集群防火墙的管理方法和系统的制作方法
【专利摘要】本发明公开了一种集群防火墙的管理方法和系统,其中,该管理方法包括:对于集群防火墙中的每个防火墙以及与该防火墙存在备用关系的备用防火墙分配任务,以便每个防火墙根据接收的任务生成各自的链表;每个防火墙根据各自的链表进行工作,并且,每个防火墙将其链表同步至与该防火墙存在备用关系的备用防火墙,其中,集群防火墙中出现异常防火墙时,该异常防火墙的备用防火墙利用借助同步得到的异常防火墙的链表,接替异常防火墙的任务。本发明通过将任务分配到多个防火墙进行处理能够提高防火墙系统的性能,并且通过在集群防火墙中出现异常防火墙时,该异常防火墙的备用防火墙能接替其任务,避免了出现单点故障的情况。
【专利说明】集群防火墙的管理方法和系统
【技术领域】
[0001]本发明涉及计算机中的系统防火墙领域,并且特别地,涉及ー种集群防火墙的管理方法和系统。
【背景技术】
[0002]防火墙(firewall)是ー种访问控制设备,用来确保网络信息安全,可以依照特定的规则,允许或是限制传输的数据通过。防火墙可以是一台专属的硬件也可以是架设在ー般硬件上的ー套软件。随着网络带宽的增长,传统単一的防火墙已经成为限制网络带宽增长的主要限制瓶颈,极大地制约着网络的实际应用,同时也降低了网络性能和可扩展性,主要原因有:
[0003](I)随着网络视频、IPTV和P2P业务的广泛应用导致互联网络流量高速增长,防火墙网络带宽不够;
[0004](2)防火墙所能处理的连接数目有限,无法处理过多用户的通信需求;
[0005](3)防火墙身兼认证、访问控制、完整性检查等多项任务,处理能力有限。
[0006]单ー的防火墙不仅存在性能问题,还存在单点故障的瓶颈问题。为了解决避免单一防火墙所造成的问题,目前大多数防火墙系统采用双机热备的方式设备防火墙系统。双机热备系统是由两台防火墙及双机热备软件组成,它采用主从工作方式,即一台防火墙节点处于活动工作状态,称为活动防火墙,另一台防火墙节点为备用机,处于热等待监控状态,或者说,双机热备指基于闻可用系统中的两台设备的热备(或闻可用),因两机闻可在使用较多,故得名双机热备,但是双机热备的防火墙系统并没有改变防火墙的单点接入方式。
[0007]针对相关技术中单防火墙接入导致单点故障及性能较低的问题,目前尚未提出有效的解决方案。
【发明内容】
[0008]针对相关技术中单防火墙接入导致单点故障及性能较低的问题,本发明提出ー种集群防火墙的管理方法和系统,能够实现多个防火墙共同处理分配到的任务提高防火墙系统的性能,并且避免了单点故障。
[0009]本发明的技术方案是这样实现的:
[0010]根据本发明的ー个方面,提供了一种集群防火墙的管理方法。
[0011]该管理方法包括:
[0012]对于集群防火墙中的每个防火墙以及与该防火墙存在备用关系的备用防火墙分配任务,以便每个防火墙根据接收的任务生成各自的链表;
[0013]每个防火墙根据各自的链表进行工作,并且,每个防火墙将其链表同步至与该防火墙存在备用关系的备用防火墙,其中,集群防火墙中出现异常防火墙时,该异常防火墙的备用防火墙利用借助同步得到的异常防火墙的链表,接替异常防火墙的任务。
[0014]其中,集群防火墙中每个防火墙的性能相同。[0015]此外,该管理方法进ー步包括:
[0016]为每个防火墙预先配置至少一台备用防火墙。
[0017]进ー步地,集群防火墙中出现异常防火墙时,该异常防火墙的备用防火墙利用借助同步得到的异常防火墙的链表,接替异常防火墙的任务包括:
[0018]根据异常防火墙的备用防火墙的数量划分异常防火墙的任务;
[0019]将划分后的任务切换到与异常防火墙的备用防火墙。
[0020]此外,该管理方法进ー步包括:
[0021]以预定周期检测每个防火墙是否处于工作状态。
[0022]优选地,上述集群防火墙设备用于龙芯架构。
[0023]根据本发明的另ー个方面,提供了一种集群防火墙的管理系统。
[0024]该管理系统包括:
[0025]任务分配模块,用于对于集群防火墙中的每个防火墙以及与该防火墙存在备用关系的备用防火墙分配任务,以便每个防火墙根据接收的任务生成各自的链表;
[0026]每个防火墙包括:同步模块和工作控制模块,其中,同步模块用于将每个防火墙的链表同步至与该防火墙存在备用关系的备用防火墙;工作控制模块用于控制所在的防火墙根据各自的链表进行工作,并且用于所在防火墙的主防火墙出现异常吋,根据该主防火墙的链表接替该主防火墙的任务。
[0027]其中,工作控制模块用于根据异常防火墙的备用防火墙的数量划分异常防火墙的任务;
[0028]工作控制模块还用于将划分后的任务切换到与异常防火墙的备用防火墙。
[0029]此外,该管理系统进一歩包括:
[0030]检测模块,用于以预定周期检测每个防火墙是否处于工作状态。
[0031]优选地,上述集群防火墙设备用于龙芯架构。
[0032]本发明通过将任务分配到多个防火墙进行处理能够提高防火墙系统的性能,并且通过在集群防火墙中出现异常防火墙时,该异常防火墙的备用防火墙能接替其任务,避免了出现单点故障的情況。
【专利附图】
【附图说明】
[0033]图1是根据本发明实施例的集群防火墙的管理方法的流程图;
[0034]图2是根据本发明的一个实施例的管理方法实现的龙芯架构中防火墙集群系统的不意图;
[0035]图3是根据本发明实施例的集群防火墙的管理装置的框图。
【具体实施方式】
[0036]下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员所获得的所有其他实施例,都属于本发明保护的范围。
[0037]根据本发明的实施例,提供了一种集群防火墙的管理方法。[0038]如图1所示,根据本发明实施例的管理方法可以包括:
[0039]步骤S101,对于集群防火墙中的每个防火墙以及与该防火墙存在备用关系的备用防火墙分配任务,以便每个防火墙根据接收的任务生成各自的链表;
[0040]步骤S103,每个防火墙根据各自的链表进行工作,并且,每个防火墙将其链表同步至与该防火墙存在备用关系的备用防火墙(即将本防火墙的链接同步到与该防火墙对应的备用防火墙中),其中,集群防火墙中出现异常防火墙时,该异常防火墙的备用防火墙利用借助同步得到的异常防火墙的链表,接替异常防火墙的任务。
[0041]其中,集群防火墙中的每个防火墙的性能可以相同,也可以根据用户需求设置不同性能的防火墙。
[0042]此外,根据本发明实施例的管理方法可以进一歩为每个防火墙预先配置至少一台备用防火墙,并且,在一个实施例中,可以将除本机外的所有防火墙设置为本机的备用防火
J回O
[0043]进ー步地,集群防火墙中出现异常防火墙时,该异常防火墙的备用防火墙利用借助同步得到的异常防火墙的链表,接替异常防火墙的任务可以根据异常防火墙的备用防火墙的数量划分异常防火墙的任务;然后将划分后的任务切换到与异常防火墙的备用防火
J回O
[0044]此外,根据本发明实施例的管理方法可以进一歩以预定周期检测每个防火墙是否处于工作状态,以便及时地检测出失效的防火墙,便于该失效防火墙的任务分配。
[0045]优选地,上述集群防火墙设备用于龙芯架构。龙芯(Loongson,旧称G0DS0Nl)i—种通用CPU,用于米用简单指令集,类似于MIPS (Million Instructions Per Second,单字长定点指令平均执行速度)指令集。
[0046]根据本发明的一个实施例,提供了一种龙芯防火墙集群的管理方法,如图2所示为根据本发明实施例的管理方法实现的龙芯防火墙集群系统的示意图,该系统主要包括:内部交換机、(龙芯)防火墙、外部交換机和客户端。
[0047]其中,内部交換机的另ー边可以连接服务器(未示出)。
[0048]一组龙芯防火墙共享ー个IP,作为ー个整体向用户提供网络资源,从而为用户提供业务,并且这ー组中的所有龙芯防火墙均共享链表,即,每一台防火墙的链表中均含有其它防火墙的链接,从而可以在任意一台或多台防火墙出现错误的时候,由其它防火墙进行任务接替。可以体现出龙芯防火墙集群系统的高可用性的主要优势,集群防火墙能够自动检测防火墙故障,并且具备会话保护技术(例如通过心跳机制进行会话保护),保证一台防火墙或多台发生问题后,其上的网络流量负载可以迅速切換到其它防火墙上,而用户丝毫不会察觉到瞬间的服务暂停和延迟,从而提供了系统连接正常运行的高可用性。
[0049]防火墙提供的资源通过外部交换机传到客户端,外部交換机也起到负载均衡的作用,在任意一台或多台防火墙出现错误的时候,将无效的防火墙的任务进行划分,然后均衡地分配到其它的防火墙。通过外部交換机可以体现龙芯防火墙集群系统的负载均衡的优势,即通过负载均衡技术解决単一防火墙负载过大的问题,采用集群防火墙的方式,可以从整体上提高防火墙对网络信息处理的能力。此外,龙芯防火墙集群系统还具有可扩展性的优势,良好的可扩展性使得防火墙性能随着防火墙节点数目的増加而线性增长,并且由于防火墙各节点的主动负载均衡技术使得整个集群系统不需要价格昂贵的负载均衡器,具备良好的成本/性能优势。
[0050]此外,龙芯防火墙集群系统还具有高可管理性,系统的管理人员能够在減少防火墙的时候,将减少的防火墙作为失效防火墙,将其上的网络负载分配给集群中其它防火墙,或者在増加防火墙的时候,通过同步连接表来将其它防火墙的流量负载分配到新增的防火墙中,无需人工中断网络连接,即可对防火墙集群节点进行动态维护和升级。
[0051]龙芯防火墙集群系统是实现防火墙高可用性的重要手段。集群式龙芯防火墙是作为单一系统进行管理的ー组独立的防火墙,用于实现更高的可用性、可管理性和更优异的可伸縮性,可通过专用的集群组件和协议来实现。
[0052]根据本发明实现的龙芯防火墙集群系统的实现方法可以将多台性能相同防火墙并行连接,在实现协同工作实现传统单ー防火墙的功能的同时可以获得更高的性能和可用性,防止了传统单一防火墙的单点失效。
[0053]根据本发明的实施例,提供了一种集群防火墙的管理系统。
[0054]根据本发明实施例的管理系统包括:
[0055]任务分配模块31,用于对于集群防火墙中的每个防火墙以及与该防火墙存在备用关系的备用防火墙分配任务,以便每个防火墙根据接收的任务生成各自的链表;
[0056]每个防火墙包括:同步模块32和工作控制模块33,其中,同步模块32用于将每个防火墙的链表同步至与该防火墙存在备用关系的备用防火墙;工作控制模块用于控制所在的防火墙根据各自的链表进行工作,并且用于所在防火墙的主防火墙出现异常吋,根据该主防火墙的链表接替该主防火墙的任务。
[0057]其中,工作控制模33块用于根据异常防火墙的备用防火墙的数量划分异常防火墙的任务;
[0058]工作控制模块33还用于将划分后的任务切换到与异常防火墙的备用防火墙。
[0059]此外,根据本发明实施例的管理系统可以进ー步包括:
[0060]检测模块(未示出),用于以预定周期检测每个防火墙是否处于工作状态。
[0061]优选地,上述集群防火墙设备用于龙芯架构。
[0062]综上所述,借助于本发明的上述技术方案,本发明通过将任务分配到多个防火墙进行处理能够提高防火墙系统的性能,并且通过在集群防火墙中出现异常防火墙时,该异常防火墙的备用防火墙能接替其任务,避免了出现单点故障的情况,本发明的技术方案还提出了一种龙芯防火墙集群系统的实现方法,将多台性能相同的防火墙并行连接,实现协同工作实现传统单ー防火墙的功能,解决了单台龙芯防火墙设备性能不足的问题,可以比传统单一防火墙获得高性能和高可用性,防止了传统单一防火墙的单点失效,提高了产品的性能和灵活性,还具备高可用性、可扩展性、可管理性等应用特征。
[0063]以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
【权利要求】
1.一种集群防火墙的管理方法,其特征在于,包括: 对于所述集群防火墙中的每个防火墙以及与该防火墙存在备用关系的备用防火墙分配任务,以便每个防火墙根据接收的任务生成各自的链表; 每个防火墙根据各自的链表进行工作,并且,每个防火墙将其链表同步至与该防火墙存在备用关系的备用防火墙,其中,所述集群防火墙中出现异常防火墙时,该异常防火墙的备用防火墙利用借助同步得到的所述异常防火墙的链表,接替所述异常防火墙的任务。
2.根据权利要求1所述的管理方法,其特征在于,所述集群防火墙中每个防火墙的性能相同。
3.根据权利要求1所述的管理方法,其特征在干,进ー步包括: 为所述每个防火墙预先配置至少一台备用防火墙。
4.根据权利要求1所述的管理方法,其特征在于,所述集群防火墙中出现异常防火墙时,该异常防火墙的备用防火墙利用借助同步得到的所述异常防火墙的链表,接替所述异常防火墙的任务包括: 根据所述异常防火墙的备用防火墙的数量划分所述异常防火墙的任务; 将划分后的任务切换到与所述异常防火墙的备用防火墙。
5.根据权利要求1所述的管理方法,其特征在干,进ー步包括: 以预定周期检测每个防火墙是否处于工作状态。
6.根据权利要求1至5中任一项所述的管理方法,其特征在于,所述集群防火墙设备用于龙芯架构。
7.一种集群防火墙的管理系统,其特征在于,包括: 任务分配模块,用于对于所述集群防火墙中的每个防火墙以及与该防火墙存在备用关系的备用防火墙分配任务,以便每个防火墙根据接收的任务生成各自的链表; 每个防火墙包括:同步模块和工作控制模块,其中,所述同步模块用于将每个防火墙的链表同步至与该防火墙存在备用关系的备用防火墙;所述工作控制模块用于控制所在的防火墙根据各自的链表进行工作,并且用于所在防火墙的主防火墙出现异常时,根据该主防火墙的链表接替该主防火墙的任务。
8.根据权利要求7所述的管理系统,其特征在于,所述工作控制模块用于根据所述异常防火墙的备用防火墙的数量划分所述异常防火墙的任务; 所述工作控制模块还用于将划分后的任务切换到与所述异常防火墙的备用防火墙。
9.根据权利要求7所述的管理系统,其特征在干,进ー步包括: 检测模块,用于以预定周期检测每个防火墙是否处于工作状态。
10.根据权利要求7至9中任一项所述的管理系统,其特征在于,所述集群防火墙设备用于龙芯架构。
【文档编号】H04L29/06GK103501299SQ201310459338
【公开日】2014年1月8日 申请日期:2013年9月24日 优先权日:2013年9月24日
【发明者】白秀杰 申请人:曙光信息产业(北京)有限公司