CN111130914A - 一种防火墙系统双机热备的方法 - Google Patents
一种防火墙系统双机热备的方法 Download PDFInfo
- Publication number
- CN111130914A CN111130914A CN202010126171.4A CN202010126171A CN111130914A CN 111130914 A CN111130914 A CN 111130914A CN 202010126171 A CN202010126171 A CN 202010126171A CN 111130914 A CN111130914 A CN 111130914A
- Authority
- CN
- China
- Prior art keywords
- firewall
- standby
- main wall
- wall
- main
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0654—Management of faults, events, alarms or notifications using network fault recovery
- H04L41/0663—Performing the actions predefined by failover planning, e.g. switching to standby network elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种防火墙系统双机热备的方法,包括以下步骤:S1.双机热备的两台防火墙设备通过up状态路由接口权重值之和来选举出主备墙;S2.当两台防火墙的up状态路由接口权重值之和相等时,对比两台防火墙的内存容量来选举主备墙;S3.当两台防火墙的接口权重值、内存容量也相同时,通过优先级选主备墙;S4.当主墙发生宕机时,备墙能及时切换到紧急模式,保证网络环境不瘫痪,当主墙的系统恢复,主墙能重新恢复主动模式;S5.当主墙只是某一个业务口异常系统并未故障时,备墙同样能及时切换为紧急模式将主墙的流量切换过来;S6.当主墙故障恢复时,主墙能够重新自动切换为主动模式。本发明所述的双机热备更加灵活,工作效率高,对于网络管理员的易用性。
Description
技术领域
本发明属于网络安全技术领域,尤其是涉及一种防火墙系统双机热备的方法。
背景技术
现有技术的缺陷主要体现在以下三点:
1、现有技术所使用的方法需要手动设置区分主备墙,过于死板;
2、当主墙故障时流量会自动切换到备墙,但是当主墙恢复正常时备墙的流量无法主动切换回来;
3、当主墙的某个业务口down掉后(防火墙系统并没有异常),主墙的流量无法及时切换到备墙。
目前的防火墙双机热备技术主要是通过一条心跳线连接主备两台防火墙,当主墙发生宕机等故障后,备墙通过心跳线感知不到了主墙的信号,因此备墙会主动切换自己为紧急模式对流量进行转发,从而使网络环境不瘫痪。
发明内容
有鉴于此,本发明旨在提出一种防火墙系统双机热备的方法,以解决主备墙需手动设置,当主墙故障后恢复时备墙的流量无法主动切换回来,以及当主墙的某个业务口down掉后主墙的流量无法及时切换到备墙的问题。
为达到上述目的,本发明的技术方案是这样实现的:
一种防火墙系统双机热备的方法,包括以下步骤:
S1.第一防火墙与第二防火墙之间通过一条心跳线进行连接,并能够网络通信,同时两台防火墙设备需要分别配置一个优先级数值;
S2.双机热备的两台防火墙设备通过up状态路由接口权重值之和来选举出主备状态;
S3.当两台防火墙的up状态路由接口权重值之和相等时,通过对比两台防火墙的内存容量来选举主备状态;
S4.当两台防火墙的接口权重值相同,且内存容量也相同时,通过预先配置好的优先级来选举主备墙;
S5.当主墙发生宕机时,备墙能够及时切换自己为紧急模式,从而对ARP报文进行处理并进行数据转发,保证网络环境不瘫痪,同时当主墙的系统恢复时,主墙能够重新恢复主动模式对ARP报文进行处理并进行数据转发,备墙恢复被动模式不转发任何报文;
S6.当主墙只是某一个业务口异常系统并未故障时,备墙同样能及时切换为紧急模式将主墙的流量切换过来;
S7.当主墙故障恢复时,主墙能够重新自动切换为主动模式,从而恢复对ARP报文以及数据流量的转发。
进一步的,所述步骤S1中的优先级数值范围为1到10。
进一步的,所述步骤S2中up状态路由接口权重值为所有业务口以及心跳口的权重值之和,两台防火墙的接口默认权重值为10,所述权重值支持手动修改。
进一步的,所述步骤S3中的内存容量通过两台防火墙自动收集。
进一步的,两台防火墙每隔1秒收集一次自身若有的up状态的路由接口权重值之和以及自身的内存容量,并通过心跳线发送给对方。
相对于现有技术,本发明所述的一种防火墙系统双机热备的方法具有以下优势:
(1)本发明所述的防火墙的双机热备功能更加灵活,从而提高系统的工作效率。
(2)本发明所述的防火墙双机热备的方法有效提高了对于网络管理员的易用性。
附图说明
构成本发明的一部分的附图用来提供对本发明的进一步理解,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1为本发明实施例所述的两台防火墙布局结构图。
具体实施方式
需要说明的是,在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。
在本发明的描述中,需要理解的是,术语“中心”、“纵向”、“横向”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”等仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”等的特征可以明示或者隐含地包括一个或者更多个该特征。在本发明的描述中,除非另有说明,“多个”的含义是两个或两个以上。
在本发明的描述中,需要说明的是,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以通过具体情况理解上述术语在本发明中的具体含义。
下面将参考附图并结合实施例来详细说明本发明。
一种防火墙系统双机热备的方法,包括以下步骤:
S1.第一防火墙与第二防火墙之间通过一条心跳线进行连接,并能够网络通信,同时两台防火墙设备需要分别配置一个优先级数值;
S2.双机热备的两台防火墙设备通过up状态路由接口权重值之和来选举出主备状态;
S3.当两台防火墙的up状态路由接口权重值之和相等时,通过对比两台防火墙的内存容量来选举主备状态;
S4.当两台防火墙的接口权重值相同,且内存容量也相同时,通过预先配置好的优先级来选举主备墙;
S5.当主墙发生宕机时,备墙能够及时切换自己为紧急模式,从而对ARP报文进行处理并进行数据转发,保证网络环境不瘫痪,同时当主墙的系统恢复时,主墙能够重新恢复主动模式对ARP报文进行处理并进行数据转发,备墙恢复被动模式不转发任何报文;
S6.当主墙只是某一个业务口异常系统并未故障时,备墙同样能及时切换为紧急模式将主墙的流量切换过来;
S7.当主墙故障恢复时,主墙能够重新自动切换为主动模式,从而恢复对ARP报文以及数据流量的转发。
所述步骤S1中的优先级数值范围为1到10。
所述步骤S2中up状态路由接口权重值为所有业务口以及心跳口的权重值之和,两台防火墙的接口默认权重值为10,所述权重值支持手动修改。
所述步骤S3中的内存容量通过两台防火墙自动收集。
两台防火墙每隔1秒收集一次自身若有的up状态的路由接口权重值之和以及自身的内存容量,并通过心跳线发送给对方。
具体过程如下:
1、第一防火墙与第二防火墙之间通过一条心跳线进行连接,并能够网络通信;同时两台防火墙设备需要分别配置一个优先级数值,范围为1~10,两台防火墙设备的优先级不能配置相同;
2、第一防火墙与第二防火墙的接口默认权重值为10(支持手动修改),两台防火墙能够自动计算所有up状态的路由接口的权重值之和(即所有业务口以及心跳口的权重值之和);
3、第一防火墙与第二防火墙均每隔1秒收集一次自身所有up状态的路由接口权重值之和以及自身的内存容量,并通过心跳线发给对方;
4、第一防火墙与第二防火墙收到对方发过来的接口权重值之和以及内存容量后会拿对方的接口权重值之和以及内存容量与自身的数据进行对比,然后优先将接口权重值之和大的防火墙自动设置为主墙,从而对ARP报文进行处理并进行数据转发,将接口权重值之和小的防火墙设置为备墙,不处理任何报文;
5、当第一防火墙与第二防火墙的接口权重值之和相等时,内存容量大的防火墙自动设置为主墙,从而对ARP报文进行处理并进行数据转发,内存容量小的防火墙自动设置为备墙,不处理任何报文;
6、当内存容量也相同时,则通过步骤1中配置的优先级来选举主备防火墙,优先级数值大的为主墙,优先级数值小的为备墙;
7、当某一台防火墙收不到通过心跳线发送过来的对方心跳报文时(即对方对方防火墙发生了宕机等故障),这台防火墙会主动切换自己为紧急模式,从而对ARP报文进行处理并进行数据转发;当这台防火墙重新收到了来自对方的心跳报文(证明对端防火墙已经恢复正常),系统会重新按照步骤4、步骤5和步骤6进行主备墙的选举,从而由主墙对ARP报文进行处理并进行数据转发,备墙不处理任何报文;
8、当主墙的某一个或多个up状态的路由接口出现网线松动等故障时(此时防火墙系统可能是正常的),会导致这台防火墙系统的up状态路由接口权重值之和小于备墙,因此在进行步骤4主备墙选举时会将备墙的状态切换为主墙,从而对ARP报文进行处理并进行数据转发,但是当故障接口状态恢复时,按照步骤4、步骤5和步骤6进行主备墙的选举,原先的主墙会再次切换为主墙状态。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (5)
1.一种防火墙系统双机热备的方法,其特征在于包括以下步骤:
S1.第一防火墙与第二防火墙之间通过一条心跳线进行连接,并能够网络通信,同时两台防火墙设备需要分别配置一个优先级数值;
S2.双机热备的两台防火墙设备通过up状态路由接口权重值之和来选举出主备状态;
S3.当两台防火墙的up状态路由接口权重值之和相等时,通过对比两台防火墙的内存容量来选举主备状态;
S4.当两台防火墙的接口权重值相同,且内存容量也相同时,通过预先配置好的优先级来选举主备墙;
S5.当主墙发生宕机时,备墙能够及时切换自己为紧急模式,从而对ARP报文进行处理并进行数据转发,保证网络环境不瘫痪,同时当主墙的系统恢复时,主墙能够重新恢复主动模式对ARP报文进行处理并进行数据转发,备墙恢复被动模式不转发任何报文;
S6.当主墙只是某一个业务口异常系统并未故障时,备墙同样能及时切换为紧急模式将主墙的流量切换过来;
S7.当主墙故障恢复时,主墙能够重新自动切换为主动模式,从而恢复对ARP报文以及数据流量的转发。
2.根据权利要求1所述的一种防火墙系统双机热备的方法,其特征在于:所述步骤S1中的优先级数值范围为1到10。
3.根据权利要求1所述的一种防火墙系统双机热备的方法,其特征在于:所述步骤S2中up状态路由接口权重值为所有业务口以及心跳口的权重值之和,两台防火墙的接口默认权重值为10,所述权重值支持手动修改。
4.根据权利要求1所述的一种防火墙系统双机热备的方法,其特征在于:所述步骤S3中的内存容量通过两台防火墙自动收集。
5.根据权利要求1所述的一种防火墙系统双机热备的方法,其特征在于:两台防火墙每隔1秒收集一次自身若有的up状态的路由接口权重值之和以及自身的内存容量,并通过心跳线发送给对方。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010126171.4A CN111130914A (zh) | 2020-02-27 | 2020-02-27 | 一种防火墙系统双机热备的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010126171.4A CN111130914A (zh) | 2020-02-27 | 2020-02-27 | 一种防火墙系统双机热备的方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN111130914A true CN111130914A (zh) | 2020-05-08 |
Family
ID=70493193
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010126171.4A Pending CN111130914A (zh) | 2020-02-27 | 2020-02-27 | 一种防火墙系统双机热备的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111130914A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112702439A (zh) * | 2020-12-31 | 2021-04-23 | 北京天融信网络安全技术有限公司 | 网闸状态同步方法及隔离网闸 |
CN114124493A (zh) * | 2021-11-12 | 2022-03-01 | 北京天融信网络安全技术有限公司 | 工控数据处理方法及防火墙设备 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103944749A (zh) * | 2014-02-28 | 2014-07-23 | 汉柏科技有限公司 | 一种基于心跳的双机热备方法及系统 |
US20170310641A1 (en) * | 2016-04-26 | 2017-10-26 | Hillstone Networks, Corp. | Data center system |
CN108900544A (zh) * | 2018-08-13 | 2018-11-27 | 武汉思普崚技术有限公司 | 主备防火墙设置方法及装置 |
-
2020
- 2020-02-27 CN CN202010126171.4A patent/CN111130914A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103944749A (zh) * | 2014-02-28 | 2014-07-23 | 汉柏科技有限公司 | 一种基于心跳的双机热备方法及系统 |
US20170310641A1 (en) * | 2016-04-26 | 2017-10-26 | Hillstone Networks, Corp. | Data center system |
CN108900544A (zh) * | 2018-08-13 | 2018-11-27 | 武汉思普崚技术有限公司 | 主备防火墙设置方法及装置 |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112702439A (zh) * | 2020-12-31 | 2021-04-23 | 北京天融信网络安全技术有限公司 | 网闸状态同步方法及隔离网闸 |
CN112702439B (zh) * | 2020-12-31 | 2022-11-15 | 北京天融信网络安全技术有限公司 | 网闸状态同步方法及隔离网闸 |
CN114124493A (zh) * | 2021-11-12 | 2022-03-01 | 北京天融信网络安全技术有限公司 | 工控数据处理方法及防火墙设备 |
CN114124493B (zh) * | 2021-11-12 | 2023-07-04 | 北京天融信网络安全技术有限公司 | 工控数据处理方法及防火墙设备 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US6906998B1 (en) | Switching device interfaces | |
CN105099793B (zh) | 热备方法、装置及系统 | |
EP2166791A2 (en) | Wireless device and method of controlling and monitoring wireless device | |
CN101667963B (zh) | 一种链路切换的方法及装置 | |
CN108900415B (zh) | Mlag接口故障下的主从设备切换方法及系统 | |
CN100461697C (zh) | 基于设备容灾的业务接管方法及备份机 | |
JP2008099137A (ja) | コモン・パブリック・ラジオ・インタフェース(cpri)のベンダー特有領域を使った回線迂回方式 | |
CN101094189A (zh) | 无线传感器网络系统和基于该系统的分簇路由方法 | |
EP2243255A1 (en) | Method and system for dynamic link failover management | |
EP1592187B1 (en) | Electronic device protection systems and methods | |
CN111130914A (zh) | 一种防火墙系统双机热备的方法 | |
EP1592173B1 (en) | Protection switching methods and systems for electronic devices | |
JP2015204533A (ja) | オープンフロースイッチおよびオープンフローネットワークの障害復旧方法 | |
CN110838962B (zh) | 船用网络系统及船舶系统 | |
US20080008181A1 (en) | Packet transferring node | |
JP4183871B2 (ja) | 負荷分散方法及び装置 | |
US9912527B2 (en) | Communication device, communication system, method for determining path, and program | |
CN112583708B (zh) | 一种连接关系控制方法、装置和电子设备 | |
EP2613477B1 (en) | Method for triggering route switching and service provider-end provider edge device | |
CN101207573B (zh) | 中继装置和通信路径管理方法 | |
EP2479926A1 (en) | Method and device for backing up user information | |
CN110830310B (zh) | 一种跨数据中心的灾难备份方法及bras系统 | |
US20090052328A1 (en) | Method of determining configuration errors in networks | |
CN115348153B (zh) | 转发设备的控制方法、装置、设备及存储介质 | |
JP4967674B2 (ja) | メディアサービスシステム、メディアサービス装置及びそれらに用いるlan冗長化方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200508 |
|
RJ01 | Rejection of invention patent application after publication |