CN116319035A - 一种防火墙连接状态同步方法及装置 - Google Patents
一种防火墙连接状态同步方法及装置 Download PDFInfo
- Publication number
- CN116319035A CN116319035A CN202310302960.2A CN202310302960A CN116319035A CN 116319035 A CN116319035 A CN 116319035A CN 202310302960 A CN202310302960 A CN 202310302960A CN 116319035 A CN116319035 A CN 116319035A
- Authority
- CN
- China
- Prior art keywords
- connection
- firewall
- firewalls
- communication
- service module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1095—Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开一种防火墙连接状态同步方法及装置,其中,所述装置包括通信中间设备和设置在防火墙内的连接监控模块与连接服务模块,通信中间设备与防火墙通信连接,防火墙至少有一个闲置的网口;当防火墙数量为2个时,通信中间设备为网线或集线器或交换机,当防火墙数量大于2个时,通信中间设备为集线器或交换机。本发明通过通信中间设备、连接监控模块和连接服务模块实现将连接请求转发并将其插入本地连接追踪列表中,避免了防火墙中没有连接请求的响应信息对应的规则以及在连接追踪表中找不到追踪信息而导致该响应信息被判定为非法的情况出现,也避免了该响应信息被DROP丢弃。
Description
技术领域
本发明涉及防火墙技术领域,具体地说是一种防火墙连接状态同步方法及装置。
背景技术
在进行网络部署时,通常使用路由器、或有路由功能的三层交换机(如核心交换机),连接两个不同的网络,实现跨网络的通讯,当两个网络安全级别不同,直接连通有安全风险。于是,通常使用防火墙、网闸或其他网络安全设备,串联到网络中,通过在网络安全设备上,配置ACL规则,只允许白名单中的地址应用通过。随着网络中主机的增多,业务的扩大,网络间的通讯量激增。为了提升核心交换机间的吞吐,通常在核心交换机上配置链路聚合。也就是把核心交换机物理上多个网口进行捆绑设置,变成逻辑上的一个网口,从而提升吞吐量。相应的,会多部署几台透明桥防火墙。
以4台防火墙为例,并以内网的PC1(192.168.1.100),请求访问外网中的PC2(192.168.2.100)的TCP 80WEB服务为例。4台防火墙,配置了相同的五元组白名单规则:
内网:源IP:192.168.1.100源端口:1-65535
外网:目的IP:192.168.2.100目的端口:80
协议:TCP。
请求和响应信息,走4台防火墙中的哪个防火墙都是随机的,都有可能。
假设内网PC1,发出的TCP请求,是通过防火墙1转发到外网PC2的。
假设外网PC2,发出的TCP响应,是通过防火墙2转发到内网PC1的。
由于防火墙2,没有找到该响应信息对应的规则,也没在连接追踪表中找到追踪信息,因此,会判定该数据包非法,数据包被DROP丢弃。从而导致网络通讯异常。
发明内容
为此,本发明所要解决的技术问题在于提供一种防火墙连接状态同步方法及装置,通过通信中间设备、连接监控模块和连接服务模块实现将连接请求转发并将其插入本地连接追踪列表中,避免了防火墙中没有连接请求的响应信息对应的规则以及在连接追踪表中找不到追踪信息而导致该响应信息被判定为非法的情况出现,也避免了该响应信息被DROP丢弃。
为解决上述技术问题,本发明提供如下技术方案:
一种防火墙连接状态同步方法,包括如下步骤:
S1)在n台防火墙中的每台防火墙上都部署连接监控模块和连接服务模块,n为大于或等于2的自然数;
S2)当n等于2时,利用网线通过两台防火墙的闲置网口将两台防火墙通信连接;当n大于2时,将通信中间设备与每台防火墙的一个闲置网口通信连接,通信中间设备为集线器或交换机;
S3)当第m个防火墙收到新的且符合防火墙规则的五元组连接数据时,第m个防火墙的连接监控模块通过交换机将收到的新的五元组连接数据同步给其余的防火墙,其中,m为小于或等于n的正整数;
S4)当第m个防火墙的连接服务模块接收到连接数据同步请求时,连接服务模块先对所述连接数据进行解析并校验,若所述连接数据校验通过,则连接服务模块通过系统命令conntrack将与所述连接数据相关的连接追踪插入至第m个防火墙的连接追踪表中。
上述防火墙连接状态同步方法,防火墙之间的通讯协议为IP协议或非IP的私有协议。
上述防火墙连接状态同步方法,防火墙之间的通讯为明文通讯或对称加密通讯。
上述防火墙连接状态同步方法,防火墙之间通过广播或组播方式进行通讯。
上述防火墙连接状态同步方法,防火墙为透明桥防火墙、NAT防火墙或网闸。
利用上述防火墙连接状态同步方法进行防火墙连接状态同步的装置,包括通信中间设备和设置在防火墙内的连接监控模块与连接服务模块,通信中间设备与防火墙通信连接,防火墙至少有一个闲置的网口;当防火墙数量为2个时,通信中间设备为网线或集线器或交换机,当防火墙数量大于2个时,通信中间设备为集线器或交换机。
上述装置,防火墙为透明桥防火墙、NAT防火墙或网闸。
本发明的技术方案取得了如下有益的技术效果:
通过简单的增加部分资源(集线器或低配交换机),解决了核心交换机多网口链路聚合情况下,部署防火墙时,非源进源出导致的通讯异常问题。
附图说明
图1为本发明中防火墙连接状态同步装置的工作原理图;
图2为本发明中防火墙连接状态同步的流程图。
具体实施方式
下面结合示例,针对本发明进行进一步说明。
如图1所示,本发明中防火墙连接状态同步装置,包括通信中间设备和设置在防火墙内的连接监控模块与连接服务模块,通信中间设备与防火墙通信连接,防火墙至少有一个闲置的网口;当防火墙数量为2个时,通信中间设备为网线或集线器或交换机,当防火墙数量大于2个时,通信中间设备为集线器或交换机。本实施例中,以防火墙数量为4个时为例并以防火墙为透明防火墙为例对本发明予以说明。
透明防火墙通常使用iptables实现访问控制,只需要设置请求方向的iptables规则,响应方向的数据,通过查询连接追踪表,依靠iptables ESTABLISHED状态标志,直接放过。当一个连接到防火墙时,系统连接追踪模块会提取五元组,为其维护一个“数据库”(连接追踪表),存储连接的创建时间、发送的数据包、发送的字节信息等。连接追踪表由系统OS自动维护,超时会被自动收回。
如图2所示,利用所述装置是防火墙连接状态进行同步时,其步骤如下:
S1)在每台防火墙上都部署连接监控模块和连接服务模块;连接监控模块,负责监控并广播或组播新的五元组连接信息,具体监控方法,可以使用conntrack-E命令,或者iptables QUEUE处理程序分析得出;连接服务模块,负责接收其他防火墙广播或组播的连接信息,并插入到本地;示例:
conntrack-I-s 192.168.1.100-d 192.168.2.100--protonum 17--timeout120--sport 20000--dport 800;
S2)将交换机与每台防火墙的一个闲置网口通信连接;
S3)当第m个防火墙收到新的且符合防火墙规则的五元组连接数据时,第m个防火墙的连接监控模块通过交换机将收到的新的五元组连接数据同步给其余的防火墙,其中,m为小于或等于4的正整数;
S4)当第m个防火墙的连接服务模块接收到连接数据同步请求时,连接服务模块先对所述连接数据进行解析并校验,若所述连接数据校验通过,则连接服务模块通过系统命令conntrack将与所述连接数据相关的连接追踪插入至第m个防火墙的连接追踪表中。
其中,防火墙之间的通讯协议可以为IP协议,也可以为非IP的私有协议,防火墙之间的通讯可以采用明文通讯,也可以采用对称加密通讯,而且防火墙之间的通讯可以采用广播或组播的方式进行。
连接服务模块通过系统命令conntrack插入到本防火墙的连接追踪表中,可以保证请求不是通过本防火墙转过去的数据,对请求的响应仍然能通过本防火墙转回,从而避免了防火墙中没有连接请求的响应信息对应的规则以及在连接追踪表中找不到追踪信息而导致该响应信息被判定为非法的情况出现,也避免了该响应信息被DROP丢弃。
显然,上述实施例仅仅是为清楚地说明所作的举例,而并非对实施方式的限定。对于所属领域的普通技术人员来说,在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。而由此所引伸出的显而易见的变化或变动仍处于本专利申请权利要求的保护范围之中。
Claims (7)
1.一种防火墙连接状态同步方法,其特征在于,包括如下步骤:
S1)在n台防火墙中的每台防火墙上都部署连接监控模块和连接服务模块,n为大于或等于2的自然数;
S2)当n等于2时,利用网线通过两台防火墙的闲置网口将两台防火墙通信连接;当n大于2时,将通信中间设备与每台防火墙的一个闲置网口通信连接,通信中间设备为集线器或交换机;
S3)当第m个防火墙收到新的且符合防火墙规则的五元组连接数据时,第m个防火墙的连接监控模块通过交换机将收到的新的五元组连接数据同步给其余的防火墙,其中,m为小于或等于n的正整数;
S4)当第m个防火墙的连接服务模块接收到连接数据同步请求时,连接服务模块先对所述连接数据进行解析并校验,若所述连接数据校验通过,则连接服务模块通过系统命令conntrack将与所述连接数据相关的连接追踪插入至第m个防火墙的连接追踪表中。
2.根据权利要求1所述的防火墙连接状态同步方法,其特征在于,防火墙之间的通讯协议为IP协议或非IP的私有协议。
3.根据权利要求1所述的防火墙连接状态同步方法,其特征在于,防火墙之间的通讯为明文通讯或对称加密通讯。
4.根据权利要求1所述的防火墙连接状态同步方法,其特征在于,防火墙之间通过广播或组播方式进行通讯。
5.根据权利要求1~4任一所述的防火墙连接状态同步方法,其特征在于,防火墙为透明桥防火墙、NAT防火墙或网闸。
6.利用权利要求1~5任一所述的防火墙连接状态同步方法进行防火墙连接状态同步的装置,其特征在于,包括通信中间设备和设置在防火墙内的连接监控模块与连接服务模块,通信中间设备与防火墙通信连接,防火墙至少有一个闲置的网口;当防火墙数量为2个时,通信中间设备为网线或集线器或交换机,当防火墙数量大于2个时,通信中间设备为集线器或交换机。
7.根据权利要求6所述的装置,其特征在于,防火墙为透明桥防火墙、NAT防火墙或网闸。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310302960.2A CN116319035B (zh) | 2023-03-23 | 2023-03-23 | 一种防火墙连接状态同步方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310302960.2A CN116319035B (zh) | 2023-03-23 | 2023-03-23 | 一种防火墙连接状态同步方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN116319035A true CN116319035A (zh) | 2023-06-23 |
| CN116319035B CN116319035B (zh) | 2023-09-19 |
Family
ID=86795739
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310302960.2A Active CN116319035B (zh) | 2023-03-23 | 2023-03-23 | 一种防火墙连接状态同步方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116319035B (zh) |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8055760B1 (en) * | 2006-12-18 | 2011-11-08 | Sprint Communications Company L.P. | Firewall doctor |
| WO2018141392A1 (en) * | 2017-02-02 | 2018-08-09 | NEC Laboratories Europe GmbH | Firewall support for multipath connections |
| US20190149518A1 (en) * | 2017-11-15 | 2019-05-16 | Nicira, Inc. | Packet induced revalidation of connection tracker |
| CN111131232A (zh) * | 2019-12-23 | 2020-05-08 | 扬州网桥软件技术有限公司 | 一种网络访问的管理方法及装置 |
| CN112217902A (zh) * | 2020-10-22 | 2021-01-12 | 新华三信息安全技术有限公司 | 一种防火墙数据同步方法及装置 |
| CN113590639A (zh) * | 2021-07-30 | 2021-11-02 | 浙江中控技术股份有限公司 | 一种网闸隔离的数据库之间数据同步方法 |
| CN114785807A (zh) * | 2022-03-16 | 2022-07-22 | 深信服科技股份有限公司 | 一种数据处理方法、装置、电子设备及存储介质 |
| CN114928480A (zh) * | 2022-05-12 | 2022-08-19 | 南京林风智巡科技有限公司 | 一种人工智能网络安全管理系统 |
-
2023
- 2023-03-23 CN CN202310302960.2A patent/CN116319035B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8055760B1 (en) * | 2006-12-18 | 2011-11-08 | Sprint Communications Company L.P. | Firewall doctor |
| WO2018141392A1 (en) * | 2017-02-02 | 2018-08-09 | NEC Laboratories Europe GmbH | Firewall support for multipath connections |
| US20190149518A1 (en) * | 2017-11-15 | 2019-05-16 | Nicira, Inc. | Packet induced revalidation of connection tracker |
| CN111131232A (zh) * | 2019-12-23 | 2020-05-08 | 扬州网桥软件技术有限公司 | 一种网络访问的管理方法及装置 |
| CN112217902A (zh) * | 2020-10-22 | 2021-01-12 | 新华三信息安全技术有限公司 | 一种防火墙数据同步方法及装置 |
| CN113590639A (zh) * | 2021-07-30 | 2021-11-02 | 浙江中控技术股份有限公司 | 一种网闸隔离的数据库之间数据同步方法 |
| CN114785807A (zh) * | 2022-03-16 | 2022-07-22 | 深信服科技股份有限公司 | 一种数据处理方法、装置、电子设备及存储介质 |
| CN114928480A (zh) * | 2022-05-12 | 2022-08-19 | 南京林风智巡科技有限公司 | 一种人工智能网络安全管理系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN116319035B (zh) | 2023-09-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US5940390A (en) | Mechanism for conveying data prioritization information among heterogeneous nodes of a computer network | |
| EP2823605B1 (en) | Methods of operating forwarding elements including shadow tables and related forwarding elements | |
| JP4332033B2 (ja) | L2装置でのレイヤ3/レイヤ7・ファイアウォール実施方法及び装置 | |
| US7362763B2 (en) | Apparatus and method for classifying traffic in a distributed architecture router | |
| US9185056B2 (en) | System and methods for controlling network traffic through virtual switches | |
| TWI395435B (zh) | 開放網路連接 | |
| US8279777B2 (en) | Method for secure reliable point to multi-point bi-directional communications | |
| US20070280247A1 (en) | Method and apparatus for detecting VPN communication | |
| US20030069990A1 (en) | Router discovery protocol on a mobile internet protocol based network | |
| US8769111B2 (en) | IP network service redirector device and method | |
| JPH10154998A (ja) | パケット・トラフィック減少プロセスおよびパケット・トラフィック減少装置 | |
| CN103797769A (zh) | 基于服务受控会话的流拦截器 | |
| EP1701516B1 (en) | Method for facilitating application server functionality and access node comprising the same | |
| CN116319035B (zh) | 一种防火墙连接状态同步方法及装置 | |
| CN107465582B (zh) | 数据发送方法、装置、系统、物理家庭网关及接入节点 | |
| US6791979B1 (en) | Mechanism for conveying data prioritization information among heterogeneous nodes of a computer network | |
| Cisco | Configuring Transparent Bridging | |
| JP2007519356A (ja) | セキュリティを備えた遠隔制御ゲートウェイ管理 | |
| Cisco | Configuring Transparent Bridging | |
| Cisco | Configuring Transparent Bridging | |
| Cisco | Configuring Transparent Bridging | |
| Cisco | Configuring Transparent Bridging | |
| Cisco | Configuring Transparent Bridging | |
| Cisco | Configuring Transparent Bridging | |
| WO2003033109A2 (en) | Router discovery protocol on a mobile internet protocol based network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |