防火牆流表備份方法、防火牆及防火牆系統的製作方法

2023-07-28 22:23:11 1

防火牆流表備份方法、防火牆及防火牆系統的製作方法
【專利摘要】本發明提供一種防火牆流表備份方法、防火牆及防火牆系統。本發明提供的防火牆流表備份方法，其系統內包括工作在網絡地址轉換NAT模式下且互為熱備的主防火牆和從防火牆，方法包括：所述主防火牆轉發報文流的首報文時，獲取所述報文流的流表和NAT連接信息；所述主防火牆將所述報文流的流表和NAT連接信息發送給所述從防火牆，以使所述從防火牆根據所述報文流的流表和NAT連接信息轉發所述報文流的非首報文。本發明可以防止防火牆在進行流量切換時發生業務中斷。
【專利說明】防火牆流表備份方法、防火牆及防火牆系統

【技術領域】
[0001]本發明實施例涉及網絡技術，尤其涉及一種防火牆流表備份方法、防火牆及防火牆系統。

【背景技術】
[0002]防火牆通常由軟體和硬體設備組成，部署於內網和外網之間、專用網和公共網、區域網和網際網路之間、用於保護內部網、專用網或者區域網不受非法用戶入侵或者病毒、木馬的攻擊。當有流量經過時，防火牆會根據會話報文中首包的協議號、源網絡互聯協議(Internet Protocol，簡稱IP)地址、目的IP位址、源埠地址、目的埠地址分別創建正向和反向流表項，後續報文會根據正向或者反向流表項進行轉發。
[0003]目前，在高可用環境下，防火牆可以採取雙機熱備份的組網方式進行工作，當其中一臺設備出現故障時，業務流量都能自動切換到另一臺設備上來處理。其具體方法為通過在配置為雙機熱備關係的第一、第二設備上分別實現一個會話備份單元，根據每個會話的首包建立會話表項並向對方設備備份，且第一或第二設備在收到自身沒有匹配會話表項的非首報文時，將該報文透傳至對方設備查詢匹配的會話表項，並將查詢得到的會話表項返回自身進行備份用於報文轉發。
[0004]然而，在網絡地址轉換(Network Address Translat1n，簡稱NAT)的應用場景下，防火牆在備份會話流表後，防火牆的NAT功能會對內部私有網絡IP位址與外部IP位址進行轉換，並根據報文流裡控制連接中的報文載荷生成NAT內部私有的期望連接；這樣當根據控制連接的報文載荷而生成的數據連接報文到達防火牆的時候，防火牆會匹配期望連接，以完成報文的發送。如果報文在NAT應用場景下轉發時，只備份了會話表項本身，而期望連接沒有備份到對方設備，就會導致數據連接創建失敗，相應的業務也隨之發生中斷。


【發明內容】

[0005]本發明提供一種防火牆備份方法、防火牆及防火牆系統，以解決進行NAT業務的防火牆在進行流量切換時造成的業務中斷問題。
[0006]第一方面，本發明提供一種防火牆流表備份方法，系統內包括工作在網絡地址轉換NAT模式下且互為熱備的主防火牆和從防火牆，包括:
[0007]主防火牆轉發報文流的首報文時，獲取報文流的流表和NAT連接信息；
[0008]主防火牆將報文流的流表和NAT連接信息發送給從防火牆，以使從防火牆根據報文流的流表和NAT連接信息轉發報文流的非首報文。
[0009]結合第一方面，在第一種實施方式中，NAT連接信息包括報文流的報文長度差值信息、NAT模式的期望連接信息和父子流信息，其中報文長度差值信息用於確定報文流中報文經過NAT模式轉換後的傳輸控制協議TCP序列號，期望連接信息用於確定經過NAT模式轉換後報文流的數據連接以及生成父子流信息，父子流信息用於確定報文流的父/子報文流。
[0010]結合第一方面和第一種實施方式，在第二種實施方式中，報文流的報文長度差值信息為報文流在經過NAT轉換前後報文長度的差值。
[0011]結合第一方面和第一種實施方式，在第三種實施方式中，報文流的期望連接信息包含報文流在經過NAT模式轉換前後數據連接的埠之間的匹配關係以及用於生成父子流信息的信息。
[0012]結合第一方面和前三種實施方式，在第四種實施方式中，主防火牆將報文流的流表和NAT連接信息發送給從防火牆具體包括:
[0013]主防火牆通過專用鏈路將報文流的流表和NAT連接信息發送給從防火牆。
[0014]第二方面，本發明提供一種防火牆流表備份方法，系統內包括工作在網絡地址轉換NAT模式下且互為熱備的主防火牆和從防火牆，包括:
[0015]從防火牆接收主防火牆發送的報文流的流表和NAT連接信息；
[0016]從防火牆根據流表和NAT連接信息轉發報文流的非首報文。
[0017]結合第二方面，在第一種實施方式中，NAT連接信息包括報文流的報文長度差值信息、報文流的期望連接信息和報文流的父子流信息；
[0018]從防火牆根據流表和NAT連接信息轉發報文流的非首報文具體包括:
[0019]若報文流為控制連接，則從防火牆根據報文流的報文長度差值信息還原報文流的傳輸控制TCP序列號，根據流表並在NAT連接上按照報文流的TCP協議序列號轉發報文流的非首報文；
[0020]若為報文流為數據連接，則從防火牆根據父子流信息確定報文流的安全策略與報文流的網絡互聯協議IP位址，根據期望連接信息確定報文流的埠匹配關係和生成父子流信息，根據流表、報文流的IP位址和報文流的埠匹配關係建立數據連接，並轉發報文流的非首報文。
[0021]結合第二方面和第一種實施方式，在第二種實施方式中，報文流的報文長度差值信息為報文流在經過NAT模式轉換前後報文長度的差值。
[0022]結合第二方面和第一種實施方式，在第三種實施方式中，報文流的期望連接信息包含報文流在經過NAT模式轉換前後數據連接的埠的匹配關係以及用於生成父子流信息的信息。
[0023]結合第二方面和第一種實施方式，在第四種實施方式中，根據父子流信息確定報文流的安全策略與報文流的網絡互聯協議IP位址具體包括:
[0024]確述報文流所屬的父/子流；
[0025]如果報文流為子流，根據報文流的父流的安全策略確定報文流的安全策略與IP位址。
[0026]結合第二方面和前四種實施方式，在第五種實施方式中，從防火牆接收主防火牆發送的報文流的流表和網絡地址轉換NAT連接信息具體包括:從防火牆通過專用鏈路接收報文流的流表和NAT連接信息。
[0027]第三方面，本發明提供一種主防火牆，主防火牆工作在網絡地址轉換NAT模式下，包括:
[0028]獲取模塊，用於在轉發報文流的首報文時，獲取報文流流表和NAT連接信息；
[0029]發送模塊，用於將報文流的流表和NAT連接信息發送給從防火牆，以使從防火牆根據報文流的流表和NAT連接信息轉發報文流的非首報文。
[0030]結合第三方面，在第一種實施方式中，NAT連接信息包括報文流的報文長度差值信息、NAT模式的期望連接信息和父子流信息，其中報文長度差值信息用於確定報文流中報文經過NAT轉換後的傳輸控制協議TCP序列號，期望連接信息用於確定經過NAT模式轉換後報文流的數據連接以及生成父子流信息，父子流信息用於確定報文流的父/子報文流。
[0031]結合第三方面和第一種實施方式，在第二種實施方式中，報文流的報文長度差值信息為報文流在經過NAT轉換前後報文長度的差值。
[0032]結合第三方面和第一種實施方式，在第三種實施方式中，報文流的期望連接信息包含報文流在經過NAT模式轉換前後數據連接的埠之間的匹配關係以及用於生成父子流信息的信息。
[0033]結合第三方面和前三種實施方式，在第四種實施方式中，發送模塊具體用於:通過專用鏈路將報文流流表和NAT連接信息發送給從防火牆。
[0034]第四方面，本發明提供一種從防火牆，從防火牆工作在網絡地址轉換NAT模式下，包括:
[0035]接收模塊，用於接收主防火牆發送的報文流的流表和NAT連接信息，
[0036]報文轉發模塊，用於根據流表和NAT連接信息轉發報文流的非首報文。
[0037]結合第四方面，在第一種實施方式中，NAT連接信息包括報文流的報文長度差值信息、報文流的期望連接信息和報文流的父子流信息；
[0038]報文轉發模塊具體用於:
[0039]若報文流為控制連接，則根據報文流的報文長度差值信息還原報文流的傳輸控制TCP序列號，根據流表並在NAT連接上按照報文流的TCP協議序列號轉發報文流的非首報文；
[0040]若報文流為數據連接，則根據父子流信息確定報文流的安全策略與報文流的網絡互聯協議IP位址，根據期望連接信息確定報文流的埠匹配關係和生成父子流信息，根據流表、報文流的IP位址和報文流的埠匹配關係建立所述數據連接，並轉發報文流的非首報文。
[0041]結合第四方面和第一種實施方式，在第二種實施方式中，報文流的報文長度差值信息為報文流在經過NAT轉換前後報文長度的差值。
[0042]結合第四方面和第一種實施方式，在第三種實施方式中，報文流的期望連接信息包含報文流在經過NAT模式轉換前後數據連接的埠的匹配關係以及用於生成父子流信息的信息。
[0043]結合第四方面和第一種實施方式，在第四種實施方式中，報文轉發模塊具體用於:
[0044]確定報文流所屬的父/子流；
[0045]如果報文流為子流，根據報文流的父流的安全策略確定報文流的安全策略與IP位址。
[0046]結合第四方面和前四種實施方式，在第五種實施方式中，接收模塊具體用於:通過專用鏈路接收報文流的流表和NAT連接信息。
[0047]第五方面，本發明提供一種防火牆系統，包括一個如上所述的主防火牆和至少一個如上所述的從防火牆，主防火牆和從防火牆之間通過專用鏈路進行報文流的流表和NAT連接信息的傳輸。
[0048]本發明提供的防火牆流表備份方法、防火牆及防火牆系統，主防火牆轉發報文流的首報文時，獲取報文流的NAT連接信息，再將報文流的流表和NAT連接信息發送給從防火牆，以使從防火牆根據報文流的流表和NAT連接信息轉發報文流的非首報文；從防火牆接收主防火牆發送的報文流的流表和NAT連接信息，並根據所述流表和所述NAT連接信息轉發所述報文流的非首報文。這樣防火牆進行NAT業務的情況下，在進行主從防火牆的流量切換時，從防火牆可以根據報文流的流表和NAT連接信息繼續轉發該報文流的其餘非首報文，以防止防火牆在進行流量切換時發生業務中斷。

【專利附圖】

【附圖說明】
[0049]為了更清楚地說明本發明實施例或現有技術中的技術方案，下面將對實施例或現有技術描述中所需要使用的附圖作一簡單地介紹，顯而易見地，下面描述中的附圖是本發明的一些實施例，對於本領域普通技術人員來講，在不付出創造性勞動性的前提下，還可以根據這些附圖獲得其他的附圖。
[0050]圖1是本發明實施例一提供的防火牆備份方法的流程示意圖；
[0051]圖2是本發明實施例二提供的防火牆備份方法的流程示意圖；
[0052]圖3是本發明實施例三提供的防火牆備份方法的流程示意圖；
[0053]圖4中的本發明實施例三提供的系統的網絡架構示意圖；
[0054]圖5是本發明實施例四提供的主防火牆的結構示意圖；
[0055]圖6是本發明實施例五提供的從防火牆的結構示意圖；
[0056]圖7是本發明實施例六提供的主防火牆的結構示意圖；
[0057]圖8是本發明實施例七提供的從防火牆的結構示意圖；
[0058]圖9是本發明實施例八提供的防火牆系統的結構示意圖。

【具體實施方式】
[0059]為使本發明實施例的目的、技術方案和優點更加清楚，下面將結合本發明實施例中的附圖，對本發明實施例中的技術方案進行清楚、完整地描述，顯然，所描述的實施例是本發明一部分實施例，而不是全部的實施例。基於本發明中的實施例，本領域普通技術人員在沒有作出創造性勞動前提下所獲得的所有其他實施例，都屬於本發明保護的範圍。
[0060]圖1是本發明實施例一提供的防火牆備份方法的流程示意圖。如圖1所示，本實施例提供的防火牆備份方法包括:
[0061]S101、主防火牆轉發報文流的首報文時，獲取報文流的流表和NAT連接信息；
[0062]本實施例中，在系統內包括兩個互為熱備份的防火牆，兩個防火牆即可以採用主備方式(Active-Standby)工作，也可以採用雙主機方式(Active-Active)工作。在主備方式下，流量只經過主防火牆，當主防火牆發生故障時，流量會切換到作為備用防火牆的從防火牆上。雙主機方式下，流量會分擔到兩臺防火牆上，實現了流量的負載均衡，而當其中一臺防火牆出現故障時，該防火牆上的業務流量可以切換至另外一臺防火牆上進行處理，其中，原先進行業務的防火牆作為主防火牆，而接替主防火牆處理業務流量的防火牆為從防火牆。系統中的防火牆均可工作在網絡地址轉換(Network Address Translat1n，簡稱NAT)模式下。
[0063]當主防火牆接收報文流的首報文並進行轉發時，主防火牆根據報文流本身的信息以及進行轉發時的配置信息，獲取用於轉發該報文流的流表及NAT連接信息。其中，報文流的流表包括報文的五元組信息(源IP位址、源埠地址、目的IP位址、目的埠地址和傳輸層協議號)。而NAT連接信息包括報文流的報文長度差值信息、NAT模式的期望連接信息和父子流信息。
[0064]具體的，報文長度差值信息用於確定報文流中報文經過NAT模式轉換後的傳輸控制協議(Transmiss1n Control Protocol，簡稱TCP)序列號。當工作在NAT模式的防火牆進行報文處理時，防火牆會將報文中的IP位址轉換為另外一個IP位址，此時防火牆的NAT組件會對報文載荷中的內容進行修改。例如進行文件傳輸協議(File Transfer Protocol，簡稱FTP)業務時，防火牆的NAT組件會修改控制連接報文載荷中的PORT命令的內容，從而使得報文的長度發生變化。而在TCP協議中，報文的TCP序列號sequence由報文的長度確定。因此防火牆在進行報文流轉發時，需要對TCP報文中的TCP序列號sequence進行修改，添加經過NAT模式轉換前後報文的長度變化值，才能保證在防火牆轉發給伺服器端的TCP序列號sequence在伺服器端的TCP協議棧中為正確的值。具體的，可以直接將報文長度差值信息設置為報文流在經過NAT模式轉換前後報文長度的差值。
[0065]具體的，期望連接信息用於確定經過NAT模式轉換後報文流的數據連接以及生成父子流信息。工作在NAT模式的防火牆進行報文處理時，因為經過NAT模式轉換前後報文的IP位址不同，導致報文流在經過NAT模式轉換後，防火牆需要建立報文流在經過NAT模式轉換前後數據連接的埠之間的匹配關係，以使報文流根據該匹配關係在網絡側與防火牆之間轉發。期望連接信息即為報文流在經過NAT模式轉換前後數據連接的埠之間的匹配關係。仍然以進行FTP業務為例，在防火牆進行FTP的報文流處理的時候，防火牆中的NAT組件對報文載荷進行NAT轉換時，為其分配一個埠以對應報文的原始埠，記錄下該報文流經過NAT模式轉換前後數據連接的兩個埠之間的匹配關係，並將其存儲於防火牆NAT組件內部私有數據結構中，該匹配關係即為報文流的期望連接信息。這樣當數據連接的報文到達防火牆時，即可根據存儲於防火牆內部私有數據結構中的數據連接的埠之間的匹配關係對數據連接進行NAT轉換，並發送至網絡側。在網絡側發送作為回應的數據連接報文時，防火牆再根據回應報文的地址與NAT轉換前原始埠地址的匹配關係將數據連接發到正確的客戶端。期望連接信息中可以包括數據連接的原始的埠號與經過NAT轉換後埠號之間的匹配關係，以用於確定報文流經過NAT模式轉換後，報文流原始的埠信息。具體的，報文流的期望連接信息可以為經過NAT模式轉換前後數據連接的埠的匹配關係以及用於生成父子流信息的信息。
[0066]具體的，父子流信息可以用於確定報文流的父/子報文流。當某個報文流由另一個報文流所派生時，則這兩個報文流具有父子流關係，此時可以利用報文流中所攜帶的父子流信息確定報文是父流還是子流，以及該報文流所對應的父/子流是哪一個報文流。報文在防火牆上轉發的過程中，需要由安全業務對報文進行檢查，安全業務通常會根據父流的安全策略來檢測子流報文，即如果父流的流量允許通過，那么子流的流量也會允許通過；而當發送到防火牆的報文流缺乏父子流關係時，因為子流的安全策略是依賴於父流的安全策略，此時子流會因為匹配不到安全策略而被阻斷，從而發生業務中斷現象。以FTP下載為例，首先建立控制連接，並根據控制連接的TCP載荷信息創建數據連接，因此數據連接是子流，控制連接是父流，控制連接和數據連接之間的關係為父子流關係。當如果用戶配置了允許控制連接通過的安全策略，因為控制連接為數據連接的父流，那麼安全業務會根據控制連接的安全策略放過數據連接，並允許數據連接的流量通過。此外，因為數據連接為控制連接的子流，當通過父子流關係信息找到作為數據連接父流的控制連接後，即可得到控制連接中的網絡互連協議(Internet Protocol，簡稱IP)地址等信息，並按照該IP位址轉發數據連接。
[0067]S102、主防火牆將報文流的流表和NAT連接信息發送給從防火牆，以使從防火牆根據報文流的流表和NAT連接信息轉發報文流的非首報文。
[0068]在主防火牆獲取報文流的流表和NAT連接信息後，主防火牆再將上述信息發送給從防火牆，當主防火牆出現故障或因其他原因不再轉發該報文流時，從防火牆即可根據報文流的流表和NAT連接信息對報文流餘下的非首報文進行轉發。具體的，主防火牆可以通過專用鏈路將報文流的流表和NAT連接信息發送給從防火牆，該專用鏈路可以是專用的報文轉發隧道或者其它高速鏈路，以及時讓從防火牆獲取用於轉發報文流的流表和NAT連接信息。
[0069]本實施例中，主防火牆轉發報文流的首報文時，獲取報文流的NAT連接信息，再將報文流的流表和NAT連接信息發送給從防火牆，以使從防火牆根據報文流的流表和NAT連接信息轉發報文流的非首報文。這樣防火牆在進行NAT業務的情況下，當發生主從防火牆的流量切換時，從防火牆可以繼續轉發該報文流的其餘非首報文，以防止防火牆發生業務中斷。
[0070]圖2是本發明實施例二提供的防火牆備份方法的流程示意圖。如圖2所示，本實施例提供的防火牆備份方法包括:
[0071]S201、從防火牆接收主防火牆發送的報文流的流表和NAT連接信息；
[0072]本實施例中，系統中的主防火牆與從防火牆均可工作在網絡地址轉換(NetworkAddress Translat1n，簡稱NAT)模式下。從防火牆可以接收主防火牆發送的報文流的流表和NAT連接信息。該流表和NAT連接信息是主防火牆在轉發該報文流時所獲取到的。
[0073]具體的，從防火牆可以通過專用鏈路接收報文流的流表和NAT連接信息。該專用鏈路可以是專用的報文轉發隧道或者其它高速鏈路，以及時讓從防火牆接收主防火牆發送的報文流的流表和NAT連接信息。
[0074]S202、從防火牆根據所述流表和所述NAT連接信息轉發所述報文流的非首報文。
[0075]具體的，報文流的流表包括報文的五元組信息(源IP位址、源埠、目的IP位址、目的埠和傳輸層協議號)，而NAT連接信息包括報文流的報文長度差值信息、報文流的期望連接信息和報文流的父子流信息。
[0076]具體的，若報文流為控制連接，則從防火牆根據報文流的報文長度差值信息還原報文流的傳輸控制TCP序列號，根據流表並在NAT連接上按照報文流的TCP協議序列號轉發報文流的非首報文；
[0077]若報文流為數據連接，則從防火牆根據父子流信息確定報文流的安全策略與報文流的網絡互聯協議IP位址，根據期望連接信息確定報文流的埠匹配關係以及生成父子流信息，根據流表、報文流的IP位址和報文流的埠匹配關係建立數據連接，並轉發報文流的非首報文。
[0078]進一步的，在根據報文流的父子流信息確定報文流的安全策略與IP位址時時，首先要確定報文流所屬的父/子流具體為哪一個報文流；
[0079]如果報文流為子流，則根據報文流的父流的安全策略確定報文流的安全策略與IP位址。例如，控制連接和數據連接之間為父子流關係，其中控制連接為父流，數據連接為子流，如果報文流為數據連接，則確定數據連接的安全策略時，就需要確定控制連接的安全策略，並依據控制連接的安全策略確定數據連接的安全策略，以保證數據連接不會因安全策略而被防火牆阻擋，並根據控制連接中報文的IP位址進行數據連接中報文的發送。
[0080]進一步的，在根據報文流的報文長度差值信息還原報文流的傳輸控制TCP序列號時，報文流的報文長度差值信息為報文流在經過NAT模式轉換前後報文長度的差值。
[0081]進一步的，報文流的期望連接信息可以為在經過NAT模式轉換前後數據連接的埠的匹配關係以及用於生成父子流信息的信息。
[0082]本實施例中，從防火牆接收主防火牆發送的報文流的流表和NAT連接信息，然後根據流表和NAT連接信息轉發報文流的非首報文。這樣防火牆在進行NAT業務的情況下，當發生主從防火牆的流量切換時，從防火牆可以繼續轉發該報文流的其餘非首報文，以防止防火牆發生業務中斷。
[0083]圖3是本發明實施例三提供的防火牆備份方法的流程示意圖。本實施例提供了互為熱備的主從防火牆在進行流量切換時的信息交互過程。如圖3所示，本實施例提供的防火牆備份方法包括:
[0084]S301、主防火牆轉發報文流的首報文時，獲取報文流的流表和NAT連接信息；
[0085]以圖4中系統的網絡架構示意圖為例。本實施例中，在系統內包括兩個互為熱備份的防火牆，兩個防火牆既可以採用主備方式(Active-Standby)工作，也可以採用雙主機方式(Active-Active)工作。在主備方式下，流量只經過主防火牆，當主防火牆發生故障時，流量會切換到作為備用防火牆的從防火牆上。雙主機方式下，流量會分擔到兩臺防火牆上，實現了流量的負載均衡，而當其中一臺防火牆出現故障時，該防火牆上的業務流量可以切換至另外一臺防火牆上進行處理，其中，原先處理業務的防火牆作為主防火牆，而接替主防火牆處理業務流量的防火牆為從防火牆。系統中的防火牆均可工作在網絡地址轉換(Network Address Translat1n，簡稱 NAT)模式下。
[0086]當主防火牆接收報文流的首報文並進行轉發時，主防火牆根據報文流本身的信息以及進行轉發時的配置信息，獲取用於轉發該報文流的流表及NAT連接信息。其中，報文流的流表包括報文的五元組信息(源IP位址、源埠、目的IP位址、目的埠和傳輸層協議號)。而NAT連接信息包括報文流的報文長度差值信息、NAT模式的期望連接信息和父子流信息。
[0087]具體的，報文長度差值信息用於確定報文流中報文經過NAT模式轉換後的傳輸控制協議TCP序列號。當工作在NAT模式的防火牆進行報文處理時，防火牆會將報文中的IP位址轉換為另外一個IP位址，此時防火牆的NAT組件會對報文載荷中的內容進行修改，從而報文的長度產生了變化。而報文的TCP序列號由報文長度決定，因此需要確定經過NAT模式轉換前後報文的長度變化值，以獲得報文的TCP序列號。
[0088]具體的，期望連接信息用於確定經過NAT模式轉換後報文流的數據連接以及生成父子流信息。工作在NAT模式的防火牆進行報文處理時，因為經過NAT模式轉換前後報文的IP位址和埠均不同，導致報文流在經過NAT模式轉換後，防火牆需要將報文流在經過NAT模式轉換前後的埠等信息儲存在防火牆NAT組件內部，以使報文流根據該新的報文載荷的連接關係在網絡側與防火牆之間轉發。
[0089]具體的，父子流信息可以用於確定報文流的父/子報文流。當某個報文流由另一個報文流所派生時，則這兩個報文流具有父子流關係，此時可以利用報文流中所攜帶的父子流信息確定報文是父流還是子流，以及該報文流所對應的父/子流是哪一個報文流。
[0090]以圖4所示的網絡架構進行FTP業務為例，當位於內網的主機發送報文流時，發送的報文的載荷中包含的數據連接地址信息為192.168.1.100:5001，此時報文載荷中的Port命令的內容即為Port: 192.168.1.100:5001。當報文流通過主防火牆進行NAT轉換時，主防火牆根據主防火牆與外網FTP伺服器的地址生成一個連接關係200.1.1.3:20—>200.1.1.2:16384，其中 200.1.1.3:20 為外網 FTP 伺服器的地址，200.1.1.2:16384 則為內網地址為192.168.1.100:5001的所對應的公網地址及埠。該連接關係由主防火牆內部生成，用於確定經過NAT模式轉換後報文流內的報文載荷的連接關係。從內網主機發送的報文在經過主防火牆時，報文承載中的Port命令內容由192.168.1.100:5001變為200.1.1.2:16384，此時報文的長度發生了變化，因此需要將經過NAT模式處理前後報文長度的差值記錄下來，以便在轉發報文流時還原報文的TCP序列號，從而保證轉發時報文能夠正確還原。
[0091]S302、主防火牆將報文流的流表和NAT連接信息發送給從防火牆，以使從防火牆根據報文流的流表和NAT連接信息轉發報文流的非首報文；
[0092]在主防火牆獲取報文流的流表和NAT連接信息後，主防火牆再將上述信息發送給從防火牆，當主防火牆出現故障或因其他原因不再轉發該報文流時，從防火牆即可根據報文流的流表和NAT連接信息對報文流餘下的非首報文進行轉發。具體的，主防火牆可以通過專用鏈路將報文流的流表和NAT連接信息發送給從防火牆，該專用鏈路可以是專用的報文轉發隧道或者其它高速鏈路，以及時讓從防火牆獲取用於轉發報文流的流表和NAT連接信息。
[0093]S303、從防火牆接收主防火牆發送的報文流的流表和NAT連接信息；
[0094]S304、從防火牆根據所述流表和所述NAT連接信息轉發所述報文流的非首報文。
[0095]在主防火牆不再轉發上述報文流時，即可將報文流改由從防火牆進行轉發，進行流量切換過程。
[0096]具體的，從防火牆在根據流表和NAT連接信息轉發報文流的非首報文時，需要根據報文流中控制連接和數據連接兩種情況分別進行處理，若報文流為控制連接，則從防火牆根據報文流的報文長度差值信息還原報文流的傳輸控制TCP序列號，根據流表並在NAT連接上按照報文流的TCP協議序列號轉發報文流的非首報文；若報文流為數據連接，則從防火牆根據父子流信息確定報文流的安全策略與報文流的網絡互聯協議IP位址，根據期望連接信息確定報文流的埠匹配關係和生成父子流信息，根據流表、報文流的IP位址和報文流的埠匹配關係建立數據連接，並轉發報文流的非首報文。例如在圖4的網絡架構中進行FTP業務時，當主機發送的報文流切換至從防火牆，則從防火牆根據報文流的父子流信息判斷報文流的安全策略和報文轉發的IP位址，如進行的是控制連接，則根據報文流的報文長度差值信息還原報文流的傳輸控制TCP序列號，並根據備份的流表項進行報文的轉發；如進行的是數據連接，從防火牆根據數據連接的父子流信息判斷其父流為控制連接，然後沿用控制連接的安全策略，並根據期望連接信息得到報文流的內網埠 5001和外網埠 16384，此時再根據流表和控制連接中的IP位址得到完整的對應關係為內網的IP位址及埠為192.168.1.100:5001所對應的外網IP位址及埠為200.1.1.2:16384，並在此基礎上，以該外網地址和外網FTP伺服器的地址200.1.1.3:20進行通信，以構成完整的連接，從而轉發報文流的其餘報文。
[0097]進一步的，在根據報文流的父子流信息確定報文流的安全策略時，首先要確定報文流所屬的父/子流具體為哪一個報文流；以FTP為例，父流是控制連接，子流是數據連接，數據連接是由控制連接報文載荷中的PORT命令生成的。當PORT命令進入NAT組件後，NAT組件就會記錄當前流(控制連接)的流標識符，等數據連接到達的時候，就會根據這個流標識符找到控制連接，形成父子流關係。
[0098]如果報文流為子流，則根據報文流的父流的安全策略確定報文流的安全策略。例如，控制連接和數據連接之間為父子流關係，其中控制連接為父流，數據連接為子流，如果報文流為數據連接，則確定數據連接的安全策略時，就需要確定控制連接的安全策略，並依據控制連接的安全策略確定數據連接的安全策略，以保證數據連接不會因安全策略而被防火牆阻擋。
[0099]本實施例中，主防火牆轉發報文流的首報文時，獲取報文流的NAT連接信息，再將報文流的流表和NAT連接信息發送給從防火牆，以使從防火牆根據報文流的流表和NAT連接信息轉發報文流的非首報文；從防火牆接收主防火牆發送的報文流的流表和NAT連接信息，並根據所述流表和所述NAT連接信息轉發所述報文流的非首報文。這樣防火牆進行NAT業務的情況下，在進行主從防火牆的流量切換時，從防火牆可以根據報文流的流表和NAT連接信息繼續轉發該報文流的其餘非首報文，以防止防火牆在進行流量切換時發生業務中斷。
[0100]圖5是本發明實施例四提供的主防火牆的結構示意圖。該主防火牆工作在網絡地址轉換NAT模式下。如圖5所示，本實施例提供的主防火牆51包括:
[0101]獲取模塊501，用於在轉發報文流的首報文時，獲取報文流流表和NAT連接信息；
[0102]發送模塊502，用於將報文流的流表和NAT連接信息發送給從防火牆，以使從防火牆根據報文流的流表和NAT連接信息轉發報文流的非首報文。
[0103]具體的，發送模塊502可以用於通過專用鏈路將報文流流表和NAT連接信息發送給從防火牆。
[0104]具體的，NAT連接信息包括報文流的報文長度差值信息、NAT模式的期望連接信息和父子流信息，其中報文長度差值信息用於確定報文流中報文經過NAT轉換後的傳輸控制協議TCP序列號，期望連接信息用於確定經過NAT模式轉換後報文流的數據連接以及生成父子流信息，父子流信息用於確定報文流的父/子報文流。
[0105]具體的，報文流的報文長度差值信息為報文流在經過NAT轉換前後報文長度的差值。
[0106]具體的，報文流的期望連接信息為報文流在經過NAT模式轉換前後數據連接的埠之間的匹配關係以及用於生成父子流信息的信息。
[0107]本實施例中，主防火牆中的獲取模塊在轉發報文流的首報文時，獲取報文流流表和NAT連接信息；發送模塊將報文流的流表和NAT連接信息發送給從防火牆，以使從防火牆根據報文流的流表和NAT連接信息轉發報文流的非首報文。這樣防火牆在進行NAT業務的情況下，當發生主從防火牆的流量切換時，從防火牆可以繼續轉發該報文流的其餘非首報文，以防止防火牆發生業務中斷。
[0108]圖6是本發明實施例五提供的從防火牆的結構示意圖。該從防火牆工作在網絡地址轉換NAT模式下。如圖6所示，本實施例提供的從防火牆61包括:
[0109]接收模塊601，用於接收主防火牆發送的報文流的流表和NAT連接信息，
[0110]報文轉發模塊602，用於根據流表和NAT連接信息轉發報文流的非首報文。
[0111]具體的，接收模塊601具體用於通過專用鏈路接收報文流的流表和NAT連接信息。
[0112]報文轉發模塊602具體用於確定報文流所屬的父/子流；並且如果報文流為子流時，根據該報文流的父流的安全策略確定該報文流的安全策略。
[0113]具體的，NAT連接信息包括報文流的報文長度差值信息、報文流的期望連接信息和報文流的父子流信息。對應的，報文轉發模塊602具體用於:若報文流為控制連接，則根據報文流的報文長度差值信息還原報文流的傳輸控制TCP序列號，根據流表並在NAT連接上按照報文流的TCP協議序列號轉發報文流的非首報文；若報文流為數據連接，則根據父子流信息確定報文流的安全策略與報文流的網絡互聯協議IP位址，根據期望連接信息確定報文流的埠匹配關係和生成父子流信息，根據流表、報文流的IP位址和報文流的埠匹配關係建立數據連接，並轉發報文流的非首報文。
[0114]具體的，報文流的報文長度差值信息為報文流在經過NAT轉換前後報文長度的差值。
[0115]具體的，報文流的期望連接信息為報文流在經過NAT模式轉換前後數據連接的埠的匹配關係以及用於生成父子流信息的信息。
[0116]本實施例中，從防火牆中的接收模塊接收主防火牆發送的報文流的流表和NAT連接信息，報文轉發模塊根據流表和NAT連接信息轉發報文流的非首報文。這樣防火牆在進行NAT業務的情況下，當發生主從防火牆的流量切換時，從防火牆可以繼續轉發該報文流的其餘非首報文，以防止防火牆發生業務中斷。
[0117]圖7是本發明實施例六提供的主防火牆的結構示意圖。本實施例提供的主防火牆71具體包括CPU701、存儲器702和轉發晶片703等，在轉發晶片703中形成用於完成前述實施例中方法的功能模塊，再通過CPU701運行存儲器702的機器可讀指令，來完成上述方法中與所劃分的功能模塊所對應的程序步驟，從而實現前述方法所完成的功能。其中，轉發晶片中包括的功能模塊和前述實施例四中一致，此處不再贅述。
[0118]圖8是本發明實施例七提供的從防火牆的結構示意圖。本實施例提供的從防火牆81具體包括CPU801、存儲器802和轉發晶片803等，在轉發晶片803中形成用於完成前述實施例中方法的功能模塊，再通過CPU801運行存儲器802的機器可讀指令，來完成上述方法中與所劃分的功能模塊所對應的程序步驟，從而實現前述方法所完成的功能。其中，轉發晶片中包括的功能模塊和前述實施例五中一致，此處不再贅述。
[0119]圖9是本發明實施例八提供的防火牆系統的結構示意圖。如圖9所示，防火牆系統91中包括一個主防火牆901和至少一個從防火牆902，主防火牆901和從防火牆902之間通過專用鏈路903進行報文流的流表和NAT連接信息的傳輸。其中，主防火牆901和從防火牆902的結構、功能及作用可參見前述實施例四到實施例七的相關描述，在此不再贅述。
[0120]本領域普通技術人員可以理解:實現上述各方法實施例的全部或部分步驟可以通過程序指令相關的硬體來完成。前述的程序可以存儲於一計算機可讀取存儲介質中。該程序在執行時，執行包括上述各方法實施例的步驟；而前述的存儲介質包括:ROM、RAM、磁碟或者光碟等各種可以存儲程序代碼的介質。
[0121]最後應說明的是:以上各實施例僅用以說明本發明的技術方案，而非對其限制；儘管參照前述各實施例對本發明進行了詳細的說明，本領域的普通技術人員應當理解:其依然可以對前述各實施例所記載的技術方案進行修改，或者對其中部分或者全部技術特徵進行等同替換；而這些修改或者替換，並不使相應技術方案的本質脫離本發明各實施例技術方案的範圍。
【權利要求】
1.一種防火牆流表備份方法，系統內包括工作在網絡地址轉換NAT模式下且互為熱備的主防火牆和從防火牆，其特徵在於，包括: 所述主防火牆轉發報文流的首報文時，獲取所述報文流的流表和NAT連接信息； 所述主防火牆將所述報文流的流表和NAT連接信息發送給所述從防火牆，以使所述從防火牆根據所述報文流的流表和NAT連接信息轉發所述報文流的非首報文。
2.根據權利要求1所述的防火牆流表備份方法，其特徵在於，所述NAT連接信息包括所述報文流的報文長度差值信息、所述NAT模式的期望連接信息和父子流信息，其中所述報文長度差值信息用於確定所述報文流中報文經過所述NAT模式轉換後的傳輸控制協議TCP序列號，所述期望連接信息用於確定經過所述NAT模式轉換後所述報文流的數據連接以及生成父子流信息，所述父子流信息用於確定所述報文流的父/子報文流。
3.根據權利要求2所述的防火牆流表備份方法，其特徵在於，所述報文流的報文長度差值信息為所述報文流在經過所述NAT轉換前後報文長度的差值。
4.根據權利要求2所述的防火牆流表備份方法，其特徵在於，所述報文流的期望連接信息包含所述報文流在經過所述NAT模式轉換前後數據連接的埠之間的匹配關係以及用於生成所述父子流信息的信息。
5.根據權利要求1至4任一項所述的防火牆流表備份方法，其特徵在於，所述主防火牆將所述報文流的流表和NAT連接信息發送給從防火牆具體包括: 所述主防火牆通過專用鏈路將所述報文流的流表和NAT連接信息發送給所述從防火工回O
6.一種防火牆流表備份方法，系統內包括工作在網絡地址轉換NAT模式下且互為熱備的主防火牆和從防火牆，其特徵在於，包括: 所述從防火牆接收所述主防火牆發送的報文流的流表和NAT連接信息； 所述從防火牆根據所述流表和所述NAT連接信息轉發所述報文流的非首報文。
7.根據權利要求6所述的防火牆流表備份方法，其特徵在於，所述NAT連接信息包括所述報文流的報文長度差值信息、所述報文流的期望連接信息和所述報文流的父子流信息； 所述從防火牆根據所述流表和所述NAT連接信息轉發所述報文流的非首報文具體包括: 若所述報文流為控制連接，則所述從防火牆根據所述報文流的報文長度差值信息還原所述報文流的傳輸控制TCP序列號，根據所述流表並在所述NAT連接上按照所述報文流的TCP協議序列號轉發所述報文流的非首報文； 若所述報文流為數據連接，則所述從防火牆根據所述父子流信息確定所述報文流的安全策略與所述報文流的網絡互聯協議IP位址，根據所述期望連接信息確定所述報文流的埠匹配關係和生成父子流信息，根據所述流表、所述報文流的IP位址和所述報文流的埠匹配關係建立所述數據連接，並轉發所述報文流的非首報文。
8.根據權利要求7所述的防火牆流表備份方法，其特徵在於，所述報文流的報文長度差值信息為所述報文流在經過所述NAT模式轉換前後報文長度的差值。
9.根據權利要求7所述的防火牆流表備份方法，其特徵在於，所述報文流的期望連接信息包含所述報文流在經過所述NAT模式轉換前後所述數據連接的埠的匹配關係以及用於生成所述父子流信息的信息。
10.根據權利要求7所述的防火牆流表備份方法，其特徵在於，所述根據父子流信息確定所述報文流的安全策略與所述報文流的網絡互聯協議IP位址具體包括: 確定所述報文流所屬的父/子流； 如果所述報文流為子流，根據所述報文流的父流的安全策略確定所述報文流的安全策略與IP位址。
11.根據權利要求6-10任一項所述的防火牆流表備份方法，其特徵在於，所述從防火牆接收主防火牆發送的報文流的流表和網絡地址轉換NAT連接信息具體包括:所述從防火牆通過專用鏈路接收所述報文流的流表和NAT連接信息。
12.一種主防火牆，所述主防火牆工作在網絡地址轉換NAT模式下，其特徵在於，包括: 獲取模塊，用於在轉發報文流的首報文時，獲取所述報文流流表和NAT連接信息； 發送模塊，用於將所述報文流的流表和NAT連接信息發送給從防火牆，以使所述從防火牆根據所述報文流的流表和NAT連接信息轉發所述報文流的非首報文。
13.根據權利要求12所述的主防火牆，其特徵在於，所述NAT連接信息包括所述報文流的報文長度差值信息、所述NAT模式的期望連接信息和父子流信息，其中所述報文長度差值信息用於確定所述報文流中報文經過所述NAT轉換後的傳輸控制協議TCP序列號，所述期望連接信息用於確定經過所述NAT模式轉換後所述報文流的數據連接以及生成父子流信息，所述父子流信息用於確定所述報文流的父/子報文流。
14.根據權利要求13所述的主防火牆，其特徵在於，所述報文流的報文長度差值信息為所述報文流在經過所述NAT轉換前後報文長度的差值。
15.根據權利要求13所述的主防火牆，其特徵在於，所述報文流的期望連接信息包含所述報文流在經過所述NAT模式轉換前後數據連接的埠之間的匹配關係以及用於生成父子流信息的信息。
16.根據權利要求12至16任一項所述的主防火牆，其特徵在於，所述發送模塊具體用於:通過專用鏈路將所述報文流流表和NAT連接信息發送給所述從防火牆。
17.一種從防火牆，所述從防火牆工作在網絡地址轉換NAT模式下，其特徵在於，包括: 接收模塊，用於接收主防火牆發送的報文流的流表和NAT連接信息， 報文轉發模塊，用於根據所述流表和所述NAT連接信息轉發所述報文流的非首報文。
18.根據權利要求17所述的從防火牆，其特徵在於，所述NAT連接信息包括所述報文流的報文長度差值信息、所述報文流的期望連接信息和所述報文流的父子流信息； 所述報文轉發模塊具體用於: 若所述報文流為控制連接，則根據所述報文流的報文長度差值信息還原所述報文流的傳輸控制TCP序列號，根據所述流表並在所述NAT連接上按照所述報文流的TCP協議序列號轉發所述報文流的非首報文； 若所述報文流為數據連接，則根據所述父子流信息確定所述報文流的安全策略與所述報文流的網絡互聯協議IP位址，根據所述期望連接信息確定所述報文流的埠匹配關係和生成父子流信息，根據所述流表、所述報文流的IP位址和所述報文流的埠匹配關係建立所述數據連接，並轉發所述報文流的非首報文。
19.根據權利要求18所述的從防火牆，其特徵在於，所述報文流的報文長度差值信息為所述報文流在經過所述NAT轉換前後報文長度的差值。
20.根據權利要求18所述的從防火牆，其特徵在於，所述報文流的期望連接信息包含所述報文流在經過所述NAT模式轉換前後所述數據連接的埠的匹配關係以及用於生成父子流信息的信息。
21.根據權利要求18所述的從防火牆，其特徵在於，所述報文轉發模塊具體用於: 確定所述報文流所屬的父/子流； 如果所述報文流為子流，根據所述報文流的父流的安全策略確定所述報文流的安全策略與IP位址。
22.根據權利要求17-21任一項所述的從防火牆，其特徵在於，接收模塊具體用於:通過專用鏈路接收所述報文流的流表和NAT連接信息。
23.一種防火牆系統，其特徵在於:包括一個如權利要求12-16任一項所述的主防火牆和至少一個如權利要求17-22任一項所述的從防火牆，所述主防火牆和所述從防火牆之間通過專用鏈路進行報文流的流表和NAT連接信息的傳輸。
【文檔編號】H04L29/06GK104506513SQ201410784814
【公開日】2015年4月8日 申請日期:2014年12月16日 優先權日:2014年12月16日
【發明者】陳旭 申請人:北京星網銳捷網絡技術有限公司