一种防火墙集群包括三个或更多个防火墙处理节点,这些防火墙处理节点基于进行报告的节点在先前存在的集群中的成员资格,来报告主节点状态。控制器使用所报告的状态来指派分布式防火墙集群中的主节点。所报告的主节点状态包括:如果节点是先前存在的集群的成员,则为所报告的有资格成为主节点,如果节点不是先前存在的集群的成员,则所报告的主节点状态包括报告没有资格成为主节点,如果节点是先前存在的集群中的主节点,则为所报告的主节点状态,以及对于已经超时的节点所报告的有资格成为主节点。
【技术实现步骤摘要】
【国外来华专利技术】大型防火墙集群中的定时管理
概括地说,本专利技术涉及防火墙操作,具体地说,在一个实施例中,本专利技术涉及大型防火墙集群中的定时管理。有限的版权豁免本专利文档的公开内容的一部分包含主张版权保护的材料。版权拥有人并不反对任何人员复制该专利文档或专利公开内容,如其出现在美国专利商标局文件或记录中一样,但是版权拥有人保留对其的所有其它权利。
技术介绍
计算机是非常有价值的工具,很大程度上是由于它们与其它计算机系统进行通信以及通过计算机网络来获取信息的能力。通常,网络包括一群互连的计算机,它们通过线缆、光纤、无线电或者其它数据传输方式进行链接,以便向计算机提供从一个计算机向另一个计算机传输信息的能力。互联网或许是最知名的计算机网络,其使成千上万的人能够例如通过观看web网页、发送电子邮件(e-mail)或者通过执行其它计算机到计算机的通信来访问成千上万的其它计算机。但是,由于互联网的范围太大,互联网用户在他们的兴趣方面又是如此不同,因此恶意用户或者爱开玩笑的人经常尝试以对其它用户构成危险的方式,与这些其它用户的计算机进行通信。例如,黑客可能尝试登录企业计算机,以偷取、删除或者修改信息。计算机病毒或者特洛伊木马程序可能被分发到其它计算机,或者被大量的计算机用户不知不觉地下载或者执行。此外,诸如企业之类的组织中的计算机用户可能偶尔地尝试进行未授权的网络通信,例如,运行文件共享程序或者从本企业的网络向互联网发送企业秘密。由于这些和其它原因,很多企业、机构、甚至家庭用户在它们的本地网络和互联网之间使用网络防火墙或者类似的设备。通常,防火墙是计算机化的网络设备,其对经过它的网络业务进行检查,基于某种规则集,准许期望的网络业务通过。防火墙通过下面方式来执行它们的过滤功能:对诸如TCP/IP或其它网络协议分组之类的通信分组进行观察,检查诸如源网络地址和目标网络地址、正使用什么端口、以及连接的状态或历史之类的特性。一些防火墙还检查流向或者来自特定的应用的分组,或者通过处理和转发受保护用户和外部联网计算机之间的选定的网络请求,来充当为代理设备。通常,防火墙通过监测各个端口、套接字(socket)和协议之间的连接(例如,通过在防火墙中检查网络业务),来控制网络信息的流动。使用基于套接字、端口、应用和其它信息的规则,来选择性地过滤或者传送数据,并记录网络活动。通常,防火墙规则被配置为:识别将被禁止的或者应当施加某些其它限制的某些类型的网络业务,例如,对已知用于文件共享程序的端口上的业务进行阻止,同时对在传统的FTP端口上接收的任何数据进行病毒扫描,阻止某些应用或者用户执行一些任务,而允许其它应用或用户执行这些任务,阻止基于已知攻击模式的业务(例如,来自同一IP地址的对于不同的端口的重复查询)。防火墙还可以被配置为准许某些类型的业务,例如允许加密的业务,使得远程系统可以与该防火墙之后的VPN或者虚拟专用网进行通信。但是,当防火墙分布在多个计算机系统之中时,防火墙对这些连接进行管理的能力是受限的,其原因在于:各个节点必须能够一起工作来实现防火墙。因此,期望实现集群中的改进的防火墙分布。
技术实现思路
在一个示例性实施例中,一种防火墙集群包括三个或更多个防火墙处理节点,这些防火墙处理节点基于报告节点在先前存在的集群中的成员资格,来报告主节点状态。控制器使用所报告的状态来指派分布式防火墙集群中的主节点。报告的主节点状态包括:所报告的有资格成为主节点(如果该节点是先前存在的集群的成员),所报告的主节点状态包括:报告无资格成为主节点(如果该节点不是先前存在的集群的成员),所报告的主节点状态(如果该节点是先前存在的集群中的主节点),以及所报告的已经超时的节点有资格成为主节点。附图说明图1示出了可以用于实现本专利技术的一些实施例的包括防火墙的示例性网络。图2示出了根据本专利技术的一个示例性实施例的包括防火墙集群的示例性网络,其中该防火墙集群包括多个防火墙节点。图3是示出了根据本专利技术的一个示例性实施例的分布式防火墙集群的典型配置循环的流程图。具体实施方式在本专利技术的示例性实施例的下面详细描述中,通过附图和说明的方式,来参照特定的示例。对这些示例进行了足够详细的描述,以使本领域普通技术人员能够实现本专利技术,并且这些示例用于描绘本专利技术可以如何应用于各种目的或实施例。存在本专利技术的其它实施例,并落入本专利技术的保护范围之内,可以在不脱离本专利技术的主题或保护范围的基础上,做出逻辑、机械、电和其它改变。本申请所描述的本专利技术的各个实施例的特征或者限制虽然对于它们所并入的示例性实施例来说是必不可少的,但其并不在整体上限制本专利技术,并且对于本专利技术、其元素、操作和应用的任何引用并不在整体上限制本专利技术,而只是用于规定这些示例性实施例。因此,下面的具体实施方式并不限制本专利技术的范围,本专利技术的范围仅仅通过所附权利要求书进行限定。图1描绘了一种典型的计算机网络环境,其包括诸如101处的互联网之类的公用网络、专用网络102、以及在103处所示出的可用于提供防火墙和入侵保护功能的计算机网络设备。在该特定的示例中,计算机网络设备103位于互联网和专用网络之间,并调节该专用网络和公用网络之间的业务的流动。在各个实施例中,网络设备103是防火墙设备和入侵保护设备或者作为二者进行运行。防火墙设备或者该网络设备中的模块提供各种网络流控制功能,例如,检查网络分组,对于满足防火墙过滤规则集的网络分组进行丢弃或拒绝。如先前所描述的,防火墙通常通过下面方式来执行它们的过滤功能:对诸如TCP/IP或其它网络协议分组之类的通信分组进行观察,以及检查诸如源网络地址和目标网络地址、正使用什么端口、以及连接的状态或历史之类的特性。一些防火墙还检查分组,以确定什么应用建立了连接,或者通过处理和转发受保护用户和外部联网计算机之间的选定的网络请求,来充当为代理设备。防火墙通常使用非期望的业务的“签名”或者其它特性,来检测和阻止被认为有害或者是非期望的业务。通常,防火墙使用一些规则集来对业务进行过滤,使得对于网络数据的任何特定元素所发生的操作,取决于规则集如何应用于该特定的数据。例如,阻止去往端口6346的所有业务的规则,将阻止进入的去往受保护网络中的服务器上的该端口的业务,但不阻止在不同的端口号上去往相同的服务器的其它数据。类似地,对源自于文件共享程序(例如,Shareaza)的业务进行阻止的规则,将使用该业务中的模式来阻止端口6346上的Shareaza业务,但允许端口6346上的其它业务。但是,在将防火墙实现成分布在多个计算机或者节点之中的系统(例如,实现在大型或者复杂系统中)的环境中,多个节点共享一个连接的能力受到每一个节点的关于该连接的信息(例如,关于该连接的套接字信息、应用信息、用户信息等等)的限制。因此,本专利技术的一些实施例共享信息,例如,关于规则集的信息、当前正在处理的连接、以及位于本网络中的各个节点之中的其它信息。在另外的示例中,对这些节点进行配置,使得一个节点扮演主要的角色或者主角色,并对可用于该集群的其它节点的功能进行管理。在一个这样的示例中,将防火墙或者入侵保护系统实现成:对流经该防火墙的处理业务进行共享的集群或者连接的节点组。图2示出了可以用于实现本专利技术的一些实施例的具有分布式防火墙的网络。这里,诸如互联网201本文档来自技高网...
【技术保护点】
一种操作防火墙集群的方法,包括:启动具有三个或更多个防火墙处理节点的防火墙集群;以及从所述三个或更多个防火墙处理节点中的至少一个报告主节点状态,所述报告基于进行报告的节点在先前存在的集群中的成员资格。
【技术特征摘要】
【国外来华专利技术】2011.12.13 US 13/324,9901.一种管理防火墙集群的方法,包括:初始化防火墙集群,所述防火墙集群包括三个或更多个防火墙处理节点,每一个节点包括网络设备,所述网络设备用于选择性地准许或阻止在所述防火墙集群与外部网络之间流动的业务;接收来自所述防火墙集群中的每一个节点的关于所述节点没有资格成为主节点的报告;在预定的时间段之后,接收来自所述防火墙集群中的一个或多个节点的关于所述节点有资格成为主节点的报告;通过指定有资格的节点中的一个作为主节点来防止形成分割防火墙集群;以及将指定的主节点通知给所述防火墙集群的剩余节点。2.根据权利要求1所述的管理防火墙集群的方法,还包括:由一个或多个节点执行防火墙应用。3.根据权利要求1-2中的任意一项所述的管理防火墙集群的方法,还包括:由一个或多个节点执行入侵防护应用。4.一种防火墙系统,包括:通过网络互连而形成防火墙集群的三个或更多个防火墙处理节点,每一个处理节点包括网络设备,所述防火墙集群用于执行选择性地过滤所述集群与外部网络之间的业务的规则;以及控制器,用于执行用于使得所述控制器进行以下操作的指令:接收来自所述防火墙集群的每一个节点的关于所述节点没有资格指定作为主节点的报告;在预定的时间段结束之前,接收来自所述防火墙集群的每一个节点的关于所述节点有资格用于主节点指定的报告;在所述预定的时间段结束之前,通过指派有资格的节点中的一个作为主节点来防止形成分割防火墙集群;在所述预定的时间段结束时,接收来自所述防火墙集群的每一个剩余节点的关于所述节点有资格用于主节点指定的报告;以及将指派的主节点通知给所述剩余节点以形成所述防火墙集群。5.根据权利要求4所述的防火墙系统,其中,选择性地过滤所述集群与外部网络之间的业务的所述规则是由多个节点执行的。6.根据权利要求4所述的防火墙系统,其中,所述控制器还用于执行用于使得所述控制器进行以下操作的指令:选择所述防火墙集群中的一个或多个节点;以及在所选择的节点上执行防火墙应用。7.根据权利要求4-6中的任意一项所述的防火墙系统,其中,所述控制器还用于执行用于使得所述控制器进行以下操作的指令:选择所述防火墙集群中的一个或多个节点;以及在所选择的节点上执行入侵防护应用。8.一种分布式防...
【专利技术属性】
技术研发人员:D·A·布赖特,M·J·西尔伯萨克,A·C·布赫,
申请(专利权)人:迈克菲公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。