[发明专利]一种高性能的防火墙集群实现方法

权利要求书

1.一种高性能的防火墙集群实现方法，所述防火墙集群包括多个防火墙，其特征在于：包括以下步骤：

1)、利用FWSO动态探测各防火墙的真实运行状态；

2)、通过openflow交换机逐流首包上送FWSO形成流表，引导数据转发流均衡的分发到后端防火墙集群上，其中，引导数据转发流均衡的分发到后端防火墙集群上包括端口发现、负载收集和转发流量智能分担。

2.如权利要求1的高性能的防火墙集群实现方法，其特征在于：所述FWSO提供设置采集防火墙运行信息的接口。

3.如权利要求1的高性能的防火墙集群实现方法，其特征在于：所述端口发现包括以下步骤：

a1、防火墙通过下行口向OpenFlow交换机发送免费ARP报文；

b1、FWSO向OpenFlow交换机下发OpenFlow流表，将所有的免费ARP报文都Packet-in到FWSO；

c1、FWSO通过OpenFlow流表Packet-In的免费ARP报文，获取到每台防火墙的下行口MAC与交换机端口的对应关系。

4.如权利要求1的高性能的防火墙集群实现方法，其特征在于：所述负载收集包括以下步骤：

a2、FWSO通过配置添加防火墙作为集群成员，配置的内容包括防火墙名称、管理IP、用户名、密码、下行口名称、下行口IP、上行口名称、CPU、内存和接口速率；

b2、FWSO定期收集各防火墙的负载情况，所述负载情况包括CPU使用率、内存使用率，用户会话数和上下行流量。

5.如权利要求1的高性能的防火墙集群实现方法，其特征在于：所述转发流量智能分担包括以下步骤：

a3、FWSO向OpenFlow交换机下发OpenFlow流表，将所有TCP和UDP类型报文首包都上送FWSO；

b3、FWSO根据FW_RunningLoad数据，选出一台最小负载的FW，并查询出对应的FW_mac以及openflowSwitch_port，下发流表；

c3、防火墙出公网方向接口作nat outbound，使得回程报文送到同一防火墙上。

6.如权利要求1的高性能的防火墙集群实现方法，其特征在于：步骤1)中FWSO的数据格式为Netconf格式。