[发明专利]大型防火墙集群中的定时管理

说明书

技术领域

概括地说，本发明涉及防火墙操作，具体地说，在一个实施例中，本发明涉及大型防火墙集群中的定时管理。

有限的版权豁免

本专利文档的公开内容的一部分包含主张版权保护的材料。版权拥有人并不反对任何人员复制该专利文档或专利公开内容，如其出现在美国专利商标局文件或记录中一样，但是版权拥有人保留对其的所有其它权利。

背景技术

计算机是非常有价值的工具，很大程度上是由于它们与其它计算机系统进行通信以及通过计算机网络来获取信息的能力。通常，网络包括一群互连的计算机，它们通过线缆、光纤、无线电或者其它数据传输方式进行链接，以便向计算机提供从一个计算机向另一个计算机传输信息的能力。互联网或许是最知名的计算机网络，其使成千上万的人能够例如通过观看web网页、发送电子邮件(e-mail)或者通过执行其它计算机到计算机的通信来访问成千上万的其它计算机。

但是，由于互联网的范围太大，互联网用户在他们的兴趣方面又是如此不同，因此恶意用户或者爱开玩笑的人经常尝试以对其它用户构成危险的方式，与这些其它用户的计算机进行通信。例如，黑客可能尝试登录企业计算机，以偷取、删除或者修改信息。计算机病毒或者特洛伊木马程序可能被分发到其它计算机，或者被大量的计算机用户不知不觉地下载或者执行。此外，诸如企业之类的组织中的计算机用户可能偶尔地尝试进行未授权的网络通信，例如，运行文件共享程序或者从本企业的网络向互联网发送企业秘密。

由于这些和其它原因，很多企业、机构、甚至家庭用户在它们的本地网络和互联网之间使用网络防火墙或者类似的设备。通常，防火墙是计算机化的网络设备，其对经过它的网络业务进行检查，基于某种规则集，准许期望的网络业务通过。

防火墙通过下面方式来执行它们的过滤功能：对诸如TCP/IP或其它网络协议分组之类的通信分组进行观察，检查诸如源网络地址和目标网络地址、正使用什么端口、以及连接的状态或历史之类的特性。一些防火墙还检查流向或者来自特定的应用的分组，或者通过处理和转发受保护用户和外部联网计算机之间的选定的网络请求，来充当为代理设备。

通常，防火墙通过监测各个端口、套接字(socket)和协议之间的连接(例如，通过在防火墙中检查网络业务)，来控制网络信息的流动。使用基于套接字、端口、应用和其它信息的规则，来选择性地过滤或者传送数据，并记录网络活动。通常，防火墙规则被配置为：识别将被禁止的或者应当施加某些其它限制的某些类型的网络业务，例如，对已知用于文件共享程序的端口上的业务进行阻止，同时对在传统的FTP端口上接收的任何数据进行病毒扫描，阻止某些应用或者用户执行一些任务，而允许其它应用或用户执行这些任务，阻止基于已知攻击模式的业务(例如，来自同一IP地址的对于不同的端口的重复查询)。防火墙还可以被配置为准许某些类型的业务，例如允许加密的业务，使得远程系统可以与该防火墙之后的VPN或者虚拟专用网进行通信。

但是，当防火墙分布在多个计算机系统之中时，防火墙对这些连接进行管理的能力是受限的，其原因在于：各个节点必须能够一起工作来实现防火墙。因此，期望实现集群中的改进的防火墙分布。

发明内容

在一个示例性实施例中，一种防火墙集群包括三个或更多个防火墙处理节点，这些防火墙处理节点基于报告节点在先前存在的集群中的成员资格，来报告主节点状态。控制器使用所报告的状态来指派分布式防火墙集群中的主节点。报告的主节点状态包括：所报告的有资格成为主节点(如果该节点是先前存在的集群的成员)，所报告的主节点状态包括：报告无资格成为主节点(如果该节点不是先前存在的集群的成员)，所报告的主节点状态(如果该节点是先前存在的集群中的主节点)，以及所报告的已经超时的节点有资格成为主节点。

附图说明

图1示出了可以用于实现本发明的一些实施例的包括防火墙的示例性网络。

图2示出了根据本发明的一个示例性实施例的包括防火墙集群的示例性网络，其中该防火墙集群包括多个防火墙节点。

图3是示出了根据本发明的一个示例性实施例的分布式防火墙集群的典型配置循环的流程图。

具体实施方式