同步安全集群会话信息的方法及装置制造方法

同步安全集群会话信息的方法及装置制造方法
【专利摘要】本申请提出同步安全集群会话信息的方法及装置。方法包括：预设一安全网关，该安全网关位于安全集群外部，通过管理链路与安全集群内的多个安全节点互通，所述安全网关接收所述安全集群内的任一安全节点通过管理链路发来的会话同步请求报文，根据该会话同步请求报文中的同步类型标识，对该会话同步请求报文中的会话标识所对应的会话信息进行同步处理。本申请提高了安全集群的会话性能。
【专利说明】同步安全集群会话信息的方法及装置

【技术领域】
[0001] 本申请涉及安全集群【技术领域】，尤其涉及同步安全集群会话信息的方法及装置。

【背景技术】
[0002] 安全设备指的是在网络中专门执行安全策略如：防火墙设备。云计算、大数据等新 兴技术的崛起在网络中产生了更多的数据，对于安全设备的性能要求也是成级数增长。受 限于单台物理安全设备的性能限制，如何在平滑扩展安全设备性能的同时而不带来管理部 署的复杂度成为安全设备急需解决的问题。安全集群是一种多虚一的虚拟化技术，可以有 效解决上述问题。
[0003] 现有安全集群的组网形态与网络设备类似，安全集群内的安全设备的部署位置通 常旁挂汇聚或核心交换机，以防火墙设备为例，简化后的安全集群组网形态如图1所示，其 中，防火墙设备FW1?FW4构成一个安全集群，FW1?FW4通过聚合链路与核心交换机连接， 核心交换机将来自下挂主机1?η的流量通过预设的负载分担算法分担到FW1?FW4上， FW1?FW4根据自身配置的安全策略确定对核心交换机发来的流量进行转发还是丢弃。
[0004] 为了实现集群处理的可靠性，现有安全集群处理机制通过手工指定或者自动建立 配置备份关系，集群中的任何一个节点的会话必须备份到其它节点，从而实现宿主节点故 障后，已经建立的数据流不中断。


【发明内容】

[0005] 本申请提供同步安全集群会话信息的方法及装置，以提高安全集群的会话性能。
[0006] 本申请的技术方案是这样实现的：
[0007] -种同步安全集群会话信息的方法，预设一安全网关，该安全网关位于安全集群 外部，通过管理链路与安全集群内的多个安全节点互通，该方法包括：
[0008] 所述安全网关接收所述安全集群内的任一安全节点通过所述管理链路发来的会 话同步请求报文；
[0009] 所述安全网关根据该会话同步请求报文中的同步类型标识，对该会话同步请求报 文中的会话标识所对应的会话信息进行同步处理。
[0010] 一种同步安全集群会话信息的装置，位于安全网关上，该安全网关位于安全集群 外部，通过管理链路与安全集群内的多个安全节点互通，该装置包括：
[0011] 会话同步请求接收模块：接收所述安全集群内的任一安全节点通过所述管理链路 发来的会话同步请求报文；
[0012] 会话信息同步处理模块：根据所述会话同步请求报文中的同步类型标识，对该会 话同步请求报文中的会话标识所对应的会话信息进行同步处理。
[0013] 可见，本申请中，通过在安全集群外设置一安全网关，在安全集群内的各安全节点 上创建的会话信息都同步到该安全网关上，安全节点之间无需相互备份会话信息，从而减 轻了安全集群的处理负担，提高了安全集群的会话性能。

【专利附图】

【附图说明】
[0014] 图1为现有的安全集群组网形态示意图；
[0015] 图2为本申请一实施例提供的同步安全集群会话信息的方法流程图；
[0016] 图3为本申请实施例提供的同步安全集群会话信息的组网示意图；
[0017]图4为本申请另一实施例提供的同步安全集群会话信息的方法流程图；
[0018] 图5为本申请实施例提供的包含同步安全集群会话信息的装置的安全网关的硬 件结构示意图；
[0019] 图6为本申请实施例提供的同步安全集群会话信息的装置的组成示意图。

【具体实施方式】
[0020] 申请人:对现有安全集群处理机制进行分析发现：集群内的安全节点之间的会话备 份占用了节点自身的会话资源，导致集群的会话性能无法线性增加，以1:1的备份为例，最 差的情况下，集群整体的会话规格为单个节点规格之和的1/2。
[0021] 图2为本申请一实施例提供的同步安全集群会话信息的方法流程图，其具体步骤 如下：
[0022] 步骤200 :预设一安全网关，该安全网关位于安全集群外部，通过管理链路与安全 集群内的多个安全节点互通。
[0023] 安全网关可以为物理安全网关，也可以是位于物理服务器上的虚拟安全网关。
[0024] 本申请实施例中的"管理链路"专用于安全网关与安全节点之间交互本申请实施 例中提到的会话同步相关报文，由于安全网关与安全节点之间的交互要经过安全集群旁挂 的核心/汇聚交换机，因此需要预先通过核心/汇聚交换机在安全网关与各安全节点之间 建立物理链路作为管理链路，并为安全网关以及核心/汇聚交换机以及各安全节点在管理 链路上的端口分配IP地址，需要预先将安全网关的IP地址配置到安全集群中的各安全节 点上。
[0025] 图3给出了本申请实施例提供的同步安全集群会话信息的组网示意图，其中，安 全集群内的各安全节点通过管理链路与安全网关互通，该管理链路路经安全集群旁挂的核 心/汇聚交换机，即安全节点与安全网关之间的管理链路是要经过安全集群旁挂的核心/ 汇聚交换机的。
[0026] 步骤201 :安全网关接收安全集群内的任一安全节点通过管理链路发来的会话同 步请求报文。
[0027] 步骤202 :安全网关根据该会话同步请求报文中的同步类型标识，对该会话同步 请求报文中的会话标识所对应的会话信息进行同步处理。
[0028] 优选地，当同步类型标识为创建同步标识时，会话同步请求报文进一步携带在所 述安全节点上创建成功的会话信息，且，步骤202中，对该会话同步请求报文中的会话标识 所对应的会话信息进行同步处理包括：
[0029] 安全网关保存该会话同步请求报文中携带的所述会话信息。
[0030] 优选地，当同步类型标识为更新同步标识时，会话同步请求报文进一步携带在所 述安全节点上创建成功的会话的更新会话信息，且，步骤202中，对该会话同步请求报文中 的会话标识所对应的会话信息进行同步处理包括：
[0031] 安全网关根据该会话同步请求报文携带的会话标识，在自身查找到对应的会话信 息，根据该会话同步请求报文携带的所述更新会话信息对查找到的会话信息进行更新。
[0032] 优选地，会话同步请求报文携带多个会话的会话信息或更新会话信息，且，安全网 关对该会话同步请求报文中的会话标识所对应的会话信息进行同步处理进一步包括：
[0033] 安全网关向安全节点返回会话同步响应报文，该会话同步响应报文中携带同步成 功的会话数目，以使得：安全节点在接收到会话同步响应报文后，判断该会话同步响应报文 携带的同步成功的会话数目是否与本安全节点发出的会话同步请求报文携带的会话信息 的数目一致，若不一致，则重新向安全网关发出上述会话同步请求报文。
[0034] 优选地，当同步类型标识为获取同步标识时，会话同步请求报文中进一步携带请 求获取的会话数目；且，步骤202中，对该会话同步请求报文中的会话标识所对应的会话信 息进行同步处理包括：
[0035] 安全网关根据该会话同步请求报文中携带的会话标识，在自身保存的所有会话信 息中查找到对应的会话信息，将查找到的会话信息及返回的会话数目返回给所述安全节 点，以使得：所述安全节点在接收到所述会话同步响应报文后，判断该会话同步响应报文携 带的会话数目是否与本安全节点发出的会话同步请求报文携带的会话信息的数目一致，若 不一致，则比较所述会话同步请求报文中携带的会话标识与所述会话同步响应报文中携带 的会话标识，得知未被返回的会话标识，在本地创建对应的会话信息。
[0036] 优选地，当同步类型标识为删除同步标识时，对该会话同步请求报文中的会话标 识所对应的会话信息进行同步处理包括：
[0037] 安全网关根据该会话同步请求报文中携带的会话标识，在自身保存的所有会话信 息中查找到对应的会话信息，删除查找到的会话信息。
[0038] 优选地，安全网关保存该会话同步请求报文中携带的所述会话信息进一步包括： 为保存的每条会话信息设置一个老化定时器，老化定时器的定时时长大于对应会话信息的 更新时长，且，对于保存的每条会话信息，若在对应的老化定时器超时前，接收到安全节点 发来的针对该会话信息的同步类型标识为更新同步标识的会话同步请求报文，则重启该老 化定时器；对于保存的每条会话信息，在对应的老化定时器超时时，删除该会话信息。
[0039] 从本申请实施例可以看出：通过在安全集群外设置一安全网关，在安全集群内的 各安全节点上创建的会话信息都同步到该安全网关上，这样，安全节点之间无需相互备份 会话信息，从而减轻了安全集群的处理负担，提高了安全集群的会话性能。
[0040] 图4为本申请另一实施例提供的同步安全集群会话信息的方法流程图，其具体步 骤如下：
[0041] 步骤400 :预设一虚拟安全网关，该虚拟安全网关位于安全集群外部，安全集群中 的每个安全节点分别通过管理链路与该虚拟安全网关互通。
[0042] 对于安全集群内的所有安全节点来说，虚拟安全网关为外置设备。虚拟安全网关 的典型形态为外置服务器上的软件形态网关。
[0043] 虚拟安全网关不处理实际业务，仅用于备份安全集群监控的会话信息以及响应安 全节点的会话信息获取请求。
[0044] 安全集群内所有节点的管理链路在同一管理VLAN (Virtual Local Area Network,虚拟局域网）中。
[0045] 步骤401 :对于安全集群内的任一安全节点，当该安全节点监控到两个主机之间 的连接时，创建对应的会话，并将该会话信息携带在会话创建同步请求报文中发送给虚拟 安全网关。
[0046] 例如：当两个主机之间采用TCP (Transmission Control Protocol,传输控制协 议）通信时，两个主机通过TCP三次握手过程建立TCP连接，则，当安全节点发现两个主机 之间的TCP三次握手成功时，确定TCP连接建立成功，将该TCP连接对应的会话信息携带在 会话创建同步请求报文中发送给虚拟安全网关；
[0047] 当两个主机之间采用UDP(User Datagram Protocol,用户数据报协议）通信时，由 于UDP属于无连接协议，则，当安全节点发现一个主机向另一主机第一次发起UDP报文，且 另一主机也返回了 Μ)Ρ报文时，认为UDP连接建立成功，将该UDP连接对应的会话信息携带 在会话创建同步请求报文中发送给虚拟安全网关。
[0048] 同步到虚拟安全网关的会话信息必须包括会话标识，如：五元组（包括：源地 址、源端口号、目的地址、目的端口号和协议版本类型），还可以包括：会话状态统计信息、 NAT (Network Address Translation,网络地址转换）信息等，会话状态统计信息如：正、反 向传递字节数等。
[0049] 步骤402 :虚拟安全网关接收该会话创建同步请求报文，保存该会话创建同步请 求报文中的会话信息，并向该安全节点返回会话创建同步响应报文。
[0050] 需要说明的是，安全节点可以将多个新建的会话的信息放在同一个会话创建同步 请求报文中。
[0051] 本实施例中，安全节点与虚拟安全网关之间交互的会话同步报文的格式可如表1 所示：
[0052]

【权利要求】
1. 一种同步安全集群会话信息的方法，其特征在于，预设一安全网关，该安全网关位于 安全集群外部，通过管理链路与安全集群内的多个安全节点互通，该方法包括： 所述安全网关接收所述安全集群内的任一安全节点通过所述管理链路发来的会话同 步请求报文； 所述安全网关根据该会话同步请求报文中的同步类型标识，对该会话同步请求报文中 的会话标识所对应的会话信息进行同步处理。
2. 根据权利要求1所述的方法，其特征在于，当所述同步类型标识为创建同步标识时， 所述会话同步请求报文进一步携带在所述安全节点上创建成功的会话信息； 所述对该会话同步请求报文中的会话标识所对应的会话信息进行同步处理包括： 所述安全网关保存该会话同步请求报文中携带的所述会话信息。
3. 根据权利要求1所述的方法，其特征在于，当所述同步类型标识为更新同步标识时， 所述会话同步请求报文进一步携带在所述安全节点上创建成功的会话的更新会话信 息； 所述对该会话同步请求报文中的会话标识所对应的会话信息进行同步处理包括： 所述安全网关根据该会话同步请求报文携带的会话标识，在自身查找到对应的会话信 息，根据该会话同步请求报文携带的所述更新会话信息对查找到的会话信息进行更新。
4. 根据权利要求2或3所述的方法，其特征在于，所述会话同步请求报文携带多个会话 的会话信息或更新会话信息， 且，所述对该会话同步请求报文中的会话标识所对应的会话信息进行同步处理进一步 包括： 所述安全网关向所述安全节点返回会话同步响应报文，该会话同步响应报文中携带同 步成功的会话数目，以使得：所述安全节点在接收到所述会话同步响应报文后，判断该会话 同步响应报文携带的同步成功的会话数目是否与本安全节点发出的会话同步请求报文携 带的会话信息的数目一致，若不一致，则重新向所述安全网关发出所述会话同步请求报文。
5. 根据权利要求1所述的方法，其特征在于，当所述同步类型标识为获取同步标识时， 所述会话同步请求报文中进一步携带请求获取的会话数目； 所述对该会话同步请求报文中的会话标识所对应的会话信息进行同步处理包括： 所述安全网关根据该会话同步请求报文中携带的会话标识，在自身保存的所有会话信 息中查找到对应的会话信息，将查找到的会话信息及返回的会话数目携带在会话同步响应 报文中返回给所述安全节点，以使得：所述安全节点在接收到所述会话同步响应报文后，判 断该会话同步响应报文携带的会话数目是否与本安全节点发出的会话同步请求报文携带 的会话信息的数目一致，若不一致，则比较所述会话同步请求报文中携带的会话标识与所 述会话同步响应报文中携带的会话标识，得知未被返回的会话标识，在本地创建对应的会 话信息。
6. 根据权利要求2所述的方法，其特征在于，当所述同步类型标识为删除同步标识时， 所述对该会话同步请求报文中的会话标识所对应的会话信息进行同步处理包括： 所述安全网关根据该会话同步请求报文中携带的会话标识，在自身保存的所有会话信 息中查找到对应的会话信息，删除查找到的会话信息。
7. 根据权利要求2或6所述的方法，其特征在于，所述安全网关保存该会话同步请求报 文中携带的所述会话信息进一步包括： 所述安全网关为保存的每条会话信息设置一个老化定时器，所述老化定时器的定时时 长大于对应会话信息的更新时长， 且，对于保存的每条会话信息，若在对应的老化定时器超时前，接收到所述安全节点发 来的针对该会话信息的同步类型标识为更新同步标识的会话同步请求报文，则重启该老化 定时器；对于保存的每条会话信息，在对应的老化定时器超时时，删除该会话信息。
8. -种同步安全集群会话信息的装置，位于安全网关上，其特征在于，该安全网关位于 安全集群外部，通过管理链路与安全集群内的多个安全节点互通，该装置包括： 会话同步请求接收模块：接收所述安全集群内的任一安全节点通过所述管理链路发来 的会话同步请求报文； 会话信息同步处理模块：根据所述会话同步请求报文中的同步类型标识，对该会话同 步请求报文中的会话标识所对应的会话信息进行同步处理。
9. 根据权利要求8所述的装置，其特征在于，当所述会话同步请求接收模块接收到的 会话同步请求报文中的同步类型标识为创建同步标识时， 所述会话同步请求报文进一步携带在所述安全节点上创建成功的会话信息； 所述会话信息同步处理模块对该会话同步请求报文中的会话标识所对应的会话信息 进行同步处理包括： 保存该会话同步请求报文中携带的所述会话信息。
10. 根据权利要求8所述的装置，其特征在于，当所述会话同步请求接收模块接收到的 会话同步请求报文中的同步类型标识为更新同步标识时， 所述会话同步请求报文进一步携带在所述安全节点上创建成功的会话的更新会话信 息； 所述会话信息同步处理模块对该会话同步请求报文中的会话标识所对应的会话信息 进行同步处理包括： 根据该会话同步请求报文携带的会话标识，在自身查找到对应的会话信息，根据该会 话同步请求报文携带的所述更新会话信息对查找到的会话信息进行更新。
11. 根据权利要求9或10所述的装置，其特征在于，所述会话同步请求接收模块接收到 的会话同步请求报文携带多个会话的会话信息或更新会话信息， 且，所述会话信息同步处理模块对该会话同步请求报文中的会话标识所对应的会话信 息进行同步处理进一步包括：向所述安全节点返回会话同步响应报文，该会话同步响应报 文中携带同步成功的会话数目，以使得：所述安全节点在接收到所述会话同步响应报文后， 判断该会话同步响应报文携带的同步成功的会话数目是否与本安全节点发出的会话同步 请求报文携带的会话信息的数目一致，若不一致，则重新向所述安全网关发出所述会话同 步请求报文。
12. 根据权利要求8所述的装置，其特征在于，当所述会话同步请求接收模块接收到的 会话同步请求报文中的同步类型标识为获取同步标识时， 所述会话同步请求报文中进一步携带请求获取的会话数目； 所述会话信息同步处理模块对该会话同步请求报文中的会话标识所对应的会话信息 进行同步处理包括： 根据该会话同步请求报文中携带的会话标识，在自身保存的所有会话信息中查找到对 应的会话信息，将查找到的会话信息及返回的会话数目携带在会话同步响应报文中返回给 所述安全节点，以使得：所述安全节点在接收到所述会话同步响应报文后，判断该会话同步 响应报文携带的会话数目是否与本节点发出的会话同步请求报文携带的会话信息的数目 一致，若不一致，则比较所述会话同步请求报文中携带的会话标识与所述会话同步响应报 文中携带的会话标识，得知未被返回的会话标识，在本地创建对应的会话信息。
13. 根据权利要求9所述的装置，其特征在于，当所述会话同步请求接收模块接收到的 会话同步请求报文中的同步类型标识为删除同步标识时， 所述会话信息同步处理模块对该会话同步请求报文中的会话标识所对应的会话信息 进行同步处理包括： 根据该会话同步请求报文中携带的会话标识，在自身保存的所有会话信息中查找到对 应的会话信息，删除查找到的会话信息。
14. 根据权利要求9或13所述的装置，其特征在于，所述会话信息同步处理模块保存该 会话同步请求报文中携带的所述会话信息进一步包括： 为保存的每条会话信息设置一个老化定时器，所述老化定时器的定时时长大于对应会 话信息的更新时长， 且，对于保存的每条会话信息，若在对应的老化定时器超时前，接收到所述安全节点发 来的针对该会话信息的同步类型标识为更新同步的会话同步请求报文，则重启该老化定时 器；对于保存的每条会话信息，在对应的老化定时器超时时，删除该会话信息。
【文档编号】H04L29/06GK104243591SQ201410491545
【公开日】2014年12月24日 申请日期:2014年9月24日 优先权日:2014年9月24日
【发明者】韩小平, 孙松儿 申请人:杭州华三通信技术有限公司