[发明专利]一种防火墙系统双机热备的方法

说明书

本发明提供了一种防火墙系统双机热备的方法，包括以下步骤：S1.双机热备的两台防火墙设备通过up状态路由接口权重值之和来选举出主备墙；S2.当两台防火墙的up状态路由接口权重值之和相等时，对比两台防火墙的内存容量来选举主备墙；S3.当两台防火墙的接口权重值、内存容量也相同时，通过优先级选主备墙；S4.当主墙发生宕机时，备墙能及时切换到紧急模式，保证网络环境不瘫痪，当主墙的系统恢复，主墙能重新恢复主动模式；S5.当主墙只是某一个业务口异常系统并未故障时，备墙同样能及时切换为紧急模式将主墙的流量切换过来；S6.当主墙故障恢复时，主墙能够重新自动切换为主动模式。本发明所述的双机热备更加灵活，工作效率高，对于网络管理员的易用性。

技术领域

本发明属于网络安全技术领域，尤其是涉及一种防火墙系统双机热备的方法。

背景技术

现有技术的缺陷主要体现在以下三点：

1、现有技术所使用的方法需要手动设置区分主备墙，过于死板；

2、当主墙故障时流量会自动切换到备墙，但是当主墙恢复正常时备墙的流量无法主动切换回来；

3、当主墙的某个业务口down掉后(防火墙系统并没有异常)，主墙的流量无法及时切换到备墙。

目前的防火墙双机热备技术主要是通过一条心跳线连接主备两台防火墙，当主墙发生宕机等故障后，备墙通过心跳线感知不到了主墙的信号，因此备墙会主动切换自己为紧急模式对流量进行转发，从而使网络环境不瘫痪。

发明内容

有鉴于此，本发明旨在提出一种防火墙系统双机热备的方法，以解决主备墙需手动设置，当主墙故障后恢复时备墙的流量无法主动切换回来，以及当主墙的某个业务口down掉后主墙的流量无法及时切换到备墙的问题。

为达到上述目的，本发明的技术方案是这样实现的：

一种防火墙系统双机热备的方法，包括以下步骤：

S1.第一防火墙与第二防火墙之间通过一条心跳线进行连接，并能够网络通信，同时两台防火墙设备需要分别配置一个优先级数值；

S2.双机热备的两台防火墙设备通过up状态路由接口权重值之和来选举出主备状态；

S3.当两台防火墙的up状态路由接口权重值之和相等时，通过对比两台防火墙的内存容量来选举主备状态；

S4.当两台防火墙的接口权重值相同，且内存容量也相同时，通过预先配置好的优先级来选举主备墙；

S5.当主墙发生宕机时，备墙能够及时切换自己为紧急模式，从而对ARP报文进行处理并进行数据转发，保证网络环境不瘫痪，同时当主墙的系统恢复时，主墙能够重新恢复主动模式对ARP报文进行处理并进行数据转发，备墙恢复被动模式不转发任何报文；

S6.当主墙只是某一个业务口异常系统并未故障时，备墙同样能及时切换为紧急模式将主墙的流量切换过来；

S7.当主墙故障恢复时，主墙能够重新自动切换为主动模式，从而恢复对ARP报文以及数据流量的转发。

进一步的，所述步骤S1中的优先级数值范围为1到10。

进一步的，所述步骤S2中up状态路由接口权重值为所有业务口以及心跳口的权重值之和，两台防火墙的接口默认权重值为10，所述权重值支持手动修改。

进一步的，所述步骤S3中的内存容量通过两台防火墙自动收集。

进一步的，两台防火墙每隔1秒收集一次自身若有的up状态的路由接口权重值之和以及自身的内存容量，并通过心跳线发送给对方。

相对于现有技术，本发明所述的一种防火墙系统双机热备的方法具有以下优势：