技術領域

本發明屬于防火墻技術領域，涉及一種高性能的防火墻集群實現方法。

背景技術

防火墻設備是一種通用的安全設備，應用于多種安全防護場景，防火墻上具備大量的安全防護業務，比如域間策略，包過濾，DPI，SSLVPN，安全策略等。一般防火墻部署于公網出口，隔離內網和外網間的訪問。

防火墻由于處理的業務復雜，要達到高性能需配備高硬件配置，而防火墻由于自身的高硬件配置及復雜的軟件特性，往往成本較高，在一些核心出口處單臺的防火墻性能無法滿足要求，通常采用防火墻集群部署，集群內由不同性能水平的防火墻組成，前置硬件分流設備，一般硬件分流設備為ECMP分流交換機或LB負載均衡設備。

防火墻集群一般采用前置負載均衡設備或等價路由設備，通過前置設備分流以達到提高整體安全防護性能要求。

圖1為防火墻集群前置等價路由設備，一般ECMP設備采用交換機，交換機的優勢是高性能，不會成為新的性能瓶頸點。

ECMP設備采用報文目的地址、目的端口、源地址、源端口、協議號組合形成Hash算法，對流量做負載分擔，不需要存儲會話信息，由硬件芯片完成流量轉發。

前置等價路由設備存在的缺陷是分發不均，且當擴縮容防火墻設備時不夠靈活。

1、等價路由是按照五元組hash做分發處理，hash的均勻性取決于五元組的散列情況，無法保證流量可以均勻的分發到后端防護墻集群；

2、當縮容防火墻集群時，會導致hash重新分布，會導致已有流量中斷；

3、無法感知后端防火墻運行狀態，無法根據防火墻的負載情況或處理能力動態調整分發策略。

圖2為為防火墻集群前置負載均衡設備，負載均衡設備在此處做鏈路負載均衡，不修改報文目的地址僅指導下一跳分發。

負載均衡設備需要存儲會話session，并根據預設好的負載分擔算法對流量進行分發，目前的負載均衡調度算法有：輪詢、加權輪詢、最小連接、加權最小連接、隨機、源地址HASH、目的地址HASH、源地址端口HASH等算法，最小響應時間，帶寬、加權帶寬。

負載均衡設備按流分發，相較于ECMP方式分發粒度較細，提供的大量負載均衡算法也使分流更加均勻，且具備一定的根據防火墻狀態做動態調整流量分擔的能力。

負載均衡做前置分流的缺點：

1、由于負載均衡設備要匯聚所有流量，并匯聚全部的session會話，會成為新的性能瓶頸點，而高性能的LB設備成本較高。

2、負載均衡設備提供的負載均衡算法僅有少量算法支持采集后端節點狀態，比如最小響應時間、帶寬、加權帶寬，而無法采集防火墻的真實運行狀態，比如防火墻的CPU使用率，內存消耗，會話數，入、出接口帶寬等，導致無法根據防火墻的真實運行能力做智能的調度。

因此，需要一種新的防火墻集群實現方法以解決上述問題。

發明內容

本發明的針對現有技術中防火墻集群的缺陷，提供一種高性能的防火墻集群實現方法。

為解決上述技術問題，本發明的高性能的防火墻集群實現方法所采用的技術方案為：

一種高性能的防火墻集群實現方法，所述防火墻集群包括多個防火墻，包括以下步驟：

1)、利用FWSO動態探測各防火墻的真實運行狀態；

2)、通過openflow交換機逐流首包上送FWSO形成流表，引導數據轉發流均衡的分發到后端防火墻集群上，其中，引導數據轉發流均衡的分發到后端防火墻集群上包括端口發現、負載收集和轉發流量智能分擔。

更進一步的，所述FWSO提供設置采集防火墻運行信息的接口。

更進一步的，所述端口發現包括以下步驟：

a1、防火墻通過下行口向OpenFlow交換機發送免費ARP報文；

b1、FWSO向OpenFlow交換機下發OpenFlow流表，將所有的免費ARP報文都Packet-in到FWSO；

c1、FWSO通過OpenFlow流表Packet-In的免費ARP報文，獲取到每臺防火墻的下行口MAC與交換機端口的對應關系。

更進一步的，所述負載收集包括以下步驟：

a2、FWSO通過配置添加防火墻作為集群成員，配置的內容包括防火墻名稱、管理IP、用戶名、密碼、下行口名稱、下行口IP、上行口名稱、CPU、內存和接口速率；

b2、FWSO定期收集各防火墻的負載情況，所述負載情況包括CPU使用率、內存使用率，用戶會話數和上下行流量。