一种防火墙监控方法、装置和网管平台的制作方法
【技术领域】
[0001]本发明涉及防火墙监控领域,尤其涉及一种防火墙监控方法、装置和网管平台。
【背景技术】
[0002]目前,为防止防火墙设备故障造成网络中断,保障业务的不间断运行,在互联网或数据通信网络中,防火墙设备主要采用双机互为备份的运行模式,一台为主用、另一台为备用,如图1所示,当主用防火墙发生故障时,会自动切换到备用防火墙,备用防火墙转变为主用状态开始承担业务,以保障业务的稳定运行。
[0003]在实际运作中,需要对防火墙进行监控,及时发现故障进行处理,保障业务运行。当前主要依赖网管系统对数据通信网络进行监控,但是针对防火墙的网管手段,特别是针对主备用防火墙设备进行监控的系统或方法非常缺乏甚至没有。当前已有方案主要针对单台主设备进行监控,通过对性能、流量数据等反映业务运行情况的性能指标采集,并设定阀值,超过阀值区间产生告警来判断防火墙是否正常运行。
[0004]现有防火墙的网管系统均基于单台防火墙进行监控,一般监控主用防火墙,这种技术可以有效发现单台设备故障,由于当前数据网络上防火墙都是成对组成,以主备模式运行,因为各种故障发生主备切换时,现有监控技术就无法有效监控主备用防火墙的运行状态。存在的主要问题如下:
[0005]当发生主备切换时,防火墙设备A从主设备切换为备设备,有两种结果,切换成功和切换失败。切换成功则原主用防火墙的流量等性能指标突变,根据预先设定的阀值告警策略,会产生阀值告警,备用防火墙切换为主用,业务并未受到影响;切换失败,主用防火墙的流量等性能指标突变,也会产生阀值告警,备用防火墙切换为主用边失败,业务受到影响。可见,现有技术无论防火墙主备切换成功与否都会产生告警,无法有效实现对防火墙设备的监控。
【发明内容】
[0006]本发明的目的是提供一种防火墙监控方法、装置和网管平台,能够在防火墙双机互为备份的模式下,有效实现对防火墙设备的监控。
[0007]为了实现上述目的,本发明实施例提供了一种防火墙监控方法,用于网管平台,所述防火墙包括主用防火墙和备用防火墙;
[0008]所述方法包括:
[0009]采集目标防火墙的性能指标,其中所述目标防火墙为所述主用防火墙和所述备用防火墙中处于主用状态的防火墙;
[0010]根据所述性能指标判断当前时刻是否满足进行防火墙告警的告警条件,获得判断结果;
[0011]当所述判断结果指示当前时刻满足所述告警条件时,进行防火墙告警。
[0012]上述的防火墙监控方法,其中,在所述采集目标防火墙的性能指标前,所述方法还包括:
[0013]在所述主用防火墙成功切换至所述备用防火墙前,维护所述目标防火墙指向所述主用防火墙,否则指向所述备用防火墙。
[0014]上述的防火墙监控方法,其中,所述性能指标包括所述目标防火墙的中央处理器使用率、内存利用率、经过所述目标防火墙端口的数据流流速、经过所述目标防火墙端口的数据流流量和所述目标防火墙端口利用率中的至少一项;
[0015]所述根据所述性能指标判断当前时刻是否满足进行防火墙告警的告警条件,获得判断结果具体为:
[0016]判断所述性能指标是否超过对应的预设阈值,当所述性能指标中的至少一项超过对应的预设阈值时,确定所述判断结果为当前时刻满足所述告警条件。
[0017]上述的防火墙监控方法,其中,在所述主用防火墙需要切换至所述备用防火墙时,所述方法还包括:
[0018]判断所述主用防火墙是否成功切换至所述备用防火墙,获得第二判断结果;
[0019]当所述第二判断结果指示所述主用防火墙未成功切换至所述备用防火墙时,进行防火墙告警。
[0020]上述的防火墙监控方法,其中,在采集目标防火墙的性能指标后,所述方法还包括:
[0021]按照所述网管平台的用户要求显示所述目标防火墙的性能指标。
[0022]上述的防火墙监控方法,其中,在采集目标防火墙的性能指标后,所述方法还包括:
[0023]按照所述网管平台的用户要求单独显示所述主用防火墙或备用防火墙的性能指标。
[0024]为了实现上述目的,本发明实施例还提供了一种防火墙监控装置,用于网管平台,所述防火墙包括主用防火墙和备用防火墙;
[0025]所述装置包括:
[0026]采集模块,用于采集目标防火墙的性能指标,其中所述目标防火墙为所述主用防火墙和所述备用防火墙中处于主用状态的防火墙;
[0027]判断模块,用于根据所述性能指标判断当前时刻是否满足进行防火墙告警的告警条件,获得判断结果;
[0028]告警模块,用于当所述判断结果指示当前满足所述告警条件时,进行防火墙告警。
[0029]上述的防火墙监控装置,其中,所述装置还包括:
[0030]管理模块,用于在所述主用防火墙成功切换至所述备用防火墙前,维护所述目标防火墙指向所述主用防火墙,否则指向所述备用防火墙。
[0031]上述的防火墙监控装置,其中,所述性能指标包括所述目标防火墙的中央处理器使用率、内存利用率、经过所述目标防火墙端口的数据流流速、经过所述目标防火墙端口的数据流流量和所述目标防火墙端口利用率中的至少一项;
[0032]所述判断模块具体为:
[0033]判断所述性能指标是否超过对应的预设阈值,当所述性能指标中的至少一项超过对应的预设阈值时,确定所述判断结果为当前时刻满足所述告警条件。
[0034]上述的防火墙监控装置,其中,所述装置还包括:
[0035]第一显示模块,用于按照所述网管平台的用户要求显示所述目标防火墙的性能指标。
[0036]上述的防火墙监控装置,其中,所述装置还包括:
[0037]第二显示模块,用于按照所述网管平台的用户要求单独显示所述主用防火墙或备用防火墙的性能指标。
[0038]为了实现上述目的,本发明实施例还提供了一种网管平台,所述平台包括上述任一项所述的防火墙监控装置。
[0039]本发明实施例具有以下有益效果中的至少一项:
[0040]本发明实施例能够在防火墙双机互为备份的模式下,对目标防火墙的性能指标设定告警阀值策略,有效地实现对主备用户防火墙联合监控;
[0041]本发明实施例能够避免主备用防火墙在切换时,不管是否成功切换,主用防火墙均会产生告警的问题,只有在防火墙发生主备切换失败时产生告警;
[0042]本发明实施例能够显示网络中主备用防火墙的总体情况,即显示目标防火墙的运行情况,也可以根据用户的需要分别显示主用或备用防火墙的运行情况,提升了用户体验。
【附图说明】
[0043]图1为现有技术中防火墙设备双机互为备份的运行示意图;
[0044]图2为本发明实施例提供的防火墙监控方法的流程示意图;
[0045]图3为本发明实施例提供的监控防火墙设备双机互为备份时的运行示意图;
[0046]图4为本发明实施例提供的对目标防火墙进行监控时采集的出口流量数据图;
[0047]图5为本发明实施例提供的对主用防火墙进行监控时采集的出口流量数据图;
[0048]图6为本发明实施例提供的对备用防火墙进行监控时采集的出口流量数据图;
[0049]图7为本发明实施例提供的一种防火墙监控装置的结构示意图;
[0050]图8为本发明实施例提供的另一种防火墙监控装置的结构示意图;
[0051]图9为本发明实施例提供的基于防火墙监控装置进行防火墙监控的整体流程示意图。
【具体实施方式】
[0052]为使本发明实施例要解决的技术问题、技术方案和优点更加清楚,下面将结合附图及具体实施例进行详细描述。
[0053]本发明实施例提供了一种防火墙监控方法,用于网管平台,所述防火墙包括主用防火墙和备用防火墙;
[0054]所述方法如图2所示,包括:
[0055]步骤21,采集目标防火墙的性能指标,其中所述目标防火墙为所述主用防火墙和所述备用防火墙中处于主用状态的防火墙;
[0056]步骤22,根据所述性能指标判断当前时刻是否满足进行防火墙告警的告警条件,获得判断结果;
[0057]步骤23,当所述判断结果指示当前时刻满足所述告警条件时,进行防火墙告警。
[0058]在本发明实施例提供的防火墙监控方法中,将主用防火墙和备用防火墙设备虚拟网元,并对该虚拟网元进行监控,而不只是对单个的防火墙设备进行监控,如图3所示。
[0059]该虚拟网元即为目标防火墙,当主用状态的防火墙由主用防火墙切换至备用防火墙时,所述目标防火墙为备用防火墙,即步骤21具体为采集备用防火墙的性能指标;其他情况下所述目标防火墙均为主用防火墙,即步骤21具体为采集备用防火墙的性能指标。
[0060]其中,优选地,在最初设置目标防火墙时,将目标防火墙设备直接指向主用防火墙设备,并存储主用防火墙的性能指标,当成功发生防火墙主备切换时,备用防火墙变成主用,此时再采集备用防火墙的性能指标,即在执行所述步骤21前,所述方法还包括:
[0061]在所述主用防火墙成功切换至所述备用防火墙前,维护所述目标防火墙指向所述主用防火墙,否则指向所述备用防火墙。上述的防火墙监控方法,其中,所述性能指标具体包括了所述目标防火墙的中央处理器使用率、内存利用率、经过所述目标防火墙端口的数据流流速、经过所述目标防火墙端口的数据流流量和所述目标防火墙端口利用率中的至少一项;
[0062]所述步骤22就具体为:
[0063]判断所述性能指标是否超过对应的预设阈值,当所述性能指标中的至少一项超过对应的预设阈值时,确定所述判断结果为当前时刻满足所述告警条件。
[0064]当采集到的目标防火墙性能指标中的至少一项超过对应的预设阈值时,就确定当前时刻满足所述告警条件,此时进行防火墙告警。
[0065]通过上述过程,在防火墙双机互为备份的模式下,有效地实现对主备用户防火墙联合监控。
[0066]同时,由于将主备用防火墙作为一个虚拟网元来采集性能指标,当主备防火墙进行切换时,如果切换不成功,则处于主用状态的防火墙的性能指标会产生突变,超过对应的预设阈值,由此可以直接判断出主备防火墙是否成功切换,并在切换失败时,