大型防火墻集群中的定時(shí)管理的制作方法
【專利摘要】一種防火墻集群包括三個(gè)或更多個(gè)防火墻處理節(jié)點(diǎn)���,這些防火墻處理節(jié)點(diǎn)基于進(jìn)行報(bào)告的節(jié)點(diǎn)在先前存在的集群中的成員資格��,來報(bào)告主節(jié)點(diǎn)狀態(tài)���??刂破魇褂盟鶊?bào)告的狀態(tài)來指派分布式防火墻集群中的主節(jié)點(diǎn)�����。所報(bào)告的主節(jié)點(diǎn)狀態(tài)包括:如果節(jié)點(diǎn)是先前存在的集群的成員��,則為所報(bào)告的有資格成為主節(jié)點(diǎn)���,如果節(jié)點(diǎn)不是先前存在的集群的成員��,則所報(bào)告的主節(jié)點(diǎn)狀態(tài)包括報(bào)告沒有資格成為主節(jié)點(diǎn)����,如果節(jié)點(diǎn)是先前存在的集群中的主節(jié)點(diǎn)�,則為所報(bào)告的主節(jié)點(diǎn)狀態(tài),以及對(duì)于已經(jīng)超時(shí)的節(jié)點(diǎn)所報(bào)告的有資格成為主節(jié)點(diǎn)��。
【專利說明】大型防火墻集群中的定時(shí)管理
【技術(shù)領(lǐng)域】
[0001]概括地說���,本發(fā)明涉及防火墻操作��,具體地說��,在一個(gè)實(shí)施例中�����,本發(fā)明涉及大型防火墻集群中的定時(shí)管理�。
[0002]有限的版權(quán)豁免
[0003]本專利文檔的公開內(nèi)容的一部分包含主張版權(quán)保護(hù)的材料。版權(quán)擁有人并不反對(duì)任何人員復(fù)制該專利文檔或?qū)@_內(nèi)容�,如其出現(xiàn)在美國專利商標(biāo)局文件或記錄中一樣,但是版權(quán)擁有人保留對(duì)其的所有其它權(quán)利���。
【背景技術(shù)】
[0004]計(jì)算機(jī)是非常有價(jià)值的工具�����,很大程度上是由于它們與其它計(jì)算機(jī)系統(tǒng)進(jìn)行通信以及通過計(jì)算機(jī)網(wǎng)絡(luò)來獲取信息的能力。通常�����,網(wǎng)絡(luò)包括一群互連的計(jì)算機(jī)��,它們通過線纜��、光纖、無線電或者其它數(shù)據(jù)傳輸方式進(jìn)行鏈接�����,以便向計(jì)算機(jī)提供從一個(gè)計(jì)算機(jī)向另一個(gè)計(jì)算機(jī)傳輸信息的能力��?���;ヂ?lián)網(wǎng)或許是最知名的計(jì)算機(jī)網(wǎng)絡(luò),其使成千上萬的人能夠例如通過觀看web網(wǎng)頁����、發(fā)送電子郵件(e-mail)或者通過執(zhí)行其它計(jì)算機(jī)到計(jì)算機(jī)的通信來訪問成千上萬的其它計(jì)算機(jī)。
[0005]但是��,由于互聯(lián)網(wǎng)的范圍太大����,互聯(lián)網(wǎng)用戶在他們的興趣方面又是如此不同,因此惡意用戶或者愛開玩笑的人經(jīng)常嘗試以對(duì)其它用戶構(gòu)成危險(xiǎn)的方式����,與這些其它用戶的計(jì)算機(jī)進(jìn)行通信。例如���,黑客可能嘗試登錄企業(yè)計(jì)算機(jī)�,以偷取、刪除或者修改信息�。計(jì)算機(jī)病毒或者特洛伊木馬程序可能被分發(fā)到其它計(jì)算機(jī),或者被大量的計(jì)算機(jī)用戶不知不覺地下載或者執(zhí)行�。此外,諸如企業(yè)之類的組織中的計(jì)算機(jī)用戶可能偶爾地嘗試進(jìn)行未授權(quán)的網(wǎng)絡(luò)通信���,例如���,運(yùn)行文件共享程序或者從本企業(yè)的網(wǎng)絡(luò)向互聯(lián)網(wǎng)發(fā)送企業(yè)秘密。
[0006]由于這些和其它原因��,很多企業(yè)��、機(jī)構(gòu)����、甚至家庭用戶在它們的本地網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間使用網(wǎng)絡(luò)防火墻或者類似的設(shè)備���。通常����,防火墻是計(jì)算機(jī)化的網(wǎng)絡(luò)設(shè)備,其對(duì)經(jīng)過它的網(wǎng)絡(luò)業(yè)務(wù)進(jìn)行檢查�����,基于某種規(guī)則集����,準(zhǔn)許期望的網(wǎng)絡(luò)業(yè)務(wù)通過。
[0007]防火墻通過下面方式來執(zhí)行它們的過濾功能:對(duì)諸如TCP/IP或其它網(wǎng)絡(luò)協(xié)議分組之類的通信分組進(jìn)行觀察����,檢查諸如源網(wǎng)絡(luò)地址和目標(biāo)網(wǎng)絡(luò)地址、正使用什么端口��、以及連接的狀態(tài)或歷史之類的特性��。一些防火墻還檢查流向或者來自特定的應(yīng)用的分組���,或者通過處理和轉(zhuǎn)發(fā)受保護(hù)用戶和外部聯(lián)網(wǎng)計(jì)算機(jī)之間的選定的網(wǎng)絡(luò)請(qǐng)求��,來充當(dāng)為代理設(shè)備�。
[0008]通常�����,防火墻通過監(jiān)測(cè)各個(gè)端口、套接字(socket)和協(xié)議之間的連接(例如����,通過在防火墻中檢查網(wǎng)絡(luò)業(yè)務(wù)),來控制網(wǎng)絡(luò)信息的流動(dòng)��。使用基于套接字�、端口、應(yīng)用和其它信息的規(guī)則����,來選擇性地過濾或者傳送數(shù)據(jù),并記錄網(wǎng)絡(luò)活動(dòng)�����。通常�����,防火墻規(guī)則被配置為:識(shí)別將被禁止的或者應(yīng)當(dāng)施加某些其它限制的某些類型的網(wǎng)絡(luò)業(yè)務(wù)��,例如���,對(duì)已知用于文件共享程序的端口上的業(yè)務(wù)進(jìn)行阻止����,同時(shí)對(duì)在傳統(tǒng)的FTP端口上接收的任何數(shù)據(jù)進(jìn)行病毒掃描���,阻止某些應(yīng)用或者用戶執(zhí)行一些任務(wù)��,而允許其它應(yīng)用或用戶執(zhí)行這些任務(wù)����,阻止基于已知攻擊模式的業(yè)務(wù)(例如��,來自同一 IP地址的對(duì)于不同的端口的重復(fù)查詢)��。防火墻還可以被配置為準(zhǔn)許某些類型的業(yè)務(wù)�,例如允許加密的業(yè)務(wù),使得遠(yuǎn)程系統(tǒng)可以與該防火墻之后的VPN或者虛擬專用網(wǎng)進(jìn)行通信��。
[0009]但是����,當(dāng)防火墻分布在多個(gè)計(jì)算機(jī)系統(tǒng)之中時(shí),防火墻對(duì)這些連接進(jìn)行管理的能力是受限的����,其原因在于:各個(gè)節(jié)點(diǎn)必須能夠一起工作來實(shí)現(xiàn)防火墻�。因此�����,期望實(shí)現(xiàn)集群中的改進(jìn)的防火墻分布�����。
【發(fā)明內(nèi)容】
[0010]在一個(gè)示例性實(shí)施例中�����,一種防火墻集群包括三個(gè)或更多個(gè)防火墻處理節(jié)點(diǎn)�,這些防火墻處理節(jié)點(diǎn)基于報(bào)告節(jié)點(diǎn)在先前存在的集群中的成員資格,來報(bào)告主節(jié)點(diǎn)狀態(tài)���?����?刂破魇褂盟鶊?bào)告的狀態(tài)來指派分布式防火墻集群中的主節(jié)點(diǎn)���。報(bào)告的主節(jié)點(diǎn)狀態(tài)包括:所報(bào)告的有資格成為主節(jié)點(diǎn)(如果該節(jié)點(diǎn)是先前存在的集群的成員),所報(bào)告的主節(jié)點(diǎn)狀態(tài)包括:報(bào)告無資格成為主節(jié)點(diǎn)(如果該節(jié)點(diǎn)不是先前存在的集群的成員)�����,所報(bào)告的主節(jié)點(diǎn)狀態(tài)(如果該節(jié)點(diǎn)是先前存在的集群中的主節(jié)點(diǎn))���,以及所報(bào)告的已經(jīng)超時(shí)的節(jié)點(diǎn)有資格成為主節(jié)點(diǎn)����。
【專利附圖】
【附圖說明】
[0011]圖1示出了可以用于實(shí)現(xiàn)本發(fā)明的一些實(shí)施例的包括防火墻的示例性網(wǎng)絡(luò)�����。
[0012]圖2示出了根據(jù)本發(fā)明的一個(gè)示例性實(shí)施例的包括防火墻集群的示例性網(wǎng)絡(luò)�����,其中該防火墻集群包括多個(gè)防火墻節(jié)點(diǎn)��。
[0013]圖3是示出了根據(jù)本發(fā)明的一個(gè)示例性實(shí)施例的分布式防火墻集群的典型配置循環(huán)的流程圖�。
【具體實(shí)施方式】
[0014]在本發(fā)明的示例性實(shí)施例的下面詳細(xì)描述中,通過附圖和說明的方式����,來參照特定的示例。對(duì)這些示例進(jìn)行了足夠詳細(xì)的描述�����,以使本領(lǐng)域普通技術(shù)人員能夠?qū)崿F(xiàn)本發(fā)明,并且這些示例用于描繪本發(fā)明可以如何應(yīng)用于各種目的或?qū)嵤├?�。存在本發(fā)明的其它實(shí)施例���,并落入本發(fā)明的保護(hù)范圍之內(nèi)�,可以在不脫離本發(fā)明的主題或保護(hù)范圍的基礎(chǔ)上��,做出邏輯��、機(jī)械����、電和其它改變。本申請(qǐng)所描述的本發(fā)明的各個(gè)實(shí)施例的特征或者限制雖然對(duì)于它們所并入的示例性實(shí)施例來說是必不可少的�����,但其并不在整體上限制本發(fā)明�,并且對(duì)于本發(fā)明、其元素�����、操作和應(yīng)用的任何引用并不在整體上限制本發(fā)明,而只是用于規(guī)定這些示例性實(shí)施例����。因此,下面的【具體實(shí)施方式】并不限制本發(fā)明的范圍��,本發(fā)明的范圍僅僅通過所附權(quán)利要求書進(jìn)行限定��。
[0015]圖1描繪了一種典型的計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境���,其包括諸如101處的互聯(lián)網(wǎng)之類的公用網(wǎng)絡(luò)、專用網(wǎng)絡(luò)102�����、以及在103處所示出的可用于提供防火墻和入侵保護(hù)功能的計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備��。在該特定的示例中�����,計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備103位于互聯(lián)網(wǎng)和專用網(wǎng)絡(luò)之間�����,并調(diào)節(jié)該專用網(wǎng)絡(luò)和公用網(wǎng)絡(luò)之間的業(yè)務(wù)的流動(dòng)。
[0016]在各個(gè)實(shí)施例中����,網(wǎng)絡(luò)設(shè)備103是防火墻設(shè)備和入侵保護(hù)設(shè)備或者作為二者進(jìn)行運(yùn)行。防火墻設(shè)備或者該網(wǎng)絡(luò)設(shè)備中的模塊提供各種網(wǎng)絡(luò)流控制功能���,例如���,檢查網(wǎng)絡(luò)分組,對(duì)于滿足防火墻過濾規(guī)則集的網(wǎng)絡(luò)分組進(jìn)行丟棄或拒絕����。如先前所描述的,防火墻通常通過下面方式來執(zhí)行它們的過濾功能:對(duì)諸如TCP/IP或其它網(wǎng)絡(luò)協(xié)議分組之類的通信分組進(jìn)行觀察����,以及檢查諸如源網(wǎng)絡(luò)地址和目標(biāo)網(wǎng)絡(luò)地址、正使用什么端口、以及連接的狀態(tài)或歷史之類的特性。一些防火墻還檢查分組���,以確定什么應(yīng)用建立了連接�,或者通過處理和轉(zhuǎn)發(fā)受保護(hù)用戶和外部聯(lián)網(wǎng)計(jì)算機(jī)之間的選定的網(wǎng)絡(luò)請(qǐng)求�,來充當(dāng)為代理設(shè)備��。防火墻通常使用非期望的業(yè)務(wù)的“簽名”或者其它特性��,來檢測(cè)和阻止被認(rèn)為有害或者是非期望的業(yè)務(wù)�。
[0017]通常,防火墻使用一些規(guī)則集來對(duì)業(yè)務(wù)進(jìn)行過濾�,使得對(duì)于網(wǎng)絡(luò)數(shù)據(jù)的任何特定元素所發(fā)生的操作,取決于規(guī)則集如何應(yīng)用于該特定的數(shù)據(jù)�。例如,阻止去往端口 6346的所有業(yè)務(wù)的規(guī)則��,將阻止進(jìn)入的去往受保護(hù)網(wǎng)絡(luò)中的服務(wù)器上的該端口的業(yè)務(wù)����,但不阻止在不同的端口號(hào)上去往相同的服務(wù)器的其它數(shù)據(jù)��。類似地�,對(duì)源自于文件共享程序(例如,Shareaza)的業(yè)務(wù)進(jìn)行阻止的規(guī)則,將使用該業(yè)務(wù)中的模式來阻止端口 6346上的Shareaza業(yè)務(wù)�,但允許端口 6346上的其它業(yè)務(wù)。
[0018]但是���,在將防火墻實(shí)現(xiàn)成分布在多個(gè)計(jì)算機(jī)或者節(jié)點(diǎn)之中的系統(tǒng)(例如�,實(shí)現(xiàn)在大型或者復(fù)雜系統(tǒng)中)的環(huán)境中,多個(gè)節(jié)點(diǎn)共享一個(gè)連接的能力受到每一個(gè)節(jié)點(diǎn)的關(guān)于該連接的信息(例如��,關(guān)于該連接的套接字信息����、應(yīng)用信息、用戶信息等等)的限制���。因此�,本發(fā)明的一些實(shí)施例共享信息����,例如,關(guān)于規(guī)則集的信息�����、當(dāng)前正在處理的連接���、以及位于本網(wǎng)絡(luò)中的各個(gè)節(jié)點(diǎn)之中的其它信息�����。在另外的示例中�,對(duì)這些節(jié)點(diǎn)進(jìn)行配置,使得一個(gè)節(jié)點(diǎn)扮演主要的角色或者主角色��,并對(duì)可用于該集群的其它節(jié)點(diǎn)的功能進(jìn)行管理����。
[0019]在一個(gè)這樣的示例中,將防火墻或者入侵保護(hù)系統(tǒng)實(shí)現(xiàn)成:對(duì)流經(jīng)該防火墻的處理業(yè)務(wù)進(jìn)行共享的集群或者連接的節(jié)點(diǎn)組���。圖2示出了可以用于實(shí)現(xiàn)本發(fā)明的一些實(shí)施例的具有分布式防火墻的網(wǎng)絡(luò)�。這里���,諸如互聯(lián)網(wǎng)201之類的網(wǎng)絡(luò)通過防火墻203耦接到內(nèi)部網(wǎng)絡(luò)202����。防火墻203包括:可以執(zhí)行諸如負(fù)載平衡和其它防火墻管理功能之類的功能的進(jìn)入業(yè)務(wù)模塊204和外出業(yè)務(wù)模塊205��。在防火墻節(jié)點(diǎn)206中�����,應(yīng)用防火墻或者入侵保護(hù)規(guī)則���,其中防火墻節(jié)點(diǎn)206通過網(wǎng)絡(luò)連接來彼此進(jìn)行連接���,如所示的。
[0020]這里�����,所示出的五個(gè)節(jié)點(diǎn)均包括單獨(dú)的計(jì)算機(jī)系統(tǒng)����,該計(jì)算機(jī)系統(tǒng)運(yùn)行防火墻或者有關(guān)的軟件的實(shí)例,該防火墻或者有關(guān)軟件可用于向業(yè)務(wù)應(yīng)用規(guī)則���,以便選擇性地準(zhǔn)許或者阻止在互聯(lián)網(wǎng)201和內(nèi)部網(wǎng)絡(luò)202之間流動(dòng)的業(yè)務(wù)�����。在一個(gè)替代的實(shí)施例中��,一些節(jié)點(diǎn)(例如節(jié)點(diǎn)1���、2和3)執(zhí)行防火墻應(yīng)用,而其它節(jié)點(diǎn)(例如4和5)執(zhí)行入侵保護(hù)系統(tǒng)(IPS)應(yīng)用����。節(jié)點(diǎn)204和205負(fù)責(zé)執(zhí)行諸如下面的功能:使路由到防火墻節(jié)點(diǎn)206的業(yè)務(wù)負(fù)載平衡���、確保這些節(jié)點(diǎn)能夠一起高效地工作,以便與單一節(jié)點(diǎn)相比�����,提供更高的吞吐量能力��。
[0021]在諸如該系統(tǒng)之類的分布式防火墻系統(tǒng)中��,確定哪個(gè)節(jié)點(diǎn)是主節(jié)點(diǎn)或者協(xié)調(diào)節(jié)點(diǎn)以及哪些節(jié)點(diǎn)可用于被添加到集群中���,可能是一件稍微有點(diǎn)復(fù)雜的配置任務(wù)����。一種選項(xiàng)是手工地顯式設(shè)置每一個(gè)節(jié)點(diǎn)�����,以便在該集群中扮演某種角色��,但這種配置具有諸如以下的缺點(diǎn):所需要的勞動(dòng)以及如果所指定的主節(jié)點(diǎn)出現(xiàn)故障或者不能適當(dāng)引導(dǎo)時(shí)則不能恢復(fù)�����。
[0022]因此�,一些分布式防火墻實(shí)施例提供了:當(dāng)建立分布式防火墻集群時(shí),進(jìn)行定時(shí)和協(xié)調(diào)問題的管理�,使集群能夠在啟動(dòng)之后,自配置進(jìn)入可行的分布式防火墻����。
[0023]在更詳細(xì)的示例中,對(duì)各個(gè)節(jié)點(diǎn)進(jìn)行彼此鏈接的橫梁(crossbeam)提供各種管理功能�,例如,集群中的指定的主節(jié)點(diǎn)的協(xié)調(diào)�。再次參見圖2,一些節(jié)點(diǎn)(例如節(jié)點(diǎn)206)是防火墻節(jié)點(diǎn)���,并運(yùn)行分布式防火墻的實(shí)例�����。其它節(jié)點(diǎn)(例如節(jié)點(diǎn)204和205)執(zhí)行諸如提供外部網(wǎng)絡(luò)端口�、負(fù)載平衡等等之類的功能��。在另外的實(shí)施例中��,另外的節(jié)點(diǎn)(例如����,另一個(gè)節(jié)點(diǎn)206)提供控制功能��、文件服務(wù)器和其它配置/資源功能���,以便形成支持該分布式防火墻系統(tǒng)的橫梁架構(gòu)。
[0024]這里����,橫梁控制節(jié)點(diǎn)監(jiān)測(cè)可用于本系統(tǒng)的節(jié)點(diǎn),并向被指定成主節(jié)點(diǎn)的節(jié)點(diǎn)發(fā)送信號(hào)�,使得被發(fā)送信號(hào)的節(jié)點(diǎn)作為主節(jié)點(diǎn)而不是作為輔助節(jié)點(diǎn)進(jìn)行操作。隨后���,所指定的主節(jié)點(diǎn)創(chuàng)建一個(gè)集群���,同時(shí)其它節(jié)點(diǎn)被告知哪個(gè)節(jié)點(diǎn)是主節(jié)點(diǎn),并且在這些其它節(jié)點(diǎn)變得可用于加入該集群時(shí)����,這些其它節(jié)點(diǎn)向該主節(jié)點(diǎn)進(jìn)行注冊(cè)。
[0025]當(dāng)所有節(jié)點(diǎn)都是可用的時(shí)���,這種配置可以很好地工作���,但是如果主節(jié)點(diǎn)不能引導(dǎo),那么橫梁可能意識(shí)不到��,并且在一些實(shí)例中不能夠進(jìn)行恢復(fù)��。此外�����,如果在分布式防火墻系統(tǒng)再次引導(dǎo)時(shí)橫梁任命一個(gè)新的主節(jié)點(diǎn)���,那么作為該分布式防火墻的一部分的舊節(jié)點(diǎn)將仍然嘗試聯(lián)系舊的主節(jié)點(diǎn)�,而將不加入新的集群��。
[0026]因此����,本發(fā)明的一些實(shí)施例包括:使分布式防火墻集群能夠?qū)L試形成一個(gè)集群的節(jié)點(diǎn)進(jìn)行更好地管理的特征,例如�,當(dāng)合格節(jié)點(diǎn)出現(xiàn)并可用于被指定成主節(jié)點(diǎn)時(shí),這樣的節(jié)點(diǎn)向橫梁系統(tǒng)進(jìn)行通知�。因此,橫梁系統(tǒng)可以管理主節(jié)點(diǎn)的指定,從而防止諸如分割集群和不形成集群之類的問題�。
[0027]分割集群可以在系統(tǒng)重新引導(dǎo)時(shí)形成,并且具有配置上的改變�����,例如��,當(dāng)添加一個(gè)節(jié)點(diǎn)以增加性能時(shí)��,或者向系統(tǒng)中增加替代節(jié)點(diǎn)時(shí)��。例如�����,考慮一種引導(dǎo)系統(tǒng)�,其中橫梁以某種順序來啟動(dòng)這些節(jié)點(diǎn),并將新節(jié)點(diǎn)指定為主節(jié)點(diǎn)��。該新節(jié)點(diǎn)認(rèn)識(shí)到其不位于現(xiàn)有的集群之中�,故向橫梁報(bào)告其因而沒有資格成為主節(jié)點(diǎn)。這防止了該新節(jié)點(diǎn)形成其自己的集群���。隨后�����,其它兩個(gè)節(jié)點(diǎn)啟動(dòng)��,并報(bào)告它們有資格成為要主節(jié)點(diǎn)��,這是因?yàn)樗鼈兙哂邢惹暗姆阑饓旱闹R(shí)��。
[0028]因此�����,橫梁系統(tǒng)可以將主節(jié)點(diǎn)改變?yōu)閳?bào)告有資格的這兩個(gè)節(jié)點(diǎn)中的一個(gè)節(jié)點(diǎn)���,從而向先前的集群中的其它節(jié)點(diǎn)發(fā)送主節(jié)點(diǎn)指定的通知,使得所述其它節(jié)點(diǎn)知道它是輔助節(jié)點(diǎn)并且知道主節(jié)點(diǎn)的標(biāo)識(shí)�����。
[0029]此外���,新節(jié)點(diǎn)也從橫梁接收其是輔助節(jié)點(diǎn)的通知�,并接收關(guān)于所指定的主節(jié)點(diǎn)的知識(shí)�����,該知識(shí)用于連接到主節(jié)點(diǎn)并加入該集群。在更詳細(xì)的示例中����,向新節(jié)點(diǎn)發(fā)送的關(guān)于主節(jié)點(diǎn)的知識(shí)包括:主節(jié)點(diǎn)的IP地址、以及使該節(jié)點(diǎn)能夠?qū)⒆约号c主節(jié)點(diǎn)進(jìn)行關(guān)聯(lián)的密碼或者其它這樣的憑證�。
[0030]在另一個(gè)示例中,第一次引導(dǎo)一個(gè)新集群�,因此在分布式防火墻中的任何節(jié)點(diǎn)上沒有存儲(chǔ)任何現(xiàn)有的集群信息。在該情況下�����,所有節(jié)點(diǎn)都將引導(dǎo)����,并報(bào)告它們沒有資格成為主節(jié)點(diǎn),在沒有指定的主節(jié)點(diǎn)的情況下��,該系統(tǒng)在本質(zhì)上停止�����。因此����,該示例中的節(jié)點(diǎn)被進(jìn)一步配置為:如果這些節(jié)點(diǎn)已經(jīng)被引導(dǎo)了某一個(gè)時(shí)間段(例如���,5分鐘、10分鐘或者任何其它適當(dāng)?shù)臅r(shí)段)��,而沒有從橫梁接收到一個(gè)節(jié)點(diǎn)已經(jīng)被指定成主節(jié)點(diǎn)的通知�,那么這些節(jié)點(diǎn)報(bào)告它們有資格成為主要的。隨后�����,可以將這些節(jié)點(diǎn)中的一個(gè)指派成主節(jié)點(diǎn)���,并且如上所述,可以使用IP地址和密碼將主節(jié)點(diǎn)的標(biāo)識(shí)通知給其它的新節(jié)點(diǎn)��,以便其它的新節(jié)點(diǎn)通過聯(lián)系該主節(jié)點(diǎn)來加入該集群�。
[0031]如果一個(gè)節(jié)點(diǎn)被告知將是主節(jié)點(diǎn)并要形成一個(gè)集群(例如,通過在其超時(shí)并報(bào)告自己有資格成為主要的之前在橫梁系統(tǒng)中被配置成主要的)���,那么被指定的節(jié)點(diǎn)確保其狀態(tài)是“有資格是主要的”�。這防止了其它節(jié)點(diǎn)超時(shí)并主張有資格是主要的狀態(tài)�����,從而在較長的引導(dǎo)序列或超時(shí)的情況下形成分割集群����。一旦所指定的主節(jié)點(diǎn)被引動(dòng)并可用����,那么它就報(bào)告它是主節(jié)點(diǎn)而不是有資格是主要的。
[0032]圖3示出了根據(jù)本發(fā)明的一個(gè)示例性實(shí)施例的分布式防火墻的典型配置循環(huán)。該流程圖被劃分成兩個(gè)部分:在301處�����,分布式防火墻集群的初始形成���;以在302處���,新節(jié)點(diǎn)的增加。
[0033]在303�,一個(gè)新的分布式防火墻系統(tǒng)第一次引導(dǎo),并且所有節(jié)點(diǎn)都報(bào)告沒有資格用作主節(jié)點(diǎn)(這是由于它們并不知道現(xiàn)有集群中的成員資格)。在304,這些節(jié)點(diǎn)達(dá)到超時(shí),并開始報(bào)告它們自己有資格成為主節(jié)點(diǎn)�。在305���,橫梁系統(tǒng)指派這些節(jié)點(diǎn)中的一個(gè)節(jié)點(diǎn)作為主節(jié)點(diǎn)���,并向其它節(jié)點(diǎn)發(fā)送關(guān)于該主節(jié)點(diǎn)的信息。在306���,其它節(jié)點(diǎn)加入該集群�,并且該集群是可用的���。
[0034]在307���,通過向該集群增加一個(gè)或多個(gè)另外的節(jié)點(diǎn),來對(duì)分布式防火墻系統(tǒng)進(jìn)行升級(jí)����。為了增加新節(jié)點(diǎn)���,在307,將該系統(tǒng)關(guān)閉����,并安裝該新節(jié)點(diǎn)的硬件。在308�����,重新啟動(dòng)該系統(tǒng)�,以及在309�����,該新節(jié)點(diǎn)引導(dǎo)并報(bào)告沒有資格成為主節(jié)點(diǎn)(這是由于其不知道是現(xiàn)有集群的一部分)��。在310�,網(wǎng)絡(luò)中的其它節(jié)點(diǎn)報(bào)告有資格成為主節(jié)點(diǎn)�,這是由于它們先前是該集群的一部分��,并且可選地���,這些節(jié)點(diǎn)中的一個(gè)作為主節(jié)點(diǎn)進(jìn)行匯報(bào)�����。如果需要的話���,例如��,在沒有任何現(xiàn)有節(jié)點(diǎn)報(bào)告是主要的����,但這些節(jié)點(diǎn)已經(jīng)報(bào)告有資格成為主節(jié)點(diǎn)的情況下(例如���,在對(duì)出現(xiàn)故障的主節(jié)點(diǎn)進(jìn)行替換的情況下)����,那么在311���,橫梁系統(tǒng)指派主節(jié)點(diǎn)��。一旦啟動(dòng)了該集群并已經(jīng)識(shí)別了主節(jié)點(diǎn)�����,則在312��,橫梁系統(tǒng)將新節(jié)點(diǎn)通知給現(xiàn)有的集群的主節(jié)點(diǎn),并提供包括用于加入該集群的主節(jié)點(diǎn)IP地址和安全憑證的主節(jié)點(diǎn)信息。
[0035]這些示例描繪了可以如何使用集群中的節(jié)點(diǎn)的管理(其包括主節(jié)點(diǎn)的管理)��,來在配置分布式防火墻集群時(shí)防止各種定時(shí)和其它問題�。雖然本申請(qǐng)已經(jīng)描繪并描述了特定的實(shí)施例���,但本領(lǐng)域普通技術(shù)人員應(yīng)當(dāng)理解的是���,所計(jì)算的用于實(shí)現(xiàn)相同目的的任何布置都可以替代所示出的特定實(shí)施例�。本申請(qǐng)旨在覆蓋本文中所描述的本發(fā)明的示例性實(shí)施例的任何調(diào)整或者改變��。本發(fā)明旨在僅由權(quán)利要求及其等等價(jià)形式的完全范圍進(jìn)行限定。
【權(quán)利要求】
1.一種操作防火墻集群的方法,包括: 啟動(dòng)具有三個(gè)或更多個(gè)防火墻處理節(jié)點(diǎn)的防火墻集群�����;以及 從所述三個(gè)或更多個(gè)防火墻處理節(jié)點(diǎn)中的至少一個(gè)報(bào)告主節(jié)點(diǎn)狀態(tài)��,所述報(bào)告基于進(jìn)行報(bào)告的節(jié)點(diǎn)在先前存在的集群中的成員資格��。
2.根據(jù)權(quán)利要求1所述的操作防火墻集群的方法�����,其中,報(bào)告主節(jié)點(diǎn)狀態(tài)包括:對(duì)于作為先前存在的集群的成員的節(jié)點(diǎn)��,報(bào)告有資格成為主節(jié)點(diǎn)���。
3.根據(jù)權(quán)利要求1所述的操作防火墻集群的方法��,其中,報(bào)告主節(jié)點(diǎn)狀態(tài)包括:對(duì)于不作為先前存在的集群的成員的節(jié)點(diǎn),報(bào)告沒有資格成為主節(jié)點(diǎn)�。
4.根據(jù)權(quán)利要求1所述的操作防火墻集群的方法�����,其中�����,報(bào)告主節(jié)點(diǎn)狀態(tài)包括:對(duì)于作為先前存在的集群中的主節(jié)點(diǎn)的節(jié)點(diǎn)��,報(bào)告主節(jié)點(diǎn)狀態(tài)��。
5.根據(jù)權(quán)利要求1所述的操作防火墻集群的方法����,其中,報(bào)告主節(jié)點(diǎn)狀態(tài)包括:對(duì)于已經(jīng)超時(shí)的節(jié)點(diǎn)��,報(bào)告有資格成為主節(jié)點(diǎn)�。
6.根據(jù)權(quán)利要求1所述的操作防火墻集群的方法���,還包括: 指派所述三個(gè)或更多個(gè)防火墻處理節(jié)點(diǎn)中的有資格的一個(gè)防火墻處理節(jié)點(diǎn)作為所述主節(jié)點(diǎn)。
7.根據(jù)權(quán)利要求1所述的操作防火墻集群的方法�����,還包括: 向所述三個(gè)或更多個(gè)防火墻處理節(jié)點(diǎn)中的其它防火墻處理節(jié)點(diǎn)提供主節(jié)點(diǎn)信息���。
8.根據(jù)權(quán)利要求7所述的操作防火墻集群的方法�����,其中���,所提供的主節(jié)點(diǎn)信息包括主節(jié)點(diǎn)IP地址和憑證信息。
9.一種防火墻集群�,包括: 三個(gè)或更多個(gè)防火墻處理節(jié)點(diǎn),每一個(gè)用于從所述三個(gè)或更多個(gè)防火墻處理節(jié)點(diǎn)中的至少一個(gè)報(bào)告主節(jié)點(diǎn)狀態(tài)��,所述報(bào)告基于進(jìn)行報(bào)告的節(jié)點(diǎn)在先前存在的集群中的成員資格���;以及 控制器�,用于管理從所述三個(gè)或更多個(gè)防火墻處理節(jié)點(diǎn)中指派主節(jié)點(diǎn)。
10.根據(jù)權(quán)利要求9所述的防火墻集群����,其中,所述控制器包括防火墻節(jié)點(diǎn)�。
11.根據(jù)權(quán)利要求9所述的防火墻集群,其中�����,報(bào)告主節(jié)點(diǎn)狀態(tài)包括報(bào)告以下中的至少一個(gè):對(duì)于作為先前存在的集群的成員的節(jié)點(diǎn)有資格成為主節(jié)點(diǎn)��,或者對(duì)于不作為先前存在的集群的成員的節(jié)點(diǎn)沒有資格成為主節(jié)點(diǎn)�����。
12.根據(jù)權(quán)利要求9所述的防火墻集群�,其中�����,報(bào)告主節(jié)點(diǎn)狀態(tài)包括:對(duì)于作為先前存在的集群中的主節(jié)點(diǎn)的節(jié)點(diǎn)��,報(bào)告主節(jié)點(diǎn)狀態(tài)�����。
13.根據(jù)權(quán)利要求9所述的防火墻集群,其中�����,報(bào)告主節(jié)點(diǎn)狀態(tài)包括:對(duì)于已經(jīng)超時(shí)的節(jié)點(diǎn)����,報(bào)告有資格成為主節(jié)點(diǎn)。
14.根據(jù)權(quán)利要求9所述的防火墻集群�����,其中�,所述控制器還用于向所述三個(gè)或更多個(gè)防火墻處理節(jié)點(diǎn)中的其它防火墻處理節(jié)點(diǎn)提供主節(jié)點(diǎn)信息。
15.根據(jù)權(quán)利要求14所述的防火墻集群����,其中,所提供的主節(jié)點(diǎn)信息包括主節(jié)點(diǎn)IP地址和憑證信息����。
16.一種操作分布式防火墻處理節(jié)點(diǎn)的方法,包括: 報(bào)告主節(jié)點(diǎn)狀態(tài)���,所述報(bào)告基于進(jìn)行報(bào)告的節(jié)點(diǎn)在先前存在的集群中的成員資格����。
17.根據(jù)權(quán)利要求16所述的操作分布式防火墻處理節(jié)點(diǎn)的方法,其中��,報(bào)告主節(jié)點(diǎn)狀態(tài)包括以下中的至少一個(gè):如果所述節(jié)點(diǎn)是先前存在的集群的成員�����,則報(bào)告有資格成為主節(jié)點(diǎn)�;如果所述節(jié)點(diǎn)不是先前存在的集群的成員,則報(bào)告主節(jié)點(diǎn)狀態(tài)包括報(bào)告沒有資格成為主節(jié)點(diǎn)�;如果所述節(jié)點(diǎn)是先前存在的集群中的主節(jié)點(diǎn),則報(bào)告主節(jié)點(diǎn)狀態(tài)�;以及對(duì)于已經(jīng)超時(shí)的節(jié)點(diǎn)��,報(bào)告有資格成為主節(jié)點(diǎn)���。
18.—種分布式防火墻處理節(jié)點(diǎn)����,包括處理器�����,所述處理器用于基于所述節(jié)點(diǎn)在先前存在的集群中的成員資格,來報(bào)告主節(jié)點(diǎn)狀態(tài)����。
19.根據(jù)權(quán)利要求18所述的分布式防火墻處理節(jié)點(diǎn),其中���,報(bào)告主節(jié)點(diǎn)狀態(tài)包括以下中的至少一個(gè):如果所述節(jié)點(diǎn)是先前存在的集群的成員����,則報(bào)告有資格成為主節(jié)點(diǎn)���;如果所述節(jié)點(diǎn)不是先前存在的集群的成員����,則報(bào)告主節(jié)點(diǎn)狀態(tài)包括報(bào)告沒有資格成為主節(jié)點(diǎn)�����;如果所述節(jié)點(diǎn)是先前存在的集群中的主節(jié)點(diǎn)�����,則報(bào)告主節(jié)點(diǎn)狀態(tài);以及對(duì)于已經(jīng)超時(shí)的節(jié)點(diǎn)�,報(bào)告有資格成為主節(jié)點(diǎn)。
20.—種操作分布式防火墻控制器的方法,包括: 指派三個(gè)或更多個(gè)防火墻處理節(jié)點(diǎn)中的一個(gè)防火墻處理節(jié)點(diǎn)作為主防火墻集群節(jié)點(diǎn)�����,所述指派基于所述節(jié)點(diǎn)的所報(bào)告的主節(jié)點(diǎn)狀態(tài)��,所報(bào)告的主節(jié)點(diǎn)狀態(tài)基于進(jìn)行報(bào)告的節(jié)點(diǎn)在先前存在的集群中的成員資格����。
21.根據(jù)權(quán)利要求19所述的操作分布式防火墻控制器的方法,其中���,所報(bào)告的主節(jié)點(diǎn)狀態(tài)包括以下中的至少一個(gè):如果所述節(jié)點(diǎn)是先前存在的集群的成員���,則所報(bào)告的有資格成為主節(jié)點(diǎn);如果所述節(jié)點(diǎn)不是先前存在的集群的成員����,則所報(bào)告的主節(jié)點(diǎn)狀態(tài)包括報(bào)告沒有資格成為主節(jié)點(diǎn)�����;如果所述節(jié)點(diǎn)是先前存在的集群中的主節(jié)點(diǎn),則所報(bào)告的主節(jié)點(diǎn)狀態(tài)�;以及對(duì)于已經(jīng)超時(shí)的節(jié)點(diǎn),所報(bào)告的有資格成為主節(jié)點(diǎn)�����。
22.—種分布式防火墻控制器����,包括處理器,所述處理器用于:指派三個(gè)或更多個(gè)防火墻處理節(jié)點(diǎn)中的一個(gè)防火墻處理節(jié)點(diǎn)作為主防火墻集群節(jié)點(diǎn)�����,所述指派基于所述節(jié)點(diǎn)的所報(bào)告的主節(jié)點(diǎn)狀態(tài)��,所報(bào)告的主節(jié)點(diǎn)狀態(tài)基于進(jìn)行報(bào)告的節(jié)點(diǎn)在先前存在的集群中的成員資格����。
23.根據(jù)權(quán)利要求22所述的分布式防火墻控制器,其中����,所報(bào)告的主節(jié)點(diǎn)狀態(tài)包括以下中的至少一個(gè):如果所述節(jié)點(diǎn)是先前存在的集群的成員,則所報(bào)告的有資格成為主節(jié)點(diǎn)�;如果所述節(jié)點(diǎn)不是先前存在的集群的成員���,則所報(bào)告的主節(jié)點(diǎn)狀態(tài)包括報(bào)告沒有資格成為主節(jié)點(diǎn);如果所述節(jié)點(diǎn)是先前存在的集群中的主節(jié)點(diǎn)����,則所報(bào)告的主節(jié)點(diǎn)狀態(tài);以及對(duì)于已經(jīng)超時(shí)的節(jié)點(diǎn)�����,所報(bào)告的有資格成為主節(jié)點(diǎn)��。
【文檔編號(hào)】H04L12/22GK103959712SQ201280057984
【公開日】2014年7月30日 申請(qǐng)日期:2012年11月2日 優(yōu)先權(quán)日:2011年12月13日
【發(fā)明者】D·A·布賴特, M·J·西爾伯薩克, A·C·布赫 申請(qǐng)人:邁克菲公司