CN101958903A - 一种基于soc及并行虚拟防火墙的高性能防火墙实现方法 - Google Patents

一种基于soc及并行虚拟防火墙的高性能防火墙实现方法 Download PDF

Info

Publication number
CN101958903A
CN101958903A CN 201010501170 CN201010501170A CN101958903A CN 101958903 A CN101958903 A CN 101958903A CN 201010501170 CN201010501170 CN 201010501170 CN 201010501170 A CN201010501170 A CN 201010501170A CN 101958903 A CN101958903 A CN 101958903A
Authority
CN
China
Prior art keywords
firewall
fire compartment
compartment wall
security
packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN 201010501170
Other languages
English (en)
Other versions
CN101958903B (zh
Inventor
傅涛
陈志军
张敏
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Yancheng sufute Software Technology Co. Ltd.
Original Assignee
Nanjing Botong S & T Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nanjing Botong S & T Co Ltd filed Critical Nanjing Botong S & T Co Ltd
Priority to CN 201010501170 priority Critical patent/CN101958903B/zh
Publication of CN101958903A publication Critical patent/CN101958903A/zh
Application granted granted Critical
Publication of CN101958903B publication Critical patent/CN101958903B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明提出了一种新型的高性能防火墙实现方法,该方法采用带有SDRM接口的FPGA芯片,作为防火墙数据包的预处理器,实现基于硬件芯片的包过滤,从而有效地提高了防火墙的数据包吞吐性能,同时本技术采用虚拟机技术,实现多个并行的虚拟防火墙,可对所保护的网络空间进行划分,针对不同网段分别配置虚拟防火墙,进行独立的安全配置管理,提高了防火墙并行处理与检测能力,同时基于虚拟机的安全管理扩展功能,可以实现更多安全保护功能与更细粒度的安全保护能力。

Description

一种基于SOC及并行虚拟防火墙的高性能防火墙实现方法
技术领域:
本发明涉及到一种新型的高性能防火墙实现技术,本技术采用SOC技术及操作系统实现IPV6/IPV4双栈,实现对IPv6,IPv6/IPv4网络环境的支持;同时采用并行虚拟机的架构,实现对高速网络数据包处理的并行方式,提高防火墙的吞吐率,实现细粒度的状态检测;本技术支持多防火墙的协同,自动化的策略配置,实现防火墙策略的自动映射与冲突检测,实现更有效的安全保护功能。
背景技术:
随着我国网络建设发展,与下一代互联网协议IPv6技术的逐步应用。高速网络对防火墙的性能提出了更高的要求,防火墙放置在网络的进入点,监测进出目标网络的数据包,对数据包的取舍做出决定,因此防火墙的性能对于被保护网络与外界数据传输速率有着至关重要的作用。面向下一代的高速网络,防火墙在数据包监测方面的性能必须要对跨跃式的升级。
随着下一代IPv6网络的应用,使得将来很长的一段时间内,IPv6与IPv4网络会并存很长一段时间。因此下一代的防火墙必须要能实现对混合网络环境的安全保护。同时由于现在网络应用结构的复杂化,同一组织的网络可能会有多个进入点与边界保护点,为了实现组织的统一安全保障,一个组织可能要部署多个防火墙,从而带来了管理维护上的困难,增加了设备成本。
针对以上问题,本技术通过虚拟机技术,以单个物理服务器作为宿主机,使用宿主机的操作系统及其资源,通过软件的方式虚拟实现的防火墙。本技术可以在一台防火墙服务器中虚拟出多个防火墙,而每个防火墙通过配置实现对不同网段的安全保护,从而实现了购买一台物理防火墙,配置多个防火墙的功能,解决了上述的复杂网络应用环境给防火墙应用带来的维护、管理/成本问题。
为了面向高速网络提供防火墙保护,本技术基于FPGA实现了具备高速数据包分发、数据包预处理功能SOC芯片,一块FPGA芯片上实现了双栈的包协议解析、基于源/目标地址过滤、基于多字符串模式匹配过滤,会话队列缓冲与管理等功能,有效地提高了本技术的防火墙产品的数据包吞吐率,实现面向高速网络的防火墙产品。
发明内容
本发明的目的在于:
实现一种新型的高性能防火墙实现技术,该防火墙能适用下一代传输速率超过1Gb/s以上的高速网络环境,且本技术实现的防火墙产品依据硬件与操作系统的IPv4/IPv6双协议栈,可以同时适用IPv4网络,IPv6网络及IPv4/IPv6混合网络。本技术以SOC芯片实现的数据包分发处理器,包预处理器为基础,采用虚拟机技术实现并行多虚拟防火墙架构,适合多接入点,多网段的复杂的网络环境以及降低网络安全设备成本,从而实现了一种高性能的高速网络防火墙。
本发明的目的是这样实现的:
一种基于SOC及并行虚拟防火墙的高性能防火墙实现方法,包括步骤:
步骤1)采用SOC硬件芯片作为防火墙数据包的预处理器,先对网络数据包进行过滤;
步骤1.1)由含有IPv4/IPv6协议的高速网络数据包分发器,作为网络接口来接收的网络数据包,并根据包的源/目的地位、以及防火墙安全管理策略的配置,将数据包分发至各数据包预处理芯片的内存空间;
步骤1.2)由防火墙数据包预处理芯片根据防火墙用户的配置规则,对输入数据包的过滤;采用硬件匹配来对数据包预处理,这是本防火墙的第一道过滤功能节点;
步骤2)由并行虚拟防火墙对预处理的数据包进一步处理:
所述并行虚拟防火墙包括多个由虚拟机实现的防火墙;各个虚拟防火墙独立配置;所述并行虚拟防火墙设有安全操作系统;
虚拟防火墙接收预处理器发送来的数据包,进行独立的、基于状态的安全监测,保护各虚拟防火墙各自所辖范围内的网络资源安全;
各个虚拟防火墙之间根据网络的实时情况,进行协作进一步提供防火墙的保护能力。
所述并行虚拟防火墙还具有基于虚拟机的安全功能扩展:该安全功能扩展是在防火墙功能之外,基于虚拟机技术,实现VPN、IPSec、病毒、木马和垃圾邮件的过滤。
所述并行虚拟防火墙中,通过虚拟机的配置,以及服务质量管理,根据网络实时情况分配各个虚拟防火墙的处理任务。
对本防火墙的管理是基于网络实现的,管理的内容包括:
安全日志管理:实现防火墙的安全日志管理与数据备份;
防火墙策略的配置与管理:提供策略配置与冲突分析支持等功能;
警报与分析支持:主要提供多种安全警报与安全事件的分析支持。
所述防火墙策略的配置与管理中,防火墙策略制定与冲突消解:
先由用户从顶层开始对受保护的目标网络进行域划分得到的多个域,每个域对应一个虚拟防火墙,以及由用户再根据域中允许的服务定义服务对象,描述服务所对应的网络设备及其端口,以及其它相关属性来定义策略组;
再由以下算法直接将策略组映射成防火墙规则,同时执行冲突消解,再后自动配置到各虚拟防火墙与包预处理器中,该算法的步骤如下:
a.用户首先制定本组织的安全保护总目标;
b.用户划分与标识本组织内的安全域、信息资源、应用服务、以及用户角色分类,并根据总安全目标,确定以上各分类彼此的基本关联关系;
c.由各分类建立安全管理目标抽象类,包括安全域类、信息资源类、应用服务类、用户角色类;
d.由关联关系建立安全关联抽象类,表述各抽象类之间的条件关联;
e.针对以上建立的抽象类,由抽象到具体,自顶向下,建立具体类生成安全域对象、信息资源对象、应用服务对象、用户角色对象,以及安全关联对象;
f.由安全关联对象实现安全域对象、信息资源对象、应用服务对象、用户角色对象之间的条件关联对象;
g.由以上抽象类、安全关联抽象类,安全域对象等安全目标对象、安全关联对象映射生成由抽象规则及具体规则,实现防火墙规则的映射生成。
h.同时检查规则中可以出现的冲突,抽象规则优先级高于具体规则,实现防火墙规则的冲突消解。
所述步骤1)中,SOC硬件芯片是带有SDRM接口的FPGA芯片;所述各个预处理器采用硬件并行的处理方式。
与现有技术相比,本方法采用硬件芯片(带有SDRM接口的FPGA芯片),作为防火墙数据包的预处理器,实现基于硬件芯片的包过滤,从而有效地提高了防火墙的数据包吞吐性能,同时本技术采用虚拟机技术,实现多个并行的虚拟防火墙,可对所保护的网络空间进行划分,针对不同网段分别配置虚拟防火墙,进行独立的安全配置管理,提高了防火墙并行处理与检测能力,同时基于虚拟机的安全管理扩展功能,可以实现更多安全保护功能与更细粒度的安全保护能力。
附图说明;
图1本发明的功能模块结构图
图2本发明的系统结构图
图3本发明的包预处理器结构图
具体实施方式:
下面结合附图与具体实施方式对本发明作进一步说明:
步骤1:实现高速网络数据包分发器:该芯片采用FPGA实现,包含IPv4/IPv6双协议栈,实现对数据包的初步解析,根据包的源/目的地位、以及防火墙安全管理策略的配置,将数据包分发至各数据包预处理芯片的内存空间;
步骤2:实现防火墙数据包预处理芯片:该芯片为基于FPGA设计的可重配置的数据包过滤器,主要包括协议分析器、数据包过滤器、数据包负载过滤器、可扩展模块、队列管理模块、流队列管理、虚拟防火墙内存映射模块,实现防火墙的第一道包过滤,提高防火墙数据包吞吐率;
步骤3:提供安全操作系统,作为虚拟机的安全运行支撑环境;作为虚拟防火墙所在的运行环境宿主,通过系统加密与内存安全管理,系统漏洞管理,虚拟机进程空间安全保护等技术手段实现的安全操作系统环境,以保障虚拟防火墙的自身安全;
步骤4:虚拟机防火墙的实现;采用虚拟机技术实现的防火墙功能模块,接收数据包预处理器发送的数据包,实现独立的、基于状态的安全监测,保护其所辖范围内的网络资源安全,且各个虚拟防火墙之间可以根据网络的实时情况,在统一的防火墙安全策略管理下,进行协作进一步提供防火墙的保护能力。
步骤5:基于虚拟机的安全功能扩展:该部分是在防火墙功能之外,基于虚拟机技术,实现诸如VPN,IPSec等其它安全功能模块,这些安全功能都可以通过本技术的虚拟机架构予以实现;
步骤6:虚拟机管理功能模拟的实现:该功能模块主要是用来实现防火墙中虚拟机的配置,以及必要的服务质量管理,根据网络实时情况分配虚拟防火墙的处理任务;
步骤7:防火墙管理功能模块的实现:该功能模块可基于网络实现对防火墙的系统管理,其中包括安全日志管理,实现防火墙的安全日志管理与数据备份;防火墙策略的配置与管理,提供图形化界面的策略配置与冲突分析支持等功能。警报与分析支持,主要提供多种安全警报与安全事件的分析支持。
本发明的改进还在于:
1.支持IPv6,IPv4/IPv6混合网络环境的通讯技术:实现了对IPV6,IPV4/IPV6混合网络应用环境的支持,适应网络技术升级趋势:作为下一代的互联网技术IPV6必将得到广泛应用,本技术培训创造性采用了混合网络协议栈的方式同时支持技术,使得本技术实现的防火墙产品能更好的适应未来的网络应用环境。
2.对高速网络的支持:本技术采用了带有SDRM接口的FPGA芯片,实现基于硬件芯片的包过滤,作为防火墙预处理数据包的加速器,从二个方面有效地提高了防火墙的整体性能。一是,预处理器采用硬件并行的处理方式,有效的提高了防火墙的整体数据处理能力,另一方面预处理器中包含流的管理,节省了虚拟防火墙的资源,也为虚拟防火墙实现细粒度的检测与多安全功能集成提供了有力的支持。
3.支持混合网络环境的安全保护:可以预见到IPv6网络即使成为网络的主流技术,在将来很长的一段时间内,IPv6与IPv4网络一定会因为网络软硬件升级过渡的原因,将会并存很长一段时间。因此下一代的防火墙必须要能实现对混合网络环境的安全保护。
4.支持分布式架构与协同保护功能:为了进一步提供防火墙的性能与处理速率,采用并行处理方式,可以有效地提高防火墙的整体吞吐率。此外,由于现在网络应用结构的复杂化,同一组织的网络可能会有多个进入点与边界保护点,为了实现组织的统一安全保障,分布在不同边界保护点的防火墙需要彼此协同,才能提供更有效的安全保护。因此下一代的防火墙需要支持分布式架构与协同保护功能。
5.可扩展的结构的与多安全功能集成:下一代防火墙系统应是一个可随意伸缩的模块化解决方案,从最为基本的包过滤器到带加密功能的VPN型包过滤器,直至一个独立的应用网关,使用户有充分的余地构建自己所需要的防火墙体系。
在本方法使用中,首先用户要基于本技术所包含的防火安全策略配置图表工具来实现对防火墙的策略定制,具体的步骤包括;
2.分别针对网络设备的网络地址所组成逻辑单位域划分安全域,这些网络设备都有共同的安全策略与安全保护需求,在本项目中作为单一虚拟防火墙保护安全保护的基本单位。
3.针对网络设备上的具体应用定义服务,主要由一个网络协议与其一系列的属性来定义,每一个协议属性都是由一个谓词来定义,如协议包头的域、操作及其值等。这些谓词可以通过逻辑等式来进行扩展,进一步细化定义。
4.定义策略组,其是针对某个域中的网络设备相关的规则集合实现抽象表述,每个策略组由一系列的服务块组成,而每个服务块由都对该服务相关的规则组成。
5.当用户定义完策略组后,本项目提供算法直接将策略组映射成防火墙规则,同时执行冲突消解,再后自动配置到各虚拟防火墙与包预处理器中。
6.安装可选择的多类防火墙安全扩展功能模块,如VPN,IPSEC,垃圾邮件检测等;
7.将防火墙设备接入其所保护的网络,使其位于所保护网络的入口,启动防火墙服务器;
8.网络安全管理员通过防火墙人机交互界面,访问防火墙安全日志,审计各虚拟防火墙所保护的安全域安全态势判断与安全事件审计,以及安全策略的变更与维护管理。

Claims (6)

1.一种基于SOC及并行虚拟防火墙的高性能防火墙实现方法,其特征包括步骤:
步骤1)采用SOC硬件芯片作为防火墙数据包的预处理器,先对网络数据包进行过滤;
步骤1.1)由含有IPv4/IPv6协议的高速网络数据包分发器,作为网络接口来接收的网络数据包,并根据包的源/目的地位、以及防火墙安全管理策略的配置,将数据包分发至各数据包预处理芯片的内存空间;
步骤1.2)由防火墙数据包预处理芯片根据防火墙用户的配置规则,对输入数据包的过滤;采用硬件匹配来对数据包预处理,这是本防火墙的第一道过滤功能节点;
步骤2)由并行虚拟防火墙对预处理的数据包进一步处理:
所述并行虚拟防火墙包括多个由虚拟机实现的防火墙;各个虚拟防火墙独立配置;所述并行虚拟防火墙设有安全操作系统;
虚拟防火墙接收预处理器发送来的数据包,进行独立的、基于状态的安全监测,保护各虚拟防火墙各自所辖范围内的网络资源安全;
各个虚拟防火墙之间根据网络的实时情况,进行协作进一步提供防火墙的保护能力。
2.根据权利要求1所述的基于SOC及并行虚拟防火墙的高性能防火墙实现方法,其特征是所述并行虚拟防火墙还具有基于虚拟机的安全功能扩展:该安全功能扩展是在防火墙功能之外,基于虚拟机技术,实现VPN、IPSec、病毒、木马和垃圾邮件的过滤。
3.根据权利要求1所述的基于SOC及并行虚拟防火墙的高性能防火墙实现方法,其特征是所述并行虚拟防火墙中,通过虚拟机的配置,以及服务质量管理,根据网络实时情况分配各个虚拟防火墙的处理任务。
4.根据权利要求1所述的基于SOC及并行虚拟防火墙的高性能防火墙实现方法,其特征是对本防火墙的管理是基于网络实现的,管理的内容包括:
安全日志管理:实现防火墙的安全日志管理与数据备份;
防火墙策略的配置与管理:提供策略配置与冲突分析支持等功能;
警报与分析支持:主要提供多种安全警报与安全事件的分析支持。
5.根据权利要求4所述的基于SOC及并行虚拟防火墙的高性能防火墙实现方法,其特征是所述防火墙策略的配置与管理中,防火墙策略制定与冲突消解:
先由用户从顶层开始对受保护的目标网络进行域划分得到的多个域,每个域对应一个虚拟防火墙,以及由用户再根据域中允许的服务定义服务对象,描述服务所对应的网络设备及其端口,以及其它相关属性来定义策略组;
再由以下算法直接将策略组映射成防火墙规则,同时执行冲突消解,再后自动配置到各虚拟防火墙与包预处理器中,该算法的步骤如下:
a.用户首先制定本组织的安全保护总目标;
b.用户划分与标识本组织内的安全域、信息资源、应用服务、以及用户角色分类,并根据总安全目标,确定以上各分类彼此的基本关联关系;
c.由各分类建立安全管理目标抽象类,包括安全域类、信息资源类、应用服务类、用户角色类;
d.由关联关系建立安全关联抽象类,表述各抽象类之间的条件关联;
e.针对以上建立的抽象类,由抽象到具体,自顶向下,建立具体类生成安全域对象、信息资源对象、应用服务对象、用户角色对象,以及安全关联对象;
f.由安全关联对象实现安全域对象、信息资源对象、应用服务对象、用户角色对象之间的条件关联对象;
g.由以上抽象类、安全关联抽象类,安全域对象等安全目标对象、安全关联对象映射生成由抽象规则及具体规则,实现防火墙规则的映射生成。
h.同时检查规则中可以出现的冲突,抽象规则优先级高于具体规则,实现防火墙规则的冲突消解。
6.根据权利要求1所述的基于SOC及并行虚拟防火墙的高性能防火墙实现方法,其特征是所述步骤1)中,SOC硬件芯片是带有SDRM接口的FPGA芯片;所述各个预处理器采用硬件并行的处理方式。
CN 201010501170 2010-10-09 2010-10-09 一种基于soc及并行虚拟防火墙的高性能防火墙实现方法 Expired - Fee Related CN101958903B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN 201010501170 CN101958903B (zh) 2010-10-09 2010-10-09 一种基于soc及并行虚拟防火墙的高性能防火墙实现方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN 201010501170 CN101958903B (zh) 2010-10-09 2010-10-09 一种基于soc及并行虚拟防火墙的高性能防火墙实现方法

Publications (2)

Publication Number Publication Date
CN101958903A true CN101958903A (zh) 2011-01-26
CN101958903B CN101958903B (zh) 2013-01-02

Family

ID=43486009

Family Applications (1)

Application Number Title Priority Date Filing Date
CN 201010501170 Expired - Fee Related CN101958903B (zh) 2010-10-09 2010-10-09 一种基于soc及并行虚拟防火墙的高性能防火墙实现方法

Country Status (1)

Country Link
CN (1) CN101958903B (zh)

Cited By (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102857475A (zh) * 2011-06-29 2013-01-02 上海地面通信息网络有限公司 一种防火墙虚拟化处理系统
CN103354530A (zh) * 2013-07-18 2013-10-16 北京启明星辰信息技术股份有限公司 虚拟化网络边界数据流汇聚方法及装置
CN103561027A (zh) * 2013-11-05 2014-02-05 曙光云计算技术有限公司 虚拟网络隔离的实现方法和实现装置
CN103634175A (zh) * 2013-12-02 2014-03-12 曙光信息产业(北京)有限公司 混合网络接入系统
CN103973673A (zh) * 2014-04-09 2014-08-06 汉柏科技有限公司 划分虚拟防火墙的方法和设备
CN104113522A (zh) * 2014-02-20 2014-10-22 西安未来国际信息股份有限公司 一种作用于云计算数据中心安全域的虚拟防火墙组件的设计
CN104704791A (zh) * 2012-10-05 2015-06-10 思科技术公司 用于有状态服务的应用的网络流量的重定向
CN105577628A (zh) * 2014-11-11 2016-05-11 中兴通讯股份有限公司 实现虚拟防火墙的方法及装置
CN105704087A (zh) * 2014-11-25 2016-06-22 甘肃省科学技术情报研究所 一种基于虚拟化实现网络安全管理的装置及其管理方法
CN105743871A (zh) * 2014-12-12 2016-07-06 国家电网公司 一种基于判定树的防火墙策略冲突检测方法
CN103763310B (zh) * 2013-12-31 2017-04-12 曙光云计算技术有限公司 基于虚拟网络的防火墙服务系统及方法
CN104092676B (zh) * 2014-06-30 2017-05-10 复旦大学 面向云数据中心环境防火墙即服务的并行防火墙规则异常检测的方法
CN107196952A (zh) * 2017-06-12 2017-09-22 深圳市永达电子信息股份有限公司 基于Opensatck实现个人虚拟应用防火墙方法
CN107612907A (zh) * 2017-09-15 2018-01-19 北京外通电子技术公司 虚拟专用网络vpn安全防护方法及fpga
CN107959716A (zh) * 2017-11-20 2018-04-24 烽火通信科技股份有限公司 一种使用SoC进行网络处理加速的方法及系统
CN108900515A (zh) * 2018-07-09 2018-11-27 赖洪昌 一种网络空间漏洞归并平台数据转发服务系统
CN112119385A (zh) * 2018-05-24 2020-12-22 德州仪器公司 片上系统防火墙存储器架构
CN112926068A (zh) * 2021-02-25 2021-06-08 平安普惠企业管理有限公司 权限管理方法、管理服务器、业务服务器及可读存储介质
CN114844726A (zh) * 2022-07-01 2022-08-02 湖北芯擎科技有限公司 防火墙实现方法、芯片、电子设备及计算机可读存储介质

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1838592A (zh) * 2006-04-26 2006-09-27 南京大学 一种基于高速网络数据处理平台的防火墙方法和系统
CN101409714A (zh) * 2008-11-18 2009-04-15 华南理工大学 一种基于虚拟机的防火墙系统

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1838592A (zh) * 2006-04-26 2006-09-27 南京大学 一种基于高速网络数据处理平台的防火墙方法和系统
CN101409714A (zh) * 2008-11-18 2009-04-15 华南理工大学 一种基于虚拟机的防火墙系统

Cited By (31)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102857475A (zh) * 2011-06-29 2013-01-02 上海地面通信息网络有限公司 一种防火墙虚拟化处理系统
CN104704791B (zh) * 2012-10-05 2017-10-31 思科技术公司 用于有状态服务的应用的网络流量的重定向的方法和装置
CN104704791A (zh) * 2012-10-05 2015-06-10 思科技术公司 用于有状态服务的应用的网络流量的重定向
CN103354530B (zh) * 2013-07-18 2016-08-10 北京启明星辰信息技术股份有限公司 虚拟化网络边界数据流汇聚方法及装置
CN103354530A (zh) * 2013-07-18 2013-10-16 北京启明星辰信息技术股份有限公司 虚拟化网络边界数据流汇聚方法及装置
CN103561027A (zh) * 2013-11-05 2014-02-05 曙光云计算技术有限公司 虚拟网络隔离的实现方法和实现装置
CN103634175A (zh) * 2013-12-02 2014-03-12 曙光信息产业(北京)有限公司 混合网络接入系统
CN103763310B (zh) * 2013-12-31 2017-04-12 曙光云计算技术有限公司 基于虚拟网络的防火墙服务系统及方法
CN104113522A (zh) * 2014-02-20 2014-10-22 西安未来国际信息股份有限公司 一种作用于云计算数据中心安全域的虚拟防火墙组件的设计
CN103973673A (zh) * 2014-04-09 2014-08-06 汉柏科技有限公司 划分虚拟防火墙的方法和设备
CN103973673B (zh) * 2014-04-09 2017-11-03 汉柏科技有限公司 划分虚拟防火墙的方法和设备
CN104092676B (zh) * 2014-06-30 2017-05-10 复旦大学 面向云数据中心环境防火墙即服务的并行防火墙规则异常检测的方法
CN105577628B (zh) * 2014-11-11 2020-01-21 中兴通讯股份有限公司 实现虚拟防火墙的方法及装置
WO2016074502A1 (zh) * 2014-11-11 2016-05-19 中兴通讯股份有限公司 实现虚拟防火墙的方法及装置
CN105577628A (zh) * 2014-11-11 2016-05-11 中兴通讯股份有限公司 实现虚拟防火墙的方法及装置
CN105704087A (zh) * 2014-11-25 2016-06-22 甘肃省科学技术情报研究所 一种基于虚拟化实现网络安全管理的装置及其管理方法
CN105704087B (zh) * 2014-11-25 2018-12-11 甘肃省科学技术情报研究所 一种基于虚拟化实现网络安全管理的装置及其管理方法
CN105743871B (zh) * 2014-12-12 2019-03-12 国家电网公司 一种基于判定树的防火墙策略冲突检测方法
CN105743871A (zh) * 2014-12-12 2016-07-06 国家电网公司 一种基于判定树的防火墙策略冲突检测方法
CN107196952A (zh) * 2017-06-12 2017-09-22 深圳市永达电子信息股份有限公司 基于Opensatck实现个人虚拟应用防火墙方法
CN107612907A (zh) * 2017-09-15 2018-01-19 北京外通电子技术公司 虚拟专用网络vpn安全防护方法及fpga
CN107959716B (zh) * 2017-11-20 2020-11-17 烽火通信科技股份有限公司 一种使用SoC进行网络处理加速的方法及系统
CN107959716A (zh) * 2017-11-20 2018-04-24 烽火通信科技股份有限公司 一种使用SoC进行网络处理加速的方法及系统
CN112119385A (zh) * 2018-05-24 2020-12-22 德州仪器公司 片上系统防火墙存储器架构
CN112119385B (zh) * 2018-05-24 2023-10-20 德州仪器公司 片上系统防火墙存储器架构
CN108900515A (zh) * 2018-07-09 2018-11-27 赖洪昌 一种网络空间漏洞归并平台数据转发服务系统
CN108900515B (zh) * 2018-07-09 2021-06-04 赖洪昌 一种网络空间漏洞归并平台数据转发服务系统
CN112926068A (zh) * 2021-02-25 2021-06-08 平安普惠企业管理有限公司 权限管理方法、管理服务器、业务服务器及可读存储介质
CN112926068B (zh) * 2021-02-25 2023-10-20 陕西合友网络科技有限公司 权限管理方法、管理服务器、业务服务器及可读存储介质
CN114844726A (zh) * 2022-07-01 2022-08-02 湖北芯擎科技有限公司 防火墙实现方法、芯片、电子设备及计算机可读存储介质
CN114844726B (zh) * 2022-07-01 2022-09-06 湖北芯擎科技有限公司 防火墙实现方法、芯片、电子设备及计算机可读存储介质

Also Published As

Publication number Publication date
CN101958903B (zh) 2013-01-02

Similar Documents

Publication Publication Date Title
CN101958903B (zh) 一种基于soc及并行虚拟防火墙的高性能防火墙实现方法
JP6470433B2 (ja) ラベルベースのアクセス制御ルールの自動生成
US10986139B2 (en) Micro-segmentation in virtualized computing environments
CN102255903B (zh) 一种云计算虚拟网络与物理网络隔离安全方法
Liatifis et al. Advancing sdn from openflow to p4: A survey
CN1160899C (zh) 分布式网络动态安全保护系统
CN105247508B (zh) 使用基于逻辑多维度标签的策略模型的分布式网络管理
KR102451237B1 (ko) 컨테이너 네트워크를 위한 보안
US20160171102A1 (en) Runtime adaptable search processor
CN104378387A (zh) 一种虚拟化平台下保护信息安全的方法
CN105187378A (zh) 处理网络流量的计算机系统及方法
CN108234223B (zh) 一种数据中心综合管理系统的安全服务设计方法
CN110572412A (zh) 云环境下基于入侵检测系统反馈的防火墙及其实现方法
CN101964804A (zh) 一种IPv6协议下的攻击防御系统及其实现方法
CN101242409B (zh) 一种多语言的网络数据包高效过滤的方法
CN112437070A (zh) 一种基于操作生成树状态机完整性验证计算方法及系统
CN112468464A (zh) 基于服务链的状态机完整性验证系统及方法
CN201910819U (zh) 无线网络统一威胁管理网关
CN102739433A (zh) 一种基于三层交换机多网段环境下部署网管软件对局域网电脑进行控制的方法
CN101729544B (zh) 一种安全能力协商方法和系统
CN110581843B (zh) 一种拟态Web网关多应用流量定向分配方法
KR100501210B1 (ko) 보안 게이트웨이의 커널 기반 고속 침입탐지 시스템 및 그방법
Miano et al. Accelerating network analytics with an on-NIC streaming engine
CN105516096A (zh) 一种僵尸网络发现技术及装置
CN118157971B (zh) 一种信息网络广义末端节点弹性防御系统及方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
ASS Succession or assignment of patent right

Owner name: YANCHENG SOFT SOFTWARE TECHNOLOGY CO., LTD.

Free format text: FORMER OWNER: NANJING BOTONG S + T CO., LTD.

Effective date: 20130305

C41 Transfer of patent application or patent right or utility model
COR Change of bibliographic data

Free format text: CORRECT: ADDRESS; FROM: 210019 NANJING, JIANGSU PROVINCE TO: 224002 YANCHENG, JIANGSU PROVINCE

TR01 Transfer of patent right

Effective date of registration: 20130305

Address after: 1301 room 4, building 5, 224002 South Avenue, hope road, Yancheng economic and Technological Development Zone, Jiangsu, China

Patentee after: Yancheng sufute Software Technology Co. Ltd.

Address before: 210019, room five, Zhongtai Plaza, 311 Jiangdong Road, Jianye District, Jiangsu, Nanjing, 519

Patentee before: Nanjing Botong S & T Co., Ltd.

CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20130102

Termination date: 20141009

EXPY Termination of patent right or utility model