[发明专利]一种防火墙虚拟化的模块以及管理方法

说明书

技术领域

本发明涉及防火墙虚拟化技术领域，尤其涉及一种防火墙虚拟化的模块以及管理方法。

背景技术

现在的物理防火墙有两组形态：包装防火墙和防火墙插卡，随着互联网的发展和防火墙产品的更新，需要虚拟防火墙同时支持两种形态的防火墙，并且支持虚拟化的初步配置以及安全业务的运行，使新的虚拟化产品和之前的交换机设备保持兼容性，鉴于交换机设备已支持MDC，为了高效率、高质量完成项目同时和之前的交换机设备保持兼容性，产品要求基于MDC实现VFW并且支持两种形态的防火墙，因此本发明提出了一种VFW防火墙虚拟化的模块以及管理方法。

发明内容

本发明的目的是为了解决现有技术中存在的缺点，而提出的一种防火墙虚拟化的模块以及管理方法。

为了实现上述目的，本发明采用了如下技术方案：

一种防火墙虚拟化的模块以及管理方法，包括防火墙虚拟化的模块，其特征在于：所述虚拟化的模块包括命令行模块、接口管理模块、各业务模块、系统SCM模块、VFW管理模块、设备管理模块和操作系统内核，所述命令行模块用于为设备管理员（权限较高）提供配置VFW（创建、启动、停止、删除、分配资源等）指令，所述接口管理模块用于管理设备的主控板或业务板卡拔出时通知本板内所有VFW板卡事件，所述各业务模块用于配置数据和运行数据并进行虚拟化，虚拟化后以MDC/VFW为单位独立保存，为相关模块分配VFW数据的存储空间，所述系统SCM模块用于管理VFW用户服务的服务状态，所述VFW管理模块用于接收和处理命令行模块发出的指令，以及所有的VFW板卡事件，所述设备管理模块用于管理个设备的板卡事件，所述操作系统内核用于针对VFW的创建删除、启动、停止操作以及对操作系统配置进行处理，例如文件系统、CPU资源、内存资源、磁盘资源等需要进行虚拟化，由VFW模块通过调用操作系统提供的的公共接口完成，操作系统还需要负责处理设备引擎内存、磁盘、CPU等系统资源的分配限制；所述VFW管理模块由MDC节点、VFW节点、安全引擎和安全引擎组组成，所述安全引擎用于处理安全业务的一个部件，可对应一个CPU或一个硬件线程（譬如FPGA实现）之类，所述安全引擎组由多个安全引擎聚合而成，所述MDC节点用于给安全引擎组配置信息，所述VFW节点用于给安全引擎组配置资源，所述VFW管理模块基于包装式防火墙设备和防火墙插卡的以实现，所述包装式防火墙设备和防火墙插卡通过交换机与安全引擎交互。

优选的，VFW的配置需要在系统启动时恢复至设备上一次关机之前的配置。恢复的顺序依次为VFW创建、VFW描述信息、引擎（组）分配、资源限额（内存、CPU、磁盘）、所属MDC，在MDC环境内恢复VFW start。VFW的配置恢复需要在设备管理引擎组配置和MDC的配置都正常恢复之后才开始执行。

优选的，系统启动时，主控板先恢复MDC以及VFW的配置，接口板在主控板第四阶段后能拉到本板配置，主控板根据引擎组的配置，恢复引擎内的MDC以及VFW配置。

优选的，安全引擎组的配置由设备管理进行恢复，在安全引擎向主控板拉VFW配置时，要求引擎组已经创建并生效。恢复引擎组配置时，因引擎组中主引擎启动完成，其它引擎成员才能启动，所以VFW对于引擎组无需特殊处理。但需要根据引擎所在引擎组的下发配置进行恢复。

本发明的有益效果：使虚拟防火墙兼容并且支持两种形态的防火墙，在安全引擎上提供VFW的环境，支持VFW的初步配置，支撑安全业务的运行，并维护VFW和MDC的从属关系，提高了完成项目的效率和质量，同时和之前的交换机设备保持兼容性。

附图说明

图1为本发明提出的一种防火墙虚拟化的模块以及管理方法的结构示意图；

图2为本发明提出的一种防火墙虚拟化的模块以及管理方法VFW管理模块的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。