專利名稱:一種雙機熱備的防火墻系統(tǒng)的制作方法
技術領域:
本實用新型涉及一種防火墻系統(tǒng)�����,尤其是涉及一種雙機熱備的防火墻系統(tǒng)�����。
背景技術:
網(wǎng)絡安全可以分為數(shù)據(jù)安全和服務安全兩個層次��。數(shù)據(jù)安全是防止信息被非法探聽�����;服務安全是使網(wǎng)絡系統(tǒng)提供不間斷的通暢的對外服務�����。從嚴格的意義上講�����,只有物理上完全隔離的網(wǎng)絡系統(tǒng)才是安全的��。但為了實際生產(chǎn)以及信息交換的需要�����,采用完全隔離手段保障網(wǎng)絡安全很少被采用�。在有了對外的聯(lián)系之后,網(wǎng)絡安全的目的就是使不良用心的人竊聽數(shù)據(jù)�����、破壞服務的成本提高到他們不能承受的程度���。這里的成本包括設備成本��、人力成本��、時間成本等多方面的因素���。
實用新型內(nèi)容本實用新型的目的就是為了克服上述現(xiàn)有技術存在的缺陷而提供一種更安全、更有效�,且處理能力提高一倍的雙機熱備的防火墻系統(tǒng)。本實用新型的目的可以通過以下技術方案來實現(xiàn)一種雙機熱備的防火墻系統(tǒng)�����, 設在因特網(wǎng)與電腦之間����,其特征在于,所述的防火墻系統(tǒng)包括交換機A�、交換機B、交換機C��、 交換機D����、防火墻A、防火墻B�����、交換機Al、交換機Bi�、交換機Cl和交換機D1,所述的交換機A 與交換機B連接�,交換機A與防火墻A連接,交換機B與防火墻B連接��,所述的交換機C與交換機D連接����,交換機C與防火墻A連接,交換機D與防火墻B連接�����,所述的交換機Al與交換機Bl連接�����,交換機Al與防火墻A連接�����,交換機Bl與防火墻B連接���,所述的交換機Cl與交換機Dl連接���,交換機Cl與防火墻A連接,交換機Dl與防火墻B連接�,所述的交換機A、交換機B���、交換機C�����、交換機D均與因特網(wǎng)連接���,所示的交換機Al、交換機Bi���、交換機Cl和交換機Dl各自與電腦連接�。所述的防火墻系統(tǒng)與因特網(wǎng)之間還連接有路由器�。與現(xiàn)有技術相比,本實用新型具有以下優(yōu)點1�、本防火墻系統(tǒng)冗余體系更安全、更有效�;2���、整個系統(tǒng)的防火墻處理能力可比傳統(tǒng)技術提高一倍。
圖1為本實用新型的結(jié)構示意圖�。
具體實施方式
以下結(jié)合附圖和具體實施例對本實用新型進行詳細說明。實施例如圖1所示����,一種雙機熱備的防火墻系統(tǒng),設在因特網(wǎng)與電腦之間���。防火墻系統(tǒng)包括交換機A�����、交換機B�����、交換機C����、交換機D�����、防火墻A、防火墻B�、交換機Al、交換機Bi�、交換機Cl和交換機Dl��。交換機A與交換機B連接�,交換機A與防火墻A連接,交換機B與防火墻B 連接�。交換機C與交換機D連接,交換機C與防火墻A連接�����,交換機D與防火墻B連接����。交換機Al與交換機Bl連接,交換機Al與防火墻A連接��,交換機Bl與防火墻B連接��。交換機 Cl與交換機Dl連接���,交換機Cl與防火墻A連接���,交換機Dl與防火墻B連接���。交換機A、交換機B��、交換機C�����、交換機D均與因特網(wǎng)連接��。交換機Al�、交換機Bi、交換機Cl和交換機Dl 各自與電腦連接��。防火墻系統(tǒng)與因特網(wǎng)之間還連接有路由器�����。本防火墻系統(tǒng)是通過Juniper的冗余協(xié)議NSRP����,類似于VRRP (HSRP)但在其基礎上有很大的改進,現(xiàn)詳細介紹如下Juniper為了實現(xiàn)更安全、更有效的防火墻冗余體系��,開發(fā)了專有的防火墻HA工作的協(xié)議NSRP��,NSRP協(xié)議借鑒了 VRRP協(xié)議�����,而且彌補了 VRRP協(xié)議的不足����,是針對安全設備的HA協(xié)議�����。NSRP實現(xiàn)了 ①在HA組成員之間鏡像配置����,在發(fā)生故障切換時確保正確的行為。②可以在HA組中維護所有活動會話和VPN隧道��。③故障切換算法根據(jù)系統(tǒng)健康狀態(tài)確定哪個系統(tǒng)是主系統(tǒng)�,把狀態(tài)與相鄰系統(tǒng)連接起來或監(jiān)控從本系統(tǒng)到遠端的路徑。④無論活動會話和VPN隧道的數(shù)量有多少��,故障檢測和切換到備用系統(tǒng)可以在低于一秒時間內(nèi)完成。⑤整個系統(tǒng)的防火墻處理能力提高一倍�����。⑥Juniper的中高端防火墻更支持全網(wǎng)狀的Active/Active HA��,避免低級的網(wǎng)絡故障導致Juniper防火墻的不可用�。Juniper設備處于“路由”或NAT模式時,可以將冗余集群中的兩臺設備都配置為主動���,通過具有負載均衡能力的路由器����,運行諸如“虛擬路由器冗余協(xié)議(VRRP) ”等協(xié)議����,共享它們之間分配的流量。通過使用“Netkreen冗余協(xié)議(NSRP) ”創(chuàng)建兩個虛擬安全設備 (VSD)組��,每個組都具有自己的虛擬安全接口(VSI)�����,即可實現(xiàn)此目的����。防火墻A充當VSD 組1的主設備�����,并充當VSD組2的備份設備�����。防火墻B充當VSD組2的主設備��,并充當VSD 組1的備份設備��。此配置稱為雙主動(請參閱下圖)。由于設備冗余�,因此不存在單一故障點。負載分擔的方式是通過同一 VLAN內(nèi)一部分設備的網(wǎng)關指向一臺防火墻的端口 ip地址����,另一部分設備的網(wǎng)網(wǎng)關指向另一臺防火墻的端口 ip地址。故障切換后����,該VLAN的所有設備都指向同一防火墻的物理端口(邏輯上具備兩個同網(wǎng)段的IP地址,作為不同設備的缺省網(wǎng)關IP地址)�����。
權利要求1.一種雙機熱備的防火墻系統(tǒng),設在因特網(wǎng)與電腦之間�,其特征在于,所述的防火墻系統(tǒng)包括交換機A�、交換機B、交換機C���、交換機D����、防火墻A����、防火墻B、交換機Al���、交換機Bi����、交換機Cl和交換機D1���,所述的交換機A與交換機B連接�����,交換機A與防火墻A連接�,交換機B 與防火墻B連接,所述的交換機C與交換機D連接��,交換機C與防火墻A連接��,交換機D與防火墻B連接��,所述的交換機Al與交換機Bl連接��,交換機Al與防火墻A連接����,交換機Bl 與防火墻B連接,所述的交換機Cl與交換機Dl連接��,交換機Cl與防火墻A連接��,交換機Dl 與防火墻B連接�����,所述的交換機A���、交換機B���、交換機C、交換機D均與因特網(wǎng)連接�����,所示的交換機Al�����、交換機Bi����、交換機Cl和交換機Dl各自與電腦連接。
2.根據(jù)權利要求1所述的一種雙機熱備的防火墻系統(tǒng)��,其特征在于�����,所述的防火墻系統(tǒng)與因特網(wǎng)之間還連接有路由器�。
專利摘要本實用新型涉及一種雙機熱備的防火墻系統(tǒng),設在因特網(wǎng)與電腦之間��,所述的防火墻系統(tǒng)包括交換機A、交換機B��、交換機C��、交換機D����、防火墻A、防火墻B�、交換機A1、交換機B1�、交換機C1和交換機D1。與現(xiàn)有技術相比�,本實用新型具有更安全、更有效��,且處理能力提高一倍等優(yōu)點����。
文檔編號H04L12/24GK202261336SQ20112037273
公開日2012年5月30日 申請日期2011年9月30日 優(yōu)先權日2011年9月30日
發(fā)明者徐小軍 申請人:上海憶通廣達信息技術有限公司