集群防火墻的管理方法和系統(tǒng)的制作方法
【專利摘要】本發(fā)明公開了一種集群防火墻的管理方法和系統(tǒng),其中,該管理方法包括:對于集群防火墻中的每個防火墻以及與該防火墻存在備用關系的備用防火墻分配任務,以便每個防火墻根據(jù)接收的任務生成各自的鏈表;每個防火墻根據(jù)各自的鏈表進行工作,并且,每個防火墻將其鏈表同步至與該防火墻存在備用關系的備用防火墻,其中,集群防火墻中出現(xiàn)異常防火墻時,該異常防火墻的備用防火墻利用借助同步得到的異常防火墻的鏈表,接替異常防火墻的任務。本發(fā)明通過將任務分配到多個防火墻進行處理能夠提高防火墻系統(tǒng)的性能,并且通過在集群防火墻中出現(xiàn)異常防火墻時,該異常防火墻的備用防火墻能接替其任務,避免了出現(xiàn)單點故障的情況。
【專利說明】集群防火墻的管理方法和系統(tǒng)
【技術領域】
[0001]本發(fā)明涉及計算機中的系統(tǒng)防火墻領域,并且特別地,涉及ー種集群防火墻的管理方法和系統(tǒng)。
【背景技術】
[0002]防火墻(firewall)是ー種訪問控制設備,用來確保網(wǎng)絡信息安全,可以依照特定的規(guī)則,允許或是限制傳輸?shù)臄?shù)據(jù)通過。防火墻可以是一臺專屬的硬件也可以是架設在ー般硬件上的ー套軟件。隨著網(wǎng)絡帶寬的增長,傳統(tǒng)単一的防火墻已經(jīng)成為限制網(wǎng)絡帶寬增長的主要限制瓶頸,極大地制約著網(wǎng)絡的實際應用,同時也降低了網(wǎng)絡性能和可擴展性,主要原因有:
[0003](I)隨著網(wǎng)絡視頻、IPTV和P2P業(yè)務的廣泛應用導致互聯(lián)網(wǎng)絡流量高速增長,防火墻網(wǎng)絡帶寬不夠;
[0004](2)防火墻所能處理的連接數(shù)目有限,無法處理過多用戶的通信需求;
[0005](3)防火墻身兼認證、訪問控制、完整性檢查等多項任務,處理能力有限。
[0006]單ー的防火墻不僅存在性能問題,還存在單點故障的瓶頸問題。為了解決避免單一防火墻所造成的問題,目前大多數(shù)防火墻系統(tǒng)采用雙機熱備的方式設備防火墻系統(tǒng)。雙機熱備系統(tǒng)是由兩臺防火墻及雙機熱備軟件組成,它采用主從工作方式,即一臺防火墻節(jié)點處于活動工作狀態(tài),稱為活動防火墻,另一臺防火墻節(jié)點為備用機,處于熱等待監(jiān)控狀態(tài),或者說,雙機熱備指基于聞可用系統(tǒng)中的兩臺設備的熱備(或聞可用),因兩機聞可在使用較多,故得名雙機熱備,但是雙機熱備的防火墻系統(tǒng)并沒有改變防火墻的單點接入方式。
[0007]針對相關技術中單防火墻接入導致單點故障及性能較低的問題,目前尚未提出有效的解決方案。
【發(fā)明內(nèi)容】
[0008]針對相關技術中單防火墻接入導致單點故障及性能較低的問題,本發(fā)明提出ー種集群防火墻的管理方法和系統(tǒng),能夠?qū)崿F(xiàn)多個防火墻共同處理分配到的任務提高防火墻系統(tǒng)的性能,并且避免了單點故障。
[0009]本發(fā)明的技術方案是這樣實現(xiàn)的:
[0010]根據(jù)本發(fā)明的ー個方面,提供了一種集群防火墻的管理方法。
[0011]該管理方法包括:
[0012]對于集群防火墻中的每個防火墻以及與該防火墻存在備用關系的備用防火墻分配任務,以便每個防火墻根據(jù)接收的任務生成各自的鏈表;
[0013]每個防火墻根據(jù)各自的鏈表進行工作,并且,每個防火墻將其鏈表同步至與該防火墻存在備用關系的備用防火墻,其中,集群防火墻中出現(xiàn)異常防火墻時,該異常防火墻的備用防火墻利用借助同步得到的異常防火墻的鏈表,接替異常防火墻的任務。
[0014]其中,集群防火墻中每個防火墻的性能相同。[0015]此外,該管理方法進ー步包括:
[0016]為每個防火墻預先配置至少一臺備用防火墻。
[0017]進ー步地,集群防火墻中出現(xiàn)異常防火墻時,該異常防火墻的備用防火墻利用借助同步得到的異常防火墻的鏈表,接替異常防火墻的任務包括:
[0018]根據(jù)異常防火墻的備用防火墻的數(shù)量劃分異常防火墻的任務;
[0019]將劃分后的任務切換到與異常防火墻的備用防火墻。
[0020]此外,該管理方法進ー步包括:
[0021]以預定周期檢測每個防火墻是否處于工作狀態(tài)。
[0022]優(yōu)選地,上述集群防火墻設備用于龍芯架構。
[0023]根據(jù)本發(fā)明的另ー個方面,提供了一種集群防火墻的管理系統(tǒng)。
[0024]該管理系統(tǒng)包括:
[0025]任務分配模塊,用于對于集群防火墻中的每個防火墻以及與該防火墻存在備用關系的備用防火墻分配任務,以便每個防火墻根據(jù)接收的任務生成各自的鏈表;
[0026]每個防火墻包括:同步模塊和工作控制模塊,其中,同步模塊用于將每個防火墻的鏈表同步至與該防火墻存在備用關系的備用防火墻;工作控制模塊用于控制所在的防火墻根據(jù)各自的鏈表進行工作,并且用于所在防火墻的主防火墻出現(xiàn)異常吋,根據(jù)該主防火墻的鏈表接替該主防火墻的任務。
[0027]其中,工作控制模塊用于根據(jù)異常防火墻的備用防火墻的數(shù)量劃分異常防火墻的任務;
[0028]工作控制模塊還用于將劃分后的任務切換到與異常防火墻的備用防火墻。
[0029]此外,該管理系統(tǒng)進一歩包括:
[0030]檢測模塊,用于以預定周期檢測每個防火墻是否處于工作狀態(tài)。
[0031]優(yōu)選地,上述集群防火墻設備用于龍芯架構。
[0032]本發(fā)明通過將任務分配到多個防火墻進行處理能夠提高防火墻系統(tǒng)的性能,并且通過在集群防火墻中出現(xiàn)異常防火墻時,該異常防火墻的備用防火墻能接替其任務,避免了出現(xiàn)單點故障的情況。
【專利附圖】
【附圖說明】
[0033]圖1是根據(jù)本發(fā)明實施例的集群防火墻的管理方法的流程圖;
[0034]圖2是根據(jù)本發(fā)明的一個實施例的管理方法實現(xiàn)的龍芯架構中防火墻集群系統(tǒng)的不意圖;
[0035]圖3是根據(jù)本發(fā)明實施例的集群防火墻的管理裝置的框圖。
【具體實施方式】
[0036]下面將結合本發(fā)明實施例中的附圖,對本發(fā)明實施例中的技術方案進行清楚、完整地描述,顯然,所描述的實施例僅僅是本發(fā)明一部分實施例,而不是全部的實施例。基于本發(fā)明中的實施例,本領域普通技術人員所獲得的所有其他實施例,都屬于本發(fā)明保護的范圍。
[0037]根據(jù)本發(fā)明的實施例,提供了一種集群防火墻的管理方法。[0038]如圖1所示,根據(jù)本發(fā)明實施例的管理方法可以包括:
[0039]步驟S101,對于集群防火墻中的每個防火墻以及與該防火墻存在備用關系的備用防火墻分配任務,以便每個防火墻根據(jù)接收的任務生成各自的鏈表;
[0040]步驟S103,每個防火墻根據(jù)各自的鏈表進行工作,并且,每個防火墻將其鏈表同步至與該防火墻存在備用關系的備用防火墻(即將本防火墻的鏈接同步到與該防火墻對應的備用防火墻中),其中,集群防火墻中出現(xiàn)異常防火墻時,該異常防火墻的備用防火墻利用借助同步得到的異常防火墻的鏈表,接替異常防火墻的任務。
[0041]其中,集群防火墻中的每個防火墻的性能可以相同,也可以根據(jù)用戶需求設置不同性能的防火墻。
[0042]此外,根據(jù)本發(fā)明實施例的管理方法可以進一歩為每個防火墻預先配置至少一臺備用防火墻,并且,在一個實施例中,可以將除本機外的所有防火墻設置為本機的備用防火
J回O
[0043]進ー步地,集群防火墻中出現(xiàn)異常防火墻時,該異常防火墻的備用防火墻利用借助同步得到的異常防火墻的鏈表,接替異常防火墻的任務可以根據(jù)異常防火墻的備用防火墻的數(shù)量劃分異常防火墻的任務;然后將劃分后的任務切換到與異常防火墻的備用防火
J回O
[0044]此外,根據(jù)本發(fā)明實施例的管理方法可以進一歩以預定周期檢測每個防火墻是否處于工作狀態(tài),以便及時地檢測出失效的防火墻,便于該失效防火墻的任務分配。
[0045]優(yōu)選地,上述集群防火墻設備用于龍芯架構。龍芯(Loongson,舊稱G0DS0Nl)i—種通用CPU,用于米用簡單指令集,類似于MIPS (Million Instructions Per Second,單字長定點指令平均執(zhí)行速度)指令集。
[0046]根據(jù)本發(fā)明的一個實施例,提供了一種龍芯防火墻集群的管理方法,如圖2所示為根據(jù)本發(fā)明實施例的管理方法實現(xiàn)的龍芯防火墻集群系統(tǒng)的示意圖,該系統(tǒng)主要包括:內(nèi)部交換機、(龍芯)防火墻、外部交換機和客戶端。
[0047]其中,內(nèi)部交換機的另ー邊可以連接服務器(未示出)。
[0048]一組龍芯防火墻共享ー個IP,作為ー個整體向用戶提供網(wǎng)絡資源,從而為用戶提供業(yè)務,并且這ー組中的所有龍芯防火墻均共享鏈表,即,每一臺防火墻的鏈表中均含有其它防火墻的鏈接,從而可以在任意一臺或多臺防火墻出現(xiàn)錯誤的時候,由其它防火墻進行任務接替??梢泽w現(xiàn)出龍芯防火墻集群系統(tǒng)的高可用性的主要優(yōu)勢,集群防火墻能夠自動檢測防火墻故障,并且具備會話保護技術(例如通過心跳機制進行會話保護),保證一臺防火墻或多臺發(fā)生問題后,其上的網(wǎng)絡流量負載可以迅速切換到其它防火墻上,而用戶絲毫不會察覺到瞬間的服務暫停和延遲,從而提供了系統(tǒng)連接正常運行的高可用性。
[0049]防火墻提供的資源通過外部交換機傳到客戶端,外部交換機也起到負載均衡的作用,在任意一臺或多臺防火墻出現(xiàn)錯誤的時候,將無效的防火墻的任務進行劃分,然后均衡地分配到其它的防火墻。通過外部交換機可以體現(xiàn)龍芯防火墻集群系統(tǒng)的負載均衡的優(yōu)勢,即通過負載均衡技術解決単一防火墻負載過大的問題,采用集群防火墻的方式,可以從整體上提高防火墻對網(wǎng)絡信息處理的能力。此外,龍芯防火墻集群系統(tǒng)還具有可擴展性的優(yōu)勢,良好的可擴展性使得防火墻性能隨著防火墻節(jié)點數(shù)目的増加而線性增長,并且由于防火墻各節(jié)點的主動負載均衡技術使得整個集群系統(tǒng)不需要價格昂貴的負載均衡器,具備良好的成本/性能優(yōu)勢。
[0050]此外,龍芯防火墻集群系統(tǒng)還具有高可管理性,系統(tǒng)的管理人員能夠在減少防火墻的時候,將減少的防火墻作為失效防火墻,將其上的網(wǎng)絡負載分配給集群中其它防火墻,或者在増加防火墻的時候,通過同步連接表來將其它防火墻的流量負載分配到新增的防火墻中,無需人工中斷網(wǎng)絡連接,即可對防火墻集群節(jié)點進行動態(tài)維護和升級。
[0051]龍芯防火墻集群系統(tǒng)是實現(xiàn)防火墻高可用性的重要手段。集群式龍芯防火墻是作為單一系統(tǒng)進行管理的ー組獨立的防火墻,用于實現(xiàn)更高的可用性、可管理性和更優(yōu)異的可伸縮性,可通過專用的集群組件和協(xié)議來實現(xiàn)。
[0052]根據(jù)本發(fā)明實現(xiàn)的龍芯防火墻集群系統(tǒng)的實現(xiàn)方法可以將多臺性能相同防火墻并行連接,在實現(xiàn)協(xié)同工作實現(xiàn)傳統(tǒng)單ー防火墻的功能的同時可以獲得更高的性能和可用性,防止了傳統(tǒng)單一防火墻的單點失效。
[0053]根據(jù)本發(fā)明的實施例,提供了一種集群防火墻的管理系統(tǒng)。
[0054]根據(jù)本發(fā)明實施例的管理系統(tǒng)包括:
[0055]任務分配模塊31,用于對于集群防火墻中的每個防火墻以及與該防火墻存在備用關系的備用防火墻分配任務,以便每個防火墻根據(jù)接收的任務生成各自的鏈表;
[0056]每個防火墻包括:同步模塊32和工作控制模塊33,其中,同步模塊32用于將每個防火墻的鏈表同步至與該防火墻存在備用關系的備用防火墻;工作控制模塊用于控制所在的防火墻根據(jù)各自的鏈表進行工作,并且用于所在防火墻的主防火墻出現(xiàn)異常吋,根據(jù)該主防火墻的鏈表接替該主防火墻的任務。
[0057]其中,工作控制模33塊用于根據(jù)異常防火墻的備用防火墻的數(shù)量劃分異常防火墻的任務;
[0058]工作控制模塊33還用于將劃分后的任務切換到與異常防火墻的備用防火墻。
[0059]此外,根據(jù)本發(fā)明實施例的管理系統(tǒng)可以進ー步包括:
[0060]檢測模塊(未示出),用于以預定周期檢測每個防火墻是否處于工作狀態(tài)。
[0061]優(yōu)選地,上述集群防火墻設備用于龍芯架構。
[0062]綜上所述,借助于本發(fā)明的上述技術方案,本發(fā)明通過將任務分配到多個防火墻進行處理能夠提高防火墻系統(tǒng)的性能,并且通過在集群防火墻中出現(xiàn)異常防火墻時,該異常防火墻的備用防火墻能接替其任務,避免了出現(xiàn)單點故障的情況,本發(fā)明的技術方案還提出了一種龍芯防火墻集群系統(tǒng)的實現(xiàn)方法,將多臺性能相同的防火墻并行連接,實現(xiàn)協(xié)同工作實現(xiàn)傳統(tǒng)單ー防火墻的功能,解決了單臺龍芯防火墻設備性能不足的問題,可以比傳統(tǒng)單一防火墻獲得高性能和高可用性,防止了傳統(tǒng)單一防火墻的單點失效,提高了產(chǎn)品的性能和靈活性,還具備高可用性、可擴展性、可管理性等應用特征。
[0063]以上所述僅為本發(fā)明的較佳實施例而已,并不用以限制本發(fā)明,凡在本發(fā)明的精神和原則之內(nèi),所作的任何修改、等同替換、改進等,均應包含在本發(fā)明的保護范圍之內(nèi)。
【權利要求】
1.一種集群防火墻的管理方法,其特征在于,包括: 對于所述集群防火墻中的每個防火墻以及與該防火墻存在備用關系的備用防火墻分配任務,以便每個防火墻根據(jù)接收的任務生成各自的鏈表; 每個防火墻根據(jù)各自的鏈表進行工作,并且,每個防火墻將其鏈表同步至與該防火墻存在備用關系的備用防火墻,其中,所述集群防火墻中出現(xiàn)異常防火墻時,該異常防火墻的備用防火墻利用借助同步得到的所述異常防火墻的鏈表,接替所述異常防火墻的任務。
2.根據(jù)權利要求1所述的管理方法,其特征在于,所述集群防火墻中每個防火墻的性能相同。
3.根據(jù)權利要求1所述的管理方法,其特征在干,進ー步包括: 為所述每個防火墻預先配置至少一臺備用防火墻。
4.根據(jù)權利要求1所述的管理方法,其特征在于,所述集群防火墻中出現(xiàn)異常防火墻時,該異常防火墻的備用防火墻利用借助同步得到的所述異常防火墻的鏈表,接替所述異常防火墻的任務包括: 根據(jù)所述異常防火墻的備用防火墻的數(shù)量劃分所述異常防火墻的任務; 將劃分后的任務切換到與所述異常防火墻的備用防火墻。
5.根據(jù)權利要求1所述的管理方法,其特征在干,進ー步包括: 以預定周期檢測每個防火墻是否處于工作狀態(tài)。
6.根據(jù)權利要求1至5中任一項所述的管理方法,其特征在于,所述集群防火墻設備用于龍芯架構。
7.一種集群防火墻的管理系統(tǒng),其特征在于,包括: 任務分配模塊,用于對于所述集群防火墻中的每個防火墻以及與該防火墻存在備用關系的備用防火墻分配任務,以便每個防火墻根據(jù)接收的任務生成各自的鏈表; 每個防火墻包括:同步模塊和工作控制模塊,其中,所述同步模塊用于將每個防火墻的鏈表同步至與該防火墻存在備用關系的備用防火墻;所述工作控制模塊用于控制所在的防火墻根據(jù)各自的鏈表進行工作,并且用于所在防火墻的主防火墻出現(xiàn)異常時,根據(jù)該主防火墻的鏈表接替該主防火墻的任務。
8.根據(jù)權利要求7所述的管理系統(tǒng),其特征在于,所述工作控制模塊用于根據(jù)所述異常防火墻的備用防火墻的數(shù)量劃分所述異常防火墻的任務; 所述工作控制模塊還用于將劃分后的任務切換到與所述異常防火墻的備用防火墻。
9.根據(jù)權利要求7所述的管理系統(tǒng),其特征在干,進ー步包括: 檢測模塊,用于以預定周期檢測每個防火墻是否處于工作狀態(tài)。
10.根據(jù)權利要求7至9中任一項所述的管理系統(tǒng),其特征在于,所述集群防火墻設備用于龍芯架構。
【文檔編號】H04L29/06GK103501299SQ201310459338
【公開日】2014年1月8日 申請日期:2013年9月24日 優(yōu)先權日:2013年9月24日
【發(fā)明者】白秀杰 申請人:曙光信息產(chǎn)業(yè)(北京)有限公司