【技术实现步骤摘要】
一种云防火墙高可用集群的实现方法及装置
[0001]本专利技术涉及云防火墙
,具体为一种云防火墙高可用集群的实现方法及装置。
技术介绍
[0002]同传统防火墙一样,云防火墙应具备状态检测和会话管理机制,就是指配置的策略包只针对首包生效即可。所谓首包,就是指数据协议的第一个数据包。防火墙在处理数据包时,会首先查看该数据包是否为一个首包,如果是首包,并且安全策略为允许的话,就会为该流量建立一条会话表项,该流量的后续数据包就可以根据会话表而不是安全策略转发了。状态检测和会话管理机制,要求同一条流的双向数据包都能送到同一台云防火墙节点处理,称为对称性引流。由于对称性引流的约束,导致云防火墙的高可用一般只能采用主备双机部署方式,多活集群则实现起来有困难。在没有NAT和ALG的情况下,可以通过对称hash算法,即hash(source,dest)=hash(dest,source),将一条流的双向数据包对称地hash到同一个云防火墙节点,实现对称性引流。否则,
[0003]1、如果云防火墙支持NAT,同一条流双向数据包的...
【技术保护点】
【技术特征摘要】
1.一种云防火墙高可用集群的实现方法,其特征在于,包括以下步骤:基于SLB会话分流表对数据包进行会话分流处理;对ALG相关协议的数据流进行简化处理;通过SLB实时监控各FW节点健康状态和并发会话数量,实现FW节点的动态扩缩。2.根据权利要求1所述的一种云防火墙高可用集群的实现方法,其特征在于:所述基于SLB会话分流表对数据包进行会话分流处理具体包括以下步骤:第一步、SLB接收数据包并根据五元组查找会话分流表;第二步、若查找到会话分流表执行首包处理,若未查到则执行后续包处理。3.根据权利要求2所述的一种云防火墙高可用集群的实现方法,其特征在于:所述第二步中首包处理具体包括以下步骤:S1、通过SLB选择目的FW;S2、目的FW接收首包后进行慢走流程,将应答消息发送给SLB;S3、SLB接收到应答消息后,判断FW对数据包的处理结果。4.根据权利要求3所述的一种云防火墙高可用集群的实现方法,其特征在于:所述S1具体包括以下步骤:S11、判断数据包是否涉及ALG协议,若是执行S12、若否执行S13;S12、SLB固定选择特定FW为目的FW;S13、SLB利用负载均衡算法,基于各FW收包总数和当前活跃会话总数,选择当前负载最低的FW;S14、创建一条SLB_SESSION_TABLE表项,设置目的FW并将这条表项的状态设置为INIT,设置老化时间为1秒。5.根据权利要求3所述的一种云防火墙高可用集群的实现方法,其特征在于:所述S2具体包括以下步骤:S21、检查数据包;S22、判断检查结果,若放行则创建新会话,若否则创建会话并丢弃改数据包;S23、将处理结果封装在应答消息中发给SLB。6.根据权利要求3所述的一种云防火墙高可用集群的实现方法,其特征在于:所述S3具体包括以下步骤:S31、如果放行,则将对应SLB_SESSION_TABLE表项状态设置为ACCEPT,老化时间设置为0,更新该目的FW的收包总数和活跃会话数,将该表项待处理数据包队列;S32、如果不放行,将对应SLB_SESSION_TABLE表项状态设置为D...
【专利技术属性】
技术研发人员:兰培挺,唐荣生,王晓华,吴静勇,蔡慧超,王丽娟,
申请(专利权)人:天翼云科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。