防火墻群集中的驗(yàn)證共享的制作方法
【專利摘要】防火墻群集系統(tǒng)包括第一節(jié)點(diǎn)����,其能操作成在具有三個或以上節(jié)點(diǎn)的防火墻群集中接收連接、確定與該連接關(guān)聯(lián)的用戶數(shù)據(jù)以及與防火墻群集中的至少另一個節(jié)點(diǎn)共享用戶數(shù)據(jù)��。
【專利說明】防火墻群集中的驗(yàn)證共享
[0001]相關(guān)申請的交叉引用
本申請要求2011年9月8日提交的美國申請?zhí)?3/227,848的優(yōu)先權(quán),其通過引用合并于此����。
【技術(shù)領(lǐng)域】
[0002]本發(fā)明大體上涉及防火墻操作�,并且更具體地在一個實(shí)施例中涉及防火墻群集中的驗(yàn)證共享。
[0003]有限版權(quán)豁免
該專利文獻(xiàn)的公開的一部分包含進(jìn)行版權(quán)保護(hù)的權(quán)利要求所針對的材料���。版權(quán)所有者不反對被任何人拓制專利文獻(xiàn)或?qū)@_����,如它在美國專利和商標(biāo)局文件或記錄中出現(xiàn)的那樣��,但無論怎樣都保留所有其他版權(quán)�����。
【背景技術(shù)】
[0004]計(jì)算機(jī)由于它們與其他計(jì)算機(jī)系統(tǒng)通信并且通過計(jì)算機(jī)網(wǎng)絡(luò)檢索信息的能力而在很大程度上是有價值的工具����。網(wǎng)絡(luò)典型地包括通過線路、光纖���、無線電或其他數(shù)據(jù)傳送工具而鏈接的互連計(jì)算機(jī)組�����,用于對計(jì)算機(jī)提供在計(jì)算機(jī)間傳輸信息的能力���。因特網(wǎng)或許是最知名的計(jì)算機(jī)網(wǎng)絡(luò)��,并且使數(shù)百萬的人能夠例如通過查看web頁面�����、發(fā)送e-mail或通過執(zhí)行其他計(jì)算機(jī)-到-計(jì)算機(jī)通信而接入其他計(jì)算機(jī)�。
[0005]但是��,因?yàn)橐蛱鼐W(wǎng)的大小如此的大并且因特網(wǎng)用戶在他們的興趣方面如此多樣化���,惡意用戶或惡作劇者試圖采用對其他用戶構(gòu)成危險的方式與其他用戶的計(jì)算機(jī)通信�����,這不是罕見的��。例如����,黑客可試圖登錄企業(yè)計(jì)算機(jī)來竊取、刪除或改變信息�����。計(jì)算機(jī)病毒或木馬程序可分布到其他計(jì)算機(jī)����,或不知不覺地被大量計(jì)算機(jī)用戶下載或執(zhí)行���。此外�����,例如企業(yè)等組織內(nèi)的計(jì)算機(jī)用戶可偶爾嘗試執(zhí)行未經(jīng)授權(quán)的網(wǎng)絡(luò)通信�,例如運(yùn)行文件共享程序或?qū)⑵髽I(yè)機(jī)密從企業(yè)網(wǎng)絡(luò)內(nèi)傳送到因特網(wǎng)���。
[0006]由于這些和其他原因�,許多企業(yè)�、機(jī)構(gòu)以及甚至家庭用戶在他們的本地網(wǎng)絡(luò)與因特網(wǎng)之間使用網(wǎng)絡(luò)防火墻或相似的裝置。防火墻典型地是計(jì)算機(jī)化的網(wǎng)絡(luò)裝置���,其檢查經(jīng)過它的網(wǎng)絡(luò)業(yè)務(wù)���、基于規(guī)則集容許期望的網(wǎng)絡(luò)業(yè)務(wù)通過��。
[0007]防火墻通過觀察通信分組(例如TCP/IP或其他網(wǎng)絡(luò)協(xié)議分組)并且檢查例如源和目標(biāo)網(wǎng)絡(luò)地址��、使用什么端口以及連接的狀態(tài)或歷史等特性來執(zhí)行它們的過濾功能���。一些防火墻還檢查行進(jìn)到特定應(yīng)用或從特定應(yīng)用行進(jìn)的分組,或通過處理選擇的網(wǎng)絡(luò)請求并且在受保護(hù)用戶與外部聯(lián)網(wǎng)的計(jì)算機(jī)之間轉(zhuǎn)發(fā)選擇的請求而充當(dāng)代理裝置����。
[0008]防火墻典型地通過監(jiān)測各種端口、插座和協(xié)議之間的連接(例如通過檢查防火墻中的網(wǎng)絡(luò)業(yè)務(wù))來控制網(wǎng)絡(luò)信息的流���?��;诓遄⒍丝?、應(yīng)用和其他信息的規(guī)則用于選擇性地過濾或傳遞數(shù)據(jù),以及記錄網(wǎng)絡(luò)活動���。防火墻規(guī)則典型地配置成識別要被禁止或應(yīng)施加某些其他限制的某些類型的網(wǎng)絡(luò)業(yè)務(wù):例如阻斷已知用于文件共享程序的端口上的業(yè)務(wù)同時對在傳統(tǒng)的FTP端口上接收的任何事物進(jìn)行病毒掃描�;阻斷某些應(yīng)用或用戶執(zhí)行一些任務(wù),同時允許其他人執(zhí)行這樣的任務(wù)���;以及基于例如對來自公共IP地址的不同端口的重復(fù)查詢等已知攻擊模式阻斷業(yè)務(wù)����。
[0009]但是�,防火墻在跨多個計(jì)算機(jī)系統(tǒng)分布時管理這樣的連接的能力在連接的知識典型地僅存儲在處理連接的系統(tǒng)中的方面受到限制。因此期望群集中改進(jìn)的防火墻分布����。
【發(fā)明內(nèi)容】
[0010]本發(fā)明的各種示例實(shí)施例包括防火墻群集系統(tǒng),該防火墻群集系統(tǒng)包括第一節(jié)點(diǎn)����,其能操作成在具有三個或以上節(jié)點(diǎn)的防火墻群集中接收連接��、確定與該連接關(guān)聯(lián)的用戶數(shù)據(jù)以及與防火墻群集中的至少另一個節(jié)點(diǎn)共享用戶數(shù)據(jù)����。另一個節(jié)點(diǎn)可以使用該應(yīng)用狀態(tài)數(shù)據(jù)來繼續(xù)處理連接(例如如果第一節(jié)點(diǎn)失效),或提供負(fù)載平衡���。
【專利附圖】
【附圖說明】
[0011]圖1示出如可用于實(shí)踐本發(fā)明的一些實(shí)施例的示例網(wǎng)絡(luò)�,其包括防火墻�����。
[0012]圖2示出如可用于實(shí)踐本發(fā)明的一些實(shí)施例的示例網(wǎng)絡(luò),其包括防火墻群集���,該防火墻群集包括多個防火墻節(jié)點(diǎn)��。
[0013]圖3是圖示與本發(fā)明的示例實(shí)施例一致的在防火墻群集中使用共享用戶護(hù)照信息的流程圖��。
【具體實(shí)施方式】
[0014]在本發(fā)明的示例實(shí)施例的下列詳細(xì)描述中��,通過圖和說明的方式參考特定示例��。充分詳細(xì)地描述這些示例以使本領(lǐng)域內(nèi)技術(shù)人員能夠?qū)嵺`本發(fā)明���,并且起到說明本發(fā)明可如何應(yīng)用于各種目的或?qū)嵤├淖饔谩4嬖诒景l(fā)明的其他實(shí)施例并且它們在本發(fā)明的范圍內(nèi)����,并且可進(jìn)行邏輯、機(jī)械�、電和其他改變而不偏離本發(fā)明的主旨或范圍。然而�,本文描述的本發(fā)明的各種實(shí)施例的特征或限制對于它們所并入的示例實(shí)施例必不可少,它們未整體上限制本發(fā)明,并且對本發(fā)明��、它的要素�����、操作和應(yīng)用的任何引用未整體上限制本發(fā)明而僅起到限定這些示例實(shí)施例的作用���。下列詳細(xì)描述因此未限制本發(fā)明的范圍�,其僅由附上的權(quán)利要求限定�。
[0015]圖1圖示典型的計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境,其包括例如在101處的因特網(wǎng)等公共網(wǎng)絡(luò)����、專用網(wǎng)絡(luò)102和在103處示出的計(jì)算機(jī)網(wǎng)絡(luò)裝置,其能操作成提供防火墻和入侵保護(hù)功能����。在該特定示例中����,計(jì)算機(jī)網(wǎng)絡(luò)裝置103安置在因特網(wǎng)與專用網(wǎng)絡(luò)之間,并且調(diào)節(jié)專用網(wǎng)絡(luò)與公共網(wǎng)絡(luò)之間的業(yè)務(wù)流��。
[0016]網(wǎng)絡(luò)裝置103在各種實(shí)施例中是防火墻裝置,和入侵保護(hù)裝置���,或起到兩者的作用����。網(wǎng)絡(luò)裝置內(nèi)的防火墻裝置或模塊提供各種網(wǎng)絡(luò)流控制功能�,例如檢查網(wǎng)絡(luò)分組并且丟棄或拒絕滿足防火墻過濾規(guī)則集的網(wǎng)絡(luò)分組。如之前描述的�,防火墻典型地通過觀察通信分組(例如TCP/IP或其他網(wǎng)絡(luò)協(xié)議分組)并且檢查例如源和目標(biāo)網(wǎng)絡(luò)地址、使用什么端口以及連接的狀態(tài)或歷史等特性來執(zhí)行它們的過濾功能�����。一些防火墻還檢查分組來確定什么應(yīng)用已建立連接��,或通過處理選擇的網(wǎng)絡(luò)請求并且在受保護(hù)用戶與外部聯(lián)網(wǎng)的計(jì)算機(jī)之間轉(zhuǎn)發(fā)選擇的網(wǎng)絡(luò)請求而充當(dāng)代理裝置�����。防火墻通常使用“簽名”或非期望業(yè)務(wù)的其他特性來檢測并且阻斷被認(rèn)為是有害或用別的方式而不期望的業(yè)務(wù)��。[0017]防火墻典型地使用規(guī)則集來過濾業(yè)務(wù)����,使得網(wǎng)絡(luò)數(shù)據(jù)的任何特定要素發(fā)生了什么取決于規(guī)則集如何應(yīng)用于該特定數(shù)據(jù)�����。例如�,阻斷到端口 6346的所有業(yè)務(wù)的規(guī)則將阻斷在受保護(hù)網(wǎng)絡(luò)內(nèi)的服務(wù)器上要到該端口去的入站業(yè)務(wù)�,但將不阻斷前往不同端口號上的相同服務(wù)器的其他數(shù)據(jù)。相似地�����,阻斷源于文件共享程序(例如Shareaza)的業(yè)務(wù)的規(guī)則將使用業(yè)務(wù)中的模式來阻斷端口 6346上的Shareaza業(yè)務(wù),但允許端口 6346上的其他業(yè)務(wù)���。
[0018]但是����,在其中防火墻實(shí)現(xiàn)為跨多個計(jì)算機(jī)或節(jié)點(diǎn)分布的系統(tǒng)(例如在大的或復(fù)雜的系統(tǒng)中)的環(huán)境中�,多個節(jié)點(diǎn)共享連接的能力受到關(guān)于連接的每個節(jié)點(diǎn)信息(例如插座信息、應(yīng)用信息及關(guān)于連接的諸如此類)的限制����。本發(fā)明的一些實(shí)施例因此提供用于與群集防火墻中的其他系統(tǒng)共享狀態(tài)信息(例如用戶或其他這樣的連接數(shù)據(jù))從而使防火墻群集中的多個節(jié)點(diǎn)能夠處理相同連接的機(jī)制。這通過使連接責(zé)任在系統(tǒng)之間移動而對群集提供負(fù)載平衡��、通過使它的連接移到另一個機(jī)器來管理群集中的節(jié)點(diǎn)的失效以及執(zhí)行其他這樣的功能的能力����。
[0019]在一個這樣的示例中,防火墻或入侵保護(hù)系統(tǒng)實(shí)現(xiàn)為群集或連接的節(jié)點(diǎn)組����,其共享流過防火墻的處理業(yè)務(wù)。圖2示出如可用于實(shí)踐本發(fā)明的一些實(shí)施例的具有分布式防火墻的網(wǎng)絡(luò)����。在這里,例如因特網(wǎng)201等網(wǎng)絡(luò)通過防火墻203耦合于內(nèi)部網(wǎng)絡(luò)202���。防火墻203包括入站業(yè)務(wù)模塊204和出站業(yè)務(wù)模塊205���,其可以執(zhí)行例如負(fù)載平衡和其他防火墻管理功能等功能。防火墻或入侵保護(hù)規(guī)則在防火墻節(jié)點(diǎn)206中應(yīng)用�,其通過網(wǎng)絡(luò)連接而連接到彼此(如示出的)。
[0020]在這里���,示出的五個節(jié)點(diǎn)每個包括運(yùn)行防火墻或有關(guān)軟件實(shí)例的獨(dú)立計(jì)算機(jī)系統(tǒng)�,其能操作成對業(yè)務(wù)應(yīng)用規(guī)則以選擇性地容許或阻斷在因特網(wǎng)201與內(nèi)部網(wǎng)絡(luò)202之間流動的業(yè)務(wù)���。在備選實(shí)施例中���,例如節(jié)點(diǎn)1����、2和3等一些節(jié)點(diǎn)執(zhí)行防火墻應(yīng)用�,而例如4和5等其他節(jié)點(diǎn)執(zhí)行入侵保護(hù)系統(tǒng)(IPS)應(yīng)用。節(jié)點(diǎn)204和205負(fù)責(zé)執(zhí)行例如路由到防火墻節(jié)點(diǎn)206的負(fù)載平衡業(yè)務(wù)等功能,從而確保節(jié)點(diǎn)能夠在一起高效工作以比單個節(jié)點(diǎn)提供更聞的吞吐能力�。
[0021]一些防火墻實(shí)施例執(zhí)行復(fù)雜的連接識別功能,其超越端口���、IP和其他這樣的規(guī)則對數(shù)據(jù)流的簡單應(yīng)用��。例如�,一些防火墻示例包括用戶“護(hù)照”����,其通過使用對于防火墻的用戶驗(yàn)證或使用例如Microsoft域服務(wù)器登錄或其他用戶證書(其可以被防火墻讀取)等間接用戶驗(yàn)證而使用戶與特定連接關(guān)聯(lián)。該護(hù)照使識別的用戶與特定IP地址���、MAC地址或其他標(biāo)識符關(guān)聯(lián)使得來自用戶的連接可以識別為屬于用戶����。
[0022]然后可以在防火墻中執(zhí)行基于用戶的過濾��。例如����,防火墻可知道Alice是管理組的成員,而Bob是雇員組而非管理的成員�����。兩個用戶都登錄計(jì)算機(jī)并且運(yùn)行Skype來加入視頻會議����,并且防火墻確定兩個用戶都被容許使用Skype來通過防火墻發(fā)送視頻會議業(yè)務(wù),例如到與外部供應(yīng)商或顧客的視頻會議����。
[0023]Bob試圖使用Skype發(fā)送文件,并且防火墻應(yīng)用僅容許管理者組的成員使用Skype發(fā)送出站文件這一規(guī)則。防火墻使用與Bob的連接關(guān)聯(lián)的護(hù)照用戶和IP地址信息來確定Bob是試圖發(fā)送文件的人����,并且因此阻斷Bob的文件。Alice然后嘗試使用Skype發(fā)送相同的文件���,并且與Alice的連接關(guān)聯(lián)的護(hù)照將Alice識別為與連接關(guān)聯(lián)的用戶并且容許發(fā)送文件��。
[0024]但是�,如果防火墻跨多個節(jié)點(diǎn)分布,將適當(dāng)?shù)囊?guī)則應(yīng)用于連接變得更困難�,因?yàn)楸M管每個節(jié)點(diǎn)具有相同的防火墻規(guī)則,僅管理連接的節(jié)點(diǎn)知道對于連接的用戶信息����,例如用戶名字和IP地址(或護(hù)照)。
[0025]本發(fā)明的一些實(shí)施例因此包括使得用戶護(hù)照信息在防火墻群集中的節(jié)點(diǎn)之間分布��,例如通過將用戶護(hù)照信息多播或?qū)⒂脩糇o(hù)照信息發(fā)送到主節(jié)點(diǎn)用于分布����。
[0026]圖3是圖示與本發(fā)明的示例實(shí)施例一致的在防火墻群集中使用共享用戶護(hù)照信息的流程圖。在301處���,在本地網(wǎng)絡(luò)202中的計(jì)算機(jī)與因特網(wǎng)201之間發(fā)起鏈接����。節(jié)點(diǎn)之間的鏈接被節(jié)點(diǎn)I處理�,網(wǎng)絡(luò)連接一在302處建立,該節(jié)點(diǎn)I就例如從Microsoft域服務(wù)器登錄或直接到防火墻的用戶登錄檢索用戶護(hù)照信息�����。防火墻節(jié)點(diǎn)I然后在303處將對于連接的該用戶護(hù)照數(shù)據(jù)與其他節(jié)點(diǎn)共享,并且在304處使用用戶護(hù)照數(shù)據(jù)來將用戶特定的規(guī)則應(yīng)用于防火墻���。
[0027]在305處���,節(jié)點(diǎn)I失效,并且在306處將連接重定向到節(jié)點(diǎn)2�。因?yàn)楣?jié)點(diǎn)2之前已經(jīng)從節(jié)點(diǎn)I接收關(guān)于連接的用戶護(hù)照數(shù)據(jù)����,節(jié)點(diǎn)2能夠在308處重新開始過濾數(shù)據(jù)流,其包括將用戶特定的規(guī)則應(yīng)用于連接���。
[0028]盡管該示例說明在節(jié)點(diǎn)失效后節(jié)點(diǎn)如何可以重新開始過濾連接����,可以采用相似的方法以在分布式防火墻群集中對于例如負(fù)載平衡或?qū)Σ煌蝿?wù)的節(jié)點(diǎn)再分配等應(yīng)用將連接從一個節(jié)點(diǎn)移到另一個����。
[0029]在一個這樣的示例中,防火墻節(jié)點(diǎn)I未失效�����,但是是兩個這樣的節(jié)點(diǎn)(未繪出)中的一個的入侵保護(hù)系統(tǒng)節(jié)點(diǎn)失效。系統(tǒng)期望在提供防火墻服務(wù)的節(jié)點(diǎn)數(shù)量與提供入侵保護(hù)的節(jié)點(diǎn)數(shù)量之間維持一定的平衡��,并且在該示例中��,入侵保護(hù)系統(tǒng)在它兩個節(jié)點(diǎn)中的一個失效時已經(jīng)失去其一半的能力����。系統(tǒng)因此再分配防火墻節(jié)點(diǎn)I來替換失效的入侵保護(hù)節(jié)點(diǎn),從而導(dǎo)致之前被防火墻節(jié)點(diǎn)I處理的連接跨防火墻節(jié)點(diǎn)2-5再分配��,如在圖2中示出的�。
[0030]這些示例說明防火墻群集中的共享用戶護(hù)照數(shù)據(jù)如何可以促進(jìn)負(fù)載平衡、失效轉(zhuǎn)移和防火墻群集內(nèi)的其他功能����,從而使得防火墻群集中基于用戶的網(wǎng)絡(luò)業(yè)務(wù)過濾更可管理和可靠。
[0031]盡管已經(jīng)在本文圖示和描述特定實(shí)施例����,本領(lǐng)域內(nèi)技術(shù)人員將意識到計(jì)算以實(shí)現(xiàn)同樣目的的任何布置可代替示出的特定實(shí)施例。該申請意在涵蓋本文描述的本發(fā)明的示例實(shí)施例的任何改編或變化�����。規(guī)定本發(fā)明僅由權(quán)利要求和其等同物的全范圍限制���。
[0032]已經(jīng)公開如上文描述的操作的方法以及采用某些方式配置的防火墻����。例如,操作防火墻群集的方法可以包括:在具有三個或以上節(jié)點(diǎn)的防火墻群集的第一節(jié)點(diǎn)中接收連接����;確定與該連接關(guān)聯(lián)的用戶數(shù)據(jù);以及與防火墻群集中的至少另一個節(jié)點(diǎn)共享用戶數(shù)據(jù)��。另外����,防火墻群集可以在接收連接之后但在共享用戶數(shù)據(jù)之前與防火墻群集中的至少另一個節(jié)點(diǎn)共享關(guān)于接收的連接的連接信息�����。用戶數(shù)據(jù)可以包括用戶的身份以及連接的IP地址�。共享可以包括將用戶數(shù)據(jù)廣播到防火墻群集中的其他節(jié)點(diǎn)或?qū)⒂脩魯?shù)據(jù)發(fā)送到主節(jié)點(diǎn)。該主節(jié)點(diǎn)還可以被配置用于將用戶數(shù)據(jù)廣播到防火墻群集中的其他節(jié)點(diǎn)����。可選地��,防火墻群集還可以在第一節(jié)點(diǎn)失效時使用與連接關(guān)聯(lián)的共享用戶數(shù)據(jù)來在另一個節(jié)點(diǎn)中過濾連接或在另一個節(jié)點(diǎn)中過濾連接以在防火墻群集中提供負(fù)載平衡。
【權(quán)利要求】
1.一種操作防火墻群集的方法���,包括: 在具有三個或以上節(jié)點(diǎn)的防火墻群集的第一節(jié)點(diǎn)中接收連接�����; 確定與所述連接關(guān)聯(lián)的用戶數(shù)據(jù)����;以及 與所述防火墻群集中的至少另一個節(jié)點(diǎn)共享所述用戶數(shù)據(jù)����。
2.如權(quán)利要求1所述的操作防火墻群集的方法,進(jìn)一步包括在接收所述連接之后但在共享所述用戶數(shù)據(jù)之前與所述防火墻群集中的至少另一個節(jié)點(diǎn)共享關(guān)于接收的連接的連接信息��。
3.如權(quán)利要求1所述的操作防火墻群集的方法���,其中所述用戶數(shù)據(jù)包括所述用戶的身份以及所述連接的IP地址����。
4.如權(quán)利要求1所述的操作防火墻群集的方法����,其中共享用戶數(shù)據(jù)包括將所述用戶數(shù)據(jù)廣播到所述防火墻群集中的其他節(jié)點(diǎn)����。
5.如權(quán)利要求1所述的操作防火墻群集的方法�����,其中共享用戶數(shù)據(jù)包括將所述用戶數(shù)據(jù)發(fā)送到主節(jié)點(diǎn)����。
6.如權(quán)利要求5所述的操作防火墻群集的方法,進(jìn)一步包括所述主節(jié)點(diǎn)將所述用戶數(shù)據(jù)廣播到所述防火墻群集中的其他節(jié)點(diǎn)�。
7.如權(quán)利要求1所述的操作防火墻群集的方法,進(jìn)一步包括在所述第一節(jié)點(diǎn)失效時使用與所述連接關(guān)聯(lián)的共享用戶數(shù)據(jù)來在另一個節(jié)點(diǎn)中過濾所述連接��?����!?br>
8.如權(quán)利要求1所述的操作防火墻群集的方法��,進(jìn)一步包括使用與所述連接關(guān)聯(lián)的共享用戶數(shù)據(jù)來在另一個節(jié)點(diǎn)中過濾所述連接以在所述防火墻群集中提供負(fù)載平衡��。
9.一種防火墻群集����,包括: 第一節(jié)點(diǎn),其能操作成在具有三個或以上節(jié)點(diǎn)的防火墻群集中接收連接�����、確定與所述連接關(guān)聯(lián)的用戶數(shù)據(jù)以及與所述防火墻群集中的至少另一個節(jié)點(diǎn)共享所述用戶數(shù)據(jù)�����。
10.如權(quán)利要求9所述的防火墻群集����,所述第一節(jié)點(diǎn)進(jìn)一步能操作成在接收所述連接之后但在共享用戶數(shù)據(jù)之前與所述防火墻群集中的至少另一個節(jié)點(diǎn)共享關(guān)于接收的連接的連接信息。
11.如權(quán)利要求9所述的防火墻群集����,其中用戶數(shù)據(jù)包括用戶的身份以及與所述連接關(guān)聯(lián)的IP地址。
12.如權(quán)利要求9所述的防火墻群集��,其中共享用戶數(shù)據(jù)包括將所述用戶數(shù)據(jù)廣播到所述防火墻群集中的其他節(jié)點(diǎn)����。
13.如權(quán)利要求9所述的防火墻群集,進(jìn)一步包括主節(jié)點(diǎn)����,并且其中共享用戶數(shù)據(jù)包括將所述用戶數(shù)據(jù)發(fā)送到所述主節(jié)點(diǎn)����。
14.如權(quán)利要求13所述的防火墻群集�����,所述主節(jié)點(diǎn)進(jìn)一步能操作成將所述用戶數(shù)據(jù)廣播到所述防火墻群集中的其他節(jié)點(diǎn)���。
15.如權(quán)利要求9所述的防火墻群集��,進(jìn)一步包括第二節(jié)點(diǎn)���,所述第二節(jié)點(diǎn)能操作成在所述第一節(jié)點(diǎn)失效時使用與所述連接關(guān)聯(lián)的共享用戶數(shù)據(jù)來在另一個節(jié)點(diǎn)中過濾所述連接。
16.如權(quán)利要求9所述的防火墻群集�����,進(jìn)一步包括第二節(jié)點(diǎn)����,所述第二節(jié)點(diǎn)能操作成使用與所述連接關(guān)聯(lián)的共享用戶數(shù)據(jù)來在另一個節(jié)點(diǎn)中過濾所述連接以在所述防火墻群集中提供負(fù)載平衡�����。
17.一種操作防火墻群集的方法,包括: 在具有三個或以上節(jié)點(diǎn)的防火墻群集的第一節(jié)點(diǎn)中接收連接�; 與所述防火墻群集中的至少另一個節(jié)點(diǎn)共享關(guān)于接收的連接的連接數(shù)據(jù); 確定與所述連接關(guān)聯(lián)的用戶數(shù)據(jù)�;以及 與所述防火墻群集中的兩個或以上其他節(jié)點(diǎn)共享與所述連接關(guān)聯(lián)的用戶數(shù)據(jù)。
18.如權(quán)利要求17所述的操作防火墻群集的方法�,進(jìn)一步包括在所述第一節(jié)點(diǎn)失效時使用所述共享用戶數(shù)據(jù)來在另一個節(jié)點(diǎn)中過濾所述連接。
19.如權(quán)利要求17所述的操作防火墻群集的方法�����,進(jìn)一步包括使用所述共享用戶數(shù)據(jù)來在另一個節(jié)點(diǎn)中過濾所述連·接以在所述防火墻群集中提供負(fù)載平衡����。
【文檔編號】H04L12/24GK103858383SQ201280043917
【公開日】2014年6月11日 申請日期:2012年9月6日 優(yōu)先權(quán)日:2011年9月8日
【發(fā)明者】T.阿里斯安, A.托馬斯, A.尼斯森, M.J.斯伯薩克 申請人:邁可菲公司