The invention discloses a method for realizing a high performance firewall cluster, the firewall cluster includes a plurality of firewall, which comprises the following steps: 1), the running state detection firewall using FWSO dynamic; 2), through the openflow switch by the current first packet sent on the formation of FWSO flow table, guide flow equilibrium data forwarding distributed to the back-end firewall cluster, which guide the data forwarding flow equilibrium distribution to the back-end firewall cluster including port discovery, load collection and forwarding traffic intelligent sharing. The invention of the high performance firewall cluster using intelligent scheduling method of high performance through the port discovery, load flow scheduling collecting and forwarding traffic intelligence sharing several steps to complete firewall cluster, make full use of the high forwarding performance of openflow switches, CPU X86 server processing power advantage, according to the members of the firewall cluster the specific operation and dynamic intelligent distribution of traffic state information.
【技术实现步骤摘要】
一种高性能的防火墙集群实现方法
本专利技术属于防火墙
,涉及一种高性能的防火墙集群实现方法。
技术介绍
防火墙设备是一种通用的安全设备,应用于多种安全防护场景,防火墙上具备大量的安全防护业务,比如域间策略,包过滤,DPI,SSLVPN,安全策略等。一般防火墙部署于公网出口,隔离内网和外网间的访问。防火墙由于处理的业务复杂,要达到高性能需配备高硬件配置,而防火墙由于自身的高硬件配置及复杂的软件特性,往往成本较高,在一些核心出口处单台的防火墙性能无法满足要求,通常采用防火墙集群部署,集群内由不同性能水平的防火墙组成,前置硬件分流设备,一般硬件分流设备为ECMP分流交换机或LB负载均衡设备。防火墙集群一般采用前置负载均衡设备或等价路由设备,通过前置设备分流以达到提高整体安全防护性能要求。图1为防火墙集群前置等价路由设备,一般ECMP设备采用交换机,交换机的优势是高性能,不会成为新的性能瓶颈点。ECMP设备采用报文目的地址、目的端口、源地址、源端口、协议号组合形成Hash算法,对流量做负载分担,不需要存储会话信息,由硬件芯片完成流量转发。前置等价路由设备存在的缺陷是 ...
【技术保护点】
一种高性能的防火墙集群实现方法,所述防火墙集群包括多个防火墙,其特征在于:包括以下步骤:1)、利用FWSO动态探测各防火墙的真实运行状态;2)、通过openflow交换机逐流首包上送FWSO形成流表,引导数据转发流均衡的分发到后端防火墙集群上,其中,引导数据转发流均衡的分发到后端防火墙集群上包括端口发现、负载收集和转发流量智能分担。
【技术特征摘要】
1.一种高性能的防火墙集群实现方法,所述防火墙集群包括多个防火墙,其特征在于:包括以下步骤:1)、利用FWSO动态探测各防火墙的真实运行状态;2)、通过openflow交换机逐流首包上送FWSO形成流表,引导数据转发流均衡的分发到后端防火墙集群上,其中,引导数据转发流均衡的分发到后端防火墙集群上包括端口发现、负载收集和转发流量智能分担。2.如权利要求1的高性能的防火墙集群实现方法,其特征在于:所述FWSO提供设置采集防火墙运行信息的接口。3.如权利要求1的高性能的防火墙集群实现方法,其特征在于:所述端口发现包括以下步骤:a1、防火墙通过下行口向OpenFlow交换机发送免费ARP报文;b1、FWSO向OpenFlow交换机下发OpenFlow流表,将所有的免费ARP报文都Packet-in到FWSO;c1、FWSO通过OpenFlow流表Packet-In的免费ARP报文,获取到每台防火墙的下行口MAC与交换机端口的对应关系。4.如权利要求1的高性能的防火...
【专利技术属性】
技术研发人员:魏晓菁,俞俊,吴小志,张昕,山发军,牧军,李虎,
申请(专利权)人:南京南瑞集团公司,南京南瑞集团公司信息系统集成分公司,
类型:发明
国别省市:江苏,32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。