[发明专利]提高安全集群处理性能的方法及装置

说明书

本申请提出提高安全集群处理性能的方法及装置。方法包括：控制器通过管理链路连接安全集群内的各安全节点以及安全集群的上、下游交换机，控制器通过安全节点发来的流创建信息生成正、反向流表，两个流表中的下一跳IP地址为安全集群的IP地址，且正向流表中包含下游交换机与该安全节点通信的端口信息、反向流表中包含上游交换机与该安全节点通信的端口信息；控制器将正向流表发给下游交换机、将反向流表发给上游交换机，以使得下游、上游交换机将正、反向流表对应的数据流都发送给该安全节点，由该安全节点对数据流执行安全业务处理。本申请提高了安全集群的处理性能。

技术领域

本申请涉及安全集群技术领域，尤其涉及提高安全集群处理性能的方法及装置。

背景技术

安全设备指的是在网络中专门执行安全策略如：防火墙设备。云计算、大数据等新兴技术的崛起在网络中产生了更多的数据，对于安全设备的性能要求也是成级数增长。受限于单台物理安全设备的性能限制，如何在平滑扩展安全设备性能的同时而不带来管理部署的复杂度成为安全设备急需解决的问题。安全集群是一种多虚一的虚拟化技术，可以有效解决上述问题。

现有安全集群的组网形态与网络设备类似，安全集群内的安全设备的部署位置通常旁挂汇聚或核心交换机，简化后的安全集群组网形态如图1所示，其中，防火墙设备FW1～FW4构成一个安全集群，FW1～FW4通过聚合链路与核心交换机连接，核心交换机将来自下挂主机的流量通过预设的聚合链路负载分担算法分担到FW1～FW4上，FW1～FW4根据自身配置的安全策略确定对核心交换机发来的流量进行转发还是丢弃。

发明内容

本申请提供提高安全集群处理性能的方法及装置。

本申请的技术方案是这样实现的：

一种提高安全集群处理性能的方法，控制器通过管理链路连接安全集群内的各安全节点以及安全集群的上、下游交换机，该方法包括：

控制器通过安全节点发来的流创建信息生成正向流表和反向流表，两个流表中的下一跳IP地址为安全集群的IP地址，且正向流表中包含下游交换机与该安全节点通信的端口信息，反向流表中包含上游交换机与该安全节点通信的端口信息；

控制器将正向流表发给下游交换机、将反向流表发给上游交换机，以使得下游交换机将正向流表对应的数据流发送给该安全节点、上游交换机将反向流表对应的数据流发送给该安全节点，由该安全节点对正向流表对应的数据流和反向流表对应的数据流执行安全业务处理。

一种提高安全集群处理性能的装置，该装置位于安全集群的外置控制器上，控制器通过管理链路连接安全集群内的各安全节点以及安全集群的上、下游交换机，该装置包括：

流表生成模块：通过安全节点发来的流创建信息生成正向流表和反向流表，两个流表中的下一跳IP地址为安全集群的IP地址，且正向流表中包含下游交换机与该安全节点通信的端口信息，反向流表包含上游交换机与该安全节点通信的端口信息；

流表下发模块：将正向流表发给下游交换机、将反向流表发给上游交换机，以使得下游交换机将正向流表对应的数据流发送给该安全节点、上游交换机将反向流表对应的数据流发送给该安全节点，由该安全节点对正向流表和反向流表对应的数据流执行安全业务处理。

可见，本申请中，控制器通过安全节点发来的会话创建信息生成正、反向流表，两个流表中的下一跳IP地址都是安全集群的IP地址，且流表中分别包含有下游、上游交换机与该安全节点通信的端口信息，将正向流表发给下游交换机、将反向流表发给上游交换机，从而使得下游、上游交换机将正、反向流表对应的数据流都发送给同一安全节点，无需跨设备转发流量，提高了安全集群的处理性能。

附图说明

图1为现有的安全集群组网形态示意图；

图2为本申请一实施例提供的提高安全集群处理性能的方法流程图；