基于交换机的防火墙自动bypass的方法及系统与流程

本发明涉及一种网络安全技术领域，特别是涉及一种基于交换机的防火墙自动bypass的方法及系统。

背景技术：

防火墙是网络安全领域用来阻挡对网站的非法请求的一个重要工具，通常串联部署在网络链路中，如果发生故障或者变更操作，则会造成网站的访问问题。有很多品牌和型号的防火墙没有自带bypass(旁路功能)模块，发生问题如电源故障、硬件故障、操作系统故障时，需要工程师到机房现场解决故障，这会浪费大量的时间，无法满足快速恢复网站业务的要求。

技术实现要素：

本发明要解决的技术问题是为了克服现有技术中防火墙没有bypass模块导致出现故障时无法快速恢复的缺陷，提供一种基于交换机的防火墙自动bypass的方法及系统。

本发明是通过下述技术方案来解决上述技术问题的：

本发明提供了一种基于交换机的防火墙自动bypass的方法，其特点在于，包括以下步骤：

S₁、将防火墙接入到两个交换机之间，并部署一条bypass物理线，所述bypass物理线用于将所述两个交换机直接连接；

S₂、配置网络生成树协议，设置所述bypass物理线的网络接口的优先级为高；将所述防火墙的路由信息传输至所述两个交换机上，并设置所述防火墙的路由优先级为高；将所述bypass物理线的网络接口状态设置为down；

S₃、每隔一时间段监测一次所述防火墙的网络状况，在连续若干次出现网络状况异常后执行步骤S₄；

S₄、将所述bypass物理线的网络接口状态设置为up，所述两个交换机之间的流量通过所述bypass物理线运行。

较佳地，步骤S₄之后还包括：

S₅、在监测到所述防火墙的网络状况恢复正常后，将所述bypass物理线的网络接口状态设置为down，并将所述两个交换机通过所述防火墙连接。

较佳地，步骤S₄之后还包括：将所述防火墙自动bypass的信息通过邮件和/或短信发送出去。

本发明的目的在于还提供了一种基于交换机的防火墙自动bypass的系统，其特点在于，包括：

网络部署模块，用于将防火墙接入到两个交换机之间，并部署一条bypass物理线，所述bypass物理线用于将所述两个交换机直接连接；

网络配置模块，用于配置网络生成树协议，设置所述bypass物理线的网络接口的优先级为高；将所述防火墙的路由信息传输至所述两个交换机上，并设置所述防火墙的路由优先级为高；将所述bypass物理线的网络接口状态设置为down；

防火墙监测模块，用于每隔一时间段监测一次所述防火墙的网络状况，在连续若干次出现网络状况异常后则调用一防火墙自动bypass模块；

所述防火墙自动bypass模块用于将所述bypass物理线的网络接口状态设置为up，所述两个交换机之间的流量通过所述bypass物理线运行。

较佳地，所述系统还包括防火墙恢复模块，用于在所述防火墙监测模块监测到所述防火墙的网络状况恢复正常后，将所述bypass物理线的网络接口状态设置为down，并将所述两个交换机通过所述防火墙连接。

较佳地，所述系统还包括信息通知模块，用于将所述防火墙自动bypass的信息通过邮件和/或短信发送出去。

本发明的积极进步效果在于：本发明能够在防火墙出现故障时自动化地执行bypass功能，通过bypass物理线保证两个交换机之间的流量运行，从而节省了排障和变更的时间，可以最快时间恢复网站业务；并且本发明无需工程师手动登录交换机执行命令，可以大大减少人工出错的概率，同时本发明可以提高工作效率，对于防火墙数量众多的大中型网站非常有益。

附图说明

图1为本发明的较佳实施例的基于交换机的防火墙自动bypass的系统的模块示意图。

图2为本发明的较佳实施例的基于交换机的防火墙自动bypass的方法的流程图。

具体实施方式

下面通过实施例的方式进一步说明本发明，但并不因此将本发明限制在所述的实施例范围之中。

如图1所示，本发明的基于交换机的防火墙自动bypass的系统包括网络部署模块1、网络配置模块2、防火墙监测模块3、防火墙自动bypass模块4、防火墙恢复模块5以及信息通知模块6。

其中，所述网络部署模块1用于将防火墙接入到两个交换机之间，并部署一条bypass物理线，所述bypass物理线用于将所述两个交换机直接连接；所述网络配置模块2则配置网络生成树协议，设置所述bypass物理线的网络接口(即交换机的网络直连接口)的优先级为高；将所述防火墙的路由信息传输至所述两个交换机上，并设置所述防火墙的路由优先级为高；将所述bypass物理线的网络接口状态设置为down，此时所述两个交换机之间的流量通过所述防火墙运行；

所述防火墙监测模块3用于每隔一时间段(例如：5s)监测一次所述防火墙的网络状况，在连续若干次(例如：3次)出现网络状况异常后则调用所述防火墙自动bypass模块4；若连续若干次出现网络状况异常，则说明所述防火墙出现故障，具体出现故障的原因可包括电源故障、硬件故障、操作系统故障等，此时可下达指令给所述防火墙自动bypass模块4；

所述防火墙自动bypass模块4在接收到指令后会让程序自动登录交换机，并将所述bypass物理线的网络接口状态设置为up，根据网络生成树协议的理论，此时所述两个交换机之间的流量通过所述bypass物理线运行，不再经过所述防火墙。

而所述信息通知模块6则会将所述防火墙自动bypass的信息通过邮件、短信的方式发送给工程师，以及时将相关信息通知到工程师。

在所述防火墙监测模块3检测到所述防火墙的网络状况恢复正常后，所述防火墙恢复模块5还将所述bypass物理线的网络接口状态设置为down，并将所述两个交换机通过所述防火墙连接，此时所述两个交换机之间的流量会自动切换为通过所述防火墙运行，而不再经过所述bypass物理线。

如图2所示，本发明的基于交换机的防火墙自动bypass的方法包括以下步骤：

步骤101、将防火墙接入到两个交换机之间，并部署一条bypass物理线，所述bypass物理线用于将所述两个交换机直接连接；

步骤102、配置网络生成树协议，设置所述bypass物理线的网络接口的优先级为高；将所述防火墙的路由信息传输至所述两个交换机上，并设置所述防火墙的路由优先级为高；将所述bypass物理线的网络接口状态设置为down；

步骤103、每隔一时间段监测一次所述防火墙的网络状况，在连续若干次出现网络状况异常后执行步骤104，否则就重复执行步骤103；

步骤104、将所述bypass物理线的网络接口状态设置为up，所述两个交换机之间的流量通过所述bypass物理线运行；

步骤105、将所述防火墙自动bypass的信息通过邮件和/或短信发送出去；

步骤106、在监测到所述防火墙的网络状况恢复正常后，将所述bypass物理线的网络接口状态设置为down，并将所述两个交换机通过所述防火墙连接。

虽然以上描述了本发明的具体实施方式，但是本领域的技术人员应当理解，这些仅是举例说明，本发明的保护范围是由所附权利要求书限定的。本领域的技术人员在不背离本发明的原理和实质的前提下，可以对这些实施方式做出多种变更或修改，但这些变更和修改均落入本发明的保护范围。