大型防火墙集群中的定时管理专利检索-共享初始过滤规则集软件专利检索查询-专利查询网

大型防火墙集群中的定时管理

阅读：808发布：2020-05-20

专利汇可以提供大型防火墙集群中的定时管理专利检索，专利查询，专利分析的服务。并且一种防火墙集群包括三个或更多个防火墙处理节点，这些防火墙处理节点基于进行报告的节点在先前存在的集群中的成员资格，来报告主节点状态。控制器使用所报告的状态来指派分布式防火墙集群中的主节点。所报告的主节点状态包括：如果节点是先前存在的集群的成员，则为所报告的有资格成为主节点，如果节点不是先前存在的集群的成员，则所报告的主节点状态包括报告没有资格成为主节点，如果节点是先前存在的集群中的主节点，则为所报告的主节点状态，以及对于已经超时的节点所报告的有资格成为主节点。，下面是大型防火墙集群中的定时管理专利的具体信息内容。

权利要求

1.一种包括存储在其上的计算机可执行指令的非暂时性计算机可读介质，所述指令在被执行时使得一个或多个处理单元用于：
初始化防火墙集群，所述防火墙集群包括多个节点，每一个节点用于选择性地准许或阻止在所述防火墙集群与外部网络之间流动的业务；
接收来自所述防火墙集群中的第一节点的关于所述第一节点没有资格成为主节点的报告；
对在所述防火墙集群的第二节点启动之后经过了预定的时间段而所述第二节点没有接收到关于另一节点已经被指定为主节点的通知做出响应，接收来自所述第二节点的关于所述第二节点有资格成为主节点的报告；
将所述第二节点指定为主节点；并且
向所述防火墙集群的剩余节点通知所述第二节点是所述防火墙集群的主节点。
2.根据权利要求1所述的计算机可读介质，还包括在被执行时使得所述一个或多个处理单元进行以下操作的指令：
由所述防火墙集群的一个或多个节点执行防火墙应用。
3.根据权利要求1所述的计算机可读介质，还包括在被执行时使得所述一个或多个处理单元进行以下操作的指令：
由所述防火墙集群的一个或多个节点执行入侵防护应用。
4.一种防火墙系统，包括：
通过网络互连的多个防火墙处理节点，每一个处理节点包括硬件网络设备，所述硬件网络设备用于执行选择性地过滤所述防火墙处理节点与外部网络之间的业务的规则；以及控制器，用于执行在被执行时使得所述控制器进行以下操作的指令：
接收来自所述多个防火墙处理节点的第一节点的关于所述第一节点没有资格被指定作为主节点的报告；
对在所述多个防火墙处理节点的第二节点启动之后经过了预定的时间段而所述第二节点没有接收到关于另一节点已经被指定为主节点的通知做出响应，接收来自所述第二节点的关于所述第二节点有资格被指定作为主节点的报告；
将所述第二节点指定为主节点；并且
向所述多个防火墙处理节点中的剩余节点通知所述第二节点是所述防火墙系统的主节点。
5.根据权利要求4所述的防火墙系统，其中，选择性地过滤所述防火墙处理节点与外部网络之间的业务的所述规则是由所述防火墙处理节点中的多个节点执行的。
6.根据权利要求4所述的防火墙系统，其中，所述控制器还用于执行当被执行时使得所述控制器进行以下操作的指令：
选择所述防火墙处理节点中的一个或多个节点；并且
在所选择的节点上执行防火墙应用。
7.根据权利要求4所述的防火墙系统，其中，所述控制器还用于执行当被执行时使得所述控制器进行以下操作的指令：
选择所述防火墙处理节点中的一个或多个节点；并且
在所选择的节点上执行入侵防护应用。
8.一种系统，包括：
通过网络互连的多个节点，每一个节点包括计算机系统，所述计算机系统适于共享防火墙应用和入侵防护应用中的至少一个的处理；以及
硬件控制器，用于监测所述系统能够使用的节点，所述硬件控制器适于执行在被执行时使得所述硬件控制器进行以下操作的指令：
初始化防火墙集群，所述防火墙集群包括所述多个节点中作为先前防火墙集群的成员的一个或多个节点以及所述多个节点中不是所述先前防火墙集群的成员的新节点；
将所述新节点指派为主节点；
接收来自所述新节点的关于由于所述新节点不是所述先前防火墙集群的成员而使所述新节点没有资格成为主节点的报告；
对在作为所述先前防火墙集群的成员的第二节点启动之后经过了预定的时间段而所述第二节点没有接收到关于另一节点已经被指定为主节点的通知做出响应，接收来自所述第二节点的关于所述第二节点有资格成为主节点的报告；
将所述第二节点指定为主节点；
将所述新节点指定为辅助节点；并且
将作为所述先前防火墙集群的成员的任意剩余节点指定为辅助节点，并且将所述主节点通知给所有辅助节点以便形成所述防火墙集群。
9.根据权利要求8所述的系统，
其中，所述多个节点中的每一个节点适于执行当被执行时使得所述多个节点中的该节点进行以下操作的指令：
确定所述多个节点中的该节点是否是所述先前防火墙集群的成员；
基于所述多个节点中的该节点是否是所述先前防火墙集群的成员来确定所述多个节点中的该节点是否有资格成为主节点；并且
向所述硬件控制器发送资格报告，所述资格报告指示所述多个节点中的该节点有资格或者没有资格成为主节点。
10.根据权利要求9所述的系统，还包括：
其中，所述资格报告指示：对确定所述多个节点中的该节点不是所述先前防火墙集群的成员做出响应，所述多个节点中的该节点没有资格成为主节点。
11.根据权利要求9所述的系统，还包括：
其中，所述资格报告指示：对确定所述多个节点中的该节点是所述先前防火墙集群的成员做出响应，所述多个节点中的该节点有资格成为主节点。
12.根据权利要求8所述的系统，还包括：
所述硬件控制器适于执行在被执行时使得所述硬件控制器进行以下操作的指令：
选择性地过滤所述防火墙集群与第二网络之间的业务。
13.根据权利要求12所述的系统，其中，用于选择性过滤所述防火墙集群与所述第二网络之间的业务的所述指令被存储在所述防火墙集群的多个节点上。
14.根据权利要求8所述的系统，其中，所述硬件控制器包括一个或多个控制节点，所述控制节点用于执行当被执行时使得所述控制节点进行以下操作的指令：
选择所述防火墙集群中的一个或多个节点；并且
在所选择的一个或多个节点上执行防火墙应用。
15.根据权利要求8所述的系统，其中，所述硬件控制器包括一个或多个控制节点，所述控制节点用于执行当被执行时使得所述控制节点进行以下操作的指令：
选择所述防火墙集群的一个或多个节点；并且
在所选择的一个或多个节点上执行入侵防护应用。
16.一种方法，包括：
由硬件控制节点监测第一组节点和新节点，每一个节点包括计算机系统，所述计算机系统适于共享至少防火墙应用的处理；
由所述硬件控制节点将所述新节点指定为主节点；
接收来自所述新节点的关于所述新节点没有资格成为主节点的报告；
对所述第一组节点中的是先前防火墙集群的成员的第二节点启动之后经过了预定的时间段而所述第二节点没有接收到关于另一节点已经被指定为主节点的通知做出响应，接收来自所述第二节点的关于所述第二节点有资格成为主节点的报告；
将所述第二节点指定为主节点；
将所述新节点指定为辅助节点；并且
将所述第一组节点中作为所述先前防火墙集群的成员的任意剩余节点指定为辅助节点，并且向所有辅助节点通知所述第二节点是主节点以便形成新防火墙集群。
17.根据权利要求16所述的方法，其中，来自所述新节点的关于所述新节点没有资格成为主节点的报告防止形成分割的防火墙集群。
18.根据权利要求16所述的方法，还包括：
由所述第一组节点中的每一个节点确定所述第一组节点中的该节点是否是所述先前防火墙集群的成员；
由所述第一组节点中的每一个节点基于所述第一组节点中的该节点是否是所述先前防火墙集群的成员来确定所述第一组节点中的该节点是否有资格成为主节点；并且由所述第一组节点中的每一个节点向所述控制节点发送资格报告，所述资格报告指示所述第一组节点中的该节点有资格或者没有资格成为主节点。
19.根据权利要求18所述的方法，
其中，对确定所述第一组节点中的该节点不是所述先前防火墙集群的成员做出响应，所述资格报告指示所述第一组节点中的该节点没有资格成为主节点。
20.根据权利要求18所述的方法，
其中，对确定所述第一组节点中的该节点是所述先前防火墙集群的成员做出响应，所述资格报告指示该节点有资格成为主节点。

说明书全文

大型防火墙集群中的定时管理

[0001] 本申请是申请日为2012年11月02日并且申请号为201280057984.6的中国专利申请的分案申请，这里以结合的方式引用该申请的全部内容作为参考。

技术领域

[0002] 概括地说，本发明涉及防火墙操作，具体地说，在一个实施例中，本发明涉及大型防火墙集群中的定时管理。

[0003] 有限的版权豁免

[0004] 本专利文档的公开内容的一部分包含主张版权保护的材料。版权拥有人并不反对任何人员复制该专利文档或专利公开内容，如其出现在美国专利商标局文件或记录中一样，但是版权拥有人保留对其的所有其它权利。

背景技术

[0005] 计算机是非常有价值的工具，很大程度上是由于它们与其它计算机系统进行通信以及通过计算机网络来获取信息的能力。通常，网络包括一群互连的计算机，它们通过线缆、光纤、无线电或者其它数据传输方式进行链接，以便向计算机提供从一个计算机向另一个计算机传输信息的能力。互联网或许是最知名的计算机网络，其使成千上万的人能够例如通过观看web网页、发送电子邮件(e-mail)或者通过执行其它计算机到计算机的通信来访问成千上万的其它计算机。

[0006] 但是，由于互联网的范围太大，互联网用户在他们的兴趣方面又是如此不同，因此恶意用户或者爱开玩笑的人经常尝试以对其它用户构成危险的方式，与这些其它用户的计算机进行通信。例如，黑客可能尝试登录企业计算机，以偷取、删除或者修改信息。计算机病毒或者特洛伊木马程序可能被分发到其它计算机，或者被大量的计算机用户不知不觉地下载或者执行。此外，诸如企业之类的组织中的计算机用户可能偶尔地尝试进行未授权的网络通信，例如，运行文件共享程序或者从本企业的网络向互联网发送企业秘密。

[0007] 由于这些和其它原因，很多企业、机构、甚至家庭用户在它们的本地网络和互联网之间使用网络防火墙或者类似的设备。通常，防火墙是计算机化的网络设备，其对经过它的网络业务进行检查，基于某种规则集，准许期望的网络业务通过。

[0008] 防火墙通过下面方式来执行它们的过滤功能：对诸如TCP/IP或其它网络协议分组之类的通信分组进行观察，检查诸如源网络地址和目标网络地址、正使用什么端口、以及连接的状态或历史之类的特性。一些防火墙还检查流向或者来自特定的应用的分组，或者通过处理和转发受保护用户和外部联网计算机之间的选定的网络请求，来充当为代理设备。

[0009] 通常，防火墙通过监测各个端口、套接字(socket)和协议之间的连接(例如，通过在防火墙中检查网络业务)，来控制网络信息的流动。使用基于套接字、端口、应用和其它信息的规则，来选择性地过滤或者传送数据，并记录网络活动。通常，防火墙规则被配置为：识别将被禁止的或者应当施加某些其它限制的某些类型的网络业务，例如，对已知用于文件共享程序的端口上的业务进行阻止，同时对在传统的FTP端口上接收的任何数据进行病毒扫描，阻止某些应用或者用户执行一些任务，而允许其它应用或用户执行这些任务，阻止基于已知攻击模式的业务(例如，来自同一IP地址的对于不同的端口的重复查询)。防火墙还可以被配置为准许某些类型的业务，例如允许加密的业务，使得远程系统可以与该防火墙之后的VPN或者虚拟专用网进行通信。

[0010] 但是，当防火墙分布在多个计算机系统之中时，防火墙对这些连接进行管理的能力是受限的，其原因在于：各个节点必须能够一起工作来实现防火墙。因此，期望实现集群中的改进的防火墙分布。

发明内容

[0011] 在一个示例性实施例中，一种防火墙集群包括三个或更多个防火墙处理节点，这些防火墙处理节点基于报告节点在先前存在的集群中的成员资格，来报告主节点状态。控制器使用所报告的状态来指派分布式防火墙集群中的主节点。报告的主节点状态包括：所报告的有资格成为主节点(如果该节点是先前存在的集群的成员)，所报告的主节点状态包括：报告无资格成为主节点(如果该节点不是先前存在的集群的成员)，所报告的主节点状态(如果该节点是先前存在的集群中的主节点)，以及所报告的已经超时的节点有资格成为主节点。附图说明

[0012] 图1示出了可以用于实现本发明的一些实施例的包括防火墙的示例性网络。

[0013] 图2示出了根据本发明的一个示例性实施例的包括防火墙集群的示例性网络，其中该防火墙集群包括多个防火墙节点。

[0014] 图3是示出了根据本发明的一个示例性实施例的分布式防火墙集群的典型配置循环的流程图。

具体实施方式

[0015] 在本发明的示例性实施例的下面详细描述中，通过附图和说明的方式，来参照特定的示例。对这些示例进行了足够详细的描述，以使本领域普通技术人员能够实现本发明，并且这些示例用于描绘本发明可以如何应用于各种目的或实施例。存在本发明的其它实施例，并落入本发明的保护范围之内，可以在不脱离本发明的主题或保护范围的基础上，做出逻辑、机械、电和其它改变。本申请所描述的本发明的各个实施例的特征或者限制虽然对于它们所并入的示例性实施例来说是必不可少的，但其并不在整体上限制本发明，并且对于本发明、其元素、操作和应用的任何引用并不在整体上限制本发明，而只是用于规定这些示例性实施例。因此，下面的具体实施方式并不限制本发明的范围，本发明的范围仅仅通过所附权利要求书进行限定。

[0016] 图1描绘了一种典型的计算机网络环境，其包括诸如101处的互联网之类的公用网络、专用网络102、以及在103处所示出的可用于提供防火墙和入侵保护功能的计算机网络设备。在该特定的示例中，计算机网络设备103位于互联网和专用网络之间，并调节该专用网络和公用网络之间的业务的流动。

[0017] 在各个实施例中，网络设备103是防火墙设备和入侵保护设备或者作为二者进行运行。防火墙设备或者该网络设备中的模块提供各种网络流控制功能，例如，检查网络分组，对于满足防火墙过滤规则集的网络分组进行丢弃或拒绝。如先前所描述的，防火墙通常通过下面方式来执行它们的过滤功能：对诸如TCP/IP或其它网络协议分组之类的通信分组进行观察，以及检查诸如源网络地址和目标网络地址、正使用什么端口、以及连接的状态或历史之类的特性。一些防火墙还检查分组，以确定什么应用建立了连接，或者通过处理和转发受保护用户和外部联网计算机之间的选定的网络请求，来充当为代理设备。防火墙通常使用非期望的业务的“签名”或者其它特性，来检测和阻止被认为有害或者是非期望的业务。

[0018] 通常，防火墙使用一些规则集来对业务进行过滤，使得对于网络数据的任何特定元素所发生的操作，取决于规则集如何应用于该特定的数据。例如，阻止去往端口6346的所有业务的规则，将阻止进入的去往受保护网络中的服务器上的该端口的业务，但不阻止在不同的端口号上去往相同的服务器的其它数据。类似地，对源自于文件共享程序(例如，Shareaza)的业务进行阻止的规则，将使用该业务中的模式来阻止端口6346上的Shareaza业务，但允许端口6346上的其它业务。

[0019] 但是，在将防火墙实现成分布在多个计算机或者节点之中的系统(例如，实现在大型或者复杂系统中)的环境中，多个节点共享一个连接的能力受到每一个节点的关于该连接的信息(例如，关于该连接的套接字信息、应用信息、用户信息等等)的限制。因此，本发明的一些实施例共享信息，例如，关于规则集的信息、当前正在处理的连接、以及位于本网络中的各个节点之中的其它信息。在另外的示例中，对这些节点进行配置，使得一个节点扮演主要的角色或者主角色，并对可用于该集群的其它节点的功能进行管理。

[0020] 在一个这样的示例中，将防火墙或者入侵保护系统实现成：对流经该防火墙的处理业务进行共享的集群或者连接的节点组。图2示出了可以用于实现本发明的一些实施例的具有分布式防火墙的网络。这里，诸如互联网201之类的网络通过防火墙203耦接到内部网络202。防火墙203包括：可以执行诸如负载平衡和其它防火墙管理功能之类的功能的进入业务模块204和外出业务模块205。在防火墙节点206中，应用防火墙或者入侵保护规则，其中防火墙节点206通过网络连接来彼此进行连接，如所示的。

[0021] 这里，所示出的五个节点均包括单独的计算机系统，该计算机系统运行防火墙或者有关的软件的实例，该防火墙或者有关软件可用于向业务应用规则，以便选择性地准许或者阻止在互联网201和内部网络202之间流动的业务。在一个替代的实施例中，一些节点(例如节点1、2和3)执行防火墙应用，而其它节点(例如4和5)执行入侵保护系统(IPS)应用。节点204和205负责执行诸如下面的功能：使路由到防火墙节点206的业务负载平衡、确保这些节点能够一起高效地工作，以便与单一节点相比，提供更高的吞吐量能力。

[0022] 在诸如该系统之类的分布式防火墙系统中，确定哪个节点是主节点或者协调节点以及哪些节点可用于被添加到集群中，可能是一件稍微有点复杂的配置任务。一种选项是手工地显式设置每一个节点，以便在该集群中扮演某种角色，但这种配置具有诸如以下的缺点：所需要的劳动以及如果所指定的主节点出现故障或者不能适当引导时则不能恢复。

[0023] 因此，一些分布式防火墙实施例提供了：当建立分布式防火墙集群时，进行定时和协调问题的管理，使集群能够在启动之后，自配置进入可行的分布式防火墙。

[0024] 在更详细的示例中，对各个节点进行彼此链接的横梁(crossbeam)提供各种管理功能，例如，集群中的指定的主节点的协调。再次参见图2，一些节点(例如节点206)是防火墙节点，并运行分布式防火墙的实例。其它节点(例如节点204和205)执行诸如提供外部网络端口、负载平衡等等之类的功能。在另外的实施例中，另外的节点(例如，另一个节点206)提供控制功能、文件服务器和其它配置/资源功能，以便形成支持该分布式防火墙系统的横梁架构。

[0025] 这里，横梁控制节点监测可用于本系统的节点，并向被指定成主节点的节点发送信号，使得被发送信号的节点作为主节点而不是作为辅助节点进行操作。随后，所指定的主节点创建一个集群，同时其它节点被告知哪个节点是主节点，并且在这些其它节点变得可用于加入该集群时，这些其它节点向该主节点进行注册。

[0026] 当所有节点都是可用的时，这种配置可以很好地工作，但是如果主节点不能引导，那么横梁可能意识不到，并且在一些实例中不能够进行恢复。此外，如果在分布式防火墙系统再次引导时横梁任命一个新的主节点，那么作为该分布式防火墙的一部分的旧节点将仍然尝试联系旧的主节点，而将不加入新的集群。

[0027] 因此，本发明的一些实施例包括：使分布式防火墙集群能够对尝试形成一个集群的节点进行更好地管理的特征，例如，当合格节点出现并可用于被指定成主节点时，这样的节点向横梁系统进行通知。因此，横梁系统可以管理主节点的指定，从而防止诸如分割集群和不形成集群之类的问题。

[0028] 分割集群可以在系统重新引导时形成，并且具有配置上的改变，例如，当添加一个节点以增加性能时，或者向系统中增加替代节点时。例如，考虑一种引导系统，其中横梁以某种顺序来启动这些节点，并将新节点指定为主节点。该新节点认识到其不位于现有的集群之中，故向横梁报告其因而没有资格成为主节点。这防止了该新节点形成其自己的集群。随后，其它两个节点启动，并报告它们有资格成为要主节点，这是因为它们具有先前的防火墙集群的知识。

[0029] 因此，横梁系统可以将主节点改变为报告有资格的这两个节点中的一个节点，从而向先前的集群中的其它节点发送主节点指定的通知，使得所述其它节点知道它是辅助节点并且知道主节点的标识。

[0030] 此外，新节点也从横梁接收其是辅助节点的通知，并接收关于所指定的主节点的知识，该知识用于连接到主节点并加入该集群。在更详细的示例中，向新节点发送的关于主节点的知识包括：主节点的IP地址、以及使该节点能够将自己与主节点进行关联的密码或者其它这样的凭证。

[0031] 在另一个示例中，第一次引导一个新集群，因此在分布式防火墙中的任何节点上没有存储任何现有的集群信息。在该情况下，所有节点都将引导，并报告它们没有资格成为主节点，在没有指定的主节点的情况下，该系统在本质上停止。因此，该示例中的节点被进一步配置为：如果这些节点已经被引导了某一个时间段(例如，5分钟、10分钟或者任何其它适当的时段)，而没有从横梁接收到一个节点已经被指定成主节点的通知，那么这些节点报告它们有资格成为主要的。随后，可以将这些节点中的一个指派成主节点，并且如上所述，可以使用IP地址和密码将主节点的标识通知给其它的新节点，以便其它的新节点通过联系该主节点来加入该集群。

[0032] 如果一个节点被告知将是主节点并要形成一个集群(例如，通过在其超时并报告自己有资格成为主要的之前在横梁系统中被配置成主要的)，那么被指定的节点确保其状态是“有资格是主要的”。这防止了其它节点超时并主张有资格是主要的状态，从而在较长的引导序列或超时的情况下形成分割集群。一旦所指定的主节点被引动并可用，那么它就报告它是主节点而不是有资格是主要的。

[0033] 图3示出了根据本发明的一个示例性实施例的分布式防火墙的典型配置循环。该流程图被划分成两个部分：在301处，分布式防火墙集群的初始形成；以在302处，新节点的增加。

[0034] 在303，一个新的分布式防火墙系统第一次引导，并且所有节点都报告没有资格用作主节点(这是由于它们并不知道现有集群中的成员资格)。在304，这些节点达到超时，并开始报告它们自己有资格成为主节点。在305，横梁系统指派这些节点中的一个节点作为主节点，并向其它节点发送关于该主节点的信息。在306，其它节点加入该集群，并且该集群是可用的。

[0035] 在307，通过向该集群增加一个或多个另外的节点，来对分布式防火墙系统进行升级。为了增加新节点，在307，将该系统关闭，并安装该新节点的硬件。在308，重新启动该系统，以及在309，该新节点引导并报告没有资格成为主节点(这是由于其不知道是现有集群的一部分)。在310，网络中的其它节点报告有资格成为主节点，这是由于它们先前是该集群的一部分，并且可选地，这些节点中的一个作为主节点进行汇报。如果需要的话，例如，在没有任何现有节点报告是主要的，但这些节点已经报告有资格成为主节点的情况下(例如，在对出现故障的主节点进行替换的情况下)，那么在311，横梁系统指派主节点。一旦启动了该集群并已经识别了主节点，则在312，横梁系统将新节点通知给现有的集群的主节点，并提供包括用于加入该集群的主节点IP地址和安全凭证的主节点信息。

[0036] 这些示例描绘了可以如何使用集群中的节点的管理(其包括主节点的管理)，来在配置分布式防火墙集群时防止各种定时和其它问题。虽然本申请已经描绘并描述了特定的实施例，但本领域普通技术人员应当理解的是，所计算的用于实现相同目的的任何布置都可以替代所示出的特定实施例。本申请旨在覆盖本文中所描述的本发明的示例性实施例的任何调整或者改变。本发明旨在仅由权利要求及其等等价形式的完全范围进行限定。

标题	发布/更新时间	阅读量
基于合作感知的插电式混合动力汽车能量优化控制方法	2020-05-16	31
政府综合业务平台业务库和基础库的构建方法	2020-05-25	842
政府综合业务平台业务库和基础库的构建方法	2020-06-03	566
对象检测方法、装置、计算机可读存储介质和计算机设备	2020-05-12	884
一种面向机器人智能抓取应用的视觉识别与定位方法	2020-05-18	476
基于IFC数据交互的工程项目信息交付集成管理系统	2020-05-21	425
同步共享初始过滤规则集配置数据的方法、装置及系统	2020-06-09	1005
一种企业异构数据库智能集成的系统及方法	2020-05-23	57
大型防火墙集群中的定时管理	2020-05-20	808
基于人机协作的机器人感知与理解方法	2020-05-22	475

大型防火墙集群中的定时管理

大型防火墙集群中的定时管理

技术领域

背景技术

发明内容

具体实施方式

该功能需要专业版企业版VIP权限，您可以：