[发明专利]一种防火墙旁路模式下的报文处理方法和系统

说明书

技术领域

本发明涉及二层防火墙的组网技术，特别涉及一种防火墙旁路模式下的报文处理方法和系统。

背景技术

企业局域网对于安全和可用性要求较高；同时局域网内的流量很大，对于网络设备的转发性能要求很高。如何在保证局域网安全和性能的条件下，提高局域网的可用性是衡量一个局域网部署方案好坏的标志。

具体地，防火墙技术是保证局域网安全的一个重要手段，可以工作在透明模式下或路由模式下。工作在透明模式下的防火墙在数据链路层连接局域网(LAN)，网络终端用户无需为连接网络而对设备进行特别配置，就像使用以太网交换机一样进行网络连接，相对于路由模式而言，网络部署方非常简单，不需要对现有网络结构作大的调整。

网络可用性也就是通常所讲的网络可靠性。所谓网络高可用性指的是网络出现故障导致业务中断的概率非常小，即便出现故障业务中断的时间也非常短，不会对企业的正常业务运作造成不良的影响。

网络高可用性实现的关键就在于实现网络方案的冗余设计。对于网络方案的每一个节点、每一条链路都有备份(冗余)设计，同时在两者之间定义迅速准确地故障检测手段，以便及时感知故障发生并自动采取动作缓解故障发生导致的不良影响。从而实现网络方案整体高可用性。

虚拟路由冗余协议(VRRP，Virtual Router Redundancy Protocol)是实现网络高可用性的一项常用技术。简单来说，VRRP是一种容错协议，它保证当主机的下一跳设备坏掉时，可以及时的由另一台设备来代替，从而保持通讯的连续性和可靠性。为了使VRRP工作，首先要创建一个虚拟IP地址和MAC地址，这样在这个网络中就加入了一个虚拟网关。该虚拟网关由一个主设备(Master)和若干个备份设备(Backup)组成，主设备一方面定时向备份设备发送VRRP组播报文通告该主设备的存在，另一方面向局域网中的设备发送ARP组播报文，通告各个设备虚拟网关的IP地址在该主设备上，并转发局域网中设备发来的报文。

备份设备在定时时间内接收到主设备发出的VRRP报文，则确定主设备工作正常；否则，确定主设备或该主设备所在的链路异常，备份设备切换成为新的主设备，接替主设备的工作，向局域网中的设备发送ARP组播报文，将虚拟网关的IP地址定位在自身上，并完成报文转发操作。网络上的主机与虚拟网关通信，无需了解这个网络上物理设备的任何信息。

图1为典型的企业网络局域网的组网示意图。如图1所示，整个网络分为三层：核心、汇聚和接入层。在每一层、每一个节点、每一条链路都有备份(冗余)设计，以实现高可用性。

现有两种防火墙透明模式的组网方式，分别为In_Line方式和旁路方式，防火墙基于上述两种组网方式进行报文处理。图2为防火墙透明模式下In_Line方式的组网示意图。如图2所示，防火墙串接在核心层与汇聚层交换设备之间，做二层转发。

图2所示组网方式及基于该组网方式进行报文处理的优点是：组网方式部署简单，不需要对网络结构作调整，也不需要修改网络设备的配置。

相应的缺点包括：

1、防火墙的In_Line部署会对网络转发性能形成强烈的限制，形成一个性能瓶颈。由于防火墙对于安全业务的处理相当复杂，尤其是针对DDoS和应用层面的一些程序(例如病毒等)的处理相当漫长。所以防火墙的转发性能一直都无法与交换机设备相提并论。两者之间基本相差有一个量级(10倍)。将防火墙以In_Line的方式部署在核心与汇聚的高性能交换设备之间，会严重制约交换设备的高性能转发引擎，导致整个网络系统的吞吐量下降。

2、部署不够灵活，可扩展性不足。在原有防火墙性能不足，需要进行扩容时。必须先将原有设备换下，才能换上新设备。会引起网络的中断。而且原有设备也无法再利用，造成浪费。

图3为防火墙透明模式下的旁路组网方式示意图。其中，FW代表防火墙，Core代表核心交换设备，AGG代表汇聚交换设备，ACC代表接入交换设备，A和B代表两个冗余设计节点，V100代表vlan100(下同)。在该组网方式下，Core与AGG交换机设备之间作三层转发，AGG与ACC交换设备之间做二层转发，FW与AGG交换设备之间做二层透明转发，FW做双臂旁路，分别对应不同的Vlan。

由于防火墙设备需要保存数据流的会话信息，这就要求请求数据流(上行)和对应的响应数据流(下行)必须经过同一个防火墙设备，否则可能会造成防火墙的异常丢包现象。这一特点称之为数据流的对称性。

上述图3所示的旁路组网方式及基于该组网方式进行报文处理的优点是：