[发明专利]防火墙群集中的应用状态共享

说明书

相关申请的交叉引用

本申请要求2011年9月8日提交的美国申请号13/227,825的优先权，其通过引用合并于此。

技术领域

本发明大体上涉及防火墙操作，并且更具体地在一个实施例中涉及防火墙群集中的应用状态共享。

有限版权豁免

该专利文献的公开的一部分包含进行版权保护的权利要求所针对的材料。版权所有者不反对被任何人拓制专利文献或专利公开，如它在美国专利和商标局文件或记录中出现的那样，但无论怎样都保留所有其他版权。

背景技术

计算机由于它们与其他计算机系统通信并且通过计算机网络检索信息的能力而在很大程度上是有价值的工具。网络典型地包括通过线路、光纤、无线电或其他数据传送工具而链接的互连计算机组，用于对计算机提供在计算机间传输信息的能力。因特网或许是最知名的计算机网络，并且使数百万的人能够例如通过查看web页面、发送e-mail或通过执行其他计算机-到-计算机通信而接入其他计算机。

但是，因为因特网的大小如此的大并且因特网用户在他们的兴趣方面如此多样化，恶意用户或恶作剧者试图采用对其他用户构成危险的方式与其他用户的计算机通信，这不是罕见的。例如，黑客可试图登录企业计算机来窃取、删除或改变信息。计算机病毒或木马程序可分布到其他计算机，或不知不觉地被大量计算机用户下载或执行。此外，例如企业等组织内的计算机用户可偶尔尝试执行未经授权的网络通信，例如运行文件共享程序或将企业机密从企业网络内传送到因特网。

由于这些和其他原因，许多企业、机构以及甚至家庭用户在他们的本地网络与因特网之间使用网络防火墙或相似的装置。防火墙典型地是计算机化的网络装置，其检查经过它的网络业务、基于规则集容许期望的网络业务通过。

防火墙通过观察通信分组（例如TCP/IP或其他网络协议分组）并且检查例如源和目标网络地址、使用什么端口以及连接的状态或历史等特性来执行它们的过滤功能。一些防火墙还检查行进到特定应用或从特定应用行进的分组，或通过处理选择的网络请求并且在受保护用户与外部联网的计算机之间转发选择的请求而充当代理装置。

防火墙典型地通过监测各种端口、插座和协议之间的连接（例如通过检查防火墙中的网络业务）来控制网络信息的流。基于插座、端口、应用和其他信息的规则用于选择性地过滤或传递数据，以及记录网络活动。防火墙规则典型地配置成识别要被禁止或应施加某些其他限制的某些类型的网络业务：例如阻断已知用于文件共享程序的端口上的业务同时对在传统的FTP端口上接收的任何事物进行病毒扫描；阻断某些应用或用户执行一些任务，同时允许其他人执行这样的任务；以及基于例如对来自公共IP地址的不同端口的重复查询等已知攻击模式阻断业务。

但是，防火墙在跨多个计算机系统分布时管理这样的连接的能力在连接的知识典型地仅存储在处理连接的系统中的方面受到限制。因此期望群集中改进的防火墙分布。

发明内容

本发明的各种示例实施例包括防火墙群集系统，该防火墙群集系统包括第一节点，其能操作成在具有三个或以上节点的防火墙群集的第一节点中接收连接、监测接收的连接的分组并且确定与来自第一节点中的被监测分组的连接关联的应用状态数据以及与防火墙群集中的至少另一个节点共享应用状态数据。另一个节点可以使用该应用状态数据来继续处理连接（例如如果第一节点失效），或提供负载平衡。

附图说明

图1示出如可用于实践本发明的一些实施例的示例网络，其包括防火墙。

图2示出如可用于实践本发明的一些实施例的示例网络，其包括防火墙群集，该防火墙群集包括多个防火墙节点。

图3是图示与本发明的示例实施例一致的在防火墙群集中使用共享应用状态数据的方法的流程图。

具体实施方式

在本发明的示例实施例的下列详细描述中，通过图和说明的方式参考特定示例。充分详细地描述这些示例以使本领域内技术人员能够实践本发明，并且起到说明本发明可如何应用于各种目的或实施例的作用。存在本发明的其他实施例并且它们在本发明的范围内，并且可进行逻辑、机械、电和其他改变而不偏离本发明的主旨或范围。然而，本文描述的本发明的各种实施例的特征或限制对于它们所并入的示例实施例必不可少，它们未整体上限制本发明，并且对本发明、它的要素、操作和应用的任何引用未整体上限制本发明而仅起到限定这些示例实施例的作用。下列详细描述因此未限制本发明的范围，其仅由附上的权利要求限定。