專利名稱:一種集群模式下的網(wǎng)絡(luò)安全設(shè)備同步方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù),特別是指一種集群模式下的網(wǎng)絡(luò)安全設(shè)備同步方法。
背景技術(shù):
隨著計(jì)算機(jī)應(yīng)用領(lǐng)域的不斷擴(kuò)展和網(wǎng)絡(luò)通訊技術(shù)的突飛猛進(jìn),網(wǎng)絡(luò)安全越來越受到重視。網(wǎng)絡(luò)安全設(shè)備自身的特點(diǎn)決定了網(wǎng)絡(luò)安全設(shè)備總是處于網(wǎng)絡(luò)的核心路徑上,對(duì)其性能和可靠性都有很高的要求,而網(wǎng)絡(luò)安全設(shè)備集群模式則是提高網(wǎng)絡(luò)安全可靠性的理想方案。
網(wǎng)絡(luò)安全設(shè)備常見的集群模式有三種主從熱備模式、負(fù)載均衡模式和雙機(jī)互備模式,下面以網(wǎng)絡(luò)安全設(shè)備是防火墻為例來說明這三種模式。
在主從熱備模式中多個(gè)防火墻中有一個(gè)為主防火墻,其余防火墻為從防火墻,處于主從熱備模式下的防火墻只有其中的主防火墻處于活動(dòng)狀態(tài),對(duì)收到的數(shù)據(jù)包進(jìn)行處理。主從熱備模式有兩種實(shí)現(xiàn)方案一種是所有防火墻都能夠收到相同的數(shù)據(jù)包,只有主防火墻對(duì)數(shù)據(jù)包進(jìn)行處理,從防火墻不對(duì)收到的數(shù)據(jù)包進(jìn)行處理,但可以利用數(shù)據(jù)包更新內(nèi)部狀態(tài);另一種是僅主防火墻能夠收到數(shù)據(jù)包并且對(duì)數(shù)據(jù)包進(jìn)行處理,從防火墻不能夠接收數(shù)據(jù)包。
在負(fù)載均衡模式中,不區(qū)分主從防火墻,所有的防火墻都能夠收到相同的數(shù)據(jù)包,集群控制程序根據(jù)集群中防火墻的狀態(tài)確定負(fù)載分配方式,把配置下發(fā)給各防火墻,處于負(fù)載均衡模式下的防火墻都處于活動(dòng)狀態(tài),但只對(duì)分配給其處理的數(shù)據(jù)包進(jìn)行過濾。
在雙機(jī)互備模式下中,不區(qū)分主從防火墻,各防火墻都能夠收到數(shù)據(jù)包,但每個(gè)防火墻收到的數(shù)據(jù)包并不相同,即單一數(shù)據(jù)包在同一時(shí)刻只發(fā)送給一臺(tái)防火墻。在這種模式中,不進(jìn)行主從判斷,每個(gè)防火墻都對(duì)收到的數(shù)據(jù)包進(jìn)行處理。
集群模式下的網(wǎng)絡(luò)安全設(shè)備的狀態(tài)不是固定不變的,隨著集群結(jié)構(gòu)的變化,各網(wǎng)絡(luò)安全設(shè)備的狀態(tài)也會(huì)相應(yīng)的發(fā)生變化,集群結(jié)構(gòu)的變化包括新的網(wǎng)絡(luò)安全設(shè)備加入集群、已有的網(wǎng)絡(luò)安全設(shè)備退出集群或者網(wǎng)絡(luò)安全設(shè)備的狀態(tài)發(fā)生變化等。為了保證網(wǎng)絡(luò)安全設(shè)備正常工作,當(dāng)應(yīng)該處理數(shù)據(jù)包的網(wǎng)絡(luò)安全設(shè)備發(fā)生變化時(shí)不能影響到數(shù)據(jù)連接的正常處理,這就要求新的網(wǎng)絡(luò)安全設(shè)備必須和原網(wǎng)絡(luò)安全設(shè)備擁有相同的狀態(tài)信息。
集群中的網(wǎng)絡(luò)安全設(shè)備在工作過程中會(huì)產(chǎn)生大量的狀態(tài)信息,以防火墻為例,這些狀態(tài)信息主要分為三類數(shù)據(jù)無關(guān)信息、單一數(shù)據(jù)包包含信息和數(shù)據(jù)連接信息。
數(shù)據(jù)無關(guān)信息主要包括防火墻時(shí)鐘信息,這類信息不由數(shù)據(jù)包產(chǎn)生,但和數(shù)據(jù)包的處理過程密切相關(guān),如果不在集群的防火墻之間進(jìn)行同步,狀態(tài)變化后,某些防火墻可能無法正確處理數(shù)據(jù)包。
單一數(shù)據(jù)包包含信息包括從地址解析協(xié)議(ARP)協(xié)議包中獲取的網(wǎng)際協(xié)議(IP)地址與媒體訪問控制(MAC)地址對(duì)應(yīng)關(guān)系、從數(shù)據(jù)包中獲取的MAC地址與虛擬局域網(wǎng)標(biāo)簽(VLAN ID)對(duì)應(yīng)關(guān)系、MAC地址與接口對(duì)應(yīng)關(guān)系、從認(rèn)證協(xié)議包中獲取的認(rèn)證狀態(tài)等,這類信息在數(shù)據(jù)連接過程中可能只會(huì)發(fā)送一次或少數(shù)幾次,如果不在集群的防火墻之間進(jìn)行同步,連接切換后的新防火墻可能永遠(yuǎn)無法獲得這些信息,或必須等待較長(zhǎng)時(shí)間數(shù)據(jù)包再次發(fā)送時(shí)才能獲得這些信息,導(dǎo)致數(shù)據(jù)連接中斷或處理錯(cuò)誤。
數(shù)據(jù)連接信息是指通過多個(gè)數(shù)據(jù)包歸納的特征信息,包括傳輸控制協(xié)議(TCP)連接的狀態(tài)信息、TCP連接超時(shí)時(shí)間信息、地址轉(zhuǎn)換模塊產(chǎn)生的信息等,這類信息必須從多個(gè)數(shù)據(jù)包中歸納得出,缺少任何一個(gè)數(shù)據(jù)包都可能得到完全不同的特征,如果不在集群的防火墻之間進(jìn)行同步,新防火墻自行歸納數(shù)據(jù)連接特征時(shí),可能得到錯(cuò)誤的特征并導(dǎo)致數(shù)據(jù)連接中斷或處理錯(cuò)誤。
因此,集群模式下的網(wǎng)絡(luò)安全設(shè)備之間必須進(jìn)行同步,才能保證集群模式下的網(wǎng)絡(luò)安全設(shè)備夠正常工作。
目前解決集群模式下的網(wǎng)絡(luò)安全設(shè)備同步問題的一種方法是定時(shí)進(jìn)行同步,即使用定時(shí)器,每隔固定時(shí)間由活動(dòng)網(wǎng)絡(luò)安全設(shè)備負(fù)責(zé)向其它網(wǎng)絡(luò)安全設(shè)備發(fā)送同步信息,其它網(wǎng)絡(luò)安全設(shè)備接收同步信息后和活動(dòng)網(wǎng)絡(luò)安全設(shè)備進(jìn)行同步。在同步過程中,同步模塊和數(shù)據(jù)處理模塊各自單獨(dú)工作,同步模塊進(jìn)行同步都是通過專有的同步網(wǎng)口。
這種方法有很多缺點(diǎn)缺點(diǎn)一是如果發(fā)送同步信息的時(shí)間間隔過長(zhǎng),很長(zhǎng)一段時(shí)間內(nèi)的狀態(tài)信息沒有同步,會(huì)造成信息的丟失;缺點(diǎn)二是如果發(fā)送同步信息的時(shí)間間隔過短,會(huì)造成網(wǎng)絡(luò)安全設(shè)備的負(fù)荷過重,影響網(wǎng)絡(luò)安全設(shè)備的性能;缺點(diǎn)三是由于每次同步時(shí),需要發(fā)送所有的狀態(tài)表,所以同步信息包含的數(shù)據(jù)量較大,在進(jìn)行同步時(shí)有阻塞網(wǎng)絡(luò)的危險(xiǎn);缺點(diǎn)四是只能采用專有的同步網(wǎng)口進(jìn)行同步。
目前解決集群模式下的網(wǎng)絡(luò)安全設(shè)備同步問題的另一種方法是每次活動(dòng)網(wǎng)絡(luò)安全設(shè)備的狀態(tài)信息發(fā)生變化時(shí),均由活動(dòng)網(wǎng)絡(luò)安全設(shè)備向其它網(wǎng)絡(luò)安全設(shè)備發(fā)送同步信息,其它網(wǎng)絡(luò)安全設(shè)備接收同步信息后和活動(dòng)網(wǎng)絡(luò)安全設(shè)備進(jìn)行同步。在同步過程中,同步模塊和數(shù)據(jù)處理模塊各自單獨(dú)工作,同步模塊進(jìn)行同步都是通過專有的同步網(wǎng)口。
這種方法存在的一個(gè)缺點(diǎn)是同步過于頻繁,將占用大量的網(wǎng)絡(luò)帶寬。另一個(gè)缺點(diǎn)是只能采用專有的同步網(wǎng)口進(jìn)行同步。
發(fā)明內(nèi)容
有鑒于此,本發(fā)明的目的在于提供一種集群模式下的網(wǎng)絡(luò)安全設(shè)備同步方法,確保信息不會(huì)丟失,降低對(duì)網(wǎng)絡(luò)帶寬的占用,提高網(wǎng)絡(luò)安全設(shè)備的性能,增加系統(tǒng)的可靠性,并使同步可以通過數(shù)據(jù)網(wǎng)口進(jìn)行。
為了達(dá)到上述目的,本發(fā)明提供了一種集群模式下的網(wǎng)絡(luò)安全設(shè)備同步方法,該方法至少包括以下步驟集群中的活動(dòng)網(wǎng)絡(luò)安全設(shè)備根據(jù)集群結(jié)構(gòu)的變化和狀態(tài)信息的變化判斷網(wǎng)絡(luò)安全設(shè)備之間是否需要同步,若需要同步,則向需要同步的網(wǎng)絡(luò)安全設(shè)備發(fā)送同步信息;否則不發(fā)送同步信息。
若集群結(jié)構(gòu)變化為新的網(wǎng)絡(luò)安全設(shè)備加入集群,則根據(jù)集群結(jié)構(gòu)的變化判斷是否需要同步具體為判斷新加入的網(wǎng)絡(luò)安全設(shè)備在設(shè)定的閾值時(shí)間內(nèi)是否能夠生成與已有網(wǎng)絡(luò)安全設(shè)備相同的狀態(tài),如果在設(shè)定的閾值時(shí)間內(nèi)沒有收到生成狀態(tài)所必須的數(shù)據(jù)包或從數(shù)據(jù)包中無法生成相同的狀態(tài),則需要同步;否則不需要同步。
生成的狀態(tài)信息至少包括媒體訪問控制地址和虛擬局域網(wǎng)標(biāo)簽的對(duì)應(yīng)關(guān)系信息。
若集群結(jié)構(gòu)的變化為主從網(wǎng)絡(luò)安全設(shè)備的切換,則根據(jù)集群結(jié)構(gòu)的變化判斷是否需要同步具體為在切換前由原主網(wǎng)絡(luò)安全設(shè)備判斷,如果發(fā)生切換原從網(wǎng)絡(luò)安全設(shè)備的狀態(tài)是否能夠更新到和自身相同的狀態(tài),如果判斷結(jié)果為是則不需要同步;否則需要同步。
若狀態(tài)信息為網(wǎng)絡(luò)安全設(shè)備的時(shí)鐘信息,則根據(jù)狀態(tài)信息的變化判斷是否需要同步具體為活動(dòng)網(wǎng)絡(luò)安全設(shè)備判斷其它網(wǎng)絡(luò)安全設(shè)備的時(shí)鐘信息和自身時(shí)鐘信息的差異是否達(dá)到設(shè)定的閾值,如果未達(dá)到設(shè)定的閾值,則不需要同步;否則需要同步。
網(wǎng)絡(luò)安全設(shè)備可以為防火墻。
在雙機(jī)互備模式中或主從熱備模式的從防火墻不接收數(shù)據(jù)包的情況下,若狀態(tài)信息為單一數(shù)據(jù)包包含信息,則根據(jù)狀態(tài)信息的變化判斷是否需要同步具體為
判斷活動(dòng)防火墻收到的數(shù)據(jù)包是否會(huì)再次發(fā)送或數(shù)據(jù)包中的信息不影響后續(xù)包的處理,如果判斷結(jié)果為是,則不需要同步;否則需要同步。
在負(fù)載均衡模式中或主從熱備模式的從防火墻接收數(shù)據(jù)包的情況下,若狀態(tài)信息為單一數(shù)據(jù)包包含信息,則根據(jù)狀態(tài)信息的變化判斷是否需要同步具體為判斷活動(dòng)防火墻與非活動(dòng)防火墻對(duì)相同數(shù)據(jù)包的處理結(jié)果是否相同,如果判斷結(jié)果為是則不需要同步,否則需要同步。
在主從熱備模式的從防火墻不接收數(shù)據(jù)包的情況下,若狀態(tài)信息為數(shù)據(jù)連接信息,則根據(jù)狀態(tài)信息的變化判斷是否需要同步具體為判斷傳輸控制協(xié)議連接狀態(tài)是否發(fā)生變化或判斷非活動(dòng)防火墻是否由于收不到數(shù)據(jù)包而無法進(jìn)入相同的狀態(tài),如果判斷結(jié)果為是則需要同步;否則不需要同步。
在雙機(jī)互備模式下,若狀態(tài)信息為數(shù)據(jù)連接信息,則根據(jù)狀態(tài)信息的變化判斷是否需要同步具體為判斷傳輸控制協(xié)議連接狀態(tài)是否發(fā)生變化、或當(dāng)前活動(dòng)防火墻判斷其它活動(dòng)防火墻是否由于收到不同的數(shù)據(jù)包而無法進(jìn)入相同的狀態(tài),如果判斷結(jié)果為是則需要同步;否則不需要同步。
在負(fù)載均衡模式中或主從熱備模式的從防火墻接收數(shù)據(jù)包的情況下,若狀態(tài)信息為數(shù)據(jù)連接信息,則根據(jù)狀態(tài)信息的變化判斷是否需要同步具體為判斷各防火墻對(duì)當(dāng)前收到的數(shù)據(jù)包進(jìn)行處理并更新數(shù)據(jù)連接信息后得到的結(jié)果是否一致,若判斷結(jié)果為是,則不需要同步;否則需要同步。這里的數(shù)據(jù)連接信息至少包括地址轉(zhuǎn)換模塊產(chǎn)生的信息。
若網(wǎng)絡(luò)安全設(shè)備為防火墻,狀態(tài)信息的變化為出現(xiàn)和集群中特定防火墻相關(guān)的信息,則根據(jù)狀態(tài)信息的變化判斷是否需要同步具體為判斷和集群中特定防火墻相關(guān)的信息是否為特定網(wǎng)絡(luò)安全設(shè)備發(fā)出的信息,若判斷結(jié)果為是,則需要同步;否則不需要同步。
若網(wǎng)絡(luò)安全設(shè)備為防火墻,則在判斷是否需要同步之前,該方法進(jìn)一步包括以下步驟A、活動(dòng)防火墻接收數(shù)據(jù)包,并判斷接收的數(shù)據(jù)包是否為同步信息,若是同步信息則繼續(xù)接收數(shù)據(jù)包;否則執(zhí)行步驟B;B、根據(jù)配置好的防火墻策略對(duì)數(shù)據(jù)包進(jìn)行處理,判斷是否允許該數(shù)據(jù)包通過,若允許通過,則根據(jù)接收的數(shù)據(jù)包更新自身的狀態(tài)信息;否則繼續(xù)接收數(shù)據(jù)包;并且,在判斷是否需要同步之后,該方法進(jìn)一步包括發(fā)送數(shù)據(jù)包,然后繼續(xù)接收數(shù)據(jù)包。
對(duì)于以上步驟,步驟A中進(jìn)一步包括在繼續(xù)接收數(shù)據(jù)包之前,根據(jù)收到的同步信息更新自身的狀態(tài)信息。
對(duì)于以上步驟,步驟B中進(jìn)一步包括在根據(jù)接收的數(shù)據(jù)包更新自身的狀態(tài)信息之前,判斷該數(shù)據(jù)包是否在自身的處理的數(shù)據(jù)包范圍內(nèi),若在處理范圍內(nèi),則根據(jù)收到的數(shù)據(jù)包更新自身的狀態(tài)信息;否則不更新自身的狀態(tài)信息,繼續(xù)接收數(shù)據(jù)包。
同步信息可以通過專有同步網(wǎng)口或普通數(shù)據(jù)網(wǎng)口傳送。
同步信息可以為同步協(xié)議包。
由上述方案可以看出,本發(fā)明根據(jù)集群結(jié)構(gòu)的變化和狀態(tài)信息的變化判斷是否需要同步,從而不必在每次狀態(tài)信息發(fā)生變化時(shí)都進(jìn)行同步,克服了定時(shí)進(jìn)行同步中同步周期過長(zhǎng)會(huì)導(dǎo)致同步信息丟失,時(shí)間過短又會(huì)導(dǎo)致網(wǎng)絡(luò)負(fù)荷過重的缺點(diǎn),降低了對(duì)網(wǎng)絡(luò)帶寬的占用,提高了集群模式下網(wǎng)絡(luò)安全設(shè)備的性能,增加了系統(tǒng)的可靠性;本發(fā)明中將同步和對(duì)數(shù)據(jù)包的處理放在同一個(gè)模塊中進(jìn)行,達(dá)到了可以在數(shù)據(jù)網(wǎng)口中發(fā)送同步信息進(jìn)行同步的目的。
圖1為本發(fā)明的具體實(shí)施例一中主從熱備模式下主防火墻的同步流程圖;圖2為本發(fā)明的具體實(shí)施例一中主從熱備模式的第一種情況下從防火墻的同步流程圖。
圖3為本發(fā)明的具體實(shí)施例一中主從熱備模式的第二種情況下從防火墻的同步流程圖。
圖4為本發(fā)明的具體實(shí)施例二中負(fù)載均衡模式下防火墻的同步流程圖。
圖5為本發(fā)明的具體實(shí)施例三中雙機(jī)互備模式下防火墻的同步流程圖。
具體實(shí)施例方式
為使本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚,下面結(jié)合附圖對(duì)本發(fā)明作進(jìn)一步的詳細(xì)描述。
本發(fā)明為一種集群模式下的網(wǎng)絡(luò)安全設(shè)備的同步方法,在本發(fā)明中,將集群模式下網(wǎng)絡(luò)安全設(shè)備的同步和對(duì)數(shù)據(jù)包的處理放在一個(gè)模塊中進(jìn)行,通過對(duì)狀態(tài)信息的變化判斷是否需要進(jìn)行同步,且由于集群模式下同步和對(duì)數(shù)據(jù)包的處理放在同一個(gè)模塊中進(jìn)行,同步信息的傳送不必使用專有的同步網(wǎng)口,可以在普通的數(shù)據(jù)網(wǎng)口中進(jìn)行傳送。
本發(fā)明中涉及到的集群模式主要有主從熱備模式、負(fù)載均衡模式和雙機(jī)互備模式三種。下面將本發(fā)明在三種模式下在集群防火墻中的實(shí)現(xiàn)以具體實(shí)施例方式進(jìn)行詳細(xì)闡述。其中,實(shí)施例一為本發(fā)明在主從熱備模式下的集群防火墻中的實(shí)現(xiàn),實(shí)施例二為本發(fā)明在負(fù)載均衡模式下的集群防火墻中的實(shí)現(xiàn),實(shí)施例三為本發(fā)明在雙機(jī)互備模式下的集群防火墻中的實(shí)現(xiàn)。
實(shí)施例一具體實(shí)施例一為本發(fā)明在主從熱備模式下集群防火墻中的實(shí)現(xiàn)。主從熱備模式有兩種情況,一種是兩個(gè)防火墻都能夠收到相同的數(shù)據(jù)包,但只有主防火墻對(duì)數(shù)據(jù)包進(jìn)行處理,從防火墻只根據(jù)收到的數(shù)據(jù)包更新狀態(tài)信息,而不對(duì)數(shù)據(jù)包進(jìn)行處理;另一種是只有主防火墻能夠收到數(shù)據(jù)包,并對(duì)數(shù)據(jù)包進(jìn)行處理,從防火墻不接收數(shù)據(jù)包,當(dāng)主防火墻判斷需要同步時(shí),向從防火墻發(fā)送同步協(xié)議包進(jìn)行同步。下面分別就主防火墻的實(shí)現(xiàn)流程、第一種情況下從防火墻的實(shí)現(xiàn)流程和第二種情況下從防火墻的實(shí)現(xiàn)流程予以說明,圖1所示為本發(fā)明在主從熱備模式下主防火墻中的同步流程圖,具體步驟如下步驟101、防火墻接收數(shù)據(jù)包。
步驟102、根據(jù)接收的數(shù)據(jù)包頭部信息中的協(xié)議號(hào)判斷是否為同步協(xié)議包,若是同步協(xié)議包,返回執(zhí)行步驟101;否則執(zhí)行步驟103。
步驟103、執(zhí)行防火墻策略,判斷是否允許該數(shù)據(jù)包通過,若允許該數(shù)據(jù)包通過,則執(zhí)行步驟104;否則返回執(zhí)行步驟101。
本步驟中所述的執(zhí)行防火墻策略為執(zhí)行預(yù)先設(shè)定的對(duì)數(shù)據(jù)包的過濾規(guī)則等。
步驟104、根據(jù)所收到數(shù)據(jù)包的內(nèi)容更新自身的狀態(tài)。
步驟105、根據(jù)集群狀態(tài)的變化或更新狀態(tài)時(shí)產(chǎn)生的狀態(tài)信息的變化判斷是否需要同步,若需要同步則執(zhí)行步驟106;否則執(zhí)行步驟107。
本步驟中集群狀態(tài)的變化是防火墻通過接收控制層發(fā)送的集群狀態(tài)信息,并將接收到的集群狀態(tài)信息與自身保存的集群狀態(tài)信息進(jìn)行比較獲得的;在獲得集群狀態(tài)的變化結(jié)果后,防火墻根據(jù)自身控制層發(fā)送的集群狀態(tài)信息更新自身保存的集群狀態(tài)信息。比較得到的集群狀態(tài)的變化結(jié)果有幾種情況,針對(duì)每種情況,所確定的是否需要進(jìn)行同步的結(jié)果也不同。下面分別就這幾種情況進(jìn)行判斷來詳細(xì)說明當(dāng)?shù)玫降淖兓Y(jié)果為防火墻加入集群時(shí),若加入的防火墻優(yōu)先級(jí)低于原來的主防火墻,則該防火墻加入后為從防火墻,則判斷新加入的網(wǎng)絡(luò)安全設(shè)備在設(shè)定的閾值時(shí)間內(nèi)是否能生成與已有網(wǎng)絡(luò)安全設(shè)備相同的狀態(tài),如果在設(shè)定的閾值時(shí)間內(nèi)能收到生成狀態(tài)信息所必須的數(shù)據(jù)包且從數(shù)據(jù)包中可以生成相同的狀態(tài),則不需要同步;否則需要同步。例如要對(duì)新加入的防火墻的MAC地址與VLAN ID的對(duì)應(yīng)關(guān)系進(jìn)行判斷,若在設(shè)定的閾值時(shí)間內(nèi)新防火墻已經(jīng)獲得該對(duì)應(yīng)關(guān)系不需要進(jìn)行同步,否則需要進(jìn)行同步;若加入的防火墻優(yōu)先級(jí)高于原來的主防火墻,則加入后的防火墻變?yōu)橹鞣阑饓?,原主防火墻變?yōu)閺姆阑饓?,則需要進(jìn)行同步。
主防火墻必須預(yù)先判斷如果自己離開集群,負(fù)責(zé)接管的從防火墻能否自行更新到相同的狀態(tài),如果可以則不需要同步,否則需要進(jìn)行同步。
當(dāng)?shù)玫降淖兓Y(jié)果為主從防火墻互相切換時(shí),主從防火墻互相切換包括由主防火墻切換為從防火墻和從防火墻切換為主防火墻,在切換前原主防火墻判斷從防火墻是否已更新到和原主防火墻相同的狀態(tài),若已經(jīng)更新到相同的狀態(tài)則不需要進(jìn)行同步,否則需要進(jìn)行同步。
在本步驟中,對(duì)于根據(jù)狀態(tài)信息的變化判斷是否需要同步,分別就狀態(tài)信息為數(shù)據(jù)無關(guān)信息、單一數(shù)據(jù)包包含信息和數(shù)據(jù)連接信息三種情況進(jìn)行詳細(xì)說明第一種情況,狀態(tài)信息為數(shù)據(jù)無關(guān)信息數(shù)據(jù)無關(guān)信息主要包括防火墻時(shí)鐘信息,主防火墻監(jiān)測(cè)從防火墻的時(shí)鐘和主防火墻的時(shí)鐘差異,若發(fā)現(xiàn)差異量達(dá)到預(yù)設(shè)定的閾值,則需要進(jìn)行同步。
第二種情況,狀態(tài)信息為單一數(shù)據(jù)包包含信息,則根據(jù)狀態(tài)信息的變化判斷是否需要同步具體為判斷活動(dòng)防火墻與非活動(dòng)防火墻對(duì)相同數(shù)據(jù)包的處理結(jié)果是否相同,如果判斷結(jié)果為是則不需要同步,否則需要同步。
單一數(shù)據(jù)包包含信息主要包括IP地址與MAC地址對(duì)應(yīng)關(guān)系、MAC地址與VLAN ID對(duì)應(yīng)關(guān)系、MAC地址與接口的對(duì)應(yīng)關(guān)系、認(rèn)證狀態(tài)信息和FTP檢測(cè)信息等?;顒?dòng)防火墻判斷收到的數(shù)據(jù)包是否會(huì)再次發(fā)送或數(shù)據(jù)包中的信息不影響后續(xù)包的處理,如果判斷結(jié)果為是,則需要進(jìn)行同步;否則不需要進(jìn)行同步。比如說,防火墻從文件傳輸協(xié)議中獲得的連接雙方協(xié)商的數(shù)據(jù)連接端口信息只在連接過程中發(fā)送一次,且影響防火墻對(duì)后續(xù)文件傳輸協(xié)議數(shù)據(jù)連接的處理,則活動(dòng)防火墻處理此類數(shù)據(jù)包后需要對(duì)處理結(jié)果進(jìn)行同步。當(dāng)IP地址與MAC地址對(duì)應(yīng)關(guān)系發(fā)生變化時(shí),不需要進(jìn)行同步;當(dāng)MAC地址與VLAN ID對(duì)應(yīng)關(guān)系在設(shè)定的閾值時(shí)間內(nèi)沒有更新時(shí),需要進(jìn)行同步;當(dāng)MAC地址與接口的對(duì)應(yīng)關(guān)系發(fā)生變化時(shí),不需要進(jìn)行同步。
類似的還有對(duì)認(rèn)證狀態(tài)信息的處理,若認(rèn)證狀態(tài)信息可以從多個(gè)數(shù)據(jù)包中獲得則不需要同步,比如不同的數(shù)據(jù)包均包含媒體訪問控制地址與虛擬局域網(wǎng)標(biāo)簽的對(duì)應(yīng)關(guān)系,只有在超過設(shè)定的閾值時(shí)間后仍然沒有收到含相同媒體訪問控制地址的數(shù)據(jù)包時(shí)才進(jìn)行同步,否則不需要同步。當(dāng)認(rèn)證狀態(tài)信息發(fā)生變化時(shí),如果集群中的防火墻不能夠收到相同的數(shù)據(jù)包,即在主從熱備模式的從防火墻不接收數(shù)據(jù)包情況下,需要進(jìn)行同步;如果集群中的防火墻能夠收到相同的數(shù)據(jù)包,即在主從熱備模式的從防火墻接收數(shù)據(jù)包情況下,則不需要進(jìn)行同步;當(dāng)主防火墻產(chǎn)生FTP檢測(cè)信息后,各防火墻的檢測(cè)結(jié)果可能不一致,需要進(jìn)行同步。
第三種情況,狀態(tài)信息為數(shù)據(jù)連接信息,則根據(jù)狀態(tài)信息的變化判斷是否需要同步具體為判斷各防火墻對(duì)當(dāng)前收到的數(shù)據(jù)包進(jìn)行處理并更新數(shù)據(jù)連接信息后得到的結(jié)果是否一致,若判斷結(jié)果為是,則不需要同步;否則需要同步。
數(shù)據(jù)連接信息主要包括TCP連接的狀態(tài)信息、TCP連接超時(shí)時(shí)間信息和地址轉(zhuǎn)換模塊產(chǎn)生的信息等。對(duì)于TCP連接的狀態(tài)信息,在主從熱備模式的從防火墻接收數(shù)據(jù)包情況下,不需要進(jìn)行同步;在主從熱備模式的從防火墻不接收數(shù)據(jù)包情況下,需要進(jìn)行同步;對(duì)于TCP連接超時(shí)時(shí)間信息,在主從熱備模式的從防火墻接收數(shù)據(jù)包情況下,不需要進(jìn)行同步;在主從熱備模式的從防火墻不接收數(shù)據(jù)包情況下,在發(fā)生顯著變化時(shí)需要進(jìn)行同步。也就是說,當(dāng)前防火墻要判斷各防火墻對(duì)當(dāng)前收到的數(shù)據(jù)包進(jìn)行處理并更新數(shù)據(jù)連接信息后得到的結(jié)果是否一致,若判斷結(jié)果為是,則不需要同步;否則需要同步。比如判斷地址轉(zhuǎn)換模塊產(chǎn)生的信息是否一致,如果不一致,則需要進(jìn)行同步。
此外,狀態(tài)信息還包括和集群中特定防火墻相關(guān)的信息若和特定的防火墻相關(guān)的信息為特定的防火墻發(fā)出的信息,該信息為抑制其余防火墻對(duì)信息中的數(shù)據(jù)連接進(jìn)行處理,需要進(jìn)行同步。
若和特定的防火墻相關(guān)的信息為發(fā)往特定防火墻的信息,該信息中若包含了目的防火墻的信息,則不需要同步。
步驟106、向其它防火墻發(fā)送同步協(xié)議包,該同步協(xié)議包可以通過專有的同步網(wǎng)口發(fā)送,也可以通過數(shù)據(jù)網(wǎng)口發(fā)送,然后執(zhí)行步驟107。
步驟107、發(fā)送數(shù)據(jù)包,然后返回執(zhí)行步驟101。
如圖2所示為主從熱備模式的第一種情況下本發(fā)明在從防火墻中的實(shí)現(xiàn)流程圖,具體步驟如下步驟201、防火墻接收數(shù)據(jù)包。
步驟202、防火墻根據(jù)接收的數(shù)據(jù)包頭部信息中的協(xié)議號(hào)判斷該協(xié)議包是否是同步協(xié)議包,若不是同步協(xié)議包執(zhí)行步驟203;否則執(zhí)行步驟204。
步驟203、執(zhí)行設(shè)定的防火墻策略,判斷是否允許該數(shù)據(jù)包通過,若允許通過,執(zhí)行步驟204;否則返回執(zhí)行步驟201。
步驟204、根據(jù)同步協(xié)議包中的內(nèi)容更新數(shù)據(jù)連接狀態(tài),然后返回執(zhí)行步驟201。
如圖3所示為主從熱備模式的第二種情況下本發(fā)明在從防火墻中的實(shí)現(xiàn)流程圖,具體步驟如下步驟301、防火墻接收同步協(xié)議包。
步驟302、防火墻根據(jù)接收的同步協(xié)議包頭部信息判斷該協(xié)議包是否由主防火墻發(fā)出,若是由主防火墻發(fā)出執(zhí)行步驟303;否則返回執(zhí)行步驟301。
步驟303、根據(jù)同步協(xié)議包中的內(nèi)容更新狀態(tài)信息,然后返回執(zhí)行步驟301。
以上為本發(fā)明在主從熱備模式下的集群防火墻中的實(shí)現(xiàn)過程,由于主從熱備模式有兩種實(shí)現(xiàn)方案,圖1中所示的主防火墻的同步流程適用于兩種方案,對(duì)于從防火墻的實(shí)現(xiàn)流程,由于前一種方案,從防火墻能夠和主防火墻同樣收到普通數(shù)據(jù)包,而后一種情況從防火墻不能收到普通數(shù)據(jù)包,所以同步流程有所區(qū)別。
實(shí)施例二具體實(shí)施例二為在本發(fā)明在負(fù)載均衡模式下的集群防火墻中的實(shí)現(xiàn)過程,在負(fù)載均衡模式中,不區(qū)分主從防火墻,所有的防火墻都能夠收到相同的數(shù)據(jù)包,集群控制程序根據(jù)集群中防火墻的狀態(tài)確定負(fù)載分配方式,把配置下發(fā)給各防火墻,處于負(fù)載均衡模式下的防火墻都處于活動(dòng)狀態(tài),但只對(duì)分配給其處理的數(shù)據(jù)包進(jìn)行過濾。
如圖4所示為本發(fā)明在負(fù)載均衡模式下防火墻中的實(shí)現(xiàn)流程圖,具體步驟如下步驟401、防火墻接收數(shù)據(jù)包。
步驟402、根據(jù)接收的數(shù)據(jù)包頭部信息中的協(xié)議號(hào)判斷是否為同步協(xié)議包,若是同步協(xié)議包,執(zhí)行步驟403;否則執(zhí)行步驟404。
步驟403、根據(jù)接收的同步協(xié)議包中的內(nèi)容更新狀態(tài)信息,然后返回執(zhí)行步驟401。
步驟404、執(zhí)行防火墻策略,判斷是否允許該數(shù)據(jù)包通過,若允許該數(shù)據(jù)包通過,執(zhí)行步驟405;否則返回執(zhí)行步驟401。
本步驟中所述的執(zhí)行防火墻策略為執(zhí)行預(yù)先設(shè)定的對(duì)數(shù)據(jù)包的過濾規(guī)則等。
步驟405、判斷該數(shù)據(jù)包是否為分配給本防火墻處理的數(shù)據(jù)包,若是分配給本防火墻處理的數(shù)據(jù)包,執(zhí)行步驟406;否則返回執(zhí)行步驟401。
步驟406、根據(jù)所收到數(shù)據(jù)包的內(nèi)容更新自身的狀態(tài)。
步驟407、根據(jù)更新狀態(tài)時(shí)產(chǎn)生的狀態(tài)信息變化或集群狀態(tài)的變化判斷是否需要同步,若需要同步執(zhí)行步驟408;否則執(zhí)行步驟409。
本步驟中集群狀態(tài)的變化是防火墻通過接收控制層發(fā)送的集群狀態(tài)信息,并將接收到的集群狀態(tài)信息與自身保存的集群狀態(tài)信息進(jìn)行比較獲得的;在獲得集群狀態(tài)的變化結(jié)果后,防火墻根據(jù)自身控制層發(fā)送的集群狀態(tài)信息更新自身保存的集群狀態(tài)信息。比較得到的集群狀態(tài)的變化結(jié)果有幾種情況,針對(duì)每種情況,所確定的是否需要進(jìn)行同步的結(jié)果也不同。下面分別就這幾種情況進(jìn)行判斷來詳細(xì)說明當(dāng)?shù)玫降淖兓Y(jié)果是防火墻加入集群時(shí),一般通過對(duì)數(shù)據(jù)連接信息進(jìn)行判斷,如果能夠得到數(shù)據(jù)連接信息,則不需要進(jìn)行同步;否則需要進(jìn)行同步。例如要對(duì)新加入的防火墻的MAC/VLAN ID對(duì)應(yīng)關(guān)系進(jìn)行判斷,若在設(shè)定的閾值時(shí)間內(nèi)新加入的防火墻已經(jīng)獲得該對(duì)應(yīng)關(guān)系,則不需要進(jìn)行同步;否則需要進(jìn)行同步。
當(dāng)?shù)玫降淖兓Y(jié)果是防火墻離開集群時(shí),不需要進(jìn)行同步。
在本步驟中,對(duì)于根據(jù)狀態(tài)信息的變化判斷是否需要同步,分別就狀態(tài)信息為數(shù)據(jù)無關(guān)信息、單一數(shù)據(jù)包包含信息和數(shù)據(jù)連接信息三種情況進(jìn)行詳細(xì)說明第一種情況,狀態(tài)信息為數(shù)據(jù)無關(guān)信息,數(shù)據(jù)無關(guān)信息主要包括防火墻時(shí)鐘信息,主防火墻監(jiān)測(cè)從防火墻的時(shí)鐘和主防火墻的時(shí)鐘差異,若發(fā)現(xiàn)差異量達(dá)到預(yù)設(shè)定的閾值,則需要進(jìn)行同步。
第二種情況,狀態(tài)信息為單一數(shù)據(jù)包包含信息,則根據(jù)狀態(tài)信息的變化判斷是否需要同步具體為判斷活動(dòng)防火墻與非活動(dòng)防火墻對(duì)相同數(shù)據(jù)包的處理結(jié)果是否相同,如果判斷結(jié)果為是則不需要同步,否則需要同步。單一數(shù)據(jù)包包含信息主要包括IP地址與MAC地址的對(duì)應(yīng)關(guān)系、MAC地址與VLAN ID的對(duì)應(yīng)關(guān)系、MAC地址與接口的對(duì)應(yīng)關(guān)系、認(rèn)證狀態(tài)信息和FTP檢測(cè)信息等。當(dāng)IP地址與MAC地址對(duì)應(yīng)關(guān)系發(fā)生變化時(shí),不需要進(jìn)行同步;當(dāng)MAC地址與VLANID對(duì)應(yīng)關(guān)系在設(shè)定的閾值時(shí)間內(nèi)沒有更新時(shí),需要進(jìn)行同步;當(dāng)MAC地址與接口的對(duì)應(yīng)關(guān)系發(fā)生變化時(shí),不需要進(jìn)行同步;當(dāng)認(rèn)證狀態(tài)信息發(fā)生變化時(shí),需要進(jìn)行同步;當(dāng)防火墻產(chǎn)生FTP檢測(cè)信息后,需要進(jìn)行同步。
第三種情況,狀態(tài)信息為數(shù)據(jù)連接信息,則根據(jù)狀態(tài)信息的變化判斷是否需要同步具體為判斷各防火墻對(duì)當(dāng)前收到的數(shù)據(jù)包進(jìn)行處理并更新數(shù)據(jù)連接信息后得到的結(jié)果是否一致,若判斷結(jié)果為是,則不需要同步;否則需要同步。
數(shù)據(jù)連接信息主要包括TCP連接的狀態(tài)信息、TCP連接超時(shí)時(shí)間信息和地址轉(zhuǎn)換模塊產(chǎn)生的信息等。對(duì)于TCP連接的狀態(tài)信息,如果集群中的防火墻能夠收到相同的數(shù)據(jù)包,不需要進(jìn)行同步;對(duì)于TCP連接超時(shí)時(shí)間信息,不需要進(jìn)行同步;對(duì)于地址轉(zhuǎn)換模塊產(chǎn)生的信息,判斷地址轉(zhuǎn)換模塊產(chǎn)生的信息是否一致,如果不一致,則需要進(jìn)行同步。
此外,狀態(tài)信息還包括和集群中特定防火墻相關(guān)的信息若和特定的防火墻相關(guān)的信息為特定的防火墻發(fā)出的信息,為了抑制其余防火墻對(duì)信息中的數(shù)據(jù)連接進(jìn)行處理,需要進(jìn)行同步。
若和特定的防火墻相關(guān)的信息為發(fā)往特定防火墻的信息,該信息中若包含了目的防火墻的信息,則不需要同步。
步驟408、向其它防火墻發(fā)送同步協(xié)議包,該同步協(xié)議包可以通過專有的同步網(wǎng)口發(fā)送,也可以由數(shù)據(jù)網(wǎng)口發(fā)送,然后執(zhí)行步驟409。
步驟409、發(fā)送數(shù)據(jù)包,然后返回執(zhí)行步驟401。
以上為本發(fā)明在負(fù)載均衡模式下的集群防火墻中的實(shí)現(xiàn)流程,由于在負(fù)載均衡模式下各防火墻都能夠收到相同的數(shù)據(jù)包,且各防火墻都是活動(dòng)防火墻,所以實(shí)現(xiàn)流程相同。
實(shí)施例三具體實(shí)施例三為在本發(fā)明在雙機(jī)互備模式下的集群防火墻中的實(shí)現(xiàn)過程,在雙機(jī)互備模式下中,不區(qū)分主從防火墻,各防火墻都能夠收到數(shù)據(jù)包,但每個(gè)防火墻收到的數(shù)據(jù)包并不一致,即單一數(shù)據(jù)包在同一時(shí)刻只發(fā)送給一臺(tái)防火墻。在這種模式中,不進(jìn)行主從判斷,每個(gè)防火墻都對(duì)收到的數(shù)據(jù)包進(jìn)行處理。
如圖5所示為本發(fā)明在雙機(jī)互備模式下各防火墻中的實(shí)現(xiàn)流程圖,具體步驟如下步驟501、防火墻接收數(shù)據(jù)包。
步驟502、根據(jù)接收的數(shù)據(jù)包頭部信息中的協(xié)議號(hào)判斷是否為同步協(xié)議包,若是同步協(xié)議包,執(zhí)行步驟503;否則執(zhí)行步驟504。
步驟503、根據(jù)接收的同步協(xié)議包中的內(nèi)容更新狀態(tài)信息,然后返回執(zhí)行步驟501。
步驟504、執(zhí)行防火墻策略,判斷是否允許該數(shù)據(jù)包通過,若允許該數(shù)據(jù)包通過,執(zhí)行步驟505;否則返回執(zhí)行步驟501。
本步驟中所述的執(zhí)行防火墻策略為執(zhí)行預(yù)先設(shè)定的對(duì)數(shù)據(jù)包的過濾規(guī)則等。
步驟505、根據(jù)所收到數(shù)據(jù)包的內(nèi)容更新自身的狀態(tài)。
步驟506、根據(jù)更新狀態(tài)時(shí)產(chǎn)生的狀態(tài)信息變化判斷是否需要同步,若需要同步執(zhí)行步驟507;否則執(zhí)行步驟508。
本步驟中集群狀態(tài)的變化是防火墻通過接收控制層發(fā)送的集群狀態(tài)信息,并將接收到的集群狀態(tài)信息與自身保存的集群狀態(tài)信息進(jìn)行比較獲得的;在獲得集群狀態(tài)的變化結(jié)果后,防火墻根據(jù)自身控制層發(fā)送的集群狀態(tài)信息更新自身保存的集群狀態(tài)信息。比較得到的集群狀態(tài)的變化結(jié)果有幾種情況,針對(duì)每種情況,所確定的是否需要進(jìn)行同步的結(jié)果也不同。下面分別就這幾種情況進(jìn)行判斷來詳細(xì)說明當(dāng)?shù)玫降淖兓Y(jié)果是防火墻加入集群時(shí),至少對(duì)MAC地址與VLAN ID的對(duì)應(yīng)關(guān)系進(jìn)行判斷,若在設(shè)定的閾值時(shí)間內(nèi)新加入的防火墻已經(jīng)獲得該對(duì)應(yīng)關(guān)系則不需要進(jìn)行同步,否則需要進(jìn)行同步。
若得到的變化結(jié)果是防火墻離開集群時(shí),不需要進(jìn)行同步。
在本步驟中,對(duì)于根據(jù)狀態(tài)信息的變化判斷是否需要同步,分別就狀態(tài)信息為數(shù)據(jù)無關(guān)信息、單一數(shù)據(jù)包包含信息和數(shù)據(jù)連接信息三種情況進(jìn)行詳細(xì)說明第一種情況,狀態(tài)信息為數(shù)據(jù)無關(guān)信息數(shù)據(jù)無關(guān)信息主要包括防火墻時(shí)鐘信息,主防火墻監(jiān)測(cè)從防火墻的時(shí)鐘和主防火墻的時(shí)鐘差異,若發(fā)現(xiàn)差異量達(dá)到預(yù)設(shè)定的閾值,則需要進(jìn)行同步。
第二種情況,狀態(tài)信息為單一數(shù)據(jù)包包含信息,則根據(jù)狀態(tài)信息的變化判斷是否需要同步具體為判斷活動(dòng)防火墻收到的數(shù)據(jù)包是否會(huì)再次發(fā)送或數(shù)據(jù)包中的信息不影響后續(xù)包的處理,如果判斷結(jié)果為是,則不需要同步;否則需要同步。
單一數(shù)據(jù)包包含信息主要包括IP地址與MAC地址對(duì)應(yīng)關(guān)系、MAC地址與VLAN ID對(duì)應(yīng)關(guān)系、MAC地址與接口的對(duì)應(yīng)關(guān)系、認(rèn)證狀態(tài)信息和FTP檢測(cè)信息等。當(dāng)IP地址與MAC地址對(duì)應(yīng)關(guān)系發(fā)生變化時(shí),不需要進(jìn)行同步;當(dāng)MAC地址與VLAN ID對(duì)應(yīng)關(guān)系在設(shè)定的閾值時(shí)間內(nèi)沒有更新時(shí),需要進(jìn)行同步;當(dāng)MAC地址與接口的對(duì)應(yīng)關(guān)系發(fā)生變化時(shí),不需要進(jìn)行同步;當(dāng)認(rèn)證狀態(tài)信息發(fā)生變化時(shí),需要進(jìn)行同步;當(dāng)防火墻產(chǎn)生FTP檢測(cè)信息后,需要進(jìn)行同步。
第三種情況,狀態(tài)信息為數(shù)據(jù)連接信息數(shù)據(jù)連接信息主要包括TCP連接的狀態(tài)信息、TCP連接超時(shí)時(shí)間信息和地址轉(zhuǎn)換模塊產(chǎn)生的信息等。根據(jù)狀態(tài)信息的變化判斷是否需要同步具體為判斷傳輸控制協(xié)議連接狀態(tài)是否發(fā)生變化、或當(dāng)前活動(dòng)防火墻判斷其它活動(dòng)防火墻是否由于收到不同的數(shù)據(jù)包而無法進(jìn)入相同的狀態(tài),如果判斷結(jié)果為是則需要同步;否則不需要同步。比如說,對(duì)于TCP連接超時(shí)時(shí)間信息,當(dāng)超時(shí)時(shí)間改變值達(dá)到預(yù)定閾值時(shí),需要進(jìn)行同步;對(duì)于地址轉(zhuǎn)換模塊產(chǎn)生的信息,判斷地址轉(zhuǎn)換模塊產(chǎn)生的信息是否一致,如果不一致,則需要進(jìn)行同步。
此外,狀態(tài)信息還包括和集群中特定防火墻相關(guān)的信息若和特定的防火墻相關(guān)的信息為特定的防火墻發(fā)出的信息,為了抑制其余防火墻對(duì)信息中的數(shù)據(jù)連接進(jìn)行處理,需要進(jìn)行同步。
若和特定的防火墻相關(guān)的信息為發(fā)往特定防火墻的信息,該信息中若包含了目的防火墻的信息,則不需要同步。
步驟507、向其它防火墻發(fā)送同步協(xié)議包,該同步協(xié)議包可以通過專有的同步網(wǎng)口發(fā)送,也可以通過數(shù)據(jù)網(wǎng)口發(fā)送,然后執(zhí)行步驟508。
步驟508、發(fā)送數(shù)據(jù)包,然后返回執(zhí)行步驟501。
以上為本發(fā)明在雙機(jī)互備模式下的集群防火墻中的實(shí)現(xiàn)流程,在雙機(jī)互備模式下,各防火墻都能夠收到數(shù)據(jù)包,收到的數(shù)據(jù)包不相同,但各防火墻同步的流程是相同的,所以以上步驟適用于雙機(jī)互備模式中的所有防火墻。
在具體的實(shí)施過程中可對(duì)根據(jù)本發(fā)明的方法進(jìn)行適當(dāng)?shù)母倪M(jìn),以適應(yīng)具體情況的具體需要。因此可以理解,根據(jù)本發(fā)明的具體實(shí)施方式
只是起示范作用,并不用以限制本發(fā)明的保護(hù)范圍。
權(quán)利要求
1.一種集群模式下的網(wǎng)絡(luò)安全設(shè)備同步方法,其特征在于該方法至少包括以下步驟集群中的活動(dòng)網(wǎng)絡(luò)安全設(shè)備根據(jù)集群結(jié)構(gòu)的變化或狀態(tài)信息的變化判斷網(wǎng)絡(luò)安全設(shè)備之間是否需要同步,若需要同步,則向需要同步的網(wǎng)絡(luò)安全設(shè)備發(fā)送同步信息;否則不發(fā)送同步信息。
2.如權(quán)利要求1所述的方法,其特征在于,所述的集群結(jié)構(gòu)的變化為新的網(wǎng)絡(luò)安全設(shè)備加入集群,則根據(jù)集群結(jié)構(gòu)的變化判斷是否需要同步具體為判斷新加入的網(wǎng)絡(luò)安全設(shè)備在設(shè)定的閾值時(shí)間內(nèi)是否能生成與已有網(wǎng)絡(luò)安全設(shè)備相同的狀態(tài),如果在設(shè)定的閾值時(shí)間內(nèi)能收到生成狀態(tài)信息所必須的數(shù)據(jù)包且從數(shù)據(jù)包中可以生成相同的狀態(tài),則不需要同步;否則需要同步。
3.如權(quán)利要求2所述的方法,其特征在于,所述能收到的狀態(tài)信息至少包括媒體訪問控制地址和虛擬局域網(wǎng)標(biāo)簽的對(duì)應(yīng)關(guān)系信息。
4.如權(quán)利要求1所述的方法,其特征在于,所述集群結(jié)構(gòu)的變化為主從網(wǎng)絡(luò)安全設(shè)備的切換,則根據(jù)集群結(jié)構(gòu)的變化判斷是否需要同步具體為在切換前由原主網(wǎng)絡(luò)安全設(shè)備判斷,如果發(fā)生切換原從網(wǎng)絡(luò)安全設(shè)備的狀態(tài)是否能夠更新到和自身相同的狀態(tài),如果判斷結(jié)果為是則不需要同步;否則需要同步。
5.如權(quán)利要求1所述的方法,其特征在于,所述的狀態(tài)信息為網(wǎng)絡(luò)安全設(shè)備的時(shí)鐘信息,則根據(jù)狀態(tài)信息的變化判斷是否需要同步具體為活動(dòng)網(wǎng)絡(luò)安全設(shè)備判斷其它網(wǎng)絡(luò)安全設(shè)備的時(shí)鐘信息和自身時(shí)鐘信息的差異是否達(dá)到設(shè)定的閾值,如果未達(dá)到設(shè)定的閾值,則不需要同步;否則需要同步。
6.如權(quán)利要求1所述的方法,其特征在于,所述的網(wǎng)絡(luò)安全設(shè)備為防火墻。
7.如權(quán)利要求6所述的方法,其特征在于,在雙機(jī)互備模式中或主從熱備模式的從防火墻不接收數(shù)據(jù)包的情況下,所述的狀態(tài)信息為單一數(shù)據(jù)包包含信息,則根據(jù)狀態(tài)信息的變化判斷是否需要同步具體為判斷活動(dòng)防火墻收到的數(shù)據(jù)包是否會(huì)再次發(fā)送或數(shù)據(jù)包中的信息不影響后續(xù)包的處理,如果判斷結(jié)果為是,則不需要同步;否則需要同步。
8.如權(quán)利要求6所述的方法,其特征在于,在負(fù)載均衡模式中或主從熱備模式的從防火墻接收數(shù)據(jù)包的情況下,所述的狀態(tài)信息為單一數(shù)據(jù)包包含信息,則根據(jù)狀態(tài)信息的變化判斷是否需要同步具體為判斷活動(dòng)防火墻與非活動(dòng)防火墻對(duì)相同數(shù)據(jù)包的處理結(jié)果是否相同,如果判斷結(jié)果為是則不需要同步,否則需要同步。
9.如權(quán)利要求6所述的方法,其特征在于,在主從熱備模式的從防火墻不接收數(shù)據(jù)包的情況下,所述的狀態(tài)信息為數(shù)據(jù)連接信息,則根據(jù)狀態(tài)信息的變化判斷是否需要同步具體為判斷傳輸控制協(xié)議連接狀態(tài)是否發(fā)生變化或判斷非活動(dòng)防火墻是否由于收不到數(shù)據(jù)包而無法進(jìn)入相同的狀態(tài),如果判斷結(jié)果為是則需要同步;否則不需要同步。
10.如權(quán)利要求6所述的方法,其特征在于,在雙機(jī)互備模式下,所述的狀態(tài)信息為數(shù)據(jù)連接信息,則根據(jù)狀態(tài)信息的變化判斷是否需要同步具體為判斷傳輸控制協(xié)議連接狀態(tài)是否發(fā)生變化、或當(dāng)前活動(dòng)防火墻判斷其它活動(dòng)防火墻是否由于收到不同的數(shù)據(jù)包而無法進(jìn)入相同的狀態(tài),如果判斷結(jié)果為是則需要同步;否則不需要同步。
11.如權(quán)利要求6所述的方法,其特征在于,在負(fù)載均衡模式中或主從熱備模式的從防火墻接收數(shù)據(jù)包的情況下,所述的狀態(tài)信息為數(shù)據(jù)連接信息,則根據(jù)狀態(tài)信息的變化判斷是否需要同步具體為判斷各防火墻對(duì)當(dāng)前收到的數(shù)據(jù)包進(jìn)行處理并更新數(shù)據(jù)連接信息后得到的結(jié)果是否一致,若判斷結(jié)果為是,則不需要同步;否則需要同步。
12.如權(quán)利要求11所述的方法,其特征在于,所述的數(shù)據(jù)連接信息至少包括地址轉(zhuǎn)換模塊產(chǎn)生的信息。
13.如權(quán)利要求6所述的方法,其特征在于,所述的狀態(tài)信息的變化為出現(xiàn)和集群中特定防火墻相關(guān)的信息,則根據(jù)狀態(tài)信息的變化判斷是否需要同步具體為判斷和集群中特定防火墻相關(guān)的信息是否為特定網(wǎng)絡(luò)安全設(shè)備發(fā)出的信息,若判斷結(jié)果為是,則需要同步;否則不需要同步。
14.如權(quán)利要求6所述的方法,其特征在于,在判斷是否需要同步之前,該方法進(jìn)一步包括以下步驟A、活動(dòng)防火墻接收數(shù)據(jù)包,然后判斷接收的數(shù)據(jù)包是否為同步信息,若是同步信息則繼續(xù)接收數(shù)據(jù)包;否則執(zhí)行步驟B;B、根據(jù)配置好的防火墻策略對(duì)數(shù)據(jù)包進(jìn)行處理,判斷是否允許該數(shù)據(jù)包通過,若允許通過,則根據(jù)接收的數(shù)據(jù)包更新自身的狀態(tài)信息;否則繼續(xù)接收數(shù)據(jù)包;并且,在判斷是否需要同步之后,該方法進(jìn)一步包括發(fā)送數(shù)據(jù)包,然后繼續(xù)接收數(shù)據(jù)包。
15.如權(quán)利要求14所述的方法,其特征在于,所述步驟A進(jìn)一步包括在繼續(xù)接收數(shù)據(jù)包之前,根據(jù)收到的同步信息更新自身的狀態(tài)信息。
16.如權(quán)利要求15所述的方法,其特征在于,所述步驟B進(jìn)一步包括在根據(jù)接收的數(shù)據(jù)包更新自身的狀態(tài)信息之前,判斷該數(shù)據(jù)包是否在自身的處理的數(shù)據(jù)包范圍內(nèi),若在處理范圍內(nèi),則根據(jù)收到的數(shù)據(jù)包更新自身的狀態(tài)信息;否則不更新自身的狀態(tài)信息,繼續(xù)接收數(shù)據(jù)包。
17.如權(quán)利要求1所述的方法,其特征在于,所述的同步信息通過專有同步網(wǎng)口或普通數(shù)據(jù)網(wǎng)口傳送。
18.如權(quán)利要求1所述的方法,其特征在于,所述的同步信息為同步協(xié)議包。
全文摘要
本發(fā)明公開了一種集群模式下的網(wǎng)絡(luò)安全設(shè)備同步方法,在該方法中將數(shù)據(jù)處理和同步放在同一個(gè)模塊中進(jìn)行,并根據(jù)集群結(jié)構(gòu)變化和狀態(tài)信息的變化判斷是否需要同步,若需要同步則發(fā)送同步信息進(jìn)行同步。本發(fā)明可以應(yīng)用于集群模式的主從熱備模式、負(fù)載均衡模式和雙機(jī)互備模式。由于將數(shù)據(jù)處理和同步放在一個(gè)模塊中進(jìn)行,同步信息可以通過數(shù)據(jù)網(wǎng)口發(fā)送也可以通過專用的同步網(wǎng)口發(fā)送。本發(fā)明簡(jiǎn)化了網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),同時(shí)提高了集群網(wǎng)絡(luò)安全設(shè)備的可靠性,并降低了對(duì)網(wǎng)絡(luò)帶寬的使用,提高了集群模式下網(wǎng)絡(luò)安全設(shè)備的性能。
文檔編號(hào)H04L7/00GK1716869SQ20041005997
公開日2006年1月4日 申請(qǐng)日期2004年6月30日 優(yōu)先權(quán)日2004年6月30日
發(fā)明者王剛, 劉春梅, 劉永鋒, 屈浩然, 倪縣樂 申請(qǐng)人:聯(lián)想(北京)有限公司