[发明专利]一种高性能的防火墙集群实现方法

说明书

技术领域

本发明属于防火墙技术领域，涉及一种高性能的防火墙集群实现方法。

背景技术

防火墙设备是一种通用的安全设备，应用于多种安全防护场景，防火墙上具备大量的安全防护业务，比如域间策略，包过滤，DPI，SSLVPN，安全策略等。一般防火墙部署于公网出口，隔离内网和外网间的访问。

防火墙由于处理的业务复杂，要达到高性能需配备高硬件配置，而防火墙由于自身的高硬件配置及复杂的软件特性，往往成本较高，在一些核心出口处单台的防火墙性能无法满足要求，通常采用防火墙集群部署，集群内由不同性能水平的防火墙组成，前置硬件分流设备，一般硬件分流设备为ECMP分流交换机或LB负载均衡设备。

防火墙集群一般采用前置负载均衡设备或等价路由设备，通过前置设备分流以达到提高整体安全防护性能要求。

图1为防火墙集群前置等价路由设备，一般ECMP设备采用交换机，交换机的优势是高性能，不会成为新的性能瓶颈点。

ECMP设备采用报文目的地址、目的端口、源地址、源端口、协议号组合形成Hash算法，对流量做负载分担，不需要存储会话信息，由硬件芯片完成流量转发。

前置等价路由设备存在的缺陷是分发不均，且当扩缩容防火墙设备时不够灵活。

1、等价路由是按照五元组hash做分发处理，hash的均匀性取决于五元组的散列情况，无法保证流量可以均匀的分发到后端防护墙集群；

2、当缩容防火墙集群时，会导致hash重新分布，会导致已有流量中断；

3、无法感知后端防火墙运行状态，无法根据防火墙的负载情况或处理能力动态调整分发策略。

图2为为防火墙集群前置负载均衡设备，负载均衡设备在此处做链路负载均衡，不修改报文目的地址仅指导下一跳分发。

负载均衡设备需要存储会话session，并根据预设好的负载分担算法对流量进行分发，目前的负载均衡调度算法有：轮询、加权轮询、最小连接、加权最小连接、随机、源地址HASH、目的地址HASH、源地址端口HASH等算法，最小响应时间，带宽、加权带宽。

负载均衡设备按流分发，相较于ECMP方式分发粒度较细，提供的大量负载均衡算法也使分流更加均匀，且具备一定的根据防火墙状态做动态调整流量分担的能力。

负载均衡做前置分流的缺点：

1、由于负载均衡设备要汇聚所有流量，并汇聚全部的session会话，会成为新的性能瓶颈点，而高性能的LB设备成本较高。

2、负载均衡设备提供的负载均衡算法仅有少量算法支持采集后端节点状态，比如最小响应时间、带宽、加权带宽，而无法采集防火墙的真实运行状态，比如防火墙的CPU使用率，内存消耗，会话数，入、出接口带宽等，导致无法根据防火墙的真实运行能力做智能的调度。

因此，需要一种新的防火墙集群实现方法以解决上述问题。

发明内容

本发明的针对现有技术中防火墙集群的缺陷，提供一种高性能的防火墙集群实现方法。

为解决上述技术问题，本发明的高性能的防火墙集群实现方法所采用的技术方案为：

一种高性能的防火墙集群实现方法，所述防火墙集群包括多个防火墙，包括以下步骤：

1)、利用FWSO动态探测各防火墙的真实运行状态；

2)、通过openflow交换机逐流首包上送FWSO形成流表，引导数据转发流均衡的分发到后端防火墙集群上，其中，引导数据转发流均衡的分发到后端防火墙集群上包括端口发现、负载收集和转发流量智能分担。

更进一步的，所述FWSO提供设置采集防火墙运行信息的接口。

更进一步的，所述端口发现包括以下步骤：

a1、防火墙通过下行口向OpenFlow交换机发送免费ARP报文；

b1、FWSO向OpenFlow交换机下发OpenFlow流表，将所有的免费ARP报文都Packet-in到FWSO；

c1、FWSO通过OpenFlow流表Packet-In的免费ARP报文，获取到每台防火墙的下行口MAC与交换机端口的对应关系。

更进一步的，所述负载收集包括以下步骤：

a2、FWSO通过配置添加防火墙作为集群成员，配置的内容包括防火墙名称、管理IP、用户名、密码、下行口名称、下行口IP、上行口名称、CPU、内存和接口速率；

b2、FWSO定期收集各防火墙的负载情况，所述负载情况包括CPU使用率、内存使用率，用户会话数和上下行流量。