实现信息备份的方法、防火墙和网络系统转让专利
申请号 : CN200810133021.5
文献号 : CN101316271B
文献日 : 2011-11-02
发明人 : 吴永清
申请人 : 成都市华为赛门铁克科技有限公司
摘要 :
本发明实施例公开一种实现信息备份的方法、防火墙和网络系统。所述方法,用于实现至少两个防火墙之间的信息备份,包括:接收报文;在检测到所述接收的报文使记录的会话信息发生变化时,将变化后的会话信息备份到另一防火墙。本发明实施例提供一种防火墙,包括:接收单元,用于接收报文;处理单元,用于在检测到所述接收的报文使记录的会话信息发生变化时,将变化后的会话信息备份到另一防火墙。本发明实施例还公开一种网络系统,能够保证防火墙之间记录的会话信息实时一致。
权利要求 :
1.一种实现信息备份的方法,用于实现至少两个防火墙之间的会话信息备份,其特征在于,包括:接收报文;
在检测到所述接收的报文使记录的会话信息发生变化时,将变化后的会话信息备份到另一防火墙,具体包括:在记录的会话信息中查找所述报文对应的会话,当未查找到所述报文对应的会话后,根据所述报文建立会话,新增所述会话的会话信息,将所述新增的会话信息备份到所述另一防火墙;当查找到所述报文对应的会话后,进一步在判断出所述报文属于改变会话状态的报文时,根据所述报文更新所述会话对应的会话信息,将所述更新的会话信息备份到所述另一防火墙。
2.根据权利要求1所述的实现信息备份的方法,其特征在于:所述报文为互联网控制报文协议ICMP报文、用户数据报协议UDP报文或传输控制协议TCP报文中的连接建立请求SYN报文。
3.根据权利要求1所述的实现信息备份的方法,其特征在于:所述更新所述会话对应的会话信息包括:修改或删除所述会话对应的会话信息。
4.根据权利要求1或3所述的实现信息备份的方法,其特征在于:所述属于改变会话状态的报文包括:传输控制协议TCP报文中的连接建立请求回应标志SYN+ACK报文、回应标志ACK报文、复位标志RST报文或结束标志FIN报文。
5.一种防火墙,其特征在于,包括:
接收单元,用于接收报文;
处理单元,用于在检测到所述接收的报文使记录的会话信息发生变化时,将变化后的会话信息备份到另一防火墙;
其中,所述处理单元包括:
存储单元,用于记录会话信息;
查找单元,用于在所述存储单元记录的会话信息中查找所述报文对应的会话;
第一处理单元,用于当所述查找单元未查找到所述报文对应的会话后,根据所述报文建立会话,在所述存储单元新增所述会话的会话信息,将所述新增的会话信息备份到所述另一防火墙;
第二处理单元,用于当所述查找单元查找到所述报文对应的会话后,进一步在判断出所述报文属于改变会话状态的报文时,在所述存储单元根据所述报文更新所述会话对应的会话信息,将所述更新的会话信息备份到所述另一防火墙。
6.一种网络系统,其特征在于,包括:
第一防火墙,用于接收报文,并检测所述接收的报文是否使记录的会话信息发生变化,若是,将变化后的会话信息发送出去;
第二防火墙,用于接收所述第一防火墙发送的所述变化后的会话信息后进行备份;
其中,所述第一防火墙进一步包括:
接收单元,用于接收报文;
处理单元,用于在记录的会话信息中查找所述报文对应的会话,当未查找到所述报文对应的会话后,根据所述报文建立会话,新增所述会话的会话信息,将所述新增的会话信息备份到所述另一防火墙;
所述处理单元当查找到所述报文对应的会话后,进一步在判断出所述报文属于改变会话状态的报文时,根据所述报文更新所述会话对应的会话信息,将所述更新的会话信息备份到所述另一防火墙。
说明书 :
实现信息备份的方法、防火墙和网络系统
技术领域
[0001] 本发明涉及网络通信领域,尤其涉及一种实现信息备份的方法、防火墙和网络系统。
背景技术
[0002] 防火墙作为网络中的监测防护设备,对网络的安全起着重要的作用。目前主流的防火墙一般采用状态检测防火墙,通过该类防火墙记录每一个会话的会话信息,并根据记录的会话信息动态地判断是否丢弃接收的报文。这里所述会话信息包括会话建立的相关参数,以及现有会话的状态信息,例如源地址、目的地址、报文协议类型、所处会话状态等。
[0003] 在实际的应用中,为了提高安全可靠性,防火墙通常采用双机热备组网方式,其中一台处于工作状态,另一台处于备份状态,当工作状态防火墙发生故障时,备份状态防火墙接替其工作。该方法只有在报文来回路径一致的情况下,才能确保防火墙记录的每一个会话的会话信息的完整性,所以在具体应用上的组网配置较为复杂。
[0004] 现有技术提出一种支持报文来回路径不一致的处理方法。图1为现有技术组网图,包括:防火墙1、防火墙2;路由器R1、R2、R3、R4。如果采用传统的报文来回路径一致方式,路径为:R3->防火墙1->R1->防火墙1->R3;但现采用报文来回路径不一致方式时,则路径为:R3->防火墙1->R1->R2->防火墙2->R4。针对现有技术报文来回路径不一致的情况,每台防火墙都会定期扫描记录的会话信息,然后将会话信息通过防火墙之间的心跳线备份到另一台防火墙上,这样在其中一台防火墙发生故障后,另一台防火墙可以根据之前备份过来的会话信息,处理会话业务。
[0005] 在对现有技术的研究和实践过程中,发明人发现现有技术存在以下问题:
[0006] 由于现有技术采用的是定期扫描后再进行会话信息备份,必然会有延时,导致两台防火墙记录的会话信息不能实时完全一致,因而某些会话业务没法正常进行。例如其中一台防火墙在处理会话时,由于没能及时的获得该会话最新的会话信息,与该会话相关的业务也就无法正常的进行。
发明内容
[0007] 本发明实施例要解决的技术问题是提供一种实现信息备份的方法、防火墙和网络系统,能够保证防火墙之间记录的会话信息实时一致。
[0008] 本发明实施例提供一种实现信息备份的方法,用于实现至少两个防火墙之间的信息备份,包括:接收报文;在检测到所述接收的报文使记录的会话信息发生变化时,将变化后的会话信息备份到另一防火墙,具体包括:在记录的会话信息中查找所述报文对应的会话,当未查找到所述报文对应的会话后,根据所述报文建立会话,新增所述会话的会话信息,将所述新增的会话信息备份到所述另一防火墙;当查找到所述报文对应的会话后,进一步在判断出所述报文属于改变会话状态的报文时,根据所述报文更新所述会话对应的会话信息,将所述更新的会话信息备份到所述另一防火墙。
[0009] 本发明实施例一种防火墙,包括:接收单元,用于接收报文;处理单元,用于在检测到所述接收的报文使记录的会话信息发生变化时,将变化后的会话信息备份到另一防火墙;
[0010] 其中,所述处理单元包括:
[0011] 存储单元,用于记录会话信息;
[0012] 查找单元,用于在所述存储单元记录的会话信息中查找所述报文对应的会话;
[0013] 第一处理单元,用于当所述查找单元未查找到所述报文对应的会话后,根据所述报文建立会话,在所述存储单元新增所述会话的会话信息,将所述新增的会话信息备份到所述另一防火墙;
[0014] 第二处理单元,用于当所述查找单元查找到所述报文对应的会话后,进一步在判断出所述报文属于改变会话状态的报文时,在所述存储单元根据所述报文更新所述会话对应的会话信息,将所述更新的会话信息备份到所述另一防火墙。
[0015] 本发明实施例一种网络系统,包括:第一防火墙,用于接收报文,并检测所述接收的报文是否使记录的会话信息发生变化,若是,将变化后的会话信息发送出去;第二防火墙,用于接收所述第一防火墙发送的所述变化后的会话信息后进行备份;
[0016] 其中,所述第一防火墙进一步包括:
[0017] 接收单元,用于接收报文;
[0018] 处理单元,用于在记录的会话信息中查找所述报文对应的会话,当未查找到所述报文对应的会话后,根据所述报文建立会话,新增所述会话的会话信息,将所述新增的会话信息备份到所述另一防火墙;
[0019] 所述处理单元当查找到所述报文对应的会话后,进一步在判断出所述报文属于改变会话状态的报文时,根据所述报文更新所述会话对应的会话信息,将所述更新的会话信息备份到所述另一防火墙。
[0020] 本发明实施例提供的技术方案由于是在检测到接收的报文使记录的会话信息发生变化时,就将变化后的会话信息备份到另一防火墙,从而通过这种即时的备份机制,保证了防火墙之间记录的会话信息实时一致。
附图说明
[0021] 为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
[0022] 图1为现有技术组网图;
[0023] 图2为本发明实施例一实现信息备份的方法流程图;
[0024] 图3为本发明实施例二实现信息备份的方法流程图;
[0025] 图4为本发明实施例三实现信息备份的方法流程图;
[0026] 图5为本发明实施例防火墙结构示意图;
[0027] 图6为本发明实施例网络系统结构示意图。
具体实施方式
[0028] 下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0029] 本发明实施例提供了一种实现信息备份的方法,能够保证防火墙之间记录的会话信息实时一致,使得会话的业务正常进行。
[0030] 本发明实施例中,备份会话信息时不区分防火墙的主备状态,即当第一防火墙作为主防火墙,第二防火墙作为备防火墙时,会话信息可以从主防火墙备份到备防火墙,也可以从备防火墙备份到主防火墙。
[0031] 下面结合附图对本发明实施例作详细描述。
[0032] 实施例一:
[0033] 参见图2,是本发明实施例一实现信息备份的方法流程图,以第一防火墙和第二防火墙为例进行说明,包括步骤:
[0034] 步骤201、第一防火墙接收报文;
[0035] 第一防火墙接收各种不同协议类型的报文,可能是ICMP(Internet Control Message Protocol,互联网控制报文协议)报文,或者是UDP(User Datagram Protocol,用户数据报协议)报文,也可能是TCP(Transmission Control Protocol,传输控制协议)报文。
[0036] 步骤202、所述第一防火墙在检测到所述接收的报文使记录的会话信息发生变化时,将变化后的会话信息备份到第二防火墙。
[0037] 第一防火墙在检测到所述接收的报文使记录的会话信息发生变化时,立即将变化后的会话信息备份到第二防火墙。
[0038] 这里所说的检测到接收的报文使记录的会话信息发生变化,可能是需要根据接收的报文建立新会话并新增会话信息而导致记录的会话信息发生变化,也可能是接收报文后原有的会话状态发生变化,需要更新会话信息而导致记录的会话信息发生变化。
[0039] 可以发现,实施例一通过在检测到所述接收的报文使记录的会话信息发生变化时,将变化后的会话信息立即备份到第二防火墙,从而保证第二防火墙与第一防火墙之间的会话信息实时一致。
[0040] 在网络系统的具体应用中,根据报文协议的不同,本发明实施例实现会话信息备份的方法采用不同的方式实现,下面结合不同的报文协议对本发明实施例进一步进行具体描述。
[0041] 实施例二:
[0042] 参见图3,是本发明实施例二实现信息备份的方法流程图。实施例二主要描述的是防火墙接收到ICMP或UDP报文时的处理流程,以第一防火墙和第二防火墙为例进行说明。基于UDP或ICMP的会话一般都是无连接的会话,不存在会话的变化状态,处理过程相对简单。图3中具体步骤如下:
[0043] 步骤301、第一防火墙接收ICMP或UDP报文;
[0044] 步骤302、第一防火墙在自身所记录的会话信息中查找所接收报文对应的会话;
[0045] 第一防火墙记录有与会话相关的会话信息,会话信息可以存储在专门的内存中。当接收到报文时,第一防火墙根据报文中携带的相关信息,在自身所记录的会话信息中查找报文对应的相关会话。
[0046] 步骤303、根据查找结果得出是否存在会话,如果存在会话则进入步骤306,如果不存在会话则进入步骤304;
[0047] 第一防火墙通过在自身所记录的会话信息中查找报文对应的相关会话,可以查找到之前是否已经建立过会话,如果已经建立过会话,则存储有该会话的相关信息,因此得出存在会话,并进入步骤306,否则得出不存在会话,进入步骤304。
[0048] 步骤304、第一防火墙建立ICMP或UDP会话,进入步骤305;
[0049] 第一防火墙根据查找结果得出不存在所接收报文对应的会话后,同时根据设置的访问规则判断出该报文属于允许通过的报文,则根据接收的报文建立ICMP或UDP会话,并新增该新会话的会话信息,此时第一防火墙记录的会话信息已经发生变化。如果第一防火墙判断该报文不允许通过,则会丢弃该报文,结束流程,不建立会话。
[0050] 步骤305、将ICMP或UDP会话的会话信息备份至第二防火墙,进入步骤306;
[0051] 第一防火墙通过防火墙之间的心跳线将ICMP或UDP会话的会话信息立即备份到第二防火墙,以保证第二防火墙与第一防火墙之间的会话信息实时一致。
[0052] 步骤306、转发ICMP或UDP报文。
[0053] 需要说明的是,上述过程中,是以先备份会话信息再转发报文举例说明,也可以是备份会话信息和转发报文是同时进行的,或者是先转发报文再备份会话信息。
[0054] 可以发现,实施例二通过在检测到接收ICMP或UDP报文后因为新建立ICMP或UDP会话而使记录的会话信息发生变化时,将变化后的会话信息立即备份到第二防火墙,从而保证第二防火墙与第一防火墙之间的会话信息实时一致。
[0055] 实施例三、
[0056] 参见图4,是本发明实施例三实现信息备份的方法流程图。实施例三主要描述的是防火墙接收到TCP报文时的处理流程,以第一防火墙和第二防火墙为例进行说明。因为基于TCP的会话存在各种不同状态,因此处理过程相对较为复杂,但主要也是在检测到记录的会话信息发生变化时将会话信息备份到另一防火墙。这里所说的检测到记录的会话信息发生变化,包括:建立新会话时新增会话信息,原来已建立会话但会话状态发生变化导致会话信息更新(例如会话信息的修改或删除)等。
[0057] 图4中具体步骤如下:
[0058] 步骤401、第一防火墙接收TCP报文;
[0059] 步骤402、第一防火墙在自身所记录的会话信息中查找所接收报文对应的会话;
[0060] 第一防火墙记录有与会话相关的会话信息,会话信息可以存储在专门的内存中。当接收到报文时,第一防火墙根据报文中携带的相关信息,在自身所记录的会话信息中查找报文对应的相关会话。
[0061] 步骤403、根据查找结果得出是否存在会话,如果存在会话则进入步骤404,如果不存在会话则进入步骤406;
[0062] 第一防火墙通过在自身所记录的会话信息中查找报文对应的相关会话,可以查找到之前是否已经建立过会话,如果已经建立过会话,则存储有该会话的相关信息,因此得出存在会话,并进入步骤404,否则得出不存在会话,进入步骤406。
[0063] 步骤404、判断接收的报文是否属于改变已存在会话的会话状态的报文,如果是则进入步骤405,否则进入步骤410;
[0064] 在TCP报文中,改变会话状态的报文可以是SYN+ACK报文、ACK报文、RST报文或者是FIN报文等。SYN+ACK报文是连接建立请求回应标志报文,用以回应连接建立请求;ACK报文是回应标志报文,在一个TCP连接中,除了第一个报文即SYN报文外,所有报文都设置该字段,作为对上一个报文的响应;RST报文是复位标志报文;FIN报文是结束标志报文。需要说明的是,这里只是举例说明,至于其他也将改变会话状态的报文,不再一一列出。
[0065] 步骤405、将更新的会话信息备份至第二防火墙,进入步骤410;
[0066] 第一防火墙判断接收的报文属于改变已存在会话的会话状态的报文后,更新对应会话的会话信息,此时,记录的会话信息发生变化。第一防火墙通过防火墙之间的心跳线,将TCP的更新后的会话信息备份立即备份到第二防火墙,以保证第二防火墙与第一防火墙之间的会话信息实时一致。
[0067] 步骤406、判断报文是否为SYN报文,如果是则进入步骤408,否则进入步骤407;
[0068] 步骤407、丢弃该报文,结束流程;
[0069] 步骤408、第一防火墙建立TCP会话,进入步骤409;
[0070] TCP协议中在收到SYN报文后会建立TCP会话,因此判断出接收的报文为SYN报文后,根据该报文建立TCP会话,并新增该会话的会话信息,此时,第一防火墙记录的会话信息发生变化。
[0071] 步骤409、将新记录的会话信息备份至第二防火墙,进入步骤410;
[0072] 第一防火墙通过防火墙之间的心跳线将为新建立的会话所记录的会话信息备份立即备份到第二防火墙,以保证第二防火墙与第一防火墙之间的会话信息实时一致。
[0073] 步骤410、转发报文。
[0074] 需要说明的是,上述过程中,是以先备份会话信息再转发报文举例说明,也可以是备份会话信息和转发报文是同时进行的,或者是先转发报文再备份会话信息。
[0075] 需要说明的是,上述实施例是以两台防火墙之间互相进行会话信息备份举例说明,对于网络系统中N+1备份的组网(N大于2)情况,其原理是类似的。
[0076] 上述实施例详细介绍了一种实现信息备份的方法,相应的,本发明实施例提供一种防火墙和网络系统。
[0077] 请参阅图5,是本发明实施例防火墙结构示意图。
[0078] 如图5所示,防火墙包括:接收单元51、处理单元52。
[0079] 接收单元51,用于接收报文。
[0080] 处理单元52,用于在检测到所述接收的报文使记录的会话信息发生变化时,将变化后的会话信息备份到另一防火墙。
[0081] 处理单元52进一步包括:存储单元521、查找单元522、第一处理单元523。
[0082] 存储单元521,用于记录会话信息。
[0083] 查找单元522,用于在所述存储单元521记录的会话信息中查找所述报文对应的会话。
[0084] 第一处理单元523,用于当所述查找单元522未查找到所述报文对应的会话后,根据所述报文建立会话,在所述存储单元521新增所述会话的会话信息,将所述新增的会话信息备份到所述另一防火墙。此时,第一处理单元523处理的报文可以为ICMP报文、UDP报文或TCP报文中的SYN报文。
[0085] 所述处理单元52还包括:第二处理单元524。
[0086] 第二处理单元524,用于当所述查找单元522查找到所述报文对应的会话后,进一步在判断出所述报文属于改变会话状态的报文时,在所述存储单元521根据所述报文更新所述会话对应的会话信息,将所述更新的会话信息备份到所述另一防火墙。这里所述的更新所述会话对应的会话信息包括:修改或删除所述会话对应的会话信息。所述属于改变会话状态的报文包括:TCP报文中的SYN+ACK报文、ACK报文、RST报文或FIN报文。
[0087] 请参阅图6,是本发明实施例网络系统结构示意图。
[0088] 如图6所示,网络系统包括:第一防火墙61、第二防火墙62。
[0089] 第一防火墙61,用于接收报文,并检测所述接收的报文是否使记录的会话信息发生变化时,若是,将变化后的会话信息发送出去。
[0090] 第二防火墙62,用于接收所述第一防火墙61发送的所述变化后的会话信息后进行备份。
[0091] 所述第一防火墙61进一步包括:接收单元和处理单元。
[0092] 接收单元,用于接收报文。
[0093] 处理单元,用于在记录的会话信息中查找所述报文对应的会话,当未查找到所述报文对应的会话后,根据所述报文建立会话,新增所述会话的会话信息,将所述新增的会话信息备份到所述另一防火墙。所述处理单元当查找到所述报文对应的会话后,进一步在判断出所述报文属于改变会话状态的报文时,根据所述报文更新所述会话对应的会话信息,将所述更新的会话信息备份到所述另一防火墙。
[0094] 第一防火墙61更具体的结构参阅上述图5所示的结构,此处不再详细叙述。需要说明的是,这里所述的第一防火墙61和第二防火墙62是相对的,第二防火墙62也可以具有上述图5所示的结构。
[0095] 综上所述,本发明实施例提供的技术方案由于是在在检测到接收的报文使记录的会话信息发生变化时,就将变化后的会话信息备份到另一防火墙,从而通过这种即时的备份机制,保证了防火墙之间记录的会话信息实时一致。
[0096] 进一步的,本发明实施例提供的技术方案,针对接收的报文的不同协议类型,提出不同的处理流程,应用更为灵活。
[0097] 本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random Access Memory,RAM)等。
[0098] 以上对本发明实施例所提供的一种实现信息备份的方法、防火墙和网络系统进行了详细介绍,对于本领域的一般技术人员,依据本发明实施例的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。