[发明专利]数据流的处理方法及防火墙

说明书

技术领域

本发明涉及信息安全领域，具体而言，涉及一种数据流的处理方法及防火墙。

背景技术

本发明现有的相关技术中通常采用单机部署或双机部署的防火墙设备。图1是根据相关技术的防火墙单机部署的结构示意图；图2是根据相关技术的防火墙双机部署的结构示意图。

如图1所示，在单机部署时，防火墙可以直接部署于两个路由器之间。如图2所示的多设备的防火墙冗余(High Availability)方案利用了多台防火墙设备，并将多台防火墙设备连接在交换机或路由器之间，这种部署被称为双机热备。热备中的两台设备可能是主/备状态，也可能是双方都在主状态。运行过程中，两台设备的状态不断地进行同步。在系统检测到一台防火墙发生故障时，切换到另一台设备上。因为两台设备的状态一样，数据流检测可以照常进行，流量也不会中断。

在防火墙双机热备部署情况下，两个防火墙和路由器之间需要部署一个交换机。在防火墙1为主设备的情况下，交换机控制流量从防火墙1通过，当防火墙1发生故障时，防火墙2和交换机配合把流量切换到防火墙2这条路上。

通过上述现有技术的描述可知，图1中的单机部署设备，在防火墙出故障时数据流的过滤功能将中断，图2所示的双机部署设备解决了单机部署设备的缺陷，但图2中的系统除了需要两台防火墙外，还必须部署两台交换机。构建此网络结构的成本较高。网络较为复杂。

目前针对相关技术的防火墙双机部署方案复杂，成本高的问题，目前尚未提出有效的解决方案。

发明内容

针对相关技术的防火墙双机部署方案复杂，成本高的问题，目前尚未提出有效的问题而提出本发明，为此，本发明的主要目的在于提供一种数据流的处理方法及防火墙，以解决上述问题。

为了实现上述目的，根据本发明的一个方面，提供了一种防火墙，该防火墙包括：多个防火墙隔离单元，每个防火墙隔离单元之间通过彼此通讯来建立互相备份的关系，多个防火墙隔离单元包括第一防火墙隔离单元和第二防火墙隔离单元；第一交换单元，用于接收内网数据流，通过配置数据流的主用链路和备用链路来控制数据流传输至第一防火墙隔离单元或第二防火墙隔离单元；第二交换单元，用于获取第一防火墙隔离单元或第二防火墙隔离单元处理后的数据流，并将处理后的数据流传输至外网。

进一步地，防火墙还包括：交换配置单元，连接在第一交换单元和第二交换单元之间，用于同步第一交换单元与第二交换单元内的配置数据。

进一步地，防火墙还包括：检测单元，检测第一防火墙隔离单元的工作状态，其中，当第一防火墙隔离单元出现故障时，通过交换配置单元将转换信号发送至第一交换单元或第二交换单元，以将数据流切换到第二防火墙隔离单元，或者，当第二防火墙隔离单元出现故障时，通过交换配置单元将转换信号发送至第一交换单元或第二交换单元，以将数据流切换到第一防火墙隔离单元。

进一步地，防火墙隔离单元有两个。

进一步地，每个防火墙隔离单元之间通过第一交换单元来建立动态状态同步。

进一步地，每个防火墙隔离单元之间通过第二交换单元来建立动态状态同步。

进一步地，每个防火墙隔离单元之间通过专用通讯通道来建立动态状态同步。

为了实现上述目的，根据本发明的另一方面，提供了一种数据流的处理方法，该方法包括：通过防火墙的第一交换单元来接收内网的数据流，防火墙包括多个防火墙隔离单元，其中，多个防火墙隔离单元包括第一防火墙隔离单元和第二防火墙隔离单元；通过配置数据流的传输链路来控制数据流传输至第一防火墙隔离单元或第二防火墙隔离单元，其中，第一防火墙隔离单元与第二防火墙隔离单元之间通过彼此通讯来建立互相备份的关系；通过第一防火墙隔离单元或第二防火墙隔离单元来处理数据流；通过防火墙的第二交换单元来获取处理后的数据流，并将处理后的数据流传输至外网。

进一步地，在通过配置数据流的传输链路来控制数据流传输至第一防火墙隔离单元或第二防火墙隔离单元之前，方法还包括：通过防火墙的第一交换单元来获取数据流；检测第一防火墙隔离单元的工作状态，其中，当第一防火墙隔离单元正常工作时，通过第一防火墙隔离单元处理数据流，否则，发送转换信号至第一交换单元或第二交换单元，以将数据流切换到第二防火墙隔离单元，或者，当所述第二防火墙隔离单元出现故障时，通过所述交换配置单元将转换信号发送至所述第一交换单元或所述第二交换单元，以将所述数据流切换到所述第一防火墙隔离单元。

进一步地，第一防火墙隔离单元和第二防火墙隔离单元之间通过以下任意一种装置来建立动态状态同步：第一交换单元、第二交换单元或专用通讯通道。