The invention discloses a physical network security device and its control method, the physical network security device comprises a main from the virtual machine, virtual machine and virtual machine for physical card, the main operation of the main network security system, from the virtual machine to run from the network security system, wherein the method comprises: obtaining main respectively from the running state and virtual machine virtual machine; virtual machine when detect the main fault, binding relationship control switching virtual machine and the physical network card; and control from the virtual machine main switch to the new virtual machine, virtual machine and control the main switch failure for the new virtual machine from. The method uses the respective operation of network security system of two virtual machine, implemented within the same physical hardware switch standby virtual network security system, greatly increase the high availability for software fault, and hot standby technology, greatly reducing the cost.
【技术实现步骤摘要】
本专利技术涉及网络安全
,尤其涉及一种物理网络安全设备的控制方法以及一种物理网络安全设备。
技术介绍
为了阻止来自外部网络的攻击,通常网络系统中关键节点会部署网络安全设备。随着网络技术的不断发展,网络所承载的业务规模越来越大,类型越来越复杂,为了处理各类业务,网络安全设备本身的功能也变得越来越繁杂。同时用户却对网络安全设备的可用性要求也越来越高。而网络安全设备本身的复杂性,导致了设备经常会由于各种原因产生各种故障,使得用户不得不承担由于网络中断所带来的风险。高可用性(HighAvailability,简称为HA)提供了一种解决网络中由于单点故障而带来的风险的方法。例如,对于部署防火墙的企业,从网络安全方面考虑,所有进出信息流都必须经过防火墙。这时防火墙就是一个单点连接,一旦出现故障,就会使网络中断。相关技术中,最常用的一种提供高可用性的机制就是冗余,即通过设备、链路等冗余,可以很好地提供高可用性。冗余机制中最常见的解决方案是双机热备,即通过使用两台相同配置的物理设备组成一个备份组。其中有一台物理设备作为主设备,在正常情况下提供网络服务;另一台物理设备则作为备份设备,当主设备发生故障时代替它而工作,从而避免服务中断,提供高可用性。网络安全设备的复杂性,使得设备的发生故障原因主要集中在软件问题,包括网络安全设备里的操作系统、硬件驱动、内核模块、用户态进程等所产生的问题。虽然传统的双机热备方案中,能够较好地解决软件产生的问题,但是这种部署方案的成本往往会比较高,并且部署及配置方面也比较复杂。
技术实现思路
本专利技术的目的旨在至少在一定程度上解决上述的技术问 ...
【技术保护点】
一种物理网络安全设备的控制方法,其特征在于,所述物理网络安全设备包括主虚拟机、从虚拟机和物理网卡,所述主虚拟机用于运行主网络安全系统,所述从虚拟机用于运行从网络安全系统,其中所述方法包括:分别获取所述主虚拟机和从虚拟机的运行状态;当检测到所述主虚拟机发生故障时,控制切换虚拟机与所述物理网卡的绑定关系;以及控制所述从虚拟机切换为新的主虚拟机,并控制所述发生故障的主虚拟机切换为新的从虚拟机。
【技术特征摘要】
1.一种物理网络安全设备的控制方法,其特征在于,所述物理网络安全设备包括主虚拟机、从虚拟机和物理网卡,所述主虚拟机用于运行主网络安全系统,所述从虚拟机用于运行从网络安全系统,其中所述方法包括:分别获取所述主虚拟机和从虚拟机的运行状态;当检测到所述主虚拟机发生故障时,控制切换虚拟机与所述物理网卡的绑定关系;以及控制所述从虚拟机切换为新的主虚拟机,并控制所述发生故障的主虚拟机切换为新的从虚拟机。2.如权利要求1所述的物理网络安全设备的控制方法,其特征在于,在控制切换虚拟机与所述物理网卡的绑定关系之前,所述方法还包括:获取虚拟机收发网络数据包的实现方式;判断所述虚拟机收发网络数据包的实现方式是否为使用直接访问物理网卡的方式;如果是,则控制切换虚拟机与所述物理网卡的绑定关系。3.如权利要求2所述的物理网络安全设备的控制方法,其特征在于,控制切换虚拟机与所述物理网卡的绑定关系,具体包括:解除所述主虚拟机与所述物理网卡的绑定,并控制所述从虚拟机与所述物理网卡进行绑定。4.如权利要求2所述的物理网络安全设备的控制方法,其特征在于,通过以下步骤来实现直接访问物理网卡:控制所述主虚拟机通过PCI透传形式访问所述物理网卡,并控制所述物理网卡绑定至所述主虚拟机;或者,控制所述主虚拟机通过SR-IOV形式访问所述物理网卡,并控制所述物理网卡中虚拟功能模块VirtualFunction绑定至所述主虚拟机。5.如权利要求2所述的物理网络安全设备的控制方法,其特征在于,当所述虚拟机收发网络数据包的实现方式为使用所述虚拟机中虚拟网卡的方式时,不进行网卡切换操作。6.如权利要求5所述的物理网络安全设备的控制方法,其特征在于,所述物理网络安全设备还包括虚拟交换机,其中,所述虚拟交换机用于接收所述虚拟机通过所述虚拟网卡发送的网络数据包,并将所述网络数据包转发至所述物理网卡,或者,接收所述物理网卡发送的网络数据包,并将所述网络数据包发送至所述虚拟网卡,以使所述虚拟机接收所述虚拟网卡发送的所述网络数据包。7.如权利要求5或6所述的物理网络安全设备的控制方法,其特征在于,所述虚拟网卡的类型为Vmxnet3、Virtio-net或Xenvirt。8.如权利要求1至7中任一项所述的物理网络安全设备的控制方法,其特征在于,还包括:同步所述主虚拟机和所述从虚拟机中的数据信息,其中,所述数据信息包括配置信息、运行信息和系统时间。9.如权利要求1所述的物理网络安全设备的控制方法,其特征在于,在控制所述发生故障的主虚拟机切换为新的从虚拟机之后,所述方法还包括:将所述发生故障的主虚拟机进行重置。10.一种物理网络...
【专利技术属性】
技术研发人员:金健,
申请(专利权)人:东软集团股份有限公司,
类型:发明
国别省市:辽宁;21
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。