專利名稱：一種網絡安全部署方法和一種網絡安全設備的制作方法
技術領域：
本發明涉及網絡安全技術領域，尤指一種網絡安全部署方法和一種網絡 安全設備。
背景技術：
隨著網絡應用的深化，網絡安全變得越來越重要。將網絡安全融入到網 絡應用和網絡設備中，是目前和未來網絡發展的必然趨勢。目前各個設備廠 家都推出了在交換機上部署的防火墻插卡。
通過防火墻插卡，用戶可靈活、迅速地在以太網交換機當中整合防火墻、
虛擬專用網(VPN)等安全功能，實現網絡和安全防護的高度一體化。
目前的防火墻插卡已經完全實現了三層交換機的轉發機制，這使得防火 墻可以極靈活地應用在現在越來越流行的多層交換網絡中，同時又提供了豐 富的安全特性，為用戶網絡提供安全保護。其特點如下
a、 將交換機的轉發和業務處理有機融合在一起，在實現交換機的高性 能數據轉發的同時，能夠根據組網的特點處理安全業務，實現安全防護和監 控；
b、 防火墻插卡可以提供多個業務口，充分滿足用戶的業務擴展；通過 內部的高速10G以太網接口與交換機或其他網絡設備相連，同時具有線速 轉發能力，更保證了與業務插卡間通暢的數據轉發；
c、 防火墻插卡都采用了專用多核高性能處理器和高速存儲器，在高速 處理安全業務的同時，交換機的原有業務處理不會受到任何影響；
d、 防火墻插卡定位在內網和外網之間，實現企業內容和intranet, extranet 的安全接入互聯；實現為基于用戶的業務和接入控制，對各種網絡攻擊的防范；
e、防火墻插卡可以插在交換機的任何槽位，并且在一臺設備上可以插
入多塊防火墻插卡進行性能擴展，輕松適應不斷升級的網絡需求。
在現有的組網中，通過在網絡設備上部署兩塊防火墻插卡，并啟用雙機
熱備功能和虛擬路由器冗余協議(VRRP)功能，可以提供組網應用的高可 靠性。但在此種部署方式中，防火墻插卡多作為主備模式部署，未實現負載 分擔，硬件利用率不高。要實現業務的負載分擔，防火墻插卡需作為服務器 網關設備，并配置多組VRRP虛地址作為服務器網關地址，服務器基于不同 的網管將流量分擔到不同的防火墻插卡上。如果防火墻插卡不作為服務器的 網關設備，則只能通過路由設計來滿足負載分擔的需求，即為了每個防火墻 插卡分別配置IP地址，將不同的業務流分擔到不同IP地址的防火墻插卡。
現有的方法只能通過配置多網關的方式或通過路由設計的方式簡單地 實現流量的負載分擔，該負載分擔需要人為設計且只能基于IP地址段，嚴 格來說不是真正意義上的負載分擔，由此帶來的問題就是業務區分方式不靈 活，組網限制大，分擔流量不均勻，配置復雜等。現有的方法只能實現雙防 火墻插卡的熱備份功能，缺乏可擴展性，即當三個或三個以上的防火墻插卡 之間實現負載分擔時，不能實現熱備份功能。此外，將防火墻插卡部署為服 務器網關的方式缺乏靈活性，而通過路由設計實現負載分擔的方式在實際部 署中配置復雜。

發明內容
本發明提供了一種網絡安全部署方法，該方法能夠在多個防火墻插卡之 間實現均勻的負載分擔和熱備份功能，且組網靈活、配置筒單。
本發明還提供了 一種網絡安全設備，該設備能夠在多個防火墻插卡之間 實現均勻的負載分擔和熱備份功能，且組網靈活、配置簡單。
為達到上述目的，本發明的技術方案具體是這樣實現的
本發明公開了一種網絡安全部署方法，該方法包括將交換設備中的多個防火墻插卡組成一個集群，在集群中選舉一個防火
墻插卡作為主防火墻插卡，則其他防火墻插卡為從防火墻插卡；
主防火墻插卡對集群中的所有防火墻插卡實現配置信息的同步以及業 務狀態信息的同步；
將集群中的各個防火墻插卡的各業務端口，聚合成一個聚合端口組，并 在聚合端口組上配置負載分擔算法，使得進入集群的業務流量在集群的各防 火墻插卡之間實現負載分擔；
其中，所述交換設備為交換機或堆疊交換機。
本發明還公開了一種網絡安全設備，該設備包括多個防火墻插卡，且該 多個防火墻插卡組成一個集群；
集群中的各防火墻插卡，用于選舉一個防火墻插卡作為主防火墻插卡， 則其他防火墻插卡為從防火墻插卡；
集群中的主防火墻插卡，用于對集群中的所有防火墻插卡實現配置信息 的同步以及業務狀態信息的同步；
集群中的各個防火墻插卡的各業務端口，被聚合成一個聚合端口組；并 在聚合端口組上配置有負載分擔算法，使得進入集群的業務流量在集群的各 防火墻插卡之間實現負載分擔。
由上述技術方案可見，本發明這種將多個防火墻插卡組成一個集群，在 集群中選舉一個防火墻插卡作為主防火墻插卡，則其他防火墻插卡為從防火 墻插卡；主防火墻插卡對集群中的所有防火墻插卡實現配置信息的同步以及 業務狀態信息的同步；將集群中的各個防火墻插卡的各業務端口，聚合成一 個聚合端口組，并在聚合端口組上配置負載分擔算法，使得進入集群的業務 流量在集群的各防火墻插卡之間實現負載分擔是技術方案，能夠在多個防火 墻插卡之間實現均勻的負載分擔和熱備份功能，且組網靈活、配置簡單。


圖1是本發明實施例中的多個防火墻插卡形成集群的示意圖；圖2是本發明實施例中master選舉完成后的集群系統示意圖； 圖3是本發明實施例中在防火墻集群上實現負載分擔的示意圖； 圖4是本發明實施例中防火墻插卡集群實現業務處理的示意圖； 圖5是本發明實施例中的故障處理機制的示意圖； 圖6是本發明實施例中在堆疊交換機上部署防火墻插卡集群的示意圖； 圖7是本發明實施例中在堆疊交換機上部署多組防火墻插卡集群的示 意圖。
具體實施例方式
本發明的核心思想是多個防火墻插卡通過配置集群形成一個虛擬的防 火墻設備，實現統一管理；并且各防火墻插卡的各業務端口通過聚合，實現 負載分擔。
總體來說本發明的技術方案包括以下技術關鍵點 (1)將交換設備中的多個防火墻插卡組成一個集群，在集群中選舉一 個防火墻插卡作為主防火墻插卡，則其他防火墻插卡為從防火墻插卡；所述 交換設備可以是獨立的 一 臺交換機，也可以是包括多臺交換的堆疊交換機； (2 )主防火墻插卡對集群中的所有防火墻插卡實現配置信息的同步以 及業務狀態信息的同步；
(3)將集群中的各個防火墻插卡的各業務端口，聚合成一個聚合端口 組，并在聚合端口組上配置負載分擔算法，使得進入集群的業務流量在集群 的各防火墻插卡之間實現負載分擔。
為使本發明的目的、技術方案及優點更加清楚明白，以下參照附圖并舉 實施例，對本發明進一步詳細說明。 一、配置集群 1、采用心跳線連接-
在本發明實施例中用心跳線連接各防火墻插卡的管理口 ，將多個防火墻 插卡串聯成一個環，形成集群。圖l是本發明實施例中的多個防火墻插卡形成集群的示意圖。如圖l所 示，以三個防火墻插卡組成集群為例進行了說明。其中，用黑色的正方形框 表示防火墻插卡的管理口 ，用灰色的長方形框表示防火墻插卡的業務端口。 可見，本實施例中在每個防火墻插卡上都選擇兩個管理口 ，用心跳線進行串 聯，形成一個環。
2、主防火墻插卡(master)的選舉
在集群環境中，每個防火墻插卡都可以通過與自己直接連接的其他成員 防火墻插卡之間交互HOLLE報文來收集整個集群的基本信息。HOLLE報 文是集群協議中報文，是現有技術，這里不再介紹。
初始化狀態下，集群中的每一防火墻插卡只記錄了自己的基本信息，包 括集群端口的連接關系(即連接心跳線的管理口之間的連接關系)、管理 口 IP地址、系統橋MAC地址、優先級信息和系統標識等。每個防火墻插卡 都將自身的基本信息攜帶在HELLO報文中，并通過心線發送給集群中的其 他防火墻插卡，這樣每個防火墻插卡都能收集到集群中的所有防火墻插卡的 基本信息。
具體來說，當防火墻插卡配置了集群且集群端口終端為"up"時，集群 中個每個防火墻插卡都將自身的基本信息攜帶在HELLO報文中，并周期性 地從"up"狀態的集群端口發送出去。集群中防火墻插卡收到鄰居的HOLLE 報文后，更新本地記錄相關基本信息。經過一段時間的收集，所有的防火墻 插卡上都會收集到完整的集群基本信息。
然后，每個防火墻插卡根據集群中的所有防火墻插卡的基本信息，確定 自身是主防火墻插卡還是從防火墻插卡。其中，每個防火墻插卡判斷，自身 的管理口 IP地址/系統橋MAC地址/優先級信息/系統標識，在集群中是否是 最大/小值；是則，確定自身是主防火墻插卡；否則，確定自身是從防火墻 插卡。 例如，每個防火墻插卡都判斷在所有防火墻插卡的管理口 IP地址中， 自身的管理口 IP地址是否是最大的，是則確定自身是主防火墻插卡，在集群中是master角色，否則確定自身是從防火墻插卡，在集群中是slave角色。 再或者，每個防火墻插卡都判斷在所有防火墻插卡的優先級中，自身的優先 級是否是最高的，是則確定自身是主防火墻插卡，否則確定自身是從防火墻 插卡。以此類推。
圖2是本發明實施例中master選舉完成后的集群系統示意圖。
二、配置信息以及業務狀態信息的同步
在本發明實施例中，由master管理和控制整個集群系統，并且maste 和各slave保持配置信息和業務狀態信息的同步。當maste故障時，集群系 統將選擇一個salve作為新的master,從而提供了高可靠性。
在本發明實施例中，由作為master的主防火墻插卡對集群中的所有防 火墻插卡實現配置信息的同步以及業務狀態信息的同步。
1、配置信息的同步
通過集群連接形成的這臺虛擬防火墻設備在管理上可以看作是單一實 體，用戶可以使用Console 口、 Telnet方式或者WEB頁面登錄到集群中的 任意一個防火墻插卡，都可以對整個集群系統進行管理和配置。
主防火墻插卡作為集群系統的管理核心，負責響應用戶的登錄請求，即 用戶無論使用什么方式，通過哪個成員登錄，最終都是對主防火墻插卡進行 配置，再有主防火墻插卡負責將用戶的配置信息下發給各個從防火墻插卡。 這種方式可以使集群內的各個成員的配置保持高度統一。
當主防火墻插卡的配置信息變化時，通過心跳線，將變化的配置信息同 步給集群中的其他成員防火墻插卡。配置信息的同步通過主防火墻插卡的設 備增量觸發，這樣可以避免在配置信息沒有變化的情況下進行同步處理，進
而浪費集群系統資源。 配置信息主要包括
A、 命令行接口 (CLI， Command Line Interface )方式下的配置信息； 上述的Console 口和Telnet方式都屬于命令行接口方式；
B、 WEB方式下的配置信息。2、業務狀態信息的同步
在本發明實施例中，每個從防火墻插卡將自身的業務狀態信息周期性地 上報給主防火墻插卡，由主防火墻插卡將從防火墻插卡上報的業務狀態信息 通過心跳線發送給集群中的所有防火墻插卡；此外，主防火墻插卡周期性地 將自身的業務狀態信息通過心跳線發送給集群中的所有防火墻插卡。
上述周期應該保持在一個較短的時間內，以保證業務狀態信息的實時性。
需要同步的業務狀態信息包括但不限于如下幾種網絡地址轉換(NAT) 業務狀態信息、應用層的包過濾(ASPF)業務狀態信息、攻擊防范業務狀 態信息、防火墻包過濾業務狀態信息、安全流量統計業務狀態信息、面向對 象業務狀態信息以及路由轉發表項業務狀態信息等。
上述配置信息和業務狀態信息的同步，可以保證集群中的某個防火墻插 卡故障時，由集群中其他的防火墻插卡順利接管該故障防火墻插卡的業務。
三、 配置聚合端口組
在本發明實施例中，將集群中的各個防火墻插卡的各業務端口，聚合成 一個聚合端口組，并在聚合端口組上配置負載分擔算法，使得進入集群的業 務流量在集群的各防火墻插卡之間實現負載分擔。
圖3是本發明實施例中在防火墻集群上實現負栽分擔的示意圖。如圖3 所示，用橢圓形表示聚合端口組，不同的用戶業務流量通過交換機后被分擔 到不同的防火墻插卡，分擔的實現基于聚合端口的HASH算法完成。即業務 流的負載分擔是基于標準的動態鏈路聚合方式實現的，業務流的分類可以基 于數據包的IP地址和端口號等五元組進行HASH計算，保證流量分擔的一 致性。
四、 集群中的防火墻插卡獨立完成各自的防御功能
圖4是本發明實施例中防火墻插卡集群實現業務處理的示意圖。如圖4 所示，集群中的各防火墻插卡獨立完成各種防御工作，即每個防火墻插卡將 處理后的數據流仍通過本插卡的接口返回給交換機。各防火墻插卡獨立完成的防御工作包括代理(虛假源分析)、非法包 判斷、攻擊檢測等。但檢測和過濾的相關信息需要通過主防火墻插卡利用集 群鏈路(即心跳線)在各成員防火墻插卡之間進行實時同步。
可見，在本發明實施例中，防火墻插卡之間的集群鏈路僅用于傳遞集群 相關的控制報文和需要同步的各種信息，而不承載用戶業務流量。
五、 故障處理機制
(1) 當集群中的主防火墻插卡發生故障時，從集群中的非故障防火墻 插卡中重新選舉一個防火墻插卡作為主防火墻插卡，且發生故障的防火墻插 卡上業務切換到集群中的非故障防火墻插卡上；
(2) 當集群中的從防火墻插卡發生故障時，該發生故障的從防火墻插 卡上業務切換到集群中的非故障防火墻插卡上。
由于，集群中的個防火墻插卡之間實現了配置信息和業務狀態信息的同 步，因此故障防火墻插卡到非故障防火墻插卡的業務切換可以順利執行。
可見，在本發明的方案中，集群中的各防火墻插卡之間都可以實現熱備 份的功能。
圖5是本發明實施例中的故障處理機制的示意圖。參見圖5，當集群中 的主防火墻插卡發生故障時，原來的一個從防火墻被選舉為新的主防火期插 卡，并且發生故障的原主防火墻插卡上業務切換到了新的主防火墻插卡上。 由于新的主防火墻插卡同步了原主防火墻插卡上的業務狀態信息，因此業務 的切換可以保證業務不中斷，大大提高了設備的可靠性。
六、 防火墻插卡集群在堆疊交換機上的應用
目前交換機堆疊技術在組網中的應用越來越廣泛，核心或匯聚交換機經 過堆疊后虛擬為 一 臺獨立的交換機，但在現有技術中堆疊中的各交換機上的 部署的防火墻插卡仍然工作在獨立運行模式或者雙機熱備模式，因此防火墻 插卡的整合性和擴展性都不高，且不能滿足對組網靈活部署的要求。 在本發明中的防火墻插卡集群可以直接應用于堆疊交換機上。 圖6是本發明實施例中在堆疊交換機上部署防火墻插卡集群的示意圖。如圖6所示，在配置了堆疊的交換機上，多臺物理交換機被虛擬為一臺堆疊 交換機，堆疊交換機提供統一的管理和數據業務。在本實施例中，將不同堆 疊成員交換機上的防火墻插卡部署為集群模式，并且該集群以本發明的上述 實施例中所述的模式工作。即堆疊中的多臺交換機對外表現為 一 臺虛擬交換 機，而集群中的防火墻插卡其實表現為部署在該虛擬交換機上，因此這種部 署方式可以實現防火墻插卡的跨設備集群，從而實現與交換機堆疊的無縫融 合。
圖7是本發明實施例中在堆疊交換機上部署多組防火墻插卡集群的示 意圖。如圖7所示，在同一堆疊交換機上部署了 A、 B兩組防火墻插卡集群， 兩組防火墻插卡集群分別按照本發明上述實施例中所述的模式工作。這種方 式提供了更大的組網靈活性。
在圖7中，可以釆用任意一種策略將進入堆疊交換機的業務流分配到A、 B兩組。例如，將某一類型的業務流分配給A組，而將其他的所有業務流分 配給B組等。
通過上述實施例可以看出，本發明實施例中部署防火墻集群的技術方 案，能夠在多防火墻插卡之間實現負載分擔，保證了業務流量的均勻分擔， 有效提高了防火墻插卡的效率。集群中由主防火墻插卡實現統一集中式管理 的方案，簡化了集群中的各防火墻插卡的配置和部署的復雜度，提高了多防 火墻插卡的管理效率。集群中各防火墻插卡通過同步配置信息和業務狀態信 息，進而使得各防火墻插卡之間互為備份，提高了可靠性。
此外，現有的防火墻插卡負載分擔方式只能局限于三層路由模式，即需 要為獨立的各防火墻插卡分別配置IP地址，將不同的業務流路由到不同IP 地址的防火墻插卡，實現負載分擔。現有的防火墻插卡負載分擔方式不能應 用于二層轉發模式，否則會出現環路，這是因為在二層轉發模式下，每個 防火墻插卡上的業務出入端口都沒有配置IP地址，不同的業務流被分發到 不同MAC地址的防火墻插卡，而各防火墻插卡的對應業務端口是屬于相同 VLAN的， 一旦出現廣播流(沒有查找到湘應的下一跳MAC時會廣播數據)，則廣播流會在各防火墻插卡之間形成環路。
而本發明的方法則不受此限制，由于在本發明中，集群中的各個業務端 口聚合成一個聚合端口組，對外表現為一個邏輯端口，因此即可以為該邏輯 端口分配IP地址，將業務流基于三層路由模式轉發到該邏輯端口 ，也可以 不為該邏輯端口分配IP地址，將業務流基于二層透明模式轉發到該邏輯端 口 。轉發該邏輯端口的業務流再根據聚合端口固有的負載分擔算法在各個物 理端口之間實現負載分擔。因此本發明中的防火墻集群即支持三層路由模 式，也支持二層透明模式。
基于上述實施例給出本發明中的一種網絡安全設備的組成結構框圖。關
于下面的描述可以參考圖3或圖4。
本發發明實施例中的一種網絡安全設備包括多個防火墻插卡，且該多 個防火墻插卡組成一個集群；
集群中的各防火墻插卡，用于選舉一個防火墻插卡作為主防火墻插卡， 則其他防火墻插卡為從防火墻插卡；
集群中的主防火墻插卡，用于對集群中的所有防火墻插卡實現配置信息 的同步以及業務狀態信息的同步；
集群中的各個防火墻插卡的各業務端口，被聚合成一個聚合端口組；并 在聚合端口組上配置有負載分擔算法，使得進入集群的業務流量在集群的各 防火墻插卡之間實現負載分擔。
在所述網絡安全設備中，所述多個防火墻插卡的管理口通過心跳連接， 使得多個防火墻串聯成一個環，形成集群。
在所述網絡安全設備中，集群中的每個防火墻插卡，用于將自身的基本 信息攜帶在HELLO報文中，并通過心線發送給集群中的其他防火墻插卡； 用于根據集群中的所有防火墻插卡的基本信息，確定自身是主防火墻插卡或 從防火墻插卡。
在所述網絡安全設備中，所述基本信息包括集群端口的連接關系、管 理口 IP地址、系統橋MAC地址、優先級信息和系統標識；集群中每個防火墻插卡，用于判斷自身的管理口 IP地址/系統橋MAC 地址/優先級信息/系統標識，在集群中是否是最大/小值，是則，確定自身是 主防火墻插卡，否則，確定自身是從防火墻插卡。
在所述網絡安全設備中，主防火墻插卡，用于將配置信息通過心跳線發 送給集群中的所有防火墻插卡；其中，配置信息包括命令行接口 CLI配置 信息和環^^網WEB配置信息。
在所述網絡安全設備中，每個從防火墻插卡，用于將自身的業務狀態信 息周期性地上報給主防火墻插卡；主防火墻插卡，用于將從防火墻插卡上報 的業務狀態信息通過心跳線發送給集群中的所有防火墻插卡；并用于周期性 地將自身的業務狀態信息通過心跳線發送給集群中的所有防火墻插卡。
在所述網絡安全設備中，當主防火墻插卡發生故障時，集群中各非故障 防火墻插卡重新選舉一個防火墻插卡作為主防火墻插卡，且發生故障的防火 墻插卡上業務切換到集群中的非故障防火墻插卡上；當從防火墻插卡發生故 障時，該發生故障的從防火墻插卡上業務切換到集群中的非故障防火墻插卡 上。
綜上所述，本發明實施例中的這種將多個防火墻插卡組成一個集群，在 集群中選舉一個防火墻插卡作為主防火墻插卡，則其他防火墻插卡為從防火 墻插卡；主防火墻插卡對集群中的所有防火墻插卡實現配置信息的同步以及 業務狀態信息的同步；將集群中的各個防火墻插卡的各業務端口，聚合成一 個聚合端口組，并在聚合端口組上配置負載分擔算法，使得進入集群的業務
流量在集群的各防火墻插卡之間實現負載分擔是技術方案，能夠在多個防火 墻插卡之間實現均勻的負載分擔，且組網靈活、配置簡單。
以上所述，僅為本發明的較佳實施例而已，并非用于限定本發明的保護 范圍，凡在本發明的精神和原則之內所做的任何修改、等同替換、改進等， 均應包含在本發明的保護范圍之內。
權利要求
1、一種網絡安全部署方法，其特征在于，該方法包括將交換設備中的多個防火墻插卡組成一個集群，在集群中選舉一個防火墻插卡作為主防火墻插卡，則其他防火墻插卡為從防火墻插卡；主防火墻插卡對集群中的所有防火墻插卡實現配置信息的同步以及業務狀態信息的同步；將集群中的各個防火墻插卡的各業務端口，聚合成一個聚合端口組，并在聚合端口組上配置負載分擔算法，使得進入集群的業務流量在集群的各防火墻插卡之間實現負載分擔；其中，所述交換設備為交換機或堆疊交換機。
2、 如權利要求l所述的方法，其特征在于，所述將多個防火墻插卡組成一個集群包括用心跳線連接各防火墻插卡 的管理口，將多個防火墻插卡串聯成一個環，形成集群；所述在集群中選舉一個防火墻插卡作為主防火墻插卡包括每個防火墻 插卡都將自身的基本信息攜帶在HELLO報文中，并通過心線發送給集群中 的其他防火墻插卡；每個防火墻插卡根據集群中的所有防火墻插卡的基本信 息，確定自身是主防火墻插卡或從防火墻插卡。
3、 如權利要求2所述的方法，其特征在于，所述基本信息包括集群端口的連接關系、管理口 IP地址、系統橋MAC 地址、優先級信息和系統標識；所述每個防火墻插卡根據集群中的所有防火墻插卡的基本信息，確定自 身是主防火墻插卡或從防火墻插卡包括每個防火墻插卡判斷，自身的管理 口 IP地址/系統橋MAC地址/優先級信息/系統標識，在集群中是否是最大/ 小值；是則，確定自身是主防火墻插卡；否則，確定自身是從防火墻插卡。
4、 如權利要求2所述的方法，其特征在于，所述主防火墻插卡對集群 中的所有防火墻插卡實現業務狀態信息的同步包括每個從防火墻插卡將自身的業務狀態信息周期性地上報給主防火墻插卡；主防火墻插卡將從防火墻插卡上報的業務狀態信息通過心跳線發送給集群中的所有防火墻插卡；主防火墻插卡周期性地將自身的業務狀態信息通過心跳線發送給集群中的所有防火墻插卡。
5、 如權利要求1至4中任一項所述的方法，其特征在于，該方法進一步包括當主防火墻插卡發生故障時，從集群中的非故障防火墻插卡中重新選舉一個防火墻插卡作為主防火墻插卡，且發生故障的防火墻插卡上業務切換到集群中的非故障防火墻插卡上；當從防火墻插卡發生故障時，該發生故障的從防火墻插卡上業務切換到集群中的非故障防火墻插卡上。
6、 一種網絡安全設備，其特征在于，該設備包括多個防火墻插卡，且該多個防火墻插卡組成一個集群；集群中的各防火墻插卡，用于選舉一個防火墻插卡作為主防火墻插卡，則其他防火墻插卡為從防火墻插卡；集群中的主防火墻插卡，用于對集群中的所有防火墻插卡實現配置信息的同步以及業務狀態信息的同步；集群中的各個防火墻插卡的各業務端口，被聚合成一個聚合端口組；并在聚合端口組上配置有負載分擔算法，使得進入集群的業務流量在集群的各防火墻插卡之間實現負載分擔。
7、 如權利要求6所述的設備，其特征在于，所述多個防火墻插卡的管理口通過心跳連接，使得多個防火墻串聯成一個環，形成集群；集群中的每個防火墻插卡，用于將自身的基本信息攜帶在HELLO報文中，并通過心線發送給集群中的其他防火墻插卡；用于根據集群中的所有防火墻插卡的基本信息，確定自身是主防火墻插卡或從防火墻插卡。
8、 如權利要求7所述的設備，其特征在于，所述基本信息包括集群端口的連接關系、管理口 IP地址、系統橋MAC地址、優先級信息和系統標識；集群中每個防火墻插卡，用于判斷自身的管理口 IP地址/系統橋MAC地址/優先級信息/系統標識，在集群中是否是最大/小值，是則，確定自身是主防火墻插卡，否則，確定自身是從防火墻插卡。
9、 如權利要求7所述的設備，其特征在于，每個從防火墻插卡，用于將自身的業務狀態信息周期性地上報給主防火墻插卡；主防火墻插卡，用于將從防火墻插卡上報的業務狀態信息通過心跳線發送給集群中的所有防火墻插卡；并用于周期性地將自身的業務狀態信息通過心跳線發送給集群中的所有防火墻插卡。
10、 如權利要求6至9中任一項所述的設備，其特征在于，當主防火墻插卡發生故障時，集群中各非故障防火墻插卡重新選舉一個防火墻插卡作為主防火墻插卡，且發生故障的防火墻插卡上業務切換到集群中的非故障防火墻插卡上；當從防火墻插卡發生故障時，該發生故障的從防火墻插卡上業務切換到集群中的非故障防火墻插卡上。
全文摘要
本發明公開了一種網絡安全部署方法，包括將多個防火墻插卡組成一個集群，在集群中選舉一個防火墻插卡作為主防火墻插卡，則其他防火墻插卡為從防火墻插卡；主防火墻插卡對集群中的所有防火墻插卡實現配置信息的同步以及業務狀態信息的同步；將集群中的各個防火墻插卡的各業務端口，聚合成一個聚合端口組，并在聚合端口組上配置負載分擔算法，使得進入集群的業務流量在集群的各防火墻插卡之間實現負載分擔。本發明還公開了一種網絡安全設備。本發明的技術方案能夠在多個防火墻插卡之間實現均勻的負載分擔，且組網靈活、配置簡單。
文檔編號H04L29/06GK101651680SQ20091009264
公開日2010年2月17日 申請日期2009年9月14日 優先權日2009年9月14日
發明者馬永華 申請人:杭州華三通信技術有限公司