亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

防火墻流表備份方法、防火墻及防火墻系統(tǒng)的制作方法

文檔序號:7823218閱讀:613來源:國知局
防火墻流表備份方法、防火墻及防火墻系統(tǒng)的制作方法
【專利摘要】本發(fā)明提供一種防火墻流表備份方法、防火墻及防火墻系統(tǒng)。本發(fā)明提供的防火墻流表備份方法,其系統(tǒng)內(nèi)包括工作在網(wǎng)絡(luò)地址轉(zhuǎn)換NAT模式下且互為熱備的主防火墻和從防火墻,方法包括:所述主防火墻轉(zhuǎn)發(fā)報文流的首報文時,獲取所述報文流的流表和NAT連接信息;所述主防火墻將所述報文流的流表和NAT連接信息發(fā)送給所述從防火墻,以使所述從防火墻根據(jù)所述報文流的流表和NAT連接信息轉(zhuǎn)發(fā)所述報文流的非首報文。本發(fā)明可以防止防火墻在進行流量切換時發(fā)生業(yè)務(wù)中斷。
【專利說明】防火墻流表備份方法、防火墻及防火墻系統(tǒng)

【技術(shù)領(lǐng)域】
[0001]本發(fā)明實施例涉及網(wǎng)絡(luò)技術(shù),尤其涉及一種防火墻流表備份方法、防火墻及防火墻系統(tǒng)。

【背景技術(shù)】
[0002]防火墻通常由軟件和硬件設(shè)備組成,部署于內(nèi)網(wǎng)和外網(wǎng)之間、專用網(wǎng)和公共網(wǎng)、局域網(wǎng)和互聯(lián)網(wǎng)之間、用于保護內(nèi)部網(wǎng)、專用網(wǎng)或者局域網(wǎng)不受非法用戶入侵或者病毒、木馬的攻擊。當(dāng)有流量經(jīng)過時,防火墻會根據(jù)會話報文中首包的協(xié)議號、源網(wǎng)絡(luò)互聯(lián)協(xié)議(Internet Protocol,簡稱IP)地址、目的IP地址、源端口地址、目的端口地址分別創(chuàng)建正向和反向流表項,后續(xù)報文會根據(jù)正向或者反向流表項進行轉(zhuǎn)發(fā)。
[0003]目前,在高可用環(huán)境下,防火墻可以采取雙機熱備份的組網(wǎng)方式進行工作,當(dāng)其中一臺設(shè)備出現(xiàn)故障時,業(yè)務(wù)流量都能自動切換到另一臺設(shè)備上來處理。其具體方法為通過在配置為雙機熱備關(guān)系的第一、第二設(shè)備上分別實現(xiàn)一個會話備份單元,根據(jù)每個會話的首包建立會話表項并向?qū)Ψ皆O(shè)備備份,且第一或第二設(shè)備在收到自身沒有匹配會話表項的非首報文時,將該報文透傳至對方設(shè)備查詢匹配的會話表項,并將查詢得到的會話表項返回自身進行備份用于報文轉(zhuǎn)發(fā)。
[0004]然而,在網(wǎng)絡(luò)地址轉(zhuǎn)換(Network Address Translat1n,簡稱NAT)的應(yīng)用場景下,防火墻在備份會話流表后,防火墻的NAT功能會對內(nèi)部私有網(wǎng)絡(luò)IP地址與外部IP地址進行轉(zhuǎn)換,并根據(jù)報文流里控制連接中的報文載荷生成NAT內(nèi)部私有的期望連接;這樣當(dāng)根據(jù)控制連接的報文載荷而生成的數(shù)據(jù)連接報文到達防火墻的時候,防火墻會匹配期望連接,以完成報文的發(fā)送。如果報文在NAT應(yīng)用場景下轉(zhuǎn)發(fā)時,只備份了會話表項本身,而期望連接沒有備份到對方設(shè)備,就會導(dǎo)致數(shù)據(jù)連接創(chuàng)建失敗,相應(yīng)的業(yè)務(wù)也隨之發(fā)生中斷。


【發(fā)明內(nèi)容】

[0005]本發(fā)明提供一種防火墻備份方法、防火墻及防火墻系統(tǒng),以解決進行NAT業(yè)務(wù)的防火墻在進行流量切換時造成的業(yè)務(wù)中斷問題。
[0006]第一方面,本發(fā)明提供一種防火墻流表備份方法,系統(tǒng)內(nèi)包括工作在網(wǎng)絡(luò)地址轉(zhuǎn)換NAT模式下且互為熱備的主防火墻和從防火墻,包括:
[0007]主防火墻轉(zhuǎn)發(fā)報文流的首報文時,獲取報文流的流表和NAT連接信息;
[0008]主防火墻將報文流的流表和NAT連接信息發(fā)送給從防火墻,以使從防火墻根據(jù)報文流的流表和NAT連接信息轉(zhuǎn)發(fā)報文流的非首報文。
[0009]結(jié)合第一方面,在第一種實施方式中,NAT連接信息包括報文流的報文長度差值信息、NAT模式的期望連接信息和父子流信息,其中報文長度差值信息用于確定報文流中報文經(jīng)過NAT模式轉(zhuǎn)換后的傳輸控制協(xié)議TCP序列號,期望連接信息用于確定經(jīng)過NAT模式轉(zhuǎn)換后報文流的數(shù)據(jù)連接以及生成父子流信息,父子流信息用于確定報文流的父/子報文流。
[0010]結(jié)合第一方面和第一種實施方式,在第二種實施方式中,報文流的報文長度差值信息為報文流在經(jīng)過NAT轉(zhuǎn)換前后報文長度的差值。
[0011]結(jié)合第一方面和第一種實施方式,在第三種實施方式中,報文流的期望連接信息包含報文流在經(jīng)過NAT模式轉(zhuǎn)換前后數(shù)據(jù)連接的端口之間的匹配關(guān)系以及用于生成父子流信息的信息。
[0012]結(jié)合第一方面和前三種實施方式,在第四種實施方式中,主防火墻將報文流的流表和NAT連接信息發(fā)送給從防火墻具體包括:
[0013]主防火墻通過專用鏈路將報文流的流表和NAT連接信息發(fā)送給從防火墻。
[0014]第二方面,本發(fā)明提供一種防火墻流表備份方法,系統(tǒng)內(nèi)包括工作在網(wǎng)絡(luò)地址轉(zhuǎn)換NAT模式下且互為熱備的主防火墻和從防火墻,包括:
[0015]從防火墻接收主防火墻發(fā)送的報文流的流表和NAT連接信息;
[0016]從防火墻根據(jù)流表和NAT連接信息轉(zhuǎn)發(fā)報文流的非首報文。
[0017]結(jié)合第二方面,在第一種實施方式中,NAT連接信息包括報文流的報文長度差值信息、報文流的期望連接信息和報文流的父子流信息;
[0018]從防火墻根據(jù)流表和NAT連接信息轉(zhuǎn)發(fā)報文流的非首報文具體包括:
[0019]若報文流為控制連接,則從防火墻根據(jù)報文流的報文長度差值信息還原報文流的傳輸控制TCP序列號,根據(jù)流表并在NAT連接上按照報文流的TCP協(xié)議序列號轉(zhuǎn)發(fā)報文流的非首報文;
[0020]若為報文流為數(shù)據(jù)連接,則從防火墻根據(jù)父子流信息確定報文流的安全策略與報文流的網(wǎng)絡(luò)互聯(lián)協(xié)議IP地址,根據(jù)期望連接信息確定報文流的端口匹配關(guān)系和生成父子流信息,根據(jù)流表、報文流的IP地址和報文流的端口匹配關(guān)系建立數(shù)據(jù)連接,并轉(zhuǎn)發(fā)報文流的非首報文。
[0021]結(jié)合第二方面和第一種實施方式,在第二種實施方式中,報文流的報文長度差值信息為報文流在經(jīng)過NAT模式轉(zhuǎn)換前后報文長度的差值。
[0022]結(jié)合第二方面和第一種實施方式,在第三種實施方式中,報文流的期望連接信息包含報文流在經(jīng)過NAT模式轉(zhuǎn)換前后數(shù)據(jù)連接的端口的匹配關(guān)系以及用于生成父子流信息的信息。
[0023]結(jié)合第二方面和第一種實施方式,在第四種實施方式中,根據(jù)父子流信息確定報文流的安全策略與報文流的網(wǎng)絡(luò)互聯(lián)協(xié)議IP地址具體包括:
[0024]確述報文流所屬的父/子流;
[0025]如果報文流為子流,根據(jù)報文流的父流的安全策略確定報文流的安全策略與IP地址。
[0026]結(jié)合第二方面和前四種實施方式,在第五種實施方式中,從防火墻接收主防火墻發(fā)送的報文流的流表和網(wǎng)絡(luò)地址轉(zhuǎn)換NAT連接信息具體包括:從防火墻通過專用鏈路接收報文流的流表和NAT連接信息。
[0027]第三方面,本發(fā)明提供一種主防火墻,主防火墻工作在網(wǎng)絡(luò)地址轉(zhuǎn)換NAT模式下,包括:
[0028]獲取模塊,用于在轉(zhuǎn)發(fā)報文流的首報文時,獲取報文流流表和NAT連接信息;
[0029]發(fā)送模塊,用于將報文流的流表和NAT連接信息發(fā)送給從防火墻,以使從防火墻根據(jù)報文流的流表和NAT連接信息轉(zhuǎn)發(fā)報文流的非首報文。
[0030]結(jié)合第三方面,在第一種實施方式中,NAT連接信息包括報文流的報文長度差值信息、NAT模式的期望連接信息和父子流信息,其中報文長度差值信息用于確定報文流中報文經(jīng)過NAT轉(zhuǎn)換后的傳輸控制協(xié)議TCP序列號,期望連接信息用于確定經(jīng)過NAT模式轉(zhuǎn)換后報文流的數(shù)據(jù)連接以及生成父子流信息,父子流信息用于確定報文流的父/子報文流。
[0031]結(jié)合第三方面和第一種實施方式,在第二種實施方式中,報文流的報文長度差值信息為報文流在經(jīng)過NAT轉(zhuǎn)換前后報文長度的差值。
[0032]結(jié)合第三方面和第一種實施方式,在第三種實施方式中,報文流的期望連接信息包含報文流在經(jīng)過NAT模式轉(zhuǎn)換前后數(shù)據(jù)連接的端口之間的匹配關(guān)系以及用于生成父子流信息的信息。
[0033]結(jié)合第三方面和前三種實施方式,在第四種實施方式中,發(fā)送模塊具體用于:通過專用鏈路將報文流流表和NAT連接信息發(fā)送給從防火墻。
[0034]第四方面,本發(fā)明提供一種從防火墻,從防火墻工作在網(wǎng)絡(luò)地址轉(zhuǎn)換NAT模式下,包括:
[0035]接收模塊,用于接收主防火墻發(fā)送的報文流的流表和NAT連接信息,
[0036]報文轉(zhuǎn)發(fā)模塊,用于根據(jù)流表和NAT連接信息轉(zhuǎn)發(fā)報文流的非首報文。
[0037]結(jié)合第四方面,在第一種實施方式中,NAT連接信息包括報文流的報文長度差值信息、報文流的期望連接信息和報文流的父子流信息;
[0038]報文轉(zhuǎn)發(fā)模塊具體用于:
[0039]若報文流為控制連接,則根據(jù)報文流的報文長度差值信息還原報文流的傳輸控制TCP序列號,根據(jù)流表并在NAT連接上按照報文流的TCP協(xié)議序列號轉(zhuǎn)發(fā)報文流的非首報文;
[0040]若報文流為數(shù)據(jù)連接,則根據(jù)父子流信息確定報文流的安全策略與報文流的網(wǎng)絡(luò)互聯(lián)協(xié)議IP地址,根據(jù)期望連接信息確定報文流的端口匹配關(guān)系和生成父子流信息,根據(jù)流表、報文流的IP地址和報文流的端口匹配關(guān)系建立所述數(shù)據(jù)連接,并轉(zhuǎn)發(fā)報文流的非首報文。
[0041]結(jié)合第四方面和第一種實施方式,在第二種實施方式中,報文流的報文長度差值信息為報文流在經(jīng)過NAT轉(zhuǎn)換前后報文長度的差值。
[0042]結(jié)合第四方面和第一種實施方式,在第三種實施方式中,報文流的期望連接信息包含報文流在經(jīng)過NAT模式轉(zhuǎn)換前后數(shù)據(jù)連接的端口的匹配關(guān)系以及用于生成父子流信息的信息。
[0043]結(jié)合第四方面和第一種實施方式,在第四種實施方式中,報文轉(zhuǎn)發(fā)模塊具體用于:
[0044]確定報文流所屬的父/子流;
[0045]如果報文流為子流,根據(jù)報文流的父流的安全策略確定報文流的安全策略與IP地址。
[0046]結(jié)合第四方面和前四種實施方式,在第五種實施方式中,接收模塊具體用于:通過專用鏈路接收報文流的流表和NAT連接信息。
[0047]第五方面,本發(fā)明提供一種防火墻系統(tǒng),包括一個如上所述的主防火墻和至少一個如上所述的從防火墻,主防火墻和從防火墻之間通過專用鏈路進行報文流的流表和NAT連接信息的傳輸。
[0048]本發(fā)明提供的防火墻流表備份方法、防火墻及防火墻系統(tǒng),主防火墻轉(zhuǎn)發(fā)報文流的首報文時,獲取報文流的NAT連接信息,再將報文流的流表和NAT連接信息發(fā)送給從防火墻,以使從防火墻根據(jù)報文流的流表和NAT連接信息轉(zhuǎn)發(fā)報文流的非首報文;從防火墻接收主防火墻發(fā)送的報文流的流表和NAT連接信息,并根據(jù)所述流表和所述NAT連接信息轉(zhuǎn)發(fā)所述報文流的非首報文。這樣防火墻進行NAT業(yè)務(wù)的情況下,在進行主從防火墻的流量切換時,從防火墻可以根據(jù)報文流的流表和NAT連接信息繼續(xù)轉(zhuǎn)發(fā)該報文流的其余非首報文,以防止防火墻在進行流量切換時發(fā)生業(yè)務(wù)中斷。

【專利附圖】

【附圖說明】
[0049]為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對實施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作一簡單地介紹,顯而易見地,下面描述中的附圖是本發(fā)明的一些實施例,對于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動性的前提下,還可以根據(jù)這些附圖獲得其他的附圖。
[0050]圖1是本發(fā)明實施例一提供的防火墻備份方法的流程示意圖;
[0051]圖2是本發(fā)明實施例二提供的防火墻備份方法的流程示意圖;
[0052]圖3是本發(fā)明實施例三提供的防火墻備份方法的流程示意圖;
[0053]圖4中的本發(fā)明實施例三提供的系統(tǒng)的網(wǎng)絡(luò)架構(gòu)示意圖;
[0054]圖5是本發(fā)明實施例四提供的主防火墻的結(jié)構(gòu)示意圖;
[0055]圖6是本發(fā)明實施例五提供的從防火墻的結(jié)構(gòu)示意圖;
[0056]圖7是本發(fā)明實施例六提供的主防火墻的結(jié)構(gòu)示意圖;
[0057]圖8是本發(fā)明實施例七提供的從防火墻的結(jié)構(gòu)示意圖;
[0058]圖9是本發(fā)明實施例八提供的防火墻系統(tǒng)的結(jié)構(gòu)示意圖。

【具體實施方式】
[0059]為使本發(fā)明實施例的目的、技術(shù)方案和優(yōu)點更加清楚,下面將結(jié)合本發(fā)明實施例中的附圖,對本發(fā)明實施例中的技術(shù)方案進行清楚、完整地描述,顯然,所描述的實施例是本發(fā)明一部分實施例,而不是全部的實施例?;诒景l(fā)明中的實施例,本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造性勞動前提下所獲得的所有其他實施例,都屬于本發(fā)明保護的范圍。
[0060]圖1是本發(fā)明實施例一提供的防火墻備份方法的流程示意圖。如圖1所示,本實施例提供的防火墻備份方法包括:
[0061]S101、主防火墻轉(zhuǎn)發(fā)報文流的首報文時,獲取報文流的流表和NAT連接信息;
[0062]本實施例中,在系統(tǒng)內(nèi)包括兩個互為熱備份的防火墻,兩個防火墻即可以采用主備方式(Active-Standby)工作,也可以采用雙主機方式(Active-Active)工作。在主備方式下,流量只經(jīng)過主防火墻,當(dāng)主防火墻發(fā)生故障時,流量會切換到作為備用防火墻的從防火墻上。雙主機方式下,流量會分擔(dān)到兩臺防火墻上,實現(xiàn)了流量的負載均衡,而當(dāng)其中一臺防火墻出現(xiàn)故障時,該防火墻上的業(yè)務(wù)流量可以切換至另外一臺防火墻上進行處理,其中,原先進行業(yè)務(wù)的防火墻作為主防火墻,而接替主防火墻處理業(yè)務(wù)流量的防火墻為從防火墻。系統(tǒng)中的防火墻均可工作在網(wǎng)絡(luò)地址轉(zhuǎn)換(Network Address Translat1n,簡稱NAT)模式下。
[0063]當(dāng)主防火墻接收報文流的首報文并進行轉(zhuǎn)發(fā)時,主防火墻根據(jù)報文流本身的信息以及進行轉(zhuǎn)發(fā)時的配置信息,獲取用于轉(zhuǎn)發(fā)該報文流的流表及NAT連接信息。其中,報文流的流表包括報文的五元組信息(源IP地址、源端口地址、目的IP地址、目的端口地址和傳輸層協(xié)議號)。而NAT連接信息包括報文流的報文長度差值信息、NAT模式的期望連接信息和父子流信息。
[0064]具體的,報文長度差值信息用于確定報文流中報文經(jīng)過NAT模式轉(zhuǎn)換后的傳輸控制協(xié)議(Transmiss1n Control Protocol,簡稱TCP)序列號。當(dāng)工作在NAT模式的防火墻進行報文處理時,防火墻會將報文中的IP地址轉(zhuǎn)換為另外一個IP地址,此時防火墻的NAT組件會對報文載荷中的內(nèi)容進行修改。例如進行文件傳輸協(xié)議(File Transfer Protocol,簡稱FTP)業(yè)務(wù)時,防火墻的NAT組件會修改控制連接報文載荷中的PORT命令的內(nèi)容,從而使得報文的長度發(fā)生變化。而在TCP協(xié)議中,報文的TCP序列號sequence由報文的長度確定。因此防火墻在進行報文流轉(zhuǎn)發(fā)時,需要對TCP報文中的TCP序列號sequence進行修改,添加經(jīng)過NAT模式轉(zhuǎn)換前后報文的長度變化值,才能保證在防火墻轉(zhuǎn)發(fā)給服務(wù)器端的TCP序列號sequence在服務(wù)器端的TCP協(xié)議棧中為正確的值。具體的,可以直接將報文長度差值信息設(shè)置為報文流在經(jīng)過NAT模式轉(zhuǎn)換前后報文長度的差值。
[0065]具體的,期望連接信息用于確定經(jīng)過NAT模式轉(zhuǎn)換后報文流的數(shù)據(jù)連接以及生成父子流信息。工作在NAT模式的防火墻進行報文處理時,因為經(jīng)過NAT模式轉(zhuǎn)換前后報文的IP地址不同,導(dǎo)致報文流在經(jīng)過NAT模式轉(zhuǎn)換后,防火墻需要建立報文流在經(jīng)過NAT模式轉(zhuǎn)換前后數(shù)據(jù)連接的端口之間的匹配關(guān)系,以使報文流根據(jù)該匹配關(guān)系在網(wǎng)絡(luò)側(cè)與防火墻之間轉(zhuǎn)發(fā)。期望連接信息即為報文流在經(jīng)過NAT模式轉(zhuǎn)換前后數(shù)據(jù)連接的端口之間的匹配關(guān)系。仍然以進行FTP業(yè)務(wù)為例,在防火墻進行FTP的報文流處理的時候,防火墻中的NAT組件對報文載荷進行NAT轉(zhuǎn)換時,為其分配一個端口以對應(yīng)報文的原始端口,記錄下該報文流經(jīng)過NAT模式轉(zhuǎn)換前后數(shù)據(jù)連接的兩個端口之間的匹配關(guān)系,并將其存儲于防火墻NAT組件內(nèi)部私有數(shù)據(jù)結(jié)構(gòu)中,該匹配關(guān)系即為報文流的期望連接信息。這樣當(dāng)數(shù)據(jù)連接的報文到達防火墻時,即可根據(jù)存儲于防火墻內(nèi)部私有數(shù)據(jù)結(jié)構(gòu)中的數(shù)據(jù)連接的端口之間的匹配關(guān)系對數(shù)據(jù)連接進行NAT轉(zhuǎn)換,并發(fā)送至網(wǎng)絡(luò)側(cè)。在網(wǎng)絡(luò)側(cè)發(fā)送作為回應(yīng)的數(shù)據(jù)連接報文時,防火墻再根據(jù)回應(yīng)報文的地址與NAT轉(zhuǎn)換前原始端口地址的匹配關(guān)系將數(shù)據(jù)連接發(fā)到正確的客戶端。期望連接信息中可以包括數(shù)據(jù)連接的原始的端口號與經(jīng)過NAT轉(zhuǎn)換后端口號之間的匹配關(guān)系,以用于確定報文流經(jīng)過NAT模式轉(zhuǎn)換后,報文流原始的端口信息。具體的,報文流的期望連接信息可以為經(jīng)過NAT模式轉(zhuǎn)換前后數(shù)據(jù)連接的端口的匹配關(guān)系以及用于生成父子流信息的信息。
[0066]具體的,父子流信息可以用于確定報文流的父/子報文流。當(dāng)某個報文流由另一個報文流所派生時,則這兩個報文流具有父子流關(guān)系,此時可以利用報文流中所攜帶的父子流信息確定報文是父流還是子流,以及該報文流所對應(yīng)的父/子流是哪一個報文流。報文在防火墻上轉(zhuǎn)發(fā)的過程中,需要由安全業(yè)務(wù)對報文進行檢查,安全業(yè)務(wù)通常會根據(jù)父流的安全策略來檢測子流報文,即如果父流的流量允許通過,那么子流的流量也會允許通過;而當(dāng)發(fā)送到防火墻的報文流缺乏父子流關(guān)系時,因為子流的安全策略是依賴于父流的安全策略,此時子流會因為匹配不到安全策略而被阻斷,從而發(fā)生業(yè)務(wù)中斷現(xiàn)象。以FTP下載為例,首先建立控制連接,并根據(jù)控制連接的TCP載荷信息創(chuàng)建數(shù)據(jù)連接,因此數(shù)據(jù)連接是子流,控制連接是父流,控制連接和數(shù)據(jù)連接之間的關(guān)系為父子流關(guān)系。當(dāng)如果用戶配置了允許控制連接通過的安全策略,因為控制連接為數(shù)據(jù)連接的父流,那么安全業(yè)務(wù)會根據(jù)控制連接的安全策略放過數(shù)據(jù)連接,并允許數(shù)據(jù)連接的流量通過。此外,因為數(shù)據(jù)連接為控制連接的子流,當(dāng)通過父子流關(guān)系信息找到作為數(shù)據(jù)連接父流的控制連接后,即可得到控制連接中的網(wǎng)絡(luò)互連協(xié)議(Internet Protocol,簡稱IP)地址等信息,并按照該IP地址轉(zhuǎn)發(fā)數(shù)據(jù)連接。
[0067]S102、主防火墻將報文流的流表和NAT連接信息發(fā)送給從防火墻,以使從防火墻根據(jù)報文流的流表和NAT連接信息轉(zhuǎn)發(fā)報文流的非首報文。
[0068]在主防火墻獲取報文流的流表和NAT連接信息后,主防火墻再將上述信息發(fā)送給從防火墻,當(dāng)主防火墻出現(xiàn)故障或因其他原因不再轉(zhuǎn)發(fā)該報文流時,從防火墻即可根據(jù)報文流的流表和NAT連接信息對報文流余下的非首報文進行轉(zhuǎn)發(fā)。具體的,主防火墻可以通過專用鏈路將報文流的流表和NAT連接信息發(fā)送給從防火墻,該專用鏈路可以是專用的報文轉(zhuǎn)發(fā)隧道或者其它高速鏈路,以及時讓從防火墻獲取用于轉(zhuǎn)發(fā)報文流的流表和NAT連接信息。
[0069]本實施例中,主防火墻轉(zhuǎn)發(fā)報文流的首報文時,獲取報文流的NAT連接信息,再將報文流的流表和NAT連接信息發(fā)送給從防火墻,以使從防火墻根據(jù)報文流的流表和NAT連接信息轉(zhuǎn)發(fā)報文流的非首報文。這樣防火墻在進行NAT業(yè)務(wù)的情況下,當(dāng)發(fā)生主從防火墻的流量切換時,從防火墻可以繼續(xù)轉(zhuǎn)發(fā)該報文流的其余非首報文,以防止防火墻發(fā)生業(yè)務(wù)中斷。
[0070]圖2是本發(fā)明實施例二提供的防火墻備份方法的流程示意圖。如圖2所示,本實施例提供的防火墻備份方法包括:
[0071]S201、從防火墻接收主防火墻發(fā)送的報文流的流表和NAT連接信息;
[0072]本實施例中,系統(tǒng)中的主防火墻與從防火墻均可工作在網(wǎng)絡(luò)地址轉(zhuǎn)換(NetworkAddress Translat1n,簡稱NAT)模式下。從防火墻可以接收主防火墻發(fā)送的報文流的流表和NAT連接信息。該流表和NAT連接信息是主防火墻在轉(zhuǎn)發(fā)該報文流時所獲取到的。
[0073]具體的,從防火墻可以通過專用鏈路接收報文流的流表和NAT連接信息。該專用鏈路可以是專用的報文轉(zhuǎn)發(fā)隧道或者其它高速鏈路,以及時讓從防火墻接收主防火墻發(fā)送的報文流的流表和NAT連接信息。
[0074]S202、從防火墻根據(jù)所述流表和所述NAT連接信息轉(zhuǎn)發(fā)所述報文流的非首報文。
[0075]具體的,報文流的流表包括報文的五元組信息(源IP地址、源端口、目的IP地址、目的端口和傳輸層協(xié)議號),而NAT連接信息包括報文流的報文長度差值信息、報文流的期望連接信息和報文流的父子流信息。
[0076]具體的,若報文流為控制連接,則從防火墻根據(jù)報文流的報文長度差值信息還原報文流的傳輸控制TCP序列號,根據(jù)流表并在NAT連接上按照報文流的TCP協(xié)議序列號轉(zhuǎn)發(fā)報文流的非首報文;
[0077]若報文流為數(shù)據(jù)連接,則從防火墻根據(jù)父子流信息確定報文流的安全策略與報文流的網(wǎng)絡(luò)互聯(lián)協(xié)議IP地址,根據(jù)期望連接信息確定報文流的端口匹配關(guān)系以及生成父子流信息,根據(jù)流表、報文流的IP地址和報文流的端口匹配關(guān)系建立數(shù)據(jù)連接,并轉(zhuǎn)發(fā)報文流的非首報文。
[0078]進一步的,在根據(jù)報文流的父子流信息確定報文流的安全策略與IP地址時時,首先要確定報文流所屬的父/子流具體為哪一個報文流;
[0079]如果報文流為子流,則根據(jù)報文流的父流的安全策略確定報文流的安全策略與IP地址。例如,控制連接和數(shù)據(jù)連接之間為父子流關(guān)系,其中控制連接為父流,數(shù)據(jù)連接為子流,如果報文流為數(shù)據(jù)連接,則確定數(shù)據(jù)連接的安全策略時,就需要確定控制連接的安全策略,并依據(jù)控制連接的安全策略確定數(shù)據(jù)連接的安全策略,以保證數(shù)據(jù)連接不會因安全策略而被防火墻阻擋,并根據(jù)控制連接中報文的IP地址進行數(shù)據(jù)連接中報文的發(fā)送。
[0080]進一步的,在根據(jù)報文流的報文長度差值信息還原報文流的傳輸控制TCP序列號時,報文流的報文長度差值信息為報文流在經(jīng)過NAT模式轉(zhuǎn)換前后報文長度的差值。
[0081]進一步的,報文流的期望連接信息可以為在經(jīng)過NAT模式轉(zhuǎn)換前后數(shù)據(jù)連接的端口的匹配關(guān)系以及用于生成父子流信息的信息。
[0082]本實施例中,從防火墻接收主防火墻發(fā)送的報文流的流表和NAT連接信息,然后根據(jù)流表和NAT連接信息轉(zhuǎn)發(fā)報文流的非首報文。這樣防火墻在進行NAT業(yè)務(wù)的情況下,當(dāng)發(fā)生主從防火墻的流量切換時,從防火墻可以繼續(xù)轉(zhuǎn)發(fā)該報文流的其余非首報文,以防止防火墻發(fā)生業(yè)務(wù)中斷。
[0083]圖3是本發(fā)明實施例三提供的防火墻備份方法的流程示意圖。本實施例提供了互為熱備的主從防火墻在進行流量切換時的信息交互過程。如圖3所示,本實施例提供的防火墻備份方法包括:
[0084]S301、主防火墻轉(zhuǎn)發(fā)報文流的首報文時,獲取報文流的流表和NAT連接信息;
[0085]以圖4中系統(tǒng)的網(wǎng)絡(luò)架構(gòu)示意圖為例。本實施例中,在系統(tǒng)內(nèi)包括兩個互為熱備份的防火墻,兩個防火墻既可以采用主備方式(Active-Standby)工作,也可以采用雙主機方式(Active-Active)工作。在主備方式下,流量只經(jīng)過主防火墻,當(dāng)主防火墻發(fā)生故障時,流量會切換到作為備用防火墻的從防火墻上。雙主機方式下,流量會分擔(dān)到兩臺防火墻上,實現(xiàn)了流量的負載均衡,而當(dāng)其中一臺防火墻出現(xiàn)故障時,該防火墻上的業(yè)務(wù)流量可以切換至另外一臺防火墻上進行處理,其中,原先處理業(yè)務(wù)的防火墻作為主防火墻,而接替主防火墻處理業(yè)務(wù)流量的防火墻為從防火墻。系統(tǒng)中的防火墻均可工作在網(wǎng)絡(luò)地址轉(zhuǎn)換(Network Address Translat1n,簡稱 NAT)模式下。
[0086]當(dāng)主防火墻接收報文流的首報文并進行轉(zhuǎn)發(fā)時,主防火墻根據(jù)報文流本身的信息以及進行轉(zhuǎn)發(fā)時的配置信息,獲取用于轉(zhuǎn)發(fā)該報文流的流表及NAT連接信息。其中,報文流的流表包括報文的五元組信息(源IP地址、源端口、目的IP地址、目的端口和傳輸層協(xié)議號)。而NAT連接信息包括報文流的報文長度差值信息、NAT模式的期望連接信息和父子流信息。
[0087]具體的,報文長度差值信息用于確定報文流中報文經(jīng)過NAT模式轉(zhuǎn)換后的傳輸控制協(xié)議TCP序列號。當(dāng)工作在NAT模式的防火墻進行報文處理時,防火墻會將報文中的IP地址轉(zhuǎn)換為另外一個IP地址,此時防火墻的NAT組件會對報文載荷中的內(nèi)容進行修改,從而報文的長度產(chǎn)生了變化。而報文的TCP序列號由報文長度決定,因此需要確定經(jīng)過NAT模式轉(zhuǎn)換前后報文的長度變化值,以獲得報文的TCP序列號。
[0088]具體的,期望連接信息用于確定經(jīng)過NAT模式轉(zhuǎn)換后報文流的數(shù)據(jù)連接以及生成父子流信息。工作在NAT模式的防火墻進行報文處理時,因為經(jīng)過NAT模式轉(zhuǎn)換前后報文的IP地址和端口均不同,導(dǎo)致報文流在經(jīng)過NAT模式轉(zhuǎn)換后,防火墻需要將報文流在經(jīng)過NAT模式轉(zhuǎn)換前后的端口等信息儲存在防火墻NAT組件內(nèi)部,以使報文流根據(jù)該新的報文載荷的連接關(guān)系在網(wǎng)絡(luò)側(cè)與防火墻之間轉(zhuǎn)發(fā)。
[0089]具體的,父子流信息可以用于確定報文流的父/子報文流。當(dāng)某個報文流由另一個報文流所派生時,則這兩個報文流具有父子流關(guān)系,此時可以利用報文流中所攜帶的父子流信息確定報文是父流還是子流,以及該報文流所對應(yīng)的父/子流是哪一個報文流。
[0090]以圖4所示的網(wǎng)絡(luò)架構(gòu)進行FTP業(yè)務(wù)為例,當(dāng)位于內(nèi)網(wǎng)的主機發(fā)送報文流時,發(fā)送的報文的載荷中包含的數(shù)據(jù)連接地址信息為192.168.1.100:5001,此時報文載荷中的Port命令的內(nèi)容即為Port: 192.168.1.100:5001。當(dāng)報文流通過主防火墻進行NAT轉(zhuǎn)換時,主防火墻根據(jù)主防火墻與外網(wǎng)FTP服務(wù)器的地址生成一個連接關(guān)系200.1.1.3:20—>200.1.1.2:16384,其中 200.1.1.3:20 為外網(wǎng) FTP 服務(wù)器的地址,200.1.1.2:16384 則為內(nèi)網(wǎng)地址為192.168.1.100:5001的所對應(yīng)的公網(wǎng)地址及端口。該連接關(guān)系由主防火墻內(nèi)部生成,用于確定經(jīng)過NAT模式轉(zhuǎn)換后報文流內(nèi)的報文載荷的連接關(guān)系。從內(nèi)網(wǎng)主機發(fā)送的報文在經(jīng)過主防火墻時,報文承載中的Port命令內(nèi)容由192.168.1.100:5001變?yōu)?00.1.1.2:16384,此時報文的長度發(fā)生了變化,因此需要將經(jīng)過NAT模式處理前后報文長度的差值記錄下來,以便在轉(zhuǎn)發(fā)報文流時還原報文的TCP序列號,從而保證轉(zhuǎn)發(fā)時報文能夠正確還原。
[0091]S302、主防火墻將報文流的流表和NAT連接信息發(fā)送給從防火墻,以使從防火墻根據(jù)報文流的流表和NAT連接信息轉(zhuǎn)發(fā)報文流的非首報文;
[0092]在主防火墻獲取報文流的流表和NAT連接信息后,主防火墻再將上述信息發(fā)送給從防火墻,當(dāng)主防火墻出現(xiàn)故障或因其他原因不再轉(zhuǎn)發(fā)該報文流時,從防火墻即可根據(jù)報文流的流表和NAT連接信息對報文流余下的非首報文進行轉(zhuǎn)發(fā)。具體的,主防火墻可以通過專用鏈路將報文流的流表和NAT連接信息發(fā)送給從防火墻,該專用鏈路可以是專用的報文轉(zhuǎn)發(fā)隧道或者其它高速鏈路,以及時讓從防火墻獲取用于轉(zhuǎn)發(fā)報文流的流表和NAT連接信息。
[0093]S303、從防火墻接收主防火墻發(fā)送的報文流的流表和NAT連接信息;
[0094]S304、從防火墻根據(jù)所述流表和所述NAT連接信息轉(zhuǎn)發(fā)所述報文流的非首報文。
[0095]在主防火墻不再轉(zhuǎn)發(fā)上述報文流時,即可將報文流改由從防火墻進行轉(zhuǎn)發(fā),進行流量切換過程。
[0096]具體的,從防火墻在根據(jù)流表和NAT連接信息轉(zhuǎn)發(fā)報文流的非首報文時,需要根據(jù)報文流中控制連接和數(shù)據(jù)連接兩種情況分別進行處理,若報文流為控制連接,則從防火墻根據(jù)報文流的報文長度差值信息還原報文流的傳輸控制TCP序列號,根據(jù)流表并在NAT連接上按照報文流的TCP協(xié)議序列號轉(zhuǎn)發(fā)報文流的非首報文;若報文流為數(shù)據(jù)連接,則從防火墻根據(jù)父子流信息確定報文流的安全策略與報文流的網(wǎng)絡(luò)互聯(lián)協(xié)議IP地址,根據(jù)期望連接信息確定報文流的端口匹配關(guān)系和生成父子流信息,根據(jù)流表、報文流的IP地址和報文流的端口匹配關(guān)系建立數(shù)據(jù)連接,并轉(zhuǎn)發(fā)報文流的非首報文。例如在圖4的網(wǎng)絡(luò)架構(gòu)中進行FTP業(yè)務(wù)時,當(dāng)主機發(fā)送的報文流切換至從防火墻,則從防火墻根據(jù)報文流的父子流信息判斷報文流的安全策略和報文轉(zhuǎn)發(fā)的IP地址,如進行的是控制連接,則根據(jù)報文流的報文長度差值信息還原報文流的傳輸控制TCP序列號,并根據(jù)備份的流表項進行報文的轉(zhuǎn)發(fā);如進行的是數(shù)據(jù)連接,從防火墻根據(jù)數(shù)據(jù)連接的父子流信息判斷其父流為控制連接,然后沿用控制連接的安全策略,并根據(jù)期望連接信息得到報文流的內(nèi)網(wǎng)端口 5001和外網(wǎng)端口 16384,此時再根據(jù)流表和控制連接中的IP地址得到完整的對應(yīng)關(guān)系為內(nèi)網(wǎng)的IP地址及端口為192.168.1.100:5001所對應(yīng)的外網(wǎng)IP地址及端口為200.1.1.2:16384,并在此基礎(chǔ)上,以該外網(wǎng)地址和外網(wǎng)FTP服務(wù)器的地址200.1.1.3:20進行通信,以構(gòu)成完整的連接,從而轉(zhuǎn)發(fā)報文流的其余報文。
[0097]進一步的,在根據(jù)報文流的父子流信息確定報文流的安全策略時,首先要確定報文流所屬的父/子流具體為哪一個報文流;以FTP為例,父流是控制連接,子流是數(shù)據(jù)連接,數(shù)據(jù)連接是由控制連接報文載荷中的PORT命令生成的。當(dāng)PORT命令進入NAT組件后,NAT組件就會記錄當(dāng)前流(控制連接)的流標識符,等數(shù)據(jù)連接到達的時候,就會根據(jù)這個流標識符找到控制連接,形成父子流關(guān)系。
[0098]如果報文流為子流,則根據(jù)報文流的父流的安全策略確定報文流的安全策略。例如,控制連接和數(shù)據(jù)連接之間為父子流關(guān)系,其中控制連接為父流,數(shù)據(jù)連接為子流,如果報文流為數(shù)據(jù)連接,則確定數(shù)據(jù)連接的安全策略時,就需要確定控制連接的安全策略,并依據(jù)控制連接的安全策略確定數(shù)據(jù)連接的安全策略,以保證數(shù)據(jù)連接不會因安全策略而被防火墻阻擋。
[0099]本實施例中,主防火墻轉(zhuǎn)發(fā)報文流的首報文時,獲取報文流的NAT連接信息,再將報文流的流表和NAT連接信息發(fā)送給從防火墻,以使從防火墻根據(jù)報文流的流表和NAT連接信息轉(zhuǎn)發(fā)報文流的非首報文;從防火墻接收主防火墻發(fā)送的報文流的流表和NAT連接信息,并根據(jù)所述流表和所述NAT連接信息轉(zhuǎn)發(fā)所述報文流的非首報文。這樣防火墻進行NAT業(yè)務(wù)的情況下,在進行主從防火墻的流量切換時,從防火墻可以根據(jù)報文流的流表和NAT連接信息繼續(xù)轉(zhuǎn)發(fā)該報文流的其余非首報文,以防止防火墻在進行流量切換時發(fā)生業(yè)務(wù)中斷。
[0100]圖5是本發(fā)明實施例四提供的主防火墻的結(jié)構(gòu)示意圖。該主防火墻工作在網(wǎng)絡(luò)地址轉(zhuǎn)換NAT模式下。如圖5所示,本實施例提供的主防火墻51包括:
[0101]獲取模塊501,用于在轉(zhuǎn)發(fā)報文流的首報文時,獲取報文流流表和NAT連接信息;
[0102]發(fā)送模塊502,用于將報文流的流表和NAT連接信息發(fā)送給從防火墻,以使從防火墻根據(jù)報文流的流表和NAT連接信息轉(zhuǎn)發(fā)報文流的非首報文。
[0103]具體的,發(fā)送模塊502可以用于通過專用鏈路將報文流流表和NAT連接信息發(fā)送給從防火墻。
[0104]具體的,NAT連接信息包括報文流的報文長度差值信息、NAT模式的期望連接信息和父子流信息,其中報文長度差值信息用于確定報文流中報文經(jīng)過NAT轉(zhuǎn)換后的傳輸控制協(xié)議TCP序列號,期望連接信息用于確定經(jīng)過NAT模式轉(zhuǎn)換后報文流的數(shù)據(jù)連接以及生成父子流信息,父子流信息用于確定報文流的父/子報文流。
[0105]具體的,報文流的報文長度差值信息為報文流在經(jīng)過NAT轉(zhuǎn)換前后報文長度的差值。
[0106]具體的,報文流的期望連接信息為報文流在經(jīng)過NAT模式轉(zhuǎn)換前后數(shù)據(jù)連接的端口之間的匹配關(guān)系以及用于生成父子流信息的信息。
[0107]本實施例中,主防火墻中的獲取模塊在轉(zhuǎn)發(fā)報文流的首報文時,獲取報文流流表和NAT連接信息;發(fā)送模塊將報文流的流表和NAT連接信息發(fā)送給從防火墻,以使從防火墻根據(jù)報文流的流表和NAT連接信息轉(zhuǎn)發(fā)報文流的非首報文。這樣防火墻在進行NAT業(yè)務(wù)的情況下,當(dāng)發(fā)生主從防火墻的流量切換時,從防火墻可以繼續(xù)轉(zhuǎn)發(fā)該報文流的其余非首報文,以防止防火墻發(fā)生業(yè)務(wù)中斷。
[0108]圖6是本發(fā)明實施例五提供的從防火墻的結(jié)構(gòu)示意圖。該從防火墻工作在網(wǎng)絡(luò)地址轉(zhuǎn)換NAT模式下。如圖6所示,本實施例提供的從防火墻61包括:
[0109]接收模塊601,用于接收主防火墻發(fā)送的報文流的流表和NAT連接信息,
[0110]報文轉(zhuǎn)發(fā)模塊602,用于根據(jù)流表和NAT連接信息轉(zhuǎn)發(fā)報文流的非首報文。
[0111]具體的,接收模塊601具體用于通過專用鏈路接收報文流的流表和NAT連接信息。
[0112]報文轉(zhuǎn)發(fā)模塊602具體用于確定報文流所屬的父/子流;并且如果報文流為子流時,根據(jù)該報文流的父流的安全策略確定該報文流的安全策略。
[0113]具體的,NAT連接信息包括報文流的報文長度差值信息、報文流的期望連接信息和報文流的父子流信息。對應(yīng)的,報文轉(zhuǎn)發(fā)模塊602具體用于:若報文流為控制連接,則根據(jù)報文流的報文長度差值信息還原報文流的傳輸控制TCP序列號,根據(jù)流表并在NAT連接上按照報文流的TCP協(xié)議序列號轉(zhuǎn)發(fā)報文流的非首報文;若報文流為數(shù)據(jù)連接,則根據(jù)父子流信息確定報文流的安全策略與報文流的網(wǎng)絡(luò)互聯(lián)協(xié)議IP地址,根據(jù)期望連接信息確定報文流的端口匹配關(guān)系和生成父子流信息,根據(jù)流表、報文流的IP地址和報文流的端口匹配關(guān)系建立數(shù)據(jù)連接,并轉(zhuǎn)發(fā)報文流的非首報文。
[0114]具體的,報文流的報文長度差值信息為報文流在經(jīng)過NAT轉(zhuǎn)換前后報文長度的差值。
[0115]具體的,報文流的期望連接信息為報文流在經(jīng)過NAT模式轉(zhuǎn)換前后數(shù)據(jù)連接的端口的匹配關(guān)系以及用于生成父子流信息的信息。
[0116]本實施例中,從防火墻中的接收模塊接收主防火墻發(fā)送的報文流的流表和NAT連接信息,報文轉(zhuǎn)發(fā)模塊根據(jù)流表和NAT連接信息轉(zhuǎn)發(fā)報文流的非首報文。這樣防火墻在進行NAT業(yè)務(wù)的情況下,當(dāng)發(fā)生主從防火墻的流量切換時,從防火墻可以繼續(xù)轉(zhuǎn)發(fā)該報文流的其余非首報文,以防止防火墻發(fā)生業(yè)務(wù)中斷。
[0117]圖7是本發(fā)明實施例六提供的主防火墻的結(jié)構(gòu)示意圖。本實施例提供的主防火墻71具體包括CPU701、存儲器702和轉(zhuǎn)發(fā)芯片703等,在轉(zhuǎn)發(fā)芯片703中形成用于完成前述實施例中方法的功能模塊,再通過CPU701運行存儲器702的機器可讀指令,來完成上述方法中與所劃分的功能模塊所對應(yīng)的程序步驟,從而實現(xiàn)前述方法所完成的功能。其中,轉(zhuǎn)發(fā)芯片中包括的功能模塊和前述實施例四中一致,此處不再贅述。
[0118]圖8是本發(fā)明實施例七提供的從防火墻的結(jié)構(gòu)示意圖。本實施例提供的從防火墻81具體包括CPU801、存儲器802和轉(zhuǎn)發(fā)芯片803等,在轉(zhuǎn)發(fā)芯片803中形成用于完成前述實施例中方法的功能模塊,再通過CPU801運行存儲器802的機器可讀指令,來完成上述方法中與所劃分的功能模塊所對應(yīng)的程序步驟,從而實現(xiàn)前述方法所完成的功能。其中,轉(zhuǎn)發(fā)芯片中包括的功能模塊和前述實施例五中一致,此處不再贅述。
[0119]圖9是本發(fā)明實施例八提供的防火墻系統(tǒng)的結(jié)構(gòu)示意圖。如圖9所示,防火墻系統(tǒng)91中包括一個主防火墻901和至少一個從防火墻902,主防火墻901和從防火墻902之間通過專用鏈路903進行報文流的流表和NAT連接信息的傳輸。其中,主防火墻901和從防火墻902的結(jié)構(gòu)、功能及作用可參見前述實施例四到實施例七的相關(guān)描述,在此不再贅述。
[0120]本領(lǐng)域普通技術(shù)人員可以理解:實現(xiàn)上述各方法實施例的全部或部分步驟可以通過程序指令相關(guān)的硬件來完成。前述的程序可以存儲于一計算機可讀取存儲介質(zhì)中。該程序在執(zhí)行時,執(zhí)行包括上述各方法實施例的步驟;而前述的存儲介質(zhì)包括:ROM、RAM、磁碟或者光盤等各種可以存儲程序代碼的介質(zhì)。
[0121]最后應(yīng)說明的是:以上各實施例僅用以說明本發(fā)明的技術(shù)方案,而非對其限制;盡管參照前述各實施例對本發(fā)明進行了詳細的說明,本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解:其依然可以對前述各實施例所記載的技術(shù)方案進行修改,或者對其中部分或者全部技術(shù)特征進行等同替換;而這些修改或者替換,并不使相應(yīng)技術(shù)方案的本質(zhì)脫離本發(fā)明各實施例技術(shù)方案的范圍。
【權(quán)利要求】
1.一種防火墻流表備份方法,系統(tǒng)內(nèi)包括工作在網(wǎng)絡(luò)地址轉(zhuǎn)換NAT模式下且互為熱備的主防火墻和從防火墻,其特征在于,包括: 所述主防火墻轉(zhuǎn)發(fā)報文流的首報文時,獲取所述報文流的流表和NAT連接信息; 所述主防火墻將所述報文流的流表和NAT連接信息發(fā)送給所述從防火墻,以使所述從防火墻根據(jù)所述報文流的流表和NAT連接信息轉(zhuǎn)發(fā)所述報文流的非首報文。
2.根據(jù)權(quán)利要求1所述的防火墻流表備份方法,其特征在于,所述NAT連接信息包括所述報文流的報文長度差值信息、所述NAT模式的期望連接信息和父子流信息,其中所述報文長度差值信息用于確定所述報文流中報文經(jīng)過所述NAT模式轉(zhuǎn)換后的傳輸控制協(xié)議TCP序列號,所述期望連接信息用于確定經(jīng)過所述NAT模式轉(zhuǎn)換后所述報文流的數(shù)據(jù)連接以及生成父子流信息,所述父子流信息用于確定所述報文流的父/子報文流。
3.根據(jù)權(quán)利要求2所述的防火墻流表備份方法,其特征在于,所述報文流的報文長度差值信息為所述報文流在經(jīng)過所述NAT轉(zhuǎn)換前后報文長度的差值。
4.根據(jù)權(quán)利要求2所述的防火墻流表備份方法,其特征在于,所述報文流的期望連接信息包含所述報文流在經(jīng)過所述NAT模式轉(zhuǎn)換前后數(shù)據(jù)連接的端口之間的匹配關(guān)系以及用于生成所述父子流信息的信息。
5.根據(jù)權(quán)利要求1至4任一項所述的防火墻流表備份方法,其特征在于,所述主防火墻將所述報文流的流表和NAT連接信息發(fā)送給從防火墻具體包括: 所述主防火墻通過專用鏈路將所述報文流的流表和NAT連接信息發(fā)送給所述從防火工回O
6.一種防火墻流表備份方法,系統(tǒng)內(nèi)包括工作在網(wǎng)絡(luò)地址轉(zhuǎn)換NAT模式下且互為熱備的主防火墻和從防火墻,其特征在于,包括: 所述從防火墻接收所述主防火墻發(fā)送的報文流的流表和NAT連接信息; 所述從防火墻根據(jù)所述流表和所述NAT連接信息轉(zhuǎn)發(fā)所述報文流的非首報文。
7.根據(jù)權(quán)利要求6所述的防火墻流表備份方法,其特征在于,所述NAT連接信息包括所述報文流的報文長度差值信息、所述報文流的期望連接信息和所述報文流的父子流信息; 所述從防火墻根據(jù)所述流表和所述NAT連接信息轉(zhuǎn)發(fā)所述報文流的非首報文具體包括: 若所述報文流為控制連接,則所述從防火墻根據(jù)所述報文流的報文長度差值信息還原所述報文流的傳輸控制TCP序列號,根據(jù)所述流表并在所述NAT連接上按照所述報文流的TCP協(xié)議序列號轉(zhuǎn)發(fā)所述報文流的非首報文; 若所述報文流為數(shù)據(jù)連接,則所述從防火墻根據(jù)所述父子流信息確定所述報文流的安全策略與所述報文流的網(wǎng)絡(luò)互聯(lián)協(xié)議IP地址,根據(jù)所述期望連接信息確定所述報文流的端口匹配關(guān)系和生成父子流信息,根據(jù)所述流表、所述報文流的IP地址和所述報文流的端口匹配關(guān)系建立所述數(shù)據(jù)連接,并轉(zhuǎn)發(fā)所述報文流的非首報文。
8.根據(jù)權(quán)利要求7所述的防火墻流表備份方法,其特征在于,所述報文流的報文長度差值信息為所述報文流在經(jīng)過所述NAT模式轉(zhuǎn)換前后報文長度的差值。
9.根據(jù)權(quán)利要求7所述的防火墻流表備份方法,其特征在于,所述報文流的期望連接信息包含所述報文流在經(jīng)過所述NAT模式轉(zhuǎn)換前后所述數(shù)據(jù)連接的端口的匹配關(guān)系以及用于生成所述父子流信息的信息。
10.根據(jù)權(quán)利要求7所述的防火墻流表備份方法,其特征在于,所述根據(jù)父子流信息確定所述報文流的安全策略與所述報文流的網(wǎng)絡(luò)互聯(lián)協(xié)議IP地址具體包括: 確定所述報文流所屬的父/子流; 如果所述報文流為子流,根據(jù)所述報文流的父流的安全策略確定所述報文流的安全策略與IP地址。
11.根據(jù)權(quán)利要求6-10任一項所述的防火墻流表備份方法,其特征在于,所述從防火墻接收主防火墻發(fā)送的報文流的流表和網(wǎng)絡(luò)地址轉(zhuǎn)換NAT連接信息具體包括:所述從防火墻通過專用鏈路接收所述報文流的流表和NAT連接信息。
12.一種主防火墻,所述主防火墻工作在網(wǎng)絡(luò)地址轉(zhuǎn)換NAT模式下,其特征在于,包括: 獲取模塊,用于在轉(zhuǎn)發(fā)報文流的首報文時,獲取所述報文流流表和NAT連接信息; 發(fā)送模塊,用于將所述報文流的流表和NAT連接信息發(fā)送給從防火墻,以使所述從防火墻根據(jù)所述報文流的流表和NAT連接信息轉(zhuǎn)發(fā)所述報文流的非首報文。
13.根據(jù)權(quán)利要求12所述的主防火墻,其特征在于,所述NAT連接信息包括所述報文流的報文長度差值信息、所述NAT模式的期望連接信息和父子流信息,其中所述報文長度差值信息用于確定所述報文流中報文經(jīng)過所述NAT轉(zhuǎn)換后的傳輸控制協(xié)議TCP序列號,所述期望連接信息用于確定經(jīng)過所述NAT模式轉(zhuǎn)換后所述報文流的數(shù)據(jù)連接以及生成父子流信息,所述父子流信息用于確定所述報文流的父/子報文流。
14.根據(jù)權(quán)利要求13所述的主防火墻,其特征在于,所述報文流的報文長度差值信息為所述報文流在經(jīng)過所述NAT轉(zhuǎn)換前后報文長度的差值。
15.根據(jù)權(quán)利要求13所述的主防火墻,其特征在于,所述報文流的期望連接信息包含所述報文流在經(jīng)過所述NAT模式轉(zhuǎn)換前后數(shù)據(jù)連接的端口之間的匹配關(guān)系以及用于生成父子流信息的信息。
16.根據(jù)權(quán)利要求12至16任一項所述的主防火墻,其特征在于,所述發(fā)送模塊具體用于:通過專用鏈路將所述報文流流表和NAT連接信息發(fā)送給所述從防火墻。
17.一種從防火墻,所述從防火墻工作在網(wǎng)絡(luò)地址轉(zhuǎn)換NAT模式下,其特征在于,包括: 接收模塊,用于接收主防火墻發(fā)送的報文流的流表和NAT連接信息, 報文轉(zhuǎn)發(fā)模塊,用于根據(jù)所述流表和所述NAT連接信息轉(zhuǎn)發(fā)所述報文流的非首報文。
18.根據(jù)權(quán)利要求17所述的從防火墻,其特征在于,所述NAT連接信息包括所述報文流的報文長度差值信息、所述報文流的期望連接信息和所述報文流的父子流信息; 所述報文轉(zhuǎn)發(fā)模塊具體用于: 若所述報文流為控制連接,則根據(jù)所述報文流的報文長度差值信息還原所述報文流的傳輸控制TCP序列號,根據(jù)所述流表并在所述NAT連接上按照所述報文流的TCP協(xié)議序列號轉(zhuǎn)發(fā)所述報文流的非首報文; 若所述報文流為數(shù)據(jù)連接,則根據(jù)所述父子流信息確定所述報文流的安全策略與所述報文流的網(wǎng)絡(luò)互聯(lián)協(xié)議IP地址,根據(jù)所述期望連接信息確定所述報文流的端口匹配關(guān)系和生成父子流信息,根據(jù)所述流表、所述報文流的IP地址和所述報文流的端口匹配關(guān)系建立所述數(shù)據(jù)連接,并轉(zhuǎn)發(fā)所述報文流的非首報文。
19.根據(jù)權(quán)利要求18所述的從防火墻,其特征在于,所述報文流的報文長度差值信息為所述報文流在經(jīng)過所述NAT轉(zhuǎn)換前后報文長度的差值。
20.根據(jù)權(quán)利要求18所述的從防火墻,其特征在于,所述報文流的期望連接信息包含所述報文流在經(jīng)過所述NAT模式轉(zhuǎn)換前后所述數(shù)據(jù)連接的端口的匹配關(guān)系以及用于生成父子流信息的信息。
21.根據(jù)權(quán)利要求18所述的從防火墻,其特征在于,所述報文轉(zhuǎn)發(fā)模塊具體用于: 確定所述報文流所屬的父/子流; 如果所述報文流為子流,根據(jù)所述報文流的父流的安全策略確定所述報文流的安全策略與IP地址。
22.根據(jù)權(quán)利要求17-21任一項所述的從防火墻,其特征在于,接收模塊具體用于:通過專用鏈路接收所述報文流的流表和NAT連接信息。
23.一種防火墻系統(tǒng),其特征在于:包括一個如權(quán)利要求12-16任一項所述的主防火墻和至少一個如權(quán)利要求17-22任一項所述的從防火墻,所述主防火墻和所述從防火墻之間通過專用鏈路進行報文流的流表和NAT連接信息的傳輸。
【文檔編號】H04L29/06GK104506513SQ201410784814
【公開日】2015年4月8日 申請日期:2014年12月16日 優(yōu)先權(quán)日:2014年12月16日
【發(fā)明者】陳旭 申請人:北京星網(wǎng)銳捷網(wǎng)絡(luò)技術(shù)有限公司
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點贊!
1