的内网接口绑定的MAC地址,以使所述第一交换机30根据该MAC地址刷新存储的MAC地址表,进而实现所述第一交换机30可以根据该MAC地址将数据报文发送至变更为激活状态的防火墙。
步骤S200,通过所述变更为激活状态的防火墙向第二交换机40发送第四二层广播报文。
在本实施例中,所述第四二层广播报文的源MAC地址为所述变更为激活状态的防火墙的外网接口绑定的MAC地址,以使所述第二交换机40根据该MAC地址刷新存储的MAC地址表,而实现所述第二交换机40可以根据该MAC地址将数据应答报文发送至变更为激活状态的防火墙。
其中,上述第一、第二、第三、第四二层广播报文由于源MAC不同,为便于描述,因而加以区分。
结合图9,本实施例还提供所述防火墙堆叠系统10的一种具体应用示例,以所述防火墙堆叠系统10包括防火墙A和防火墙B为例进行说明,且防火墙A和防火墙B具备NAT网关功能。但应理解的是,本示例公开的防火墙堆叠系统10并不限于两个防火墙的堆叠。
进一步地,在本实施例中,防火墙A可以包括第一内网接口P1/1和第一外网接口P1/2,防火墙B可以包括第二内网接口P2/1和第二外网接口P2/2。第一交换机30可以包括第一端口N1/1和第二端口N2/1,第二交换机40可以包括第三端口W1/1和第四端口W2/1。其中,第一内网接口P1/1与第一端口N1/1连接,第二内网接口P2/1与第二端口N2/1连接,第一外网接口P1/2与第三端口W1/1连接,第二外网接口P2/2与第四端口W2/1连接。并且,第一内网接口P1/1、第一外网接口P1/2、第二内网接口P2/1以及第二外网接口P2/2均处于激活状态,以使防火墙A和防火墙B能够与第一交换机30和第二交换机40进行报文的接收与发送工作。
可以理解的是,上述接口与端口之间的连接可以是物理连接,也可以是逻辑连接,在本实施例中不做具体的限定。
为便于对防火墙A和防火墙B与第一交换机30和第二交换机40之间报文的接收与发送进行管理,针对防火墙A:第一内网接口P1/1绑定MAC1,第一外网接口P1/2绑定MAC3,并将公网IP地址A1与第一外网接口P1/2绑定,用于NAT转换。针对防火墙B:第二内网接口P2/1绑定MAC2,第二外网接口P2/2绑定MAC4,并将公网IP地址B1与第二外网接口P2/2绑定,用于NAT转换。
可以理解的是,针对第一外网接口P1/2和第二外网接口P2/2绑定的公网IP地址,可以不仅限于公网IP地址A1和公网IP地址B1,还可以绑定其它的多个公网IP地址。下面结合防火墙堆叠系统10对报文处理的流程进行描述。
(一)ARP请求报文应答流程
在防火墙A和防火墙B接收到位于内网的终端设备通过第一交换机30广播的ARP请求报文时,防火墙堆叠系统10中的主防火墙可以根据预设策略在防火墙A或防火墙B之间确定一个防火墙作为第一防火墙,以应答ARP请求报文。
例如,在主防火墙中设置如下策略:将接收到的ARP请求报文的源IP地址作为哈希算法的key值,并将key值除以防火墙堆叠系统10中的防火墙数量,得到余数并根据余数确定第一防火墙。在本实施例中,防火墙数量为2,余数可以为0或1,可以在余数为0时,确定防火墙A作为第一防火墙以应答ARP请求报文,在余数为1时,确定防火墙B作为第一防火墙以应答ARP请求报文。
可以理解的是,ARP请求报文也可以由防火墙A或防火墙B根据预设策略主动确定是否应答。例如,防火墙A中预设的策略为:若接收到的ARP请求报文的源IP地址是偶数(在防火墙数量为2时,根据哈希算法对源IP地址处理,余数为0),则将第一内网接口P1/1绑定的MAC1作为应答报文的源MAC地址,并通过第一交换机30将应答报文发送至终端设备;而防火墙B中预设的策略为:若接收到的ARP报文的源IP地址是奇数(在防火墙数量为2时,根据哈希算法对源IP地址处理,余数为1),则将第二内网接口P2/1绑定的MAC2作为应答报文的源MAC地址,并通过第一交换机30将应答报文发送至终端设备。
在确定防火墙A或防火墙B响应ARP请求报文时,可以通过防火墙A或防火墙B生成应答报文,其中,应答报文的源MAC地址为防火墙A或防火墙B的内网接口绑定的MAC地址(MAC1或MAC2)。在终端设备接收到应答报文时,获取应答报文的源MAC地址(MAC1或MAC2),并将获取的源MAC地址作为生成的数据报文的目的MAC地址,发送至所述第一交换机30,以使所述第一交换机30将数据报文发送至对应的防火墙。
其中,第一交换机30中存储有MAC地址表,其中,MAC地址表中具有MAC地址和与该MAC地址绑定的内网接口连接的端口的映射关系,如下表所示:
| MAC地址 | 端口 |
| MAC1 | N1/1 |
| MAC2 | N2/1 |
通过上述映射关系,在第一交换机30对数据报文进行解析得到数据报文的目的MAC地址为MAC1时,可以通过第一端口N1/1将数据报文发出,由于第一端口N1/1与第一内网接口P1/1连接,防火墙A通过第一内网接口P1/1可以接收到数据报文。在数据报文的目的MAC地址为MAC2时,可以通过第二端口N2/1将数据报文发出,由于第二端口N2/1与第二内网接口P2/1连接,防火墙B通过第二内网接口P2/1可以接收到数据报文。
(二)数据报文转发流程
在本实施例中,以终端设备包括终端设备21和终端设备22为例进行说明,其中,防火墙A接收终端设备21发送的数据报文,且该数据报文的源IP地址为IP1,防火墙B接收终端设备22发送的数据报文,且该数据报文的源IP地址为IP2。
防火墙A在接收到终端设备21的数据报文时,可以将该数据报文的源IP地址IP1修改为第一外网接口P1/2绑定的公网IP地址A1,并通过第一外网接口P1/2将源IP地址修改后的数据报文发送至第二交换机40,以使第二交换机40转发至服务器50。其中,为保证数据报文和服务器50对应生成的数据应答报文的有效、连续的接收与发送,在防火墙A中会建立对应的会话表项,如下所示:
| 私网IP地址 | 公网IP地址 |
| IP1 | A1 |
防火墙B在接收到终端设备22的数据报文时,可以将该数据报文的源IP地址IP2修改为第二外网接口P2/2绑定的公网IP地址B1,并通过第二外网接口P2/2将源IP地址修改后的数据报文发送至第二交换机40,以使第二交换机40转发至服务器50。其中,为保证数据报文和服务器50对应生成的数据应答报文的有效、连续的接收与发送,在防火墙B中会建立对应的会话表项,如下所示:
(三)数据应答报文转发流程
在服务器50接收到数据报文时,可以根据该数据报文生成数据应答报文,其中,数据应答报文的目的IP地址为对应数据报文的源IP地址,例如,针对防火墙A转发的数据报文,对应的数据应答报文的目的IP地址为第一外网接口P1/2绑定的公网IP地址A1,针对防火墙B转发的数据报文,对应的数据应答报文的目的IP地址为第二外网接口P2/2绑定的公网IP地址B1。
其中,为保证第一交换机30可以将数据应答报文准确、有效地转发至对应的防火墙,以避免数据报文和对应的数据应答报文由不同防火墙进行转发的问题,在本实施例中,服务器50在通过第二交换机40转换数据应答报文时,可以通过第二交换机40向防火墙A和防火墙B广播ARP请求报文,以使防火墙A或防火墙B根据该ARP请求报文的目的IP地址判断是否应答。例如,若该ARP请求报文的目的IP地址为A1,则由防火墙A向第二交换机40发送源MAC地址为第一外网接口P1/2绑定的MAC地址的应答报文,若该ARP请求报文的目的IP地址为B1,则由防火墙B向第二交换机40发送源MAC地址为第二外网接口P2/2绑定的MAC地址的应答报文。
为便于第二交换机40根据应答报文将对应的数据应答报文发送至对应的防火墙,在第二交换机40中存储有MAC地址表,其中,MAC地址表中具有MAC地址和与该MAC地址绑定的外网网接口连接的端口的映射关系,如下表所示:
| MAC地址 | 端口 |
| MAC3 | W1/1 |
| MAC4 | W2/1 |
通过上述映射关系,在第二交换机40对应答报文进行解析得到应答报文的源MAC地址为MAC3时,可以通过第三端口W1/1将数据应答报文发出,由于第三端口W1/1与第一外网接口P1/2连接,防火墙A通过第一外网接口P1/2可以接收到数据应答报文。在应答报文的源MAC地址为MAC4时,可以通过第四端口W2/1将数据应答报文发出,由于第四端口W2/1与第二外网接口P2/2连接,防火墙B通过第二外网接口P2/2可以接收到数据应答报文。
(四)防火墙故障处理流程
考虑到在防火墙A或防火墙B在发生故障时,绑定于该防火墙的运行数据中的MAC地址和公网IP地址将因处于闲置状态而存在资源浪费的问题。因此,在检测到防火墙因发生故障而由激活状态变更为非激活状态时,可以将该防火墙绑定的MAC地址和公网IP地址绑定至另一个防火墙。在本实施例中,以防火墙A发生故障,防火墙B对防火墙A的运行数据进行接管为例进行说明。
其中,考虑到公网IP地址绑定对象发生变更后,基于公网IP地址建立的NAT会换表项也会发生变更,因此,在本实施例中,在将防火墙A绑定的公网IP地址绑定至防火墙B之后,可以将对应的NAT会话表项也绑定至防火墙B。下表为防火墙B接收防火墙A的NAT会话表项后更新得到的NAT会话表项:
| 私网IP地址 | 公网IP地址 |
| IP2 | B1 |
| IP1 | A1 |
进一步地,考虑到在将防火墙A绑定的MAC地址MAC1和MAC3绑定至防火墙B后,需要对第一交换机30和第二交换机40存储的MAC地址表进行刷新,以使第一交换机30和第二交换机40可以准确、有效地根据MAC地址将对应的报文转发至对应的防火墙。
其中,为实现第一交换机30和第二交换机40对MAC地址表进行刷新,可以分别通过防火墙B的第二内网接口P2/1和第二外网接口P2/2向第一交换机30和第二交换机40发送二层广播报文,其中,向第一交换机30发送的二层广播报文的源MAC地址为MAC1,向第二交换机40发送的二层广播报文的源MAC地址为MAC3。
第一交换机30进行刷新后的MAC地址表如下所示:
| MAC地址 | 端口 |
| MAC1 | N2/1 |
| MAC2 | N2/1 |
通过上述刷新后的映射关系,在第一交换机30对数据报文进行解析得到数据报文的目的MAC地址为MAC1时,可以通过第二端口N2/1将数据报文发出,由于第二端口N2/1与第二内网接口P2/1连接,防火墙B通过第二内网接口P2/1可以接收到数据报文。在数据报文的目的MAC地址为MAC2时,也可以通过第二端口N2/1将数据报文发出,由于第二端口N2/1与第二内网接口P2/1连接,防火墙B通过第二内网接口P2/1可以接收到数据报文。
第二交换机40进行刷新后的MAC地址表如下所示:
| MAC地址 | 端口 |
| MAC3 | W2/1 |
| MAC4 | W2/1 |
通过上述映射关系,在第二交换机40对应答报文进行解析得到应答报文的源MAC地址为MAC3时,可以通过第四端口W2/1将数据应答报文发出,由于第四端口W2/1与第二外网接口P2/2连接,防火墙B通过第二外网接口P2/2可以接收到数据应答报文。在应答报文的源MAC地址为MAC4时,也可以通过第四端口W2/1将数据应答报文发出,由于第四端口W2/1与第二外网接口P2/2连接,防火墙B通过第二外网接口P2/2可以接收到数据应答报文。
(五)防火墙故障恢复处理流程
在防火墙A由于故障恢复而处于激活状态时,若不对防火墙A重新绑定MAC地址和公网IP地址,将导致防火墙A处于闲置状态(第一交换机30和第二交换机40无法通过MAC地址将报文发送至防护墙A),进而导致防火墙资源浪费的问题。其中,既可以将MAC1绑定至第一内网接口P1/1,也可以将MAC2绑定至第一内网接口P1/1,既可以将MAC3绑定至第一外网接口P1/2,也可以将MAC4绑定至第一外网接口P1/2,既可以将A1绑定至第一外网接口P1/2,也可以将B1绑定至第一外网接口P1/2。在本实施例中,为减少防火墙因运行数据的重新绑定而造成处理流程复杂的问题,可以将MAC1绑定至第一内网接口P1/1,将MAC3和A1绑定至第一外网接口P1/2。
进一步地,在防火墙A进行运行数据重新绑定后,可以分别向第一交换机30和第二交换机40发送二层广播报文,以使第一交换机30和第二交换机40根据该二层广播报文刷新存储的MAC地址表。其中,第一交换机30和第二交换机40刷新存储的MAC地址表的方式可以参照流程(四)防火墙故障处理流程,在此,不再一一赘述。
另,在堆叠系统中,第一内网接口P1/1和第二内网接口P2/1一般会作为成员口形成一个冗余接口;第一外网接口P1/2和第二外网接口P2/2作为成员口也会形成一个冗余接口。
防护墙A和B能够通过上述两个冗余接口分别与第一交换机30和第二交换机40进行报文的接收与发送,进一步地可通过冗余接口确定内网接口或外网接口,本实施对此不再赘述。
结合图10,本发明实施例还提供一种可应用于上述防火墙堆叠系统10的防火墙管理装置100。所述防火墙管理装置100包括第一防火墙选择模块110和数据报文接收模块120。
所述第一防火墙选择模块110,用于根据预设策略从所述至少两个处于激活状态的防火墙中确定一个防火墙作为第一防火墙。在本实施例中,所述第一防火墙选择模块110可用于执行图3所示的步骤S110,关于所述第一防火墙选择模块110的具体描述可以参照前文对步骤S110的描述。
所述数据报文接收模块120,用于通过所述第一防火墙接收终端设备发送的数据报文。在本实施例中,所述数据报文接收模块120可用于执行图3所示的步骤S120,关于所述数据报文接收模块120的具体描述可以参照前文对步骤S120的描述。
结合图11,在本实施例中,所述第一防火墙选择模块110可以包括IP地址获取子模块111和第一防火墙选择子模块113。
所述IP地址获取子模块111,用于接收终端设备发送的ARP请求报文,并获取所述ARP请求报文的源IP地址。在本实施例中,所述IP地址获取子模块111可用于执行图4所示的步骤S111,关于所述IP地址获取子模块111的具体描述可以参照前文对步骤S111的描述。
所述第一防火墙选择子模块113,用于通过哈希算法对所述源IP地址进行处理,并根据处理结果从所述至少两个处于激活状态的防火墙中确定一个防火墙作为第一防火墙。在本实施例中,所述第一防火墙选择子模块113可用于执行图4所示的步骤S113,关于所述第一防火墙选择子模块113的具体描述可以参照前文对步骤S113的描述。
结合图12,在本实施例中,所述防火墙管理装置100还可以包括MAC地址发送模块130和数据报文发送模块140。
所述MAC地址发送模块130,用于通过所述第一防火墙向所述终端设备发送所述第一防火墙的内网接口绑定的MAC地址,以使所述终端设备能够根据该MAC地址向所述第一防火墙发送数据报文。
所述数据报文发送模块140,用于通过所述第一防火墙将接收的数据报文的源IP地址替换为绑定的公网IP地址,并通过所述第一防火墙的外网接口将所述数据报文发送至外网。
结合图13,在本实施例中,所述防火墙管理装置100还可以包括第一状态变更检测模块150、第一运行数据绑定模块160、第二状态变更检测模块170和第二运行数据绑定模块180。
所述第一状态变更检测模块150,用于检测所述至少两个处于激活状态的防火墙中是否存在从激活状态变更为非激活状态的防火墙。在本实施例中,所述第一状态变更检测模块150可用于执行图5所示的步骤S130,关于所述第一状态变更检测模块150的具体描述可以参照前文对步骤S130的描述。
所述第一运行数据绑定模块160,用于在存在变更为非激活状态的防火墙时,将变更为非激活状态的防火墙的运行数据绑定至处于激活状态的接管防火墙,其中,所述运行数据包括公网IP地址、MAC地址和NAT会话表项。在本实施例中,所述第一运行数据绑定模块160可用于执行图5所示的步骤S140,关于所述第一运行数据绑定模块160的具体描述可以参照前文对步骤S140的描述。
所述第二状态变更检测模块170,用于检测所述从激活状态变更为非激活状态的防火墙的当前状态是否变更为激活状态。在本实施例中,所述第二状态变更检测模块170可用于执行图6所示的步骤S150,关于所述第二状态变更检测模块170的具体描述可以参照前文对步骤S150的描述。
所述第二运行数据绑定模块180,用于在变更为激活状态时,将变更为激活状态的防火墙处于非激活状态之前绑定的运行数据重新绑定至该防火墙。在本实施例中,所述第二运行数据绑定模块180可用于执行图6所示的步骤S160,关于所述第二运行数据绑定模块180的具体描述可以参照前文对步骤S160的描述。
结合图14,在本实施例中,所述防火墙管理装置100还可以包括第一广播报文发送模块190和第二广播报文发送模块200。
所述第一广播报文发送模块190,用于在所述第一运行数据绑定模块160将变更为非激活状态的防火墙的运行数据绑定至处于激活状态的接管防火墙之后,通过所述接管防火墙向第一交换机30发送第一二层广播报文,其中,所述第一交换机30用于转发终端设备与防火墙之间的报文,所述第一二层广播报文的源MAC地址为所述接管防火墙的内网接口绑定的MAC地址,以使所述第一交换机30根据该MAC地址刷新存储的MAC地址表。在本实施例中,所述第一广播报文发送模块190可用于执行图7所示的步骤S170,关于所述第一广播报文发送模块190的具体描述可以参照前文对步骤S170的描述。
所述第二广播报文发送模块200,用于在所述第一运行数据绑定模块160将变更为非激活状态的防火墙的运行数据绑定至处于激活状态的接管防火墙之后,通过所述接管防火墙向第二交换机40发送第二二层广播报文,其中,所述第二交换机40用于转发防火墙与外网设备之间的报文,所述第二二层广播报文的源MAC地址为所述接管防火墙的外网接口绑定的MAC地址,以使所述第二交换机40根据该MAC地址刷新存储的MAC地址表。在本实施例中,所述第二广播报文发送模块200可用于执行图7所示的步骤S180,关于所述第二广播报文发送模块200的具体描述可以参照前文对步骤S180的描述。
进一步地,在本实施例中,所述第一广播报文发送模块190,还用于在所述第二运行数据绑定模块180将变更为激活状态的防火墙处于非激活状态之前绑定的运行数据重新绑定至该防火墙之后,通过所述变更为激活状态的防火墙向第一交换机30发送第三二层广播报文,其中,所述第一交换机30用于转发终端设备与防火墙之间的报文,所述第三二层广播报文的源MAC地址为所述变更为激活状态的防火墙的内网接口绑定的MAC地址,以使所述第一交换机30根据该MAC地址刷新存储的MAC地址表。在本实施例中,所述第一广播报文发送模块190可用于执行图8所示的步骤S190,关于所述第一广播报文发送模块190的具体描述可以参照前文对步骤S190的描述。
所述第二广播报文发送模块200,还用于在所述第二运行数据绑定模块180将变更为激活状态的防火墙处于非激活状态之前绑定的运行数据重新绑定至该防火墙之后,通过所述变更为激活状态的防火墙向第二交换机40发送第四二层广播报文,其中,所述第二交换机40用于转发防火墙与外网设备之间的报文,所述第四二层广播报文的源MAC地址为所述变更为激活状态的防火墙的外网接口绑定的MAC地址,以使所述第二交换机40根据该MAC地址刷新存储的MAC地址表。在本实施例中,所述第二广播报文发送模块200可用于执行图8所示的步骤S200,关于所述第二广播报文发送模块200的具体描述可以参照前文对步骤S200的描述。
本发明实施例还提供一种计算机可读储存介质,其上存储有指令,当所述指令被执行时实现所述防火墙管理方法的步骤。
综上所述,本发明实施例提供的一种防火墙管理方法、装置及防火墙堆叠系统10,设置有至少两个处于激活状态的防火墙,处于激活状态的防火墙均能够接收终端设备发送的数据报文,因而可以根据实际需求灵活选择其中一个防火墙接收终端设备发送的数据报文,提高了防火墙选择的灵活性,避免了防火墙的闲置,提高了资源利用率。其次,通过采用哈希算法对终端设备发送的ARP请求报文的源IP地址进行处理,并根据处理结果选择一个防火墙以接收终端设备发送的数据报文,保证了同一源IP地址对应的数据报文可以由同一防火墙进行接收。然后,通过将变更为非激活状态的防火墙的运行数据绑定至其它处于激活状态的防火墙,可以避免因防火墙处于非激活状态而导致对应的运行数据中的MAC地址和公网IP地址无法被利用的问题,进一步提高了防火墙管理方法和防火墙管理装置100的实用性。
在本发明实施例所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置和方法实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本发明的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本发明各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,电子设备,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (13)
1.一种防火墙管理方法,其特征在于,应用于防火墙堆叠系统,所述防火墙堆叠系统包括至少两个处于激活状态的防火墙,所述方法包括:
根据预设策略从所述至少两个处于激活状态的防火墙中确定一个防火墙作为第一防火墙;
通过所述第一防火墙接收终端设备发送的数据报文。
2.根据权利要求1所述的防火墙管理方法,其特征在于,根据预设策略从所述至少两个处于激活状态的防火墙中确定一个防火墙作为第一防火墙的步骤包括:
接收终端设备发送的ARP请求报文,并获取所述ARP请求报文的源IP地址;
通过哈希算法对所述源IP地址进行处理,并根据处理结果从所述至少两个处于激活状态的防火墙中确定一个防火墙作为第一防火墙。
3.根据权利要求1或2所述的防火墙管理方法,其特征在于,在执行根据预设策略从所述至少两个处于激活状态的防火墙中确定一个防火墙作为第一防火墙的步骤之后,所述方法还包括:
通过所述第一防火墙向所述终端设备发送所述第一防火墙的内网接口绑定的MAC地址,以使所述终端设备能够根据该MAC地址向所述第一防火墙发送数据报文;
在执行通过所述第一防火墙接收终端设备发送的数据报文的步骤之后,所述方法还包括:
通过所述第一防火墙将接收的数据报文的源IP地址替换为绑定的公网IP地址,并通过所述第一防火墙的外网接口将所述数据报文发送至外网。
4.根据权利要求3所述的防火墙管理方法,其特征在于,所述方法还包括:
检测所述至少两个处于激活状态的防火墙中是否存在从激活状态变更为非激活状态的防火墙;
若存在变更为非激活状态的防火墙,则将变更为非激活状态的防火墙的运行数据绑定至处于激活状态的接管防火墙,其中,所述运行数据包括公网IP地址、MAC地址和NAT会话表项。
5.根据权利要求4所述的防火墙管理方法,其特征在于,在执行将变更为非激活状态的防火墙的运行数据绑定至处于激活状态的接管防火墙的步骤之后,所述方法还包括:
检测所述从激活状态变更为非激活状态的防火墙的当前状态是否变更为激活状态;
若变更为激活状态,则将变更为激活状态的防火墙处于非激活状态之前绑定的运行数据重新绑定至该防火墙。
6.根据权利要求5所述的防火墙管理方法,其特征在于,在执行将变更为非激活状态的防火墙的运行数据绑定至处于激活状态的接管防火墙的步骤之后,所述方法还包括:
通过所述接管防火墙向第一交换机发送第一二层广播报文,其中,所述第一交换机用于转发终端设备与防火墙之间的报文,所述第一二层广播报文的源MAC地址为所述接管防火墙的内网接口绑定的MAC地址,以使所述第一交换机根据该MAC地址刷新存储的MAC地址表;
通过所述接管防火墙向第二交换机发送第二二层广播报文,其中,所述第二交换机用于转发防火墙与外网设备之间的报文,所述第二二层广播报文的源MAC地址为所述接管防火墙的外网接口绑定的MAC地址,以使所述第二交换机根据该MAC地址刷新存储的MAC地址表;
在执行将变更为激活状态的防火墙处于非激活状态之前绑定的运行数据重新绑定至该防火墙的步骤之后,还方法还包括:
通过所述变更为激活状态的防火墙向第一交换机发送第三二层广播报文,其中,所述第一交换机用于转发终端设备与防火墙之间的报文,所述第三二层广播报文的源MAC地址为所述变更为激活状态的防火墙的内网接口绑定的MAC地址,以使所述第一交换机根据该MAC地址刷新存储的MAC地址表;
通过所述变更为激活状态的防火墙向第二交换机发送第四二层广播报文,其中,所述第二交换机用于转发防火墙与外网设备之间的报文,所述第四二层广播报文的源MAC地址为所述变更为激活状态的防火墙的外网接口绑定的MAC地址,以使所述第二交换机根据该MAC地址刷新存储的MAC地址表。
7.一种防火墙管理装置,其特征在于,应用于防火墙堆叠系统,所述防火墙堆叠系统包括至少两个处于激活状态的防火墙,所述装置包括:
第一防火墙选择模块,用于根据预设策略从所述至少两个处于激活状态的防火墙中确定一个防火墙作为第一防火墙;
数据报文接收模块,用于通过所述第一防火墙接收终端设备发送的数据报文。
8.根据权利要求7所述的防火墙管理装置,其特征在于,所述第一防火墙选择模块包括:
IP地址获取子模块,用于接收终端设备发送的ARP请求报文,并获取所述ARP请求报文的源IP地址;
第一防火墙选择子模块,用于通过哈希算法对所述源IP地址进行处理,并根据处理结果从所述至少两个处于激活状态的防火墙中确定一个防火墙作为第一防火墙。
9.根据权利要求7或8所述的防火墙管理装置,其特征在于,所述装置还包括:
MAC地址发送模块,用于通过所述第一防火墙向所述终端设备发送所述第一防火墙的内网接口绑定的MAC地址,以使所述终端设备能够根据该MAC地址向所述第一防火墙发送数据报文;
数据报文发送模块,用于通过所述第一防火墙将接收的数据报文的源IP地址替换为绑定的公网IP地址,并通过所述第一防火墙的外网接口将所述数据报文发送至外网。
10.根据权利要求9所述的防火墙管理装置,其特征在于,所述装置还包括:
第一状态变更检测模块,用于检测所述至少两个处于激活状态的防火墙中是否存在从激活状态变更为非激活状态的防火墙;
第一运行数据绑定模块,用于在存在变更为非激活状态的防火墙时,将变更为非激活状态的防火墙的运行数据绑定至处于激活状态的接管防火墙,其中,所述运行数据包括公网IP地址、MAC地址和NAT会话表项。
11.根据权利要求10所述的防火墙管理装置,其特征在于,所述装置还包括:
第二状态变更检测模块,用于检测所述从激活状态变更为非激活状态的防火墙的当前状态是否变更为激活状态;
第二运行数据绑定模块,用于在变更为激活状态时,将变更为激活状态的防火墙处于非激活状态之前绑定的运行数据重新绑定至该防火墙。
12.根据权利要求11所述的防火墙管理装置,其特征在于,所述装置还包括:
第一广播报文发送模块,用于在所述第一运行数据绑定模块将变更为非激活状态的防火墙的运行数据绑定至处于激活状态的接管防火墙之后,通过所述接管防火墙向第一交换机发送第一二层广播报文,其中,所述第一交换机用于转发终端设备与防火墙之间的报文,所述第一二层广播报文的源MAC地址为所述接管防火墙的内网接口绑定的MAC地址,以使所述第一交换机根据该MAC地址刷新存储的MAC地址表;
第二广播报文发送模块,用于在所述第一运行数据绑定模块将变更为非激活状态的防火墙的运行数据绑定至处于激活状态的接管防火墙之后,通过所述接管防火墙向第二交换机发送第二二层广播报文,其中,所述第二交换机用于转发防火墙与外网设备之间的报文,所述第二二层广播报文的源MAC地址为所述接管防火墙的外网接口绑定的MAC地址,以使所述第二交换机根据该MAC地址刷新存储的MAC地址表;
所述第一广播报文发送模块,还用于在所述第二运行数据绑定模块将变更为激活状态的防火墙处于非激活状态之前绑定的运行数据重新绑定至该防火墙之后,通过所述变更为激活状态的防火墙向第一交换机发送第三二层广播报文,其中,所述第一交换机用于转发终端设备与防火墙之间的报文,所述第三二层广播报文的源MAC地址为所述变更为激活状态的防火墙的内网接口绑定的MAC地址,以使所述第一交换机根据该MAC地址刷新存储的MAC地址表;
所述第二广播报文发送模块,还用于在所述第二运行数据绑定模块将变更为激活状态的防火墙处于非激活状态之前绑定的运行数据重新绑定至该防火墙之后,通过所述变更为激活状态的防火墙向第二交换机发送第四二层广播报文,其中,所述第二交换机用于转发防火墙与外网设备之间的报文,所述第四二层广播报文的源MAC地址为所述变更为激活状态的防火墙的外网接口绑定的MAC地址,以使所述第二交换机根据该MAC地址刷新存储的MAC地址表。
13.一种防火墙堆叠系统,其特征在于,包括至少两个处于激活状态的防火墙,各防火墙包括存储器和处理器,且至少一个处于激活状态的防火墙的存储器存储有可在处理器上运行的计算机程序,该程序在处理器上运行时实现权利要求1-6任意一项所述的防火墙管理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711339881.XA CN107888621A (zh) | 2017-12-14 | 2017-12-14 | 防火墙管理方法、装置及防火墙堆叠系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711339881.XA CN107888621A (zh) | 2017-12-14 | 2017-12-14 | 防火墙管理方法、装置及防火墙堆叠系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107888621A true CN107888621A (zh) | 2018-04-06 |
Family
ID=61774511
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711339881.XA Pending CN107888621A (zh) | 2017-12-14 | 2017-12-14 | 防火墙管理方法、装置及防火墙堆叠系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107888621A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109361711A (zh) * | 2018-12-14 | 2019-02-19 | 泰康保险集团股份有限公司 | 防火墙配置方法、装置、电子设备及计算机可读介质 |
| CN113055391A (zh) * | 2021-03-25 | 2021-06-29 | 建信金融科技有限责任公司 | 防火墙更换时策略配置转换的方法和装置 |
| CN113794631A (zh) * | 2021-08-20 | 2021-12-14 | 新华三信息安全技术有限公司 | 一种端口冗余处理方法、装置、设备及机器可读存储介质 |
| CN113824679A (zh) * | 2021-06-10 | 2021-12-21 | 杭州网通网络工程有限公司 | 防火墙配置方法、装置、计算机设备及存储介质 |
| CN115152182A (zh) * | 2020-02-26 | 2022-10-04 | 思科技术公司 | 在sdwan架构中的服务平面上的动态防火墙发现 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101651680A (zh) * | 2009-09-14 | 2010-02-17 | 杭州华三通信技术有限公司 | 一种网络安全部署方法和一种网络安全设备 |
| US20120297491A1 (en) * | 2006-02-02 | 2012-11-22 | Check Point Software Technologies Ltd. | Network security smart load balancing |
| CN103227725A (zh) * | 2012-03-30 | 2013-07-31 | 杭州华三通信技术有限公司 | 一种防火墙双机备份的方法及装置 |
| CN103384255A (zh) * | 2011-12-31 | 2013-11-06 | 华为数字技术(成都)有限公司 | 虚拟机集群的负载均衡方法、服务器及系统 |
| CN103501299A (zh) * | 2013-09-24 | 2014-01-08 | 曙光信息产业(北京)有限公司 | 集群防火墙的管理方法和系统 |
-
2017
- 2017-12-14 CN CN201711339881.XA patent/CN107888621A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120297491A1 (en) * | 2006-02-02 | 2012-11-22 | Check Point Software Technologies Ltd. | Network security smart load balancing |
| CN101651680A (zh) * | 2009-09-14 | 2010-02-17 | 杭州华三通信技术有限公司 | 一种网络安全部署方法和一种网络安全设备 |
| CN103384255A (zh) * | 2011-12-31 | 2013-11-06 | 华为数字技术(成都)有限公司 | 虚拟机集群的负载均衡方法、服务器及系统 |
| CN103227725A (zh) * | 2012-03-30 | 2013-07-31 | 杭州华三通信技术有限公司 | 一种防火墙双机备份的方法及装置 |
| CN103501299A (zh) * | 2013-09-24 | 2014-01-08 | 曙光信息产业(北京)有限公司 | 集群防火墙的管理方法和系统 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109361711A (zh) * | 2018-12-14 | 2019-02-19 | 泰康保险集团股份有限公司 | 防火墙配置方法、装置、电子设备及计算机可读介质 |
| CN109361711B (zh) * | 2018-12-14 | 2021-10-29 | 泰康保险集团股份有限公司 | 防火墙配置方法、装置、电子设备及计算机可读介质 |
| CN115152182A (zh) * | 2020-02-26 | 2022-10-04 | 思科技术公司 | 在sdwan架构中的服务平面上的动态防火墙发现 |
| CN113055391A (zh) * | 2021-03-25 | 2021-06-29 | 建信金融科技有限责任公司 | 防火墙更换时策略配置转换的方法和装置 |
| CN113824679A (zh) * | 2021-06-10 | 2021-12-21 | 杭州网通网络工程有限公司 | 防火墙配置方法、装置、计算机设备及存储介质 |
| CN113794631A (zh) * | 2021-08-20 | 2021-12-14 | 新华三信息安全技术有限公司 | 一种端口冗余处理方法、装置、设备及机器可读存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107888621A (zh) | 防火墙管理方法、装置及防火墙堆叠系统 | |
| CN101577679B (zh) | 实现指定路由器之间组播业务分担的状态管理方法和装置 | |
| CN101442484B (zh) | 一种检测堆叠多Active的方法、系统及设备 | |
| CN103873368B (zh) | 以太网报文转发方法和接入设备 | |
| EP3399699B1 (en) | Link detection method and device, and network equipment and controller | |
| CN102223365B (zh) | 基于ssl vpn网关集群的用户接入方法及其装置 | |
| CN100433730C (zh) | 组播点播方法及系统 | |
| CN110166356A (zh) | 发送报文的方法和网络设备 | |
| CN103441932B (zh) | 一种主机路由表项生成方法及设备 | |
| CN104104570A (zh) | Irf系统中的聚合处理方法及装置 | |
| CN106936682B (zh) | 一种指定转发者的处理方法和控制器以及提供者边缘设备 | |
| CN103117935A (zh) | 应用于多归属组网的组播数据转发方法和装置 | |
| CN105791072A (zh) | 以太虚拟网络的接入方法及装置 | |
| US10116554B2 (en) | Data flow processing method and apparatus | |
| CN104734953B (zh) | 基于vlan实现报文二层隔离的方法、装置及交换机 | |
| CN105099721B (zh) | 维护组播成员的方法及设备 | |
| CN108028828A (zh) | 一种分布式拒绝服务DDoS攻击检测方法及相关设备 | |
| US20170180311A1 (en) | Systems and methods for managing network address information | |
| CN108632099A (zh) | 一种链路聚合的故障检测方法及装置 | |
| CN102801632A (zh) | Pim-sm指定路由器和igmp查询器的统一选举方法 | |
| CN109361559A (zh) | 一种并行冗余网络故障的检测方法和装置 | |
| CN107295117B (zh) | 一种地址池的分配方法及装置 | |
| CN102271067B (zh) | 网络检测方法、装置及系统 | |
| CN107135121A (zh) | 一种网络节点的切换方法及装置 | |
| CN107294845A (zh) | Vrrp负载均衡方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180406 |