X , Blade Center , WebSphereW及DB2是国际商业机器公司在全世界各地的注册商标)。
[0052] 虚拟层62提供一个抽象层,该层可W提供下列虚拟实体的例子:虚拟服务器、虚拟 存储、虚拟网络(包括虚拟私有网络)、虚拟应用和操作系统,W及虚拟客户端。
[0053] 在一个示例中,管理层64可W提供下述功能:资源供应功能:提供用于在云计算环 境中执行任务的计算资源和其它资源的动态获取;计量和定价功能:在云计算环境内对资 源的使用进行成本跟踪,并为此提供帐单和发票。在一个例子中,该资源可W包括应用软件 许可。安全功能:为云的消费者和任务提供身份认证,为数据和其它资源提供保护。用户口 户功能:为消费者和系统管理员提供对云计算环境的访问。服务水平管理功能:提供云计算 资源的分配和管理,W满足必需的服务水平。服务水平协议(SLA)计划和履行功能:为根据 SLA预测的对云计算资源未来需求提供预先安排和供应。进一步在管理层中示出的是防火 墙集群管理,其代表根据本发明的实施例提供的功能。
[0054] 工作负载层66提供云计算环境可能实现的功能的示例。在该层中,可提供的工作 负载或功能的示例包括:地图绘制与导航;软件开发及生命周期管理;虚拟教室的教学提 供;数据分析处理;交易处理;W及消费者数据存储和备份。如前所述,参照图3的所有前述 示例均出于说明的目的,本发明并不限于运些示例。
[0055] 应当理解,运里描述的本发明的所有功能通常可W由(可W有形地实施为图1的程 序/实用工具40的程序代码42的模块的管理层64的)防火墙集群管理功能执行。然而,也不 必是运种情况。运里描述的功能可W由图3所示的层60-66中的任意层执行/实施和/或启 动。
[0056] 应该重申,虽然本公开包括云计算的详细描述,运里描述的实施的教导不限于云 计算环境。而是,本发明的实施例旨在W现在已知或将来开发的任意类型的联网计算环境 实施。
[0057] 防火墙可W基于软件或基于硬件并可用来保持网络安全。联网计算环境中的防火 墙提供多种网络流量控制功能,例如检查网络分组并基于一套防火墙过滤规则丢弃或拒绝 网络分组。防火墙通常通过观察诸如TCP/IP或其他网络协议分组的通信分组,并且检查诸 如连接状态的状态的特征来执行其过滤功能。在计算中,状态防火墙(执行状态分组检查 (SPI)或状态检查的任何防火墙)是跟踪其中通过的网络连接的状态的防火墙。状态防火墙 必须能够看见网络对话的两侧W正确观察并过滤连接。防火墙被编程W为不同类型的连接 区分合法分组。只有匹配已知活动连接的分组会被防火墙允许,其他的会被拒绝(或丢弃)。 [005引防火墙集群通常利用W太网电缆可达范围内的防火墙本地完成,并W冗余对实 施。运种配对限制了现代网络中可用的多路径并强制网际协议(IP)通信的对称性,运并不 容易或有效地在网络上实施。随着网络发展并变得更加复杂,替换路径变得可行,非对称流 打破防火墙的风险增加。当前防火墙技术中,当流量不对称时会从一个防火墙进,另一个防 火墙出。防火墙无法共享状态导致它们接收到未知会话的意想不到的分组。运种情况下标 准防火墙的行为是丢弃分组。
[0059]图4描述了显示无状态防火墙过滤配置中非对称分组流的结构图。该图包括防火 墙对402、路由器404A-F、服务器406和防火墙对408。如图所示,会话启动分组从客户(未示 出)沿网络路径420通过防火墙对402进入。服务器406接收分组并转发答复。路由器404B确 定回客户的更佳路径沿网络路径422。防火墙对408并不知晓该会话因而在410丢弃分组。
[0060] 为了解决分组丢弃的问题,可W将防火墙从本地配对分离并可W在更远的距离独 立运行。W最大化设备上的存储器效率和中央处理单元(CPU)资源的方式完成共享状态表。 防火墙在接收到未知分组时将其保持预定时间量W查看集群中的另一防火墙的同步状态 信息是否即将到来,而不是接收到未知分组时丢弃。如果不是,丢弃分组并清空存储器空 间。
[0061] W运种方式,在网络中可W存在多个安全有效路径,防火墙能够与多个对甚至单 个防火墙交换状态信息。运允许网络中最大的灵活性,因为站点能够共享通常被防火墙保 护的互联网或外部资源,W更好地支持网络负载平衡和动态故障恢复。
[0062] 防火墙向中央集群同步服务器注册,该服务器向预定区域内的所有防火墙通知它 们的对等体。在一个例子中,WAN带宽用来确定最优防火墙注册路径。每个防火墙向区域中 它的每一个对等体打开(基于IP)的通信信道W共享状态表信息。运允许非对称防火墙流经 网络并允许路由协议在不考虑防火墙布置的情况下确定到给定目的地的最佳路径。集群中 的防火墙通过测量通过通信信道的往返时间(RTT)获得集群延迟间隔。确定集群延迟间隔 的过程将在下面结合图6详细描述。接收的区域策略(所有的防火墙在给定区域必须具有相 同的安全策略)允许的、具有未知或错误状态的分组被保持在防火墙的存储器中,知道集群 延迟间隔过期。如果来自集群中另一防火墙的用于分组的更新的会话状态信息到达,则允 许该分组;否则,一旦集群延迟间隔过期就丢弃该分组。
[0063] 现在参见图5,其中描述了根据本发明的一个实施例的结构图。结构图包括防火墙 对402、路由器404A-F、服务器406、防火墙对408 W及集群同步服务器412。如图所示,来自客 户(未示出)的会话启动分组沿网络路径412通过防火墙对402进入。防火墙对402转发该分 组至防火墙集群同步服务器412。防火墙集群同步服务器412将状态信息从防火墙对402转 发至它的区域中配置的所有防火墙(例如防火墙对408)。位于同一区域中的防火墙具有网 际协议(IP)控制信道W测量它们之间的延迟。如果防火墙对408接收具有未知状态的分组, 它将该分组保持集群延迟间隔的持续时间。确定集群延迟间隔的过程将在下面结合图6详 细描述。集群同步服务器412接收分组并转发答复。路由器404B确定回客户的更佳路径沿网 络路径422。由于跨区域的状态同步,会话对防火墙对408已知,防火墙408转发给分组。序号 和状态信息被发回集群同步服务器412。集群同步服务器412在会话的生命周期在防火墙对 402和防火墙对408之间传递状态信息。
[0064] 图6描述了根据本发明的一个实施例的用于确定集群延迟间隔的方法流程图。在 602,防火墙对从集群同步服务器接收区域对等体信息。在604,防火墙对试图基于接收的区 域对等体信息创建到区域中对等体的控制信道。如果不能创建控制信道,防火墙对在606向 集群服务器通知配对问题。在一个例子中,防火墙对通知集群服务器记录该配对问题。如果 创建了控制信道,防火墙对在608沿控制信道发送回显信息(PING)并测量该回显信息的返 回时间(RTT)。为区域中的每个对等体执行步骤604到608。在610,对等体之间所见的最长 RTT被用来创建集群延迟间隔。应该指出,在图6描述的流程图中,可W增加某些步骤,可W 省略某些步骤,步骤的顺序可W重新排列和/或某些步骤可W同时执行。
[0065] 图7描述了根据本发明一个实施例的显示多路径的结构图。结构图包括组织A 702 和组织B 704。组织A 702包括组织A广域网(WAN)710、组织A用户740,冗余防火墙对740A-B、 路由器750A-C和组织A集群同步服务器760。组织B 704包括组织B WAN 712、冗余防火墙对 770A-B、路由器780A-C和组织B集群同步服务器790,和组织B伙伴服务服务器792。每个组织 具有各自的防火墙集群和区域,组织A 702和组织B 704之间的防火墙流可W不对称。提出 的方案允许站点之间、甚至两个位置(位置A 720和位置B 722)之间的动态/动态的动态故 障恢复。现在路由可W自由选择站点之间的最佳路径。例如,来自组织A的用户740的分组采 取到组织B合作服务服务器792的最短网络路径(即网络路径706)。组织B合作服务服务器 792采取回组织A 702的最短路径(即网络路径708)。
[0066] 该方案依赖于广域网(WAN)带宽。路由依赖于路由度量值(例如多个串行数字信号 3s(DS3s)优于T1)。与底层带宽之间具有相关性。如果由于带宽限制备份/备用路径不可行, 那么它将不被使用。然而,在运种情况下,可能是网络中的路由协议确定网络路径并强制对 称。只有在多路径能够传递流量时才使用多个路径。
[0067] 图8描述了根据本发明一个实施例的方法流程图。在802,防火墙接收源和目的地 之间的、同步确认(SYN-ACK)或确认(ACK)标识被