技術領域

本發明涉及防火墻虛擬化技術領域，尤其涉及一種防火墻虛擬化的模塊以及管理方法。

背景技術

現在的物理防火墻有兩組形態：包裝防火墻和防火墻插卡，隨著互聯網的發展和防火墻產品的更新，需要虛擬防火墻同時支持兩種形態的防火墻，并且支持虛擬化的初步配置以及安全業務的運行，使新的虛擬化產品和之前的交換機設備保持兼容性，鑒于交換機設備已支持MDC，為了高效率、高質量完成項目同時和之前的交換機設備保持兼容性，產品要求基于MDC實現VFW并且支持兩種形態的防火墻，因此本發明提出了一種VFW防火墻虛擬化的模塊以及管理方法。

發明內容

本發明的目的是為了解決現有技術中存在的缺點，而提出的一種防火墻虛擬化的模塊以及管理方法。

為了實現上述目的，本發明采用了如下技術方案：

一種防火墻虛擬化的模塊以及管理方法，包括防火墻虛擬化的模塊，其特征在于：所述虛擬化的模塊包括命令行模塊、接口管理模塊、各業務模塊、系統SCM模塊、VFW管理模塊、設備管理模塊和操作系統內核，所述命令行模塊用于為設備管理員（權限較高）提供配置VFW（創建、啟動、停止、刪除、分配資源等）指令，所述接口管理模塊用于管理設備的主控板或業務板卡拔出時通知本板內所有VFW板卡事件，所述各業務模塊用于配置數據和運行數據并進行虛擬化，虛擬化后以MDC/VFW為單位獨立保存，為相關模塊分配VFW數據的存儲空間，所述系統SCM模塊用于管理VFW用戶服務的服務狀態，所述VFW管理模塊用于接收和處理命令行模塊發出的指令，以及所有的VFW板卡事件，所述設備管理模塊用于管理個設備的板卡事件，所述操作系統內核用于針對VFW的創建刪除、啟動、停止操作以及對操作系統配置進行處理，例如文件系統、CPU資源、內存資源、磁盤資源等需要進行虛擬化，由VFW模塊通過調用操作系統提供的的公共接口完成，操作系統還需要負責處理設備引擎內存、磁盤、CPU等系統資源的分配限制；所述VFW管理模塊由MDC節點、VFW節點、安全引擎和安全引擎組組成，所述安全引擎用于處理安全業務的一個部件，可對應一個CPU或一個硬件線程（譬如FPGA實現）之類，所述安全引擎組由多個安全引擎聚合而成，所述MDC節點用于給安全引擎組配置信息，所述VFW節點用于給安全引擎組配置資源，所述VFW管理模塊基于包裝式防火墻設備和防火墻插卡的以實現，所述包裝式防火墻設備和防火墻插卡通過交換機與安全引擎交互。

優選的，VFW的配置需要在系統啟動時恢復至設備上一次關機之前的配置。恢復的順序依次為VFW創建、VFW描述信息、引擎（組）分配、資源限額（內存、CPU、磁盤）、所屬MDC，在MDC環境內恢復VFW start。VFW的配置恢復需要在設備管理引擎組配置和MDC的配置都正常恢復之后才開始執行。

優選的，系統啟動時，主控板先恢復MDC以及VFW的配置，接口板在主控板第四階段后能拉到本板配置，主控板根據引擎組的配置，恢復引擎內的MDC以及VFW配置。

優選的，安全引擎組的配置由設備管理進行恢復，在安全引擎向主控板拉VFW配置時，要求引擎組已經創建并生效。恢復引擎組配置時，因引擎組中主引擎啟動完成，其它引擎成員才能啟動，所以VFW對于引擎組無需特殊處理。但需要根據引擎所在引擎組的下發配置進行恢復。

本發明的有益效果：使虛擬防火墻兼容并且支持兩種形態的防火墻，在安全引擎上提供VFW的環境，支持VFW的初步配置，支撐安全業務的運行，并維護VFW和MDC的從屬關系，提高了完成項目的效率和質量，同時和之前的交換機設備保持兼容性。

附圖說明

圖1為本發明提出的一種防火墻虛擬化的模塊以及管理方法的結構示意圖；

圖2為本發明提出的一種防火墻虛擬化的模塊以及管理方法VFW管理模塊的結構示意圖。

具體實施方式

下面將結合本發明實施例中的附圖，對本發明實施例中的技術方案進行清楚、完整地描述，顯然，所描述的實施例僅僅是本發明一部分實施例，而不是全部的實施例。