物理网络安全设备及其控制方法和装置与流程

本发明涉及网络安全技术领域，尤其涉及一种物理网络安全设备的控制方法、控制装置以及一种具有该控制装置的物理网络安全设备。

背景技术：

为了阻止来自外部网络的攻击，通常网络系统中关键节点会部署网络安全设备。随着网络技术的不断发展，网络所承载的业务规模越来越大，类型越来越复杂，为了处理各类业务，网络安全设备本身的功能也变得越来越繁杂。同时用户却对网络安全设备的可用性要求也越来越高。而网络安全设备本身的复杂性，导致了设备经常会由于各种原因产生各种故障，使得用户不得不承担由于网络中断所带来的风险。

高可用性(High Availability，简称为HA)提供了一种解决网络中由于单点故障而带来的风险的方法。例如，对于部署防火墙的企业，从网络安全方面考虑，所有进出信息流都必须经过防火墙。这时防火墙就是一个单点连接，一旦出现故障，就会使网络中断。相关技术中，最常用的一种提供高可用性的机制就是冗余，即通过设备、链路等冗余，可以很好地提供高可用性。冗余机制中最常见的解决方案是双机热备。例如，以网络安全设备为防火墙为例，如图1所示，通过使用两台相同配置的物理设备组成一个备份组，其中有一台物理设备作为主设备(即如图1所示的主防火墙)，在正常情况下提供网络服务；另一台物理设备则作为备份设备(即如图1所示的备防火墙)，当主设备发生故障时代替它而工作，从而避免服务中断，提供高可用性。

网络安全设备的复杂性，使得设备的发生故障原因主要集中在软件问题，包括网络安全设备里的操作系统、硬件驱动、内核模块、用户态进程等所产生的问题。虽然传统的双机热备方案中，能够较好地解决软件产生的问题，但是这种部署方案的成本往往会比较高，并且部署及配置方面也比较复杂。

技术实现要素：

本发明的目的旨在至少在一定程度上解决上述的技术问题之一。

为此，本发明的第一个目的在于提出一种物理网络安全设备的控制方法。该方法采用了虚拟机形态的网络安全系统，实现了物理硬件内部进行快速恢复的虚拟网络安全系统，大大增加了针对软件故障的高可用性，并降低了设备成本。

本发明的第二个目的在于提出一种物理网络安全设备的控制装置。

本发明的第三个目的在于提出一种物理网络安全设备。

为达上述目的，本发明第一方面实施例的物理网络安全设备的控制方法，包括：在所述物理网络安全设备上部署虚拟机，并在所述虚拟机上部署网络安全系统；实时监控所述虚拟机的运行状态，并实时对所述网络安全系统的运行信息进行存储；当所述虚拟机发生故障时，读取预存储的虚拟机快照，并根据所述预存储的虚拟机快照控制所述虚拟机进行恢复操作；在所述虚拟机恢复正常运行状态时，读取已存储的所述网络安全系统的运行信息，并根据所述运行信息控制所述网络安全系统进行恢复操作。

根据本发明实施例的物理网络安全设备的控制方法，可先在物理网络安全设备上部署虚拟机，并在虚拟机上部署网络安全系统，之后，可实时监控虚拟机的运行状态，并实时对网络安全系统的运行信息进行存储，当虚拟机发生故障时，读取预存储的虚拟机快照，并根据预存储的虚拟机快照控制虚拟机进行恢复操作，以及在虚拟机恢复正常运行状态时，读取已存储的网络安全系统的运行信息，并根据运行信息控制网络安全系统进行恢复操作，即采用了虚拟机形态的网络安全系统，实现了物理硬件内部进行快速恢复的虚拟网络安全系统，大大增加了针对软件故障的高可用性，并且，在整个控制过程中，对于用户来说是透明的，无须用户进行高可用性相关配置，从成本角度考虑，与传统双击热备技术相比，大大降低了设备成本。

为达上述目的，本发明第二方面实施例的物理网络安全设备的控制装置，包括：部署模块，用于在所述物理网络安全设备上部署虚拟机，并在所述虚拟机上部署网络安全系统；监控模块，用于实时监控所述虚拟机的运行状态；存储模块，用于实时对所述网络安全系统的运行信息进行存储；控制模块，用于在所述虚拟机发生故障时，读取预存储的虚拟机快照，并根据所述预存储的虚拟机快照控制所述虚拟机进行恢复操作；所述控制模块还用于在所述虚拟机恢复正常运行状态时，读取已存储的所述网络安全系统的运行信息，并根据所述运行信息控制所述网络安全系统进行恢复操作。

根据本发明实施例的物理网络安全设备的控制装置，可通过部署模块在物理网络安全设备上部署虚拟机，并在虚拟机上部署网络安全系统，监控模块实时监控虚拟机的运行状态，存储模块实时对网络安全系统的运行信息进行存储，当虚拟机发生故障时，控制模块读取预存储的虚拟机快照，并根据预存储的虚拟机快照控制虚拟机进行恢复操作，以及在虚拟机恢复正常运行状态时，控制模块读取已存储的网络安全系统的运行信息，并根据运行信息控制网络安全系统进行恢复操作，即采用了虚拟机形态的网络安全系统，实现了物理硬件内部进行快速恢复的虚拟网络安全系统，大大增加了针对软件故障的高可用性，并且，在整个控制过程中，对于用户来说是透明的，无须用户进行高可用性相关配置，从成本角度考虑，与传统双击热备技术相比，大大降低了设备成本。

为达上述目的，本发明第三方面实施例的物理网络安全设备，包括：本发明第二方面实施例所述的物理网络安全设备的控制装置。

根据本发明实施例的物理网络安全设备，可通过控制装置中的部署模块在物理网络安全设备上部署虚拟机，并在虚拟机上部署网络安全系统，监控模块实时监控虚拟机的运行状态，存储模块实时对网络安全系统的运行信息进行存储，当虚拟机发生故障时，控制模块读取预存储的虚拟机快照，并根据预存储的虚拟机快照控制虚拟机进行恢复操作，以及在虚拟机恢复正常运行状态时，控制模块读取已存储的网络安全系统的运行信息，并根据运行信息控制网络安全系统进行恢复操作，即采用了虚拟机形态的网络安全系统，实现了物理硬件内部进行快速恢复的虚拟网络安全系统，大大增加了针对软件故障的高可用性，并且，在整个控制过程中，对于用户来说是透明的，无须用户进行高可用性相关配置，从成本角度考虑，与传统双击热备技术相比，大大降低了设备成本。

本发明附加的方面和优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本发明的实践了解到。

附图说明

本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解，其中，

图1是传统双机热备高可用性方案的示例图；

图2是根据本发明一个实施例的物理网络安全设备的控制方法的流程图；

图3是根据本发明一个具体实施例的虚拟化高性能高可用性方案的示例图；

图4是根据本发明一个实施例的物理网络安全设备的控制装置的结构框图；以及

图5是根据本发明另一个实施例的物理网络安全设备的控制装置的结构框图。

具体实施方式

下面详细描述本发明的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，旨在用于解释本发明，而不能理解为对本发明的限制。

下面参考附图描述本发明实施例的物理网络安全设备及其控制方法和装置。

图2是根据本发明一个实施例的物理网络安全设备的控制方法的流程图。如图2所示，该物理网络安全设备的控制方法可以包括：

S201，在物理网络安全设备上部署虚拟机，并在虚拟机上部署网络安全系统。

可以理解，虚拟化(Virtualization)是一种资源管理技术，是将计算机的各种实体资源，如服务器、网络、内存及存储等，予以抽象、转换后呈现出来，打破实体结构间的不可切割的障碍，使用户可以比原本的组态更好的方式来应用这些资源。

因此，可通过虚拟化技术在物理网络安全设备的操作系统上部署一个虚拟机，并在该虚拟上部署一个网络安全系统。由此，可通过虚拟化技术来实现在物理网络安全设备的操作系统中运行一个虚拟机形态的网络安全系统。其中，在本发明的实施例中，网络安全系统可包括但不限于防火墙、VPN(Virtual Private Network，虚拟专用网络)、UTM(Unified Threat Management，安全网关)、IPS(Intrusion Prevention System，入侵防御系统)、 IDS(Intrusion Detection Systems，入侵检测系统)和下一代防火墙(Next Generation Firewall，简称NG Firewall)等。

需要说明的是，在本发明的实施例中，虚拟机形态的网络安全系统可通过虚拟网卡进行收发网络数据包，还可通过将该虚拟机与物理网络安全设备中的物理网卡进行绑定以直接访问物理网卡，并通过该直接访问物理网卡的方式来实现虚拟机形态的网络安全系统的收发网络数据包。

其中，在本发明的一个实施例中，上述虚拟网卡可以是虚拟机中的虚拟网卡，即可以理解，在通过虚拟化平台控制在物理网络安全设备的操作系统上部署虚拟机时，还可在物理网络安全设备的操作系统上部署虚拟交换机，此时可通过虚拟机中的虚拟网卡接收网络安全系统发送的网络数据包，并将该网络数据包发送到虚拟交换机，以使虚拟交换机将该网络数据包转发到物理网卡，最终由物理网卡发出，从而实现了虚拟机形态的网络安全系统的收发网络数据包的功能。其中，该虚拟网卡的类型可为Vmxnet3、Virtio-net或Xenvirt 等。

在本发明的一个实施例中，可通过以下步骤来实现直接访问物理网卡：可控制主虚拟机通过PCI(Peripheral Component Interconnect，外设部件互连标准)透传形式访问物理网卡，并控制物理网卡绑定至主虚拟机；或者，控制主虚拟机通过SR－IOV(Single-Root I/O Virtualization，虚拟化)形式访问物理网卡，并控制物理网卡中虚拟功能模块Virtual Function(简称为VF)绑定至主虚拟机。

S202，实时监控虚拟机的运行状态，并实时对网络安全系统的运行信息进行存储。

其中，在本发明的实施例中，运行信息可包括但不限于会话表信息、ARP(Address Resolution Protocol，地址解析协议)表信息、CAM表(二层交换机的地址表)信息和路由表信息等。

S203，当虚拟机发生故障时，读取预存储的虚拟机快照，并根据预存储的虚拟机快照控制虚拟机进行恢复操作。

具体而言，在本发明的一个实施例中，预存储的虚拟机快照可在以下条件下被生成：当网络安全系统启动初始化进入正常运行状态时，针对虚拟机创建第一虚拟机快照并存储，并将存储的第一虚拟机快照作为预存储的虚拟机快照；当监控到网络安全系统的配置信息发生变化时，针对虚拟机创建第二虚拟机快照，并根据第二虚拟机快照对第一虚拟机快照进行更新以生成预存储的虚拟机快照；当监控到网络安全系统的配置信息再次发生变化时，针对虚拟机创建新的第二虚拟机快照，并根据新的第二虚拟机快照对第二虚拟机快照进行更新以生成预存储的虚拟机快照。其中，在本发明的实施例中，可通过Snapshot工具创建虚拟机快照。此外，虚拟机快照又称磁盘快照，是虚拟机磁盘文件(VMDK)在某个点及时的复本。

此外，根据第二虚拟机快照对第一虚拟机快照进行更新以生成预存储的虚拟机快照的具体实现过程可如下：删除第一虚拟机快照，并对第二虚拟机快照进行存储，并将存储的第二虚拟机快照作为预存储的虚拟机快照。

更具体地，当监控到网络安全系统启动初始化并进入正常运行状态时，可通过Snapshot 工具执行快照创建操作，创建一个初始虚拟机快照，可用于后续故障恢复。当监控到网络安全系统的配置发生改变时，例如用户修改了某个应用程序的设置时，可通过Snapshot工具再次执行快照创建操作，创建一个新的虚拟机快照，此时该新的虚拟机快照可覆盖之前的初始虚拟机快照，该新的虚拟机快照作为预存储的虚拟机快照进行存储。当监控到网络安全系统的配置再次发生变化时，可再次执行快照创建操作，创建一个新的虚拟机快照，此时可将新的虚拟机快照覆盖之前的旧的虚拟机快照，并将该新的虚拟机快照作为预存储的虚拟机快照进行存储。

也就是说，在本发明的实施例中，每当监控到网络安全系统的配置发生变化时，即可创建一个新的虚拟机快照，并将该新的虚拟机快照覆盖之前的虚拟机快照，并将该新的虚拟机快照作为预存储的虚拟机快照进行存储，即只保存最新的虚拟机快照作为预存储的虚拟机快照。其中，需要说明的是，在本发明的实施例中，虚拟机快照方式使用的是活动快照创建方式，即虚拟机正常运行过程中创建快照，并没有挂起、关闭等过程，并对虚拟机执行无任何影响。由此，用户完全感受不到快照的创建。

具体而言，在本发明的实施例中，根据预存储的虚拟机快照控制虚拟机进行恢复操作的具体实现过程可如下：根据预存储的虚拟机快照覆盖当前发生故障的虚拟机的运行状态，以恢复至预存储的虚拟机快照对应的虚拟机的运行状态。

也就是说，当监控到虚拟机发生故障，即虚拟机形态的网络安全系统产生故障时，可控制进入故障恢复过程，在故障恢复过程中可执行恢复快照操作，即恢复虚拟机之前最后创建的快照，以将运行异常状态的虚拟机恢复正常。其中，可以理解，恢复快照操作可以是覆盖当前发生故障的虚拟机运行状态，并将其恢复到最后创建快照时的运行状态，恢复内容可包括虚拟机的CPU寄存器状态、内存状态、磁盘状态、虚拟设备状态等。

需要说明的是，由于上述初始虚拟机快照是虚拟机形态的网络安全系统启动初始化并进入正常运行状态后，所创建的快照，因此，该初始虚拟机快照具有初始的运行状态，正常情况不受外部干扰，可用于替代系统重启，进入快速初始化状态。

S204，在虚拟机恢复正常运行状态时，读取已存储的网络安全系统的运行信息，并根据运行信息控制网络安全系统进行恢复操作。

可以理解，在控制虚拟机恢复正常运行状态时，此时虚拟机上的网络安全系统的运行信息还是最后创建快照时的运行信息，为了保证网络数据无中断正常传输，在虚拟机恢复正常运行状态时，还需读取实时存储的网络安全系统的运行信息，并将该运行信息恢复到当前网络安全系统中。

进一步地，在本发明的一个实施例中，在根据运行信息控制网络安全系统进行恢复操作的过程中，当监控到虚拟机仍发生故障时，该控制方法还可包括：清除已存储的运行信息，并再次根据预存储的虚拟机快照控制虚拟机进行恢复操作。也就是说，当恢复正常运行状态的网络安全系统读取运行信息之后，监控到虚拟机依旧发生故障，此时可推断出存储的运行信息发生异常，此时可清除 已存储的运行信息，并再次使用最后创建的快照控制虚拟机进行恢复操作。由此，在保证虚拟机正常工作的情况下，同时保障网络安全系统的运行信息正常。

根据本发明实施例的物理网络安全设备的控制方法，可先在物理网络安全设备上部署虚拟机，并在虚拟机上部署网络安全系统，之后，可实时监控虚拟机的运行状态，并实时对网络安全系统的运行信息进行存储，当虚拟机发生故障时，读取预存储的虚拟机快照，并根据预存储的虚拟机快照控制虚拟机进行恢复操作，以及在虚拟机恢复正常运行状态时，读取已存储的网络安全系统的运行信息，并根据运行信息控制网络安全系统进行恢复操作，即采用了虚拟机形态的网络安全系统，实现了物理硬件内部进行快速恢复的虚拟网络安全系统，大大增加了针对软件故障的高可用性，并且，在整个控制过程中，对于用户来说是透明的，无须用户进行高可用性相关配置，从成本角度考虑，与传统双击热备技术相比，大大降低了设备成本。

为了实现上述实施例，本发明还提出了一种物理网络安全设备的控制装置。

图4是根据本发明一个实施例的物理网络安全设备的控制装置的结构框图。如图4所示，该物理网络安全设备的控制装置可以包括：部署模块100、监控模块200、存储模块 300和控制模块400。

具体地，部署模块100可用于在物理网络安全设备上部署虚拟机，并在虚拟机上部署网络安全系统。可以理解，虚拟化(Virtualization)是一种资源管理技术，是将计算机的各种实体资源，如服务器、网络、内存及存储等，予以抽象、转换后呈现出来，打破实体结构间的不可切割的障碍，使用户可以比原本的组态更好的方式来应用这些资源。

因此，部署模块100可通过虚拟化技术在物理网络安全设备的操作系统上部署一个虚拟机，并在该虚拟上部署一个网络安全系统。由此，可通过虚拟化技术来实现在物理网络安全设备的操作系统中运行一个虚拟机形态的网络安全系统。其中，在本发明的实施例中，网络安全系统可包括但不限于防火墙、VPN、UTM、IPS、IDS和下一代防火墙等。

需要说明的是，在本发明的实施例中，虚拟机形态的网络安全系统可通过虚拟网卡进行收发网络数据包，还可通过将该虚拟机与物理网络安全设备中的物理网卡进行绑定以直接访问物理网卡，并通过该直接访问物理网卡的方式来实现虚拟机形态的网络安全系统的收发网络数据包。

其中，在本发明的一个实施例中，上述虚拟网卡可以是虚拟机中的虚拟网卡，即可以理解，在通过虚拟化平台控制在物理网络安全设备的操作系统上部署虚拟机时，还可在物理网络安全设备的操作系统上部署虚拟交换机，此时可通过虚拟机中的虚拟网卡接收网络安全系统发送的网络数据包，并将该网络数据包发送到虚拟交换机，以使虚拟交换机将该网络数据包转发到物理网卡，最终由物理网卡发出，从而实现了虚拟机形态的网络安全系统的收发网络数据包的功能。其中，该虚拟网卡的类型可为Vmxnet3、Virtio-net或Xenvirt 等。

在本发明的一个实施例中，可通过以下步骤来实现直接访问物理网卡：可控制主虚拟机通过PCI透传形式访问物理网卡，并控制物理网卡绑定至主虚拟机；或者，控制主虚拟机通过SR－IOV形式访问物理网卡，并控制物理网卡中虚拟功能模块(VF)绑定至主虚拟机。

监控模块200可用于实时监控虚拟机的运行状态。

存储模块300可用于实时对网络安全系统的运行信息进行存储。其中，在本发明的实施例中，运行信息可包括但不限于会话表信息、ARP表信息、CAM表信息和路由表信息等。

控制模块400可用于在虚拟机发生故障时，读取预存储的虚拟机快照，并根据预存储的虚拟机快照控制虚拟机进行恢复操作。

具体而言，在本发明的实施例中，控制模块400根据预存储的虚拟机快照控制虚拟机进行恢复操作的具体实现过程可如下：根据预存储的虚拟机快照覆盖当前发生故障的虚拟机的运行状态，以恢复至预存储的虚拟机快照对应的虚拟机的运行状态。也就是说，当监控到虚拟机发生故障，即虚拟机形态的网络安全系统产生故障时，控制模块400可控制进入故障恢复过程，在故障恢复过程中可执行恢复快照操作，即恢复虚拟机之前创建的快照，以将运行异常状态的虚拟机恢复正常。其中，可以理解，恢复快照操作可以是覆盖当前发生故障的虚拟机运行状态，并将其恢复到之前创建快照时的运行状态，恢复内容可包括虚拟机的CPU寄存器状态、内存状态、磁盘状态、虚拟设备状态等。

在本发明的实施例中，控制模块400还可用于在虚拟机恢复正常运行状态时，读取已存储的网络安全系统的运行信息，并根据运行信息控制网络安全系统进行恢复操作。可以理解，在控制虚拟机恢复正常运行状态时，此时虚拟机上的网络安全系统的运行信息还是之前创建快照时的运行信息，为了保证网络数据无中断正常传输，控制模块40在虚拟机恢复正常运行状态时，还需读取实时存储的网络安全系统的运行信息，并将该运行信息恢复到当前网络安全系统中。

进一步地，在本发明的一个实施例中，控制模块400还可用于：在根据运行信息控制网络安全系统进行恢复操作的过程中，当监控到虚拟机仍发生故障时，清除已存储的运行信息，并再次根据预存储的虚拟机快照控制虚拟机进行恢复操作。也就是说，当恢复正常运行状态的网络安全系统读取运行信息之后，监控到虚拟机依旧发生故障，此时可推断出存储的运行信息发生异常，此时控制模块400可清除已存储的运行信息，并再次使用最后创建的快照控制虚拟机进行恢复操作。由此，在保证虚拟机正常工作的情况下，同时保障网络安全系统的运行信息正常。

进一步地，在本发明的一个实施例中，如图5所示，该控制装置还可包括生成模块500，生成模块500可用于生成预存储的虚拟机快照。其中，在本发明的实施例中，生成模块500 可在以下条件下生成预存储的虚拟机快照：当网络安全系统启动初始化进入正常运行状态时，针对虚拟机创建第一虚拟机快照并存储，并将存储的第一虚拟机快照作为预存储的虚拟机快照；当监控到网络安全系统的配置信息发生变化时，针对虚拟机创建第二虚拟机快照，并根据第二虚拟机快照对第一虚拟机快照进行更新以生成预存储的虚拟机快照；当监控到网络安全系统的配置信息再次发生变化时，针对虚拟机创建新的第二虚拟机快照，并根据新的第二虚拟机快照对第二虚拟机快照进行更新以生成预存储的虚拟机快照。其中，生成模块500可通过Snapshot工具创建虚拟机快照。此外，虚拟机快照又称磁盘快照，是虚拟机磁盘文件(VMDK)在某个点及时的复本。

此外，生成模块500据第二虚拟机快照对第一虚拟机快照进行更新以生成预存储的虚拟机快照的具体实现过程可如下：删除第一虚拟机快照，并对第二虚拟机快照进行存储，并将存储的第二虚拟机快照作为预存储的虚拟机快照。

更具体地，当监控模块200监控到网络安全系统启动初始化并进入正常运行状态时，生成模块500可通过Snapshot工具执行快照创建操作，创建一个初始虚拟机快照，可用于后续故障恢复。当监控模块200监控到网络安全系统的配置发生改变时，例如用户修改了某个应用程序的设置时，生成模块500可通过Snapshot工具再次执行快照创建操作，创建一个新的虚拟机快照，此时该新的虚拟机快照可覆盖之前的初始虚拟机快照，该新的虚拟机快照作为预存储的虚拟机快照进行存储。当监控模块200监控到网络安全系统的配置再次发生变化时，生成模块500可再次执行快照创建操作，创建一个新的虚拟机快照，此时可将新的虚拟机快照覆盖之前的旧的虚拟机快照，并将该新的虚拟机快照作为预存储的虚拟机快照进行存储。

也就是说，在本发明的实施例中，每当监控模块200监控到网络安全系统的配置发生变化时，生成模块500即可创建一个新的虚拟机快照，并将该新的虚拟机快照覆盖之前的虚拟机快照，并将该新的虚拟机快照作为预存储的虚拟机快照进行存储，即只保存最新的虚拟机快照作为预存储的虚拟机快照。其中，需要说明的是，在本发明的实施例中，虚拟机快照方式使用的是活动快照创建方式，即虚拟机正常运行过程中创建快照，并没有挂起、关闭等过程，并对虚拟机执行无任何影响。由此，用户完全感受不到快照的创建。

根据本发明实施例的物理网络安全设备的控制装置，可通过部署模块在物理网络安全设备上部署虚拟机，并在虚拟机上部署网络安全系统，监控模块实时监控虚拟机的运行状态，存储模块实时对网络安全系统的运行信息进行存储，当虚拟机发生故障时，控制模块读取预存储的虚拟机快照，并根据预存储的虚拟机快照控制虚拟机进行恢复操作，以及在虚拟机恢复正常运行状态时，控制模块读取已存储的网络安全系统的运行信息，并根据运行信息控制网络安全系统进行恢复操作，即采用了虚拟机形态的网络安全系统，实现了物理硬件内部进行快速恢复的虚拟网络安全系统，大大增加了针对软件故障的高可用性，并且，在整个控制过程中，对于用户来说是透明的，无须用户进行高可用性相关配置，从成本角度考虑，与传统双击热备技术相比，大大降低了设备成本。

为了实现上述实施例，本发明还提出了一种物理网络安全设备，该物理网络安全设备可包括上述任一个实施例所述的控制装置。

根据本发明实施例的物理网络安全设备，可通过控制装置中的部署模块在物理网络安全设备上部署虚拟机，并在虚拟机上部署网络安全系统，监控模块实时监控虚拟机的运行状态，存储模块实时对网络安全系统的运行信息进行存储，当虚拟机发生故障时，控制模块读取预存储的虚拟机快照，并根据预存储的虚拟机快照控制虚拟机进行恢复操作，以及在虚拟机恢复正常运行状态时，控制模块读取已存储的网络安全系统的运行信息，并根据运行信息控制网络安全系统进行恢复操作，即采用了虚拟机形态的网络安全系统，实现了物理硬件内部进行快速恢复的虚拟网络安全系统，大大增加了针对软件故障的高可用性，并且，在整个控制过程中，对于用户来说是透明的，无须用户进行高可用性相关配置，从成本角度考虑，与传统双击热备技术相比，大大降低了设备成本。

在本发明的描述中，需要理解的是，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。

在本发明中，除非另有明确的规定和限定，第一特征在第二特征“上”或“下”可以是第一和第二特征直接接触，或第一和第二特征通过中间媒介间接接触。而且，第一特征在第二特征“之上”、“上方”和“上面”可是第一特征在第二特征正上方或斜上方，或仅仅表示第一特征水平高度高于第二特征。第一特征在第二特征“之下”、“下方”和“下面”可以是第一特征在第二特征正下方或斜下方，或仅仅表示第一特征水平高度小于第二特征。

在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外，在不相互矛盾的情况下，本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。

流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为，表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分，并且本发明的优选实施方式的范围包括另外的实现，其中可以不按所示出或讨论的顺序，包括根据所涉及的功能按基本同时的方式或按相反的顺序，来执行功能，这应被本发明的实施例所属技术领域的技术人员所理解。

在流程图中表示或在此以其他方式描述的逻辑和/或步骤，例如，可以被认为是用于实现逻辑功能的可执行指令的定序列表，可以具体实现在任何计算机可读介质中，以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用，或结合这些指令执行系统、装置或设备而使用。就本说明书而言，"计算机可读介质"可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。计算机可读介质的更具体的示例(非穷尽性列表)包括以下：具有一个或多个布线的电连接部(电子装置)，便携式计算机盘盒(磁装置)，随机存取存储器(RAM)，只读存储器(ROM)，可擦除可编辑只读存储器(EPROM或闪速存储器)，光纤装置，以及便携式光盘只读存储器(CDROM)。另外，计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质，因为可以例如通过对纸或其他介质进行光学扫描，接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序，然后将其存储在计算机存储器中。

应当理解，本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中，多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如，如果用硬件来实现，和在另一实施方式中一样，可用本领域公知的下列技术中的任一项或他们的组合来实现：具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路，具有合适的组合逻辑门电路的专用集成电路，可编程门阵列(PGA)，现场可编程门阵列(FPGA)等。

本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，该程序在执行时，包括方法实施例的步骤之一或其组合。

此外，在本发明各个实施例中的各功能单元可以集成在一个处理模块中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。

上述提到的存储介质可以是只读存储器，磁盘或光盘等。尽管上面已经示出和描述了本发明的实施例，可以理解的是，上述实施例是示例性的，不能理解为对本发明的限制，本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。