基于Linux的高可用状态防火墙的实现

摘要

Linux是常用的防火墙操作平台,本文提供了状态检测机制,能够将以前的处理动作直接应用于该连接的数据包上,不必再次查找防火墙的规则表.但是状态检测中所涉及到的连接状态存在于内存中,一旦节点失效之后,状态信息将不复存在,从而引起防火墙系统瘫痪.本文通过对linux2.4.20内核下的连接跟踪机制进行详尽的分析,并利用VRRP协议进行网络故障检测,采用非共享媒质(如:交换机)方式实现了高可用状态防火墙,提供两台或多台防火墙的实时热各功能,解决了单点失效的问题,增强了其性能和可靠性.