[发明专利]报文转发方法、设备及系统

说明书

技术领域

本发明涉及网络通信技术，尤其涉及一种报文转发方法、设备及系统。

背景技术

防火墙通常是由软件和硬件设备组合而成，用于在内部网和外部网之间、专用网与公共网之间、局域网（Intranet）与互联网（Internet）之间建立起一个安全网关（Security Gateway），从而保护内部网、专用网或局域网不受非法用户的侵入。

现有技术中一般会部署防火墙双机热备，为了实现流量负载均衡，还出现了负载分担方式的双机备份。即在正常情况下，对于一条流来说，该流的流量走其中的一个防火墙，该防火墙将转发该流所需的流表同步给另一个防火墙进行备份，当该防火墙发生故障时，该流的流量切换到另一个防火墙。在双机备份情况下，要求同一流的流量路径对称，也就是，当一个流的流量走一个防火墙时，要求该流回程的流量也走该防火墙，否则该流回程的流量将被丢弃。但是在网络流量繁重的情况下，大量流表的同步可能无法及时完成，这样当该流的流量从另一防火墙回程时，就会被丢弃，造成流量丢失。

发明内容

本发明提供一种报文转发方法、设备及系统，用以解决防火墙双机热备场景下流量丢失的问题。

本发明一方面提供一种报文转发方法，包括：

互为热备的多个防火墙中的从防火墙接收报文流中的非首报文；

如果所述从防火墙在本地未找到转发所述非首报文所需的流表，通过与所述互为热备的多个防火墙中的主防火墙之间的报文转发隧道，将所述非首报文转发给所述主防火墙，以使所述主防火墙根据本地的所述流表转发所述非首报文。

本发明一方面还提供一种防火墙设备，包括：

第一接收模块，用于接收报文流中的非首报文，其中，所述防火墙设备为互为热备的多个防火墙中的从防火墙；

第一转发模块，用于在本地未找到转发所述非首报文所需的流表时，通过与所述互为热备的多个防火墙中的主防火墙之间的报文转发隧道，将所述非首报文转发给所述主防火墙，以使所述主防火墙根据本地的所述流表转发所述非首报文。

本发明另一方面提供一种报文转发方法，包括：

互为热备的多个防火墙中的主防火墙通过与所述互为热备的多个防火墙中的从防火墙之间的报文转发隧道，接收所述从防火墙发送的非首报文，所述非首报文为所述从防火墙接收到的报文流中的报文；

所述主防火墙根据本地转发所述非首报文所需的流表，转发所述非首报文。

本发明另一方面还提供一种防火墙设备，包括：

第二接收模块，用于通过与互为热备的多个防火墙中的从防火墙之间的报文转发隧道，接收所述从防火墙发送的非首报文，所述非首报文为所述从防火墙接收到的报文流中的报文；其中，所述防火墙设备为所述互为热备的多个防火墙中的主防火墙；

第二转发模块，用于根据本地转发所述非首报文所需的流表，转发所述非首报文。

本发明又一方面提供一种报文转发系统，包括本发明一方面提供的任一防火墙设备和另一方面提供的任一防火墙设备。

本发明提供的报文转发方法、设备及系统，互为热备的多个防火墙中的从防火墙在接收到报文流中的报文后，在本地查找是否存在转发该报文所需的流表，如果在本地未找到，则通过与互为热备的多个防火墙中的主防火墙之间的报文转发隧道，将接收到的报文转发给主防火墙，由主防火墙根据本地的流表转发非首报文，由此可见，本发明技术方案通过在主防火墙与从防火墙之间增加报文转发隧道，实现了主防火墙与从防火墙在转发层面的互通，从防火墙在本地未获取到转发报文所需的流表时，将报文转发给主防火墙，由主防火墙进行转发，解决了因流表无法及时同步给从防火墙，造成从防火墙将报文丢弃引起的流量丢失的问题。

附图说明

图1为本发明一实施例提供的报文转发方法的流程图；

图2为本发明另一实施例提供的报文转发方法的流程图；

图3为本发明又一实施例提供的报文转发方法的流程图；

图4为本发明又一实施例提供的报文转发方法的流程图；

图5为本发明又一实施例提供的报文转发方法的流程图；

图6-图12为本发明一实施例提供的报文转发方法的图示过程；

图13为本发明一实施例提供的防火墙设备的结构示意图；

图14为本发明另一实施例提供的防火墙设备的结构示意图；

图15为本发明又一实施例提供的防火墙设备的结构示意图；

图16为本发明又一实施例提供的防火墙设备的结构示意图。