防火墙双机热备系统、备用防火墙及状态处理方法、装置与流程

本发明涉及双机备份领域，具体涉及一种防火墙双机热备系统、备用防火墙及状态处理方法、装置。

背景技术：

防火墙是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的边界上构造的保护屏障。防火墙系统的可靠性直接关系着整个受保护网络的可用性，所以必须利用相关技术为它提供数据通道的冗余。通常情况下，两台防火墙通过心跳线连接组成双机热备组，以保证防火墙系统的高可用性。双机热备组是在两台防火墙设备上各获取一个网口当做双机接口(ha口)，两个ha口通过心跳线进行心跳检测，配置同步等内容。如果心跳线由于意外而断开，这会导致出现脑裂情况，此时，两台防火墙设备同时能够通过流量，导致整个网络的数据传输混乱。

技术实现要素：

有鉴于此，本发明实施例提供了一种防火墙双机热备系统、备用防火墙及状态处理方法、装置，以解决防火墙双机热备脑裂时，两台防火墙设备同时能够通过流量，导致整个网络的数据传输混乱的问题。

根据第一方面，本发明实施例提供了一种防火墙的状态处理方法，应用于防火墙双机热备，防火墙双机热备包括主控防火墙和备用防火墙，方法包括：如果监测到与主控防火墙连接断开，保持备用防火墙当前的备用工作状态；判断在第一预设时长内收到地址解析协议请求的次数是否超过预设阈值；如果在第一预设时长内收到地址解析协议请求的次数超过预设阈值，判断地址解析协议请求是否符合预设数据特征；如果地址解析协议请求符合预设数据特征，判定主控防火墙无法工作，调整备用防火墙的工作状态为主控状态。

可选地，监测到与主控防火墙连接断开，包括：如果监测到在第二预设时长内未接收到主控防火墙发送的心跳报文，确定与主控防火墙连接断开。

可选地，如果在第一预设时长内收到地址解析协议请求的次数未超过预设阈值，保持备用防火墙当前的备用工作状态。

可选地，如果地址解析协议请求不符合预设数据特征，保持备用防火墙当前的备用工作状态。

根据第二方面，本发明实施例提供了一种防火墙的状态处理装置，应用于防火墙双机热备，防火墙双机热备包括主控防火墙和备用防火墙，装置包括：保持模块，用于如果监测到与主控防火墙连接断开，保持备用防火墙当前的备用工作状态；第一判断模块，用于判断在第一预设时长内收到地址解析协议请求的次数是否超过预设阈值；第二判断模块，用于如果在第一预设时长内收到地址解析协议请求的次数超过预设阈值，判断地址解析协议请求是否符合预设数据特征；调整模块，用于如果地址解析协议请求符合预设数据特征，判定第主控防火墙无法工作，调整备用防火墙的工作状态为主控状态。

根据第三方面，本发明实施例提供了一种计算机可读存储介质，计算机可读存储介质存储有计算机指令，计算机指令用于使计算机执行如第一方面或第一方面任意实施方式中的防火墙的状态处理方法。

根据第四方面，本发明实施例提供了一种备用防火墙，包括：至少一个处理器；以及与至少一个处理器通信连接的存储器；其中，存储器存储有可被一个处理器执行的指令，指令被至少一个处理器执行，以使至少一个处理器执行如第一方面或第一方面任意实施方式中的防火墙的状态处理方法。

根据第五方面，本发明实施例提供了一种防火墙双机热备系统，包括：如第四方面或第四方面任意实施方式中的备用防火墙；主控防火墙；其中，主控防火墙和备用防火墙均通过各自的数据转发设备与外部设备通信，主控防火墙对相关联的所有数据转发设备设置网口联动，备用防火墙对相关联的所有数据转发设备设置网口联动。

本发明实施例提供的防火墙双机热备系统、备用防火墙及状态处理方法、装置，备用防火墙通过监测主控防火墙的连接状态，当监测到与主控防火墙连接断开时，保持备用防火墙当前的备用工作状态，从而使得原本在与主控防火墙连接断开时应该进行状态改变的备用防火墙，仍然保持备用状态，从而流量数据只通过主控防火墙转发，保证业务还能继续，且不造成数据传输的混乱；且通过备用防火墙监测第一预设时长内收到地址解析协议请求的次数及预设数据特征，从而判断主控防火墙是否能够进行正常工作，在判断主控防火墙无法工作时，调整备用防火墙自身的工作状态为主控状态，使得数据流量可以通过备用防火墙进行转发，保证在主控防火墙无法工作时，数据流量正常转发，业务还能继续进行。

附图说明

为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1示出了本发明实施例的防火墙双机热备的结构示意图

图2示出了本发明实施例的防火墙的状态处理方法的流程图；

图3示出了本发明实施例的防火墙的状态处理装置的结构框图；

图4示出了本发明实施例的备用防火墙的结构框图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明实施例提供了一种防火墙双机热备系统，如图1所示，包括：备用防火墙2；主控防火墙1；其中，主控防火墙1和备用防火墙2均通过各自的数据转发设备与外部设备通信，主控防火墙对相关联的所有数据转发设备设置网口联动，备用防火墙对相关联的所有数据转发设备设置网口联动。

具体地，主控防火墙1通过数据转发设备3与外部设备7通信，通过数据转发设备4与外部设备8进行通信。备用防火墙2通过数据转发设备5与外部设备7通信，通过数据转发设备6与外部设备8进行通信。主控防火墙1和备用防火墙2之间通过心跳线进行连接。主控防火墙1对相关联的所有数据转发设备设置网口联动，例如，当主控防火墙1检测到主控防火墙1与数据转发设备3的连接线断开了，那么主控防火墙1将主控防火墙1与数据转发设备4的连接线也设置为断开，保持与主控防火墙1相关联的所有数据转发设备的网口联动。相应的，备用防火墙2对相关联的所有数据转发设备设置网口联动。将与主控防火墙相关联的所有数据转发设备的网口进行联动、将备用防火墙相关联的所有数据转发设备的网口进行联动，可以使得与主控防火墙或备用防火墙相关联的所有转发设备状态保持一致，保障数据流量只通过主控防火墙或备用防火墙进行转发，从而可以防止数据传输的混乱。

正常情况下，主控防火墙1会通过所有的数据包，备用防火墙2不接收数据包，整个环境处于正常的运行状态。

在主控防火墙1和备用防火墙2之间的心跳线断开时，备用防火墙2执行一种防火墙的状态处理方法，该方法如图2所示，包括：

s201.如果监测到与主控防火墙连接断开，保持备用防火墙当前的备用工作状态；具体的，主控防火墙1和备用防火墙2之间通过心跳线进行连接，主控防火墙1和备用防火墙2通过心跳线获取对方的工作状态。如果心跳线连接断开，那么主控防火墙1和备用防火墙2都获取不到对方的状态，主控防火墙1和备用防火墙2都会暂时性认为对方处于故障状态，这时候主控防火墙1和备用防火墙2都将接收到数据包，在此时，处于备用状态的备用防火墙2如果监测到与主控防火墙1的连接断开，那么仍然保持备用状态，也即备用防火墙2虽然可以接收到数据包，但是不进行转发，使数据包只通过主控防火墙1进行转发，保证业务还能继续，且不造成数据传输的混乱。

s202.判断在第一预设时长内收到地址解析协议请求的次数是否超过预设阈值；具体的，因为此时主控防火墙1进行数据的传输，但备用防火墙2也同时会接收到数据包，数据包中包括地址协议解析请求(arp请求)。备用防火墙2根据接收到的地址解析协议请求会判断在第一预设时长内接收到地址解析协议请求的次数是否超过预设阈值。如果在第一预设时长内收到地址解析协议请求的次数超过预设阈值，进入步骤s203。如果在第一预设时长内收到地址解析协议请求的次数未超过预设阈值，进入步骤s205。

s203.判断地址解析协议请求是否符合预设数据特征；具体的，预设数据特征可以为多次重复的地址解析协议请求。地址解析协议请求数据包如果收到回应，那么在一段时间内不会再重新发送，如果未收到应答，就会一直发送。如果主控防火墙1可以正常工作，那么备用防火墙2就不会收到多次重复的地址解析协议请求。备用防火墙2可以通过判断地址解析协议请求是否符合预设数据特征，如果地址解析协议请求符合预设数据特征，进入步骤s204。如果地址解析协议请求不符合预设数据特征，进入步骤s205。

s204判定主控防火墙无法工作，调整备用防火墙的工作状态为主控状态。具体的，在主控防火墙1无法工作时，备用防火墙1应该调整为主控状态，保证数据流量可以正常转发，业务可以继续。

s205.保持备用防火墙当前的备用工作状态。具体的，如果在第一预设时长内收到地址解析协议请求的次数未超过预设阈值，说明主控防火墙1可以正常进行的数据流量转发或此时网络数据流量较少，那么仍然保持备用防火墙当前的备用工作状态。如果地址解析协议请求不符合预设数据特征，说明主控防火墙1可以正常进行流量数据转发或此时网络流量较大，那么仍然保持备用防火墙当前的备用工作状态。

本发明实施例提供的防火墙的状态处理方法，通过监测主控防火墙的连接状态，当监测到与主控防火墙连接断开时，保持备用防火墙当前的备用工作状态，从而使得原本在与主控防火墙连接断开时应该进行状态改变的备用防火墙，仍然保持备用状态，从而流量数据只通过主控防火墙转发，保证业务还能继续，且不造成数据传输的混乱；且通过备用防火墙监测第一预设时长内收到地址解析协议请求的次数及预设数据特征，从而判断主控防火墙是否能够进行正常工作，在判断主控防火墙无法工作时，调整备用防火墙自身的工作状态为主控状态，使得数据流量可以通过备用防火墙进行转发，保证在主控防火墙无法工作时，数据流量正常转发，业务还能继续进行。

在可选的实施例中，步骤s201中，监测到与主控防火墙连接断开，包括：如果监测到在第二预设时长内未接收到主控防火墙发送的心跳报文，确定与主控防火墙连接断开。具体的，主控防火墙1与备用防火墙2之间通过心跳线连接，主控防火墙1和备用防火墙2之间通过相互发送心跳报文判断对方的工作状态，通过监测在第二预设时长内未接收到主控防火墙1发送的心跳报文，就可以确定与主控防火墙1的连接是断开的。

本发明实施例还提供了一种防火墙的状态处理装置，应用于防火墙双机热备，防火墙双机热备包括主控防火墙和备用防火墙，该装置如图3所示，包括：

保持模块21，用于如果监测到与主控防火墙连接断开，保持备用防火墙当前的备用工作状态；具体的描述详见上述实施例防火墙的状态处理方法中s201的描述，在此不再赘述。

第一判断模块22，用于判断在第一预设时长内收到地址解析协议请求的次数是否超过预设阈值；具体的描述详见上述实施例防火墙的状态处理方法中s202的描述，在此不再赘述。

第二判断模块23，用于如果在第一预设时长内收到地址解析协议请求的次数超过预设阈值，判断地址解析协议请求是否符合预设数据特征；具体的描述详见上述实施例防火墙的状态处理方法中s203的描述，在此不再赘述。

调整模块24，用于如果地址解析协议请求符合预设数据特征，判定第主控防火墙无法工作，调整备用防火墙的工作状态为主控状态。具体的描述详见上述实施例防火墙的状态处理方法中s204的描述，在此不再赘述。

本发明实施例提供的防火墙的状态处理装置，通过监测主控防火墙的连接状态，当监测到与主控防火墙连接断开时，保持备用防火墙当前的备用工作状态，从而使得原本在与主控防火墙连接断开时应该进行状态改变的备用防火墙，仍然保持备用状态，从而流量数据只通过主控防火墙转发，保证业务还能继续，且不造成数据传输的混乱；且通过备用防火墙监测第一预设时长内收到地址解析协议请求的次数及预设数据特征，从而判断主控防火墙是否能够进行正常工作，在判断主控防火墙无法工作时，调整备用防火墙自身的工作状态为主控状态，使得数据流量可以通过备用防火墙进行转发，保证在主控防火墙无法工作时，数据流量正常转发，业务还能继续进行。

本发明实施例还提供了一种备用防火墙，如图4所示，该备用防火墙可以包括处理器31和存储器32，其中处理器31和存储器32可以通过总线或者其他方式连接，图4中以通过总线连接为例。

处理器31可以为中央处理器(centralprocessingunit，cpu)。处理器31还可以为其他通用处理器、数字信号处理器(digitalsignalprocessor，dsp)、专用集成电路(applicationspecificintegratedcircuit，asic)、现场可编程门阵列(field－programmablegatearray，fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等芯片，或者上述各类芯片的组合。

存储器32作为一种非暂态计算机可读存储介质，可用于存储非暂态软件程序、非暂态计算机可执行程序以及模块，如本发明实施例中的防火墙的状态处理方法对应的程序指令/模块。处理器31通过运行存储在存储器32中的非暂态软件程序、指令以及模块，从而执行处理器的各种功能应用以及数据处理，即实现上述方法实施例中的防火墙的状态处理方法。

存储器32可以包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需要的应用程序；存储数据区可存储处理器31所创建的数据等。此外，存储器32可以包括高速随机存取存储器，还可以包括非暂态存储器，例如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施例中，存储器32可选包括相对于处理器31远程设置的存储器，这些远程存储器可以通过网络连接至处理器31。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

上述的一个或者多个模块存储在所述存储器32中，当被所述处理器31执行时，执行如图2所示实施例中的防火墙的状态处理方法。

上述备用防火墙具体细节可以对应参阅图2所示的实施例中对应的相关描述和效果进行理解，此处不再赘述。

本发明实施例提供的备用防火墙，通过监测主控防火墙的连接状态，当监测到与主控防火墙连接断开时，保持备用防火墙当前的备用工作状态，从而使得原本在与主控防火墙连接断开时应该进行状态改变的备用防火墙，仍然保持备用状态，从而流量数据只通过主控防火墙转发，保证业务还能继续，且不造成数据传输的混乱；且通过备用防火墙监测第一预设时长内收到地址解析协议请求的次数及预设数据特征，从而判断主控防火墙是否能够进行正常工作，在判断主控防火墙无法工作时，调整备用防火墙自身的工作状态为主控状态，使得数据流量可以通过备用防火墙进行转发，保证在主控防火墙无法工作时，数据流量正常转发，业务还能继续进行。

本领域技术人员可以理解，实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述存储介质可为磁碟、光盘、只读存储记忆体(read－onlymemory，rom)、随机存储记忆体(randomaccessmemory，ram)、快闪存储器(flashmemory)、硬盘(harddiskdrive，缩写：hdd)或固态硬盘(solid－statedrive，ssd)等；所述存储介质还可以包括上述种类的存储器的组合。

虽然结合附图描述了本发明的实施例，但是本领域技术人员可以在不脱离本发明的精神和范围的情况下作出各种修改和变型，这样的修改和变型均落入由所附权利要求所限定的范围之内。