CN100596351C - 一种基于高速网络数据处理平台的防火墙方法和系统 - Google Patents
一种基于高速网络数据处理平台的防火墙方法和系统 Download PDFInfo
- Publication number
- CN100596351C CN100596351C CN200610039896A CN200610039896A CN100596351C CN 100596351 C CN100596351 C CN 100596351C CN 200610039896 A CN200610039896 A CN 200610039896A CN 200610039896 A CN200610039896 A CN 200610039896A CN 100596351 C CN100596351 C CN 100596351C
- Authority
- CN
- China
- Prior art keywords
- compartment wall
- fire compartment
- nat
- packet
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims abstract description 17
- 238000012545 processing Methods 0.000 title claims description 73
- 230000007246 mechanism Effects 0.000 claims abstract description 7
- 238000012546 transfer Methods 0.000 claims abstract description 6
- 238000004458 analytical method Methods 0.000 claims abstract description 5
- 238000001514 detection method Methods 0.000 claims abstract description 3
- 238000001914 filtration Methods 0.000 claims description 12
- 238000007689 inspection Methods 0.000 claims description 12
- 238000004891 communication Methods 0.000 claims description 10
- 238000007726 management method Methods 0.000 claims description 7
- 238000006243 chemical reaction Methods 0.000 claims description 4
- 238000012544 monitoring process Methods 0.000 claims description 4
- 230000006399 behavior Effects 0.000 claims description 2
- 238000004364 calculation method Methods 0.000 claims description 2
- 238000003780 insertion Methods 0.000 claims description 2
- 230000037431 insertion Effects 0.000 claims description 2
- 230000007704 transition Effects 0.000 claims description 2
- 238000013519 translation Methods 0.000 claims description 2
- 230000008569 process Effects 0.000 abstract description 5
- 239000008186 active pharmaceutical agent Substances 0.000 abstract 1
- GUAQVFRUPZBRJQ-UHFFFAOYSA-N n-(3-aminopropyl)-2-methylprop-2-enamide Chemical compound CC(=C)C(=O)NCCCN GUAQVFRUPZBRJQ-UHFFFAOYSA-N 0.000 abstract 1
- 238000005516 engineering process Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 3
- 241000700605 Viruses Species 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 230000003247 decreasing effect Effects 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 238000011056 performance test Methods 0.000 description 1
- 230000000644 propagated effect Effects 0.000 description 1
- 238000009418 renovation Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 230000007480 spreading Effects 0.000 description 1
- 238000012384 transportation and delivery Methods 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
基于高速数据处理平台的防火墙方法,由系统数据交换支持系统、数据接入及预处理板卡、防火墙数据处理板卡组成;数据接入板实现千兆线速转发,以及数据预处理,通过对需要进一步分析的数据包计算HASH,将它们动态负载均衡的发到多块防火墙处理板卡上进行处理;防火墙数据处理板并行运行,对数据包进行更深入的检查;采用梯度过滤机制:利用策略树和协议栈策略传递机制,将攻击检测、报文分拣、IP过滤、连接状态监控、用户认证、应用协议报文分析、应用协议通信状态检查、内容安全检查等动作,依次组织成一个力度递增的过滤体系:对传统防火墙软件体系的结构进行了调整和优化,达到了较高的网络处理性能。
Description
技术领域
本发明涉及高速网络环境中的网络防火墙技术,对高速网络环境中的数据进行分布处理,实现负载均衡,属于计算机安全领域。
背景技术
随着互联网的迅猛发展,互联网的强大作用在人们的日常工作、生活和娱乐中都在发挥着其不可替代的地位。由于技术的不断更新,现在的网络速度越来越快,带宽也从十兆发展到百兆、千兆,乃至万兆的带宽。高速度、高性能的网络确实为我们使用网络提供了更好的条件,也提高了我们的效率。但是,在我们享受高速网络给我们带来的便利时。一些别有用心的不法分子,和网络上泛滥的各类网络病毒,也借助现在的高速网络以几何级的速度在传播和破坏我们的系统。面对千兆的带宽,传统的百兆防火墙以及部分准千兆的防火墙都无法为目前的千兆网络提供有效的保护措施。
发明内容
本发明提供了一种基于高速数据处理平台的防火墙系统的实现方式,这种方式充分利用了硬件数据处理的高性能和软件功能的高扩展性,构建了一个性能优良,功能强大,可靠性,可扩充性良好的防火墙系统。
系统的硬件平台,由系统数据交换支持系统、数据接入及预处理板卡、防火墙数据处理板卡组成。其中,接入板可实现千兆线速转发,以及数据预处理,通过对需要进一步分析的数据包计算HASH,将它们动态负载均衡的发到多块防火墙处理板卡上进行处理;防火墙数据处理板并行运行,以使整个系统达到千兆线速所需的处理效率;系统数据交换支持系统,则负责在各系统部件之间进行数据传送。
一种基于高速数据处理平台的防火墙系统和方法,基于高速数据处理系统的硬件平台,由系统数据交换支持系统、数据接入及预处理板卡、防火墙数据处理板卡组成。其中,接入板可实现千兆线速转发,以及数据预处理,通过对需要进一步分析的数据包计算HASH,将它们动态负载均衡的发到多块防火墙处理板卡上进行处理;防火墙数据处理板并行运行,对数据包进行更深入的检查。其特征是采用梯度过滤机制:利用策略树和协议栈策略传递机制,将攻击检测、报文分拣、IP过滤、连接状态监控、用户认证、应用协议报文分析、应用协议通信状态检查、内容安全检查等动作,依次组织成一个力度递增的过滤体系。
高速数据处理平台是一种结合硬件系统平台及软件分布实施组件技术的系统平台,该平台包含多个异构的处理单元,异构的处理单元采用不同的芯片技术和硬件架构,多个处理单元构成一个基于以太网的协作集群,防火墙的软件系统在集群上进行并行计算,在各处理单元间实现高效的通信和高效的处理同步机制,从而提供了另一种高性能防火墙系统的解决方案,在应对大量应用数据分析处理时,由于数据包被分配到不同的数据处理存储单元进行处理,避免了单一NP的ASIC芯片的防火墙系统负载过高而性能下降的问题。
本发明采用梯度过滤机制。这一机制根据不同主体安全需求的差异性划分安全需求,利用策略树和协议栈策略传递机制,将攻击检测、报文分拣、IP过滤、连接状态监控、用户认证、应用协议报文分析、应用协议通信状态检查、内容安全检查等动作,组织成一个力度递增的过滤体系。通过性能测试,我们发现梯度过滤策略使得防火墙的安全防护能力大大提高。
具体工作流如下:
101:系统启动时,多块处理板协商选举出主处理板,负责与系统管理用户交互,并对其他板卡进行配置与管理,启动整个系统;
102:当数据包从WAN/LAN/DMZ进入接入板时,主要进行经过策略查找、简单过滤、流量控制、地址转换和基于网络协议攻击行为的检测。通过检查由防火墙策略编译成的规则表,进行系统内的路由交换,结果有Transfer/Drop/Redirect三种动作,其相应处理结果如下:
Transfer:不受限制的数据包,直接在接入板进行路由转发;
Drop:明确拒绝的数据包,直接丢弃;
Redirect:需要防火墙进一步检查或者需要进行NAT的数据包,根据其源IP地址、目的IP地址、源端口和目的端口等特征计算HASH,根据此HASH值负载均衡的重定向到x86Node板对应的逻辑接口;
103:当数据包到达x86Node板后,对数据包进行应用层安全检查和状态检查、内容安全检查、路由选择,经处理之后的数据包,仍发回接入板进行路由转发。
本发明还改进实现了一些算法。
X86板同步及选举:
201:各Node板根据其插入的槽位获得自己的id;
202:各Node板广播自己的id,id最小者获得主Node板身份;
203:系统初始化,主处理板配置接入板路由转发规则,使管理数据以及认证数据重定向到该Node板,因而所有管理连接都经由主处理板处理,通过主处理板管理整个系统的工作;
204:主处理板动态检查处理板的可用性,如发现出现问题的,则动态调整系统负载均衡策略,重新配置接入板的HASH计算规则,不再将数据发往出问题的处理板;
205:若主处理板出现问题,其他处理板在失去与主处理板的通讯后,重新进行选举,使新选举的处理板承担原主处理板的工作,系统重新初始化;
206:当有新处理板接入时,广播自己的id,若比主处理板id小,则接替原主处理板的工作,系统重新进行初始化;若比主处理板大,则由主处理板对其进行配置,并动态调整系统负载均衡策略,重新配置接入板的HASH计算规则,将部分数据发往新处理板处理。
NAT也做了相应的改进。NAT(网络地址转换)是防火墙必备功能之一。它不但对内网地址实现了屏蔽防止外网黑客攻击,而且提高了公网地址的利用率,大大缓解了公网地址不足的问题。考虑到在现有的硬件平台上,所有数据包在转发到防火墙处理板进行分析前都要经过交换板的负载分配处理。如果沿袭传统地对NAT的处理过程,那么可能会造成数据的回应包与源数据包不是由同一块处理板处理,而导致NAT功能无法实现。为此,本发明考虑采用以下方案:
301:主处理板配置接入板负载均衡策略,将HASH可能的结果值(基本)平均的分配到多块处理板,例如:HASH结果为0~7,有四块处理板,则处理板与HASH值得对应关系可为A(0、1),B(2、3),C(4、5),D(6,7),即当计算数据包的HASH结果为0和1时,该数据包送交处理板A进行处理;
若需要进行源NAT:
302:当内网主机(源IP地址+源端口)尝试访问外网的某个服务(目的IP地址+目的端口)时,交换板收到数据包后,根据这个四元组进行hash得到X,进而将这条连接的数据包转发到hash值X对应的处理板N上进行处理;
303:处理板N收到数据包后,根据NAT规则发现该数据包需要进行源NAT,即四元组中的(目的IP地址+目的端口)不变,源IP地址替换为NAT规则中的相应IP地址(NAT地址,往往是防火墙的外网卡),源端口则替换为某个数字,这个数字在传统的NAT算法中可能是随机的,但在这里它必须选用一个与其他三个参数的hash值也为X的数字(NAT端口);
304:处理板N经过上述NAT处理之后,将数据包(NAT地址+NAT端口,目的IP地址+目的端口)发往接入板向外网转发;
305:外网服务器收到接入板转发来的数据包时,发出应答数据包(目的IP地址+目的端口,NAT地址+NAT端口),并到达交换板,因为步骤303中的操作,使得交换板计算的HASH值仍然为X,该数据包,仍送交处理板N进行处理;
306:处理板N根据内存中的NAT记录,对数据包进行NAT转换,将应答数据包变为(目的IP地址+目的端口,源IP地址+源端口);
307:处理板N经过上述NAT处理之后,将数据包(目的IP地址+目的端口,源IP地址+源端口)发往接入板向内网转发;
308:内网主机收到外网服务的应答数据包,并重复上述步骤进行通讯,直到服务完成;
若需要进行目的NAT:
309:当外网主机(源IP地址+源端口)尝试访问内网某个服务(目的IP地址+目的端口)时,交换板收到数据包后,根据这个四元组进行hash得到X,进而将这条连接的数据包转发到hash值X对应的处理板N上进行处理;
310:处理板N收到数据包后,根据NAT规则发现该数据包需要进行目的NAT,即将目的IP地址+目的端口转化为内部实际提供服务的主机的内网NAT地址和内网NAT端口,在传统的NAT算法中,其他两项保持不变,但在这里需要同时将源IP地址替换为某个值(NAT源IP地址),这个值与其他三个参数的hash值也为X;
311:处理板N经过上述NAT处理之后,将数据包(NAT源IP地址+源端口,内网NAT地址+内网NAT端口)发往接入板向内网转发;
312:内网服务器收到接入板转发来的数据包时,发出应答数据包(内网NAT地址+内网NAT端口,NAT源IP地址+源端口),并到达交换板,因为步骤303中的操作,使得交换板计算的HASH值仍然为X,该数据包,仍送交处理板N进行处理;
313:处理板N根据内存中的NAT记录,对数据包进行NAT转换,将应答数据包变为(目的IP地址+目的端口,源IP地址+源端口);
307:处理板N经过上述NAT处理之后,将数据包(目的IP地址+目的端口,源IP地址+源端口)发往接入板向外网转发;
308:外网主机收到内网服务的应答数据包,并重复上述步骤进行通讯,直到服务完成。
附图说明
图1为本发明防火墙软件体系分布结构图。
图2为本发明防火墙系统数据处理流程图。
图3为本发明方法示意图
具体实施方式
以下结合附图和具体实施例对本发明做进一步说明:
如图1所示,整个防火墙软件系统由远程GUI模块(包括系统配置1、策略及日志审计配置2、日志分析3、实时监控4、示警5)、认证模块(包含客户端6和服务端7)、控制管理模块8、Node板同步模块9、交换板管理模块10、功能模块(包括包过滤11和代理12)、日志服务器模块13组成。
防火墙系统位于企业与Internet数据交换的核心节点处,基于高速数据处理平台的防火墙系统的部署位置与传统防火墙类似,对外防火墙提供2个以上接口,分别对应于Lan、Wan和DMZ区域(如果有的话)。
如图2所示,网络数据包通过对外接口进入防火墙系统,防火墙系统的数据接收模块对这些数据包进行第一层的过滤,判断数据包是否合法,是否满足接入数据处理板的合法性规则,如果数据包合法,则将数据包传递给数据分发模块。数据分发模块根据数据包的源地址、源端口、源Mac地址、目的地址、目的端口、目的Mac地址等属性进行Hash运算,根据运算结果将数据包转发至相应的数据处理板进行正常的防火墙处理。防火墙根据内部的包过滤及代理策略对数据包进行相应的处理后,根据状态表中记录的数据连接状态对数据包进行相应修改后将数据包传给数据转发模块。数据转发模块则负责将数据包重新发回接入数据板,根据数据包的信息转发给Lan或Wan区域。
Claims (3)
1.一种基于高速数据处理平台的防火墙方法,基于高速数据处理系统的硬件平台由系统数据交换支持系统、数据接入及预处理板卡、防火墙数据处理板卡组成;其中,数据接入及预处理板实现千兆线速转发,以及数据预处理,通过对需要进一步分析的数据包计算HASH,将它们动态负载均衡的发到多块防火墙处理板卡上进行处理;防火墙数据处理板并行运行,对数据包进行更深入的检查;其特征是采用梯度过滤机制:利用策略树和协议栈策略传递机制,将攻击检测、报文分拣、IP过滤、连接状态监控、用户认证、应用协议报文分析、应用协议通信状态检查、内容安全检查动作,依次组织成一个力度递增的过滤体系:
高速数据处理系统具体工作流如下:
101:系统启动时,多块防火墙数据处理板协商选举出防火墙数据主处理板,负责与系统数据交换支持系统管理用户交互,并对其他板卡进行配置与管理,启动整个高速数据处理系统;
102:当数据包从WAN/LAN/DMZ进入数据接入及预处理板时,主要进行经过策略查找、简单过滤、流量控制、地址转换和基于网络协议攻击行为的检测;通过检查由防火墙策略编译成的规则表,进行高速数据处理系统内的路由交换,结果有Transfer/Drop/Redirect三种动作,其相应处理结果如下:
Transfer:不受限制的数据包,直接在数据接入及预处理板进行路由转发;
Drop:明确拒绝的数据包,直接丢弃;
Redirect:需要防火墙进一步检查或者需要进行NAT的数据包,根据其源IP地址、目的IP地址、源端口和目的端口等特征计算HASH,根据此HASH值负载均衡的重定向到防火墙数据处理板即x86Node板对应的逻辑接口;
103:当数据包到达防火墙数据处理板即x86Node板后,对数据包进行应用层安全检查和状态检查、内容安全检查、路由选择,经处理之后的数据包,仍发回数据接入及预处理板进行路由转发。
2.由权利要求1所述的基于高速数据处理平台的防火墙方法,其特征是所述防火墙数据处理板同步及选举防火墙数据主处理板的方法及步骤是:
201:各防火墙数据处理板根据其插入的槽位获得自己的id;
202:各防火墙数据处理板广播自己的id,id最小者获得防火墙数据主处理板身份;
203:系统初始化,防火墙数据主处理板配置接入板路由转发规则,使管理数据以及认证数据重定向到该防火墙数据处理板,因而所有管理连接都经由防火墙数据主处理板处理,通过防火墙数据主处理板管理整个高速数据处理系统的工作;
204:防火墙数据主处理板动态检查防火墙数据处理板的可用性,如发现出现问题的,则动态调整系统负载均衡策略,重新配置接入板的HASH计算规则,不再将数据发往出问题的防火墙数据处理板;
205:若主防火墙数据处理板出现问题,其他防火墙数据处理板在失去与防火墙数据主处理板的通讯后,重新进行选举,使新选举的防火墙数据处理板承担原防火墙数据主处理板的工作,系统重新初始化;
206:当有新防火墙数据处理板接入时,广播自己的id,若比防火墙数据主处理板id小,则接替原防火墙数据主处理板的工作,系统重新进行初始化;若比防火墙数据主处理板大,则由防火墙数据主处理板对其进行配置,并动态调整系统负载均衡策略,重新配置接入板的HASH计算规则,将部分数据发往新防火墙数据处理板处理。
3.由权利要求1所述的基于高速数据处理平台的防火墙方法,其特征是根据数据包的源IP地址、端口和目的IP地址、端口计算HASH,根据该HASH值决定将其送往哪个防火墙数据处理板进行处理;进行网络地址转换NAT时,由于对IP地址和端口进行了转换,用传统的NAT方法,可能导致转换前后的HASH值不同,使同一连接的数据包发往了不同的处理板,这样NAT将无法正常进行工作;对NAT算法改进方法的步骤是:
301:防火墙数据主处理板配置接入板负载均衡策略,将HASH可能的结果值平均的分配到设有的四块防火墙数据处理板;HASH结果为0~7,则防火墙数据处理板与HASH值得对应关系可为A(0、1),B(2、3),C(4、5),D(6,7),即当计算数据包的HASH结果为0和1时,该数据包送交防火墙数据处理板A进行处理;
若需要进行源NAT:
302:当内网主机尝试访问外网的某个服务时,设有的交换板收到数据包后,根据这个四元组进行HASH得到X,进而将这条连接的数据包转发到HASH值X对应的防火墙数据处理板N上进行处理;
303:防火墙数据处理板N收到数据包后,根据NAT规则发现该数据包需要进行源NAT,即四元组中的目的IP地址和目的端口不变,源IP地址替换为NAT规则中的相应IP地址,NAT地址往往是防火墙的外网卡,源端口则替换为某个数字,这个数字在传统的NAT算法中可能是随机的,但在这里它必须选用一个与其他三个参数的HASH值也为X的数字即NAT端口;
304:防火墙数据处理板N经过上述NAT处理之后,将数据包发往数据接入及预处理板向外网转发;所述数据包包括NAT地址和NAT端口,以及目的IP地址和目的端口:
305:外网服务器收到数据接入及预处理板转发来的数据包时,发出应答数据包,并到达交换板,因为步骤303中的操作,使得交换板计算的HASH值仍然为X,该数据包,仍送交防火墙数据处理板N进行处理;应答数据包包括目的IP地址和目的端口,以及NAT地址和NAT端口;
306:防火墙数据处理板N根据内存中的NAT记录,对数据包进行NAT转换,将应管数据包变为目的IP地址和目的端口,源IP地址+源端口;
307:防火墙数据处理板N经过上述NAT处理之后,将数据包目的IP地址+目的端口和源IP地址和源端口发往数据接入及预处理板向内网转发;
308:内网主机收到外网服务的应答数据包,并重复上述步骤进行通讯,直到服务完成;
若需要进行目的NAT:
309:当外网主机尝试访问内网某个服务时,交换板收到数据包后,根据这个四元组进行HASH得到X,进而将这条连接的数据包转发到HASH值X对应的防火墙数据处理板N上进行处理;
310:防火墙数据处理板N收到数据包后,根据NAT规则发现该数据包需要进行目的NAT,即将目的IP地址和目的端口转化为内部实际提供服务的主机的内网NAT地址和内网NAT端口,在传统的NAT算法中,其他两项保持不变,但在这里需要同时将源IP地址替换为NAT源IP地址,这个值与其他三个参数的HASH值也为X;
311:防火墙数据处理板N经过上述NAT处理之后,将数据包发往数据接入及预处理板向内网转发;所述数据包包括NAT源IP地址和源端口,以及内网NAT地址和内网NAT端口;
312:内网服务器收到接入板转发来的数据包时,发出应答数据包,并到达交换板,因为步骤303中的操作,使得交换板计算的HASH值仍然为X,该数据包,仍送交防火墙数据处理板N进行处理;所述应答数据包包括内网NAT地址和内网NAT端口以及NAT源IP地址和源端口;
313:防火墙数据处理板N根据内存中的NAT记录,对数据包进行NAT转换,将应答数据包变为目的IP地址和目的端口,源IP地址和源端口;
317:防火墙数据处理板N经过上述NAT处理之后,将数据包发往数据接入及预处理板向外网转发;
318:外网主机收到内网服务的应答数据包,并重复上述步骤进行通讯,直到服务完成。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200610039896A CN100596351C (zh) | 2006-04-26 | 2006-04-26 | 一种基于高速网络数据处理平台的防火墙方法和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200610039896A CN100596351C (zh) | 2006-04-26 | 2006-04-26 | 一种基于高速网络数据处理平台的防火墙方法和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN1838592A CN1838592A (zh) | 2006-09-27 |
CN100596351C true CN100596351C (zh) | 2010-03-31 |
Family
ID=37015860
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN200610039896A Expired - Fee Related CN100596351C (zh) | 2006-04-26 | 2006-04-26 | 一种基于高速网络数据处理平台的防火墙方法和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN100596351C (zh) |
Families Citing this family (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5048835B2 (ja) | 2007-07-27 | 2012-10-17 | 杭州▲華▼三通信技▲術▼有限公司 | パケット処理装置およびその方法 |
CN101741818B (zh) * | 2008-11-05 | 2013-01-02 | 南京理工大学 | 设置在网线的独立网络安全加密隔离方法 |
CN102088453A (zh) * | 2010-01-29 | 2011-06-08 | 蓝盾信息安全技术股份有限公司 | 一种控制主机接入的方法、系统及装置 |
CN101778050A (zh) * | 2010-03-11 | 2010-07-14 | 浪潮(北京)电子信息产业有限公司 | 负载均衡方法、装置和系统 |
CN101958903B (zh) * | 2010-10-09 | 2013-01-02 | 南京博同科技有限公司 | 一种基于soc及并行虚拟防火墙的高性能防火墙实现方法 |
CN102082707B (zh) * | 2010-12-24 | 2013-05-08 | 汉柏科技有限公司 | 多核防火墙并行处理性能测试方法 |
CN102104605B (zh) * | 2011-02-28 | 2013-06-26 | 中国人民解放军国防科学技术大学 | 一种面向大规模网络脆弱性关联分析的梯度化并行方法 |
US8955097B2 (en) * | 2011-12-13 | 2015-02-10 | Mcafee, Inc. | Timing management in a large firewall cluster |
CN102857486B (zh) * | 2012-04-01 | 2015-10-21 | 深信服网络科技(深圳)有限公司 | 下一代应用防火墙系统及防御方法 |
CN103957185A (zh) * | 2013-12-16 | 2014-07-30 | 汉柏科技有限公司 | 一种实现应用层流量监控的防火墙控制方法 |
CN103685321B (zh) * | 2013-12-31 | 2016-09-14 | 北京神州绿盟信息安全科技股份有限公司 | 数据包转发和安全防护检测系统、负载均衡方法及装置 |
CN104580550A (zh) * | 2014-12-30 | 2015-04-29 | 北京天融信科技有限公司 | 分布式系统中多业务板分流时的nat处理方法及设备 |
CN105939278B (zh) * | 2015-04-30 | 2020-04-03 | 杭州迪普科技股份有限公司 | 一种流量处理方法及装置 |
CN109600368B (zh) * | 2018-12-07 | 2021-04-13 | 中盈优创资讯科技有限公司 | 一种确定防火墙策略的方法及装置 |
CN112650704B (zh) * | 2020-12-04 | 2024-02-06 | 北京天融信网络安全技术有限公司 | 分布式多板分流下nat处理方法、装置及电子设备 |
CN112738114B (zh) * | 2020-12-31 | 2023-04-07 | 四川新网银行股份有限公司 | 一种网络安全策略的配置方法 |
CN114338087B (zh) * | 2021-12-03 | 2024-03-15 | 成都安恒信息技术有限公司 | 一种基于防火墙的定向运维审计方法及系统 |
-
2006
- 2006-04-26 CN CN200610039896A patent/CN100596351C/zh not_active Expired - Fee Related
Non-Patent Citations (6)
Title |
---|
内核级透明代理TPF的设计与实现. 蔡圣闻等.计算机科学,第31卷第4期. 2004 |
内核级透明代理TPF的设计与实现. 蔡圣闻等.计算机科学,第31卷第4期. 2004 * |
基于IXP2400实现千兆防火墙的研究. 郑爱蓉.福州大学硕士论文集. 2005 |
基于IXP2400实现千兆防火墙的研究. 郑爱蓉.福州大学硕士论文集. 2005 * |
基于网络处理器的千兆防火墙设计与实现. 刘刚.东华大学硕士论文集. 2004 |
基于网络处理器的千兆防火墙设计与实现. 刘刚.东华大学硕士论文集. 2004 * |
Also Published As
Publication number | Publication date |
---|---|
CN1838592A (zh) | 2006-09-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN100596351C (zh) | 一种基于高速网络数据处理平台的防火墙方法和系统 | |
US9413718B1 (en) | Load balancing among a cluster of firewall security devices | |
CN105554065B (zh) | 处理报文的方法、转换单元和应用单元 | |
CN105308929B (zh) | 用于分布负载平衡的方法和分布负载平衡器系统 | |
JP6445015B2 (ja) | ミドルウェアおよびアプリケーションの実行のためにエンジニアド・システムにおいてデータサービスを提供するためのシステムおよび方法 | |
US9930018B2 (en) | System and method for providing source ID spoof protection in an infiniband (IB) network | |
CN104380693B (zh) | 用于在集群中动态路由的系统和方法 | |
US9001827B2 (en) | Methods for configuring network switches | |
US9614768B2 (en) | Method for traffic load balancing | |
CA2753747C (en) | Method for operating a node cluster system in a network and node cluster system | |
US20160234091A1 (en) | Systems and methods for controlling switches to capture and monitor network traffic | |
US8929368B2 (en) | Control method of virtual link discovery and system for fibre channel over ethernet protocol | |
US20060168084A1 (en) | Method and apparatus for rendering load balancing and failover | |
US7869442B1 (en) | Method and apparatus for specifying IP termination in a network element | |
US9998366B2 (en) | System, method and device for forwarding packet | |
US7359387B2 (en) | Systems and methods for implementing virtual router | |
US8159940B1 (en) | Obtaining high availability using TCP proxy devices | |
JP2016520904A (ja) | 分散型ロードバランサにおける非対称パケットフロー | |
CN1875585A (zh) | 利用mac限制来控制动态未知l2泛滥 | |
CN109842686B (zh) | 一种实现跨区域集群调度的负载均衡系统 | |
US20170034048A1 (en) | Methods, systems, and computer readable media for peer aware load distribution | |
CN101141396B (zh) | 报文处理方法和网络设备 | |
Wolinsky et al. | On the design of scalable, self-configuring virtual networks | |
CN106685861B (zh) | 一种软件定义网络系统及其报文转发控制方法 | |
US10148576B2 (en) | Network processing unit (NPU) integrated layer 2 network device for layer 3 offloading |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100331 |
|
CF01 | Termination of patent right due to non-payment of annual fee |