[发明专利]一种ipsec状态恢复方法

说明书

技术领域

本发明涉及计算机网络技术领域，特别涉及一种ipsec状态恢复方法。

背景技术

防火墙是用来保护网络中计算机安全的重要设备，一旦防火墙发生故障，会给政府、企业造成不小的损失，为了解决防火墙单点故障引起的整个网络瘫痪问题，业内工作者提出了两台防火墙实时热备的功能，即防火墙e为主防火墙，防火墙f为备防火墙；如图2所示，在步骤A中，主防火墙e和远端防火墙g建立ipsec隧道，数据通过该ipsec隧道进行传输；在步骤B中，当主防火墙e异常后，主防火墙e和备防火墙f进行主备防火墙的切换，此时主防火墙e变成了备防火墙e，备防火墙f变成了主防火墙f，所有数据流都被切换到主防火墙f上；在步骤C中，远端防火墙g并不知道对端异常，仍然发送加密的esp或ah报文给主防火墙f，由于现有的设备大部分不支持ipsec隧道状态同步，则此时主防火墙f接收到加密的esp或ah报文后，发现没有对应的ipsec隧道进行报文解密，就会丢弃此报文；在步骤D中，远端防火墙g只有通过长时间的dpd探测或keepalive探测才能发现对端异常，删除本端ipsec隧道，与主防火墙f重新建立ipsec隧道；而等待dpd探测或keepalive探测需要较长的时间，整个防火墙系统在此期间处于瘫痪状态，导致网络数据断流的时间较长，因此，现有技术确有待于提高。

发明内容

针对现有技术存在的不足，本发明提出了一种主备防火墙切换后的ipsec状态快速恢复的方法，并通过以下的技术方案予以实现：

一种ipsec状态恢复方法，包括以下步骤：

S1：主防火墙a与远端防火墙c建立ipsec隧道；

S2：如果主防火墙a异常，主防火墙a和备防火墙b进行主备防火墙的变换，主防火墙a变换为备防火墙a，备防火墙b变换为主防火墙b；

S3：主防火墙b接收加密报文，如果主防火墙b的ipsec隧道状态不同步，则执行步骤S4，如果主防火墙b的ipsec隧道状态同步，则结束；

S4：主防火墙b发起反向ike协商，与远端防火墙c建立ipsec隧道。

所述步骤S4中，主防火墙b根据所述加密报文的目的地址找到相应的ipsec隧道属性配置，建立由主防火墙b到远端防火墙c的ipsec隧道。

所述步骤S4进一步包括设置ipsec隧道的生存时间。

所述步骤S4进一步包括在主防火墙b发起反向ike协商之前，判断已启动时间长度是否超出所述ipsec隧道的生存时间：若是，则主防火墙b发起反向ike协商；若不是，则主防火墙b将接收到的加密报文直接丢弃；其中，所述已启动时间长度是指从主备防火墙切换到主防火墙b接收到第一个加密报文的时间段。

所述步骤S4中，远端防火墙c与主防火墙b建立新的ipsec隧道后，直接将与主防火墙a建立的ipsec隧道丢弃。

在本发明中，当主防火墙a和备防火墙b切换后，新的主防火墙b接收到没有对应的ipsec隧道能够解密的esp或ah报文时，根据接收到的加密报文的目的地址发起反向ike协商来建立ipsec隧道，解决了现有技术中单纯的靠keepalive或dpd来感知对端异常的问题，且无需像dpd或keepalive那样等待，能够减少断流的时间。

附图说明

图1为本发明的流程图；

图2为现有技术的流程图。

具体实施方式

下面对于本发明所提出的一种ipsec状态恢复方法，结合附图和实施例详细说明。

实施例1：

本发明提供一种ipsec状态恢复方法，包括以下步骤：

S1：主防火墙a与远端防火墙c建立ipsec隧道；

S2：如果主防火墙a异常，主防火墙a和备防火墙b进行主备防火墙的变换，主防火墙a变换为备防火墙a，备防火墙b变换为主防火墙b；

S3：主防火墙b接收加密报文，如果主防火墙b的ipsec隧道状态不同步，则执行步骤S4，如果主防火墙b的ipsec隧道状态同步，则结束；

S4：主防火墙b发起反向ike协商，与远端防火墙c建立ipsec隧道。

所述步骤S4中，主防火墙b根据所述加密报文的目的地址找到相应的ipsec隧道属性配置，建立由主防火墙b到远端防火墙c的ipsec隧道。

所述步骤S4进一步包括设置ipsec隧道的生存时间。