專利名稱:安全網(wǎng)關(guān)集群防病毒的方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡安全技術(shù)領(lǐng)域,尤其涉及一種安全網(wǎng)關(guān)集群防病毒的方法及系 統(tǒng)。
背景技術(shù):
隨著網(wǎng)絡技術(shù)與網(wǎng)絡安全技術(shù)的不斷發(fā)展,傳統(tǒng)的安全網(wǎng)關(guān)功能已經(jīng)不能滿足日 益出現(xiàn)的各種新需求。傳統(tǒng)的安全網(wǎng)關(guān)只在網(wǎng)絡層做集中訪問控制,對應用層的安全無能 為力,新一代的安全網(wǎng)關(guān)需要對應用層的安全也進行集中控制,以實現(xiàn)網(wǎng)絡從二層到七層 的立體安全控制。在新興的應用層安全功能中,防病毒功能有著非常重要的地位,安全網(wǎng)關(guān) 需要對經(jīng)過安全網(wǎng)關(guān)的FTP,HTTP, P0P3, SMTP, IMAP等流量進行實時病毒掃描,對比文件中 的內(nèi)容和防病毒庫中存儲的特征碼,并對含有病毒的文件進行相關(guān)處理,如果傳輸?shù)奈募?是某種壓縮格式的文件,則病毒掃描模塊需要將文件進行壓縮,掃描其中所有的文件,以實 現(xiàn)全面的殺毒功能。安全網(wǎng)關(guān)殺毒是CPU密集型動作,如果數(shù)據(jù)流量較大,防病毒模塊會占 用比較多的處理器時間和內(nèi)存,將不可避免的對整個系統(tǒng)的其他功能產(chǎn)生一定的影響,降 低系統(tǒng)的使用效能。為了提高安全網(wǎng)關(guān)殺毒的能力,一般通過將需要進行病毒掃描的流量通過一定的 方式分配到不同的安全網(wǎng)關(guān)集群設備上,以此來提高整個系統(tǒng)的吞吐率。目前主要有兩種 實現(xiàn)方法第一種方法,通過在安全網(wǎng)關(guān)集群上進行多個工作組的劃分,也達到負載均衡的 效果,不同的殺毒流量被強行的發(fā)送到集群中的不同工作組,集群中的每一個工作組在接 收到流量后都會進行處理,從而實現(xiàn)殺毒流量的靜態(tài)負載均衡。采用靜態(tài)負載均衡方式進 行組網(wǎng),安全網(wǎng)關(guān)集群對外表現(xiàn)為多個邏輯設備,上下游設備必須進行復雜的配置。同時流 量不能根據(jù)安全網(wǎng)關(guān)集群中的每個設備的狀態(tài)進行負載均衡,只能按照定義好的策略進行 流量發(fā)送。同時集群中的安全網(wǎng)關(guān)設備對于接收到的流量不能進行選擇性的處理,只要上 下游設備發(fā)送過來就必須處理。第二種方法,通過在網(wǎng)絡中添加專用負載均衡設備,可以達到動態(tài)的負載均衡效 果。利用專用設備的高層協(xié)議識別與流量動態(tài)均衡能力,可以根據(jù)流量以及安全網(wǎng)關(guān)集群 設備的狀態(tài)來實現(xiàn)殺毒流量的動態(tài)負載均衡。基于專用負載均衡設備的動態(tài)負載均衡方案 缺點也很明顯,一般的專用負載均衡設備非常昂貴,同時如果要排除網(wǎng)絡中的單點故障,必 須以雙機熱備的模式進行網(wǎng)絡搭建,導致在擴大了投入的同時浪費了負載均衡備份安全網(wǎng) 關(guān)以及安全網(wǎng)關(guān)集群備份安全網(wǎng)關(guān)的系統(tǒng)資源。
發(fā)明內(nèi)容
鑒于上述的分析,本發(fā)明旨在提供一種安全網(wǎng)關(guān)集群防病毒的方法及系統(tǒng),用以 解決現(xiàn)有技術(shù)中存在的通過將需要進行病毒掃描的流量通過一定的方式分配到不同的安 全網(wǎng)關(guān)集群設備上所帶來的諸多問題。
本發(fā)明的目的主要是通過以下技術(shù)方案實現(xiàn)的本發(fā)明提供了一種實現(xiàn)安全網(wǎng)關(guān)集群防病毒的方法,包括安全網(wǎng)關(guān)集群預先在多個安全網(wǎng)關(guān)設備中選舉其中一個作為主安全網(wǎng)關(guān),其他作 為備份安全網(wǎng)關(guān);所述主安全網(wǎng)關(guān)對接收到的數(shù)據(jù)流進行識別,識別出需要進行殺毒的數(shù)據(jù)流,并 且通過查詢集群狀態(tài)數(shù)據(jù)庫和采用預定負載均衡策略將需要進行殺毒的數(shù)據(jù)流發(fā)送到其 選定的備份安全網(wǎng)關(guān)上;所述選定的備份安全網(wǎng)關(guān)將接收到的需要進行殺毒的數(shù)據(jù)流進行殺毒處理,并將 經(jīng)過殺毒處理的數(shù)據(jù)流封裝成數(shù)據(jù)包后發(fā)送給所述主安全網(wǎng)關(guān);所述主安全網(wǎng)關(guān)在接收到所述選定的備份安全網(wǎng)關(guān)發(fā)送的經(jīng)殺毒處理的數(shù)據(jù)包 后,對所述數(shù)據(jù)包進行解封裝,然后按正常處理流程對所述數(shù)據(jù)包進行轉(zhuǎn)發(fā)。進一步地,所述安全網(wǎng)關(guān)集群預先在多個安全網(wǎng)關(guān)設備中選舉其中一個作為主安 全網(wǎng)關(guān),其他作為備份安全網(wǎng)關(guān)的步驟具體包括所述安全網(wǎng)關(guān)集群根據(jù)設定的安全網(wǎng)關(guān)設備優(yōu)先級選舉其中一個作為主安全網(wǎng) 關(guān),其他作為備份安全網(wǎng)關(guān);并且所述安全網(wǎng)關(guān)集群還用于對安全網(wǎng)關(guān)設備的每一個監(jiān)控 接口進行權(quán)值設定,在優(yōu)先級一致時,根據(jù)不同的接口權(quán)值進行選擇主安全網(wǎng)關(guān)。進一步地,所述方法還包括當所述安全網(wǎng)關(guān)集群檢測到當前主安全網(wǎng)關(guān)發(fā)生異 常情況不能正常工作后,根據(jù)優(yōu)先級算法在所有備份安全網(wǎng)關(guān)中重新選取一個作為主安全 網(wǎng)關(guān),并進行主安全網(wǎng)關(guān)的遷移處理。進一步地,所述主安全網(wǎng)關(guān)對接收到的數(shù)據(jù)流進行識別,識別出需要進行殺毒的 數(shù)據(jù)流,并且根據(jù)預定負載均衡策略將需要進行殺毒的數(shù)據(jù)流發(fā)送到其選定的備份安全網(wǎng) 關(guān)上的步驟具體包括所述主安全網(wǎng)關(guān)對接收到的數(shù)據(jù)流進行安全規(guī)則匹配,對需要進行殺毒處理的數(shù) 據(jù)流及其連接表進行標記;然后根據(jù)預定負載均衡策略將需要進行殺毒的數(shù)據(jù)流發(fā)送到其 選定的備份安全網(wǎng)關(guān)上進行殺毒處理;其中,所述安全規(guī)則中包含對數(shù)據(jù)流中符合TCP/IP 協(xié)議的IP報文的五元組屬性要求;所述預定負載均衡策略為輪詢算法、權(quán)重輪詢算法或 者動態(tài)輪詢算法。進一步地,所述方法還包括所述主安全網(wǎng)關(guān)實時監(jiān)控安全網(wǎng)關(guān)集群的所有備份 安全網(wǎng)關(guān)的狀態(tài),當確定有某個備份安全網(wǎng)關(guān)失效時,對該備份安全網(wǎng)關(guān)進行屏蔽,并將該 備份安全網(wǎng)關(guān)的工作轉(zhuǎn)移到集群中的其他設備。本發(fā)明還提供了一種實現(xiàn)安全網(wǎng)關(guān)集群防病毒的系統(tǒng),包括多個安全網(wǎng)關(guān)設備 組成的安全網(wǎng)關(guān)集群,其中,所述安全網(wǎng)關(guān)集群,用于預先在多個安全網(wǎng)關(guān)設備中選舉其中一個作為主安全網(wǎng) 關(guān),其他作為備份安全網(wǎng)關(guān);所述主安全網(wǎng)關(guān),用于對接收到的數(shù)據(jù)流進行識別,識別出需要進行殺毒的數(shù)據(jù) 流,并且根據(jù)預定負載均衡策略將需要進行殺毒的數(shù)據(jù)流發(fā)送到其選定的備份安全網(wǎng)關(guān) 上;并且所述主安全網(wǎng)關(guān)還用于在接收到所述選定的備份安全網(wǎng)關(guān)發(fā)送的經(jīng)殺毒處理的數(shù) 據(jù)包后,對數(shù)據(jù)包進行解封裝,然后按正常處理流程對所述數(shù)據(jù)包進行轉(zhuǎn)發(fā);所述備份安全網(wǎng)關(guān),用于將接收到的需要進行殺毒的數(shù)據(jù)流進行殺毒處理,并將經(jīng)過殺毒處理的數(shù)據(jù)流封裝成數(shù)據(jù)包后發(fā)送給所述主安全網(wǎng)關(guān)進行轉(zhuǎn)發(fā)。進一步地,所述安全網(wǎng)關(guān)集群具體用于,根據(jù)設定的安全網(wǎng)關(guān)設備優(yōu)先級選舉其 中一個作為主安全網(wǎng)關(guān),其他作為備份安全網(wǎng)關(guān);并且所述安全網(wǎng)關(guān)集群還用于對安全網(wǎng) 關(guān)設備的每一個監(jiān)控接口進行權(quán)值設定,在優(yōu)先級一致時,根據(jù)不同的接口權(quán)值進行選擇 主安全網(wǎng)關(guān)。進一步地,所述安全網(wǎng)關(guān)集群還用于,當檢測到當前主安全網(wǎng)關(guān)發(fā)生異常情況不 能正常工作后,根據(jù)優(yōu)先級算法在所有備份安全網(wǎng)關(guān)中重新選取一個作為主安全網(wǎng)關(guān),并 進行主安全網(wǎng)關(guān)的遷移處理。進一步地,所述主安全網(wǎng)關(guān)具體包括流量檢測模塊和負載均衡模塊,其中,所述流量檢測模塊,用于對接收到的數(shù)據(jù)流進行安全規(guī)則匹配,對需要進行殺毒 處理的數(shù)據(jù)流及其連接表進行標記;所述安全規(guī)則中包含對數(shù)據(jù)流中符合TCP/IP協(xié)議的 IP報文的五元組屬性要求;所述負載均衡模塊,用于根據(jù)預定負載均衡策略將需要進行殺毒的數(shù)據(jù)流發(fā)送到 其選定的備份安全網(wǎng)關(guān)上進行殺毒處理;所述預定負載均衡策略為輪詢算法、權(quán)重輪詢 算法或者動態(tài)輪詢算法。進一步地,所述主安全網(wǎng)關(guān)還用于,實時監(jiān)控安全網(wǎng)關(guān)集群的所有備份安全網(wǎng)關(guān) 的狀態(tài),當確定有某個備份安全網(wǎng)關(guān)失效時,根據(jù)負載均衡策略將該備份安全網(wǎng)關(guān)上的數(shù) 據(jù)流發(fā)送到其他備份安全網(wǎng)關(guān)上。本發(fā)明有益效果如下本發(fā)明通過安全網(wǎng)關(guān)集群主設備對需要病毒掃描的流量在安全網(wǎng)關(guān)集群間進行 動態(tài)負載均衡,實現(xiàn)集群內(nèi)負載均衡功能。同時當集群中的一臺設備出現(xiàn)故障后,流量會自 動的在集群的剩余設備間進行重新分配,當安全網(wǎng)關(guān)集群的主設備出現(xiàn)故障后,集群可以 自動進行新的主設備選舉,并接管集群負載均衡功能,實現(xiàn)了安全網(wǎng)關(guān)集群的透明性與高 性能的統(tǒng)一,在保持安全網(wǎng)關(guān)集群高可用性的基礎上,通過有效的動態(tài)負載均衡機制,提升 了安全網(wǎng)關(guān)集群的整體資源利用率。同時安全網(wǎng)關(guān)集群具有很好的伸縮性和擴展性,可在 不改變網(wǎng)絡拓撲的條件下,通過簡單增加新的安全網(wǎng)關(guān)來提升安全網(wǎng)關(guān)殺毒的吞吐率。本發(fā)明的其他特征和優(yōu)點將在隨后的說明書中闡述,并且從說明書中變得顯而易 見,或者通過實施本發(fā)明而了解。本發(fā)明的目的和其他優(yōu)點可通過在所寫的說明書、權(quán)利要 求書、以及附圖中所特別指出的結(jié)構(gòu)來實現(xiàn)和獲得。
圖1為本發(fā)明所述方法的流程示意圖;圖2為本發(fā)明所述方法實例中的一個安全網(wǎng)關(guān)集群的拓撲結(jié)構(gòu)示意圖;圖3為本發(fā)明所述系統(tǒng)的結(jié)構(gòu)示意圖。
具體實施例方式下面結(jié)合附圖來具體描述本發(fā)明的優(yōu)選實施例,其中,附圖構(gòu)成本申請一部分,并 與本發(fā)明的實施例一起用于闡釋本發(fā)明的原理。為了清楚和簡化目的,當其可能使本發(fā)明 的主題模糊不清時,將省略本文所描述的器件中已知功能和結(jié)構(gòu)的詳細具體說明。
首先結(jié)合附圖1對本發(fā)明所述方法進行詳細說明。如圖1所示,圖1為本發(fā)明所述方法的流程示意圖,具體可以包括如下步驟步驟101 安全網(wǎng)關(guān)集群預先在多個安全網(wǎng)關(guān)設備中選舉其中一個作為主安全網(wǎng) 關(guān),其他作為備份安全網(wǎng)關(guān);具體的說就是,由于要實現(xiàn)病毒掃描(AV)流量在安全網(wǎng)關(guān)集 群內(nèi)進行負載均衡功能,并且支持安全網(wǎng)關(guān)集群透明接入上下游網(wǎng)絡環(huán)境,安全網(wǎng)關(guān)集群 必須在內(nèi)部選舉出一個主安全網(wǎng)關(guān)負責與上下游網(wǎng)絡環(huán)境進行流量的交互處理,其他的做 為備份安全網(wǎng)關(guān)只與主安全網(wǎng)關(guān)通信,與上下游環(huán)境保持透明關(guān)系;其中,選舉過程具體包括安全網(wǎng)關(guān)集群根據(jù)設定的設備優(yōu)先級選擇主安全網(wǎng)關(guān) 與備份安全網(wǎng)關(guān),優(yōu)先級高的為主安全網(wǎng)關(guān),其余為備份安全網(wǎng)關(guān)。同時可以對安全網(wǎng)關(guān)的 每一個監(jiān)控接口進行權(quán)值設定,權(quán)值越大代表這個接口的可用性越高,在設備優(yōu)先級一致 的情況下,安全網(wǎng)關(guān)集群可以根據(jù)不同的接口權(quán)值進行主安全網(wǎng)關(guān)的選舉;步驟102 主安全網(wǎng)關(guān)對接收到的數(shù)據(jù)流進行識別,識別出需要進行殺毒的數(shù)據(jù) 流,并且根據(jù)預定負載均衡策略將需要進行殺毒的數(shù)據(jù)流發(fā)送到其選定的備份安全網(wǎng)關(guān) 上;具體的說就是,在數(shù)據(jù)包進入主安全網(wǎng)關(guān)后首先進行安全規(guī)則匹配,安全規(guī)則中包含對 數(shù)據(jù)包中符合TCP/IP協(xié)議的IP報文的五元組屬性要求,同時安全規(guī)則中還包含有需要對 數(shù)據(jù)包進行的殺毒策略。數(shù)據(jù)包在匹配了一條安全規(guī)則后則不再繼續(xù)進行其他安全規(guī)則的 匹配,相匹配的安全策略會對需要進行防病毒處理的數(shù)據(jù)流及其連接表進行標記;然后通 過查詢集群狀態(tài)數(shù)據(jù)庫以及動態(tài)負載均衡策略確定數(shù)據(jù)包被發(fā)送到集群中的哪個備份安 全網(wǎng)關(guān)上,通過安全網(wǎng)關(guān)集群專用的心跳接口將數(shù)據(jù)包封裝,發(fā)送到相應的備份安全網(wǎng)關(guān); 安全網(wǎng)關(guān)集群狀態(tài)數(shù)據(jù)庫數(shù)據(jù)記錄了整個集群的狀態(tài)信息,狀態(tài)信息包含集群中每個成員 設備的CPU利用率,內(nèi)存利用率,連接數(shù)大小,接口狀態(tài)信息,設備優(yōu)先級信息,病毒庫信息 等。在連接表被標記后,所有匹配這條連接的后續(xù)報文都會被主安全網(wǎng)關(guān)發(fā)送到相同的備 份安全網(wǎng)關(guān)進行處理,在進行流量負載均衡的同時,保證同一個流之間的數(shù)據(jù)包被指派到 同一個備份安全網(wǎng)關(guān)上,保證服務和數(shù)據(jù)的一致性;步驟103 備份安全網(wǎng)關(guān)將接收到的需要進行殺毒的數(shù)據(jù)流進行殺毒處理,并將 經(jīng)過殺毒處理的數(shù)據(jù)流封裝成數(shù)據(jù)包后發(fā)送給主安全網(wǎng)關(guān);具體的說就是,備份安全網(wǎng)關(guān) 接收到心跳口傳送過來的數(shù)據(jù)包后,對數(shù)據(jù)包進行解封裝后進行病毒掃描處理,并將病毒 掃描(AV)后的流量進行重新封裝后通過備份安全網(wǎng)關(guān)的心跳口將流量發(fā)送回主安全網(wǎng) 關(guān);步驟104 主安全網(wǎng)關(guān)接收到備份安全網(wǎng)關(guān)發(fā)送的經(jīng)殺毒處理的數(shù)據(jù)包后,對數(shù) 據(jù)包進行解封裝,然后按正常處理流程對數(shù)據(jù)包進行轉(zhuǎn)發(fā)。本發(fā)明所述方法還包括當安全網(wǎng)關(guān)集群檢測到主安全網(wǎng)關(guān)發(fā)生異常情況不能正常工作后(設備硬件故 障,監(jiān)控接口故障,監(jiān)控軟件故障),會根據(jù)優(yōu)先級算法在安全網(wǎng)關(guān)集群設備間進行主安全 網(wǎng)關(guān)的遷移工作;主安全網(wǎng)關(guān)遷移后,新的主安全網(wǎng)關(guān)接管整個安全網(wǎng)關(guān)集群對外的所有 功能,同時根據(jù)安全網(wǎng)關(guān)集群狀態(tài)數(shù)據(jù)庫負責對接收的流量進行負載均衡的工作。并且,主安全網(wǎng)關(guān)實時監(jiān)控集群中其他設備狀態(tài),當有備份安全網(wǎng)關(guān)失效后可以 實時調(diào)整負載均衡策略,對該備份安全網(wǎng)關(guān)進行屏蔽,并將該備份安全網(wǎng)關(guān)的工作轉(zhuǎn)移到 集群中的其他設備;具體的說就是,一旦主安全網(wǎng)關(guān)檢測到集群中有失效的備份安全網(wǎng)關(guān),
7會立即將其屏蔽,并通知安全網(wǎng)關(guān)集群中的其他設備更新本地的安全網(wǎng)關(guān)集群狀態(tài)數(shù)據(jù) 庫,使其不再參與集群的運算和負載均衡,并將工作轉(zhuǎn)移到集群中的其他設備;并且如果主 安全網(wǎng)關(guān)檢測到集群中的一臺設備暫時無法工作,則再檢測兩次,除非全都失敗才認為該 設備失效,從而保證不會因為單臺安全網(wǎng)關(guān)設備暫時忙而對其進行錯誤屏蔽,導致中斷正 常連接從而降低整個安全網(wǎng)關(guān)集群的效率。安全網(wǎng)關(guān)集群中的其他備份節(jié)點除了處理主安全網(wǎng)關(guān)分配的流量外,也會和其他 設備進行內(nèi)部狀態(tài)檢測,通過監(jiān)控主安全網(wǎng)關(guān)的運行狀況,確保集群中的每一個設備都有 一個統(tǒng)一的安全網(wǎng)關(guān)集群狀態(tài)數(shù)據(jù)庫,可以在主安全網(wǎng)關(guān)失效時立刻進行新的主安全網(wǎng)關(guān) 選舉,避免主安全網(wǎng)關(guān)單點故障。在本發(fā)明中,安全網(wǎng)關(guān)集群負載均衡策略可以為RR(Roimd Robin,輪詢)算法、 WRR(ffeight Round Robin,權(quán)重輪詢)算法或者 DRR(Dynamic RoundRobin,動態(tài)輪詢)算 法,具體說明如下RR算法最簡單也最容易實現(xiàn)的一種方法。在整個安全網(wǎng)關(guān)集群中,每個安全網(wǎng) 關(guān)節(jié)點都具有相同的地位,算法在安全網(wǎng)關(guān)集群中的每一個節(jié)點循環(huán)輪轉(zhuǎn)選擇,集群中的 每個節(jié)點都在相同的地位下被輪流選擇。這種方法的優(yōu)點是簡單,減少集群系統(tǒng)之間的的 通信,節(jié)約系統(tǒng)資源,適用于集群中所有節(jié)點處理能力和性能都相同的情況。WRR算法在輪詢算法的基礎上加入了權(quán)重的概念,可以為集群中的每一個設備 添加一個權(quán)重值,當系統(tǒng)執(zhí)行輪詢算法的時候可以根據(jù)不同的權(quán)重值判斷集群中節(jié)點的不 同地位,從而分配相應的流量??梢愿鶕?jù)不同設備不同的處理能力設定不同的權(quán)值,處理能 力高的設備可以被分配到更多的流量。DRR算法由于網(wǎng)絡流量分布式與安全網(wǎng)關(guān)設備工作狀態(tài)的不確定性,靜態(tài)均衡 算法不能根據(jù)負載和設備本身的狀態(tài)對流量進行調(diào)整,本質(zhì)上不能保證真正的負載均衡, 這時就要采用動態(tài)負載均衡的方案。整個安全網(wǎng)關(guān)集群的狀態(tài)數(shù)據(jù)庫會定期更新,當主安 全網(wǎng)關(guān)進行數(shù)據(jù)負載均衡的時候,會根據(jù)集群狀態(tài)數(shù)據(jù)庫動態(tài)調(diào)整負載均衡機制,當檢測 到了一個設備處理能力下降或是不能正常工作后,會減少發(fā)向該設備的流量,將多余流量 負載均衡到集群中的其他設備上。安全網(wǎng)關(guān)集群中的每一個設備都會建立一個統(tǒng)一的集群 狀態(tài)數(shù)據(jù)庫。該數(shù)據(jù)庫包含有安全網(wǎng)關(guān)集群中每一個設備的連接狀態(tài)信息,接口狀態(tài)信息, CPU狀態(tài)信息,內(nèi)存狀態(tài)信息,設備權(quán)重信息等。每個集群設備的狀態(tài)信息自動推送到安全 網(wǎng)關(guān)集群中,集群中其他的設備在收到其他設備的狀態(tài)信息后會實時更新自己的集群狀態(tài) 數(shù)據(jù)庫信息。安全網(wǎng)關(guān)集群內(nèi)的每一個節(jié)點組成互相監(jiān)控相互備份的集群系統(tǒng),實現(xiàn)集群 內(nèi)部數(shù)據(jù)的一致性。 安全網(wǎng)關(guān)集群狀態(tài)數(shù)據(jù)庫需要維護兩張表,一張為發(fā)送者表,一張為接收者表,發(fā) 送者表中數(shù)據(jù)表明對應安全網(wǎng)關(guān)集群節(jié)點負載大于其閾值需要遷移任務,接收者表中記錄 表明對應節(jié)點負載小于其閾值可以接受新的任務。每張表中的內(nèi)容通過集群間的狀態(tài)信息 進行實時更新,確保安全網(wǎng)關(guān)集群中的主安全網(wǎng)關(guān)可以根據(jù)表中的實時信息進行流量的動 態(tài)負載均衡。 動態(tài)輪詢算法不再簡單的遍歷集群中的每一個設備或是根據(jù)靜態(tài)的權(quán)重值進行 負載的分配,會根據(jù)不同節(jié)點的工作狀態(tài)動態(tài)調(diào)整到相應節(jié)點的流量,當一個節(jié)點處理能 力下降后,會將流量動態(tài)的負載到其他可用設備上。
為了進一步理解本發(fā)明所述方法,下面將舉個具體的實例進行說明。如圖2所示,圖2為一個安全網(wǎng)關(guān)集群的拓撲結(jié)構(gòu)示意圖,包括防火墻A、防火墻 B、防火墻C和防火墻D組成一個安全網(wǎng)關(guān)集群,該集群通過SWITCH-I和SWITCH-2接入網(wǎng) 絡環(huán)境,集群對外表現(xiàn)為一臺獨立的邏輯設備,對外只有一個IP地址,網(wǎng)絡中的其他設備 不用關(guān)心集群內(nèi)設備的個數(shù)以及組網(wǎng)情況。集群內(nèi)的安全網(wǎng)關(guān)通過SWITCH-3將各自的心 跳口進行連接,通過集群優(yōu)先級算法選舉出A為主安全網(wǎng)關(guān),其他設備為備份安全網(wǎng)關(guān)。上 下游設備發(fā)送到集群的流量都會被送到主安全網(wǎng)關(guān)A上,A安全網(wǎng)關(guān)對接收的流量進行分 析識別,對需要病毒掃描(AV)的流量根據(jù)動態(tài)負載均衡策略通過專用接口發(fā)送到相應的 備份安全網(wǎng)關(guān)。下面結(jié)合附圖3對本發(fā)明所述系統(tǒng)進行詳細說明。如圖3所示,圖3為本發(fā)明實施例所述系統(tǒng)的結(jié)構(gòu)示意圖,具體可以包括包含多 個安全網(wǎng)關(guān)的安全網(wǎng)關(guān)集群、主安全網(wǎng)關(guān)以及備份安全網(wǎng)關(guān),為了能夠進行主備設備間的 無縫切換,需要在集群中的每一個安全網(wǎng)關(guān)都應該有相同的安全策略,病毒庫以及連接表 信息,這些信息在集群的工作過程中可以自動的在集群間進行同步,確保切換后對流量有 一致的處理行為。(—)安全網(wǎng)關(guān)集群,包括多個安全網(wǎng)關(guān)設備,對外表現(xiàn)為一個邏輯上獨立的安 全網(wǎng)關(guān),主要負責在多個安全網(wǎng)關(guān)設備中選舉其中一個作為主安全網(wǎng)關(guān),其他作為備份安 全網(wǎng)關(guān);具體的說就是,由于要實現(xiàn)病毒掃描(AV)流量在安全網(wǎng)關(guān)集群內(nèi)進行負載均衡功 能,并且支持安全網(wǎng)關(guān)集群透明接入上下游網(wǎng)絡環(huán)境,安全網(wǎng)關(guān)集群必須在內(nèi)部選舉出一 個主安全網(wǎng)關(guān)負責與上下游網(wǎng)絡環(huán)境進行流量的交互處理,其他的做為備份安全網(wǎng)關(guān)只與 主安全網(wǎng)關(guān)通信,與上下游環(huán)境保持透明關(guān)系;其中,選舉過程具體包括安全網(wǎng)關(guān)集群根 據(jù)設定的設備優(yōu)先級選擇主安全網(wǎng)關(guān)與備份安全網(wǎng)關(guān),優(yōu)先級高的為主安全網(wǎng)關(guān),其余為 備份安全網(wǎng)關(guān)。同時可以對安全網(wǎng)關(guān)的每一個監(jiān)控接口進行權(quán)值設定,權(quán)值越大代表這個 接口的可用性越高,在設備優(yōu)先級一致的情況下,安全網(wǎng)關(guān)集群可以根據(jù)不同的接口權(quán)值 進行主安全網(wǎng)關(guān)的選舉;并且,當安全網(wǎng)關(guān)集群檢測到主安全網(wǎng)關(guān)發(fā)生異常情況不能正常 工作后(設備硬件故障,監(jiān)控接口故障,監(jiān)控軟件故障),會根據(jù)優(yōu)先級算法在安全網(wǎng)關(guān)集 群設備間進行主安全網(wǎng)關(guān)的遷移工作;主安全網(wǎng)關(guān)遷移后,新的主安全網(wǎng)關(guān)接管整個安全 網(wǎng)關(guān)集群對外的所有功能,同時根據(jù)安全網(wǎng)關(guān)集群狀態(tài)數(shù)據(jù)庫負責對接收的流量進行負載 均衡的工作。(二)主安全網(wǎng)關(guān),用于主安全網(wǎng)關(guān)主要負責整個安全網(wǎng)關(guān)集群流量的負載均衡 工作,并且作為經(jīng)過安全網(wǎng)關(guān)集群流量的唯一出入口,所有由備份安全網(wǎng)關(guān)處理的流量最 后還需要通過主安全網(wǎng)關(guān)進行發(fā)送;具體的說就是,對接收到的數(shù)據(jù)流進行識別,識別出需 要進行殺毒的數(shù)據(jù)流,并且根據(jù)預定負載均衡策略將需要進行殺毒的數(shù)據(jù)流發(fā)送到其選定 的備份安全網(wǎng)關(guān)上;并且在接收到備份安全網(wǎng)關(guān)發(fā)送的經(jīng)殺毒處理的數(shù)據(jù)包后,對數(shù)據(jù)包 進行解封裝,然后按正常處理流程進行數(shù)據(jù)包的轉(zhuǎn)發(fā);主安全網(wǎng)關(guān)具體可以包括流量檢測模塊和負載均衡模塊,其中,流量檢測模塊,用于對接收到的數(shù)據(jù)流進行安全規(guī)則匹配,安全規(guī)則中包含對數(shù) 據(jù)包中符合TCP/IP協(xié)議的IP報文的五元組屬性要求,對需要進行防病毒處理的流量及其 連接表進行標記;
負載均衡模塊,用于通過查詢集群狀態(tài)數(shù)據(jù)庫以及動態(tài)負載均衡策略確定數(shù)據(jù)包 被發(fā)送到集群中的哪個備份安全網(wǎng)關(guān)上,通過安全網(wǎng)關(guān)集群專用的心跳接口將數(shù)據(jù)包封 裝,發(fā)送到相應的備份安全網(wǎng)關(guān);所述預定負載均衡策略可以為輪詢算法、權(quán)重輪詢算法 或者動態(tài)輪詢算法;并且,主安全網(wǎng)關(guān)還要實時監(jiān)控安全網(wǎng)關(guān)集群的所有備份安全網(wǎng)關(guān)的狀態(tài),當確 定有某個備份安全網(wǎng)關(guān)失效時,對該備份安全網(wǎng)關(guān)進行屏蔽,并將該備份安全網(wǎng)關(guān)的工作 轉(zhuǎn)移到集群中的其他設備。(三)備份安全網(wǎng)關(guān),用于將接收到的需要進行殺毒的數(shù)據(jù)流進行殺毒處理,并將 經(jīng)過殺毒處理的數(shù)據(jù)流封裝成數(shù)據(jù)包后發(fā)送給主安全網(wǎng)關(guān)進行轉(zhuǎn)發(fā);具體的說就是,備份 安全網(wǎng)關(guān)接收到心跳口傳送過來的數(shù)據(jù)包后,對數(shù)據(jù)包進行解封裝后進行病毒掃描處理, 并將病毒掃描(AV)后的流量進行重新封裝后通過備份安全網(wǎng)關(guān)的心跳口將流量發(fā)送回主 安全網(wǎng)關(guān);同時,備份設備也必須監(jiān)控整個集群的狀態(tài),以便在當前主安全網(wǎng)關(guān)失效、重新 選舉主安全網(wǎng)關(guān)后,新產(chǎn)生的主安全網(wǎng)關(guān)可以實時接管對整個集群的功能。綜上所述,本發(fā)明提供了一種安全網(wǎng)關(guān)集群防病毒的方法及系統(tǒng),安全網(wǎng)關(guān)集群 對外表現(xiàn)為一個邏輯上獨立的安全網(wǎng)關(guān),在集群內(nèi)部通過專有算法進行主安全網(wǎng)關(guān)選舉, 選舉出來的主安全網(wǎng)關(guān)會對集群中的其他設備進行狀態(tài)檢查與關(guān)鍵信息同步等工作,集群 中的其他設備為備份安全網(wǎng)關(guān)。除主安全網(wǎng)關(guān)外,集群中的備份安全網(wǎng)關(guān)也監(jiān)控整個集群 的狀態(tài)信息,在檢測到主安全網(wǎng)關(guān)失效后,可以自動進行新的主安全網(wǎng)關(guān)選舉,由于之前備 份安全網(wǎng)關(guān)也進行了整個集群的狀態(tài)檢測,在新選舉的主安全網(wǎng)關(guān)上可以做到對需要病毒 掃描(AV)流量的無縫負載均衡。主安全網(wǎng)關(guān)負責與外界環(huán)境進行通信,備份安全網(wǎng)關(guān)只負 責處理主墻發(fā)送的流量,所有備份安全網(wǎng)關(guān)處理后的流量都通過專有通道由主安全網(wǎng)關(guān)進 行重新轉(zhuǎn)發(fā),確保整個集群透明接入網(wǎng)絡。本發(fā)明實現(xiàn)了在安全網(wǎng)關(guān)集群內(nèi)對病毒掃描(AV)流量的動態(tài)負載均衡,解決了 安全網(wǎng)關(guān)集群靜態(tài)負載均衡方式接入網(wǎng)絡復雜,靈活性低以及在網(wǎng)絡中使用專用負載均衡 設備投入大,資源浪費等問題。新的系統(tǒng)模型有方案性價比高、易于實現(xiàn)、系統(tǒng)強健、安全性 和可管理性強的優(yōu)點。在現(xiàn)有的網(wǎng)絡結(jié)構(gòu)基礎之上提供一種廉價,有效,透明的方法,來提 升安全網(wǎng)關(guān)集群設備利用率和病毒掃描流量吞吐率。以上所述,僅為本發(fā)明較佳的具體實施方式
,但本發(fā)明的保護范圍并不局限于此, 任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi),可輕易想到的變化或替換, 都應涵蓋在本發(fā)明的保護范圍之內(nèi)。因此,本發(fā)明的保護范圍應該以權(quán)利要求書的保護范 圍為準。
10
權(quán)利要求
一種實現(xiàn)安全網(wǎng)關(guān)集群防病毒的方法,其特征在于,包括安全網(wǎng)關(guān)集群預先在多個安全網(wǎng)關(guān)設備中選舉其中一個作為主安全網(wǎng)關(guān),其他作為備份安全網(wǎng)關(guān);所述主安全網(wǎng)關(guān)對接收到的數(shù)據(jù)流進行識別,識別出需要進行殺毒的數(shù)據(jù)流,并且通過查詢集群狀態(tài)數(shù)據(jù)庫和采用預定負載均衡策略將需要進行殺毒的數(shù)據(jù)流發(fā)送到其選定的備份安全網(wǎng)關(guān)上;所述選定的備份安全網(wǎng)關(guān)將接收到的需要進行殺毒的數(shù)據(jù)流進行殺毒處理,并將經(jīng)過殺毒處理的數(shù)據(jù)流封裝成數(shù)據(jù)包后發(fā)送給所述主安全網(wǎng)關(guān);所述主安全網(wǎng)關(guān)在接收到所述選定的備份安全網(wǎng)關(guān)發(fā)送的經(jīng)殺毒處理的數(shù)據(jù)包后,對所述數(shù)據(jù)包進行解封裝,然后按正常處理流程對所述數(shù)據(jù)包進行轉(zhuǎn)發(fā)。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述安全網(wǎng)關(guān)集群預先在多個安全網(wǎng)關(guān) 設備中選舉其中一個作為主安全網(wǎng)關(guān),其他作為備份安全網(wǎng)關(guān)的步驟具體包括所述安全網(wǎng)關(guān)集群根據(jù)設定的安全網(wǎng)關(guān)設備優(yōu)先級選舉其中一個作為主安全網(wǎng)關(guān),其 他作為備份安全網(wǎng)關(guān);并且所述安全網(wǎng)關(guān)集群還用于對安全網(wǎng)關(guān)設備的每一個監(jiān)控接口進 行權(quán)值設定,在優(yōu)先級一致時,根據(jù)不同的接口權(quán)值進行選擇主安全網(wǎng)關(guān)。
3.根據(jù)權(quán)利要求1或2所述的方法,其特征在于,所述方法還包括當所述安全網(wǎng)關(guān)集 群檢測到當前主安全網(wǎng)關(guān)發(fā)生異常情況不能正常工作后,根據(jù)優(yōu)先級算法在所有備份安全 網(wǎng)關(guān)中重新選取一個作為主安全網(wǎng)關(guān),并進行主安全網(wǎng)關(guān)的遷移處理。
4.根據(jù)權(quán)利要求1或2所述的方法,其特征在于,所述主安全網(wǎng)關(guān)對接收到的數(shù)據(jù)流進 行識別,識別出需要進行殺毒的數(shù)據(jù)流,并且根據(jù)預定負載均衡策略將需要進行殺毒的數(shù) 據(jù)流發(fā)送到其選定的備份安全網(wǎng)關(guān)上的步驟具體包括所述主安全網(wǎng)關(guān)對接收到的數(shù)據(jù)流進行安全規(guī)則匹配,對需要進行殺毒處理的數(shù)據(jù)流 及其連接表進行標記;然后根據(jù)預定負載均衡策略將需要進行殺毒的數(shù)據(jù)流發(fā)送到其選定 的備份安全網(wǎng)關(guān)上進行殺毒處理;其中,所述安全規(guī)則中包含對數(shù)據(jù)流中符合TCP/IP協(xié)議 的IP報文的五元組屬性要求;所述預定負載均衡策略為輪詢算法、權(quán)重輪詢算法或者動 態(tài)輪詢算法。
5.根據(jù)權(quán)利要求1或2所述的方法,其特征在于,所述方法還包括所述主安全網(wǎng)關(guān)實 時監(jiān)控安全網(wǎng)關(guān)集群的所有備份安全網(wǎng)關(guān)的狀態(tài),當確定有某個備份安全網(wǎng)關(guān)失效時,對 該備份安全網(wǎng)關(guān)進行屏蔽,并將該備份安全網(wǎng)關(guān)的工作轉(zhuǎn)移到集群中的其他設備。
6.一種實現(xiàn)安全網(wǎng)關(guān)集群防病毒的系統(tǒng),其特征在于,包括多個安全網(wǎng)關(guān)設備組成 的安全網(wǎng)關(guān)集群,其中,所述安全網(wǎng)關(guān)集群,用于預先在多個安全網(wǎng)關(guān)設備中選舉其中一個作為主安全網(wǎng)關(guān), 其他作為備份安全網(wǎng)關(guān);所述主安全網(wǎng)關(guān),用于對接收到的數(shù)據(jù)流進行識別,識別出需要進行殺毒的數(shù)據(jù)流,并 且根據(jù)預定負載均衡策略將需要進行殺毒的數(shù)據(jù)流發(fā)送到其選定的備份安全網(wǎng)關(guān)上;并且 所述主安全網(wǎng)關(guān)還用于在接收到所述選定的備份安全網(wǎng)關(guān)發(fā)送的經(jīng)殺毒處理的數(shù)據(jù)包后, 對數(shù)據(jù)包進行解封裝,然后按正常處理流程對所述數(shù)據(jù)包進行轉(zhuǎn)發(fā);所述備份安全網(wǎng)關(guān),用于將接收到的需要進行殺毒的數(shù)據(jù)流進行殺毒處理,并將經(jīng)過 殺毒處理的數(shù)據(jù)流封裝成數(shù)據(jù)包后發(fā)送給所述主安全網(wǎng)關(guān)進行轉(zhuǎn)發(fā)。
7.根據(jù)權(quán)利要求6所述的系統(tǒng),其特征在于,所述安全網(wǎng)關(guān)集群具體用于,根據(jù)設定的 安全網(wǎng)關(guān)設備優(yōu)先級選舉其中一個作為主安全網(wǎng)關(guān),其他作為備份安全網(wǎng)關(guān);并且所述安 全網(wǎng)關(guān)集群還用于對安全網(wǎng)關(guān)設備的每一個監(jiān)控接口進行權(quán)值設定,在優(yōu)先級一致時,根 據(jù)不同的接口權(quán)值進行選擇主安全網(wǎng)關(guān)。
8.根據(jù)權(quán)利要求6或7所述的系統(tǒng),其特征在于,所述安全網(wǎng)關(guān)集群還用于,當檢測到 當前主安全網(wǎng)關(guān)發(fā)生異常情況不能正常工作后,根據(jù)優(yōu)先級算法在所有備份安全網(wǎng)關(guān)中重 新選取一個作為主安全網(wǎng)關(guān),并進行主安全網(wǎng)關(guān)的遷移處理。
9.根據(jù)權(quán)利要求6或7所述的系統(tǒng),其特征在于,所述主安全網(wǎng)關(guān)具體包括流量檢測 模塊和負載均衡模塊,其中,所述流量檢測模塊,用于對接收到的數(shù)據(jù)流進行安全規(guī)則匹配,對需要進行殺毒處理 的數(shù)據(jù)流及其連接表進行標記;所述安全規(guī)則中包含對數(shù)據(jù)流中符合TCP/IP協(xié)議的IP報 文的五元組屬性要求;所述負載均衡模塊,用于根據(jù)預定負載均衡策略將需要進行殺毒的數(shù)據(jù)流發(fā)送到其選 定的備份安全網(wǎng)關(guān)上進行殺毒處理;所述預定負載均衡策略為輪詢算法、權(quán)重輪詢算法 或者動態(tài)輪詢算法。
10.根據(jù)權(quán)利要求6或7所述的系統(tǒng),其特征在于,所述主安全網(wǎng)關(guān)還用于,實時監(jiān)控安 全網(wǎng)關(guān)集群的所有備份安全網(wǎng)關(guān)的狀態(tài),當確定有某個備份安全網(wǎng)關(guān)失效時,根據(jù)負載均 衡策略將該備份安全網(wǎng)關(guān)上的數(shù)據(jù)流發(fā)送到其他備份安全網(wǎng)關(guān)上。
全文摘要
本發(fā)明公開了一種實現(xiàn)安全網(wǎng)關(guān)集群防病毒的方法及系統(tǒng),其中方法包括安全網(wǎng)關(guān)集群預先在多個安全網(wǎng)關(guān)設備中選舉其中一個作為主安全網(wǎng)關(guān),其他作為備份安全網(wǎng)關(guān);主安全網(wǎng)關(guān)識別出需要進行殺毒的數(shù)據(jù)流,通過查詢集群狀態(tài)數(shù)據(jù)庫和預定負載均衡策略將需要進行殺毒的數(shù)據(jù)流發(fā)送到備份安全網(wǎng)關(guān)上;備份安全網(wǎng)關(guān)將接收到的需要進行殺毒的數(shù)據(jù)流進行殺毒處理,并將經(jīng)過處理的數(shù)據(jù)流封裝后發(fā)送給主安全網(wǎng)關(guān);主安全網(wǎng)關(guān)對經(jīng)殺毒處理的數(shù)據(jù)包進行解封裝并轉(zhuǎn)發(fā);本發(fā)明實現(xiàn)了安全網(wǎng)關(guān)集群的透明性與高性能的統(tǒng)一,在保持安全網(wǎng)關(guān)集群高可用性的基礎上,通過有效的動態(tài)負載均衡機制,提升了安全網(wǎng)關(guān)集群的整體資源利用率。
文檔編號H04L12/56GK101909067SQ201010263358
公開日2010年12月8日 申請日期2010年8月26日 優(yōu)先權(quán)日2010年8月26日
發(fā)明者范雪儉 申請人:北京天融信科技有限公司