一种防火墙虚拟化的模块以及管理方法与流程

本发明涉及防火墙虚拟化技术领域，尤其涉及一种防火墙虚拟化的模块以及管理方法。

背景技术：

现在的物理防火墙有两组形态：包装防火墙和防火墙插卡，随着互联网的发展和防火墙产品的更新，需要虚拟防火墙同时支持两种形态的防火墙，并且支持虚拟化的初步配置以及安全业务的运行，使新的虚拟化产品和之前的交换机设备保持兼容性，鉴于交换机设备已支持MDC，为了高效率、高质量完成项目同时和之前的交换机设备保持兼容性，产品要求基于MDC实现VFW并且支持两种形态的防火墙，因此本发明提出了一种VFW防火墙虚拟化的模块以及管理方法。

技术实现要素：

本发明的目的是为了解决现有技术中存在的缺点，而提出的一种防火墙虚拟化的模块以及管理方法。

为了实现上述目的，本发明采用了如下技术方案：

一种防火墙虚拟化的模块以及管理方法，包括防火墙虚拟化的模块，其特征在于：所述虚拟化的模块包括命令行模块、接口管理模块、各业务模块、系统SCM模块、VFW管理模块、设备管理模块和操作系统内核，所述命令行模块用于为设备管理员（权限较高）提供配置VFW（创建、启动、停止、删除、分配资源等）指令，所述接口管理模块用于管理设备的主控板或业务板卡拔出时通知本板内所有VFW板卡事件，所述各业务模块用于配置数据和运行数据并进行虚拟化，虚拟化后以MDC/VFW为单位独立保存，为相关模块分配VFW数据的存储空间，所述系统SCM模块用于管理VFW用户服务的服务状态，所述VFW管理模块用于接收和处理命令行模块发出的指令，以及所有的VFW板卡事件，所述设备管理模块用于管理个设备的板卡事件，所述操作系统内核用于针对VFW的创建删除、启动、停止操作以及对操作系统配置进行处理，例如文件系统、CPU资源、内存资源、磁盘资源等需要进行虚拟化，由VFW模块通过调用操作系统提供的的公共接口完成，操作系统还需要负责处理设备引擎内存、磁盘、CPU等系统资源的分配限制；所述VFW管理模块由MDC节点、VFW节点、安全引擎和安全引擎组组成，所述安全引擎用于处理安全业务的一个部件，可对应一个CPU或一个硬件线程（譬如FPGA实现）之类，所述安全引擎组由多个安全引擎聚合而成，所述MDC节点用于给安全引擎组配置信息，所述VFW节点用于给安全引擎组配置资源，所述VFW管理模块基于包装式防火墙设备和防火墙插卡的以实现，所述包装式防火墙设备和防火墙插卡通过交换机与安全引擎交互。

优选的，VFW的配置需要在系统启动时恢复至设备上一次关机之前的配置。恢复的顺序依次为VFW创建、VFW描述信息、引擎（组）分配、资源限额（内存、CPU、磁盘）、所属MDC，在MDC环境内恢复VFW start。VFW的配置恢复需要在设备管理引擎组配置和MDC的配置都正常恢复之后才开始执行。

优选的，系统启动时，主控板先恢复MDC以及VFW的配置，接口板在主控板第四阶段后能拉到本板配置，主控板根据引擎组的配置，恢复引擎内的MDC以及VFW配置。

优选的，安全引擎组的配置由设备管理进行恢复，在安全引擎向主控板拉VFW配置时，要求引擎组已经创建并生效。恢复引擎组配置时，因引擎组中主引擎启动完成，其它引擎成员才能启动，所以VFW对于引擎组无需特殊处理。但需要根据引擎所在引擎组的下发配置进行恢复。

本发明的有益效果：使虚拟防火墙兼容并且支持两种形态的防火墙，在安全引擎上提供VFW的环境，支持VFW的初步配置，支撑安全业务的运行，并维护VFW和MDC的从属关系，提高了完成项目的效率和质量，同时和之前的交换机设备保持兼容性。

附图说明

图1为本发明提出的一种防火墙虚拟化的模块以及管理方法的结构示意图；

图2为本发明提出的一种防火墙虚拟化的模块以及管理方法VFW管理模块的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。

参照图1-2，一种防火墙虚拟化的模块以及管理方法，包括防火墙虚拟化的模块，其特征在于：所述虚拟化的模块包括命令行模块、接口管理模块、各业务模块、系统SCM模块、VFW管理模块、设备管理模块和操作系统内核，所述命令行模块用于为设备管理员（权限较高）提供配置VFW（创建、启动、停止、删除、分配资源等）指令，所述接口管理模块用于管理设备的主控板或业务板卡拔出时通知本板内所有VFW板卡事件，所述各业务模块用于配置数据和运行数据并进行虚拟化，虚拟化后以MDC/VFW为单位独立保存，为相关模块分配VFW数据的存储空间，所述系统SCM模块用于管理VFW用户服务的服务状态，所述VFW管理模块用于接收和处理命令行模块发出的指令，以及所有的VFW板卡事件，所述设备管理模块用于管理个设备的板卡事件，所述操作系统内核用于针对VFW的创建删除、启动、停止操作以及对操作系统配置进行处理，例如文件系统、CPU资源、内存资源、磁盘资源等需要进行虚拟化，由VFW模块通过调用操作系统提供的的公共接口完成，操作系统还需要负责处理设备引擎内存、磁盘、CPU等系统资源的分配限制；所述VFW管理模块由MDC节点、VFW节点、安全引擎和安全引擎组组成，所述安全引擎用于处理安全业务的一个部件，可对应一个CPU或一个硬件线程（譬如FPGA实现）之类，所述安全引擎组由多个安全引擎聚合而成，所述MDC节点用于给安全引擎组配置信息，所述VFW节点用于给安全引擎组配置资源，所述VFW管理模块基于包装式防火墙设备和防火墙插卡的以实现，所述包装式防火墙设备和防火墙插卡通过交换机与安全引擎交互。

一种防火墙虚拟化的模块管理方法，包括防火墙虚拟化的模块管理方法，其特征在于：包括VFW配置管理S1、分布式防火墙管理S2、分布式引擎组管理S3和防火墙虚拟化系统初始化管理S4，其步骤为：

S1、系统管理员从控制台进程命令行插件或控制台插件输入配置，插件先对输入配置进行合法性检查；若合法，调用LIB接口下发到MDC进程，对配置进行有效性和重复性检查；若检查通过，主控板处理，再配置同步到安全引擎，下发驱动；处理正常结束后，记录保存数据，再同步配置数据到所有备用主控板。

S2、主用主控板VFW命令行模块对配置请求参数进行初步合法性检查后构造与Daemon通信消息结构，再将配置消息发送到主用主控板虚拟化守护进程；通过对配置参数的匹配将配置消息分发到消息处理子模块，处理子模块对下发的配置参数进行有效性合理性检查后，再将配置消息发送到目标Blade板安全引擎上；在安全引擎上执行实际的配置请求动作，并在安全引擎上保存相关配置信息后将处理结果回复给主用主控板；主用主控板保存控制块数据和DBM数据后再将配置同步发送到备用主控板保存配置数据，同时主用主控板将处理结果反馈到插件，在设备终端显示处理结果。

S3、在主用主控板发送到安全引擎上时，先发送引擎组的主用安全引擎然后再发送到其他安全引擎上处理。

S4、进程初始化时mdcd进程首先调用各个功能模块初始化函数，例如LIPC初始化和注册命令行形式线索，调用VFW配置文件管理模块获取DBM配置文件中存储的虚拟化配置后将配置重新下发到命令行处理模块，按照顺序调用命令行处理模块各个功能子模块的SET函数，按照从DBM配置文件中获取的配置数据逐条恢复处理。VFW CERATE第一个恢复，调用内核功能模块创建VFW，这和MDC配置的恢复顺序是基本保持相同的原则，VFW START在虚拟化配置恢复的最后阶段执行，调用内核功能启动VFW，同时启动VFW内init进程，这也是复用MDC的配置恢复流程，VFW的配置需要在系统启动时恢复至设备上一次关机之前的配置。恢复的顺序依次为VFW创建、VFW描述信息、引擎（组）分配、资源限额（内存、CPU、磁盘）、所属MDC，在MDC环境内恢复VFW start。VFW的配置恢复需要在设备管理引擎组配置和MDC的配置都正常恢复之后才开始执行，系统启动时，主控板先恢复MDC以及VFW的配置，接口板在主控板第四阶段后能拉到本板配置，主控板根据引擎组的配置，恢复引擎内的MDC以及VFW配置，安全引擎组的配置由设备管理进行恢复，在安全引擎向主控板拉VFW配置时，要求引擎组已经创建并生效。恢复引擎组配置时，因引擎组中主引擎启动完成，其它引擎成员才能启动，所以VFW对于引擎组无需特殊处理。但需要根据引擎所在引擎组的下发配置进行恢复。

本发明中，使虚拟防火墙兼容并且支持两种形态的防火墙，在安全引擎上提供VFW的环境，支持VFW的初步配置，支撑安全业务的运行，并维护VFW和MDC的从属关系，提高了完成项目的效率和质量，同时和之前的交换机设备保持兼容性。

以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，根据本发明的技术方案及其发明构思加以等同替换或改变，都应涵盖在本发明的保护范围之内。