一种用于数据传输中的数据过滤故障的切换方法及系统与流程

本发明涉及数据传输技术领域，具体涉及一种用于数据传输中的数据过滤故障的切换方法及系统。

背景技术：

大型网络中为了提高网络的冗余性和稳定性，经常需要部署两个或以上的防护设备进行网络的双机热备，常见的工作模式为主防护设备对用户端向服务器传输的数据进行安全过滤。

现有技术中，在主防护设备自身发生故障时，主防护设备会通过心跳接口发送命令将数据切换到备用防护设备上，使得备用防护设备接替主防护设备对用户端向服务器传输的数据进行安全过滤；数据传输及过滤的相关设备结构图参见图1，具体的数据传输过程如下：

1、主备防护设备通过接口权重值确定主备关系，图1中以上方防护设备为主防护设备举例。

2、备用防护设备的接口b处于静默状态，不响应任何网络请求，使得数据都被发送至主防护设备的接口a。

3、整体来看客户端c访问服务端s时需要依次通过交换机(图1左)、主防护设备及交换机(图1右)后到达服务端s。

4、当因主防护设备的某一接口故障而导致整体权重值小于备防火墙时，主防护设备通过心跳接口告知备用防护设备开始工作，并同时将自身设置为静默状态，这样流量就会被发送到备防火墙上。

但若在故障切换过程中，心跳接口发生故障或主设备自身控制双机热备软件出现故障，则上述故障切换方式会导致数据无法切换及网络出现时断时续的情况。

技术实现要素：

针对现有技术中的缺陷，本发明提供一种用于数据传输中的数据过滤故障的切换方法及系统，解决了数据传输中由于主防护设备发生故障且无法将数据信息转发至备用防护设备时，需过滤数据的及时且可靠的切换，保证了数据过滤的及时性及数据传输的稳定性。

为解决上述技术问题，本发明提供以下技术方案：

一方面，本发明提供了一种用于数据传输中的数据过滤故障的切换方法，包括：

备用防护设备在用户终端经主防护设备向服务器传输数据信息的过程中，周期性地检测用于过滤当前数据信息的主防护设备；

以及，在根据检测结果确定所述主防护设备发生故障且无法将数据信息转发至所述备用防护设备时，所述备用防护设备将用于过滤当前数据信息的设备切换至自身，并对当前所述用户终端发出的数据信息进行过滤；

其中，所述备用防护设备及主防护设备均为所述高可用集群HA系统中的防护节点。

进一步的，所述周期性地检测用于过滤当前数据的主防护设备，包括：

所述备用防护设备周期性的发送广播报文，其中，所述广播报文包括申请获取所述主防护设备的物理MAC地址请求及主防护设备的互联网协议IP地址；

若所述备用防护设备在预设的时间段内，接收到所述主防护设备发送的MAC地址确认信息，则所述备用防护设备判定所述主防护设备处于正常工作状态；

若所述备用防护设备在预设的时间段内，未接收到所述主防护设备发送的MAC地址确认信息，则所述备用防护设备根据所述MAC地址确认信息判定所述主防护设备发生故障且无法将数据信息转发至所述备用防护设备。

进一步的，所述备用防护设备将用于过滤当前数据信息的设备切换至自身，并对当前所述用户终端发出的数据信息进行过滤，包括：

所述备用防护设备自行将其当前的休眠状态切换为工作状态；

并经交换机与所述用户终端通信连接，使得所述用户终端将数据信息经交换机发送至所述备用防护设备；

以及，所述备用防护设备对当前所述用户终端发出的数据信息进行过滤。

进一步的，所述方法还包括：

若所述备用防护设备经心跳接口接收到所述主备用设备发送的故障切换信息；

则所述备用防护设备根据所述故障切换信息将其当前的休眠状态切换为工作状态；

以及，所述备用防护设备对当前所述用户终端发出的数据信息进行过滤；

其中，所述心跳接口为：发生故障的主防护设备向备用防护设备发送故障切换信息所用的接口。

进一步的，所述备用防护设备对当前所述用户终端发出的数据信息进行过滤，包括：

所述备用防护设备对所述数据信息进行安全检测；

若检测到的所述数据信息为非安全信息，则所述备用防护设备对该数据信息进行拦截；

若检测到的所述数据信息为安全信息，则所述备用防护设备将所述数据信息经交换机发送至所述服务器。

进一步的，所述无法将数据信息转发至所述备用防护设备，包括：

发生故障的所述主防护设备在经所述心跳接口向所述备用防护设备发送故障切换信息时，由于所述HA系统、和/或所述心跳接口发生故障而导致的所述故障切换信息发送失败。

进一步的，所述方法还包括：

在所述备用防护设备对当前数据信息进行过滤的期间，若所述备用防护设备接收到所述主防护设备发送的故障消除信息，则所述备用防护设备根据所述故障消除信息判定所述主防护设备处于正常工作状态；

以及，所述备用防护设备自行将其当前的工作状态切换为休眠状态，使得所述主防护设备重新对当前数据信息进行过滤。

另一方面，本发明还提供一种用于数据传输中的数据过滤故障的切换系统，包括：

主防护设备检测模块，用于在用户终端经主防护设备向服务器传输数据信息的过程中，周期性地检测用于过滤当前数据信息的主防护设备；

故障切换模块，用于在根据检测结果确定所述主防护设备发生故障且无法将数据信息转发至所述备用防护设备时，将用于过滤当前数据信息的设备切换至自身，并对当前所述用户终端发出的数据信息进行过滤；

其中，所述备用防护设备及主防护设备均为所述高可用集群HA系统中的防护节点。

进一步的，所述主防护设备检测模块包括：

广播报文发送单元，用于周期性的发送广播报文，其中，所述广播报文包括申请获取所述主防护设备的物理MAC地址请求及主防护设备的互联网协议IP地址；

主防护设备正常判定单元，用于在预设的时间段内接收到所述主防护设备发送的MAC地址确认信息时，判定所述主防护设备处于正常工作状态；

主防护设备传输故障判定单元，用于在预设的时间段内未接收到所述主防护设备发送的MAC地址确认信息时，根据所述MAC地址确认信息判定所述主防护设备发生故障且无法将数据信息转发至所述备用防护设备。

进一步的，所述故障切换模块包括：

工作状态切换单元，用于自行将备用防护设备当前的休眠状态切换为工作状态；

通信连接单元，用于经交换机与所述用户终端通信连接，使得所述用户终端将数据信息经交换机发送至所述备用防护设备；

信息过滤单元，用于对当前所述用户终端发出的数据信息进行过滤。

由上述技术方案可知，本发明所述的一种用于数据传输中的数据过滤故障的切换方法及系统，该方法包括备用防护设备在用户终端经主防护设备向服务器传输数据信息的过程中，周期性地检测用于过滤当前数据信息的主防护设备；以及在根据检测结果确定主防护设备发生故障且无法将数据信息转发至备用防护设备时，将用于过滤当前数据信息的设备切换至自身，并对当前用户终端发出的数据信息进行过滤。该系统包括主防护设备检测模块及故障切换模块。本发明解决了数据传输中由于主防护设备发生故障且无法将数据信息转发至备用防护设备时，需过滤数据的及时且可靠的切换，保证了数据过滤的及时性及数据传输的稳定性，数据过滤故障在双机设备失联时确定主备关系，从而保证网络流量的正常转发。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是现有技术中的数据传输及过滤的相关设备结构图；

图2是本发明实施例一中的一种数据过滤故障的切换方法的流程示意图；

图3是本发明实施例二中的方法中步骤100的流程示意图；

图4是本发明实施例三中的方法中步骤200的流程示意图；

图5是本发明实施例四中的包括步骤300的一种数据过滤故障的切换方法的流程示意图；

图6是本发明实施例五中的方法中步骤203或302的流程示意图；

图7是本发明实施例六中的包括步骤400及500的一种数据过滤故障的切换方法的流程示意图；

图8是本发明实施例七中的一种数据过滤故障的切换系统的结构框图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整的描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明的实施例一提供了一种数据过滤故障的切换方法。参见图2，该切换方法具体包括如下步骤：

步骤100：备用防护设备在用户终端经主防护设备向服务器传输数据信息的过程中，周期性地检测用于过滤当前数据信息的主防护设备。

在本步骤中，备用防护设备及主防护设备均为高可用集群HA系统中的防护节点；主备防护设备通过接口权重值确定主备关系，在主防护设备过滤用户终端经向服务器传输数据信息时，备用防护设备的接口周期性地检测主防护设备。

步骤200：在根据检测结果确定主防护设备发生故障且无法将数据信息转发至备用防护设备时，备用防护设备将用于过滤当前数据信息的设备切换至自身，并对当前用户终端发出的数据信息进行过滤。

在本步骤中，备用防护设备在根据检测结果确定主防护设备正常工作时，该备用防护设备不响应任何网络请求，使得数据都被发送至主防护设备的接口；而备用防护设备在根据检测结果确定主防护设备发生故障，但其却为收到主防护设备发送的故障切换信息时，备用防护设备判定主防护设备发生故障且无法将数据信息转发至备用防护设备；其后备用防护设备接替主防护设备，将用于过滤当前数据信息的设备切换至自身，并对当前用户终端发出的数据信息进行过滤，其中，无法将数据信息转发至备用防护设备的原因为：发生故障的主防护设备在经心跳接口向备用防护设备发送故障切换信息时，由于HA系统、和/或心跳接口发生故障而导致的故障切换信息发送失败，心跳接口为：发生故障的主防护设备向备用防护设备发送故障切换信息所用的接口。

从上述描述可知，本发明的实施例实现了在主防护设备发生故障且无法将数据信息转发至备用防护设备时，备用防护设备能够根据其自行检测的判定结果，直接接替发生故障的主防护设备，不需要得到主防护设备允许，以保证在高可用集群HA系统或心跳接口发生故障时，仍能保证数据的正常过滤与传输。

本发明的实施例二提供了上述方法中步骤100的一种具体实施方式。参见图3，该步骤100具体包括如下步骤：

步骤101：备用防护设备周期性的发送广播报文。

在本步骤中，广播报文包括申请获取主防护设备的物理MAC地址请求及主防护设备的互联网协议IP地址。

步骤102：若备用防护设备在预设的时间段内，接收到主防护设备发送的MAC地址确认信息，则备用防护设备判定主防护设备处于正常工作状态。

步骤103：若备用防护设备在预设的时间段内，未接收到主防护设备发送的MAC地址确认信息，则备用防护设备根据MAC地址确认信息判定主防护设备发生故障且无法将数据信息转发至备用防护设备。

从上述描述可知，本发明的实施例通过发送广播报文及在预设时间内是否接收到反馈信息，实现了对主防护设备是否发生故障的有效且可靠的检测。

本发明的实施例三提供了上述方法中步骤200的一种具体实施方式。参见图4，该步骤200具体包括如下步骤：

步骤201：备用防护设备自行将其当前的休眠状态切换为工作状态。

步骤202：经交换机与用户终端通信连接，使得用户终端将数据信息经交换机发送至备用防护设备。

步骤203：备用防护设备对当前用户终端发出的数据信息进行过滤。

从上述描述可知，本发明的实施例实现了备用防护设备将用于过滤当前数据信息的设备切换至自身，并对当前用户终端发出的数据信息进行过滤的过程，完成了对数据过滤故障的切换，保证了整个数据传输过程的可靠性。

本发明的实施例四提供了包括步骤300的一种数据过滤故障的切换方法的一种具体实施方式。该步骤300与步骤100及200之间无固定的逻辑顺序，其为在步骤100及200期间可能发生的一种情形。

参见图5，该步骤300具体包括如下步骤：

步骤301：若备用防护设备经心跳接口接收到主备用设备发送的故障切换信息；则备用防护设备根据故障切换信息将其当前的休眠状态切换为工作状态；

步骤302：备用防护设备对当前用户终端发出的数据信息进行过滤。

从上述描述可知，本发明的实施例给出了备用防护设备直接接受到主防护设备的故障切换信息的情形，保证了备用防护设备主动获取故障的同时，也可以根据主防护设备的授意直接对数据信息进行过滤。

本发明的实施例五提供了上述方法中步骤203或302的一种具体实施方式。参见图6，该步骤203或302的具体包括如下步骤：

步骤a：备用防护设备对数据信息进行安全检测。

步骤b：若检测到的数据信息为非安全信息，则备用防护设备对该数据信息进行拦截。

步骤c：若检测到的数据信息为安全信息，则备用防护设备将数据信息经交换机发送至服务器。

从上述描述可知，本发明的实施例给出了备用防护设备对当前用户终端发出的数据信息进行过滤的具体过程，保证了备用防护设备接替主防护设备后进行数据过滤的完整过程。

本发明的实施例六提供了包括步骤400及500的一种数据过滤故障的切换方法的一种具体实施方式。参见图7，该步骤400及500具体包括如下步骤：

步骤400：在备用防护设备对当前数据信息进行过滤的期间，若备用防护设备接收到主防护设备发送的故障消除信息，则备用防护设备根据故障消除信息判定主防护设备处于正常工作状态。

步骤500：备用防护设备自行将其当前的工作状态切换为休眠状态，使得主防护设备重新对当前数据信息进行过滤。

从上述描述可知，本发明的实施例给出了在备用防护设备替代主防护设备工作的期间，若主防护设备故障恢复，则备用防护设备重新将过滤权交至主防护设备，完成主防护设备故障恢复的快速切换。

为更进一步的说明本方案，本发明还提供了一种数据过滤故障的切换方法的具体应用实例。在该应用实例中，防护设备以防火墙作为距离进行说明；该具体应用实例包括如下内容：

当发生上述故障时备防火墙的接口发送设备广播ARP报文，请求主防火墙IP地址对应的MAC地址，由于主备防火墙都接入到同一交换机上，主防火墙的接口会收到广播报文并进行回复，

如果备防火墙接口收到主防火墙接口的回复报文，则证明主防火墙仍然工作正常。

如果备防火墙接口无法收到主防火墙接口的回复，则证明主墙无法工作，此时主防火墙已经无法执行正常的网络报文转发，备防火墙需要将自身从静默状态恢复到正常工作模式从而进行网络转发工作。

从上述描述可知，本发明实现了在主防护设备发生故障且无法将数据信息转发至备用防护设备时，备用防护设备能够根据其自行检测的判定结果，直接接替发生故障的主防护设备，不需要得到主防护设备允许，以保证在高可用集群HA系统或心跳接口发生故障时，仍能保证数据的正常过滤与传输。

本发明的实施例七提供了一种数据过滤故障的切换系统的一种具体实施方式。参见图8，该切换系统具体包括如下步骤：

主防护设备检测模块10，用于在用户终端经主防护设备向服务器传输数据信息的过程中，周期性地检测用于过滤当前数据信息的主防护设备；

在主防护设备检测模块10中，还包括：

广播报文发送单元11，用于周期性的发送广播报文，其中，广播报文包括申请获取主防护设备的物理MAC地址请求及主防护设备的互联网协议IP地址。

主防护设备正常判定单元12，用于在预设的时间段内接收到主防护设备发送的MAC地址确认信息时，判定主防护设备处于正常工作状态。

主防护设备传输故障判定单元13，用于在预设的时间段内未接收到主防护设备发送的MAC地址确认信息时，根据MAC地址确认信息判定主防护设备发生故障且无法将数据信息转发至备用防护设备。

故障切换模块20，用于在根据检测结果确定主防护设备发生故障且无法将数据信息转发至备用防护设备时，将用于过滤当前数据信息的设备切换至自身，并对当前用户终端发出的数据信息进行过滤。

在故障切换模块20中，还包括：

工作状态切换单元21，用于自行将备用防护设备当前的休眠状态切换为工作状态；

通信连接单元22，用于经交换机与用户终端通信连接，使得用户终端将数据信息经交换机发送至备用防护设备。

信息过滤单元23，用于对当前用户终端发出的数据信息进行过滤。

其中，备用防护设备及主防护设备均为高可用集群HA系统中的防护节点。

从上述描述可知，本发明的系统解决了数据传输中由于主防护设备发生故障且无法将数据信息转发至备用防护设备时，需过滤数据的及时且可靠的切换，保证了数据过滤的及时性及数据传输的稳定性，数据过滤故障在双机设备失联时确定主备关系，从而保证网络流量的正常转发。

最后应说明的是：以上各实施例仅用以说明本发明的实施例的技术方案，而非对其限制；尽管参照前述各实施例对本发明的实施例进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明的实施例各实施例技术方案的范围。