本发明专利技术公开了一种物理网络安全设备及其控制方法和装置,其中该方法包括:在物理网络安全设备上部署虚拟机,并在虚拟机上部署网络安全系统;实时监控虚拟机的运行状态,并实时对网络安全系统的运行信息进行存储;当虚拟机发生故障时,读取预存储的虚拟机快照,并根据预存储的虚拟机快照控制虚拟机进行恢复操作;在虚拟机恢复正常运行状态时,读取已存储的网络安全系统的运行信息,并根据运行信息控制网络安全系统进行恢复操作。该方法采用了虚拟机形态的网络安全系统,实现了物理硬件内部进行快速恢复的虚拟网络安全系统,大大增加了针对软件故障的高可用性,并降低了设备成本。
【技术实现步骤摘要】
本专利技术涉及网络安全
,尤其涉及一种物理网络安全设备的控制方法、控制装置以及一种具有该控制装置的物理网络安全设备。
技术介绍
为了阻止来自外部网络的攻击,通常网络系统中关键节点会部署网络安全设备。随着网络技术的不断发展,网络所承载的业务规模越来越大,类型越来越复杂,为了处理各类业务,网络安全设备本身的功能也变得越来越繁杂。同时用户却对网络安全设备的可用性要求也越来越高。而网络安全设备本身的复杂性,导致了设备经常会由于各种原因产生各种故障,使得用户不得不承担由于网络中断所带来的风险。高可用性(HighAvailability,简称为HA)提供了一种解决网络中由于单点故障而带来的风险的方法。例如,对于部署防火墙的企业,从网络安全方面考虑,所有进出信息流都必须经过防火墙。这时防火墙就是一个单点连接,一旦出现故障,就会使网络中断。相关技术中,最常用的一种提供高可用性的机制就是冗余,即通过设备、链路等冗余,可以很好地提供高可用性。冗余机制中最常见的解决方案是双机热备。例如,以网络安全设备为防火墙为例,如图1所示,通过使用两台相同配置的物理设备组成一个备份组,其中有一台物理设备作为主设备(即如图1所示的主防火墙),在正常情况下提供网络服务;另一台物理设备则作为备份设备(即如图1所示的备防火墙),当主设备发生故障时代替它而工作,从而避免服务中断,提供高可用性。网络安全设备的复杂性,使得设备的发生故障原因主要集中在软件问题,包括网络安全设备里的操作系统、硬件驱动、内核模块、用户态进程等所产生的问题。虽然传统的双机热备方案中,能够较好地解决软件产生的问题,但是这种部署方案的成本往往会比较高,并且部署及配置方面也比较复杂。
技术实现思路
本专利技术的目的旨在至少在一定程度上解决上述的技术问题之一。为此,本专利技术的第一个目的在于提出一种物理网络安全设备的控制方法。该方法采用了虚拟机形态的网络安全系统,实现了物理硬件内部进行快速恢复的虚拟网络安全系统,大大增加了针对软件故障的高可用性,并降低了设备成本。本专利技术的第二个目的在于提出一种物理网络安全设备的控制装置。本专利技术的第三个目的在于提出一种物理网络安全设备。为达上述目的,本专利技术第一方面实施例的物理网络安全设备的控制方法,包括:在所述物理网络安全设备上部署虚拟机,并在所述虚拟机上部署网络安全系统;实时监控所述虚拟机的运行状态,并实时对所述网络安全系统的运行信息进行存储;当所述虚拟机发生故障时,读取预存储的虚拟机快照,并根据所述预存储的虚拟机快照控制所述虚拟机进行恢复操作;在所述虚拟机恢复正常运行状态时,读取已存储的所述网络安全系统的运行信息,并根据所述运行信息控制所述网络安全系统进行恢复操作。根据本专利技术实施例的物理网络安全设备的控制方法,可先在物理网络安全设备上部署虚拟机,并在虚拟机上部署网络安全系统,之后,可实时监控虚拟机的运行状态,并实时对网络安全系统的运行信息进行存储,当虚拟机发生故障时,读取预存储的虚拟机快照,并根据预存储的虚拟机快照控制虚拟机进行恢复操作,以及在虚拟机恢复正常运行状态时,读取已存储的网络安全系统的运行信息,并根据运行信息控制网络安全系统进行恢复操作,即采用了虚拟机形态的网络安全系统,实现了物理硬件内部进行快速恢复的虚拟网络安全系统,大大增加了针对软件故障的高可用性,并且,在整个控制过程中,对于用户来说是透明的,无须用户进行高可用性相关配置,从成本角度考虑,与传统双击热备技术相比,大大降低了设备成本。为达上述目的,本专利技术第二方面实施例的物理网络安全设备的控制装置,包括:部署模块,用于在所述物理网络安全设备上部署虚拟机,并在所述虚拟机上部署网络安全系统;监控模块,用于实时监控所述虚拟机的运行状态;存储模块,用于实时对所述网络安全系统的运行信息进行存储;控制模块,用于在所述虚拟机发生故障时,读取预存储的虚拟机快照,并根据所述预存储的虚拟机快照控制所述虚拟机进行恢复操作;所述控制模块还用于在所述虚拟机恢复正常运行状态时,读取已存储的所述网络安全系统的运行信息,并根据所述运行信息控制所述网络安全系统进行恢复操作。根据本专利技术实施例的物理网络安全设备的控制装置,可通过部署模块在物理网络安全设备上部署虚拟机,并在虚拟机上部署网络安全系统,监控模块实时监控虚拟机的运行状态,存储模块实时对网络安全系统的运行信息进行存储,当虚拟机发生故障时,控制模块读取预存储的虚拟机快照,并根据预存储的虚拟机快照控制虚拟机进行恢复操作,以及在虚拟机恢复正常运行状态时,控制模块读取已存储的网络安全系统的运行信息,并根据运行信息控制网络安全系统进行恢复操作,即采用了虚拟机形态的网络安全系统,实现了物理硬件内部进行快速恢复的虚拟网络安全系统,大大增加了针对软件故障的高可用性,并且,在整个控制过程中,对于用户来说是透明的,无须用户进行高可用性相关配置,从成本角度考虑,与传统双击热备技术相比,大大降低了设备成本。为达上述目的,本专利技术第三方面实施例的物理网络安全设备,包括:本专利技术第二方面实施例所述的物理网络安全设备的控制装置。根据本专利技术实施例的物理网络安全设备,可通过控制装置中的部署模块在物理网络安全设备上部署虚拟机,并在虚拟机上部署网络安全系统,监控模块实时监控虚拟机的运行状态,存储模块实时对网络安全系统的运行信息进行存储,当虚拟机发生故障时,控制模块读取预存储的虚拟机快照,并根据预存储的虚拟机快照控制虚拟机进行恢复操作,以及在虚拟机恢复正常运行状态时,控制模块读取已存储的网络安全系统的运行信息,并根据运行信息控制网络安全系统进行恢复操作,即采用了虚拟机形态的网络安全系统,实现了物理硬件内部进行快速恢复的虚拟网络安全系统,大大增加了针对软件故障的高可用性,并且,在整个控制过程中,对于用户来说是透明的,无须用户进行高可用性相关配置,从成本角度考虑,与传统双击热备技术相比,大大降低了设备成本。本专利技术附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本专利技术的实践了解到。附图说明本专利技术上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解,其中,图1是传统双机热备高可用性方案的示例图;图2是根据本专利技术一个实施例的物理网络安全设备的控制方法的流程图;图3是根据本专利技术一个具体实施例的虚拟化高性能高可用性方案的示例图;图4是根据本专利技术一个实施例的物理网络安全设备的控制装置的结构框图;以及图5是根据本专利技术另一个实施例的物理网络安全设备的控制装置的结构框图。具体实施方式下面详细描述本专利技术的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,旨在用于解释本专利技术,而不能理解为对本专利技术的限制。下面参考附图描述本专利技术实施例的物理网络安全设备及其控制方法和装置。图2是根据本专利技术一个实施例的物理网络安全设备的控制方法的流程图。如图2所示,该物理网络安全设备的控制方法可以包括:S201,在物理网络安全设备上部署虚拟机,并在虚拟机上部署网络安全系统。可以理解,虚拟化(Virtualization)是一种资源管理技术,是将计算机的各种实体资本文档来自技高网...
【技术保护点】
一种物理网络安全设备的控制方法,其特征在于,包括以下步骤:在所述物理网络安全设备上部署虚拟机,并在所述虚拟机上部署网络安全系统;实时监控所述虚拟机的运行状态,并实时对所述网络安全系统的运行信息进行存储;当所述虚拟机发生故障时,读取预存储的虚拟机快照,并根据所述预存储的虚拟机快照控制所述虚拟机进行恢复操作;在所述虚拟机恢复正常运行状态时,读取已存储的所述网络安全系统的运行信息,并根据所述运行信息控制所述网络安全系统进行恢复操作。
【技术特征摘要】
1.一种物理网络安全设备的控制方法,其特征在于,包括以下步骤:在所述物理网络安全设备上部署虚拟机,并在所述虚拟机上部署网络安全系统;实时监控所述虚拟机的运行状态,并实时对所述网络安全系统的运行信息进行存储;当所述虚拟机发生故障时,读取预存储的虚拟机快照,并根据所述预存储的虚拟机快照控制所述虚拟机进行恢复操作;在所述虚拟机恢复正常运行状态时,读取已存储的所述网络安全系统的运行信息,并根据所述运行信息控制所述网络安全系统进行恢复操作。2.如权利要求1所述的物理网络安全设备的控制方法,其特征在于,所述预存储的虚拟机快照在以下条件下被生成:当所述网络安全系统启动初始化进入正常运行状态时,针对所述虚拟机创建第一虚拟机快照并存储,并将存储的第一虚拟机快照作为所述预存储的虚拟机快照;当监控到所述网络安全系统的配置信息发生变化时,针对所述虚拟机创建第二虚拟机快照,并根据所述第二虚拟机快照对所述第一虚拟机快照进行更新以生成所述预存储的虚拟机快照;当监控到所述网络安全系统的配置信息再次发生变化时,针对所述虚拟机创建新的第二虚拟机快照,并根据所述新的第二虚拟机快照对所述第二虚拟机快照进行更新以生成所述预存储的虚拟机快照。3.如权利要求2所述的物理网络安全设备的控制方法,其特征在于,根据所述第二虚拟机快照对所述第一虚拟机快照进行更新以生成所述预存储的虚拟机快照,具体包括:删除所述第一虚拟机快照,并对所述第二虚拟机快照进行存储,并将存储的所述第二虚拟机快照作为所述预存储的虚拟机快照。4.如权利要求1所述的物理网络安全设备的控制方法,其特征在于,在根据所述运行信息控制所述网络安全系统进行恢复操作的过程中,当监控到所述虚拟机仍发生故障时,所述方法还包括:清除所述已存储的运行信息,并再次根据所述预存储的虚拟机快照控制所述虚拟机进行恢复操作。5.如权利要求1所述的物理网络安全设备的控制方法,其特征在于,根据所述预存储的虚拟机快照控制所述虚拟机进行恢复操作,具体包括:根据所述预存储的虚拟机快照覆盖当前发生故障的虚拟机的运行状态,以恢复至所述预存储的虚拟机快照对应的虚拟机的运行状态。6.如权利要求2所述的物理网络安全设备的控制方法,其特征在于,通过Snapshot工具创建虚拟机快照。7.如权利要求1至6中任一项所述的物理网络安全设备的控制方法,其特征在于,所述网络安全系统包括防火墙、VPN、UTM、IPS、IDS和下一代防火墙;所述运行信息包括会话表信息、ARP表信息、CAM表信息和路由表信息。8.一种物理网络安全设备的控制装置,其特征在于,包括:部署模块,用于在所述...
【专利技术属性】
技术研发人员:金健,
申请(专利权)人:东软集团股份有限公司,
类型:发明
国别省市:辽宁;21
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。