专利名称:一种双机热备的防火墙系统的制作方法
技术领域:
本实用新型涉及一种防火墙系统,尤其是涉及一种双机热备的防火墙系统。
背景技术:
网络安全可以分为数据安全和服务安全两个层次。数据安全是防止信息被非法探听;服务安全是使网络系统提供不间断的通畅的对外服务。从严格的意义上讲,只有物理上完全隔离的网络系统才是安全的。但为了实际生产以及信息交换的需要,采用完全隔离手段保障网络安全很少被采用。在有了对外的联系之后,网络安全的目的就是使不良用心的人窃听数据、破坏服务的成本提高到他们不能承受的程度。这里的成本包括设备成本、人力成本、时间成本等多方面的因素。
实用新型内容本实用新型的目的就是为了克服上述现有技术存在的缺陷而提供一种更安全、更有效,且处理能力提高一倍的双机热备的防火墙系统。本实用新型的目的可以通过以下技术方案来实现一种双机热备的防火墙系统, 设在因特网与电脑之间,其特征在于,所述的防火墙系统包括交换机A、交换机B、交换机C、 交换机D、防火墙A、防火墙B、交换机Al、交换机Bi、交换机Cl和交换机D1,所述的交换机A 与交换机B连接,交换机A与防火墙A连接,交换机B与防火墙B连接,所述的交换机C与交换机D连接,交换机C与防火墙A连接,交换机D与防火墙B连接,所述的交换机Al与交换机Bl连接,交换机Al与防火墙A连接,交换机Bl与防火墙B连接,所述的交换机Cl与交换机Dl连接,交换机Cl与防火墙A连接,交换机Dl与防火墙B连接,所述的交换机A、交换机B、交换机C、交换机D均与因特网连接,所示的交换机Al、交换机Bi、交换机Cl和交换机Dl各自与电脑连接。所述的防火墙系统与因特网之间还连接有路由器。与现有技术相比,本实用新型具有以下优点1、本防火墙系统冗余体系更安全、更有效;2、整个系统的防火墙处理能力可比传统技术提高一倍。
图1为本实用新型的结构示意图。
具体实施方式
以下结合附图和具体实施例对本实用新型进行详细说明。实施例如图1所示,一种双机热备的防火墙系统,设在因特网与电脑之间。防火墙系统包括交换机A、交换机B、交换机C、交换机D、防火墙A、防火墙B、交换机Al、交换机Bi、交换机Cl和交换机Dl。交换机A与交换机B连接,交换机A与防火墙A连接,交换机B与防火墙B 连接。交换机C与交换机D连接,交换机C与防火墙A连接,交换机D与防火墙B连接。交换机Al与交换机Bl连接,交换机Al与防火墙A连接,交换机Bl与防火墙B连接。交换机 Cl与交换机Dl连接,交换机Cl与防火墙A连接,交换机Dl与防火墙B连接。交换机A、交换机B、交换机C、交换机D均与因特网连接。交换机Al、交换机Bi、交换机Cl和交换机Dl 各自与电脑连接。防火墙系统与因特网之间还连接有路由器。本防火墙系统是通过Juniper的冗余协议NSRP,类似于VRRP (HSRP)但在其基础上有很大的改进,现详细介绍如下Juniper为了实现更安全、更有效的防火墙冗余体系,开发了专有的防火墙HA工作的协议NSRP,NSRP协议借鉴了 VRRP协议,而且弥补了 VRRP协议的不足,是针对安全设备的HA协议。NSRP实现了 ①在HA组成员之间镜像配置,在发生故障切换时确保正确的行为。②可以在HA组中维护所有活动会话和VPN隧道。③故障切换算法根据系统健康状态确定哪个系统是主系统,把状态与相邻系统连接起来或监控从本系统到远端的路径。④无论活动会话和VPN隧道的数量有多少,故障检测和切换到备用系统可以在低于一秒时间内完成。⑤整个系统的防火墙处理能力提高一倍。⑥Juniper的中高端防火墙更支持全网状的Active/Active HA,避免低级的网络故障导致Juniper防火墙的不可用。Juniper设备处于“路由”或NAT模式时,可以将冗余集群中的两台设备都配置为主动,通过具有负载均衡能力的路由器,运行诸如“虚拟路由器冗余协议(VRRP) ”等协议,共享它们之间分配的流量。通过使用“Netkreen冗余协议(NSRP) ”创建两个虚拟安全设备 (VSD)组,每个组都具有自己的虚拟安全接口(VSI),即可实现此目的。防火墙A充当VSD 组1的主设备,并充当VSD组2的备份设备。防火墙B充当VSD组2的主设备,并充当VSD 组1的备份设备。此配置称为双主动(请参阅下图)。由于设备冗余,因此不存在单一故障点。负载分担的方式是通过同一 VLAN内一部分设备的网关指向一台防火墙的端口 ip地址,另一部分设备的网网关指向另一台防火墙的端口 ip地址。故障切换后,该VLAN的所有设备都指向同一防火墙的物理端口(逻辑上具备两个同网段的IP地址,作为不同设备的缺省网关IP地址)。
权利要求1.一种双机热备的防火墙系统,设在因特网与电脑之间,其特征在于,所述的防火墙系统包括交换机A、交换机B、交换机C、交换机D、防火墙A、防火墙B、交换机Al、交换机Bi、交换机Cl和交换机D1,所述的交换机A与交换机B连接,交换机A与防火墙A连接,交换机B 与防火墙B连接,所述的交换机C与交换机D连接,交换机C与防火墙A连接,交换机D与防火墙B连接,所述的交换机Al与交换机Bl连接,交换机Al与防火墙A连接,交换机Bl 与防火墙B连接,所述的交换机Cl与交换机Dl连接,交换机Cl与防火墙A连接,交换机Dl 与防火墙B连接,所述的交换机A、交换机B、交换机C、交换机D均与因特网连接,所示的交换机Al、交换机Bi、交换机Cl和交换机Dl各自与电脑连接。
2.根据权利要求1所述的一种双机热备的防火墙系统,其特征在于,所述的防火墙系统与因特网之间还连接有路由器。
专利摘要本实用新型涉及一种双机热备的防火墙系统,设在因特网与电脑之间,所述的防火墙系统包括交换机A、交换机B、交换机C、交换机D、防火墙A、防火墙B、交换机A1、交换机B1、交换机C1和交换机D1。与现有技术相比,本实用新型具有更安全、更有效,且处理能力提高一倍等优点。
文档编号H04L12/24GK202261336SQ20112037273
公开日2012年5月30日 申请日期2011年9月30日 优先权日2011年9月30日
发明者徐小军 申请人:上海忆通广达信息技术有限公司