同步安全集群会话信息的方法及装置制造方法及图纸

本申请提出同步安全集群会话信息的方法及装置。方法包括：预设一安全网关，该安全网关位于安全集群外部，通过管理链路与安全集群内的多个安全节点互通，所述安全网关接收所述安全集群内的任一安全节点通过管理链路发来的会话同步请求报文，根据该会话同步请求报文中的同步类型标识，对该会话同步请求报文中的会话标识所对应的会话信息进行同步处理。本申请提高了安全集群的会话性能。

【技术实现步骤摘要】
同步安全集群会话信息的方法及装置
本申请涉及安全集群
，尤其涉及同步安全集群会话信息的方法及装置。
技术介绍
安全设备指的是在网络中专门执行安全策略如：防火墙设备。云计算、大数据等新兴技术的崛起在网络中产生了更多的数据，对于安全设备的性能要求也是成级数增长。受限于单台物理安全设备的性能限制，如何在平滑扩展安全设备性能的同时而不带来管理部署的复杂度成为安全设备急需解决的问题。安全集群是一种多虚一的虚拟化技术，可以有效解决上述问题。现有安全集群的组网形态与网络设备类似，安全集群内的安全设备的部署位置通常旁挂汇聚或核心交换机，以防火墙设备为例，简化后的安全集群组网形态如图1所示，其中，防火墙设备FW1～FW4构成一个安全集群，FW1～FW4通过聚合链路与核心交换机连接，核心交换机将来自下挂主机1～n的流量通过预设的负载分担算法分担到FW1～FW4上，FW1～FW4根据自身配置的安全策略确定对核心交换机发来的流量进行转发还是丢弃。为了实现集群处理的可靠性，现有安全集群处理机制通过手工指定或者自动建立配置备份关系，集群中的任何一个节点的会话必须备份到其它节点，从而实现宿主节点故障后，已经建立的数据流不中断。
技术实现思路
本申请提供同步安全集群会话信息的方法及装置，以提高安全集群的会话性能。本申请的技术方案是这样实现的：一种同步安全集群会话信息的方法，预设一安全网关，该安全网关位于安全集群外部，通过管理链路与安全集群内的多个安全节点互通，该方法包括：所述安全网关接收所述安全集群内的任一安全节点通过所述管理链路发来的会话同步请求报文；所述安全网关根据该会话同步请求报文中的同步类型标识，对该会话同步请求报文中的会话标识所对应的会话信息进行同步处理。一种同步安全集群会话信息的装置，位于安全网关上，该安全网关位于安全集群外部，通过管理链路与安全集群内的多个安全节点互通，该装置包括：会话同步请求接收模块：接收所述安全集群内的任一安全节点通过所述管理链路发来的会话同步请求报文；会话信息同步处理模块：根据所述会话同步请求报文中的同步类型标识，对该会话同步请求报文中的会话标识所对应的会话信息进行同步处理。可见，本申请中，通过在安全集群外设置一安全网关，在安全集群内的各安全节点上创建的会话信息都同步到该安全网关上，安全节点之间无需相互备份会话信息，从而减轻了安全集群的处理负担，提高了安全集群的会话性能。附图说明图1为现有的安全集群组网形态示意图；图2为本申请一实施例提供的同步安全集群会话信息的方法流程图；图3为本申请实施例提供的同步安全集群会话信息的组网示意图；图4为本申请另一实施例提供的同步安全集群会话信息的方法流程图；图5为本申请实施例提供的包含同步安全集群会话信息的装置的安全网关的硬件结构示意图；图6为本申请实施例提供的同步安全集群会话信息的装置的组成示意图。具体实施方式申请人对现有安全集群处理机制进行分析发现：集群内的安全节点之间的会话备份占用了节点自身的会话资源，导致集群的会话性能无法线性增加，以1:1的备份为例，最差的情况下，集群整体的会话规格为单个节点规格之和的1/2。图2为本申请一实施例提供的同步安全集群会话信息的方法流程图，其具体步骤如下：步骤200：预设一安全网关，该安全网关位于安全集群外部，通过管理链路与安全集群内的多个安全节点互通。安全网关可以为物理安全网关，也可以是位于物理服务器上的虚拟安全网关。本申请实施例中的“管理链路”专用于安全网关与安全节点之间交互本申请实施例中提到的会话同步相关报文，由于安全网关与安全节点之间的交互要经过安全集群旁挂的核心/汇聚交换机，因此需要预先通过核心/汇聚交换机在安全网关与各安全节点之间建立物理链路作为管理链路，并为安全网关以及核心/汇聚交换机以及各安全节点在管理链路上的端口分配IP地址，需要预先将安全网关的IP地址配置到安全集群中的各安全节点上。图3给出了本申请实施例提供的同步安全集群会话信息的组网示意图，其中，安全集群内的各安全节点通过管理链路与安全网关互通，该管理链路路经安全集群旁挂的核心/汇聚交换机，即安全节点与安全网关之间的管理链路是要经过安全集群旁挂的核心/汇聚交换机的。步骤201：安全网关接收安全集群内的任一安全节点通过管理链路发来的会话同步请求报文。步骤202：安全网关根据该会话同步请求报文中的同步类型标识，对该会话同步请求报文中的会话标识所对应的会话信息进行同步处理。优选地，当同步类型标识为创建同步标识时，会话同步请求报文进一步携带在所述安全节点上创建成功的会话信息，且，步骤202中，对该会话同步请求报文中的会话标识所对应的会话信息进行同步处理包括：安全网关保存该会话同步请求报文中携带的所述会话信息。优选地，当同步类型标识为更新同步标识时，会话同步请求报文进一步携带在所述安全节点上创建成功的会话的更新会话信息，且，步骤202中，对该会话同步请求报文中的会话标识所对应的会话信息进行同步处理包括：安全网关根据该会话同步请求报文携带的会话标识，在自身查找到对应的会话信息，根据该会话同步请求报文携带的所述更新会话信息对查找到的会话信息进行更新。优选地，会话同步请求报文携带多个会话的会话信息或更新会话信息，且，安全网关对该会话同步请求报文中的会话标识所对应的会话信息进行同步处理进一步包括：安全网关向安全节点返回会话同步响应报文，该会话同步响应报文中携带同步成功的会话数目，以使得：安全节点在接收到会话同步响应报文后，判断该会话同步响应报文携带的同步成功的会话数目是否与本安全节点发出的会话同步请求报文携带的会话信息的数目一致，若不一致，则重新向安全网关发出上述会话同步请求报文。优选地，当同步类型标识为获取同步标识时，会话同步请求报文中进一步携带请求获取的会话数目；且，步骤202中，对该会话同步请求报文中的会话标识所对应的会话信息进行同步处理包括：安全网关根据该会话同步请求报文中携带的会话标识，在自身保存的所有会话信息中查找到对应的会话信息，将查找到的会话信息及返回的会话数目返回给所述安全节点，以使得：所述安全节点在接收到所述会话同步响应报文后，判断该会话同步响应报文携带的会话数目是否与本安全节点发出的会话同步请求报文携带的会话信息的数目一致，若不一致，则比较所述会话同步请求报文中携带的会话标识与所述会话同步响应报文中携带的会话标识，得知未被返回的会话标识，在本地创建对应的会话信息。优选地，当同步类型标识为删除同步标识时，对该会话同步请求报文中的会话标识所对应的会话信息进行同步处理包括：安全网关根据该会话同步请求报文中携带的会话标识，在自身保存的所有会话信息中查找到对应的会话信息，删除查找到的会话信息。优选地，安全网关保存该会话同步请求报文中携带的所述会话信息进一步包括：为保存的每条会话信息设置一个老化定时器，老化定时器的定时时长大于对应会话信息的更新时长，且，对于保存的每条会话信息，若在对应的老化定时器超时前，接收到安全节点发来的针对该会话信息的同步类型标识为更新同步标识的会话同步请求报文，则重启该老化定时器；对于保存的每条会话信息，在对应的老化定时器超时时，删除该会话信息。从本申请实施例可以看出：通过在安全集群外设置一安全网关，在安全集群内的各安全节本文档来自技高网...

【技术保护点】
一种同步安全集群会话信息的方法，其特征在于，预设一安全网关，该安全网关位于安全集群外部，通过管理链路与安全集群内的多个安全节点互通，该方法包括：所述安全网关接收所述安全集群内的任一安全节点通过所述管理链路发来的会话同步请求报文；所述安全网关根据该会话同步请求报文中的同步类型标识，对该会话同步请求报文中的会话标识所对应的会话信息进行同步处理。

【技术特征摘要】
1.一种同步安全集群会话信息的方法，其特征在于，预设一安全网关，该安全网关位于安全集群外部，通过管理链路与安全集群内的多个安全节点互通，该方法包括：所述安全网关接收所述安全集群内的任一安全节点通过所述管理链路发来的会话同步请求报文；所述安全网关根据该会话同步请求报文中的同步类型标识，对该会话同步请求报文中的会话标识所对应的会话信息进行同步处理。2.根据权利要求1所述的方法，其特征在于，当所述同步类型标识为创建同步标识时，所述会话同步请求报文进一步携带在所述安全节点上创建成功的会话信息；所述对该会话同步请求报文中的会话标识所对应的会话信息进行同步处理包括：所述安全网关保存该会话同步请求报文中携带的所述会话信息。3.根据权利要求1所述的方法，其特征在于，当所述同步类型标识为更新同步标识时，所述会话同步请求报文进一步携带在所述安全节点上创建成功的会话的更新会话信息；所述对该会话同步请求报文中的会话标识所对应的会话信息进行同步处理包括：所述安全网关根据该会话同步请求报文携带的会话标识，在自身查找到对应的会话信息，根据该会话同步请求报文携带的所述更新会话信息对查找到的会话信息进行更新。4.根据权利要求2或3所述的方法，其特征在于，所述会话同步请求报文携带多个会话的会话信息或更新会话信息，且，所述对该会话同步请求报文中的会话标识所对应的会话信息进行同步处理进一步包括：所述安全网关向所述安全节点返回会话同步响应报文，该会话同步响应报文中携带同步成功的会话数目，以使得：所述安全节点在接收到所述会话同步响应报文后，判断该会话同步响应报文携带的同步成功的会话数目是否与本安全节点发出的会话同步请求报文携带的会话信息的数目一致，若不一致，则重新向所述安全网关发出所述会话同步请求报文。5.根据权利要求1所述的方法，其特征在于，当所述同步类型标识为获取同步标识时，所述会话同步请求报文中进一步携带请求获取的会话数目；所述对该会话同步请求报文中的会话标识所对应的会话信息进行同步处理包括：所述安全网关根据该会话同步请求报文中携带的会话标识，在自身保存的所有会话信息中查找到对应的会话信息，将查找到的会话信息及返回的会话数目携带在会话同步响应报文中返回给所述安全节点，以使得：所述安全节点在接收到所述会话同步响应报文后，判断该会话同步响应报文携带的会话数目是否与本安全节点发出的会话同步请求报文携带的会话信息的数目一致，若不一致，则比较所述会话同步请求报文中携带的会话标识与所述会话同步响应报文中携带的会话标识，得知未被返回的会话标识，在本地创建对应的会话信息。6.根据权利要求2所述的方法，其特征在于，当所述同步类型标识为删除同步标识时，所述对该会话同步请求报文中的会话标识所对应的会话信息进行同步处理包括：所述安全网关根据该会话同步请求报文中携带的会话标识，在自身保存的所有会话信息中查找到对应的会话信息，删除查找到的会话信息。7.根据权利要求2或6所述的方法，其特征在于，所述安全网关保存该会话同步请求报文中携带的所述会话信息进一步包括：所述安全网关为保存的每条会话信息设置一个老化定时器，所述老化定时器的定时时长大于对应会话信息的更新时长，且，对于保存的每条会话信息，若在对应的老化定时器超时前，接收到所述安全节点发来的针对该会话信息的同步类型标识为更新同步标识的会话同步请求报文，则重启该老化定时器；对于保存的每条会话信息，在对应的老化定时器超时时，删除该会话信息。8.一种同步安全集群会话信息的装置，位于安全网关上，其特征在于，该安全网关位于安全集群外部，通过管理链路与安全集群内的多个安全节点互通，该装置包...

【专利技术属性】
技术研发人员：韩小平，孙松儿，
申请(专利权)人：杭州华三通信技术有限公司，
类型：发明
国别省市：浙江;33