一种防火墙双机热备方法、装置及系统与流程

本发明计算机技术，尤指一种防火墙双机热备方法、装置及系统。

背景技术：

防火墙通常作为保护屏障设置在网络节点，如内部网和外部网之间，或专用网与公共网之间。

现有技术中，为了规避设置在网络节点的防火墙出现单点故障，通常在该网络节点处部署两个防火墙。通过将主防火墙中的连接数据全部同步备份到备用防火墙中，以使在主防火墙出现故障时，启用备用防火墙，实现全网通信。

然而，现有技术通常是将主防火墙中的连接数据全部同步备份到备用防火墙的过程中，降低了备份连接数据的效率。

技术实现要素：

为了解决上述技术问题，本发明提供了一种防火墙双机热备方法、装置及系统，用以解决备份连接数据效率较低的问题。

为了达到本发明目的，本发明提供了一种防火墙双机热备方法，包括：

主防火墙获取第一优先级连接数据，所述第一优先级连接数据包括当前所述主防火墙的备份连接数据组中优先级最高的连接数据；

所述主防火墙将所述第一优先级连接数据设置在同步备份数据包中；

所述主防火墙向备份防火墙发送所述同步备份数据包，以使所述备份防火墙将所述第一优先级连接数据备份在所述备份防火墙自身。

进一步的，所述主防火墙获取第一优先级连接数据之前，还包括：

所述主防火墙根据连接数据信息，确定需要备份的所述备份连接数据组。

进一步的，所述主防火墙根据连接数据信息，确定需要备份的所述备份连接数据组，包括：

将所述备份数据组中各连接数据进行优先级处理，获得优先级从高向低的连接数据排序。

进一步的，所述主防火墙获取第一优先级连接数据之前，还包括：

确定所述主防火墙的至少一部分连接数据为所述备份连接数据组；

确定所述备份连接数据组中各连接数据对应的协议类型；

根据所述协议类型对所述各连接数据进行优先级处理，获得优先级从高向低的连接数据排序。

进一步的，所述主防火墙将第一优先级连接数据设置在同步备份数据包中之前，还包括：

确定所述同步备份数据包是否有剩余空间；

若有，则执行所述主防火墙将第一优先级连接数据设置在同步备份数据包中；

若否，则申请内存空间，用以存放所述同步备份数据包。

进一步的，所述主防火墙将第一优先级连接数据设置在同步备份数据包中之后，还包括：

确定所述同步备份数据包是否已满；

若是，则执行所述主防火墙向备份防火墙发送所述同步备份数据包，以使所述备份防火墙将所述第一优先级连接数据备份在所述备份防火墙自身；

若否，则执行主防火墙确定第一优先级连接数据。

本发明还提供了一种防火墙双机热备方法，包括：

备份防火墙获取主防火墙发送的同步备份数据包，所述同步备份数据包 包括第一优先级连接数据，所述第一优先级连接数据包包括当前备份连接数据组中优先级最高的连接数据；

所述备份防火墙根据所述同步备份数据包，将所述第一优先级连接数据备份在所述备份防火墙自身。

进一步的，所述备份防火墙根据所述同步备份数据包，将所述第一优先级连接数据备份在所述备份防火墙自身，包括：

所述备份防火墙根据所述同步备份数据包中各连接数据的标识，将所述各连接数据备份在所述备份防火墙自身。

本发明还提供了一种防火墙双机热备装置，包括：

获取模块，用于获取第一优先级连接数据，所述第一优先级连接数据包括当前所述主防火墙的备份连接数据组中优先级最高的连接数据；

设置模块，用于将第一优先级连接数据设置在同步备份数据包中；

发送模块，用于向备份防火墙发送所述同步备份数据包，以使所述备份防火墙将所述第一优先级连接数据备份在所述备份防火墙自身。

进一步的，还包括：确定模块，

所述确定模块，用于主防火墙根据连接数据信息，确定需要备份的所述备份连接数据组。

进一步的，所述确定模块，具体用于将所述备份数据组中各连接数据进行优先级处理，获得优先级从高向低的连接数据排序。

进一步的，所述确定模块，还用于确定所述主防火墙的至少一部分连接数据为所述备份连接数据组；确定所述备份连接数据组中各连接数据对应的协议类型；根据所述协议类型对所述各连接数据进行优先级处理，获得优先级从高向低的连接数据排序。

进一步的，所述确定模块，还用于确定所述同步备份数据包是否有剩余空间；若有，则执行所述主防火墙将第一优先级连接数据设置在同步备份数据包中；若否，则申请内存空间，用以存放所述同步备份数据包。

进一步的，所述确定模块，还用于确定所述同步备份数据包是否已满； 若是，则执行所述主防火墙向备份防火墙发送所述同步备份数据包，以使所述备份防火墙将所述第一优先级连接数据备份在所述备份防火墙自身；若否，则执行主防火墙确定第一优先级连接数据。

本发明还提供了一种防火墙双机热备装置，包括：

获取模块，用于获取主防火墙发送的同步备份数据包，所述同步备份数据包包括第一优先级连接数据，所述第一优先级连接数据包包括当前备份连接数据组中优先级最高的连接数据；

备份模块，用于根据所述同步备份数据包，将所述第一优先级连接数据备份在所述备份防火墙自身。

进一步的，所述备份模块，具体用于根据所述同步备份数据包中各连接数据的标识，将所述各连接数据备份在所述备份防火墙自身。

本发明还提供了一种防火墙双机热备系统，包括：如上述所述的防火墙双机热备装置和如上述所述的防火墙双机热备装置。与现有技术相比，本发明包括，主防火墙获取第一优先级连接数据，所述第一优先级连接数据包括当前所述主防火墙的备份连接数据组中优先级最高的连接数据；所述主防火墙将第一优先级连接数据设置在同步备份数据包中；所述主防火墙向备份防火墙发送所述同步备份数据包，以使所述备份防火墙将所述第一优先级连接数据备份在所述备份防火墙自身。实现了将主防火墙中优先级高的连接数据备份到备份防火墙中，从而减少了备份的数据量，并减少了备份时间，进而提高了备份的效率。本发明的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。

附图说明

附图用来提供对本发明技术方案的进一步理解，并且构成说明书的一部分，与本申请的实施例一起用于解释本发明的技术方案，并不构成对本发明技术方案的限制。

图1为本发明异步数据传输方法一实施例的流程示意图；

图2为本发明同步备份数据包的结构示意图；

图3为本发明防火墙双机热备方法方法另一实施例的流程示意图；

图4为本发明防火墙双机热备方法再一实施例的流程示意图；

图5为本发明防火墙双机热备装置一实施例的结构示意图；

图6为本发明防火墙双机热备装置另一实施例的结构示意图

图7为本发明防火墙双机热备装置再一实施例的结构示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚明白，下文中将结合附图对本发明的实施例进行详细说明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互任意组合。

在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行。并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。

本发明实施例提供的防火墙双机热备方法具体可以应用于同一网络节点中设置的两个防火墙，即主防火墙与备份防火墙之间的数据同步时，也就是说，在主防火墙工作正常是，将备份数据与备份防火墙进行数据同步，即备份连接数据时。本实施例提供的防火墙双机热备方法具体可以通过防火墙双机热备装置来执行，该防火墙双机热备装置可以集成在防火墙中，该防火墙双机热备装置可以采用软件和/或硬件的方式来实现。以下对本实施例提供的防火墙双机热备方法进行详细地说明。

图1为本发明防火墙双机热备方法方法一实施例的流程示意图，图2为本发明同步备份数据包的结构示意图，如图1所示，该方法包括如下步骤：

步骤101、主防火墙获取第一优先级连接数据。

本实施例中的所述第一优先级连接数据包括当前所述主防火墙的备份连接数据组中优先级最高的连接数据。

在本实施例中，确定备份连接数据组至少包括以下三种实现方式：

第一种实现方式，主防火墙根据连接数据信息，确定需要备份的所述备份连接数据组。

举例来讲，在配置时对一些需要备份的连接数据配置到虚拟局域网1(Virtual Local Area Network简称VLAN)里；不需要备份的连接配置到vlan2里。在vlan1里绑定虚拟路由冗余协议(Virtual Router Redundancy Protocol，简称VRRP)组标识id，并关联到连接数据中。这样在同步数据的时候可以只同步vlan1的数据，减少了需要同步的数据总量，从而提高了同步效率。这样可以尽可能的保证重要的连接在主备切换时做到平滑切换。

第二种实现方式，可以在第一种实现方式的基础上，将所述备份数据组中各连接数据进行优先级处理，获得优先级从高向低的连接数据排序。例如，当有多个需要备份的实例时，可以在各个ha实例之间配置不同的优先级。把一些非常重要的连接配置到vlan1里；比较重要的连接配置到vlan2里；不需要备份的普通连接如配置到vlan3里。在vlan1和vlan2里分别绑定不同的vrrp组id，关联到不同的ha实例中。并且vlan1关联的ha实例配置较高的优先级，并且vlan2关联的ha实例中配置较低的优先级。这样在同步数据的时候可以只同步vlan1和vlan2的数据，当vlan1和vlan2的连接信息同时发送改变时，优先同步vlan1的变化，这样可以尽可能的保证重要的连接在主备切换时做到平滑切换。

第三种实现方式，确定所述主防火墙的至少一部分连接数据为所述备份连接数据组；确定所述备份连接数据组中各连接数据对应的协议类型，根据所述协议类型对所述各连接数据进行优先级处理，获得优先级从高向低的连接数据排序。举例来讲，第一组连接数据组的优先级低，第二组连接数据的优先级中，第三组连接数据组的优先级高。可以在第一组连接数据中配置http协议类型，第二组连接数据组中配置qq等即时通讯协议，第三组连接数据中配置视频会议协议。这样当这些协议的连接状态发生改变时，会对连接的协议类型进行自动识别，根据配置把不同的协议放入到不同优先级的连接数据组中，然后依照优先级从高到低的顺序进行备份。这样可以尽可能的保证视频会议等重要的连接在主备切换时做到平滑切换。

需要说明的是，该连接数据包括主防火墙与内部网或外部网的连接数据，也可以是配置信息。

步骤102、所述主防火墙将第一优先级连接数据设置在同步备份数据包中。

需要说明的是，第一优先级连接数据可以是一个连接数据，也可以是一组连接数据，在此不做限制。如图2所示，该同步备份数据包包括数据Ha数据包包头，其包头后包括多个存储连接数据的存储空间。每一存储空间可以存储一连接数据。举例来讲，可以将第一优先级连接数据中多个连接数据分别依次存储在如图2所示的存储空间中。

步骤103、所述主防火墙向备份防火墙发送所述同步备份数据包，以使所述备份防火墙将所述第一优先级连接数据备份在所述备份防火墙自身。

在本实施例中，主防火墙获取第一优先级连接数据，所述第一优先级连接数据包括当前所述主防火墙的备份连接数据组中优先级最高的连接数据；所述主防火墙将第一优先级连接数据设置在同步备份数据包中；所述主防火墙向备份防火墙发送所述同步备份数据包，以使所述备份防火墙将所述第一优先级连接数据备份在所述备份防火墙自身。实现了将主防火墙中优先级高的连接数据备份到备份防火墙中，从而减少了备份的数据量，并减少了备份时间，进而提高了备份的效率。

图3为本发明防火墙双机热备方法方法另一实施例的流程示意图，如图3所示，本实施例的方法的执行主体可以是主防火墙。该方法包括如下步骤：

步骤301、确定同步备份数据包是否有剩余空间。

在本实施例中，若有，即确定上一级别优先级的连接数据存放在该同步备份数据包之后，还有剩余的存储空间，则执行步骤303，若否，即需要重新申请内存空间，则执行步骤302。

步骤302、申请内存空间，用以存放所述同步备份数据包。

步骤303、主防火墙获取第一优先级连接数据。

本实施例中的所述第一优先级连接数据包括当前所述主防火墙的备份连接数据组中优先级最高的连接数据。

本实施例的实现方式与步骤101的实现方式原理及效果类似，在此不再赘述。

步骤304、所述主防火墙将第一优先级连接数据设置在同步备份数据包中。

步骤305、确定所述同步备份数据包是否已满。

在本事实例中，若是，则执行306，若否，则执行步骤301。

步骤306、所述主防火墙向备份防火墙发送所述同步备份数据包，以使所述备份防火墙将所述第一优先级连接数据备份在所述备份防火墙自身。

图4为本发明防火墙双机热备方法再一实施例的流程示意图，如图4所示，该方法包括如下步骤：

步骤401、备份防火墙获取主防火墙发送的同步备份数据包。

在本实施例中，所述同步备份数据包包括第一优先级连接数据，所述第一优先级连接数据包包括当前备份连接数据组中优先级最高的连接数据；

步骤402、所述备份防火墙根据所述同步备份数据包，将所述第一优先级连接数据备份在所述备份防火墙自身。

具体的，所述备份防火墙根据所述同步备份数据包中各连接数据的标识，将所述各连接数据备份在所述备份防火墙自身。

在本实施例中，通过备份防火墙获取主防火墙发送的同步备份数据包，所述同步备份数据包包括第一优先级连接数据，所述第一优先级连接数据包包括当前备份连接数据组中优先级最高的连接数据；所述备份防火墙根据所述同步备份数据包，将所述第一优先级连接数据备份在所述备份防火墙自身。实现了将主防火墙中优先级高的连接数据备份到备份防火墙中，从而减少了备份的数据量，并减少了备份时间，进而提高了备份的效率。

图5为本发明防火墙双机热备装置一实施例的结构示意图，如图5所示，该防火墙双机热备装置，包括：获取模块51、设置模块52和发送模块53。其中，

获取模块51，用于获取第一优先级连接数据，所述第一优先级连接数据包括当前所述主防火墙的备份连接数据组中优先级最高的连接数据；

设置模块52，用于将第一优先级连接数据设置在同步备份数据包中；

发送模块53，用于向备份防火墙发送所述同步备份数据包，以使所述备份防火墙将所述第一优先级连接数据备份在所述备份防火墙自身。

在本实施例中，实现了将主防火墙中优先级高的连接数据备份到备份防火墙中，从而减少了备份的数据量，并减少了备份时间，进而提高了备份的效率。

图6为本发明防火墙双机热备装置另一实施例的结构示意图，如图6所示，在上述实施例的基础上，该防火墙双机热备装置，还可以包括：确定模块54。其中，确定模块54，用于主防火墙根据连接数据信息，确定需要备份的所述备份连接数据组。

进一步的，在上述实施例的基础上，确定模块54，具体用于将所述备份数据组中各连接数据进行优先级处理，获得优先级从高向低的连接数据排序。

可选的，确定模块54，还用于确定所述主防火墙的至少一部分连接数据为所述备份连接数据组；确定所述备份连接数据组中各连接数据对应的协议类型；根据所述协议类型对所述各连接数据进行优先级处理，获得优先级从高向低的连接数据排序。

进一步的，在上述实施例的基础上，所述确定模块54，还用于确定所述同步备份数据包是否有剩余空间；若有，则执行所述主防火墙将第一优先级连接数据设置在同步备份数据包中；若否，则申请内存空间，用以存放所述同步备份数据包。

进一步的，在上述实施例的基础上，所述确定模块54，还用于确定所述同步备份数据包是否已满；若是，则执行所述主防火墙向备份防火墙发送所述同步备份数据包，以使所述备份防火墙将所述第一优先级连接数据备份在所述备份防火墙自身；若否，则执行主防火墙确定第一优先级连接数据。

图7为本发明防火墙双机热备装置再一实施例的结构示意图，如图7所示，该防火墙双机热备装置，包括：获取模块71和备份模块72。其中，

获取模块71，用于获取主防火墙发送的同步备份数据包，所述同步备份数据包包括第一优先级连接数据，所述第一优先级连接数据包包括当前备份连接数据组中优先级最高的连接数据；

备份模块72，用于根据所述同步备份数据包，将所述第一优先级连接数据备份在所述备份防火墙自身。

在本实施例中，实现了将主防火墙中优先级高的连接数据备份到备份防火墙中，从而减少了备份的数据量，并减少了备份时间，进而提高了备份的效率。

进一步的，在上述实施例的基础上，备份模块62，具体用于根据所述同步备份数据包中各连接数据的标识，将所述各连接数据备份在所述备份防火墙自身。

本发明还提供一种防火墙双机热备系统，包括：如图4和图5所述的防火墙双机热备装置和如图6所述的防火墙双机热备装置。

虽然本发明所揭露的实施方式如上，但所述的内容仅为便于理解本发明而采用的实施方式，并非用以限定本发明。任何本发明所属领域内的技术人员，在不脱离本发明所揭露的精神和范围的前提下，可以在实施的形式及细节上进行任何的修改与变化，但本发明的专利保护范围，仍须以所附的权利要求书所界定的范围为准。