CN108989352B - 防火墙实现方法、装置、计算机设备及存储介质 - Google Patents
防火墙实现方法、装置、计算机设备及存储介质 Download PDFInfo
- Publication number
- CN108989352B CN108989352B CN201811023518.1A CN201811023518A CN108989352B CN 108989352 B CN108989352 B CN 108989352B CN 201811023518 A CN201811023518 A CN 201811023518A CN 108989352 B CN108989352 B CN 108989352B
- Authority
- CN
- China
- Prior art keywords
- firewall
- data packet
- session data
- resource pool
- flow table
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
- H04L63/0218—Distributed architectures, e.g. distributed firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1001—Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
- H04L67/1036—Load balancing of requests to servers for services different from user content provisioning, e.g. load balancing across domain name servers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
Abstract
本申请实施例提供了一种防火墙实现方法、装置、计算机设备及存储介质。方法包括:接收第一OpenFlow交换机转发到预设防火墙的会话数据包,会话数据包由第一OpenFlow交换机按照第一流表策略转发,会话数据包由第一OpenFlow交换机从外部网络获取;接收到会话数据包后,按照预设防火墙的预设策略判断会话数据包是否需要转发到内部网络中;若会话数据包需要转发到内部网络中,将会话数据包发送到第二OpenFlow交换机,使第二OpenFlow交换机按照第二流表策略转发会话数据包到内部网络中,以完成对会话数据包的处理。由流表控制会话进出防火墙,能实现防火墙池化和防火墙资源池的灵活扩展,提高防火墙的利用率。
Description
技术领域
本申请涉及计算机网络安全技术领域,尤其涉及一种防火墙实现方法、装置、计算机设备及计算机可读存储介质。
背景技术
传统技术中,防火墙***一般采用同产品、同型号的两台防火墙来实现防火墙的虚拟化和高可用性集群,由于需要通过心跳线来同步应用会话使防火墙***里的防火墙都具有相同的会话,由于实现防火墙***的防火墙一般是2台并且不能横向扩展,当防火墙***里的防火墙存在性能瓶颈的时候只能更换成具有更高性能的防火墙,因此存在防火墙资源利用率不高的问题。
发明内容
本申请实施例提供了一种防火墙实现方法、装置、计算机设备及计算机可读存储介质,能够解决传统防火墙技术中防火墙资源利用率不高的问题。
第一方面,本申请实施例提供了一种防火墙实现方法,所述方法包括:接收第一OpenFlow交换机转发到预设防火墙的会话数据包,所述会话数据包由所述第一OpenFlow交换机按照第一流表策略转发,所述会话数据包由所述第一OpenFlow交换机从外部网络获取,所述预设防火墙包含于防火墙资源池,所述防火墙资源池是一种透明墙防火墙资源池,所述防火墙资源池中的防火墙具有相同策略;接收到所述会话数据包后,按照所述预设防火墙的预设策略判断所述会话数据包是否需要转发到内部网络中;以及若所述会话数据包需要转发到内部网络中,将所述会话数据包发送到第二OpenFlow交换机,以使所述第二OpenFlow交换机按照第二流表策略转发所述会话数据包到内部网络中,以完成对所述会话数据包的处理,其中,所述第一流表策略和所述第二流表策略相同。
第二方面,本申请实施例还提供了一种防火墙实现装置,其包括用于执行上述防火墙实现方法的单元。
第三方面,本申请实施例还提供了一种计算机设备,其包括存储器及处理器,所述存储器上存储有计算机程序,所述处理器执行所述计算机程序时实现所述防火墙实现方法。
第四方面,本申请实施例还提供了一种计算机可读存储介质,所述存储介质存储有计算机程序,所述计算机程序被处理器执行时使所述处理器执行所述防火墙实现方法。
本申请实施例提供了一种防火墙实现方法、装置、计算机设备及计算机可读存储介质。所述方法包括:接收第一OpenFlow交换机转发到预设防火墙的会话数据包,所述会话数据包由所述第一OpenFlow交换机按照第一流表策略转发,所述会话数据包由所述第一OpenFlow交换机从外部网络获取,所述预设防火墙包含于防火墙资源池,所述防火墙资源池是一种透明墙防火墙资源池,所述防火墙资源池中的防火墙具有相同策略;接收到所述会话数据包后,按照所述预设防火墙的预设策略判断所述会话数据包是否需要转发到内部网络中;以及若所述会话数据包需要转发到内部网络中,将所述会话数据包发送到第二OpenFlow交换机,以使所述第二OpenFlow交换机按照第二流表策略转发所述会话数据包到内部网络中,以完成对所述会话数据包的处理,其中,所述第一流表策略和所述第二流表策略相同。本申请实施例使用OpenFlow交换机由流表控制同一个会话的会话数据包进出都在同一台防火墙,来保证会话不被丢弃,从而实现防火墙的池化,能够实现防火墙的池化和防火墙资源池灵活扩展,同时避免通过心跳线来同步应用会话使得防火墙资源池里面的防火墙都具有相同的会话,从而提防火墙资源的利用率。
附图说明
为了更清楚地说明本申请实施例技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的防火墙实现方法的应用场景示意图;
图2为本申请实施例提供的防火墙实现方法的流程示意图;
图3为本申请一个具体实施例提供的防火墙实现方法的流程示意图;
图4为本申请实施例提供的传统技术中防火墙实现方法的流程示意图;
图5为本申请另一个实施例提供的防火墙实现方法的流程示意图;
图6为本申请实施例提供的防火墙实现装置的示意性框图;
图7为本申请另一个实施例提供的防火墙实现装置的示意性框图;以及
图8为本申请实施例提供的计算机设备的示意性框图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
应当理解,当在本说明书和所附权利要求书中使用时,术语“包括”和“包含”指示所描述特征、整体、步骤、操作、元素和/或组件的存在,但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。
还应当理解,在此本申请说明书中所使用的术语仅仅是出于描述特定实施例的目的而并不意在限制本申请。如在本申请说明书和所附权利要求书中所使用的那样,除非上下文清楚地指明其它情况,否则单数形式的“一”、“一个”及“该”意在包括复数形式。
还应当进一步理解,在本申请说明书和所附权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合,并且包括这些组合。
请参阅图1,图1为本申请实施例提供的防火墙实现方法的应用场景示意图。所述应用场景包括:
(1)外网和内网。外网指外部网络,外部网络(英文为:Outside Network)是指内部网络以外的其他所有网络,一般是指互联网(英文为:Internet),内网指内部网络,内部网络(英文为:Inside Network)就是用户当前所在网络,通常是指用户私有局域网。
(2)OpenFlow交换机。OpenFlow交换机,英文为OpenFlowSwitch,是指使用OpenFlow协议进行数据通信的交换机,主要管理数据层的转发。OpenFlow交换机拥有流表(英文为:FlowTable),它按照流表进行转发会话,FlowTable的生成、维护和下发由外置的控制器(英文为:Controller)来实现。其中,OpenFlow协议,它是控制器和交换机之间的标准协议,用来描述控制器和交换机之间交互所用信息的标准,以及控制器和交换机的接口标准。OpenFlow实现了数据层和控制层的分离,其中OpenFlow交换机进行数据层的转发,而Controller对网络进行集中控制,实现控制层的功能。Controller通过OpenFlow协议这个标准接口对OpenFlow交换机中的流表进行控制,从而实现对整个网络进行集中控制。
FlowTable流表:由多个流表项组成,每个流表项就是一个转发规则。进入交换机的数据包通过查询流表来获得转发的目的端口。OpenFlow流表的每个流表项都由3部分组成:用于数据包匹配的包头域(英文为:Header Fields),也称为头域,是流表项的标识;用于统计匹配数据包个数的计数器(英文为:Counters),用来计算流表项的统计数据;用于展示匹配的数据包如何处理的动作(英文为:Actions,也可以称为操作),也称为操作,标明了与该流表项匹配的数据包应该执行的操作。流表中每个OpenFlow流表项的结构如表格1所示。
表格1
头域(包头域) | 计数器 | 操作(动作) |
(3)控制器。OpenFlow协议中,对网络进行集中控制,实现控制层的功能,Controller通过OpenFlow协议这个标准接口对OpenFlow交换机中的流表进行控制,从而实现对整个网络进行集中控制,包括控制FlowTable的生成、维护和下发。
(4)防火墙资源池。防火墙资源池是指将防火墙资源池化,是多个防火墙之间的组成结构,也就是多个防火墙都被放到一个池内,由于资源池内的防火墙都具有相同的策略,并且由控制器监控防火墙状态,由控制器下发流表给OpenFlow交换机,由OpenFlow交换机根据流表统一调配防火墙的负载,无需考虑不同品牌和不同型号防火墙之间的差异,资源池内的防火墙可以进行统一分配,这样由多个防火墙组成的结构称为防火墙资源池。其中,防火墙,英文为Firewall,也称防护墙,它是一种位于内部网络与外部网络之间的网络安全***,依照特定的规则,允许或者限制传输的数据通过,由软件和硬件设备组合而成。
图1中的各个主体工作过程如下:控制器分别下发流表策略到第一OpenFlow交换机和第二OpenFlow交换机,同时控制器监控防火墙资源池的状态。会话从外网进来的会话数据包到达第一OpenFlow交换机,第一OpenFlow交换机根据预先接收到的第一流表策略转发接收到的会话数据包到防火墙资源池中的预设防火墙,所述防火墙资源池是一种透明墙防火墙资源池,所述防火墙资源池中的防火墙具有相同策略,所述预设防火墙接收到所述会话数据包后,按照防火墙的预设策略判断所述会话数据包是否转发到内部网络中;以及若所述预设防火墙根据所述预设策略判断所述会话数据包需要转发到内部网络中,将所述会话数据包发送到第二OpenFlow交换机,所述第二OpenFlow交换机按照第二流表策略将所述会话数据包转发到内部网络不同区域中,以完成对所述会话数据包的处理,其中,所述第一流表策略和所述第二流表策略相同。进一步地,内部网络返回的所述会话数据包的回包通过匹配流表项的方式由第二openflow交换机将回包转发到防火墙资源池中处理所述会话数据包由外网进入到内网的同一个防火墙中,完成对会话数据包的处理。
需要说明的是,图1中的外网和内网中可以分别包含多个计算机设备,比如终端或者服务器,同时,防火墙实现方法可以应用于单独的计算机设备,也可以是其他计算机设备的部件、组件或者包含于其他计算机设备的功能单元,比如是服务器的功能单元,以完成防火墙实现方法的全部或者部分功能,上述防火墙实现方法的应用场景仅仅用于说明本申请技术方案,并不用于限定本申请技术方案。
图2为本申请实施例提供的防火墙实现方法的示意性流程图。该防火墙实现方法应用于图1中的防火墙实现方法的应用场景中。
图2是本申请实施例提供的防火墙实现方法的流程示意图。如图2所示,该方法包括以下步骤S210-S230:
S210、接收第一OpenFlow交换机转发到预设防火墙的会话数据包,所述会话数据包由所述第一OpenFlow交换机按照第一流表策略转发,所述会话数据包由所述第一OpenFlow交换机从外部网络获取,所述预设防火墙包含于防火墙资源池,所述防火墙资源池是一种透明墙防火墙资源池,所述防火墙资源池中的防火墙具有相同策略。
其中,外网,是指外部网络,外网的安全级别相对于内网的安全级别低;内网,是指内部网络,内网的安全级别相对于外网的安全级别高。
数据包,包(Packet)是TCP/IP协议通信传输中的数据单位,一般也称“数据包”。会话数据包是指通信过程中由建立会话而对应产生的数据包。
第一流表策略,是指第一流表中流表项的内容包含的策略,也就是第一流表中包含的指示第一OpenFlow交换机将接收的会话数据包转发到防火墙资源池中的哪个防火墙进行处理的策略,比如,第一流表中流表项包含的指示第一OpenFlow交换机将从外网接收的会话数据包转发到防火墙资源池中1组中的主防火墙1进行处理的内容,其中,第一流表是由控制器下发给所述第一OpenFlow交换机的。
透明墙防火墙资源池是指采取防火墙透明模式组成的资源池模式的防火墙,透明模式的防火墙也可以称为透明墙防火墙。其中,防火墙透明模式是指防火墙对用户是透明的(Transparent),即用户意识不到防火墙的存在,防火墙必须在没有IP地址的情况下工作,不需要对其设置IP地址,用户也不知道防火墙的IP地址。
所述防火墙资源池中的防火墙具有相同策略,由于所述防火墙采取防火墙资源池化的形式构建多台防火墙,也就是防火墙都被放到一个池内,再进行统一分配,所以防火墙资源池中的防火墙都具有相同策略,所述防火墙资源池中的防火墙都具有相同的允许或是限制传输的数据通过的策略。
进一步地,在步骤S210之前还包括:所述OpenFlow交换机从控制器获取流表。通过OpenFlow技术实现数据层和控制层的分离,其中OpenFlow交换机进行数据层的数据包转发,而控制器(Controller)对网络进行集中控制,实现控制层的功能,因此,OpenFlow交换机需要先从控制器获取流表,再根据流表进行数据包的转发,当流表需要进行修改时,也是通过控制器获取更新后的流表。
具体地,外网和内网之间建立会话后,外网传输的会话数据包到达第一OpenFlow交换机,第一OpenFlow交换机从外网获取到会话数据包后,第一OpenFlow交换机将接收到的所述会话数据包根据从控制器预先获取的第一流表转发至防火墙资源池中的预设防火墙,所述预设防火墙是由控制器根据防火墙资源池的状态确定,并通过流表下发给第一OpenFlow交换机,防火墙资源池接收第一OpenFlow交换机转发的会话数据包到防火墙资源池中的预设防火墙,由所述预设防火墙根据防火墙策略判断所述会话数据包是否转发到内网中,防火墙资源池里面的防火墙不需要同步其它防火墙的会话,能更有效利用每一台防火墙的处理性能。比如,请参阅图3,图3为本申请一个具体实施例提供的防火墙实现方法的流程示意图。如图3所示,第一OpenFlow交换机获取外网发送的会话数据包后,根据预先从控制器接收到的第一流表,将所述会话数据包转发给防火墙资源池中的1组防火墙中的主防火墙1进行处理,由1组中的主防火墙1根据防火墙策略判断是否将接收到的所述会话数据包转发到内部网络中,从而通过流表控制对会话数据包转发给防火墙,实现通过流表对防火墙的组织和管理。
S220、接收到所述会话数据包后,按照所述预设防火墙的预设策略判断所述会话数据包是否需要转发到内部网络中。
其中,由于防火墙是一种位于内部网络与外部网络之间的网络安全***,依照预先制定的规则,允许或是限制传输的数据通过。所述预设防火墙的预设策略是指根据防火墙的具体应用环境,由人工预先设置的允许或是限制传输的数据通过的策略。比如,对于网络层防火墙,网络层防火墙可视为一种IP(IP是Internet Protocol的英文缩写,是指网络之间互连的协议)封包过滤器,运作在底层的TCP/IP协议堆栈上,可以以枚举的方式,只允许符合特定规则的封包通过,其余的一概禁止穿越防火墙(病毒除外,防火墙不能防止病毒侵入),这些规则通常可以经由管理员定义或修改,比如,防火墙的规则设置为允许A网站的数据通过,则防火墙判断数据来源为A网站的允许通过,数据来源为A网站之外的数据禁止通过。
具体地,所述防火墙资源池中的所述预设防火墙获取第一OpenFlow交换机根据第一流表转发的会话数据包后,根据防火墙策略处理获取的数据包,若判断允许所述会话数据包通过防火墙,所述会话数据包进一步被传输到内网中,或者判断禁止所述会话数据包通过防火墙,则所述会话数据包不会被转发到内网中,比如被丢弃。
S230、若所述会话数据包需要转发到内部网络中,将所述会话数据包发送到第二OpenFlow交换机,以使所述第二OpenFlow交换机按照第二流表策略转发所述会话数据包到内部网络中,以完成对所述会话数据包的处理,其中,所述第一流表策略和所述第二流表策略相同。
其中,由于第一流表和第二流表均是将所述会话数据包从外网获取数据包的初始计算机设备转发到内网相同的目的区域中,也就是第一流表和第二流表转发的所述会话数据包涉及的起点和终点相同,因此第一流表策略和第二流表策略相同。
具体地,防火墙资源池接收到第一OpenFlow交换机转发的所述会话数据包后,若判断需要将所述会话数据包转发到内网中,防火墙资源池将所述会话数据包发送到第二OpenFlow交换机,所述第二OpenFlow交换机接收到所述防火墙资源池转发的所述会话数据包后,所述第二OpenFlow交换机按照预先从控制器接收到的第二流表策略转发所述会话数据包到内部网络的目的区域中,以完成对所述会话数据包的处理。请继续参阅图3,防火墙资源池中1组的主防火墙1接收到第一OpenFlow交换机转发的会话数据包后,若判断需要将所述会话数据包转发到内网中,主防火墙1将所述会话数据包发送到第二OpenFlow交换机,所述第二OpenFlow交换机接收到所述主防火墙1转发的所述会话数据包后,所述第二OpenFlow交换机按照预先从控制器接收到的第二流表策略转发所述会话数据包到内部网络的目的区域中,以完成对所述会话数据包的处理。
本申请实施例使用OpenFlow交换机由流表控制会话数据通过防火墙资源池里的防火墙进行转发,使用OpenFlow交换机由流表控制同一个会话的会话数据包进出都在同一台防火墙,来保证会话不被丢弃,从而实现防火墙的池化,保证防火墙资源池中各台防火墙的独立性,通过流表的方式来控制会话数据包和管理防火墙,可以实现对防火墙资源池中的防火墙进行集中管理和调配,能够实现防火墙的池化,实现防火墙资源池扩展的灵活性,相对于传统技术HA或集群中多台防火墙同步应用会话使得所有的防火墙都具有相同的会话,如图4所示,图4为本申请实施例提供的传统技术中防火墙实现方法的流程示意图,本申请实施例只在同一组防火墙中同步会话,本组防火墙不需要同步其他组防火墙会话,从而能更有效利用每一台防火墙的处理性能,从而提防火墙资源的利用率。同时,防火墙资源池中每新增一条策略下发至所有防火墙,防火墙具有相同的策略,实现更方便简单的管理,一套防火墙资源池可以顶替所有安全区域各自分散的防火墙,提高防火墙的管理效率。
在一个实施例中,所述防火墙资源池包括防火墙组,所述防火墙组包括主防火墙和从防火墙。
其中,防火墙组是指一组防火墙,包括两台防火墙,或者包括两台以上防火墙,每组防火墙按照防火墙的作用划分为主防火墙和从防火墙,主防火墙是主要用来进行数据包处理的防火墙,从防火墙是备用防火墙,当主防火墙不足以完成数据包的处理或者出现故障时,使用备份的从防火墙进行会话数据包的处理。由主防火墙和从防火墙组成的二层防火墙,使所述防火墙资源池是一种二层透明墙防火墙资源池,能在提高防火墙资源利用率的同时,提高防火墙的稳定性。请继续参阅图1和图3,防火墙资源池中的1组防火墙包括主防火墙1以及从防火墙11,还可以包括从防火墙12等,2组防火墙包括主防火墙2及从防火墙21,还可以包括从防火墙22等,以此类推。需要说明的是,图1和图3中的防火墙序列编号仅用于举例说明本申请实施例技术方案,并不用于限定本申请实施例技术方案。
具体地,所述防火墙资源池中的防火墙以防火墙组为单位进行防火墙的组织,每个防火墙组中包括主要进行数据包处理的主防火墙和起备份作用的从防火墙,当主防火墙不能完成数据包的处理时,由控制器监控到防火墙的状态,并且由控制器下发流表给OpenFlow交换机,从而调整防火墙资源池中处理数据包的防火墙的负载。一般情况下,所述防火墙组包括两台防火墙,一台主防火墙和一台从防火墙,也可以根据实际需要,将从防火墙设置为两台或者两台以上等。
在一个实施例中,所述方法还包括:所述防火墙资源池包括多组防火墙组。
具体地,所述防火墙资源池中的防火墙以防火墙组为单位进行防火墙的组织,每个防火墙组中包括主要进行数据包处理的主防火墙和起备份作用的从防火墙二层防火墙,当主防火墙不能完成数据包的处理时,由控制器监控到防火墙的状态,并且由控制器下发流表给OpenFlow交换机,从而调整防火墙资源池中处理数据包的防火墙的负载。一般情况下,所述防火墙组包括两台防火墙,一台主防火墙和一台从防火墙,也可以根据实际需要,将从防火墙设置为两台或者两台以上等。
所述防火墙资源池中包括至少两组防火墙组,根据需要,也可以设置三组、四组或者五组等更多组的防火墙组。当一组防火墙中的主防火墙出现故障或者达到该防火墙的性能瓶颈,导致不能完成会话数据包的处理时,由控制器监控到该防火墙的状态,调整该防火墙的负载,并通过控制器下发流表到OpenFlow交换机,将会话数据包的转发从一组防火墙中的主防火墙切换到从防火墙,或者从该组防火墙切换到其他组的防火墙,从而实现防火墙资源池的多层级备份,进一步提高防火墙资源池的稳定性。从主防火墙切换到从防火墙,及从一组防火墙切换到另外组的防火墙,具体的负载调整由控制器控制,控制的调控策略可以由人工通过控制器进行预先设置。
在一个实施例中,所述主防火墙和所述从防火墙为不同型号的防火墙。
具体地,由于OpenFlow技术实现了数据层和控制层的分离,其中OpenFlow交换机进行数据层的数据包转发,而Controller对网络进行集中控制,监控防火墙资源池中防火墙的状态,根据防火墙资源池中防火墙的状态,调整防火墙的工作策略和负载,实现控制层的功能,通过OpenFlow交换机从控制器获取流表,再根据流表将数据包转发到防火墙资源池中的相应防火墙进行处理,从而实现一个会话及该会话的会话数据包进出都在同一台防火墙,保证会话不被丢弃,从而实现防火墙的池化,实现了多台防火墙之间的独立性,因此防火墙资源池里面的防火墙可以不受防火墙品牌和防火墙型号的限制实现横向扩展,所述主防火墙和所述从防火墙可以为不同品牌或者不同型号的防火墙,增加了防火墙资源池扩展的灵活性。
请继续参阅图3和图5,图5为本申请另一个实施例提供的防火墙实现方法的流程示意图。如图5所示,在该实施例中,所述方法还包括以下步骤:
S240、接收所述内部网络中发送的所述会话数据包的回包,所述回包由所述第二OpenFlow交换机通过匹配流表项的方式转发到与处理所述会话数据包同一个防火墙中,以完成对所述回包的处理。
其中,回包是指内部网络中的计算机设备对接收到的外部网络中的会话数据包进行返回的数据包,简称回包,又称为返包,回包包括对接收到的会话数据包的应答或者是对外界请求返回的数据等。
匹配流表项,是指第二OpenFlow交换机根据回包携带的信息,通过匹配第二流表中的流表项,将回包转发到与处理所述回包对应的会话数据包同一个防火墙中,进行回包的处理。比如,请继续参阅图1,从外网中设备A发送的会话数据包,经第一OpenFlow交换机转发给防火墙资源池中1组的主防火墙1进行处理,后转发给第二OpenFlow交换机,由所述第二OpenFlow交换机按照第二流表中的流表项转发到内网中的B设备上,此时第二流表中的流表项会记录下A设备的会话数据包是防火墙资源池中1组的主防火墙1进行处理,则由B设备对A设备发送的会话数据包的回包,由B设备发送到A设备时,所述第二OpenFlow交换机接收到所述回包后,根据回包携带的信息,判断是B设备对A设备的会话数据包的回包,又根据第二流表中流表项的记录,A设备的会话数据包是防火墙资源池中1组的主防火墙1进行处理的,所述第二OpenFlow交换机根据所述第二流表中的流表项的记录,将所述回包转发给防火墙资源池中1组的主防火墙1进行处理,完成流表项的匹配,由主防火墙1进行处理后,转发给所述第一OpenFlow交换机,由所述第一OpenFlow交换机根据第一流表将所述回包转发到外网中的A设备。
具体地,内部网络中发送的所述会话数据包的回包,由第二OpenFlow交换机从内网获取到所述回包后,根据所述回包携带的信息,比如外部网络中目标设备的IP等信息,所述回包由所述第二OpenFlow交换机通过匹配流表项的方式转发到与处理所述回包对应的会话数据包同一个防火墙中,由所述同一个防火墙转发给第一OpenFlow交换机,由所述第一OpenFlow交换机根据第一流表转发给外部网络中的目标设备,以完成对所述回包的处理。请继续参阅图3,如图3所示,外网的会话数据包经过第一OpenFlow交换机按照第一流表转发至防火墙资源池中的1组主防火墙1,若由所述主防火墙1判断转发至内网中,则所述主防火墙1将所述会话数据包转发至第二OpenFlow交换机,由第二OpenFlow交换机按照第二流表根据所述会话数据包携带的信息转发至内网中的目标区域中,所述会话数据包的回包从内网中由目标区域发送至第二OpenFlow交换机,第二OpenFlow交换机根据所述回包携带的信息,按照匹配流表项的方式,按照第二流表将所述回包发送至防火墙资源池中的1组主防火墙1,由1组主防火墙1将所述回包转发至第一OpenFlow交换机,由第一OpenFlow交换机按照第一流表将所述回包发送至外网中的目标设备,以完成对所述回包的处理,从而实现通过流表的方式来控制同一个会话的数据包进出都在同一台防火墙来保证会话不被丢弃,从而实现防火墙的池化。
如图3所示,所述防火墙资源池是一种二层透明墙防火墙资源池,所述防火墙资源池包括多个防火墙组,每个防火墙组包括主防火墙和从防火墙,所述防火墙资源池中的防火墙具有相同策略,通过防火墙的会话由防火墙资源池外部的第一OpenFlow交换机和所述防火墙资源池内部的第二OpenFlow交换机根据流表转发,所述第一OpenFlow交换机和第二OpenFlow交换机由控制器下发流表,所述第一OpenFlow交换机的流表和所述第二OpenFlow交换机的流表在不同的数据包匹配方式下可以相同或者不同,通过匹配控制器下发的流表使同一个会话来回的数据包经过同一台防火墙。
综上所述,所述防火墙资源池将所述会话数据包发送到防火墙内的内部网络中,内部网络的回包也通过相同的方式由OpenFlow交换机根据流表将回包转发至同一个防火墙,完成对会话数据包的处理,通过匹配控制器下发的流表使同一个会话来回的数据包经过同一台防火墙。
请继续参阅图5,如图5所示,在该实施例中,所述方法还包括以下步骤:
S250、接受控制器监控,以使所述控制器根据所述防火墙资源池里防火墙的状态,通过流表根据预设规则调整所述防火墙资源池里防火墙的负载。
具体地,在本申请实施例中,由于采取通过控制器下发流表的方式,使OpenFlow交换机根据流表控制会话进出防火墙资源池,因此,也需要控制器监控所述防火墙资源池的状态,由控制器根据防火墙资源池的状态调整流表策略,并将流表下发给OpenFlow交换机,从而通过OpenFlow交换机根据流表调整所述防火墙资源池中各个防火墙的负载,以保证防火墙正常运行。比如,若所述防火墙中的防火墙出现故障,或者防火墙性能达到瓶颈时,需要调整防火墙资源池中的负载,以使防火墙正常运行,需要通过控制器下发流表给OpenFlow交换机,OpenFlow交换机根据流表调整处理会话数据包的防火墙资源池中的防火墙。请继续参阅图1,所述防火墙资源池接收控制器监控,若控制器监控到防火墙资源池中的防火墙出现异常,比如某个防火墙出现故障,或者某个防火墙出现性能瓶颈,则下发流表给第一OpenFlow交换机和第二OpenFlow交换机,避免出现故障的防火墙或者出现性能瓶颈的防火墙处理会话数据包,将所述会话数据包通过防火墙资源池中的其他防火墙处理,从而能够通过控制器自动检查防火墙状态来实现会话的切换从而实现多种功能,比如发现防火墙达到性能瓶颈,或者监控到防火墙出现故障,从而及时调整防火墙资源池中防火墙的负载,保证防火墙***的正常运行,提供防火墙***的管理效率。
在一个实施例中,所述接受控制器监控,以使所述控制器根据所述防火墙资源池里防火墙的状态,通过流表根据预设规则调整所述防火墙资源池里防火墙的负载的步骤包括:
接受控制器监控,以使若所述控制器判断所述防火墙资源池中的一台防火墙处理所述会话数据包的数量达到所述防火墙的预设阈值,通过流表将新建会话的会话数据包切换到所述防火墙资源池中的其他防火墙处理。
具体地,由于OpenFlow实现了数据层和控制层的分离,其中OpenFlow交换机进行数据层的数据包转发,而Controller对网络进行集中控制,监控防火墙资源池中防火墙的状态,根据防火墙资源池中防火墙的状态,调整防火墙的负责,实现控制层的功能,通过OpenFlow交换机从控制器获取流表,再根据流表将数据包转发到防火墙资源池中的相应防火墙进行处理,从而实现一个会话或者数据包进出都在同一台防火墙,实现了多台防火墙之间的独立性。通过控制器监控防火墙资源池中防火墙的状态,若控制器判断防火墙资源池中的一台防火墙的性能达到该台防火墙的瓶颈,也就是若控制器判断防火墙中的一台防火墙的会话数据包达到该台防火墙的预设阈值,通过流表将负载切换到性能高的防火墙处理,比如通过流表灵活的把新建会话多、并发大、流量大的IP地址切换到防火墙资源池里面性能比较高的防火墙处理,从而实现可以灵活切换防火墙的负载,使不同性能的防火墙能更充分有效的利用各自的处理能力。
在一个实施例中,所述接受控制器监控,以使所述控制器根据所述防火墙资源池里防火墙的状态,通过流表根据预设规则调整所述防火墙资源池里防火墙的负载的步骤包括:
接受控制器监控,以使若所述控制器监控到所述防火墙资源池中的防火墙产生故障,通过流表把所述防火墙的所有的流量迁移到所述防火墙资源池中的其他防火墙处理。
具体地,由于OpenFlow实现了数据层和控制层的分离,其中OpenFlow交换机进行数据层的数据包转发,而Controller对网络进行集中控制,监控防火墙资源池中防火墙的状态,根据防火墙资源池中防火墙的状态,调整防火墙的工作策略,实现控制层的功能。通过OpenFlow交换机从控制器获取流表,再根据流表将数据包转发到防火墙资源池中的相应防火墙进行处理,从而实现一个会话及该会话的会话数据包进出都在同一台防火墙,实现了多台防火墙之间的独立性,防火墙资源池接受控制器的监控,控制器可以监控防火墙资源池里面的防火墙的状态,当监控到其中一台防火墙故障,比如,若判断一台防火墙待处理的会话数据包的数量超过预设数值,可以判断该台防火墙产生故障,控制器可以下发流表给OpenFlow交换机,使OpenFlow交换机根据流表自动把该台防火墙上所有的流量迁移另外至防火墙资源池中的其他防火墙上,实现防火墙资源池中防火墙之间的灵活切换和会话数据包的灵活处理。
需要说明的是,上述各个实施例所述的防火墙实现方法,可以根据需要将不同方法中包含的技术特征重新进行组合,以获取组合后的实施方案,但都在本申请要求的保护范围之内。
请参阅图6,对应于上述防火墙实现方法,本申请实施例还提供一种防火墙实现装置。图6是本申请实施例提供的一种防火墙实现装置的示意性框图。该防火墙实现装置包括用于执行上述防火墙实现方法的单元,该装置可以被配置于台式电脑、笔记本、服务器等计算机设备中。具体地,请参阅图6,该防火墙实现装置600包括第一接收单元601、判断单元602以及发送单元603。
其中,第一接收单元601,用于接收第一OpenFlow交换机转发到预设防火墙的会话数据包,所述会话数据包由所述第一OpenFlow交换机按照第一流表策略转发,所述会话数据包由所述第一OpenFlow交换机从外部网络获取,所述预设防火墙包含于防火墙资源池,所述防火墙资源池是一种透明墙防火墙资源池,所述防火墙资源池中的防火墙具有相同策略;
判断单元602,用于接收到所述会话数据包后,按照所述预设防火墙的预设策略判断所述会话数据包是否需要转发到内部网络中;
发送单元603,用于若所述会话数据包需要转发到内部网络中,将所述会话数据包发送到第二OpenFlow交换机,以使所述第二OpenFlow交换机按照第二流表策略转发所述会话数据包到内部网络中,以完成对所述会话数据包的处理,其中,所述第一流表策略和所述第二流表策略相同。
在一个实施例中,第一接收单元601包括:所述防火墙资源池包括防火墙组,所述防火墙组包括主防火墙和从防火墙。
在一个实施例中,第一接收单元601包括:所述防火墙资源池包括多组防火墙组。
在一个实施例中,第一接收单元601包括:所述主防火墙和所述从防火墙为不同型号的防火墙。
请参阅图7,图7为本申请另一个实施例提供的防火墙实现装置的示意性框图。如图7所示,在该实施例中,所述装置700还包括:
第二接收单元604,用于接收所述内部网络中发送的所述会话数据包的回包,所述回包由所述第二OpenFlow交换机通过匹配流表项的方式转发到与处理所述会话数据包同一个防火墙中,以完成对所述回包的处理。
请继续参阅图7,如图7所示,在该实施例中,所述装置700还包括:
接受监控单元605,用于接受控制器监控,以使所述控制器根据所述防火墙资源池里防火墙的状态,通过流表根据预设规则调整所述防火墙资源池里防火墙的负载。
在一个实施例中,接受监控单元605,用于接受控制器监控,以使若所述控制器判断所述防火墙资源池中的一台防火墙处理所述会话数据包的数量达到所述防火墙的预设阈值,通过流表将新建会话的会话数据包切换到所述防火墙资源池中的其他防火墙处理。
同时,上述防火墙实现装置中各个单元的划分和连接方式仅用于举例说明,在其他实施例中,可将防火墙实现装置按照需要划分为不同的单元,也可将防火墙实现装置中各单元采取不同的连接顺序和方式,以完成上述防火墙实现装置的全部或部分功能。
上述防火墙实现装置可以实现为一种计算机程序的形式,该计算机程序可以在如图8所示的计算机设备上运行。
请参阅图8,图8是本申请实施例提供的一种计算机设备的示意性框图。该计算机设备800可以是终端,也可以是其他设备中的组件或者部件,其中,终端可以是台式电脑、服务器等具有通信功能的计算机设备。
参阅图8,该计算机设备800包括通过***总线801连接的处理器802、存储器和网络接口805,其中,存储器可以包括非易失性存储介质803和内存储器804。
该非易失性存储介质803可存储操作***8031和计算机程序8032。该计算机程序8032被执行时,可使得处理器802执行一种上述防火墙实现方法。
该处理器802用于提供计算和控制能力,以支撑整个计算机设备800的运行。
该内存储器804为非易失性存储介质803中的计算机程序8032的运行提供环境,该计算机程序8032被处理器802执行时,可使得处理器802执行一种上述防火墙实现方法。
该网络接口805用于与其它设备进行网络通信。本领域技术人员可以理解,图8中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备800的限定,具体的计算机设备800可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
其中,所述处理器802用于运行存储在存储器中的计算机程序8032,以实现如下步骤:接收第一OpenFlow交换机转发到预设防火墙的会话数据包,所述会话数据包由所述第一OpenFlow交换机按照第一流表策略转发,所述会话数据包由所述第一OpenFlow交换机从外部网络获取,所述预设防火墙包含于防火墙资源池,所述防火墙资源池是一种透明墙防火墙资源池,所述防火墙资源池中的防火墙具有相同策略;接收到所述会话数据包后,按照所述预设防火墙的预设策略判断所述会话数据包是否需要转发到内部网络中;以及若所述会话数据包需要转发到内部网络中,将所述会话数据包发送到第二OpenFlow交换机,以使所述第二OpenFlow交换机按照第二流表策略转发所述会话数据包到内部网络中,以完成对所述会话数据包的处理,其中,所述第一流表策略和所述第二流表策略相同。
在一实施例中,所述处理器802在实现上述步骤时,所述防火墙资源池包括防火墙组,所述防火墙组包括主防火墙和从防火墙。
在一实施例中,所述处理器802在实现上述步骤时,所述防火墙资源池包括多组防火墙组。
在一实施例中,所述处理器802在实现上述步骤时,所述主防火墙和所述从防火墙为不同型号的防火墙。
在一实施例中,所述处理器802在实现上述步骤时,所述方法还包括:
接收所述内部网络中发送的所述会话数据包的回包,所述回包由所述第二OpenFlow交换机通过匹配流表项的方式转发到与处理所述会话数据包同一个防火墙中,以完成对所述回包的处理。
在一实施例中,所述处理器802在实现上述步骤时,所述方法还包括:
接受控制器监控,以使所述控制器根据所述防火墙资源池里防火墙的状态,通过流表根据预设规则调整所述防火墙资源池里防火墙的负载。
在一实施例中,所述处理器802在实现上述步骤时,所述接受控制器监控,以使所述控制器根据所述防火墙资源池里防火墙的状态,通过流表根据预设规则调整所述防火墙资源池里防火墙的负载的步骤包括:
接受控制器监控,以使若所述控制器判断所述防火墙资源池中的一台防火墙处理所述会话数据包的数量达到所述防火墙的预设阈值,通过流表将新建会话的会话数据包切换到所述防火墙资源池中的其他防火墙处理。
应当理解,在本申请实施例中,处理器802可以是中央处理单元(CentralProcessing Unit,CPU),该处理器802还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application SpecificIntegratedCircuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。其中,通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
本领域普通技术人员可以理解的是实现上述实施例的方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成。该计算机程序可存储于一存储介质中,该存储介质为计算机可读存储介质。该计算机程序被该计算机***中的至少一个处理器执行,以实现上述方法的实施例的流程步骤。
因此,本发明还提供一种存储介质。该存储介质可以为计算机可读存储介质。该存储介质存储有计算机程序,该计算机程序被处理器执行时使处理器执行如下步骤:
一种计算机程序产品,当其在计算机上运行时,使得计算机执行以上各实施例中所描述的防火墙实现方法的步骤。
所述存储介质可以是U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、磁碟或者光盘等各种可以存储程序代码的计算机可读存储介质。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的。例如,各个单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。例如多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。
本申请实施例方法中的步骤可以根据实际需要进行顺序调整、合并和删减。本申请实施例装置中的单元可以根据实际需要进行合并、划分和删减。另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以是两个或两个以上单元集成在一个单元中。
该集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分,或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,终端,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。
以上所述,仅为本申请的具体实施方式,但本申请明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以权利要求的保护范围为准。
Claims (8)
1.一种防火墙实现方法,其特征在于,所述方法包括:
接收第一OpenFlow交换机转发到预设防火墙的会话数据包,所述会话数据包由所述第一OpenFlow交换机按照第一流表策略转发,所述会话数据包由所述第一OpenFlow交换机从外部网络获取,所述预设防火墙包含于防火墙资源池,所述防火墙资源池是一种透明墙防火墙资源池,其中,防火墙资源池为将多个防火墙资源池化,是多个防火墙之间的组成结构,所述防火墙资源池中的防火墙具有相同策略,且由控制器监控所述防火墙的状态;其中,所述将多个防火墙资源池化,是通过OpenFlow交换机,由流表控制同一个会话的所述会话数据包进出都在同一台防火墙进行实现;
接收到所述会话数据包后,按照所述预设防火墙的预设策略判断所述会话数据包是否需要转发到内部网络中;以及
若所述会话数据包需要转发到内部网络中,将所述会话数据包发送到第二OpenFlow交换机,以使所述第二OpenFlow交换机按照第二流表策略转发所述会话数据包到内部网络中,以完成对所述会话数据包的处理,其中,所述第一流表策略和所述第二流表策略相同,由所述控制器下发流表至所述第一OpenFlow交换机与所述第二OpenFlow交换机;
接受控制器监控,以使所述控制器根据所述防火墙资源池里防火墙的状态,通过流表根据预设规则调整所述防火墙资源池里防火墙的负载;
所述接受控制器监控,以使所述控制器根据所述防火墙资源池里防火墙的状态,通过流表根据预设规则调整所述防火墙资源池里防火墙的负载的步骤包括:
接受控制器监控,以使若所述控制器判断所述防火墙资源池中的一台防火墙处理所述会话数据包的数量达到所述防火墙的预设阈值,通过流表将新建会话的会话数据包切换到所述防火墙资源池中的其他防火墙处理;
其中,所述防火墙处理所述会话数据包的数量达到所述防火墙的预设阈值时,控制器将所述防火墙进行异常情况判定,判定结果包括出现故障以及出现性能瓶颈;
其中,所述切换到其他防火墙处理的步骤包括:若控制器判定防火墙资源池中的防火墙出现异常情况判定,包括出现故障以及出现性能瓶颈的判定,则下发流表给第一OpenFlow交换机和第二OpenFlow交换机,避免出现故障的防火墙或者出现性能瓶颈的防火墙处理会话数据包,将所述会话数据包通过防火墙资源池中的其他防火墙处理。
2.根据权利要求1所述防火墙实现方法,其特征在于,所述防火墙资源池包括防火墙组,所述防火墙组包括主防火墙和从防火墙。
3.根据权利要求2所述防火墙实现方法,其特征在于,所述防火墙资源池包括多组防火墙组。
4.根据权利要求2或者3所述防火墙实现方法,其特征在于,所述主防火墙和所述从防火墙为不同型号的防火墙。
5.根据权利要求1所述防火墙实现方法,其特征在于,所述方法还包括以下步骤:
接收所述内部网络中发送的所述会话数据包的回包,所述回包由所述第二OpenFlow交换机通过匹配流表项的方式转发到与处理所述会话数据包同一个防火墙中,以完成对所述回包的处理。
6.一种防火墙实现装置,其特征在于,包括用于执行如权利要求1-5任一项所述防火墙实现方法的单元。
7.一种计算机设备,其特征在于,所述计算机设备包括存储器以及与所述存储器相连的处理器;所述存储器用于存储计算机程序;所述处理器用于运行所述存储器中存储的计算机程序,以执行如权利要求1-5任一项所述防火墙实现方法的步骤。
8.一种计算机可读存储介质,其特征在于,所述存储介质存储有计算机程序,所述计算机程序被处理器执行时使所述处理器执行如权利要求1-5中任一项所述防火墙实现方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811023518.1A CN108989352B (zh) | 2018-09-03 | 2018-09-03 | 防火墙实现方法、装置、计算机设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811023518.1A CN108989352B (zh) | 2018-09-03 | 2018-09-03 | 防火墙实现方法、装置、计算机设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108989352A CN108989352A (zh) | 2018-12-11 |
CN108989352B true CN108989352B (zh) | 2022-11-11 |
Family
ID=64547837
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811023518.1A Active CN108989352B (zh) | 2018-09-03 | 2018-09-03 | 防火墙实现方法、装置、计算机设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108989352B (zh) |
Families Citing this family (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110324318B (zh) * | 2019-06-10 | 2022-08-23 | 平安科技(深圳)有限公司 | 一种内网访问方法及相关装置 |
CN110266674B (zh) * | 2019-06-10 | 2022-08-16 | 平安科技(深圳)有限公司 | 一种内网访问方法及相关装置 |
CN110336793B (zh) * | 2019-06-10 | 2022-08-23 | 平安科技(深圳)有限公司 | 一种内网访问方法及相关装置 |
CN110336794B (zh) * | 2019-06-10 | 2022-08-30 | 平安科技(深圳)有限公司 | 一种内网访问方法、***及相关装置 |
CN112769829B (zh) * | 2021-01-11 | 2022-10-04 | 科大讯飞股份有限公司 | 云物理机的部署方法、相关设备及可读存储介质 |
CN113612778A (zh) * | 2021-08-05 | 2021-11-05 | 中国工商银行股份有限公司 | 一种资源池化的防火墙集群***及通信方法 |
CN113765798B (zh) * | 2021-11-09 | 2022-02-08 | 广东睿江云计算股份有限公司 | 使用外置过滤器的QoS方法、装置、计算机设备及介质 |
CN115442456A (zh) * | 2022-09-16 | 2022-12-06 | 北京惠而特科技有限公司 | 一种基于工业协议的双主冗余备份方法及*** |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2012195847A (ja) * | 2011-03-17 | 2012-10-11 | Fujitsu Ltd | ファイアウォール装置,処理方法及びファイアウォールシステム |
CN105493445A (zh) * | 2013-06-07 | 2016-04-13 | 国际商业机器公司 | 联网计算环境中的区域防火墙集群 |
CN105577628A (zh) * | 2014-11-11 | 2016-05-11 | 中兴通讯股份有限公司 | 实现虚拟防火墙的方法及装置 |
CN105656841A (zh) * | 2014-11-11 | 2016-06-08 | 杭州华三通信技术有限公司 | 一种软件定义网络中实现虚拟防火墙的方法和装置 |
CN107645479A (zh) * | 2016-07-22 | 2018-01-30 | 平安科技(深圳)有限公司 | 一种实现防火墙多活高可用性的方法及终端 |
CN108173842A (zh) * | 2017-12-26 | 2018-06-15 | 国家电网公司 | 基于openstack云平台的软件定义防火墙的部署优化方法 |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5382451B2 (ja) * | 2010-01-29 | 2014-01-08 | 日本電気株式会社 | フロントエンドシステム、フロントエンド処理方法 |
CN105471907B (zh) * | 2015-12-31 | 2018-09-18 | 云南大学 | 一种基于Openflow的虚拟防火墙传输控制方法及*** |
CN107241208B (zh) * | 2016-03-29 | 2020-02-21 | 华为技术有限公司 | 一种报文转发方法、第一交换机及相关*** |
US10320748B2 (en) * | 2017-02-23 | 2019-06-11 | At&T Intellectual Property I, L.P. | Single packet authorization in a cloud computing environment |
CN107579963A (zh) * | 2017-08-24 | 2018-01-12 | 南京南瑞集团公司 | 一种高性能的防火墙集群 |
CN107689992A (zh) * | 2017-08-24 | 2018-02-13 | 南京南瑞集团公司 | 一种高性能的防火墙集群实现方法 |
-
2018
- 2018-09-03 CN CN201811023518.1A patent/CN108989352B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2012195847A (ja) * | 2011-03-17 | 2012-10-11 | Fujitsu Ltd | ファイアウォール装置,処理方法及びファイアウォールシステム |
CN105493445A (zh) * | 2013-06-07 | 2016-04-13 | 国际商业机器公司 | 联网计算环境中的区域防火墙集群 |
CN105577628A (zh) * | 2014-11-11 | 2016-05-11 | 中兴通讯股份有限公司 | 实现虚拟防火墙的方法及装置 |
CN105656841A (zh) * | 2014-11-11 | 2016-06-08 | 杭州华三通信技术有限公司 | 一种软件定义网络中实现虚拟防火墙的方法和装置 |
CN107645479A (zh) * | 2016-07-22 | 2018-01-30 | 平安科技(深圳)有限公司 | 一种实现防火墙多活高可用性的方法及终端 |
CN108173842A (zh) * | 2017-12-26 | 2018-06-15 | 国家电网公司 | 基于openstack云平台的软件定义防火墙的部署优化方法 |
Non-Patent Citations (1)
Title |
---|
基于OpenFlow的简化云计算网络架构;刘志国等;《微型机与应用》;20141210(第23期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN108989352A (zh) | 2018-12-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108989352B (zh) | 防火墙实现方法、装置、计算机设备及存储介质 | |
US11573840B2 (en) | Monitoring and optimizing interhost network traffic | |
US10075329B2 (en) | Customizable high availability switchover control of application delivery controllers | |
EP2993838B1 (en) | Methods for setting a member identity of gateway device and corresponding management gateway devices | |
JP6198737B2 (ja) | トラフィックディレクタ環境におけるリソースサーバの動的な発見のためのシステムおよび方法ならびに構成 | |
US8438307B2 (en) | Method and device of load-sharing in IRF stack | |
EP3337097A1 (en) | Network element upgrading method and device | |
US20220086092A1 (en) | Active-Active Cluster Control Method and Control Node | |
US10411742B2 (en) | Link aggregation configuration for a node in a software-defined network | |
WO2017050254A1 (zh) | 热备方法、装置及*** | |
WO2018090386A1 (zh) | 一种nf组件异常的处理方法、设备及*** | |
WO2018188313A1 (zh) | 备份网络中的业务切换方法及装置 | |
WO2020199686A1 (zh) | 一种提供边缘服务的方法、***及计算设备 | |
US8086731B2 (en) | Method, system and apparatus for collecting statistics of characteristic value with threshold | |
US10530681B2 (en) | Implementing forwarding behavior based on communication activity between a controller and a network device | |
CN111641522A (zh) | 节点切换的方法、***和计算机设备 | |
US20170324619A1 (en) | Network Management Method, Device, and System | |
US20190349436A1 (en) | Methods, apparatus and systems for resuming transmission link | |
US9197545B2 (en) | Highly scalable modular system with high reliability and low latency | |
CN103888310B (zh) | 监控处理方法及*** | |
KR101883671B1 (ko) | 노드 분산 방법 및 이를 수행하는 관리 서버 | |
CN107528724B (zh) | 一种节点集群的优化处理方法及装置 | |
US20210004308A1 (en) | Data processing method and system | |
WO2015196769A1 (zh) | Iptv***中的数据处理方法及网元设备 | |
KR102579474B1 (ko) | 네트워크 부하 분산 방법 및 장치 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |