CN101014048B - 分布式防火墙系统及实现防火墙内容检测的方法 - Google Patents
分布式防火墙系统及实现防火墙内容检测的方法 Download PDFInfo
- Publication number
- CN101014048B CN101014048B CN200710063822A CN200710063822A CN101014048B CN 101014048 B CN101014048 B CN 101014048B CN 200710063822 A CN200710063822 A CN 200710063822A CN 200710063822 A CN200710063822 A CN 200710063822A CN 101014048 B CN101014048 B CN 101014048B
- Authority
- CN
- China
- Prior art keywords
- session
- message
- cpu processor
- module
- management control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Hardware Redundancy (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种分布式防火墙系统,包括会话转发系统和相连接的内容监控过滤模块;内容监控过滤模块用于根据预设的内容监控过滤条件,对会话转发系统中的报文进行内容监控过滤处理,并将监控过滤结果发送给会话转发系统;内容监控过滤模块与会话转发系统分别运行于第一CPU处理器和第二CPU处理器中。本发明还公开了一种实现防火墙内容检测的方法,第二CPU处理器获取第一CPU处理器接收的报文,根据预设的内容监控过滤条件对报文进行内容监控过滤处理,并将监控过滤结果发送给第一CPU处理器。通过本发明,实现了防火墙针对报文内容进行检测、过滤,提高了防火墙系统的吞吐量和稳定性。
Description
技术领域
本发明涉及网络安全领域,特别是一种分布式防火墙系统以及实现防火墙内容检测的方法。
背景技术
随着网络技术的发展,对防火墙的要求也日益提高。现有防火墙的硬件逻辑示意图如图1所示,通过单核CPU处理器完成对接收报文内容的检测和转发。即防火墙全部的软件都运行在一个单核CPU处理器上,构成一会话转发系统,如图2所示,其进行防火墙检测的流程为:报文接收模块收到报文并进行缓存,同时发中断通知报文过滤模块;报文过滤模块根据管理控制模块配置的过滤规则对报文进行过滤,比如检查每一个传入报文包,查看包中可用的基本信息,比如源地址和目的地址、端口号、协议等,然后将这些信息与管理控制模块配置的过滤规则相比较。如果已经设立了阻断telnet连接,而包的目的端口是23的话,那么该包就会被丢弃。如果允许传入Web连接,而目的端口为80,则包就会被放行,并将被放行的报文送入网络地址转换(Network Address Translation,简称NAT)处理模块;NAT处理模块根据管理控制模块预先配置的NAT地址池,进行报文源IP地址与目的地址的转换以及循环冗余校验码(Cyclic Redundancy Code,简称CRC)的重新生成等,然后发送给会话转发跟踪检测模块;会话转发跟踪检测模块提取会话索引五元组(源ip、目的ip、源端口、目的端口和协议号),查询会话管理模块中的会话表,如果会话表命中,则进行该会话的检测跟踪,根据管理控制模块的配置判断报文的转发策略,如果会话表未命中,则生成会话索引,同时生成通知消息发送给会话管理模块;确定转发策略后的报文通过会话转发模块发送出去。其中,会话管理模块负责报文的会话表的创建、删除、更新和老化,其老化进程是按照管理控制模块配置的时钟及其会话的活动状态进行;管理控制模块负责提供会话转发策略,并在必要的时候对报文包的内容进行监控。
可以看出,在现有技术中防火墙系统已经具有了报文过滤的初步功能,但是随着技术的发展,我们越来越需要对报文进行更精细的内容检测。但是内容检测是一项比较耗资源的工作,如何使我们的设备既具有精细的内容检测功能,又具有良好、稳健的性能就成了我们亟待解决的问题。
发明内容
本发明提供一种分布式防火墙系统以及实现防火墙内容检测的方法,解决现有技术中防火墙深度检测中网络拥塞、吞吐量低和系统稳定性差的问题。
为实现上述目的,本发明的实施例提供了一种分布式防火墙系统,包括会话转发系统,还包括内容监控过滤模块;
所述内容监控过滤模块与所述会话转发系统连接,用于根据预设的内容监控过滤条件,对会话转发系统中的报文进行内容监控过滤处理,并将监控过滤结果发送给所述会话转发系统;
所述会话转发系统与所述内容监控过滤模块分别运行于第一CPU处理器和第二CPU处理器中。
为了避免内容监控过滤模块的故障影响到会话转发系统,较佳的技术方案为:还包括镜像复制模块,分别与所述会话转发系统和内容监控过滤模块连接,用于对会话转发系统中的报文进行镜像复制,将复制后的报文发送给所述内容监控过滤模块。
为了提高处理效率,较佳的技术方案为:所述第一CPU处理器为双核或者多核CPU处理器;所述会话转发系统运行于所述第一CPU处理器的主核中,所述镜像复制模块运行于所述第一CPU处理器的副核中。
为了保证报文传输的速度,更佳的技术方案是所述镜像复制模块和所述内容监控过滤模块通过GE总线连接,所述CPU处理器之间通过PCI总线连接。
在上述技术方案中,所述会话转发系统可以包括管理控制单元和会话转发单元;所述管理控制单元与所述内容监控过滤模块连接,用于根据监控过滤结果生成相应的会话转发策略;所述管理控制单元还与所述会话转发单元连接,用于提供会话转发策略和会话表管理;所述会话转发单元用于根据会话转发策略及会话表进行会话转发。
为了减少单一CPU处理器的系统开销,更佳的技术方案为:
一种分布式防火墙系统,包括会话转发系统;还包括内容监控过滤模块,所述内容监控过滤模块与所述会话转发系统连接,用于根据预设的内容监控过滤条件,对会话转发系统中的报文进行内容监控过滤处理,并将监控过滤结果发送给所述会话转发系统;
所述分布式防火墙系统还包括镜像复制模块,分别与所述会话转发系统和内容监控过滤模块连接,用于对会话转发系统中的报文进行镜像复制,将复制后的报文发送给所述内容监控过滤模块;
所述会话转发系统包括管理控制单元和会话转发单元;
所述管理控制单元与所述内容监控过滤模块连接,用于根据监控过滤结果生成相应的会话转发策略;所述管理控制单元还与所述会话转发单元连接,用于提供会话转发策略和会话表管理;所述会话转发单元用于根据会话转发策略及会话表进行会话转发;
所述会话转发系统的会话转发单元运行于第一CPU处理器,所述会话转发系统的管理控制单元运行于第三CPU处理器,所述内容监控过滤模块运行于第二CPU处理器;或者当所述第一CPU处理器为多核处理器时,所述会话转发单元运行于第一CPU处理器的主核中,所述镜像复制模块运行于所述第一CPU处理器的副核中,所述管理控制单元运行于所述第一CPU处理器的第三CPU核中,所述内容监控过滤模块运行于第二CPU处理器。
本发明的实施例还提供了一种实现防火墙内容检测的方法,包括以下步骤:
第二CPU处理器获取所述第一CPU处理器接收的报文,根据预设的内容监控过滤条件对所述报文进行内容监控过滤处理,并将监控过滤结果发送给所述第一CPU处理器。
其中,为了避免进行内容监控过滤处理的故障影响到会话转发进程,较佳的技术方案为:第二CPU处理器获取所述第一CPU处理器接收的报文包括:所述第一CPU处理器镜像复制接收的报文,并发送给所述第二CPU处理器。
为了提高处理效率,更佳的技术方案为:所述第一CPU处理器的主核在收到报文后,向所述第一CPU处理器的副核发送报文中断信息;所述副核根据所述报文中断信息查找所述报文的内存地址,并对所述报文进行镜像复制;所述副核将复制的报文发送给所述第二CPU处理器。
对所述报文进行内容监控过滤处理之后还包括:第二CPU处理器识别监控过滤结果,对于监控过滤结果异常的情况,生成通知消息发送给管理控制单元,所述管理控制单元根据通知消息生成相应的会话转发策略并发送给所述第一CPU处理器,所述第一CPU处理器根据接收到的会话转发策略进行后续处理;对于监控过滤结果正常的情况,所述第一CPU处理器根据预设的会话转发策略进行后续处理。
或者,所述报文进行内容监控过滤处理之后还包括:第一CPU处理器的副核识别监控过滤结果,对于监控过滤结果异常的情况,生成通知消息发送给管理控制单元,所述管理控制单元根据通知消息生成相应的会话转发策略并发送给所述第一CPU处理器的主核,所述第一CPU处理器的主核根据接收到的会话转发策略进行后续处理;对于监控过滤结果正常的情况,所述第一CPU处理器的主核根据预设的会话转发策略进行后续处理。
由上述技术方案可知,本发明通过将内容监控过滤与会话转发系统分离的方式,采用不同的CPU处理器,具有以下有益效果:
1、使防火墙能够针对报文内容进行检测、过滤;
2、显著的提高了防火墙系统的吞吐量和稳定性;
3、通过镜像复制,使内容监控过滤处理的故障不会影响到整体的转发处理,提高了防火墙的性能;
4、通过分离管理控制功能,能够快速的通过防火墙制定规则。
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
附图说明
图1为现有技术中防火墙的硬件逻辑示意图;
图2为现有技术中防火墙会话转发系统的示意图;
图3为本发明所提供的分布式防火墙系统实施例1的系统框图;
图4为图3中会话转发系统实施例的系统框图;
图5为图4中会话转发单元实施例的系统框图;
图6为本发明所提供的分布式防火墙系统实施例2的系统框图;
图7为本发明所提供的分布式防火墙系统实施例3的硬件示意图;
图8为本发明所提供的分布式防火墙系统实施例3的系统框图;
图9为本发明所提供的实现防火墙内容检测的方法一个具体实施例的流程图。
具体实施方式
随着芯片技术和网络技术的发展,多核CPU处理器以及多CPU处理器已经被越来越多的应用于网络设备中,以处理更多的业务,提高网络设备的性能。本发明基于多核CPU处理器和多CPU处理器,提出了分布式防火墙系统以及实现防火墙内容检测的方法。下面分别进行说明。
为了适应防火墙进行内容检测的需求,本发明提供了将内容监控过滤与防火墙会话转发功能分离的分布式防火墙系统,参见图3,为本发明所提供的分布式防火墙系统实施例1的框图,包括相互连接的会话转发系统1和内容监控过滤模块2,该会话转发系统1运行于第一CPU处理器A中,内容监控过滤模块2运行于第二CPU处理器B中。即在硬件上采用分布式设计,采用一个独立的CPU处理器或者是CPU插卡,将防火墙系统中的内容监控过滤模块分离出来;由于不同CPU是独立的,具有自己的内存,从而采用独立的CPU对报文的内容进行处理和过滤,能够减轻会话转发系统所在CPU处理器的负担,以适应防火墙发展的需求。
在实施例1中,第一CPU和第二CPU之间采用GE总线连接,GE总线是报文高速互连总线,能够高速的进行报文的传递,从而提高效率。但本领域技术人员应当了解,采用GE总线虽然能够获得较佳的技术效果,但并不意味着对其他类型总线的采用限制。
对于会话转发系统1,可以采用传统防火墙的会话转发系统,如图4所示,包括管理控制单元12和会话转发单元11;该管理控制单元12负责对防火墙其他各个模块的配置,包括与内容监控过滤模块2连接,用于根据监控过滤结果生成相应的会话转发策略;与所述会话转发单元11连接,用于为会话转发单元11提供预设的内容监控过滤条件,并提供会话转发策略以及包括会话表的生成、下发和老化等的会话表管理;因此,管理控制单元12可以分为两个模块,相互连接的管理控制模决121和会话管理模块122,会话管理模块122负责报文的会话表的创建、删除、更新和老化,其老化进程是按照管理控制模块121配置的时钟及其会话的活动状态进行。
会话转发单元11用于根据管理控制单元12提供的策略进行会话转发,如图5所示,为其一个实施例的框图,包括报文接收模块111,与所述内容监控过滤模块2连接,用于接收通过防火墙的报文;报文过滤模块112,与所述报文接收模块111及管理控制单元12连接,具体为与管理控制模块121连接,用于根据管理控制模块121提供的会话转发策略,进行报文过滤;NAT处理模块113,与所述报文过滤模块112及管理控制单元12连接,具体为与管理控制模块121连接,用于根据管理控制模块121预先配置的NAT地址池,进行报文源IP地址与目的地址的转换以及循环冗余校验码的重新生成;会话转发跟踪检测模块114,与所述NAT处理模块113及管理控制单元12连接,具体为与会话管理模块122连接,根据会话管理模块122提供的会话表及会话管理模块122从管理控制模块121获取的会话转发策略进行会话跟踪检测,或者,会话转发跟踪检测模块114与管理控制单元12的连接也可以表现为同时与管理控制模块121以及会话管理模块122连接,获得会话表及会话转发策略,本领域技术人员应当理解,这种直接连接或者间接连接的区别并不影响本发明的技术方案;会话转发模块115,与所述会话转发跟踪检测模块114及管理控制单元12连接,具体为与管理控制模块121连接,根据会话转发策略将报文发送出去。
对于内容监控过滤模块2,与所述会话转发系统1连接,用于根据预设的内容监控过滤条件,比如管理控制模块12配置的报文内容特征库或者内容监控过滤模块2自身配置的报文内容特征库,对会话转发系统1中的报文进行内容监控过滤处理,并将监控过滤结果发送给所述会话转发系统1。这是一个及其耗费CPU计算的部分,因此独立处理可以有效避免现有技术中单一CPU造成网络拥塞,以及由此导致的无法进行报文内容检测的问题。
通过实施例1可以看出,本发明所提供的分布式防火墙系统能够针对报文内容进行检测,发现报文中的病毒、木马和漏洞等,显著的提高了防火墙的性能。同时,分布式的CPU处理器,基于各自的内存,能够显著提高防火墙系统的吞吐量,可达到千兆以上。并且,由于克服了传统技术中进行内容检测导致系统崩溃或者拥塞的缺陷,因此通过本发明所提供的分布式防火墙系统,稳定性也获得了提高。
进一步的,结合多核CPU处理器的设计,更佳的分布式防火墙系统还包括镜像复制模块(图中未示),分别与所述会话转发系统1和内容监控过滤模块2连接,用于对会话转发系统1中的报文进行镜像复制,将复制后的报文发送给所述内容监控过滤模块。由于镜像复制模块3是通过镜像方式复制报文,使内容监控过滤模块在并联的方式下工作,所以如果第二CPU处理器B出现故障情况,不会影响防火墙的正常转发,即使此时不能对转发报文进行内容检测,但无疑提高了防火墙系统的安全性和稳定性。
参见图6,为分布式防火墙系统实施例2的框图,CPU处理器A采用双核或者多核处理器,即将双核或者多核CPU处理器应用于会话转发系统1,多核CPU处理器A的一个核A1用于会话转发单元11和管理控制模块12,另一个核A2用于镜像复制模块3,用于与内容监控过滤模块2配合。本领域技术人员容易理解,本实施例虽然以两个CPU核为例,但并不意味着采用双核处理器,多核处理器一样适用于本发明所提供的分布式防火墙系统。在本实施例2中所用到的两个CPU核中,由于A1执行的是传统防火墙的一般会话转发功能,因此可以称为主核;A2执行的是新引入的功能,因此可以称为副核。
对于镜像复制模块3,用于对会话转发系统1中的报文进行镜像复制,将复制后的报文发送给所述内容监控过滤模块2。同时,镜像复制模块3还负责在复制过程中对报文进行CRC校验以及报文头的检测,以及负责动态路由表的处理以及地址解析协议(Address Resolution Protocol,简称ARP)表生成及下发给会话转发系统1,用于会话转发。
由于镜像复制模块3是通过镜像方式复制报文,使内容监控过滤模块在并联的方式下工作,所以如果副核A2或者第二CPU处理器B出现故障情况,都不会影响防火墙的正常转发,进一步提高了防火墙系统的安全性和稳定性。
在本实施例2中,镜像复制模块3还可以用于接收内容监控过滤模块2的发送的监控过滤结果,转发给所述会话转发系统1;或者,监控过滤结果也可以不通过镜像复制模块3,而由内容监控过滤模块2直接发送给会话转发系统;无论采取哪一种方式,都不影响本发明技术方案的实现。
参见图7,为分布式防火墙系统实施例3的硬件示意图。在本实施例中,管理控制单元12运行在第三CPU处理器C中,同会话转发单元11分离,能够快速地通过防火墙制定规则,从而进行过滤。这样,即使管理控制单元12本身出现故障,不会对CPU处理器A中的报文转发造成影响。分离后,会话转发单元11的功能同实施例1基本相同,即负责NAT处理、会话状态跟踪处理以及会话转发模块处理,唯一区别的部分是,当会话产生的时候,需要会话转发单元生成会话消息,并将该消息发送给设在第三CPU处理器C的管理控制单元12中。参见图8,为本实施例的系统框图。
在本实施例中,CPU处理器A和C、B和C之间采用外围设备接口(Peripheral Component Interface,简称PCI)总线进行连接,实现管理控制。本领域技术人员应当理解,CPU处理器之间同样可以采用其他的系统总线,实现控制指令的传递。
在实施例3中,由于CPU处理器具有各自独立的内存,因此能够提高系统的吞吐量。相应的,也可以将管理控制单元12运行于第一CPU处理器A中,主核与副核之外的第三CPU核中。虽然不具有独立的内存,但仍然能够实现管理控制功能的分离,则管理控制单元12的故障也同样不会影响到防火墙正常的转发功能。
本发明还提供了实现防火墙内容检测的方法,第二CPU处理器获取所述第一CPU处理器接收的报文,根据预设的内容监控过滤条件对所述报文进行内容监控过滤处理,并将监控过滤结果发送给所述第一CPU处理器。通过本发明所提供的方法,能够将防火墙的报文转发功能与内容监控过滤分离,从而克服现有技术中进行报文内容监控导致系统拥塞崩溃的缺陷,真正实现报文内容的监控过滤。
为了避免内容监控过程中的系统质量下滑给整个防火墙过滤带来影响,本实施例中第二CPU处理器获取所述第一CPU处理器接收的报文可以包括:所述第一CPU处理器镜像复制接收的报文,并发送给所述第二CPU处理器。其中,进行镜像复制时还可以包括:对报文进行循环冗余码校验及报文头检测。
进一步的,随着多核技术的发展,为了有效利用核间的数据高速传递,以及避免对内容监控过滤的处理影响到正常的报文转发,因此,当第一CPU采用多核系统时,第二CPU处理器获取所述第一CPU处理器接收的报文的步骤可以包括:所述第一CPU处理器的主核在收到报文后,向所述第一CPU处理器的副核发送报文中断信息;所述副核根据所述报文中断信息获知受到报文,查找所述报文的内存地址,并对所述报文进行镜像复制;所述副核将复制的报文发送给所述第二CPU处理器。
对于将管理控制单元分离的情况,为了使管理控制单元能够及时获知报文情况,则第一CPU处理器或者第一CPU处理器的主核在收到报文后,还包括第一CPU处理器生成会话消息并发送给管理控制单元的步骤。
无论是否采用多核技术,或者管理控制单元是否分离,对所述报文进行内容监控过滤处理都可以包括:根据预设的内容监控过滤条件进行报文内容监控,发现不符合所述内容监控过滤条件的异常报文时,对所述异常报文进行标记。其中,内容监控过滤条件可以为管理控制单元配置并下发的报文内容特征库或者是内容监控过滤模块自身配置的报文内容特征库,当发现异常报文,比如内容异常、木马或者病毒等,就对该异常报文进行标记。
对所述报文进行内容监控过滤处理之后还包括:第二CPU处理器识别监控过滤结果,对于监控过滤结果异常的情况,比如存在标记的异常报文,生成通知消息发送给管理控制单元,所述管理控制单元根据通知消息生成相应的会话转发策略并发送给所述第一CPU处理器,所述第一CPU处理器根据接收到的会话转发策略进行后续处理;对于监控过滤结果正常的情况,所述第一CPU处理器根据预设的会话转发策略进行后续处理,所述后续处理可以报文过滤、NAT处理、会话转发跟踪检测以及会话转发处理等,但并不限于上述处理操作。
或者,第二CPU处理器直接将标记通过GE总线返回给第一CPU处理器。第一CPU处理器根据会话转发策略进行后续处理,包括:
第一CPU处理器的副核识别监控过滤结果,对于监控过滤结果异常的情况,生成通知消息发送给管理控制单元,所述管理控制单元根据通知消息生成相应的会话转发策略并发送给所述第一CPU处理器的主核,所述第一CPU处理器的主核根据接收到的会话转发策略进行后续处理,包括丢弃、继续转入深度处理等;对于监控过滤结果正常的情况,所述第一CPU处理器的主核根据预设的会话转发策略进行后续处理,所谓预设的会话转发策略是指管理控制单元预设的会话转发策略,所述后续处理可以包括报文过滤、NAT处理、会话转发跟踪检测以及会话转发处理,同样并不限于上述处理操作。
参见图9,为本发明所提供的种实现防火墙内容检测的方法,在采用了多核处理器并且管理控制单元分离的情况下一个具体实施例的流程图,包括以下步骤:
步骤101、第一CPU处理器的主核在收到报文后,向所述第一CPU处理器的副核发送报文中断信息,以及生成会话消息并发送给管理控制单元;
步骤102、副核根据所述报文中断信息获知受到报文,查找所述报文的内存地址,并对所述报文进行镜像复制,包括对报文进行循环冗余码校验及报文头检测;
步骤103、副核将复制的报文发送给所述第二CPU处理器;
步骤104、第二CPU处理器根据预设的内容监控过滤条件进行报文内容监控,并将监控过滤结果发送给所述第一CPU处理器;
步骤105、第一CPU处理器的副核识别监控过滤结果,对于符合内容监控过滤条件的,执行步骤108,对于不符合内容监控过滤条件的,执行步骤106;
步骤106、副核生成通知消息发送给管理控制单元;
步骤107、管理控制单元根据通知消息生成相应的会话转发策略并发送给所述第一CPU处理器的主核;
步骤108、第一CPU处理器的主核根据接收到的会话转发策略进行后续处理。
最后应说明的是:以上实施例仅用以说明本发明的技术方案而非对其进行限制,尽管参照较佳实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对本发明的技术方案进行修改或者等同替换,而这些修改或者等同替换亦不能使修改后的技术方案脱离本发明技术方案的精神和范围。
Claims (16)
1.一种分布式防火墙系统,包括会话转发系统;其特征在于还包括内容监控过滤模块,所述内容监控过滤模块与所述会话转发系统连接,用于根据预设的内容监控过滤条件,对会话转发系统中的报文进行内容监控过滤处理,并将监控过滤结果发送给所述会话转发系统;
所述会话转发系统与所述内容监控过滤模块分别运行于第一CPU处理器和第二CPU处理器中;
所述分布式防火墙系统还包括镜像复制模块,分别与所述会话转发系统和内容监控过滤模块连接,用于对会话转发系统中的报文进行镜像复制,将复制后的报文发送给所述内容监控过滤模块。
2.根据权利要求1所述的分布式防火墙系统,其特征在于所述第一CPU处理器为双核或者多核CPU处理器;所述会话转发系统运行于所述第一CPU处理器的主核中,所述镜像复制模块运行于所述第一CPU处理器的副核中。
3.根据权利要求1或2所述的分布式防火墙系统,其特征在于所述镜像复制模块和所述内容监控过滤模块通过GE总线连接。
4.根据权利要求1所述的分布式防火墙系统,其特征在于所述CPU处理器之间通过PCI总线连接。
5.根据权利要求1-2任一所述的分布式防火墙系统,其特征在于所述会话转发系统包括管理控制单元和会话转发单元;
所述管理控制单元与所述内容监控过滤模块连接,用于根据监控过滤结果生成相应的会话转发策略;所述管理控制单元还与所述会话转发单元连接,用于提供会话转发策略和会话表管理;
所述会话转发单元用于根据会话转发策略及会话表进行会话转发。
6.根据权利要求5所述的分布式防火墙系统,其特征在于所述会话转发单元包括:
报文接收模块,与所述内容监控过滤模块连接,用于接收通过防火墙的报文;
报文过滤模块,与所述报文接收模块及管理控制单元连接,用于根据管理控制单元提供的会话转发策略,进行报文过滤;
NAT处理模块,与所述报文过滤模块及管理控制单元连接,用于根据管理控制单元预先配置的NAT地址池,进行报文源IP地址与目的地址的转换以及循环冗余校验码的重新生成;
会话转发跟踪检测模块,与所述NAT处理模块及管理控制单元连接,根据管理控制单元提供的会话表及会话转发策略进行会话跟踪检测;
会话转发模块,与所述会话转发跟踪检测模块及管理控制单元连接,根据会话转发策略将报文发送出去。
7.根据权利要求6所述的分布式防火墙系统,其特征在于所述管理控制单元包括相互连接的会话管理模块和管理控制模块;所述会话管理模块还与所述会话转发跟踪检测模块连接,负责会话表的创建、删除、更新和老化。
8.一种分布式防火墙系统,包括会话转发系统;其特征在于还包括内容监控过滤模块,所述内容监控过滤模块与所述会话转发系统连接,用于根据预设的内容监控过滤条件,对会话转发系统中的报文进行内容监控过滤处理,并将监控过滤结果发送给所述会话转发系统;
所述分布式防火墙系统还包括镜像复制模块,分别与所述会话转发系统和内容监控过滤模块连接,用于对会话转发系统中的报文进行镜像复制,将复制后的报文发送给所述内容监控过滤模块;
所述会话转发系统包括管理控制单元和会话转发单元;
所述管理控制单元与所述内容监控过滤模块连接,用于根据监控过滤结果生成相应的会话转发策略;所述管理控制单元还与所述会话转发单元连接,用于提供会话转发策略和会话表管理;所述会话转发单元用于根据会话转发策略及会话表进行会话转发;
所述会话转发系统的会话转发单元运行于第一CPU处理器,所述会话转发系统的管理控制单元运行于第三CPU处理器,所述内容监控过滤模块运行于第二CPU处理器;或者当所述第一CPU处理器为多核处理器时,所述会话转发单元运行于第一CPU处理器的主核中,所述镜像复制模块运行于所述第一CPU处理器的副核中,所述管理控制单元运行于所述第一CPU处理器的第三CPU核中,所述内容监控过滤模块运行于第二CPU处理器。
9.根据权利要求8所述的分布式防火墙系统,其特征在于所述会话转发单元包括:
报文接收模块,与所述内容监控过滤模块连接,用于接收通过防火墙的报文;
报文过滤模块,与所述报文接收模块及管理控制单元连接,用于根据管理控制单元提供的会话转发策略,进行报文过滤;
NAT处理模块,与所述报文过滤模块及管理控制单元连接,用于根据管理控制单元预先配置的NAT地址池,进行报文源IP地址与目的地址的转换以及循环冗余校验码的重新生成;
会话转发跟踪检测模块,与所述NAT处理模块及管理控制单元连接,根据管理控制单元提供的会话表及会话转发策略进行会话跟踪检测;
会话转发模块,与所述会话转发跟踪检测模块及管理控制单元连接,根据会话转发策略将报文发送出去。
10.根据权利要求9所述的分布式防火墙系统,其特征在于所述管理控制单元包括相互连接的会话管理模块和管理控制模块;所述会话管理模块还与所述会话转发跟踪检测模块连接,负责会话表的创建、删除、更新和老化。
11.一种实现防火墙内容检测的方法,其特征在于包括以下步骤:
第二CPU处理器获取第一CPU处理器接收的报文,根据预设的内容监控过滤条件对所述报文进行内容监控过滤处理,并将监控过滤结果发送给所述第一CPU处理器;所述第二CPU处理器获取所述第一CPU处理器接收的报文包括:所述第一CPU处理器镜像复制接收的报文,并发送给所述第二CPU处理器。
12.根据权利要求11所述的方法,其特征在于所述第一CPU处理器镜像复制接收的报文,并发送给所述第二CPU处理器具体为:
所述第一CPU处理器的主核在收到报文后,向所述第一CPU处理器的一副核发送报文中断信息;
所述副核根据所述报文中断信息查找所述报文的内存地址,并对所述报文进行镜像复制;
所述副核将复制的报文发送给所述第二CPU处理器。
13.根据权利要求11或12所述的方法,其特征在于进行镜像复制时还包括:对报文进行循环冗余码校验及报文头检测。
14.根据权利要求11所述的方法,其特征在于对所述报文进行内容监控过滤处理包括:根据预设的内容监控过滤条件进行报文内容监控,发现不符合所述内容监控过滤条件的异常报文时,对所述异常报文进行标记。
15.根据权利要求11或14所述的方法,其特征在于对所述报文进行内容监控过滤处理之后还包括:第二CPU处理器识别监控过滤结果,对于监控过滤结果异常的情况,生成通知消息发送给管理控制单元,所述管理控制单元根据通知消息生成相应的会话转发策略并发送给所述第一CPU处理器,所述第一CPU处理器根据接收到的会话转发策略进行后续处理;对于监控过滤结果正常的情况,所述第一CPU处理器根据预设的会话转发策略进行后续处理。
16.根据权利要求11或14所述的方法,其特征在于对所述报文进行内容监控过滤处理之后还包括:第一CPU处理器的副核识别监控过滤结果,对于监控过滤结果异常的情况,生成通知消息发送给管理控制单元,所述管理控制单元根据通知消息生成相应的会话转发策略并发送给所述第一CPU处理器的主核,所述第一CPU处理器的主核根据接收到的会话转发策略进行后续处理;对于监控过滤结果正常的情况,所述第一CPU处理器的主核根据预设的会话转发策略进行后续处理。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200710063822A CN101014048B (zh) | 2007-02-12 | 2007-02-12 | 分布式防火墙系统及实现防火墙内容检测的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200710063822A CN101014048B (zh) | 2007-02-12 | 2007-02-12 | 分布式防火墙系统及实现防火墙内容检测的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101014048A CN101014048A (zh) | 2007-08-08 |
| CN101014048B true CN101014048B (zh) | 2010-05-19 |
Family
ID=38701329
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200710063822A Expired - Fee Related CN101014048B (zh) | 2007-02-12 | 2007-02-12 | 分布式防火墙系统及实现防火墙内容检测的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101014048B (zh) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102006569A (zh) * | 2009-09-03 | 2011-04-06 | 北京中交兴路信息科技有限公司 | 基于无线数据传输的信息过滤装置及方法 |
| CN101834843B (zh) * | 2010-03-18 | 2012-12-05 | 吉林大学 | 建立防火墙吞吐率与过滤规则条数和排列顺序关系的方法 |
| US8887263B2 (en) * | 2011-09-08 | 2014-11-11 | Mcafee, Inc. | Authentication sharing in a firewall cluster |
| CN103618733B (zh) * | 2013-12-06 | 2017-06-27 | 北京中创腾锐技术有限公司 | 一种应用于移动互联网的数据过滤系统及方法 |
| CN105591986A (zh) * | 2015-08-26 | 2016-05-18 | 杭州华三通信技术有限公司 | 一种碎报处理方法及装置 |
| CN105939274A (zh) * | 2016-05-17 | 2016-09-14 | 杭州迪普科技有限公司 | 报文转发方法及装置 |
| CN109246057B (zh) * | 2017-07-10 | 2021-01-08 | 东软集团股份有限公司 | 报文转发方法、装置、转发系统、存储介质及电子设备 |
| CN109558366B (zh) * | 2018-11-15 | 2023-03-31 | 浙江国利网安科技有限公司 | 一种基于多处理器架构的防火墙 |
| CN111935300B (zh) * | 2020-08-19 | 2021-09-14 | 腾讯科技(深圳)有限公司 | 报文处理方法、装置、计算机设备及存储介质 |
| CN113709135B (zh) * | 2021-08-24 | 2023-02-07 | 杭州迪普科技股份有限公司 | Ssl流量审计采集系统与方法 |
| CN115834091A (zh) * | 2021-09-16 | 2023-03-21 | 华为云计算技术有限公司 | 网络流量控制方法以及相关系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1317119A (zh) * | 1998-07-02 | 2001-10-10 | 埃弗内特集团股份有限公司 | 控制内部与外部网络之间的网络数据包通讯的防火墙设备和方法 |
| US6922786B1 (en) * | 2000-10-31 | 2005-07-26 | Nortel Networks Limited | Real-time media communications over firewalls using a control protocol |
| CN1879388A (zh) * | 2003-11-24 | 2006-12-13 | 思科技术公司 | 双模式防火墙 |
-
2007
- 2007-02-12 CN CN200710063822A patent/CN101014048B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1317119A (zh) * | 1998-07-02 | 2001-10-10 | 埃弗内特集团股份有限公司 | 控制内部与外部网络之间的网络数据包通讯的防火墙设备和方法 |
| US6922786B1 (en) * | 2000-10-31 | 2005-07-26 | Nortel Networks Limited | Real-time media communications over firewalls using a control protocol |
| CN1879388A (zh) * | 2003-11-24 | 2006-12-13 | 思科技术公司 | 双模式防火墙 |
Non-Patent Citations (2)
| Title |
|---|
| 苏伟等.基于网络处理器的防火墙实现方案的研究.北方交通大学学报26 3.2002,26(3),40-43. |
| 苏伟等.基于网络处理器的防火墙实现方案的研究.北方交通大学学报26 3.2002,26(3),40-43. * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101014048A (zh) | 2007-08-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101014048B (zh) | 分布式防火墙系统及实现防火墙内容检测的方法 | |
| JP4786371B2 (ja) | ネットワーク中継装置 | |
| US7764599B2 (en) | Network routing device and network routing method | |
| CN101588304B (zh) | 一种vrrp的实现方法和设备 | |
| US9032240B2 (en) | Method and system for providing high availability SCTP applications | |
| JP5811995B2 (ja) | 通信システムおよびネットワーク中継装置 | |
| EP2696542A1 (en) | Method, ToR switch, and system for implementing protection switchover based on TRILL network | |
| CN104283780B (zh) | 建立数据传输路径的方法和装置 | |
| CN110011941B (zh) | 一种报文转发方法及设备 | |
| WO2016146022A1 (en) | Preventing multiple conflicting stacks | |
| US20100189114A1 (en) | Network communication node | |
| CN107332793B (zh) | 一种报文转发方法、相关设备及系统 | |
| JP2007208502A (ja) | 通信システム、バックアップルータ、その冗長化処理プログラムおよびその冗長化処理方法 | |
| US20100082875A1 (en) | Transfer device | |
| WO2009079933A1 (fr) | Procédé et dispositif de traitement de message | |
| CN101753456B (zh) | 一种对等网络流量检测方法及其系统 | |
| US7161900B2 (en) | Redundant ethernet transmission line system | |
| US8693483B2 (en) | Adjusting MSS of packets sent to a bridge device positioned between virtual and physical LANS | |
| WO2012171397A1 (zh) | 一种链路保护方法及装置 | |
| US20230047971A1 (en) | Packet transmission method and communication device | |
| CN111786819A (zh) | 一种具有双网口冗余功能的串口服务器 | |
| CN114979036B (zh) | 一种基于心跳和隔离交换矩阵的网闸的双机热备系统 | |
| CN108040132B (zh) | RapidIO转万兆网关协议实现的系统 | |
| CN109361781B (zh) | 报文转发方法、装置、服务器、系统及存储介质 | |
| CN214959613U (zh) | 一种负载均衡设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: Huasan Communication Technology Co., Ltd. |
|
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100519 Termination date: 20200212 |