CN1716869A - 一种集群模式下的网络安全设备同步方法 - Google Patents
一种集群模式下的网络安全设备同步方法 Download PDFInfo
- Publication number
- CN1716869A CN1716869A CN 200410059971 CN200410059971A CN1716869A CN 1716869 A CN1716869 A CN 1716869A CN 200410059971 CN200410059971 CN 200410059971 CN 200410059971 A CN200410059971 A CN 200410059971A CN 1716869 A CN1716869 A CN 1716869A
- Authority
- CN
- China
- Prior art keywords
- packet
- information
- synchronously
- fire compartment
- state information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种集群模式下的网络安全设备同步方法,在该方法中将数据处理和同步放在同一个模块中进行,并根据集群结构变化和状态信息的变化判断是否需要同步,若需要同步则发送同步信息进行同步。本发明可以应用于集群模式的主从热备模式、负载均衡模式和双机互备模式。由于将数据处理和同步放在一个模块中进行,同步信息可以通过数据网口发送也可以通过专用的同步网口发送。本发明简化了网络拓扑结构,同时提高了集群网络安全设备的可靠性,并降低了对网络带宽的使用,提高了集群模式下网络安全设备的性能。
Description
技术领域
本发明涉及计算机网络安全技术,特别是指一种集群模式下的网络安全设备同步方法。
背景技术
随着计算机应用领域的不断扩展和网络通讯技术的突飞猛进,网络安全越来越受到重视。网络安全设备自身的特点决定了网络安全设备总是处于网络的核心路径上,对其性能和可靠性都有很高的要求,而网络安全设备集群模式则是提高网络安全可靠性的理想方案。
网络安全设备常见的集群模式有三种:主从热备模式、负载均衡模式和双机互备模式,下面以网络安全设备是防火墙为例来说明这三种模式。
在主从热备模式中多个防火墙中有一个为主防火墙,其余防火墙为从防火墙,处于主从热备模式下的防火墙只有其中的主防火墙处于活动状态,对收到的数据包进行处理。主从热备模式有两种实现方案:一种是所有防火墙都能够收到相同的数据包,只有主防火墙对数据包进行处理,从防火墙不对收到的数据包进行处理,但可以利用数据包更新内部状态;另一种是仅主防火墙能够收到数据包并且对数据包进行处理,从防火墙不能够接收数据包。
在负载均衡模式中,不区分主从防火墙,所有的防火墙都能够收到相同的数据包,集群控制程序根据集群中防火墙的状态确定负载分配方式,把配置下发给各防火墙,处于负载均衡模式下的防火墙都处于活动状态,但只对分配给其处理的数据包进行过滤。
在双机互备模式下中,不区分主从防火墙,各防火墙都能够收到数据包,但每个防火墙收到的数据包并不相同,即单一数据包在同一时刻只发送给一台防火墙。在这种模式中,不进行主从判断,每个防火墙都对收到的数据包进行处理。
集群模式下的网络安全设备的状态不是固定不变的,随着集群结构的变化,各网络安全设备的状态也会相应的发生变化,集群结构的变化包括新的网络安全设备加入集群、已有的网络安全设备退出集群或者网络安全设备的状态发生变化等。为了保证网络安全设备正常工作,当应该处理数据包的网络安全设备发生变化时不能影响到数据连接的正常处理,这就要求新的网络安全设备必须和原网络安全设备拥有相同的状态信息。
集群中的网络安全设备在工作过程中会产生大量的状态信息,以防火墙为例,这些状态信息主要分为三类:数据无关信息、单一数据包包含信息和数据连接信息。
数据无关信息主要包括防火墙时钟信息,这类信息不由数据包产生,但和数据包的处理过程密切相关,如果不在集群的防火墙之间进行同步,状态变化后,某些防火墙可能无法正确处理数据包。
单一数据包包含信息包括从地址解析协议(ARP)协议包中获取的网际协议(IP)地址与媒体访问控制(MAC)地址对应关系、从数据包中获取的MAC地址与虚拟局域网标签(VLAN ID)对应关系、MAC地址与接口对应关系、从认证协议包中获取的认证状态等,这类信息在数据连接过程中可能只会发送一次或少数几次,如果不在集群的防火墙之间进行同步,连接切换后的新防火墙可能永远无法获得这些信息,或必须等待较长时间数据包再次发送时才能获得这些信息,导致数据连接中断或处理错误。
数据连接信息是指通过多个数据包归纳的特征信息,包括传输控制协议(TCP)连接的状态信息、TCP连接超时时间信息、地址转换模块产生的信息等,这类信息必须从多个数据包中归纳得出,缺少任何一个数据包都可能得到完全不同的特征,如果不在集群的防火墙之间进行同步,新防火墙自行归纳数据连接特征时,可能得到错误的特征并导致数据连接中断或处理错误。
因此,集群模式下的网络安全设备之间必须进行同步,才能保证集群模式下的网络安全设备够正常工作。
目前解决集群模式下的网络安全设备同步问题的一种方法是定时进行同步,即使用定时器,每隔固定时间由活动网络安全设备负责向其它网络安全设备发送同步信息,其它网络安全设备接收同步信息后和活动网络安全设备进行同步。在同步过程中,同步模块和数据处理模块各自单独工作,同步模块进行同步都是通过专有的同步网口。
这种方法有很多缺点:缺点一是如果发送同步信息的时间间隔过长,很长一段时间内的状态信息没有同步,会造成信息的丢失;缺点二是如果发送同步信息的时间间隔过短,会造成网络安全设备的负荷过重,影响网络安全设备的性能;缺点三是由于每次同步时,需要发送所有的状态表,所以同步信息包含的数据量较大,在进行同步时有阻塞网络的危险;缺点四是只能采用专有的同步网口进行同步。
目前解决集群模式下的网络安全设备同步问题的另一种方法是每次活动网络安全设备的状态信息发生变化时,均由活动网络安全设备向其它网络安全设备发送同步信息,其它网络安全设备接收同步信息后和活动网络安全设备进行同步。在同步过程中,同步模块和数据处理模块各自单独工作,同步模块进行同步都是通过专有的同步网口。
这种方法存在的一个缺点是同步过于频繁,将占用大量的网络带宽。另一个缺点是只能采用专有的同步网口进行同步。
发明内容
有鉴于此,本发明的目的在于提供一种集群模式下的网络安全设备同步方法,确保信息不会丢失,降低对网络带宽的占用,提高网络安全设备的性能,增加系统的可靠性,并使同步可以通过数据网口进行。
为了达到上述目的,本发明提供了一种集群模式下的网络安全设备同步方法,该方法至少包括以下步骤:
集群中的活动网络安全设备根据集群结构的变化和状态信息的变化判断网络安全设备之间是否需要同步,若需要同步,则向需要同步的网络安全设备发送同步信息;否则不发送同步信息。
若集群结构变化为新的网络安全设备加入集群,则根据集群结构的变化判断是否需要同步具体为:
判断新加入的网络安全设备在设定的阈值时间内是否能够生成与已有网络安全设备相同的状态,如果在设定的阈值时间内没有收到生成状态所必须的数据包或从数据包中无法生成相同的状态,则需要同步;否则不需要同步。
生成的状态信息至少包括媒体访问控制地址和虚拟局域网标签的对应关系信息。
若集群结构的变化为主从网络安全设备的切换,则根据集群结构的变化判断是否需要同步具体为:
在切换前由原主网络安全设备判断,如果发生切换原从网络安全设备的状态是否能够更新到和自身相同的状态,如果判断结果为是则不需要同步;否则需要同步。
若状态信息为网络安全设备的时钟信息,则根据状态信息的变化判断是否需要同步具体为:
活动网络安全设备判断其它网络安全设备的时钟信息和自身时钟信息的差异是否达到设定的阈值,如果未达到设定的阈值,则不需要同步;否则需要同步。
网络安全设备可以为防火墙。
在双机互备模式中或主从热备模式的从防火墙不接收数据包的情况下,若状态信息为单一数据包包含信息,则根据状态信息的变化判断是否需要同步具体为:
判断活动防火墙收到的数据包是否会再次发送或数据包中的信息不影响后续包的处理,如果判断结果为是,则不需要同步;否则需要同步。
在负载均衡模式中或主从热备模式的从防火墙接收数据包的情况下,若状态信息为单一数据包包含信息,则根据状态信息的变化判断是否需要同步具体为:
判断活动防火墙与非活动防火墙对相同数据包的处理结果是否相同,如果判断结果为是则不需要同步,否则需要同步。
在主从热备模式的从防火墙不接收数据包的情况下,若状态信息为数据连接信息,则根据状态信息的变化判断是否需要同步具体为:
判断传输控制协议连接状态是否发生变化或判断非活动防火墙是否由于收不到数据包而无法进入相同的状态,如果判断结果为是则需要同步;否则不需要同步。
在双机互备模式下,若状态信息为数据连接信息,则根据状态信息的变化判断是否需要同步具体为:
判断传输控制协议连接状态是否发生变化、或当前活动防火墙判断其它活动防火墙是否由于收到不同的数据包而无法进入相同的状态,如果判断结果为是则需要同步;否则不需要同步。
在负载均衡模式中或主从热备模式的从防火墙接收数据包的情况下,若状态信息为数据连接信息,则根据状态信息的变化判断是否需要同步具体为:
判断各防火墙对当前收到的数据包进行处理并更新数据连接信息后得到的结果是否一致,若判断结果为是,则不需要同步;否则需要同步。这里的数据连接信息至少包括地址转换模块产生的信息。
若网络安全设备为防火墙,状态信息的变化为出现和集群中特定防火墙相关的信息,则根据状态信息的变化判断是否需要同步具体为:
判断和集群中特定防火墙相关的信息是否为特定网络安全设备发出的信息,若判断结果为是,则需要同步;否则不需要同步。
若网络安全设备为防火墙,则在判断是否需要同步之前,该方法进一步包括以下步骤:
A、活动防火墙接收数据包,并判断接收的数据包是否为同步信息,若是同步信息则继续接收数据包;否则执行步骤B;
B、根据配置好的防火墙策略对数据包进行处理,判断是否允许该数据包通过,若允许通过,则根据接收的数据包更新自身的状态信息;否则继续接收数据包;
并且,在判断是否需要同步之后,该方法进一步包括:
发送数据包,然后继续接收数据包。
对于以上步骤,步骤A中进一步包括在继续接收数据包之前,根据收到的同步信息更新自身的状态信息。
对于以上步骤,步骤B中进一步包括在根据接收的数据包更新自身的状态信息之前,判断该数据包是否在自身的处理的数据包范围内,若在处理范围内,则根据收到的数据包更新自身的状态信息;否则不更新自身的状态信息,继续接收数据包。
同步信息可以通过专有同步网口或普通数据网口传送。
同步信息可以为同步协议包。
由上述方案可以看出,本发明根据集群结构的变化和状态信息的变化判断是否需要同步,从而不必在每次状态信息发生变化时都进行同步,克服了定时进行同步中同步周期过长会导致同步信息丢失,时间过短又会导致网络负荷过重的缺点,降低了对网络带宽的占用,提高了集群模式下网络安全设备的性能,增加了系统的可靠性;本发明中将同步和对数据包的处理放在同一个模块中进行,达到了可以在数据网口中发送同步信息进行同步的目的。
附图说明
图1为本发明的具体实施例一中主从热备模式下主防火墙的同步流程图;
图2为本发明的具体实施例一中主从热备模式的第一种情况下从防火墙的同步流程图。
图3为本发明的具体实施例一中主从热备模式的第二种情况下从防火墙的同步流程图。
图4为本发明的具体实施例二中负载均衡模式下防火墙的同步流程图。
图5为本发明的具体实施例三中双机互备模式下防火墙的同步流程图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面结合附图对本发明作进一步的详细描述。
本发明为一种集群模式下的网络安全设备的同步方法,在本发明中,将集群模式下网络安全设备的同步和对数据包的处理放在一个模块中进行,通过对状态信息的变化判断是否需要进行同步,且由于集群模式下同步和对数据包的处理放在同一个模块中进行,同步信息的传送不必使用专有的同步网口,可以在普通的数据网口中进行传送。
本发明中涉及到的集群模式主要有主从热备模式、负载均衡模式和双机互备模式三种。下面将本发明在三种模式下在集群防火墙中的实现以具体实施例方式进行详细阐述。其中,实施例一为本发明在主从热备模式下的集群防火墙中的实现,实施例二为本发明在负载均衡模式下的集群防火墙中的实现,实施例三为本发明在双机互备模式下的集群防火墙中的实现。
实施例一:
具体实施例一为本发明在主从热备模式下集群防火墙中的实现。主从热备模式有两种情况,一种是两个防火墙都能够收到相同的数据包,但只有主防火墙对数据包进行处理,从防火墙只根据收到的数据包更新状态信息,而不对数据包进行处理;另一种是只有主防火墙能够收到数据包,并对数据包进行处理,从防火墙不接收数据包,当主防火墙判断需要同步时,向从防火墙发送同步协议包进行同步。下面分别就主防火墙的实现流程、第一种情况下从防火墙的实现流程和第二种情况下从防火墙的实现流程予以说明,图1所示为本发明在主从热备模式下主防火墙中的同步流程图,具体步骤如下:
步骤101、防火墙接收数据包。
步骤102、根据接收的数据包头部信息中的协议号判断是否为同步协议包,若是同步协议包,返回执行步骤101;否则执行步骤103。
步骤103、执行防火墙策略,判断是否允许该数据包通过,若允许该数据包通过,则执行步骤104;否则返回执行步骤101。
本步骤中所述的执行防火墙策略为执行预先设定的对数据包的过滤规则等。
步骤104、根据所收到数据包的内容更新自身的状态。
步骤105、根据集群状态的变化或更新状态时产生的状态信息的变化判断是否需要同步,若需要同步则执行步骤106;否则执行步骤107。
本步骤中集群状态的变化是防火墙通过接收控制层发送的集群状态信息,并将接收到的集群状态信息与自身保存的集群状态信息进行比较获得的;在获得集群状态的变化结果后,防火墙根据自身控制层发送的集群状态信息更新自身保存的集群状态信息。比较得到的集群状态的变化结果有几种情况,针对每种情况,所确定的是否需要进行同步的结果也不同。下面分别就这几种情况进行判断来详细说明:
当得到的变化结果为防火墙加入集群时,若加入的防火墙优先级低于原来的主防火墙,则该防火墙加入后为从防火墙,则判断新加入的网络安全设备在设定的阈值时间内是否能生成与已有网络安全设备相同的状态,如果在设定的阈值时间内能收到生成状态信息所必须的数据包且从数据包中可以生成相同的状态,则不需要同步;否则需要同步。例如:要对新加入的防火墙的MAC地址与VLAN ID的对应关系进行判断,若在设定的阈值时间内新防火墙已经获得该对应关系不需要进行同步,否则需要进行同步;若加入的防火墙优先级高于原来的主防火墙,则加入后的防火墙变为主防火墙,原主防火墙变为从防火墙,则需要进行同步。
主防火墙必须预先判断如果自己离开集群,负责接管的从防火墙能否自行更新到相同的状态,如果可以则不需要同步,否则需要进行同步。
当得到的变化结果为主从防火墙互相切换时,主从防火墙互相切换包括由主防火墙切换为从防火墙和从防火墙切换为主防火墙,在切换前原主防火墙判断从防火墙是否已更新到和原主防火墙相同的状态,若已经更新到相同的状态则不需要进行同步,否则需要进行同步。
在本步骤中,对于根据状态信息的变化判断是否需要同步,分别就状态信息为数据无关信息、单一数据包包含信息和数据连接信息三种情况进行详细说明:
第一种情况,状态信息为数据无关信息:数据无关信息主要包括防火墙时钟信息,主防火墙监测从防火墙的时钟和主防火墙的时钟差异,若发现差异量达到预设定的阈值,则需要进行同步。
第二种情况,状态信息为单一数据包包含信息,则根据状态信息的变化判断是否需要同步具体为:
判断活动防火墙与非活动防火墙对相同数据包的处理结果是否相同,如果判断结果为是则不需要同步,否则需要同步。
单一数据包包含信息主要包括IP地址与MAC地址对应关系、MAC地址与VLAN ID对应关系、MAC地址与接口的对应关系、认证状态信息和FTP检测信息等。活动防火墙判断收到的数据包是否会再次发送或数据包中的信息不影响后续包的处理,如果判断结果为是,则需要进行同步;否则不需要进行同步。比如说,防火墙从文件传输协议中获得的连接双方协商的数据连接端口信息只在连接过程中发送一次,且影响防火墙对后续文件传输协议数据连接的处理,则活动防火墙处理此类数据包后需要对处理结果进行同步。当IP地址与MAC地址对应关系发生变化时,不需要进行同步;当MAC地址与VLAN ID对应关系在设定的阈值时间内没有更新时,需要进行同步;当MAC地址与接口的对应关系发生变化时,不需要进行同步。
类似的还有对认证状态信息的处理,若认证状态信息可以从多个数据包中获得则不需要同步,比如不同的数据包均包含媒体访问控制地址与虚拟局域网标签的对应关系,只有在超过设定的阈值时间后仍然没有收到含相同媒体访问控制地址的数据包时才进行同步,否则不需要同步。当认证状态信息发生变化时,如果集群中的防火墙不能够收到相同的数据包,即在主从热备模式的从防火墙不接收数据包情况下,需要进行同步;如果集群中的防火墙能够收到相同的数据包,即在主从热备模式的从防火墙接收数据包情况下,则不需要进行同步;当主防火墙产生FTP检测信息后,各防火墙的检测结果可能不一致,需要进行同步。
第三种情况,状态信息为数据连接信息,则根据状态信息的变化判断是否需要同步具体为:判断各防火墙对当前收到的数据包进行处理并更新数据连接信息后得到的结果是否一致,若判断结果为是,则不需要同步;否则需要同步。
数据连接信息主要包括TCP连接的状态信息、TCP连接超时时间信息和地址转换模块产生的信息等。对于TCP连接的状态信息,在主从热备模式的从防火墙接收数据包情况下,不需要进行同步;在主从热备模式的从防火墙不接收数据包情况下,需要进行同步;对于TCP连接超时时间信息,在主从热备模式的从防火墙接收数据包情况下,不需要进行同步;在主从热备模式的从防火墙不接收数据包情况下,在发生显著变化时需要进行同步。也就是说,当前防火墙要判断各防火墙对当前收到的数据包进行处理并更新数据连接信息后得到的结果是否一致,若判断结果为是,则不需要同步;否则需要同步。比如:判断地址转换模块产生的信息是否一致,如果不一致,则需要进行同步。
此外,状态信息还包括和集群中特定防火墙相关的信息:
若和特定的防火墙相关的信息为特定的防火墙发出的信息,该信息为抑制其余防火墙对信息中的数据连接进行处理,需要进行同步。
若和特定的防火墙相关的信息为发往特定防火墙的信息,该信息中若包含了目的防火墙的信息,则不需要同步。
步骤106、向其它防火墙发送同步协议包,该同步协议包可以通过专有的同步网口发送,也可以通过数据网口发送,然后执行步骤107。
步骤107、发送数据包,然后返回执行步骤101。
如图2所示为主从热备模式的第一种情况下本发明在从防火墙中的实现流程图,具体步骤如下:
步骤201、防火墙接收数据包。
步骤202、防火墙根据接收的数据包头部信息中的协议号判断该协议包是否是同步协议包,若不是同步协议包执行步骤203;否则执行步骤204。
步骤203、执行设定的防火墙策略,判断是否允许该数据包通过,若允许通过,执行步骤204;否则返回执行步骤201。
步骤204、根据同步协议包中的内容更新数据连接状态,然后返回执行步骤201。
如图3所示为主从热备模式的第二种情况下本发明在从防火墙中的实现流程图,具体步骤如下:
步骤301、防火墙接收同步协议包。
步骤302、防火墙根据接收的同步协议包头部信息判断该协议包是否由主防火墙发出,若是由主防火墙发出执行步骤303;否则返回执行步骤301。
步骤303、根据同步协议包中的内容更新状态信息,然后返回执行步骤301。
以上为本发明在主从热备模式下的集群防火墙中的实现过程,由于主从热备模式有两种实现方案,图1中所示的主防火墙的同步流程适用于两种方案,对于从防火墙的实现流程,由于前一种方案,从防火墙能够和主防火墙同样收到普通数据包,而后一种情况从防火墙不能收到普通数据包,所以同步流程有所区别。
实施例二:
具体实施例二为在本发明在负载均衡模式下的集群防火墙中的实现过程,在负载均衡模式中,不区分主从防火墙,所有的防火墙都能够收到相同的数据包,集群控制程序根据集群中防火墙的状态确定负载分配方式,把配置下发给各防火墙,处于负载均衡模式下的防火墙都处于活动状态,但只对分配给其处理的数据包进行过滤。
如图4所示为本发明在负载均衡模式下防火墙中的实现流程图,具体步骤如下:
步骤401、防火墙接收数据包。
步骤402、根据接收的数据包头部信息中的协议号判断是否为同步协议包,若是同步协议包,执行步骤403;否则执行步骤404。
步骤403、根据接收的同步协议包中的内容更新状态信息,然后返回执行步骤401。
步骤404、执行防火墙策略,判断是否允许该数据包通过,若允许该数据包通过,执行步骤405;否则返回执行步骤401。
本步骤中所述的执行防火墙策略为执行预先设定的对数据包的过滤规则等。
步骤405、判断该数据包是否为分配给本防火墙处理的数据包,若是分配给本防火墙处理的数据包,执行步骤406;否则返回执行步骤401。
步骤406、根据所收到数据包的内容更新自身的状态。
步骤407、根据更新状态时产生的状态信息变化或集群状态的变化判断是否需要同步,若需要同步执行步骤408;否则执行步骤409。
本步骤中集群状态的变化是防火墙通过接收控制层发送的集群状态信息,并将接收到的集群状态信息与自身保存的集群状态信息进行比较获得的;在获得集群状态的变化结果后,防火墙根据自身控制层发送的集群状态信息更新自身保存的集群状态信息。比较得到的集群状态的变化结果有几种情况,针对每种情况,所确定的是否需要进行同步的结果也不同。下面分别就这几种情况进行判断来详细说明:
当得到的变化结果是防火墙加入集群时,一般通过对数据连接信息进行判断,如果能够得到数据连接信息,则不需要进行同步;否则需要进行同步。例如要对新加入的防火墙的MAC/VLAN ID对应关系进行判断,若在设定的阈值时间内新加入的防火墙已经获得该对应关系,则不需要进行同步;否则需要进行同步。
当得到的变化结果是防火墙离开集群时,不需要进行同步。
在本步骤中,对于根据状态信息的变化判断是否需要同步,分别就状态信息为数据无关信息、单一数据包包含信息和数据连接信息三种情况进行详细说明:
第一种情况,状态信息为数据无关信息,数据无关信息主要包括防火墙时钟信息,主防火墙监测从防火墙的时钟和主防火墙的时钟差异,若发现差异量达到预设定的阈值,则需要进行同步。
第二种情况,状态信息为单一数据包包含信息,则根据状态信息的变化判断是否需要同步具体为:
判断活动防火墙与非活动防火墙对相同数据包的处理结果是否相同,如果判断结果为是则不需要同步,否则需要同步。单一数据包包含信息主要包括IP地址与MAC地址的对应关系、MAC地址与VLAN ID的对应关系、MAC地址与接口的对应关系、认证状态信息和FTP检测信息等。当IP地址与MAC地址对应关系发生变化时,不需要进行同步;当MAC地址与VLANID对应关系在设定的阈值时间内没有更新时,需要进行同步;当MAC地址与接口的对应关系发生变化时,不需要进行同步;当认证状态信息发生变化时,需要进行同步;当防火墙产生FTP检测信息后,需要进行同步。
第三种情况,状态信息为数据连接信息,则根据状态信息的变化判断是否需要同步具体为:
判断各防火墙对当前收到的数据包进行处理并更新数据连接信息后得到的结果是否一致,若判断结果为是,则不需要同步;否则需要同步。
数据连接信息主要包括TCP连接的状态信息、TCP连接超时时间信息和地址转换模块产生的信息等。对于TCP连接的状态信息,如果集群中的防火墙能够收到相同的数据包,不需要进行同步;对于TCP连接超时时间信息,不需要进行同步;对于地址转换模块产生的信息,判断地址转换模块产生的信息是否一致,如果不一致,则需要进行同步。
此外,状态信息还包括和集群中特定防火墙相关的信息:
若和特定的防火墙相关的信息为特定的防火墙发出的信息,为了抑制其余防火墙对信息中的数据连接进行处理,需要进行同步。
若和特定的防火墙相关的信息为发往特定防火墙的信息,该信息中若包含了目的防火墙的信息,则不需要同步。
步骤408、向其它防火墙发送同步协议包,该同步协议包可以通过专有的同步网口发送,也可以由数据网口发送,然后执行步骤409。
步骤409、发送数据包,然后返回执行步骤401。
以上为本发明在负载均衡模式下的集群防火墙中的实现流程,由于在负载均衡模式下各防火墙都能够收到相同的数据包,且各防火墙都是活动防火墙,所以实现流程相同。
实施例三:
具体实施例三为在本发明在双机互备模式下的集群防火墙中的实现过程,在双机互备模式下中,不区分主从防火墙,各防火墙都能够收到数据包,但每个防火墙收到的数据包并不一致,即单一数据包在同一时刻只发送给一台防火墙。在这种模式中,不进行主从判断,每个防火墙都对收到的数据包进行处理。
如图5所示为本发明在双机互备模式下各防火墙中的实现流程图,具体步骤如下:
步骤501、防火墙接收数据包。
步骤502、根据接收的数据包头部信息中的协议号判断是否为同步协议包,若是同步协议包,执行步骤503;否则执行步骤504。
步骤503、根据接收的同步协议包中的内容更新状态信息,然后返回执行步骤501。
步骤504、执行防火墙策略,判断是否允许该数据包通过,若允许该数据包通过,执行步骤505;否则返回执行步骤501。
本步骤中所述的执行防火墙策略为执行预先设定的对数据包的过滤规则等。
步骤505、根据所收到数据包的内容更新自身的状态。
步骤506、根据更新状态时产生的状态信息变化判断是否需要同步,若需要同步执行步骤507;否则执行步骤508。
本步骤中集群状态的变化是防火墙通过接收控制层发送的集群状态信息,并将接收到的集群状态信息与自身保存的集群状态信息进行比较获得的;在获得集群状态的变化结果后,防火墙根据自身控制层发送的集群状态信息更新自身保存的集群状态信息。比较得到的集群状态的变化结果有几种情况,针对每种情况,所确定的是否需要进行同步的结果也不同。下面分别就这几种情况进行判断来详细说明:
当得到的变化结果是防火墙加入集群时,至少对MAC地址与VLAN ID的对应关系进行判断,若在设定的阈值时间内新加入的防火墙已经获得该对应关系则不需要进行同步,否则需要进行同步。
若得到的变化结果是防火墙离开集群时,不需要进行同步。
在本步骤中,对于根据状态信息的变化判断是否需要同步,分别就状态信息为数据无关信息、单一数据包包含信息和数据连接信息三种情况进行详细说明:
第一种情况,状态信息为数据无关信息:数据无关信息主要包括防火墙时钟信息,主防火墙监测从防火墙的时钟和主防火墙的时钟差异,若发现差异量达到预设定的阈值,则需要进行同步。
第二种情况,状态信息为单一数据包包含信息,则根据状态信息的变化判断是否需要同步具体为:
判断活动防火墙收到的数据包是否会再次发送或数据包中的信息不影响后续包的处理,如果判断结果为是,则不需要同步;否则需要同步。
单一数据包包含信息主要包括IP地址与MAC地址对应关系、MAC地址与VLAN ID对应关系、MAC地址与接口的对应关系、认证状态信息和FTP检测信息等。当IP地址与MAC地址对应关系发生变化时,不需要进行同步;当MAC地址与VLAN ID对应关系在设定的阈值时间内没有更新时,需要进行同步;当MAC地址与接口的对应关系发生变化时,不需要进行同步;当认证状态信息发生变化时,需要进行同步;当防火墙产生FTP检测信息后,需要进行同步。
第三种情况,状态信息为数据连接信息:数据连接信息主要包括TCP连接的状态信息、TCP连接超时时间信息和地址转换模块产生的信息等。根据状态信息的变化判断是否需要同步具体为:判断传输控制协议连接状态是否发生变化、或当前活动防火墙判断其它活动防火墙是否由于收到不同的数据包而无法进入相同的状态,如果判断结果为是则需要同步;否则不需要同步。比如说,对于TCP连接超时时间信息,当超时时间改变值达到预定阈值时,需要进行同步;对于地址转换模块产生的信息,判断地址转换模块产生的信息是否一致,如果不一致,则需要进行同步。
此外,状态信息还包括和集群中特定防火墙相关的信息:
若和特定的防火墙相关的信息为特定的防火墙发出的信息,为了抑制其余防火墙对信息中的数据连接进行处理,需要进行同步。
若和特定的防火墙相关的信息为发往特定防火墙的信息,该信息中若包含了目的防火墙的信息,则不需要同步。
步骤507、向其它防火墙发送同步协议包,该同步协议包可以通过专有的同步网口发送,也可以通过数据网口发送,然后执行步骤508。
步骤508、发送数据包,然后返回执行步骤501。
以上为本发明在双机互备模式下的集群防火墙中的实现流程,在双机互备模式下,各防火墙都能够收到数据包,收到的数据包不相同,但各防火墙同步的流程是相同的,所以以上步骤适用于双机互备模式中的所有防火墙。
在具体的实施过程中可对根据本发明的方法进行适当的改进,以适应具体情况的具体需要。因此可以理解,根据本发明的具体实施方式只是起示范作用,并不用以限制本发明的保护范围。
Claims (18)
1、一种集群模式下的网络安全设备同步方法,其特征在于该方法至少包括以下步骤:
集群中的活动网络安全设备根据集群结构的变化或状态信息的变化判断网络安全设备之间是否需要同步,若需要同步,则向需要同步的网络安全设备发送同步信息;否则不发送同步信息。
2、如权利要求1所述的方法,其特征在于,所述的集群结构的变化为新的网络安全设备加入集群,则根据集群结构的变化判断是否需要同步具体为:
判断新加入的网络安全设备在设定的阈值时间内是否能生成与已有网络安全设备相同的状态,如果在设定的阈值时间内能收到生成状态信息所必须的数据包且从数据包中可以生成相同的状态,则不需要同步;否则需要同步。
3、如权利要求2所述的方法,其特征在于,所述能收到的状态信息至少包括:媒体访问控制地址和虚拟局域网标签的对应关系信息。
4、如权利要求1所述的方法,其特征在于,所述集群结构的变化为主从网络安全设备的切换,则根据集群结构的变化判断是否需要同步具体为:
在切换前由原主网络安全设备判断,如果发生切换原从网络安全设备的状态是否能够更新到和自身相同的状态,如果判断结果为是则不需要同步;否则需要同步。
5、如权利要求1所述的方法,其特征在于,所述的状态信息为网络安全设备的时钟信息,则根据状态信息的变化判断是否需要同步具体为:
活动网络安全设备判断其它网络安全设备的时钟信息和自身时钟信息的差异是否达到设定的阈值,如果未达到设定的阈值,则不需要同步;否则需要同步。
6、如权利要求1所述的方法,其特征在于,所述的网络安全设备为防火墙。
7、如权利要求6所述的方法,其特征在于,在双机互备模式中或主从热备模式的从防火墙不接收数据包的情况下,所述的状态信息为单一数据包包含信息,则根据状态信息的变化判断是否需要同步具体为:
判断活动防火墙收到的数据包是否会再次发送或数据包中的信息不影响后续包的处理,如果判断结果为是,则不需要同步;否则需要同步。
8、如权利要求6所述的方法,其特征在于,在负载均衡模式中或主从热备模式的从防火墙接收数据包的情况下,所述的状态信息为单一数据包包含信息,则根据状态信息的变化判断是否需要同步具体为:
判断活动防火墙与非活动防火墙对相同数据包的处理结果是否相同,如果判断结果为是则不需要同步,否则需要同步。
9、如权利要求6所述的方法,其特征在于,在主从热备模式的从防火墙不接收数据包的情况下,所述的状态信息为数据连接信息,则根据状态信息的变化判断是否需要同步具体为:
判断传输控制协议连接状态是否发生变化或判断非活动防火墙是否由于收不到数据包而无法进入相同的状态,如果判断结果为是则需要同步;否则不需要同步。
10、如权利要求6所述的方法,其特征在于,在双机互备模式下,所述的状态信息为数据连接信息,则根据状态信息的变化判断是否需要同步具体为:判断传输控制协议连接状态是否发生变化、或当前活动防火墙判断其它活动防火墙是否由于收到不同的数据包而无法进入相同的状态,如果判断结果为是则需要同步;否则不需要同步。
11、如权利要求6所述的方法,其特征在于,在负载均衡模式中或主从热备模式的从防火墙接收数据包的情况下,所述的状态信息为数据连接信息,则根据状态信息的变化判断是否需要同步具体为:
判断各防火墙对当前收到的数据包进行处理并更新数据连接信息后得到的结果是否一致,若判断结果为是,则不需要同步;否则需要同步。
12、如权利要求11所述的方法,其特征在于,所述的数据连接信息至少包括地址转换模块产生的信息。
13、如权利要求6所述的方法,其特征在于,所述的状态信息的变化为出现和集群中特定防火墙相关的信息,则根据状态信息的变化判断是否需要同步具体为:
判断和集群中特定防火墙相关的信息是否为特定网络安全设备发出的信息,若判断结果为是,则需要同步;否则不需要同步。
14、如权利要求6所述的方法,其特征在于,在判断是否需要同步之前,该方法进一步包括以下步骤:
A、活动防火墙接收数据包,然后判断接收的数据包是否为同步信息,若是同步信息则继续接收数据包;否则执行步骤B;
B、根据配置好的防火墙策略对数据包进行处理,判断是否允许该数据包通过,若允许通过,则根据接收的数据包更新自身的状态信息;否则继续接收数据包;
并且,在判断是否需要同步之后,该方法进一步包括:
发送数据包,然后继续接收数据包。
15、如权利要求14所述的方法,其特征在于,所述步骤A进一步包括在继续接收数据包之前,根据收到的同步信息更新自身的状态信息。
16、如权利要求15所述的方法,其特征在于,所述步骤B进一步包括在根据接收的数据包更新自身的状态信息之前,判断该数据包是否在自身的处理的数据包范围内,若在处理范围内,则根据收到的数据包更新自身的状态信息;否则不更新自身的状态信息,继续接收数据包。
17、如权利要求1所述的方法,其特征在于,所述的同步信息通过专有同步网口或普通数据网口传送。
18、如权利要求1所述的方法,其特征在于,所述的同步信息为同步协议包。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNB200410059971XA CN100375437C (zh) | 2004-06-30 | 2004-06-30 | 一种集群模式下的网络安全设备同步方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNB200410059971XA CN100375437C (zh) | 2004-06-30 | 2004-06-30 | 一种集群模式下的网络安全设备同步方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN1716869A true CN1716869A (zh) | 2006-01-04 |
CN100375437C CN100375437C (zh) | 2008-03-12 |
Family
ID=35822329
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNB200410059971XA Expired - Lifetime CN100375437C (zh) | 2004-06-30 | 2004-06-30 | 一种集群模式下的网络安全设备同步方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN100375437C (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103414706A (zh) * | 2013-07-30 | 2013-11-27 | 曙光信息产业(北京)有限公司 | 双机防火墙系统的管理方法和装置 |
CN103973674A (zh) * | 2014-04-09 | 2014-08-06 | 汉柏科技有限公司 | 主备同步信息的方法及装置 |
WO2014194785A1 (en) * | 2013-06-07 | 2014-12-11 | International Business Machines Corporation | Regional firewall clustering in a networked computing environment |
CN105939401A (zh) * | 2016-02-02 | 2016-09-14 | 杭州迪普科技有限公司 | 处理报文的方法及装置 |
CN107257332A (zh) * | 2011-12-13 | 2017-10-17 | 迈克菲公司 | 大型防火墙集群中的定时管理 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE19910349A1 (de) * | 1999-03-09 | 2000-10-05 | Siemens Ag | Verfahren zur Synchronisation von Netzelementen eines Netzes |
FI20010267A0 (fi) * | 2001-02-13 | 2001-02-13 | Stonesoft Oy | Tietoturvagatewayn tilatietojen synkronointi |
US8001279B2 (en) * | 2001-12-21 | 2011-08-16 | International Business Machines Corporation | Method of synchronizing firewalls in a communication system based upon a server farm |
-
2004
- 2004-06-30 CN CNB200410059971XA patent/CN100375437C/zh not_active Expired - Lifetime
Cited By (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107257332A (zh) * | 2011-12-13 | 2017-10-17 | 迈克菲公司 | 大型防火墙集群中的定时管理 |
CN107257332B (zh) * | 2011-12-13 | 2021-02-02 | 迈克菲有限责任公司 | 大型防火墙集群中的定时管理 |
US10721209B2 (en) | 2011-12-13 | 2020-07-21 | Mcafee, Llc | Timing management in a large firewall cluster |
US9467420B2 (en) | 2013-06-07 | 2016-10-11 | International Business Machines Corporation | Regional firewall clustering in a networked computing environment |
GB2529126A (en) * | 2013-06-07 | 2016-02-10 | Ibm | Regional firewall clustering in a networked computing environment |
CN105493445A (zh) * | 2013-06-07 | 2016-04-13 | 国际商业机器公司 | 联网计算环境中的区域防火墙集群 |
GB2529126B (en) * | 2013-06-07 | 2016-06-22 | Ibm | Regional firewall clustering in a networked computing environment |
US9106610B2 (en) | 2013-06-07 | 2015-08-11 | International Business Machines Corporation | Regional firewall clustering in a networked computing environment |
US9882875B2 (en) | 2013-06-07 | 2018-01-30 | International Business Machines Corporation | Regional firewall clustering in a networked computing environment |
CN105493445B (zh) * | 2013-06-07 | 2019-03-19 | 国际商业机器公司 | 用于联网计算环境中的区域防火墙集群的方法和系统 |
US10237238B2 (en) | 2013-06-07 | 2019-03-19 | International Business Machines Corporation | Regional firewall clustering in a networked computing environment |
WO2014194785A1 (en) * | 2013-06-07 | 2014-12-11 | International Business Machines Corporation | Regional firewall clustering in a networked computing environment |
CN103414706A (zh) * | 2013-07-30 | 2013-11-27 | 曙光信息产业(北京)有限公司 | 双机防火墙系统的管理方法和装置 |
CN103973674A (zh) * | 2014-04-09 | 2014-08-06 | 汉柏科技有限公司 | 主备同步信息的方法及装置 |
CN105939401A (zh) * | 2016-02-02 | 2016-09-14 | 杭州迪普科技有限公司 | 处理报文的方法及装置 |
CN105939401B (zh) * | 2016-02-02 | 2019-11-08 | 杭州迪普科技股份有限公司 | 处理报文的方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN100375437C (zh) | 2008-03-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN1317853C (zh) | 一种网络安全设备及其组成的实现高可用性的系统及方法 | |
EP2849531B1 (en) | Assisted/coordinated intra-home communications | |
EP2564626B1 (en) | Method and apparatus to enable ad hoc networks | |
CN101051951A (zh) | 一种保证服务器接入可靠性的方法及装置 | |
CN101040550A (zh) | 在无线系统中用于功率节约的方法和装置 | |
CN1659899A (zh) | 虚拟交换器 | |
TW201340740A (zh) | 動態頻譜分配方法、裝置及系統 | |
WO2007005182A3 (en) | Apparatus and method for resource sharing between a plurality of communication networks | |
CN1411239A (zh) | 无线通信系统以及无线局域网接入点 | |
CN1925429A (zh) | 一种实现快速检测的方法和设备 | |
CN101047930A (zh) | 演进移动网络中发送icr信息测量报告的方法及系统 | |
CN1905488A (zh) | 采用虚拟路由器冗余协议接入用户的方法和系统 | |
CN1812300A (zh) | 环型网络连接控制方法、路由交换设备及环型网络系统 | |
CN105704823A (zh) | 电缆与无线局域网共存的系统和方法 | |
CN101060485A (zh) | 拓扑改变报文的处理方法和处理装置 | |
CN1202637C (zh) | 在高速以太网上的面向块控制系统 | |
CN1909494A (zh) | 一种用户网络边缘设备双归属或多归属的实现方法及系统 | |
CN1788475A (zh) | 网络攻击缓解方法,网络攻击缓解设备,和网络攻击缓解程序 | |
CN1889527A (zh) | 一种实现多链路传输的负荷分担的装置和方法 | |
CN101031134A (zh) | 代理服务器和方法以及具有该代理服务器的安全通信系统 | |
CN1929408A (zh) | 旁路组合系统及基于旁路组合系统的业务处理方法 | |
CN1992637A (zh) | WiMax网络控制管理系统和方法 | |
CN101039263A (zh) | 核心网节点过载的处理方法及移动交换设备和通信系统 | |
CN1723731A (zh) | 无线接入网络控制方法和无线接入网络 | |
CN1859423A (zh) | 一种主机和转发设备同步切换的方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |