【技术实现步骤摘要】
一种基于优先级配置的防火墙部署系统和方法
本专利技术专利涉及网络安全及设备故障恢复领域,主要用于对Web应用防火墙或应用防火墙代理模式下,访问如何在代理服务器与服务器自动切换。
技术介绍
在复杂的网络环境中,Web应用防火墙可采用反向代理模式部署,物理旁路部署,对现有网络改动较少,适用于无法串联部署的场景。在现有技术解决方案中,代理设备反向代理模式又可分为代理模式或牵引模式。代理模式需要前端防火墙地址转换策略配合,将内部地址映射到代理设备的地址(业务地址);而牵引模式,需要交换机配置策略路由,将访问业务地址的流量牵引到代理设备。以上方式均无法支持切换(服务器与代理设备),这样带来的隐患至少有两点:1.故障恢复时间慢:采用现有代理模式部署代理设备时,当代理设备异常时,需要防火墙修改网络地址转换策略,将服务器内部地址修改映射到业务地址,跳过代理设备;牵引模式下,需要修改策略路由,停止流量牵引,因此均需要人为介入,无法自动切换,最终导致故障恢复时间缓慢。2.手动切换无法灵活调度:当发现或怀疑代理设备对某个应用造成影响时,需要手动修改交换机策略路由或防火墙网络地址转换配置...
【技术保护点】
1.一种基于优先级配置的防火墙部署系统,其特征在于,包括:不少于一个服务器、不少于一个代理设备、优先级配置设备、交换机、外网;所述服务器、代理设备、优先级配置设备均连接至所述交换机上,通过交换机与所述外网连接;所述服务器为应用服务的服务器;所述代理设备地址用于代理服务器的地址,所述服务器的地址和服务端口为保护站点;所述优先级配置设备用于配置服务器地址与代理设备地址的优先级,将所述代理设备地址配置为高优先级,将所述服务器地址配置为低优先级;当外网访问服务器时,优先访问所述代理设备地址,当所述高优先级的代理地址异常时,自动切换到低优先级的服务器地址。
【技术特征摘要】
1.一种基于优先级配置的防火墙部署系统,其特征在于,包括:不少于一个服务器、不少于一个代理设备、优先级配置设备、交换机、外网;所述服务器、代理设备、优先级配置设备均连接至所述交换机上,通过交换机与所述外网连接;所述服务器为应用服务的服务器;所述代理设备地址用于代理服务器的地址,所述服务器的地址和服务端口为保护站点;所述优先级配置设备用于配置服务器地址与代理设备地址的优先级,将所述代理设备地址配置为高优先级,将所述服务器地址配置为低优先级;当外网访问服务器时,优先访问所述代理设备地址,当所述高优先级的代理地址异常时,自动切换到低优先级的服务器地址。2.根据权利要求1所述的基于优先级配置的防火墙部署系统,其特征在于,当所述系统提供网络服务时,公网地址将映射为所述优先级配置设备虚拟服务器地址,信息经所述优先级配置设备并优先转发到所述代理设备的地址,最后通过所述代理设备转发到对应的服务器地址。3.根据权利要求2所述的基于优先级配置的防火墙部署系统,其特征在于,在信息经所述优先级配置设备并优先转发到所述代理设备地址前,所述优先级配置设备需探活所述代理设备地址,同时所述优先级配置设备也探活与所述代理设备地址对应的服务器地址,二者其一异常,则认为所述代理设备的代理地址失效。4.根据权利要求1所述的基于优先级配置的防火墙部署系统,其特征在于:所述优先级配置设备为负载均衡设备,其还可以用于将信息分摊到多个操作设备上进行执行。5.根据权利要求1所述的基于优先级配置的防火墙部署系统,其特征在于,所述代理设备地址根据业务属性进行设置;所述代理设备地址从预先分配的地址段中选取,该地址段网关位于所述交换机;所述代理设备地址与所述服务器地址形成一一对应的代理关系。6.根据权利要求1所述的基于优先级配置的防火墙部署系统,其特征在于:所述代理设备的代理模式为反向代理模式。7.根据权利要求1-6所述的任意一种基于优先级配置的防火墙部署系统,其特征在于:所述代理设备支持虚拟路由冗余协议,所述虚拟路由冗余协议通过把两台代理设备上相同业务对应的代理地址联合组成一个虚拟的代理设备地址,所述相同业务对应的代理地址在两台代理设备上可分别配置为主机、备机,当所述主机所在代理设备出现故障时,所述的代理设备地址主机将业务自动切换到另外一台代理设备。8.一种基于优先级配置的防火墙部署方法,其特征在于,包括如下步骤:1)提供设备及环境:提供不少于一个服务器、...
【专利技术属性】
技术研发人员:林路,
申请(专利权)人:中信百信银行股份有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。