[发明专利]用于有状态服务的应用的网络流量的重定向的方法和装置

说明书

技术领域

本公开涉及利用有状态服务的网络环境，并具体涉及防火墙。

背景技术

现代网络在网络环境中部署多个防火墙。在部署多个防火墙时，进程需要处理其中数据流起始于一个防火墙，但是随后通过另一个防火墙发送或接收消息的情形。一些实现中使用了簇的解决方案，其中簇中的所有防火墙与簇主同步，而簇主相应地同步于它的簇成员。这允许所有的防火墙接收由簇中的每一个其他防火墙所处理的每个流的流状态。

作为示例，在部署有每一个直连于因特网的双数据中心时，所有的防火墙与簇主同步。就执行必须的同步所需的带宽而言，这样的系统费用很高。具体的，对网络中的每一个新的流都需要同步，在每秒多达百万计的流的真实世界部署中，这是很繁琐的。当部署跨越三个或更多站点时，利用三个或更多防火墙，这一问题被显著地放大。

附图说明

图1示出了示例性计算机网络，其中防火墙利用映射目录以实现多防火墙环境中网络流量的重定向。

图2示出了示例性计算机网络，其中防火墙利用映射目录以实现多防火墙环境中网络流量的重定向。

图3示出了多防火墙环境中对消息的重定向和针对网络流量的防火墙策略的应用的示例。

图4示出了多防火墙环境中对消息的重定向和针对网络流量的防火墙策略的应用的另一示例。

图5示出了多防火墙环境中对网络流量的防火墙策略的另一示例应用。

图6示出了多防火墙环境中对消息的重定向和对网络流量的防火墙策略的应用的另一示例。

图7示出了多防火墙环境中对消息的重定向和对网络流量的防火墙策略的应用的另一示例。

图8示出了多防火墙环境中对消息的重定向和对网络流量的防火墙策略的应用的进一步示例。

图9示出了多防火墙环境中对网络流量的防火墙策略的另一示例应用。

图10示出了多防火墙环境中对消息的重定向和对网络流量的防火墙策略的应用的进一步示例。

图11是示出了用于登记网络设备-端点映射、重定向消息、以及对网络流量应用有状态服务的示例步骤的流程图。

图12是示出了用于重定向消息以及对网络流量应用网络策略的示例步骤的流程图。

图13示出了示例性的映射目录。

图14是被配置为执行消息的重定向和对网络流量的有状态服务的应用的网络设备的示例性框图。

具体实施方式

概述

这里提出了用于分布于任何数目的站点的任何数目的网络设备之间的重定向的技术。在第一网络设备处从网络端点接收流的第一消息。端点和第一网络设备之间的关系被登记在将端点映射到网络设备的目录中。流的状态被存储于第一网络设备处。在第二网络设备处接收针对该流的第二消息，该第二消息指示第一端点。确定第二网络设备未存储该流的流状态。查询被执行以接收指示该端点和第一网络设备之间的关系的信息。所接收的信息被存储在第二网络设备处的缓存中。根据所存储的信息对第二消息 应用服务。

示例性实施例

图1中所描述的为用于多防火墙环境中的网络流量的智能重定向的网络环境100。尽管当前示例针对多防火墙环境，但这里的技术可被应用于采用了有状态服务(stateful service)的其他网络环境，例如实现多负载均衡器的环境、实现广域网(WAN)优化的设备、提供网络地址转换服务的设备、和提供入侵检测的设备。可以在开放式系统互联模型(OSI)的第四层提供上述服务。另外的示例可以包括由诸如会话边界控制器之类在OSI模型的更高层运行的设备提供的服务。

与局域网(LAN)相连的是诸如虚拟机(VM)102之类的内部端点。尽管在图1中作为具体示例使用了虚拟机102，但诸如客户端和服务器之类的其它端点可以处于类似环境，并且通过与这里呈现的用于虚拟机类似的方式处理它们的流量。因此，一般地，虚拟机能够被视为网络端点的一个示例，但是术语“端点”意指包括物理设备(客户端或服务器)以及虚拟设备(例如虚拟机)。与LAN 101相连的还有被配置为执行网络流量的智能重定向的防火墙103a和103b，且其中的每个防火墙包括缓存104a，b。缓存104a，b存储转发信息，其将在下文参考图2-8而被详细解释。此外，防火墙103a，b包括流状态表108a，b，该流状态表包含被相应防火墙处理的流的流状态。