设置的分组。在804,防火墙检查会话状态 表W寻找会话状态匹配。会话状态表可W位于集群同步服务器,并且在某些例子中位于本 地。在806,确定是否找到源和目的地之间的匹配已知活动连接。如果找到匹配,在808转发 分组至目的地,并且发送会话状态更新到集群同步服务器。如果找到匹配已知活动连接,在 810确定区域策略是否允许接收的分组。如果不允许,在812丢弃该分组。如果允许该分组, 在814防火墙在缓冲区将分组保持集群延迟间隔的持续时间,等待到达的会话状态信息。在 816判断会话状态信息是否在集群延迟间隔过期之前到达。如果会话状态信息没有在集群 延迟间隔过期之前从该集群的另一防火墙到达,在818丢弃分组。如果会话状态信息在集群 延迟间隔过期之前从另一防火墙到达,在820转发分组至目的地并发送会话状态更新到集 群同步服务器。应该指出,图8描述的流程图中,可W增加一些步骤,一些步骤可W省略,步 骤的顺序可W重新安排,和/或同时执行。
[0068] 虽然运里显示并描述了用于防火墙集群管理的方案,应该理解本发明还提供各种 替代实施例。例如,在一个实施例中,本发明提供一种计算机可读/可用介质,包括计算机程 序代码W使计算机基础设施提供如本文所讨论身份管理功能。就此来说,该计算机可读/可 用介质包括实施本发明的每个各种处理的程序代码。可W理解的是,术语计算机可读介质 或计算机可使用介质包含一种或多种任何类型的程序代码的物理实施例的。具体地,计算 机可读/可用介质可包括程序代码体现在制造中的一个或多个便携式存储物品(例如压缩 盘、磁盘、磁带等)、计算设备的一个或多个数据存储部分上(如存储器(图1)和/或存储系统 34(图1))(例如,固定磁盘、只读存储器、随机存取存储器、高速缓冲存储器等)上的程序代 码28。
[0069] 在另一个实施例中,本发明提供了一种在订阅、广告和/或费用的基础上执行本发 明的过程的方法。也就是说,诸如系统集成商的服务提供商可W提供提供防火墙集群管理 功能。在运种情况下,服务提供商可W创建、维护、支持诸如计算机系统12(图1)的计算机基 础设施等等,其为一个或多个消费者执行本发明的过程。作为回报,服务提供商可W根据订 阅和/或费用协议接收来自消费者的付款和/或服务供应商可W接收向一个或多个第Ξ方 销售广告内容所带来的付款。
[0070]在又一个实施例中,本发明提供了一种用于防火墙集群管理的计算机实现的方 法。在运种情况下,可W提供诸如计算机系统12(图1)的计算机基础设施并且可W获得用于 执行本发明过程的一个或多个系统(例如创建、购买、使用、修改等)并部署于计算机基础设 施。在运个层面上来说,系统的部署可W包括一个或多个:(1)在计算设备上从计算机可读 介质安装诸如计算机系统12(图1)的程序代码;(2)向计算机基础结构添加一个或多个计算 设备;W及(3)结合和/或修改计算机基础结构的一个或多个现有系统,W使计算机基础设 施能够执行本发明的过程。
[0071 ]应理解的是,本文所用的术语"程序代码"和"计算机程序代码"是同义词,意味着 旨在使具有信息处理能力的计算设备直接或在W下一个或两者之后执行特定功能的W任 何语言、代码或者表达的一组指令:(a)转换成另一种语言、代码或符号;和/或(b)W不同的 材料形式再现。在运个层面上来说,程序代码可体现为W下一个或多个:应用/软件程序、组 件软件/功能库、操作系统、基本设备系统/驱动器的特定计算设备等。
[0072] 适于存储和/或执行程序代码的数据处理系统可W通过W下提供并且可W包括直 接或间接通过系统总线可通信禪合到存储单元的至少一个处理器。存储单元可W包括但不 限于程序代码实际执行过程中使用的本地存储器、大容量存储器W及提供至少一些程序代 码临时存储W减少执行过程中必须从大容量存储器中检索代码次数的高速缓冲存储器。输 入/输出和/或其它外部设备(包括但不限于键盘、显示器、定点设备等)可W直接或通过居 间设备控制器禪合到系统。
[0073] 网络适配器也可W通过中间专用或公共网络的任何组合禪合到系统W使得数据 处理系统能够禪合到其他数据处理系统、远程打印机、存储设备和/或类似物。说明性网络 适配器包括但不限于调制解调器、电缆调制解调器和W太网卡。
[0074] 已经出于说明的目的描述了本发明的各种方面。它并非旨在是穷尽的或将本发明 限制到所公开的精确形式,显然,许多修改和变化是可能的。运些修改和变化对本领域技术 人员是明显地,并且由所附权利要求限定本发明的范围。
【主权项】
1. 一种用于在联网计算环境中管理防火墙集群的方法,包括计算机实施的步骤: 在源和目的地之间的防火墙集群中的第一防火墙接收分组,其中该分组具有未知会话 状态; 读取会话状态表以基于源和目的地确定会话状态匹配; 如果没有找到会话状态匹配,将该分组缓冲预定时间间隔的持续时间;以及 如果在该预定时间间隔过期前从该防火墙集群中的第二防火墙接收到会话状态信息, 将该分组转发至目的地。2. 如权利要求1所述的方法,进一步包括如果在该预定时间间隔过期前没有接收到状 态信息,在防火墙集群的第一防火墙处丢弃该分组的计算机实施的步骤。3. 如权利要求1或2所述的方法,进一步包括在防火墙集群中的每个防火墙对之间打开 通信信道并利用各自的通信信道确定防火墙集群中的每个防火墙对之间的往返时间(RTT) 值的计算机实施的步骤。4. 如权利要求3所述的方法,进一步包括基于最高的往返时间值定义时间间隔的计算 机实施的步骤。5. 如权利要求4所述的方法,其中确定防火墙集群中的每个防火墙对之间的往返时间 (RTT)值的计算机实施的步骤包括从该防火墙对的第一防火墙发送回显信息到该防火墙对 的第二防火墙。6. 如前述权利要求所述的方法,进一步包括用与源和目的地相关的会话状态信息更新 会话状态表的计算机实施的步骤。7. 如前述权利要求所述的方法,其中该方法由服务提供者执行。8. -种用于在联网计算环境中管理防火墙集群的系统,包括: 防火墙集群中的第一防火墙,配置为接收来自源的用于目的地的分组,其中该分组具 有未知会话状态; 集群同步服务器,配置为存储会话状态表; 第一防火墙进一步配置为读取会话状态表以基于源和目的地确定会话状态匹配; 第一防火墙进一步配置为:如果没有找到会话状态匹配,将该分组缓冲预定时间间隔 的持续时间;以及 第一防火墙进一步配置为:如果在该预定时间间隔过期前从该防火墙集群中的第二防 火墙接收到会话状态信息,将该分组转发至目的地。9. 如权利要求8所述的系统,其中防火墙进一步配置为如果在该预定时间间隔过期前 没有接收到状态信息,丢弃该分组。10. 如权利要求8或9所述的系统,其中多个防火墙中的每个防火墙被配置为打开与它 的对等体的通信信道并利用适当的通信信道确定它与他的对等体之间的往返时间(RTT) 值。11. 如权利要求1 〇所述的系统,其中时间间隔是基于最高的往返时间(RTT)值定义的。12. 如权利要求11所述的系统,其中防火墙对之间的往返时间(RTT)值包括从该防火墙 对的第一防火墙发送回显信息到该防火墙对的第二防火墙。13. 如权利要求8至12所述的系统,其中防火墙进一步被配置为用与源和目的地相关的 会话状态信息更新会话状态表的计算机实施的步骤。14. 如权利要求8至13所述的系统,其中联网计算环境包括云计算环境。15. -种计算机程序,包括在计算机可读介质上存储的计算机程序代码,当被加载至计 算机系统并在其上执行时,使所述计算机系统执行根据权利要求1至7任一权利要求的方法 的所有步骤。
【专利摘要】提供了用于区域防火墙集群的方案,用于虚拟化/联网(如云)计算环境中的不同站点的优化的状态共享。在一个典型的实施例中,通过一个与中央服务器注册的过程向给定区域中的每个防火墙通知它的对等防火墙。每个防火墙打开一个基于网际协议(IP)的通信信道到区域中它的对等体以共享状态表信息。这允许非对称防火墙流经网络,并允许路由协议在不必考虑防火墙布置的情况下确定到给定目的地的最佳路径。
【IPC分类】H04L12/24
【公开号】CN105493445
【申请号】CN201480031693
【发明人】R.K.弗洛伊德三世, B.D.曼达利亚, R.P.莫纳科, M.维斯沃内森
【申请人】国际商业机器公司
【公开日】2016年4月13日
【申请日】2014年5月28日
【公告号】DE112014000358T5, US9106610, US20140366119, US20150249643, WO2014194785A1