[发明专利]实现高可靠安全性的防火墙系统

说明书

本发明公开了一种实现高可靠安全性的防火墙系统，包括配置于一台物理设备上的管理子防火墙和至少两个业务子防火墙；物理设备具有多核cpu；每个子防火墙均单独与cpu核进行绑定，且相互之间的进程独自运行；每个业务子防火墙，与管理子防火墙连接，启用进程处理业务，并根据预设的安全检测树控制业务的数据包进出；管理子防火墙，通过心跳机制对每个业务子防火墙进行管理；在监控到某个业务子防火墙的CPU使用率高于第一阈值时，将该业务子防火墙的进程调度到CPU使用率低于第二阈值的业务子防火墙中运行。本发明在解决用户需求的前提下，并且能够节约用户的前期投资和后续维护成本，降低资源浪费。

技术领域

发明涉及防火墙技术领域，尤其涉及一种实现高可靠安全性的防火墙系统。

背景技术

防火墙是系统的第一道防线，其作用是防止非法用户的进入。在工业环境中，对串联在网络中的设备的稳定性、健壮性以及安全性的要求非常高，从而对部署在工业网络中的防火墙有了更多的要求。

传统是一台物理设备上部署一个防火墙系统，并以单个进程或多个进程的运行形态方式，一旦因为设备软件bug或外部攻击导致防火墙系统奔溃，会导致业务中断。此外不同的业务特征，对安全性的要求也不同，故而对防火墙安全处理的要求也不同。传统提高网络健壮性、减少业务中断概率的方法是双机热备或多机部署。而解决不同业务安全性的通用做法，是部署不同的安全设备。这种方式弊端在于：需要一次性买两台或多台防火墙，对于业务流量带宽不高而业务多样化的应用场景下，会造成资源浪费；而且组网和管理维护复杂，两个物理防火墙之间一旦备份不及时，也会导致业务中断问题，此外对网管人员要求也较高。

因此，在用户对带宽需要不高，且业务灵活多样性的情况以及工业等网络中对防火墙设备要求高稳定、可靠性的应用场合的需求，由目前解决方案导致的前期投入大和维护成本高，而且会造成资源浪费。

发明内容

发明提供的实现高可靠安全性的防火墙系统，其主要目的在于克服现有由目前解决方案导致的前期投入大和维护成本高，而且会造成资源浪费的问题。

为解决上述技术问题，发明采用如下技术方案：

一种实现高可靠安全性的防火墙系统，包括配置于一台物理设备上的管理子防火墙和至少两个业务子防火墙；所述物理设备具有多核cpu；

每个子防火墙均单独与cpu核进行绑定，且相互之间的进程独自运行；

每个所述业务子防火墙，与所述管理子防火墙连接，启用进程处理业务，并根据预设的安全检测树控制业务的数据包进出；

所述管理子防火墙，通过心跳机制对每个业务子防火墙进行管理；在监控到某个业务子防火墙的CPU使用率高于第一阈值时，将该业务子防火墙的进程调度到CPU使用率低于第二阈值的业务子防火墙中运行。

作为一种可实施方式，所述管理子防火墙还用于，在监控到某个业务子防火墙奔溃时，将该业务子防火墙的进程调度到CPU使用率低于第二阈值的业务子防火墙中运行。

作为一种可实施方式，所述安全检测树是由与每个子防火墙进程配置的安全规则在内存中编译创建的。

作为一种可实施方式，每两个所述业务子防火墙组成一个备份组；备份组中的业务子防火墙采用相同的安全检测树。

作为一种可实施方式，在一个备份组中，每个业务子防火墙均会创建共享内存用于存储对应的转发表数据。

作为一种可实施方式，所述转发表数据包括路由表、arp表以及会话表。

作为一种可实施方式，所述业务子防火墙包括第一防护防火墙、第二防护防火墙以及第三防护防火墙；

所述第一防护防火墙，与工业报文的网卡连接；

所述第二防护防火墙，与数据库的网卡连接；