本发明专利技术公开一种防火墙连接状态同步方法及装置,其中,所述装置包括通信中间设备和设置在防火墙内的连接监控模块与连接服务模块,通信中间设备与防火墙通信连接,防火墙至少有一个闲置的网口;当防火墙数量为2个时,通信中间设备为网线或集线器或交换机,当防火墙数量大于2个时,通信中间设备为集线器或交换机。本发明专利技术通过通信中间设备、连接监控模块和连接服务模块实现将连接请求转发并将其插入本地连接追踪列表中,避免了防火墙中没有连接请求的响应信息对应的规则以及在连接追踪表中找不到追踪信息而导致该响应信息被判定为非法的情况出现,也避免了该响应信息被DROP丢弃。也避免了该响应信息被DROP丢弃。也避免了该响应信息被DROP丢弃。
【技术实现步骤摘要】
一种防火墙连接状态同步方法及装置
[0001]本专利技术涉及防火墙
,具体地说是一种防火墙连接状态同步方法及装置。
技术介绍
[0002]在进行网络部署时,通常使用路由器、或有路由功能的三层交换机(如核心交换机),连接两个不同的网络,实现跨网络的通讯,当两个网络安全级别不同,直接连通有安全风险。于是,通常使用防火墙、网闸或其他网络安全设备,串联到网络中,通过在网络安全设备上,配置ACL规则,只允许白名单中的地址应用通过。随着网络中主机的增多,业务的扩大,网络间的通讯量激增。为了提升核心交换机间的吞吐,通常在核心交换机上配置链路聚合。也就是把核心交换机物理上多个网口进行捆绑设置,变成逻辑上的一个网口,从而提升吞吐量。相应的,会多部署几台透明桥防火墙。
[0003]以4台防火墙为例,并以内网的PC1(192.168.1.100),请求访问外网中的PC2(192.168.2.100)的TCP 80WEB服务为例。4台防火墙,配置了相同的五元组白名单规则:
[0004]内网:源IP:192.168.1.100源端口:1
‑
65535
[0005]外网:目的IP:192.168.2.100目的端口:80
[0006]协议:TCP。
[0007]请求和响应信息,走4台防火墙中的哪个防火墙都是随机的,都有可能。
[0008]假设内网PC1,发出的TCP请求,是通过防火墙1转发到外网PC2的。
[0009]假设外网PC2,发出的TCP响应,是通过防火墙2转发到内网PC1的。
[0010]由于防火墙2,没有找到该响应信息对应的规则,也没在连接追踪表中找到追踪信息,因此,会判定该数据包非法,数据包被DROP丢弃。从而导致网络通讯异常。
技术实现思路
[0011]为此,本专利技术所要解决的技术问题在于提供一种防火墙连接状态同步方法及装置,通过通信中间设备、连接监控模块和连接服务模块实现将连接请求转发并将其插入本地连接追踪列表中,避免了防火墙中没有连接请求的响应信息对应的规则以及在连接追踪表中找不到追踪信息而导致该响应信息被判定为非法的情况出现,也避免了该响应信息被DROP丢弃。
[0012]为解决上述技术问题,本专利技术提供如下技术方案:
[0013]一种防火墙连接状态同步方法,包括如下步骤:
[0014]S1)在n台防火墙中的每台防火墙上都部署连接监控模块和连接服务模块,n为大于或等于2的自然数;
[0015]S2)当n等于2时,利用网线通过两台防火墙的闲置网口将两台防火墙通信连接;当n大于2时,将通信中间设备与每台防火墙的一个闲置网口通信连接,通信中间设备为集线器或交换机;
[0016]S3)当第m个防火墙收到新的且符合防火墙规则的五元组连接数据时,第m个防火
墙的连接监控模块通过交换机将收到的新的五元组连接数据同步给其余的防火墙,其中,m为小于或等于n的正整数;
[0017]S4)当第m个防火墙的连接服务模块接收到连接数据同步请求时,连接服务模块先对所述连接数据进行解析并校验,若所述连接数据校验通过,则连接服务模块通过系统命令conntrack将与所述连接数据相关的连接追踪插入至第m个防火墙的连接追踪表中。
[0018]上述防火墙连接状态同步方法,防火墙之间的通讯协议为IP协议或非IP的私有协议。
[0019]上述防火墙连接状态同步方法,防火墙之间的通讯为明文通讯或对称加密通讯。
[0020]上述防火墙连接状态同步方法,防火墙之间通过广播或组播方式进行通讯。
[0021]上述防火墙连接状态同步方法,防火墙为透明桥防火墙、NAT防火墙或网闸。
[0022]利用上述防火墙连接状态同步方法进行防火墙连接状态同步的装置,包括通信中间设备和设置在防火墙内的连接监控模块与连接服务模块,通信中间设备与防火墙通信连接,防火墙至少有一个闲置的网口;当防火墙数量为2个时,通信中间设备为网线或集线器或交换机,当防火墙数量大于2个时,通信中间设备为集线器或交换机。
[0023]上述装置,防火墙为透明桥防火墙、NAT防火墙或网闸。
[0024]本专利技术的技术方案取得了如下有益的技术效果:
[0025]通过简单的增加部分资源(集线器或低配交换机),解决了核心交换机多网口链路聚合情况下,部署防火墙时,非源进源出导致的通讯异常问题。
附图说明
[0026]图1为本专利技术中防火墙连接状态同步装置的工作原理图;
[0027]图2为本专利技术中防火墙连接状态同步的流程图。
具体实施方式
[0028]下面结合示例,针对本专利技术进行进一步说明。
[0029]如图1所示,本专利技术中防火墙连接状态同步装置,包括通信中间设备和设置在防火墙内的连接监控模块与连接服务模块,通信中间设备与防火墙通信连接,防火墙至少有一个闲置的网口;当防火墙数量为2个时,通信中间设备为网线或集线器或交换机,当防火墙数量大于2个时,通信中间设备为集线器或交换机。本实施例中,以防火墙数量为4个时为例并以防火墙为透明防火墙为例对本专利技术予以说明。
[0030]透明防火墙通常使用iptables实现访问控制,只需要设置请求方向的iptables规则,响应方向的数据,通过查询连接追踪表,依靠iptables ESTABLISHED状态标志,直接放过。当一个连接到防火墙时,系统连接追踪模块会提取五元组,为其维护一个“数据库”(连接追踪表),存储连接的创建时间、发送的数据包、发送的字节信息等。连接追踪表由系统OS自动维护,超时会被自动收回。
[0031]如图2所示,利用所述装置是防火墙连接状态进行同步时,其步骤如下:
[0032]S1)在每台防火墙上都部署连接监控模块和连接服务模块;连接监控模块,负责监控并广播或组播新的五元组连接信息,具体监控方法,可以使用conntrack
‑
E命令,或者iptables QUEUE处理程序分析得出;连接服务模块,负责接收其他防火墙广播或组播的连
接信息,并插入到本地;示例:
[0033]conntrack
‑
I
‑
s 192.168.1.100
‑
d 192.168.2.100
‑‑
protonum 17
‑‑
timeout 120
‑‑
sport 20000
‑‑
dport 800;
[0034]S2)将交换机与每台防火墙的一个闲置网口通信连接;
[0035]S3)当第m个防火墙收到新的且符合防火墙规则的五元组连接数据时,第m个防火墙的连接监控模块通过交换机将收到的新的五元组连接数据同步给其余的防火墙,其中,m为小于或等于4的正整数;
[0036]S4)当第m个防火墙的连接服务模块接收到连接数据同步请求时,连接服务模块先对所述连接数据进行解析并校验,若所述连接数据本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种防火墙连接状态同步方法,其特征在于,包括如下步骤:S1)在n台防火墙中的每台防火墙上都部署连接监控模块和连接服务模块,n为大于或等于2的自然数;S2)当n等于2时,利用网线通过两台防火墙的闲置网口将两台防火墙通信连接;当n大于2时,将通信中间设备与每台防火墙的一个闲置网口通信连接,通信中间设备为集线器或交换机;S3)当第m个防火墙收到新的且符合防火墙规则的五元组连接数据时,第m个防火墙的连接监控模块通过交换机将收到的新的五元组连接数据同步给其余的防火墙,其中,m为小于或等于n的正整数;S4)当第m个防火墙的连接服务模块接收到连接数据同步请求时,连接服务模块先对所述连接数据进行解析并校验,若所述连接数据校验通过,则连接服务模块通过系统命令conntrack将与所述连接数据相关的连接追踪插入至第m个防火墙的连接追踪表中。2.根据权利要求1所述的防火墙连接状态同步方法,其特征在...
【专利技术属性】
技术研发人员:王君雷,
申请(专利权)人:北京安盟信息技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。