实现高可靠安全性的防火墙系统的制作方法

发明涉及防火墙技术领域，尤其涉及一种实现高可靠安全性的防火墙系统。

背景技术：

防火墙是系统的第一道防线，其作用是防止非法用户的进入。在工业环境中，对串联在网络中的设备的稳定性、健壮性以及安全性的要求非常高，从而对部署在工业网络中的防火墙有了更多的要求。

传统是一台物理设备上部署一个防火墙系统，并以单个进程或多个进程的运行形态方式，一旦因为设备软件bug或外部攻击导致防火墙系统奔溃，会导致业务中断。此外不同的业务特征，对安全性的要求也不同，故而对防火墙安全处理的要求也不同。传统提高网络健壮性、减少业务中断概率的方法是双机热备或多机部署。而解决不同业务安全性的通用做法，是部署不同的安全设备。这种方式弊端在于：需要一次性买两台或多台防火墙，对于业务流量带宽不高而业务多样化的应用场景下，会造成资源浪费；而且组网和管理维护复杂，两个物理防火墙之间一旦备份不及时，也会导致业务中断问题，此外对网管人员要求也较高。

因此，在用户对带宽需要不高，且业务灵活多样性的情况以及工业等网络中对防火墙设备要求高稳定、可靠性的应用场合的需求，由目前解决方案导致的前期投入大和维护成本高，而且会造成资源浪费。

技术实现要素：

发明提供的实现高可靠安全性的防火墙系统，其主要目的在于克服现有由目前解决方案导致的前期投入大和维护成本高，而且会造成资源浪费的问题。

为解决上述技术问题，发明采用如下技术方案：

一种实现高可靠安全性的防火墙系统，包括配置于一台物理设备上的管理子防火墙和至少两个业务子防火墙；所述物理设备具有多核cpu；

每个子防火墙均单独与cpu核进行绑定，且相互之间的进程独自运行；

每个所述业务子防火墙，与所述管理子防火墙连接，启用进程处理业务，并根据预设的安全检测树控制业务的数据包进出；

所述管理子防火墙，通过心跳机制对每个业务子防火墙进行管理；在监控到某个业务子防火墙的cpu使用率高于第一阈值时，将该业务子防火墙的进程调度到cpu使用率低于第二阈值的业务子防火墙中运行。

作为一种可实施方式，所述管理子防火墙还用于，在监控到某个业务子防火墙奔溃时，将该业务子防火墙的进程调度到cpu使用率低于第二阈值的业务子防火墙中运行。

作为一种可实施方式，所述安全检测树是由与每个子防火墙进程配置的安全规则在内存中编译创建的。

作为一种可实施方式，每两个所述业务子防火墙组成一个备份组；备份组中的业务子防火墙采用相同的安全检测树。

作为一种可实施方式，在一个备份组中，每个业务子防火墙均会创建共享内存用于存储对应的转发表数据。

作为一种可实施方式，所述转发表数据包括路由表、arp表以及会话表。

作为一种可实施方式，所述业务子防火墙包括第一防护防火墙、第二防护防火墙以及第三防护防火墙；

所述第一防护防火墙，与工业报文的网卡连接；

所述第二防护防火墙，与数据库的网卡连接；

所述第三防护防火墙，与企业办公上网的网卡连接。

作为一种可实施方式，所述第一防护防火墙为备份组的防火墙。

作为一种可实施方式，所述管理子防火墙，与管理报文的网卡连接。

与现有技术相比，本技术方案具有以下优点：

发明提供的实现高可靠安全性的防火墙系统，在一台物理设备上，通过配置出管理子防火墙和至少两个业务子防火墙，且物理设备具有多核cpu；每个子防火墙均单独与cpu核进行绑定，且相互之间的进程独自运行；通过管理子防火墙对每个业务子防火墙进行管理；在监控到某个业务子防火墙的cpu使用率高于第一阈值时，将该业务子防火墙的进程调度到cpu使用率低于第二阈值的业务子防火墙中运行。从而充分利用物理设备中多核cpu的资源配合管理子防火墙和至少两个业务子防火墙，以满足用户对带宽需要不高，且业务灵活多样性的情况以及工业等网络中对防火墙设备要求高稳定、可靠性的应用场合的需求，且节约用户的前期投资和后续维护成本，降低资源浪费。

附图说明

图1为发明实施例一提供的实现高可靠安全性的防火墙系统的结构示意图。

图中：1、管理子防火墙；2、业务子防火墙。

具体实施方式

以下结合附图，对发明上述的和另外的技术特征和优点进行清楚、完整地描述，显然，所描述的实施例仅仅是发明的部分实施例，而不是全部实施例。

请参阅图1，发明实施例一提供的实现高可靠安全性的防火墙系统，包括配置于一台物理设备上的管理子防火墙1和至少两个业务子防火墙2；物理设备具有多核cpu；

每个子防火墙均单独与cpu核进行绑定，且相互之间的进程独自运行；

每个业务子防火墙2，与管理子防火墙1连接，启用进程处理业务，并根据预设的安全检测树控制业务的数据包进出；

管理子防火墙1，通过心跳机制对每个业务子防火墙2进行管理；在监控到某个业务子防火墙2的cpu使用率高于第一阈值时，将该业务子防火墙2的进程调度到cpu使用率低于第二阈值的业务子防火墙2中运行。

需要说明的是，本发明充分利用一台物理设备多核cpu的资源，在一台物理设备上设置多个子防火墙的系统，每个子防火墙系统启一个或多个进程，利用cpu的亲和性，把进程与cpu核进行绑定。每个子防火墙是独立处理业务的，从外部整体来看，每个子防火墙系统类似于传统的一台物理防火墙系统，即子防火墙系统之间进程隔离，内存隔离，安全规则隔离，网络层隔离。这里的子防火墙包括管理子防火墙1和至少两个业务子防火墙2。管理子防火墙1和业务子防火墙2之间也隔离，它们之间采用不同安全检测树。从而提高安全性。

也就是说，在一台多核cpu架构的物理设备上虚拟出多个子防火墙，每个子防火墙都可以拿来作为一个真实的防火墙来用。其中一个子防火墙不跑业务，专门用来作为管理子防火墙1。其余子防火墙用来跑业务，作为业务子防火墙2；每个业务子防火墙2有自己独立的进程来处理业务。管理子防火墙1专门用来监控管理所有业务子防火墙2，进行统一资源调度；从而一台物理设备的多核cpu资源；通过创建出管理子防火墙1和多个业务子防火墙2，用于有效的安全检测防护以及高稳定高性能防火墙，从而在充分解决客户需求的前提下，节约用户的前期投资和后续维护成本。

管理子防火墙1管理所有业务子防火墙2，它拥有所有业务子防火墙2的相关信息，相关信息可以包括，每个业务子防火墙2的对应网卡的接收队列和发送队列；每个业务子防火墙2备份组的信息，即整个防火墙系统上有多少个备份组，每个备份组中包含了哪几个业务子防火墙2，每个业务子防火墙2使用的cpu；每个业务子防火墙2上运行的进程的信息；每个业务子防火墙2在共享内存中使用的转发表数据，转发表数据包括路由表、arp表以及会话表等相关数据。管理子防火墙1是通过心跳机制来监控cpu和进程，来实时获取各业务子防火墙2的运行状态，从而进行统一资源调度。

在一台物理设备上，通过配置出管理子防火墙1和至少两个业务子防火墙2，且物理设备具有多核cpu；每个子防火墙均单独与cpu核进行绑定，且相互之间的进程独自运行；通过管理子防火墙1对每个业务子防火墙2进行管理；在监控到某个业务子防火墙2的cpu使用率高于第一阈值时，将该业务子防火墙2的进程调度到cpu使用率低于第二阈值的业务子防火墙2中运行。从而充分利用物理设备中多核cpu的资源配合管理子防火墙1和至少两个业务子防火墙2，以满足用户对带宽需要不高，且业务灵活多样性的情况以及工业等网络中对防火墙设备要求高稳定、可靠性的应用场合的需求，且节约用户的前期投资和后续维护成本，降低资源浪费。

于一实施例中，统一资源调度可以为，在监控到某个业务子防火墙2的cpu使用率高于第一阈值时，将该业务子防火墙2的进程调度到cpu使用率低于第二阈值的业务子防火墙2中运行。也可以是将该业务子防火墙2的进程调度到cpu使用率低于第二阈值，且cpu使用率最低的业务子防火墙2中运行。具体为：管理子防火墙1上开启一个进程作为监控进程，用于监控各业务子防火墙2进程所使用的cpu的运行状态，即cpu使用率。cpu使用率高于第一阈值时，说明使用此cpu的业务子防火墙2业务繁忙；cpu使用率低于第二阈值时，说明使用此cpu的业务子防火墙2业务空闲；从而通过cpu使用情况来判断业务子防火墙2的运行状态。第一阈值和第二阈值可以是不相同的，第一阈值比第二阈值大。第一阈值和第二阈值也可以是相同的。于本实施例中，对此并不进行限制。一旦监控到某个业务子防火墙2的cpu使用率高于第一阈值时，将该业务子防火墙2的进程调度到cpu使用率低于第二阈值的业务子防火墙2中运行，从而提高运行的稳定性和可靠性。

于另一实施例中，在监控到某个业务子防火墙2奔溃时，将该业务子防火墙2的进程调度到cpu使用率低于第二阈值的业务子防火墙2中运行。也可以是将该业务子防火墙2的进程调度到cpu使用率低于第二阈值，且cpu使用率最低的业务子防火墙2中运行。管理子防火墙1上的监控进程会定期发心跳探测报文给各业务子防火墙2上运行的进程。如果管理子防火墙1能在事先设定的预期时间内收到业务子防火墙2进程的发来的心跳报文，则说明此业务子防火墙2运行良好；否则说明此业务子防火墙2进程崩溃，也即业务子防火墙2崩溃。比如，因为外部攻击或软件bug导致一个子防火墙系统奔溃；作为管理子防火墙1上的监控进程会因为不能按时收到心跳报文而立刻感知得到，从而通过监控获知到的当前所有运行正常的业务子防火墙2的cpu使用情况，把奔溃的那个业务子防火墙2上跑的业务及时调度到当前cpu使用率最低的业务子防火墙2上。具体来说，就是先在所有业务子防火墙2中找出当前cpu占用率最低的业务子防火墙2系统，假设当前cpu占用率最低的业务子防火墙2记为业务子防火墙2，然后管理子防火墙1给业务子防火墙2发一个消息，称为业务接管通知消息；此接管通知消息中包括被接管的业务子防火墙2的网卡的接收队列和发送队列，以及被接管的业务子防火墙2在共享内存中使用的转发表数据(包括arp表、路由表以及会话表)。

本发明相比较于双机或多机备份，业务接管调度的速度更快，各业务子防火墙2之间的业务不感知。此外，对防火墙来说，不同数据来源，其数据特征不同，对安全防护要求也不同，其安全适用的安全规则也不同。而安全检测树是由与每个子防火墙进程配置的安全规则在内存中编译创建的。也就是说安全检测树是根据防火墙安全规则在内存中生成的一种二叉树，使得安全检测树也不同。一般来说，一个子防火墙上创建一棵安全检测树，尤其第二代防火墙上一体化安全策略应用更是如此。不同的业务模型，其安全策略侧重点不同，编译创建生成的安全检测树也不同。所以不同的业务使用的业务子防火墙2不同。

于本实施例中，每两个业务子防火墙2组成一个备份组；备份组中的业务子防火墙2采用相同的安全检测树。当然，可以由多个业务子防火墙2组成一个备份组。利用备份组，可以进一步提高网络稳定性和可靠性，如图1所示，业务子防火墙a和业务子防火墙b组成一个备份组。备份组中每个业务子防火墙2的配置是一样的，即一样的安全策略规则配置。每个业务子防火墙2根据配置的安全规则在自己的内存中编译生成自己的安全检测树，那么备份组中所有的业务子防火墙2上的安全检测树都是一样的。此外，每个业务子防火墙2使用的转发表数据放在共享内存，即通过创建共享内存，把备份组中业务子防火墙2转发需要的路由表、arp表以及会话表都放在共享内存中。并且每个业务子防火墙2独自创建自己的表，即独享各自的路由表、arp表和会话表。防火墙收包转发时是查路由转发，所以需要使用路由表和arp表，后续报文是流转发，是查会话表转发的。而会话表是在防火墙首包通过防火墙安全检测之后创建的，用于指定后续报文转发。

正常情况下，每个业务子防火墙2从自己的网卡接收队列中取报文，解析报文。对于首包来说，先进行安全检测：在自己的内存中使用安全检测树对报文做检测，生成会话表放在共享内存中自己的会话表中。之后报文通过查表把报文放到自己对应的网卡发送队列中。对于非首包报文，去共享内存中查相关表。这样正常情况下，各子防火墙各跑各自的业务，各自查找自己的表，相比共享使用一张表，不需要使用锁，由于表分开，以提高查找效率。

在备份组中，当监测到某个业务子防火墙2发生进程奔溃，可以将该业务子防火墙2的业务调度到备份组中另一业务子防火墙2中运行。当备份组中某个业务子防火墙2发生进程奔溃。比如，业务子防火墙a发生故障，进程奔溃，备份组中的业务子防火墙b立刻接管业务子防火墙a的业务。具体过程：业务子防火墙a一发生进程崩溃，管理子防火墙1通过心跳机制会立刻感知得到，然后根据监控到的备份组中的各业务子防火墙2的cpu使用情况，把当前cpu较闲的子防火墙找出来，然后通知它去接管发生故障的那个子防火墙的业务。即管理子防火墙1通知业务子防火墙b去做两件事情：第一，去业务子防火墙a对应的网卡的接收队列中取报文，即去网卡1和网卡2的接收队列中取报文进行处理。需要查表转发时，去共享内存中查业务子防火墙a的相关转发表，需要做安全检测时，可以使用业务子防火墙b现成的安全检测规则树进行一系列检测；第二，接管维护业务子防火墙a的各转发表数据(会话表/路由表/arp表)。

为了扩展应用场景，用于不同的业务模型进行安全检测时，业务子防火墙2包括第一防护防火墙、第二防护防火墙以及第三防护防火墙；第一防护防火墙，与工业报文的网卡连接；第二防护防火墙，与数据库的网卡连接；第三防护防火墙，与企业办公上网的网卡连接。管理子防火墙1，与管理报文的网卡连接。第一防护防火墙可以为备份组的防火墙。于其他实施例中，第二防护防火墙和第三防护防火墙也可以为备份组的防火墙。

比如，当用于不同的业务模型进行安全检测时，同一台物理设备上，两个业务子防火墙2作为一个备份组，即为第一防护防火墙，用于接工业网络，用于工业网络数据处理；此外一个业务子防火墙2用于数据库防火墙；即为第二防护防火墙专门用于数据库防护；还有一个第三防护防火墙用于接办公网络，用于企业网防火墙网关。共有三种防火墙角色，这三种防火墙上跑的业务类型不同，其适用的安全规则不同。比如，工业网络中防火墙主要跑的工业协议报文，其安全防护规则主要是针对公网网络漏洞和病毒以及攻击。数据库防火墙主要用于数据库的防护，其上跑的业务主要是各种数据库协议，其安全防护规则是针对数据库的漏洞和攻击以及数据窃密。企业网防火墙上是通用的员工上网的各种报文处理，其安全防护规则和前两种也不同。

发明虽然已以较佳实施例公开如上，但其并不是用来限定发明，任何本领域技术人员在不脱离发明的精神和范围内，都可以利用上述揭示的方法和技术内容对发明技术方案做出可能的变动和修改，因此，凡是未脱离发明技术方案的内容，依据发明的技术实质对以上实施例所作的任何简单修改、等同变化及修饰，均属于发明技术方案的保护范围。