物理网络安全设备及其控制方法技术

技术编号:15199840 阅读:109 留言:0更新日期:2017-04-22 00:20
本发明专利技术公开了一种物理网络安全设备及其控制方法,该物理网络安全设备包括主虚拟机、从虚拟机和物理网卡,主虚拟机用于运行主网络安全系统,从虚拟机用于运行从网络安全系统,其中方法包括:分别获取主虚拟机和从虚拟机的运行状态;当检测到主虚拟机发生故障时,控制切换虚拟机与所述物理网卡的绑定关系;以及控制从虚拟机切换为新的主虚拟机,并控制发生故障的主虚拟机切换为新的从虚拟机。该方法采用了两个虚拟机各自运行网络安全系统,实现了同一物理硬件内部进行切换主备虚拟网络安全系统,大大增加了针对软件故障的高可用性,并且与双机热备技术相比,大大降低了成本。

Physical network security device and control method thereof

The invention discloses a physical network security device and its control method, the physical network security device comprises a main from the virtual machine, virtual machine and virtual machine for physical card, the main operation of the main network security system, from the virtual machine to run from the network security system, wherein the method comprises: obtaining main respectively from the running state and virtual machine virtual machine; virtual machine when detect the main fault, binding relationship control switching virtual machine and the physical network card; and control from the virtual machine main switch to the new virtual machine, virtual machine and control the main switch failure for the new virtual machine from. The method uses the respective operation of network security system of two virtual machine, implemented within the same physical hardware switch standby virtual network security system, greatly increase the high availability for software fault, and hot standby technology, greatly reducing the cost.

【技术实现步骤摘要】

本专利技术涉及网络安全
,尤其涉及一种物理网络安全设备的控制方法以及一种物理网络安全设备。
技术介绍
为了阻止来自外部网络的攻击,通常网络系统中关键节点会部署网络安全设备。随着网络技术的不断发展,网络所承载的业务规模越来越大,类型越来越复杂,为了处理各类业务,网络安全设备本身的功能也变得越来越繁杂。同时用户却对网络安全设备的可用性要求也越来越高。而网络安全设备本身的复杂性,导致了设备经常会由于各种原因产生各种故障,使得用户不得不承担由于网络中断所带来的风险。高可用性(HighAvailability,简称为HA)提供了一种解决网络中由于单点故障而带来的风险的方法。例如,对于部署防火墙的企业,从网络安全方面考虑,所有进出信息流都必须经过防火墙。这时防火墙就是一个单点连接,一旦出现故障,就会使网络中断。相关技术中,最常用的一种提供高可用性的机制就是冗余,即通过设备、链路等冗余,可以很好地提供高可用性。冗余机制中最常见的解决方案是双机热备,即通过使用两台相同配置的物理设备组成一个备份组。其中有一台物理设备作为主设备,在正常情况下提供网络服务;另一台物理设备则作为备份设备,当主设备发生故障时代替它而工作,从而避免服务中断,提供高可用性。网络安全设备的复杂性,使得设备的发生故障原因主要集中在软件问题,包括网络安全设备里的操作系统、硬件驱动、内核模块、用户态进程等所产生的问题。虽然传统的双机热备方案中,能够较好地解决软件产生的问题,但是这种部署方案的成本往往会比较高,并且部署及配置方面也比较复杂。
技术实现思路
本专利技术的目的旨在至少在一定程度上解决上述的技术问题之一。为此,本专利技术的第一个目的在于提出一种物理网络安全设备的控制方法。该方法采用了两个虚拟机各自运行网络安全系统,实现了同一物理硬件内部进行切换主备虚拟网络安全系统,大大增加了针对软件故障的高可用性,并且与双机热备技术相比,大大降低了成本。本专利技术的第二个目的在于提出一种物理网络安全设备。为达上述目的,本专利技术第一方面实施例的物理网络安全设备的控制方法,所述物理网络安全设备包括主虚拟机、从虚拟机和物理网卡,所述主虚拟机用于运行主网络安全系统,所述从虚拟机用于运行从网络安全系统,其中所述方法包括:分别获取所述主虚拟机和从虚拟机的运行状态;当检测到所述主虚拟机发生故障时,控制切换虚拟机与所述物理网卡的绑定关系;以及控制所述从虚拟机切换为新的主虚拟机,并控制所述发生故障的主虚拟机切换为新的从虚拟机。根据本专利技术实施例的物理网络安全设备的控制方法,可分别获取主虚拟机和从虚拟机的运行状态,当检测到主虚拟机发生故障时,控制切换网卡,以及控制从虚拟机切换为新的主虚拟机,并控制发生故障的主虚拟机切换为新的从虚拟机,即采用了两个虚拟机各自运行网络安全系统,实现了同一物理硬件内部进行切换主备虚拟网络安全系统,大大增加了针对软件故障的高可用性,并且与双机热备技术相比,大大降低了成本。另外,对于用户来说是透明的,无须进行高可用性相关配置。为达上述目的,本专利技术第二方面实施例的物理网络安全设备,包括:物理网卡;部署于所述物理网络安全设备的操作系统上的主虚拟机,其中,所述主虚拟机用于运行主网络安全系统;部署于所述物理网络安全设备的操作系统上的从虚拟机,其中,所述从虚拟机用于运行从网络安全系统;以及设置于所述物理网络安全设备的操作系统上的控制器,用于分别获取所述主虚拟机和从虚拟机的运行状态,并在检测到所述主虚拟机发生故障时,控制切换虚拟机与所述物理网卡的绑定关系,以及控制所述从虚拟机切换为新的主虚拟机,并控制所述发生故障的主虚拟机切换为新的从虚拟机。根据本专利技术实施例的物理网络安全设备,可通过控制器分别获取主虚拟机和从虚拟机的运行状态,当检测到主虚拟机发生故障时,控制切换网卡,以及控制从虚拟机切换为新的主虚拟机,并控制发生故障的主虚拟机切换为新的从虚拟机,即采用了两个虚拟机各自运行网络安全系统,实现了同一物理硬件内部进行切换主备虚拟网络安全系统,大大增加了针对软件故障的高可用性,并且与双机热备技术相比,大大降低了成本。另外,对于用户来说是透明的,无须进行高可用性相关配置。本专利技术附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本专利技术的实践了解到。附图说明本专利技术上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解,其中,图1是根据本专利技术一个实施例的物理网络安全设备的控制方法的流程图;图2是根据本专利技术另一个实施例的物理网络安全设备的控制方法的流程图;图3是根据本专利技术又一个实施例的物理网络安全设备的控制方法的流程图;图4是根据本专利技术一个实施例的物理网络安全设备的结构示意图;以及图5是根据本专利技术又一个实施例的物理网络安全设备的结构示意图。具体实施方式下面详细描述本专利技术的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,旨在用于解释本专利技术,而不能理解为对本专利技术的限制。下面参考附图描述本专利技术实施例的物理网络安全设备的控制方法以及物理网络安全设备。图1是根据本专利技术一个实施例的物理网络安全设备的控制方法的流程图。需要说明的是,在本专利技术的实施例中,该物理网络安全设备可包括但不限于主虚拟机、从虚拟机和物理网卡等。该主虚拟机可用于运行主网络安全系统,该从虚拟机可用于运行从网络安全系统。可以理解,该物理网络安全设备的操作系统上可部署至少两个虚拟机,优选地可部署两个虚拟机,一个虚拟机作为主虚拟机,其余的虚拟机作为从虚拟机,在主虚拟机上可部署一个网络安全系统,该主虚拟机上的网络安全系统可作为主网络安全系统,从虚拟机上可部署一个从网络安全系统。也就是说,在一台物理网络安全设备操作系统中可运行两个虚拟机形态的网络安全系统,一个可作为主系统,一个作为备系统。还可以理解,本专利技术实施例的主网络安全系统和从网络安全系统是指具备各种网络安全产品特性的系统,并有相关产品的安全业务,例如,防火墙、VPN(VirtualPrivateNetwork,虚拟专用网络)、UTM(UnifiedThreatManagement,安全网关)、IPS(IntrusionPreventionSystem,入侵防御系统)、IDS(IntrusionDetectionSystems,入侵检测系统)、下一代防火墙(NextGenerationFirewall,简称NGFirewall)等。如图1所示,该物理网络安全设备的控制方法可以包括:S101,分别获取主虚拟机和从虚拟机的运行状态。具体地,可分别接收主虚拟机和从虚拟机实时发送的心跳消息以获取主虚拟机和从虚拟机的运行状态。其中,心跳消息可以理解从主虚拟机和从虚拟机启动时开始发送,直到主虚拟机或从虚拟机关闭,期间主虚拟机或从虚拟机会不间断的发送周期性或重复消息。当设置于物理网络安全设备的操作系统上的高可用性控制器在某个消息接收周期内未收到消息,可能会认为主虚拟机或从虚拟机已经关闭、出现故障、或者当前不可用。S102,当检测到主虚拟机发生故障时,控制切换虚拟机与物理网卡的绑定关系。进一步地,在控制本文档来自技高网...
物理网络安全设备及其控制方法

【技术保护点】
一种物理网络安全设备的控制方法,其特征在于,所述物理网络安全设备包括主虚拟机、从虚拟机和物理网卡,所述主虚拟机用于运行主网络安全系统,所述从虚拟机用于运行从网络安全系统,其中所述方法包括:分别获取所述主虚拟机和从虚拟机的运行状态;当检测到所述主虚拟机发生故障时,控制切换虚拟机与所述物理网卡的绑定关系;以及控制所述从虚拟机切换为新的主虚拟机,并控制所述发生故障的主虚拟机切换为新的从虚拟机。

【技术特征摘要】
1.一种物理网络安全设备的控制方法,其特征在于,所述物理网络安全设备包括主虚拟机、从虚拟机和物理网卡,所述主虚拟机用于运行主网络安全系统,所述从虚拟机用于运行从网络安全系统,其中所述方法包括:分别获取所述主虚拟机和从虚拟机的运行状态;当检测到所述主虚拟机发生故障时,控制切换虚拟机与所述物理网卡的绑定关系;以及控制所述从虚拟机切换为新的主虚拟机,并控制所述发生故障的主虚拟机切换为新的从虚拟机。2.如权利要求1所述的物理网络安全设备的控制方法,其特征在于,在控制切换虚拟机与所述物理网卡的绑定关系之前,所述方法还包括:获取虚拟机收发网络数据包的实现方式;判断所述虚拟机收发网络数据包的实现方式是否为使用直接访问物理网卡的方式;如果是,则控制切换虚拟机与所述物理网卡的绑定关系。3.如权利要求2所述的物理网络安全设备的控制方法,其特征在于,控制切换虚拟机与所述物理网卡的绑定关系,具体包括:解除所述主虚拟机与所述物理网卡的绑定,并控制所述从虚拟机与所述物理网卡进行绑定。4.如权利要求2所述的物理网络安全设备的控制方法,其特征在于,通过以下步骤来实现直接访问物理网卡:控制所述主虚拟机通过PCI透传形式访问所述物理网卡,并控制所述物理网卡绑定至所述主虚拟机;或者,控制所述主虚拟机通过SR-IOV形式访问所述物理网卡,并控制所述物理网卡中虚拟功能模块VirtualFunction绑定至所述主虚拟机。5.如权利要求2所述的物理网络安全设备的控制方法,其特征在于,当所述虚拟机收发网络数据包的实现方式为使用所述虚拟机中虚拟网卡的方式时,不进行网卡切换操作。6.如权利要求5所述的物理网络安全设备的控制方法,其特征在于,所述物理网络安全设备还包括虚拟交换机,其中,所述虚拟交换机用于接收所述虚拟机通过所述虚拟网卡发送的网络数据包,并将所述网络数据包转发至所述物理网卡,或者,接收所述物理网卡发送的网络数据包,并将所述网络数据包发送至所述虚拟网卡,以使所述虚拟机接收所述虚拟网卡发送的所述网络数据包。7.如权利要求5或6所述的物理网络安全设备的控制方法,其特征在于,所述虚拟网卡的类型为Vmxnet3、Virtio-net或Xenvirt。8.如权利要求1至7中任一项所述的物理网络安全设备的控制方法,其特征在于,还包括:同步所述主虚拟机和所述从虚拟机中的数据信息,其中,所述数据信息包括配置信息、运行信息和系统时间。9.如权利要求1所述的物理网络安全设备的控制方法,其特征在于,在控制所述发生故障的主虚拟机切换为新的从虚拟机之后,所述方法还包括:将所述发生故障的主虚拟机进行重置。10.一种物理网络...

【专利技术属性】
技术研发人员:金健
申请(专利权)人:东软集团股份有限公司
类型:发明
国别省市:辽宁;21

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1