[发明专利]基于CONNTRACK同步的防火墙双机热备系统

说明书

技术领域

本发明属于网络安全技术领域，尤其涉及一种基于CONNTRACK同步的防火墙双机热备系统。

背景技术

防火墙是位于网络边界防范网络攻击的屏障，是可信网络与不可信网络进行联络的唯一纽带。防火墙系统的可靠性直接关系着整个受保护网络的可用性，所以必须利用相关技术为它提供数据通道的冗余。目前，当网络中的防火墙没有发生故障时，防火墙可以起到保护整个网络的安全运行的作用，但当防火墙本身或其他线路发生故障时，这种保护便无从谈起。本发明对这类故障提出了解决方案，基于CONNTRACK同步原理，在两台防火墙同时启动热备功能后，当一台防火墙在CONNTRACK表中产生一条新的CONNTRACK记录时，防火墙会将这条记录通过连接两个防火墙的心跳线发送到另一台防火墙上，这样当一台防火墙出现故障而不能正常运行时，自动切换到另一台防火墙，从而保证网络环境正常有效运行。当故障恢复后，会自动切换到原来的防火墙，从而实现两台防火墙之间的相互热备。

发明内容

本发明的目的在于，针对当前网络系统中的防火墙缺乏热备功能，在防火墙或与防火墙连接的网络出现故障时，网络安全性无法有效保障的问题，提出一种基于CONNTRACK同步的防火墙双机热备系统。

本发明的技术方案是，一种基于CONNTRACK同步的防火墙双机热备系统，其特征是所述系统由第一防火墙和第二防火墙组成；其中，

第一防火墙1与第二防火墙2通过心跳线15连接，实现CONNTRACK同步；

第一防火墙1包括第一网络接口3和第二网络接口4，第一网络接口3通过网线接入不可信网络；第二网络接口4通过网线接入可信网络；

第二防火墙2包括第三网络接口5和第四网络接口6，第三网络接口5通过网线接入不可信网络；第四网络接口6通过网线接入可信网络；

所述第一防火墙1与第二防火墙2采用主备方式的双机热备或者主主方式的双机热备；

所述主备方式的双机热备，以第一防火墙1为主防火墙，第二防火墙2为备份防火墙；或者以第二防火墙2为主防火墙，第一防火墙1为备份防火墙；

所述主主方式的双机热备，以第一防火墙1为主防火墙，第二防火墙2也为主防火墙，两个防火墙各自独立工作的同时进行相互备份。

所述第一防火墙1的第一网络接口3与所述第二防火墙2的第三网络接口5接入相同的不可信网络。

所述第一防火墙1的第二网络接口4与所述第二防火墙2的第四网络接口6接入相同的可信网络。

本发明的效果在于，当与防火墙连接的网络或者防火墙网络接口出现故障时，由于两个防火墙间会话信息始终保持一致，因此系统也能正确地进行状态检查和流量转发，从而保证网络应用的会话不会发生中断，进而确保网络的安全性和可靠性。

附图说明

图1是基于CONNTRACK同步的防火墙双机热备系统的结构示意图。

图2是本发明提供的实施例的结构示意图。

具体实施方式

下面结合附图，对优选实施例作详细说明。应该强调的是，下述说明仅仅是示例性的，而不是为了限制本发明的范围及其应用。

图1是基于CONNTRACK同步的防火墙双机热备系统的结构示意图。图1中，第一防火墙1与第二防火墙2通过心跳线15连接，第一防火墙的第一网络接口3和第二防火墙的第三网络接口5通过网线接入相同的不可信网络，第一防火墙1的第二网络接口4和第二防火墙2的第四网络接口6通过网线接入相同的可信网络。

当两台防火墙同时启动热备功能后，一台防火墙在CONNTRACK表中产生一条新的CONNTRACK记录时，会触发CONNTRACK同步函数，这个函数将这条记录通过连接两个防火墙的心跳线发送到另一台防火墙上，实现CONNTRACK表的同步。

当第一防火墙1与第二防火墙2以主备方式进行防火墙双机热备时，网络数据通过主防火墙在可信网络与不可信网络之间进行传输。同时，备份防火墙会对对端的主防火墙的CONNTRACK表进行同步，在备份防火墙上形成同步CONNTRACK表；当数据路由到防火墙后，防火墙会检测此连接所在的CONNTRACK表，当确定数据所属连接属于同步CONNTRACK表后，再根据对端的备份防火墙的网口的状态决定是否将数据通过心跳线进行转发。若不属于同步CONNTRACK表，则按照正常路由进行转发。