联网计算环境中的区域防火墙集群的制作方法
【技术领域】
[0001] 通常,本发明的实施例设及计算机联网。特别的,本发明的实施例设及管理联网计 算环境(例如云计算环境)中的防火墙之间的分组流。
【背景技术】
[0002] 计算机因其能够与其他计算机系统通信并检索计算机网络上的信息而在很大程 度上是有用的工具。网络典型包括互连的计算机组,通过有线、光纤、无线电或其他数据传 输方式相连W提供计算机到计算机的信息传输能力。互联网也许是最为知名的计算机网络 并且允许数亿人通过查看网页、发送电子邮件或通过执行其他计算机到计算机的通信访问 数亿其他计算机。
[0003] 然而,由于互联网之巨大、互联网用户兴趣之多样,恶意用户试图与其他用户计算 机W构成对其他用户威胁的方式通信通常是不寻常的。因此,许多企业、机构甚至家庭用户 在其本地网络与互联网之间使用网络防火墙或类似设备。防火墙通常是运样一种计算机化 网络设备:检查其中穿过的网络流量,基于一组规则允许期望的网络流量。防火墙通过观察 诸如TCP/IP或其它网络协议的分组的通信分组,并且检查诸如网络地址中的源和目的地、 正在使用哪些端口 W及连接的状态或历史的特征来执行其过滤功能。一些防火墙还检查前 往或来自特定应用的分组,或通过在受保护的用户和外部联网计算机之间处理并转发选定 的网络请求充当代理设备。
【发明内容】
[0004] 运里描述的实施例提供用于区域防火墙集群的方案,用于虚拟化/联网(例如云) 计算环境中不同站点的优化的状态共享。在一个典型的实施例中,通过一个向中央服务器 注册的过程对给定区域中的每个防火墙通知它的对等防火墙。每个防火墙打开一个基于网 际协议(IP)的通信信道到区域中它的对等体W共享状态表信息。运允许非对称防火墙流经 网络,并允许路由协议在不必考虑防火墙布置的情况下确定到给定目的地的最佳路径。
[0005] 第一方面提供了一种用于在联网计算环境中管理防火墙集群的方法,包括计算机 实施的步骤:在源和目的地之间的防火墙集群中的第一防火墙接收分组,其中该分组具有 未知会话状态;读取会话状态表W基于源和目的地确定会话状态匹配;如果没有找到会话 状态匹配,将该分组缓冲预定时间间隔的持续时间;W及如果在该预定时间间隔过期前从 防火墙集群中的第二防火墙接收到会话状态信息,将该分组转发至目的地。
[0006] 第二方面提供了一种用于在联网计算环境中管理防火墙集群的系统,包括:防火 墙集群中的第一防火墙,配置为接收来自源的要到目的地的分组,其中该分组具有未知会 话状态;集群同步服务器,配置为存储会话状态表;第一防火墙进一步配置为读取会话状态 表W基于源和目的地确定会话状态匹配;第一防火墙进一步配置为:如果没有找到会话状 态匹配,将该分组缓冲预定时间间隔的持续时间;W及第一防火墙进一步配置为:如果在该 预定时间间隔过期前从防火墙集群中的第二防火墙接收到会话状态信息,将该分组转发至 目的地。
[0007] 第Ξ方面提供了一种用于在联网计算环境中管理防火墙集群的计算机程序产品, 该计算机程序产品包括计算机可读存储介质,W及计算机可读存储介质上存储的程序指 令,W:在源和目的地之间的防火墙接收分组,其中该分组具有未知会话状态;读取会话状 态表W基于源和目的地确定会话状态匹配;如果没有找到会话状态匹配,将该分组缓冲预 定时间间隔的持续时间;W及如果在该预定时间间隔过期前接收到会话状态信息,将该分 组转发至目的地。
【附图说明】
[0008] 本发明的运些和其它特征将从结合附图并结合本发明的各个方面的W下详细说 明可W更容易地理解,其中:
[0009] 图1描述了根据本发明一个实施例的云计算节点;
[0010] 图2描述了根据本发明一个实施例的云计算环境;
[0011] 图3描述了根据本发明一个实施例的抽象模型层;
[0012] 图4描述了显示无状态防火墙过滤配置中非对称分组流的结构图;
[0013] 图5描述了根据本发明的一个实施例的结构图;
[0014] 图6描述了根据本发明的一个实施例的用于确定集群延迟间隔的方法流程图;
[0015] 图7描述了根据本发明一个实施例的显示多路径的结构图;
[0016] 图8描述了根据本发明一个实施例的方法流程图。
[0017] 附图不一定按比例绘制。所述附图仅仅是示意性表示,并非旨在描绘本发明的具 体参数。附图意在描绘仅本发明的典型实施例,因此不应该被认为是限制本发明的范围。在 附图中,相似编号表示相似单元。
【具体实施方式】
[0018] 现在将参照附图更全面地描述本文中说明性的实施例。然而,本公开可能可W体 现为多种不同形式,而不应被解释为限于在此阐述的实施例。而是,提供运些实施例使得本 公开对本领域技术人员来说彻底和完整,并将全面地传达本公开的范围。在说明书中,公知 的特征和技术的细节可W被省略,W避免不必要地模糊给出的实施例。
[0019] 本文所用的术语仅用于描述具体实施方案的目的,并非意在限制本公开。如本文 所用,单数形式"一"、"一个"、和"该"旨在也包括复数形式,除非上下文另外明确指出。此 夕h使用的术语"一"、"一个"等,不表示对数量的限制,而是表示存在所引用的项目的至少 一个。术语"组"是指至少一种的量。将进一步理解,本说明书中使用的术语"包括"和/或"包 含"、或"包括"和/或"包括"指定所述特征、区域、整体、步骤、操作、元件和/或部件,但不排 除存在或添加一个或多个其它特征、区域、整体、步骤、操作、元件、部件和/或其组合。如本 文所用,"区域"一词指的是具有可定义特征和/或固定边界的联网计算环境中的任何区域 或分割。
[0020] 如上所述,提供了用于在虚拟化/联网(例如云)计算环境中的防火墙之间分组流 管理的方案。在一个典型的实施例中,分析服务器环境中历史命令的使用W确定所运行的 针对云资源的命令的特性,W利用置信评级确定该命令正在被某一用户执行的可能性。运 种方法允许更有效的用户身份管理w优化云安全和系统管理。
[0021] 首先应当理解,尽管本公开包括关于云计算的详细描述,但其中记载的技术方案 的实现却不限于云计算环境,而是能够结合现在已知或W后开发的任何其它类型的计算环 境而实现。
[0022] 云计算是一种服务交付模式,用于对共享的可配置计算资源池进行方便、按需的 网络访问。可配置计算资源是能够W最小的管理成本或与服务提供者进行最少的交互就能 快速部署和释放的资源,例如可W是网络、网络带宽、服务器、处理、内存、存储、应用、虚拟 机和服务。运种云模式可W包括至少五个特征、至少Ξ个服务模型和至少四个部署模型。
[0023] 特征包括:
[0024] 按需自助式服务:云的消费者在无需与服务提供者进行人为交互的情况下能够单 方面自动地按需部署诸如服务器时间和网络存储等的计算能力。
[0025] 广泛的网络接入:计算能力可W通过标准机制在网络上获取,运种标准机制促进 了通过不同种类的瘦客户机平台或厚客户机平台(例如移动电话、膝上型电脑、个人数字助 理PDA)对云的使用。
[0026] 资源池:提供者的计算资源被归入资源池并通过多租户(multi-tenant)模式服务 于多重消费者,其中按需将不同的实体资源和虚拟资源动态地分配和再分配。一般情况下, 消费者不能控制或甚至并不知晓所提供的资源的确切位置,但可W在较高抽象程度上指定 位置(例如国家、州或数据中屯、),因此具有位置无关性。
[0027] 迅速弹性:能够迅速、有弹性地(有时是自动地)部署计算能力,W实现快速扩展, 并且能迅速释放来快速缩小。在消费者看来,用于部署的可用计算能力往往显得是无限的, 并能在任意时候都能获取任意数量的计算能力。
[0028] 可测量的服务:云系统通过利用适于服务类型(例如存储、处理、带宽和活跃用户 帐号)的某种抽象程度的计量能力,自动地控制和优化资源效用。可W监测、控制和报告资 源使用情况,为服务提供者和消费者双方提供透明度。
[0029] 服务模型如下:
[0030] 软件即服务(SaaS):向消费者提供的能力是使用提供者在云基础架构上运行的应 用。可W通过诸如网络浏览器的瘦客户机接口(例如基于网络的电子邮件)从各种客户机设 备访问应用。除了有限的特定于用户的应用配置设置外,消费者既不管理也不控制包括网 络、服务器、操作系统、存储、乃至单个应用能力等的底层云基础架构。
[0031] 平台