技術領域

本發明涉及信息安全領域，具體而言，涉及一種數據流的處理方法及防火墻。

背景技術

本發明現有的相關技術中通常采用單機部署或雙機部署的防火墻設備。圖1是根據相關技術的防火墻單機部署的結構示意圖；圖2是根據相關技術的防火墻雙機部署的結構示意圖。

如圖1所示，在單機部署時，防火墻可以直接部署于兩個路由器之間。如圖2所示的多設備的防火墻冗余(High?Availability)方案利用了多臺防火墻設備，并將多臺防火墻設備連接在交換機或路由器之間，這種部署被稱為雙機熱備。熱備中的兩臺設備可能是主/備狀態，也可能是雙方都在主狀態。運行過程中，兩臺設備的狀態不斷地進行同步。在系統檢測到一臺防火墻發生故障時，切換到另一臺設備上。因為兩臺設備的狀態一樣，數據流檢測可以照常進行，流量也不會中斷。

在防火墻雙機熱備部署情況下，兩個防火墻和路由器之間需要部署一個交換機。在防火墻1為主設備的情況下，交換機控制流量從防火墻1通過，當防火墻1發生故障時，防火墻2和交換機配合把流量切換到防火墻2這條路上。

通過上述現有技術的描述可知，圖1中的單機部署設備，在防火墻出故障時數據流的過濾功能將中斷，圖2所示的雙機部署設備解決了單機部署設備的缺陷，但圖2中的系統除了需要兩臺防火墻外，還必須部署兩臺交換機。構建此網絡結構的成本較高。網絡較為復雜。

目前針對相關技術的防火墻雙機部署方案復雜，成本高的問題，目前尚未提出有效的解決方案。

發明內容

針對相關技術的防火墻雙機部署方案復雜，成本高的問題，目前尚未提出有效的問題而提出本發明，為此，本發明的主要目的在于提供一種數據流的處理方法及防火墻，以解決上述問題。

為了實現上述目的，根據本發明的一個方面，提供了一種防火墻，該防火墻包括：多個防火墻隔離單元，每個防火墻隔離單元之間通過彼此通訊來建立互相備份的關系，多個防火墻隔離單元包括第一防火墻隔離單元和第二防火墻隔離單元；第一交換單元，用于接收內網數據流，通過配置數據流的主用鏈路和備用鏈路來控制數據流傳輸至第一防火墻隔離單元或第二防火墻隔離單元；第二交換單元，用于獲取第一防火墻隔離單元或第二防火墻隔離單元處理后的數據流，并將處理后的數據流傳輸至外網。

進一步地，防火墻還包括：交換配置單元，連接在第一交換單元和第二交換單元之間，用于同步第一交換單元與第二交換單元內的配置數據。

進一步地，防火墻還包括：檢測單元，檢測第一防火墻隔離單元的工作狀態，其中，當第一防火墻隔離單元出現故障時，通過交換配置單元將轉換信號發送至第一交換單元或第二交換單元，以將數據流切換到第二防火墻隔離單元，或者，當第二防火墻隔離單元出現故障時，通過交換配置單元將轉換信號發送至第一交換單元或第二交換單元，以將數據流切換到第一防火墻隔離單元。

進一步地，防火墻隔離單元有兩個。

進一步地，每個防火墻隔離單元之間通過第一交換單元來建立動態狀態同步。

進一步地，每個防火墻隔離單元之間通過第二交換單元來建立動態狀態同步。

進一步地，每個防火墻隔離單元之間通過專用通訊通道來建立動態狀態同步。

為了實現上述目的，根據本發明的另一方面，提供了一種數據流的處理方法，該方法包括：通過防火墻的第一交換單元來接收內網的數據流，防火墻包括多個防火墻隔離單元，其中，多個防火墻隔離單元包括第一防火墻隔離單元和第二防火墻隔離單元；通過配置數據流的傳輸鏈路來控制數據流傳輸至第一防火墻隔離單元或第二防火墻隔離單元，其中，第一防火墻隔離單元與第二防火墻隔離單元之間通過彼此通訊來建立互相備份的關系；通過第一防火墻隔離單元或第二防火墻隔離單元來處理數據流；通過防火墻的第二交換單元來獲取處理后的數據流，并將處理后的數據流傳輸至外網。

進一步地，在通過配置數據流的傳輸鏈路來控制數據流傳輸至第一防火墻隔離單元或第二防火墻隔離單元之前，方法還包括：通過防火墻的第一交換單元來獲取數據流；檢測第一防火墻隔離單元的工作狀態，其中，當第一防火墻隔離單元正常工作時，通過第一防火墻隔離單元處理數據流，否則，發送轉換信號至第一交換單元或第二交換單元，以將數據流切換到第二防火墻隔離單元，或者，當所述第二防火墻隔離單元出現故障時，通過所述交換配置單元將轉換信號發送至所述第一交換單元或所述第二交換單元，以將所述數據流切換到所述第一防火墻隔離單元。

進一步地，第一防火墻隔離單元和第二防火墻隔離單元之間通過以下任意一種裝置來建立動態狀態同步：第一交換單元、第二交換單元或專用通訊通道。