專利名稱:安全網(wǎng)關(guān)集群防病毒的方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域�,尤其涉及一種安全網(wǎng)關(guān)集群防病毒的方法及系 統(tǒng)���。
背景技術(shù):
隨著網(wǎng)絡(luò)技術(shù)與網(wǎng)絡(luò)安全技術(shù)的不斷發(fā)展,傳統(tǒng)的安全網(wǎng)關(guān)功能已經(jīng)不能滿足日 益出現(xiàn)的各種新需求����。傳統(tǒng)的安全網(wǎng)關(guān)只在網(wǎng)絡(luò)層做集中訪問控制�,對(duì)應(yīng)用層的安全無能 為力,新一代的安全網(wǎng)關(guān)需要對(duì)應(yīng)用層的安全也進(jìn)行集中控制�����,以實(shí)現(xiàn)網(wǎng)絡(luò)從二層到七層 的立體安全控制��。在新興的應(yīng)用層安全功能中�,防病毒功能有著非常重要的地位,安全網(wǎng)關(guān) 需要對(duì)經(jīng)過安全網(wǎng)關(guān)的FTP��,HTTP, P0P3, SMTP, IMAP等流量進(jìn)行實(shí)時(shí)病毒掃描�����,對(duì)比文件中 的內(nèi)容和防病毒庫(kù)中存儲(chǔ)的特征碼���,并對(duì)含有病毒的文件進(jìn)行相關(guān)處理�����,如果傳輸?shù)奈募?是某種壓縮格式的文件��,則病毒掃描模塊需要將文件進(jìn)行壓縮���,掃描其中所有的文件�����,以實(shí) 現(xiàn)全面的殺毒功能���。安全網(wǎng)關(guān)殺毒是CPU密集型動(dòng)作,如果數(shù)據(jù)流量較大�,防病毒模塊會(huì)占 用比較多的處理器時(shí)間和內(nèi)存,將不可避免的對(duì)整個(gè)系統(tǒng)的其他功能產(chǎn)生一定的影響���,降 低系統(tǒng)的使用效能���。為了提高安全網(wǎng)關(guān)殺毒的能力,一般通過將需要進(jìn)行病毒掃描的流量通過一定的 方式分配到不同的安全網(wǎng)關(guān)集群設(shè)備上��,以此來提高整個(gè)系統(tǒng)的吞吐率�。目前主要有兩種 實(shí)現(xiàn)方法第一種方法����,通過在安全網(wǎng)關(guān)集群上進(jìn)行多個(gè)工作組的劃分���,也達(dá)到負(fù)載均衡的 效果�,不同的殺毒流量被強(qiáng)行的發(fā)送到集群中的不同工作組�����,集群中的每一個(gè)工作組在接 收到流量后都會(huì)進(jìn)行處理��,從而實(shí)現(xiàn)殺毒流量的靜態(tài)負(fù)載均衡�����。采用靜態(tài)負(fù)載均衡方式進(jìn) 行組網(wǎng)�����,安全網(wǎng)關(guān)集群對(duì)外表現(xiàn)為多個(gè)邏輯設(shè)備�,上下游設(shè)備必須進(jìn)行復(fù)雜的配置���。同時(shí)流 量不能根據(jù)安全網(wǎng)關(guān)集群中的每個(gè)設(shè)備的狀態(tài)進(jìn)行負(fù)載均衡�����,只能按照定義好的策略進(jìn)行 流量發(fā)送��。同時(shí)集群中的安全網(wǎng)關(guān)設(shè)備對(duì)于接收到的流量不能進(jìn)行選擇性的處理�����,只要上 下游設(shè)備發(fā)送過來就必須處理���。第二種方法�����,通過在網(wǎng)絡(luò)中添加專用負(fù)載均衡設(shè)備��,可以達(dá)到動(dòng)態(tài)的負(fù)載均衡效 果�����。利用專用設(shè)備的高層協(xié)議識(shí)別與流量動(dòng)態(tài)均衡能力����,可以根據(jù)流量以及安全網(wǎng)關(guān)集群 設(shè)備的狀態(tài)來實(shí)現(xiàn)殺毒流量的動(dòng)態(tài)負(fù)載均衡?;趯S秘?fù)載均衡設(shè)備的動(dòng)態(tài)負(fù)載均衡方案 缺點(diǎn)也很明顯,一般的專用負(fù)載均衡設(shè)備非常昂貴����,同時(shí)如果要排除網(wǎng)絡(luò)中的單點(diǎn)故障,必 須以雙機(jī)熱備的模式進(jìn)行網(wǎng)絡(luò)搭建�,導(dǎo)致在擴(kuò)大了投入的同時(shí)浪費(fèi)了負(fù)載均衡備份安全網(wǎng) 關(guān)以及安全網(wǎng)關(guān)集群備份安全網(wǎng)關(guān)的系統(tǒng)資源。
發(fā)明內(nèi)容
鑒于上述的分析����,本發(fā)明旨在提供一種安全網(wǎng)關(guān)集群防病毒的方法及系統(tǒng),用以 解決現(xiàn)有技術(shù)中存在的通過將需要進(jìn)行病毒掃描的流量通過一定的方式分配到不同的安 全網(wǎng)關(guān)集群設(shè)備上所帶來的諸多問題��。
本發(fā)明的目的主要是通過以下技術(shù)方案實(shí)現(xiàn)的本發(fā)明提供了一種實(shí)現(xiàn)安全網(wǎng)關(guān)集群防病毒的方法��,包括安全網(wǎng)關(guān)集群預(yù)先在多個(gè)安全網(wǎng)關(guān)設(shè)備中選舉其中一個(gè)作為主安全網(wǎng)關(guān)�����,其他作 為備份安全網(wǎng)關(guān)�����;所述主安全網(wǎng)關(guān)對(duì)接收到的數(shù)據(jù)流進(jìn)行識(shí)別����,識(shí)別出需要進(jìn)行殺毒的數(shù)據(jù)流,并 且通過查詢集群狀態(tài)數(shù)據(jù)庫(kù)和采用預(yù)定負(fù)載均衡策略將需要進(jìn)行殺毒的數(shù)據(jù)流發(fā)送到其 選定的備份安全網(wǎng)關(guān)上��;所述選定的備份安全網(wǎng)關(guān)將接收到的需要進(jìn)行殺毒的數(shù)據(jù)流進(jìn)行殺毒處理��,并將 經(jīng)過殺毒處理的數(shù)據(jù)流封裝成數(shù)據(jù)包后發(fā)送給所述主安全網(wǎng)關(guān)�;所述主安全網(wǎng)關(guān)在接收到所述選定的備份安全網(wǎng)關(guān)發(fā)送的經(jīng)殺毒處理的數(shù)據(jù)包 后,對(duì)所述數(shù)據(jù)包進(jìn)行解封裝�,然后按正常處理流程對(duì)所述數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)。進(jìn)一步地����,所述安全網(wǎng)關(guān)集群預(yù)先在多個(gè)安全網(wǎng)關(guān)設(shè)備中選舉其中一個(gè)作為主安 全網(wǎng)關(guān),其他作為備份安全網(wǎng)關(guān)的步驟具體包括所述安全網(wǎng)關(guān)集群根據(jù)設(shè)定的安全網(wǎng)關(guān)設(shè)備優(yōu)先級(jí)選舉其中一個(gè)作為主安全網(wǎng) 關(guān)���,其他作為備份安全網(wǎng)關(guān)�����;并且所述安全網(wǎng)關(guān)集群還用于對(duì)安全網(wǎng)關(guān)設(shè)備的每一個(gè)監(jiān)控 接口進(jìn)行權(quán)值設(shè)定�����,在優(yōu)先級(jí)一致時(shí)��,根據(jù)不同的接口權(quán)值進(jìn)行選擇主安全網(wǎng)關(guān)���。進(jìn)一步地���,所述方法還包括當(dāng)所述安全網(wǎng)關(guān)集群檢測(cè)到當(dāng)前主安全網(wǎng)關(guān)發(fā)生異 常情況不能正常工作后,根據(jù)優(yōu)先級(jí)算法在所有備份安全網(wǎng)關(guān)中重新選取一個(gè)作為主安全 網(wǎng)關(guān)�����,并進(jìn)行主安全網(wǎng)關(guān)的遷移處理�����。進(jìn)一步地���,所述主安全網(wǎng)關(guān)對(duì)接收到的數(shù)據(jù)流進(jìn)行識(shí)別,識(shí)別出需要進(jìn)行殺毒的 數(shù)據(jù)流��,并且根據(jù)預(yù)定負(fù)載均衡策略將需要進(jìn)行殺毒的數(shù)據(jù)流發(fā)送到其選定的備份安全網(wǎng) 關(guān)上的步驟具體包括所述主安全網(wǎng)關(guān)對(duì)接收到的數(shù)據(jù)流進(jìn)行安全規(guī)則匹配�,對(duì)需要進(jìn)行殺毒處理的數(shù) 據(jù)流及其連接表進(jìn)行標(biāo)記;然后根據(jù)預(yù)定負(fù)載均衡策略將需要進(jìn)行殺毒的數(shù)據(jù)流發(fā)送到其 選定的備份安全網(wǎng)關(guān)上進(jìn)行殺毒處理�����;其中,所述安全規(guī)則中包含對(duì)數(shù)據(jù)流中符合TCP/IP 協(xié)議的IP報(bào)文的五元組屬性要求���;所述預(yù)定負(fù)載均衡策略為輪詢算法�、權(quán)重輪詢算法或 者動(dòng)態(tài)輪詢算法����。進(jìn)一步地,所述方法還包括所述主安全網(wǎng)關(guān)實(shí)時(shí)監(jiān)控安全網(wǎng)關(guān)集群的所有備份 安全網(wǎng)關(guān)的狀態(tài)��,當(dāng)確定有某個(gè)備份安全網(wǎng)關(guān)失效時(shí)�,對(duì)該備份安全網(wǎng)關(guān)進(jìn)行屏蔽,并將該 備份安全網(wǎng)關(guān)的工作轉(zhuǎn)移到集群中的其他設(shè)備�。本發(fā)明還提供了一種實(shí)現(xiàn)安全網(wǎng)關(guān)集群防病毒的系統(tǒng),包括多個(gè)安全網(wǎng)關(guān)設(shè)備 組成的安全網(wǎng)關(guān)集群��,其中���,所述安全網(wǎng)關(guān)集群��,用于預(yù)先在多個(gè)安全網(wǎng)關(guān)設(shè)備中選舉其中一個(gè)作為主安全網(wǎng) 關(guān)�����,其他作為備份安全網(wǎng)關(guān)���;所述主安全網(wǎng)關(guān)��,用于對(duì)接收到的數(shù)據(jù)流進(jìn)行識(shí)別���,識(shí)別出需要進(jìn)行殺毒的數(shù)據(jù) 流,并且根據(jù)預(yù)定負(fù)載均衡策略將需要進(jìn)行殺毒的數(shù)據(jù)流發(fā)送到其選定的備份安全網(wǎng)關(guān) 上��;并且所述主安全網(wǎng)關(guān)還用于在接收到所述選定的備份安全網(wǎng)關(guān)發(fā)送的經(jīng)殺毒處理的數(shù) 據(jù)包后��,對(duì)數(shù)據(jù)包進(jìn)行解封裝�,然后按正常處理流程對(duì)所述數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā);所述備份安全網(wǎng)關(guān)��,用于將接收到的需要進(jìn)行殺毒的數(shù)據(jù)流進(jìn)行殺毒處理���,并將經(jīng)過殺毒處理的數(shù)據(jù)流封裝成數(shù)據(jù)包后發(fā)送給所述主安全網(wǎng)關(guān)進(jìn)行轉(zhuǎn)發(fā)���。進(jìn)一步地,所述安全網(wǎng)關(guān)集群具體用于����,根據(jù)設(shè)定的安全網(wǎng)關(guān)設(shè)備優(yōu)先級(jí)選舉其 中一個(gè)作為主安全網(wǎng)關(guān)�,其他作為備份安全網(wǎng)關(guān)����;并且所述安全網(wǎng)關(guān)集群還用于對(duì)安全網(wǎng) 關(guān)設(shè)備的每一個(gè)監(jiān)控接口進(jìn)行權(quán)值設(shè)定��,在優(yōu)先級(jí)一致時(shí)����,根據(jù)不同的接口權(quán)值進(jìn)行選擇 主安全網(wǎng)關(guān)。進(jìn)一步地�����,所述安全網(wǎng)關(guān)集群還用于�����,當(dāng)檢測(cè)到當(dāng)前主安全網(wǎng)關(guān)發(fā)生異常情況不 能正常工作后����,根據(jù)優(yōu)先級(jí)算法在所有備份安全網(wǎng)關(guān)中重新選取一個(gè)作為主安全網(wǎng)關(guān),并 進(jìn)行主安全網(wǎng)關(guān)的遷移處理���。進(jìn)一步地���,所述主安全網(wǎng)關(guān)具體包括流量檢測(cè)模塊和負(fù)載均衡模塊�����,其中��,所述流量檢測(cè)模塊��,用于對(duì)接收到的數(shù)據(jù)流進(jìn)行安全規(guī)則匹配�,對(duì)需要進(jìn)行殺毒 處理的數(shù)據(jù)流及其連接表進(jìn)行標(biāo)記���;所述安全規(guī)則中包含對(duì)數(shù)據(jù)流中符合TCP/IP協(xié)議的 IP報(bào)文的五元組屬性要求���;所述負(fù)載均衡模塊,用于根據(jù)預(yù)定負(fù)載均衡策略將需要進(jìn)行殺毒的數(shù)據(jù)流發(fā)送到 其選定的備份安全網(wǎng)關(guān)上進(jìn)行殺毒處理���;所述預(yù)定負(fù)載均衡策略為輪詢算法���、權(quán)重輪詢 算法或者動(dòng)態(tài)輪詢算法。進(jìn)一步地�,所述主安全網(wǎng)關(guān)還用于,實(shí)時(shí)監(jiān)控安全網(wǎng)關(guān)集群的所有備份安全網(wǎng)關(guān) 的狀態(tài)��,當(dāng)確定有某個(gè)備份安全網(wǎng)關(guān)失效時(shí)��,根據(jù)負(fù)載均衡策略將該備份安全網(wǎng)關(guān)上的數(shù) 據(jù)流發(fā)送到其他備份安全網(wǎng)關(guān)上�����。本發(fā)明有益效果如下本發(fā)明通過安全網(wǎng)關(guān)集群主設(shè)備對(duì)需要病毒掃描的流量在安全網(wǎng)關(guān)集群間進(jìn)行 動(dòng)態(tài)負(fù)載均衡��,實(shí)現(xiàn)集群內(nèi)負(fù)載均衡功能����。同時(shí)當(dāng)集群中的一臺(tái)設(shè)備出現(xiàn)故障后,流量會(huì)自 動(dòng)的在集群的剩余設(shè)備間進(jìn)行重新分配���,當(dāng)安全網(wǎng)關(guān)集群的主設(shè)備出現(xiàn)故障后����,集群可以 自動(dòng)進(jìn)行新的主設(shè)備選舉���,并接管集群負(fù)載均衡功能�,實(shí)現(xiàn)了安全網(wǎng)關(guān)集群的透明性與高 性能的統(tǒng)一����,在保持安全網(wǎng)關(guān)集群高可用性的基礎(chǔ)上,通過有效的動(dòng)態(tài)負(fù)載均衡機(jī)制���,提升 了安全網(wǎng)關(guān)集群的整體資源利用率���。同時(shí)安全網(wǎng)關(guān)集群具有很好的伸縮性和擴(kuò)展性���,可在 不改變網(wǎng)絡(luò)拓?fù)涞臈l件下,通過簡(jiǎn)單增加新的安全網(wǎng)關(guān)來提升安全網(wǎng)關(guān)殺毒的吞吐率�����。本發(fā)明的其他特征和優(yōu)點(diǎn)將在隨后的說明書中闡述����,并且從說明書中變得顯而易 見,或者通過實(shí)施本發(fā)明而了解���。本發(fā)明的目的和其他優(yōu)點(diǎn)可通過在所寫的說明書���、權(quán)利要 求書、以及附圖中所特別指出的結(jié)構(gòu)來實(shí)現(xiàn)和獲得���。
圖1為本發(fā)明所述方法的流程示意圖�;圖2為本發(fā)明所述方法實(shí)例中的一個(gè)安全網(wǎng)關(guān)集群的拓?fù)浣Y(jié)構(gòu)示意圖;圖3為本發(fā)明所述系統(tǒng)的結(jié)構(gòu)示意圖�����。
具體實(shí)施例方式下面結(jié)合附圖來具體描述本發(fā)明的優(yōu)選實(shí)施例���,其中,附圖構(gòu)成本申請(qǐng)一部分�,并 與本發(fā)明的實(shí)施例一起用于闡釋本發(fā)明的原理。為了清楚和簡(jiǎn)化目的�,當(dāng)其可能使本發(fā)明 的主題模糊不清時(shí),將省略本文所描述的器件中已知功能和結(jié)構(gòu)的詳細(xì)具體說明�����。
首先結(jié)合附圖1對(duì)本發(fā)明所述方法進(jìn)行詳細(xì)說明�。如圖1所示,圖1為本發(fā)明所述方法的流程示意圖��,具體可以包括如下步驟步驟101 安全網(wǎng)關(guān)集群預(yù)先在多個(gè)安全網(wǎng)關(guān)設(shè)備中選舉其中一個(gè)作為主安全網(wǎng) 關(guān)�,其他作為備份安全網(wǎng)關(guān);具體的說就是����,由于要實(shí)現(xiàn)病毒掃描(AV)流量在安全網(wǎng)關(guān)集 群內(nèi)進(jìn)行負(fù)載均衡功能,并且支持安全網(wǎng)關(guān)集群透明接入上下游網(wǎng)絡(luò)環(huán)境,安全網(wǎng)關(guān)集群 必須在內(nèi)部選舉出一個(gè)主安全網(wǎng)關(guān)負(fù)責(zé)與上下游網(wǎng)絡(luò)環(huán)境進(jìn)行流量的交互處理���,其他的做 為備份安全網(wǎng)關(guān)只與主安全網(wǎng)關(guān)通信���,與上下游環(huán)境保持透明關(guān)系;其中���,選舉過程具體包括安全網(wǎng)關(guān)集群根據(jù)設(shè)定的設(shè)備優(yōu)先級(jí)選擇主安全網(wǎng)關(guān) 與備份安全網(wǎng)關(guān)�����,優(yōu)先級(jí)高的為主安全網(wǎng)關(guān)���,其余為備份安全網(wǎng)關(guān)。同時(shí)可以對(duì)安全網(wǎng)關(guān)的 每一個(gè)監(jiān)控接口進(jìn)行權(quán)值設(shè)定�����,權(quán)值越大代表這個(gè)接口的可用性越高�����,在設(shè)備優(yōu)先級(jí)一致 的情況下�,安全網(wǎng)關(guān)集群可以根據(jù)不同的接口權(quán)值進(jìn)行主安全網(wǎng)關(guān)的選舉���;步驟102 主安全網(wǎng)關(guān)對(duì)接收到的數(shù)據(jù)流進(jìn)行識(shí)別,識(shí)別出需要進(jìn)行殺毒的數(shù)據(jù) 流����,并且根據(jù)預(yù)定負(fù)載均衡策略將需要進(jìn)行殺毒的數(shù)據(jù)流發(fā)送到其選定的備份安全網(wǎng)關(guān) 上;具體的說就是�����,在數(shù)據(jù)包進(jìn)入主安全網(wǎng)關(guān)后首先進(jìn)行安全規(guī)則匹配����,安全規(guī)則中包含對(duì) 數(shù)據(jù)包中符合TCP/IP協(xié)議的IP報(bào)文的五元組屬性要求���,同時(shí)安全規(guī)則中還包含有需要對(duì) 數(shù)據(jù)包進(jìn)行的殺毒策略��。數(shù)據(jù)包在匹配了一條安全規(guī)則后則不再繼續(xù)進(jìn)行其他安全規(guī)則的 匹配�����,相匹配的安全策略會(huì)對(duì)需要進(jìn)行防病毒處理的數(shù)據(jù)流及其連接表進(jìn)行標(biāo)記��;然后通 過查詢集群狀態(tài)數(shù)據(jù)庫(kù)以及動(dòng)態(tài)負(fù)載均衡策略確定數(shù)據(jù)包被發(fā)送到集群中的哪個(gè)備份安 全網(wǎng)關(guān)上���,通過安全網(wǎng)關(guān)集群專用的心跳接口將數(shù)據(jù)包封裝���,發(fā)送到相應(yīng)的備份安全網(wǎng)關(guān); 安全網(wǎng)關(guān)集群狀態(tài)數(shù)據(jù)庫(kù)數(shù)據(jù)記錄了整個(gè)集群的狀態(tài)信息���,狀態(tài)信息包含集群中每個(gè)成員 設(shè)備的CPU利用率��,內(nèi)存利用率����,連接數(shù)大小�����,接口狀態(tài)信息����,設(shè)備優(yōu)先級(jí)信息,病毒庫(kù)信息 等�����。在連接表被標(biāo)記后��,所有匹配這條連接的后續(xù)報(bào)文都會(huì)被主安全網(wǎng)關(guān)發(fā)送到相同的備 份安全網(wǎng)關(guān)進(jìn)行處理,在進(jìn)行流量負(fù)載均衡的同時(shí)��,保證同一個(gè)流之間的數(shù)據(jù)包被指派到 同一個(gè)備份安全網(wǎng)關(guān)上�,保證服務(wù)和數(shù)據(jù)的一致性;步驟103 備份安全網(wǎng)關(guān)將接收到的需要進(jìn)行殺毒的數(shù)據(jù)流進(jìn)行殺毒處理����,并將 經(jīng)過殺毒處理的數(shù)據(jù)流封裝成數(shù)據(jù)包后發(fā)送給主安全網(wǎng)關(guān);具體的說就是�����,備份安全網(wǎng)關(guān) 接收到心跳口傳送過來的數(shù)據(jù)包后��,對(duì)數(shù)據(jù)包進(jìn)行解封裝后進(jìn)行病毒掃描處理���,并將病毒 掃描(AV)后的流量進(jìn)行重新封裝后通過備份安全網(wǎng)關(guān)的心跳口將流量發(fā)送回主安全網(wǎng) 關(guān);步驟104 主安全網(wǎng)關(guān)接收到備份安全網(wǎng)關(guān)發(fā)送的經(jīng)殺毒處理的數(shù)據(jù)包后���,對(duì)數(shù) 據(jù)包進(jìn)行解封裝�����,然后按正常處理流程對(duì)數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)�����。本發(fā)明所述方法還包括當(dāng)安全網(wǎng)關(guān)集群檢測(cè)到主安全網(wǎng)關(guān)發(fā)生異常情況不能正常工作后(設(shè)備硬件故 障�,監(jiān)控接口故障,監(jiān)控軟件故障)�����,會(huì)根據(jù)優(yōu)先級(jí)算法在安全網(wǎng)關(guān)集群設(shè)備間進(jìn)行主安全 網(wǎng)關(guān)的遷移工作�;主安全網(wǎng)關(guān)遷移后,新的主安全網(wǎng)關(guān)接管整個(gè)安全網(wǎng)關(guān)集群對(duì)外的所有 功能�����,同時(shí)根據(jù)安全網(wǎng)關(guān)集群狀態(tài)數(shù)據(jù)庫(kù)負(fù)責(zé)對(duì)接收的流量進(jìn)行負(fù)載均衡的工作��。并且�,主安全網(wǎng)關(guān)實(shí)時(shí)監(jiān)控集群中其他設(shè)備狀態(tài),當(dāng)有備份安全網(wǎng)關(guān)失效后可以 實(shí)時(shí)調(diào)整負(fù)載均衡策略�����,對(duì)該備份安全網(wǎng)關(guān)進(jìn)行屏蔽�,并將該備份安全網(wǎng)關(guān)的工作轉(zhuǎn)移到 集群中的其他設(shè)備;具體的說就是��,一旦主安全網(wǎng)關(guān)檢測(cè)到集群中有失效的備份安全網(wǎng)關(guān),
7會(huì)立即將其屏蔽���,并通知安全網(wǎng)關(guān)集群中的其他設(shè)備更新本地的安全網(wǎng)關(guān)集群狀態(tài)數(shù)據(jù) 庫(kù)��,使其不再參與集群的運(yùn)算和負(fù)載均衡���,并將工作轉(zhuǎn)移到集群中的其他設(shè)備;并且如果主 安全網(wǎng)關(guān)檢測(cè)到集群中的一臺(tái)設(shè)備暫時(shí)無法工作��,則再檢測(cè)兩次��,除非全都失敗才認(rèn)為該 設(shè)備失效�,從而保證不會(huì)因?yàn)閱闻_(tái)安全網(wǎng)關(guān)設(shè)備暫時(shí)忙而對(duì)其進(jìn)行錯(cuò)誤屏蔽,導(dǎo)致中斷正 常連接從而降低整個(gè)安全網(wǎng)關(guān)集群的效率�����。安全網(wǎng)關(guān)集群中的其他備份節(jié)點(diǎn)除了處理主安全網(wǎng)關(guān)分配的流量外�,也會(huì)和其他 設(shè)備進(jìn)行內(nèi)部狀態(tài)檢測(cè)��,通過監(jiān)控主安全網(wǎng)關(guān)的運(yùn)行狀況���,確保集群中的每一個(gè)設(shè)備都有 一個(gè)統(tǒng)一的安全網(wǎng)關(guān)集群狀態(tài)數(shù)據(jù)庫(kù)��,可以在主安全網(wǎng)關(guān)失效時(shí)立刻進(jìn)行新的主安全網(wǎng)關(guān) 選舉���,避免主安全網(wǎng)關(guān)單點(diǎn)故障�����。在本發(fā)明中����,安全網(wǎng)關(guān)集群負(fù)載均衡策略可以為RR(Roimd Robin��,輪詢)算法�����、 WRR(ffeight Round Robin�,權(quán)重輪詢)算法或者 DRR(Dynamic RoundRobin,動(dòng)態(tài)輪詢)算 法���,具體說明如下RR算法最簡(jiǎn)單也最容易實(shí)現(xiàn)的一種方法���。在整個(gè)安全網(wǎng)關(guān)集群中,每個(gè)安全網(wǎng) 關(guān)節(jié)點(diǎn)都具有相同的地位��,算法在安全網(wǎng)關(guān)集群中的每一個(gè)節(jié)點(diǎn)循環(huán)輪轉(zhuǎn)選擇,集群中的 每個(gè)節(jié)點(diǎn)都在相同的地位下被輪流選擇�����。這種方法的優(yōu)點(diǎn)是簡(jiǎn)單�����,減少集群系統(tǒng)之間的的 通信���,節(jié)約系統(tǒng)資源���,適用于集群中所有節(jié)點(diǎn)處理能力和性能都相同的情況。WRR算法在輪詢算法的基礎(chǔ)上加入了權(quán)重的概念��,可以為集群中的每一個(gè)設(shè)備 添加一個(gè)權(quán)重值�,當(dāng)系統(tǒng)執(zhí)行輪詢算法的時(shí)候可以根據(jù)不同的權(quán)重值判斷集群中節(jié)點(diǎn)的不 同地位,從而分配相應(yīng)的流量��??梢愿鶕?jù)不同設(shè)備不同的處理能力設(shè)定不同的權(quán)值,處理能 力高的設(shè)備可以被分配到更多的流量�。DRR算法由于網(wǎng)絡(luò)流量分布式與安全網(wǎng)關(guān)設(shè)備工作狀態(tài)的不確定性�,靜態(tài)均衡 算法不能根據(jù)負(fù)載和設(shè)備本身的狀態(tài)對(duì)流量進(jìn)行調(diào)整��,本質(zhì)上不能保證真正的負(fù)載均衡�, 這時(shí)就要采用動(dòng)態(tài)負(fù)載均衡的方案����。整個(gè)安全網(wǎng)關(guān)集群的狀態(tài)數(shù)據(jù)庫(kù)會(huì)定期更新,當(dāng)主安 全網(wǎng)關(guān)進(jìn)行數(shù)據(jù)負(fù)載均衡的時(shí)候�����,會(huì)根據(jù)集群狀態(tài)數(shù)據(jù)庫(kù)動(dòng)態(tài)調(diào)整負(fù)載均衡機(jī)制���,當(dāng)檢測(cè) 到了一個(gè)設(shè)備處理能力下降或是不能正常工作后�,會(huì)減少發(fā)向該設(shè)備的流量�����,將多余流量 負(fù)載均衡到集群中的其他設(shè)備上��。安全網(wǎng)關(guān)集群中的每一個(gè)設(shè)備都會(huì)建立一個(gè)統(tǒng)一的集群 狀態(tài)數(shù)據(jù)庫(kù)�。該數(shù)據(jù)庫(kù)包含有安全網(wǎng)關(guān)集群中每一個(gè)設(shè)備的連接狀態(tài)信息,接口狀態(tài)信息�����, CPU狀態(tài)信息,內(nèi)存狀態(tài)信息���,設(shè)備權(quán)重信息等����。每個(gè)集群設(shè)備的狀態(tài)信息自動(dòng)推送到安全 網(wǎng)關(guān)集群中�,集群中其他的設(shè)備在收到其他設(shè)備的狀態(tài)信息后會(huì)實(shí)時(shí)更新自己的集群狀態(tài) 數(shù)據(jù)庫(kù)信息。安全網(wǎng)關(guān)集群內(nèi)的每一個(gè)節(jié)點(diǎn)組成互相監(jiān)控相互備份的集群系統(tǒng)����,實(shí)現(xiàn)集群 內(nèi)部數(shù)據(jù)的一致性。 安全網(wǎng)關(guān)集群狀態(tài)數(shù)據(jù)庫(kù)需要維護(hù)兩張表��,一張為發(fā)送者表�����,一張為接收者表����,發(fā) 送者表中數(shù)據(jù)表明對(duì)應(yīng)安全網(wǎng)關(guān)集群節(jié)點(diǎn)負(fù)載大于其閾值需要遷移任務(wù),接收者表中記錄 表明對(duì)應(yīng)節(jié)點(diǎn)負(fù)載小于其閾值可以接受新的任務(wù)��。每張表中的內(nèi)容通過集群間的狀態(tài)信息 進(jìn)行實(shí)時(shí)更新,確保安全網(wǎng)關(guān)集群中的主安全網(wǎng)關(guān)可以根據(jù)表中的實(shí)時(shí)信息進(jìn)行流量的動(dòng) 態(tài)負(fù)載均衡����。 動(dòng)態(tài)輪詢算法不再簡(jiǎn)單的遍歷集群中的每一個(gè)設(shè)備或是根據(jù)靜態(tài)的權(quán)重值進(jìn)行 負(fù)載的分配�,會(huì)根據(jù)不同節(jié)點(diǎn)的工作狀態(tài)動(dòng)態(tài)調(diào)整到相應(yīng)節(jié)點(diǎn)的流量,當(dāng)一個(gè)節(jié)點(diǎn)處理能 力下降后��,會(huì)將流量動(dòng)態(tài)的負(fù)載到其他可用設(shè)備上�。
為了進(jìn)一步理解本發(fā)明所述方法,下面將舉個(gè)具體的實(shí)例進(jìn)行說明�����。如圖2所示����,圖2為一個(gè)安全網(wǎng)關(guān)集群的拓?fù)浣Y(jié)構(gòu)示意圖,包括防火墻A��、防火墻 B���、防火墻C和防火墻D組成一個(gè)安全網(wǎng)關(guān)集群��,該集群通過SWITCH-I和SWITCH-2接入網(wǎng) 絡(luò)環(huán)境��,集群對(duì)外表現(xiàn)為一臺(tái)獨(dú)立的邏輯設(shè)備��,對(duì)外只有一個(gè)IP地址��,網(wǎng)絡(luò)中的其他設(shè)備 不用關(guān)心集群內(nèi)設(shè)備的個(gè)數(shù)以及組網(wǎng)情況�����。集群內(nèi)的安全網(wǎng)關(guān)通過SWITCH-3將各自的心 跳口進(jìn)行連接��,通過集群優(yōu)先級(jí)算法選舉出A為主安全網(wǎng)關(guān)�����,其他設(shè)備為備份安全網(wǎng)關(guān)�����。上 下游設(shè)備發(fā)送到集群的流量都會(huì)被送到主安全網(wǎng)關(guān)A上�����,A安全網(wǎng)關(guān)對(duì)接收的流量進(jìn)行分 析識(shí)別����,對(duì)需要病毒掃描(AV)的流量根據(jù)動(dòng)態(tài)負(fù)載均衡策略通過專用接口發(fā)送到相應(yīng)的 備份安全網(wǎng)關(guān)�。下面結(jié)合附圖3對(duì)本發(fā)明所述系統(tǒng)進(jìn)行詳細(xì)說明�。如圖3所示,圖3為本發(fā)明實(shí)施例所述系統(tǒng)的結(jié)構(gòu)示意圖�,具體可以包括包含多 個(gè)安全網(wǎng)關(guān)的安全網(wǎng)關(guān)集群、主安全網(wǎng)關(guān)以及備份安全網(wǎng)關(guān)�����,為了能夠進(jìn)行主備設(shè)備間的 無縫切換���,需要在集群中的每一個(gè)安全網(wǎng)關(guān)都應(yīng)該有相同的安全策略,病毒庫(kù)以及連接表 信息��,這些信息在集群的工作過程中可以自動(dòng)的在集群間進(jìn)行同步�����,確保切換后對(duì)流量有 一致的處理行為���。(—)安全網(wǎng)關(guān)集群�����,包括多個(gè)安全網(wǎng)關(guān)設(shè)備����,對(duì)外表現(xiàn)為一個(gè)邏輯上獨(dú)立的安 全網(wǎng)關(guān),主要負(fù)責(zé)在多個(gè)安全網(wǎng)關(guān)設(shè)備中選舉其中一個(gè)作為主安全網(wǎng)關(guān)�,其他作為備份安 全網(wǎng)關(guān);具體的說就是�,由于要實(shí)現(xiàn)病毒掃描(AV)流量在安全網(wǎng)關(guān)集群內(nèi)進(jìn)行負(fù)載均衡功 能,并且支持安全網(wǎng)關(guān)集群透明接入上下游網(wǎng)絡(luò)環(huán)境�����,安全網(wǎng)關(guān)集群必須在內(nèi)部選舉出一 個(gè)主安全網(wǎng)關(guān)負(fù)責(zé)與上下游網(wǎng)絡(luò)環(huán)境進(jìn)行流量的交互處理����,其他的做為備份安全網(wǎng)關(guān)只與 主安全網(wǎng)關(guān)通信,與上下游環(huán)境保持透明關(guān)系����;其中,選舉過程具體包括安全網(wǎng)關(guān)集群根 據(jù)設(shè)定的設(shè)備優(yōu)先級(jí)選擇主安全網(wǎng)關(guān)與備份安全網(wǎng)關(guān)��,優(yōu)先級(jí)高的為主安全網(wǎng)關(guān)�,其余為 備份安全網(wǎng)關(guān)。同時(shí)可以對(duì)安全網(wǎng)關(guān)的每一個(gè)監(jiān)控接口進(jìn)行權(quán)值設(shè)定��,權(quán)值越大代表這個(gè) 接口的可用性越高�����,在設(shè)備優(yōu)先級(jí)一致的情況下,安全網(wǎng)關(guān)集群可以根據(jù)不同的接口權(quán)值 進(jìn)行主安全網(wǎng)關(guān)的選舉���;并且�,當(dāng)安全網(wǎng)關(guān)集群檢測(cè)到主安全網(wǎng)關(guān)發(fā)生異常情況不能正常 工作后(設(shè)備硬件故障��,監(jiān)控接口故障���,監(jiān)控軟件故障),會(huì)根據(jù)優(yōu)先級(jí)算法在安全網(wǎng)關(guān)集 群設(shè)備間進(jìn)行主安全網(wǎng)關(guān)的遷移工作����;主安全網(wǎng)關(guān)遷移后,新的主安全網(wǎng)關(guān)接管整個(gè)安全 網(wǎng)關(guān)集群對(duì)外的所有功能����,同時(shí)根據(jù)安全網(wǎng)關(guān)集群狀態(tài)數(shù)據(jù)庫(kù)負(fù)責(zé)對(duì)接收的流量進(jìn)行負(fù)載 均衡的工作。(二)主安全網(wǎng)關(guān)���,用于主安全網(wǎng)關(guān)主要負(fù)責(zé)整個(gè)安全網(wǎng)關(guān)集群流量的負(fù)載均衡 工作����,并且作為經(jīng)過安全網(wǎng)關(guān)集群流量的唯一出入口,所有由備份安全網(wǎng)關(guān)處理的流量最 后還需要通過主安全網(wǎng)關(guān)進(jìn)行發(fā)送�����;具體的說就是����,對(duì)接收到的數(shù)據(jù)流進(jìn)行識(shí)別,識(shí)別出需 要進(jìn)行殺毒的數(shù)據(jù)流��,并且根據(jù)預(yù)定負(fù)載均衡策略將需要進(jìn)行殺毒的數(shù)據(jù)流發(fā)送到其選定 的備份安全網(wǎng)關(guān)上����;并且在接收到備份安全網(wǎng)關(guān)發(fā)送的經(jīng)殺毒處理的數(shù)據(jù)包后,對(duì)數(shù)據(jù)包 進(jìn)行解封裝���,然后按正常處理流程進(jìn)行數(shù)據(jù)包的轉(zhuǎn)發(fā)�;主安全網(wǎng)關(guān)具體可以包括流量檢測(cè)模塊和負(fù)載均衡模塊����,其中,流量檢測(cè)模塊���,用于對(duì)接收到的數(shù)據(jù)流進(jìn)行安全規(guī)則匹配��,安全規(guī)則中包含對(duì)數(shù) 據(jù)包中符合TCP/IP協(xié)議的IP報(bào)文的五元組屬性要求��,對(duì)需要進(jìn)行防病毒處理的流量及其 連接表進(jìn)行標(biāo)記�����;
負(fù)載均衡模塊���,用于通過查詢集群狀態(tài)數(shù)據(jù)庫(kù)以及動(dòng)態(tài)負(fù)載均衡策略確定數(shù)據(jù)包 被發(fā)送到集群中的哪個(gè)備份安全網(wǎng)關(guān)上����,通過安全網(wǎng)關(guān)集群專用的心跳接口將數(shù)據(jù)包封 裝�����,發(fā)送到相應(yīng)的備份安全網(wǎng)關(guān)�����;所述預(yù)定負(fù)載均衡策略可以為輪詢算法���、權(quán)重輪詢算法 或者動(dòng)態(tài)輪詢算法;并且��,主安全網(wǎng)關(guān)還要實(shí)時(shí)監(jiān)控安全網(wǎng)關(guān)集群的所有備份安全網(wǎng)關(guān)的狀態(tài),當(dāng)確 定有某個(gè)備份安全網(wǎng)關(guān)失效時(shí)���,對(duì)該備份安全網(wǎng)關(guān)進(jìn)行屏蔽����,并將該備份安全網(wǎng)關(guān)的工作 轉(zhuǎn)移到集群中的其他設(shè)備�����。(三)備份安全網(wǎng)關(guān)��,用于將接收到的需要進(jìn)行殺毒的數(shù)據(jù)流進(jìn)行殺毒處理�,并將 經(jīng)過殺毒處理的數(shù)據(jù)流封裝成數(shù)據(jù)包后發(fā)送給主安全網(wǎng)關(guān)進(jìn)行轉(zhuǎn)發(fā);具體的說就是��,備份 安全網(wǎng)關(guān)接收到心跳口傳送過來的數(shù)據(jù)包后����,對(duì)數(shù)據(jù)包進(jìn)行解封裝后進(jìn)行病毒掃描處理, 并將病毒掃描(AV)后的流量進(jìn)行重新封裝后通過備份安全網(wǎng)關(guān)的心跳口將流量發(fā)送回主 安全網(wǎng)關(guān)�;同時(shí),備份設(shè)備也必須監(jiān)控整個(gè)集群的狀態(tài)�����,以便在當(dāng)前主安全網(wǎng)關(guān)失效、重新 選舉主安全網(wǎng)關(guān)后�����,新產(chǎn)生的主安全網(wǎng)關(guān)可以實(shí)時(shí)接管對(duì)整個(gè)集群的功能�����。綜上所述����,本發(fā)明提供了一種安全網(wǎng)關(guān)集群防病毒的方法及系統(tǒng),安全網(wǎng)關(guān)集群 對(duì)外表現(xiàn)為一個(gè)邏輯上獨(dú)立的安全網(wǎng)關(guān)�,在集群內(nèi)部通過專有算法進(jìn)行主安全網(wǎng)關(guān)選舉, 選舉出來的主安全網(wǎng)關(guān)會(huì)對(duì)集群中的其他設(shè)備進(jìn)行狀態(tài)檢查與關(guān)鍵信息同步等工作����,集群 中的其他設(shè)備為備份安全網(wǎng)關(guān)。除主安全網(wǎng)關(guān)外��,集群中的備份安全網(wǎng)關(guān)也監(jiān)控整個(gè)集群 的狀態(tài)信息����,在檢測(cè)到主安全網(wǎng)關(guān)失效后,可以自動(dòng)進(jìn)行新的主安全網(wǎng)關(guān)選舉�����,由于之前備 份安全網(wǎng)關(guān)也進(jìn)行了整個(gè)集群的狀態(tài)檢測(cè)��,在新選舉的主安全網(wǎng)關(guān)上可以做到對(duì)需要病毒 掃描(AV)流量的無縫負(fù)載均衡�����。主安全網(wǎng)關(guān)負(fù)責(zé)與外界環(huán)境進(jìn)行通信���,備份安全網(wǎng)關(guān)只負(fù) 責(zé)處理主墻發(fā)送的流量�����,所有備份安全網(wǎng)關(guān)處理后的流量都通過專有通道由主安全網(wǎng)關(guān)進(jìn) 行重新轉(zhuǎn)發(fā)�,確保整個(gè)集群透明接入網(wǎng)絡(luò)�。本發(fā)明實(shí)現(xiàn)了在安全網(wǎng)關(guān)集群內(nèi)對(duì)病毒掃描(AV)流量的動(dòng)態(tài)負(fù)載均衡,解決了 安全網(wǎng)關(guān)集群靜態(tài)負(fù)載均衡方式接入網(wǎng)絡(luò)復(fù)雜�����,靈活性低以及在網(wǎng)絡(luò)中使用專用負(fù)載均衡 設(shè)備投入大�����,資源浪費(fèi)等問題。新的系統(tǒng)模型有方案性價(jià)比高����、易于實(shí)現(xiàn)、系統(tǒng)強(qiáng)健�����、安全性 和可管理性強(qiáng)的優(yōu)點(diǎn)����。在現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)基礎(chǔ)之上提供一種廉價(jià),有效����,透明的方法,來提 升安全網(wǎng)關(guān)集群設(shè)備利用率和病毒掃描流量吞吐率����。以上所述,僅為本發(fā)明較佳的具體實(shí)施方式
�,但本發(fā)明的保護(hù)范圍并不局限于此, 任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi)���,可輕易想到的變化或替換��, 都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)��。因此���,本發(fā)明的保護(hù)范圍應(yīng)該以權(quán)利要求書的保護(hù)范 圍為準(zhǔn)。
10
權(quán)利要求
一種實(shí)現(xiàn)安全網(wǎng)關(guān)集群防病毒的方法�����,其特征在于�����,包括安全網(wǎng)關(guān)集群預(yù)先在多個(gè)安全網(wǎng)關(guān)設(shè)備中選舉其中一個(gè)作為主安全網(wǎng)關(guān)�,其他作為備份安全網(wǎng)關(guān);所述主安全網(wǎng)關(guān)對(duì)接收到的數(shù)據(jù)流進(jìn)行識(shí)別�,識(shí)別出需要進(jìn)行殺毒的數(shù)據(jù)流,并且通過查詢集群狀態(tài)數(shù)據(jù)庫(kù)和采用預(yù)定負(fù)載均衡策略將需要進(jìn)行殺毒的數(shù)據(jù)流發(fā)送到其選定的備份安全網(wǎng)關(guān)上���;所述選定的備份安全網(wǎng)關(guān)將接收到的需要進(jìn)行殺毒的數(shù)據(jù)流進(jìn)行殺毒處理�����,并將經(jīng)過殺毒處理的數(shù)據(jù)流封裝成數(shù)據(jù)包后發(fā)送給所述主安全網(wǎng)關(guān)��;所述主安全網(wǎng)關(guān)在接收到所述選定的備份安全網(wǎng)關(guān)發(fā)送的經(jīng)殺毒處理的數(shù)據(jù)包后��,對(duì)所述數(shù)據(jù)包進(jìn)行解封裝�,然后按正常處理流程對(duì)所述數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)。
2.根據(jù)權(quán)利要求1所述的方法����,其特征在于,所述安全網(wǎng)關(guān)集群預(yù)先在多個(gè)安全網(wǎng)關(guān) 設(shè)備中選舉其中一個(gè)作為主安全網(wǎng)關(guān)���,其他作為備份安全網(wǎng)關(guān)的步驟具體包括所述安全網(wǎng)關(guān)集群根據(jù)設(shè)定的安全網(wǎng)關(guān)設(shè)備優(yōu)先級(jí)選舉其中一個(gè)作為主安全網(wǎng)關(guān)���,其 他作為備份安全網(wǎng)關(guān);并且所述安全網(wǎng)關(guān)集群還用于對(duì)安全網(wǎng)關(guān)設(shè)備的每一個(gè)監(jiān)控接口進(jìn) 行權(quán)值設(shè)定��,在優(yōu)先級(jí)一致時(shí)����,根據(jù)不同的接口權(quán)值進(jìn)行選擇主安全網(wǎng)關(guān)。
3.根據(jù)權(quán)利要求1或2所述的方法�����,其特征在于,所述方法還包括當(dāng)所述安全網(wǎng)關(guān)集 群檢測(cè)到當(dāng)前主安全網(wǎng)關(guān)發(fā)生異常情況不能正常工作后���,根據(jù)優(yōu)先級(jí)算法在所有備份安全 網(wǎng)關(guān)中重新選取一個(gè)作為主安全網(wǎng)關(guān),并進(jìn)行主安全網(wǎng)關(guān)的遷移處理�����。
4.根據(jù)權(quán)利要求1或2所述的方法�����,其特征在于�����,所述主安全網(wǎng)關(guān)對(duì)接收到的數(shù)據(jù)流進(jìn) 行識(shí)別���,識(shí)別出需要進(jìn)行殺毒的數(shù)據(jù)流��,并且根據(jù)預(yù)定負(fù)載均衡策略將需要進(jìn)行殺毒的數(shù) 據(jù)流發(fā)送到其選定的備份安全網(wǎng)關(guān)上的步驟具體包括所述主安全網(wǎng)關(guān)對(duì)接收到的數(shù)據(jù)流進(jìn)行安全規(guī)則匹配����,對(duì)需要進(jìn)行殺毒處理的數(shù)據(jù)流 及其連接表進(jìn)行標(biāo)記���;然后根據(jù)預(yù)定負(fù)載均衡策略將需要進(jìn)行殺毒的數(shù)據(jù)流發(fā)送到其選定 的備份安全網(wǎng)關(guān)上進(jìn)行殺毒處理��;其中�,所述安全規(guī)則中包含對(duì)數(shù)據(jù)流中符合TCP/IP協(xié)議 的IP報(bào)文的五元組屬性要求;所述預(yù)定負(fù)載均衡策略為輪詢算法�、權(quán)重輪詢算法或者動(dòng) 態(tài)輪詢算法。
5.根據(jù)權(quán)利要求1或2所述的方法����,其特征在于,所述方法還包括所述主安全網(wǎng)關(guān)實(shí) 時(shí)監(jiān)控安全網(wǎng)關(guān)集群的所有備份安全網(wǎng)關(guān)的狀態(tài)�,當(dāng)確定有某個(gè)備份安全網(wǎng)關(guān)失效時(shí),對(duì) 該備份安全網(wǎng)關(guān)進(jìn)行屏蔽�����,并將該備份安全網(wǎng)關(guān)的工作轉(zhuǎn)移到集群中的其他設(shè)備�。
6.一種實(shí)現(xiàn)安全網(wǎng)關(guān)集群防病毒的系統(tǒng),其特征在于�����,包括多個(gè)安全網(wǎng)關(guān)設(shè)備組成 的安全網(wǎng)關(guān)集群�,其中,所述安全網(wǎng)關(guān)集群,用于預(yù)先在多個(gè)安全網(wǎng)關(guān)設(shè)備中選舉其中一個(gè)作為主安全網(wǎng)關(guān)��, 其他作為備份安全網(wǎng)關(guān)��;所述主安全網(wǎng)關(guān)���,用于對(duì)接收到的數(shù)據(jù)流進(jìn)行識(shí)別��,識(shí)別出需要進(jìn)行殺毒的數(shù)據(jù)流,并 且根據(jù)預(yù)定負(fù)載均衡策略將需要進(jìn)行殺毒的數(shù)據(jù)流發(fā)送到其選定的備份安全網(wǎng)關(guān)上�����;并且 所述主安全網(wǎng)關(guān)還用于在接收到所述選定的備份安全網(wǎng)關(guān)發(fā)送的經(jīng)殺毒處理的數(shù)據(jù)包后�, 對(duì)數(shù)據(jù)包進(jìn)行解封裝,然后按正常處理流程對(duì)所述數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)�;所述備份安全網(wǎng)關(guān),用于將接收到的需要進(jìn)行殺毒的數(shù)據(jù)流進(jìn)行殺毒處理�,并將經(jīng)過 殺毒處理的數(shù)據(jù)流封裝成數(shù)據(jù)包后發(fā)送給所述主安全網(wǎng)關(guān)進(jìn)行轉(zhuǎn)發(fā)。
7.根據(jù)權(quán)利要求6所述的系統(tǒng)�,其特征在于,所述安全網(wǎng)關(guān)集群具體用于�,根據(jù)設(shè)定的 安全網(wǎng)關(guān)設(shè)備優(yōu)先級(jí)選舉其中一個(gè)作為主安全網(wǎng)關(guān),其他作為備份安全網(wǎng)關(guān)����;并且所述安 全網(wǎng)關(guān)集群還用于對(duì)安全網(wǎng)關(guān)設(shè)備的每一個(gè)監(jiān)控接口進(jìn)行權(quán)值設(shè)定����,在優(yōu)先級(jí)一致時(shí)�,根 據(jù)不同的接口權(quán)值進(jìn)行選擇主安全網(wǎng)關(guān)。
8.根據(jù)權(quán)利要求6或7所述的系統(tǒng)���,其特征在于�,所述安全網(wǎng)關(guān)集群還用于�����,當(dāng)檢測(cè)到 當(dāng)前主安全網(wǎng)關(guān)發(fā)生異常情況不能正常工作后����,根據(jù)優(yōu)先級(jí)算法在所有備份安全網(wǎng)關(guān)中重 新選取一個(gè)作為主安全網(wǎng)關(guān),并進(jìn)行主安全網(wǎng)關(guān)的遷移處理���。
9.根據(jù)權(quán)利要求6或7所述的系統(tǒng)�,其特征在于���,所述主安全網(wǎng)關(guān)具體包括流量檢測(cè) 模塊和負(fù)載均衡模塊�����,其中��,所述流量檢測(cè)模塊���,用于對(duì)接收到的數(shù)據(jù)流進(jìn)行安全規(guī)則匹配�����,對(duì)需要進(jìn)行殺毒處理 的數(shù)據(jù)流及其連接表進(jìn)行標(biāo)記��;所述安全規(guī)則中包含對(duì)數(shù)據(jù)流中符合TCP/IP協(xié)議的IP報(bào) 文的五元組屬性要求;所述負(fù)載均衡模塊���,用于根據(jù)預(yù)定負(fù)載均衡策略將需要進(jìn)行殺毒的數(shù)據(jù)流發(fā)送到其選 定的備份安全網(wǎng)關(guān)上進(jìn)行殺毒處理�����;所述預(yù)定負(fù)載均衡策略為輪詢算法����、權(quán)重輪詢算法 或者動(dòng)態(tài)輪詢算法����。
10.根據(jù)權(quán)利要求6或7所述的系統(tǒng)�,其特征在于�,所述主安全網(wǎng)關(guān)還用于,實(shí)時(shí)監(jiān)控安 全網(wǎng)關(guān)集群的所有備份安全網(wǎng)關(guān)的狀態(tài)��,當(dāng)確定有某個(gè)備份安全網(wǎng)關(guān)失效時(shí)����,根據(jù)負(fù)載均 衡策略將該備份安全網(wǎng)關(guān)上的數(shù)據(jù)流發(fā)送到其他備份安全網(wǎng)關(guān)上。
全文摘要
本發(fā)明公開了一種實(shí)現(xiàn)安全網(wǎng)關(guān)集群防病毒的方法及系統(tǒng)�,其中方法包括安全網(wǎng)關(guān)集群預(yù)先在多個(gè)安全網(wǎng)關(guān)設(shè)備中選舉其中一個(gè)作為主安全網(wǎng)關(guān),其他作為備份安全網(wǎng)關(guān)�;主安全網(wǎng)關(guān)識(shí)別出需要進(jìn)行殺毒的數(shù)據(jù)流,通過查詢集群狀態(tài)數(shù)據(jù)庫(kù)和預(yù)定負(fù)載均衡策略將需要進(jìn)行殺毒的數(shù)據(jù)流發(fā)送到備份安全網(wǎng)關(guān)上�;備份安全網(wǎng)關(guān)將接收到的需要進(jìn)行殺毒的數(shù)據(jù)流進(jìn)行殺毒處理,并將經(jīng)過處理的數(shù)據(jù)流封裝后發(fā)送給主安全網(wǎng)關(guān)����;主安全網(wǎng)關(guān)對(duì)經(jīng)殺毒處理的數(shù)據(jù)包進(jìn)行解封裝并轉(zhuǎn)發(fā);本發(fā)明實(shí)現(xiàn)了安全網(wǎng)關(guān)集群的透明性與高性能的統(tǒng)一����,在保持安全網(wǎng)關(guān)集群高可用性的基礎(chǔ)上,通過有效的動(dòng)態(tài)負(fù)載均衡機(jī)制����,提升了安全網(wǎng)關(guān)集群的整體資源利用率���。
文檔編號(hào)H04L12/56GK101909067SQ201010263358
公開日2010年12月8日 申請(qǐng)日期2010年8月26日 優(yōu)先權(quán)日2010年8月26日
發(fā)明者范雪儉 申請(qǐng)人:北京天融信科技有限公司