[发明专利]一种防火墙虚拟化的模块以及管理方法

权利要求书

1.一种防火墙虚拟化的模块以及管理方法，包括防火墙虚拟化的模块，其特征在于：所述虚拟化的模块包括命令行模块、接口管理模块、各业务模块、系统SCM模块、VFW管理模块、设备管理模块和操作系统内核，所述命令行模块用于为设备管理员（权限较高）提供配置VFW（创建、启动、停止、删除、分配资源等）指令，所述接口管理模块用于管理设备的主控板或业务板卡拔出时通知本板内所有VFW板卡事件，所述各业务模块用于配置数据和运行数据并进行虚拟化，虚拟化后以MDC/VFW为单位独立保存，为相关模块分配VFW数据的存储空间，所述系统SCM模块用于管理VFW用户服务的服务状态，所述VFW管理模块用于接收和处理命令行模块发出的指令，以及所有的VFW板卡事件，所述设备管理模块用于管理个设备的板卡事件，所述操作系统内核用于针对VFW的创建删除、启动、停止操作以及对操作系统配置进行处理，例如文件系统、CPU资源、内存资源、磁盘资源等需要进行虚拟化，由VFW模块通过调用操作系统提供的的公共接口完成，操作系统还需要负责处理设备引擎内存、磁盘、CPU等系统资源的分配限制；所述VFW管理模块由MDC节点、VFW节点、安全引擎和安全引擎组组成，所述安全引擎用于处理安全业务的一个部件，可对应一个CPU或一个硬件线程（譬如FPGA实现）之类，所述安全引擎组由多个安全引擎聚合而成，所述MDC节点用于给安全引擎组配置信息，所述VFW节点用于给安全引擎组配置资源，所述VFW管理模块基于包装式防火墙设备和防火墙插卡的以实现，所述包装式防火墙设备和防火墙插卡通过交换机与安全引擎交互。

2.一种防火墙虚拟化的模块管理方法，包括防火墙虚拟化的模块管理方法，其特征在于：包括VFW配置管理S1、分布式防火墙管理S2、分布式引擎组管理S3和防火墙虚拟化系统初始化管理S4，其步骤为：

S1、系统管理员从控制台进程命令行插件或控制台插件输入配置，插件先对输入配置进行合法性检查；若合法，调用LIB接口下发到MDC进程，对配置进行有效性和重复性检查；若检查通过，主控板处理，再配置同步到安全引擎，下发驱动；处理正常结束后，记录保存数据，再同步配置数据到所有备用主控板；

S2、主用主控板VFW命令行模块对配置请求参数进行初步合法性检查后构造与Daemon通信消息结构，再将配置消息发送到主用主控板虚拟化守护进程；通过对配置参数的匹配将配置消息分发到消息处理子模块，处理子模块对下发的配置参数进行有效性合理性检查后，再将配置消息发送到目标Blade板安全引擎上；在安全引擎上执行实际的配置请求动作，并在安全引擎上保存相关配置信息后将处理结果回复给主用主控板；主用主控板保存控制块数据和DBM数据后再将配置同步发送到备用主控板保存配置数据，同时主用主控板将处理结果反馈到插件，在设备终端显示处理结果；

S3、在主用主控板发送到安全引擎上时，先发送引擎组的主用安全引擎然后再发送到其他安全引擎上处理；

S4、进程初始化时mdcd进程首先调用各个功能模块初始化函数，例如LIPC初始化和注册命令行形式线索，调用VFW配置文件管理模块获取DBM配置文件中存储的虚拟化配置后将配置重新下发到命令行处理模块，按照顺序调用命令行处理模块各个功能子模块的SET函数，按照从DBM配置文件中获取的配置数据逐条恢复处理；

VFW CERATE第一个恢复，调用内核功能模块创建VFW，这和MDC配置的恢复顺序是基本保持相同的原则，VFW START在虚拟化配置恢复的最后阶段执行，调用内核功能启动VFW，同时启动VFW内init进程，这也是复用MDC的配置恢复流程。

3.根据权利要求1或2所述的一种防火墙虚拟化的模块以及管理方法，其特征在于，VFW的配置需要在系统启动时恢复至设备上一次关机之前的配置，恢复的顺序依次为VFW创建、VFW描述信息、引擎（组）分配、资源限额（内存、CPU、磁盘）、所属MDC，在MDC环境内恢复VFW start，VFW的配置恢复需要在设备管理引擎组配置和MDC的配置都正常恢复之后才开始执行。

4.根据权利要求1或2所述的一种防火墙虚拟化的模块以及管理方法，其特征在于，系统启动时，主控板先恢复MDC以及VFW的配置，接口板在主控板第四阶段后能拉到本板配置，主控板根据引擎组的配置，恢复引擎内的MDC以及VFW配置。

5.根据权利要求1或2所述的一种防火墙虚拟化的模块以及管理方法，其特征在于，安全引擎组的配置由设备管理进行恢复，在安全引擎向主控板拉VFW配置时，要求引擎组已经创建并生效，. 恢复引擎组配置时，因引擎组中主引擎启动完成，其它引擎成员才能启动，所以VFW对于引擎组无需特殊处理，但需要根据引擎所在引擎组的下发配置进行恢复。