CN102752321A - 一种基于多核网络处理器的防火墙实现方法 - Google Patents
一种基于多核网络处理器的防火墙实现方法 Download PDFInfo
- Publication number
- CN102752321A CN102752321A CN2012102789183A CN201210278918A CN102752321A CN 102752321 A CN102752321 A CN 102752321A CN 2012102789183 A CN2012102789183 A CN 2012102789183A CN 201210278918 A CN201210278918 A CN 201210278918A CN 102752321 A CN102752321 A CN 102752321A
- Authority
- CN
- China
- Prior art keywords
- firewall
- module
- firewall rule
- dedicated
- rule
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提出了一种基于多核网络处理器的防火墙系统及实现方法。该方法在多核网络处理器一些核上运行通用操作系统,另一些核上运行专用的操作系统。在通用操作系统上运行通用防火墙模块、防火墙配置工具及防火墙规则处理模块,该配置工具解析输入的防火墙规则并提交给防火墙模块应用;在专用操作系统上运行专用防火墙模块和防火墙规则转换模块;规则处理模块从防火墙配置工具提取规则进行转换并写到共享内存中;规则转换模块则从共享内存中读取规则并转换成在专用防火墙模块上执行的形式后交给专用防火墙模块来完成其防火墙功能。本发明解决了x86软件平台开源项目的防火墙性能不高和ASIC专用芯片架构的防火墙灵活性不够的技术问题。
Description
技术领域
本发明涉及计算机网络技术领域,特别涉及一种基于多核网络处理器的防火墙系统及实现方法。
背景技术
随着社会的不断发展,计算机网络在全世界范围内的普及率越来越高。随着而来的是网络安全问题层出不穷,人们越来越重视信息的安全性。防火墙技术正是一种有效保护网络安全的技术,防火墙产品已逐渐发展成为维护网络安全所必不可少的组成部分。
然而,随着计算机网络技术的飞速发展,网络流量急剧增加,各种新兴业务层出不穷,这就要求防火墙必须具有高效处理网络数据报文的能力,而防火墙功能和性能的矛盾一直是困扰信息安全产品的问题。传统的防火墙主要是基于x86软件平台开源项目和ASIC专用芯片平台,但是x86软件平台开源项目的防火墙最大的缺点就是小包通过率低,造成该缺点的主要原因是x86软件平台开源项目的中断机制以及有数据都要经过复杂的软件IP协议栈以及其他的辅助流程处理。目前市场上大多数的x86软件平台开源项目防火墙不能作为大容量千兆防火墙使用,只能作为小型百兆防火墙。基于ASIC专用芯片平台架构的防火墙从架构上改进了中断机制,数据通过网卡进入系统后,不需经过主CPU软件IP协议栈和辅助流程处理,而是由集成在系统中的芯片直接处理,完成防火墙的功能,如路由、NAT、防火墙规则匹配等,因此,其性能得到了大幅度的提升。但问题是,这种防火墙在设计时,就必须将安全功能固化进ASIC专用芯片中,所以它的灵活性不够,如果想要增添新的功能或进行系统升级,开发周期较长,对技术的要求也很高。
可见,现有防火墙技术无法同时兼备高效处理网络数据报文的能力和较高的灵活性。
发明内容
本发明针对现有防火墙技术不能同时兼备高效处理网络数据报文的能力和较高的灵活性的技术问题,提供一种基于多核网络处理器的防火墙系统及实现方法,在多核网络处理器架构上实现防火墙,可以解决x86软件平台开源项目的防火墙性能不高和ASIC专用芯片架构 的防火墙灵活性不够的技术问题。
为解决上述技术问题,本发明防火墙实现方法所采用的技术方案是:一种基于多核网络处理器的防火墙实现方法,包括以下步骤:
步骤1、在多核网络处理器的一部分核上运行通用操作系统,在运行通用操作系统上加载通用防火墙模块、防火墙配置工具及防火墙规则处理模块;在多核网络处理器的其余核上运行专用操作系统,在运行专用操作系统的每一个核上加载防火墙规则转换模块和专用防火墙模块;
步骤2、通过防火墙配置工具添加防火墙规则,防火墙配置工具将所添加的防火墙规则解析后将防火墙规则提交给通用防火墙模块供其使用;
步骤3、防火墙规则处理模块将防火墙规则从通用防火墙模块中提取出来,并将其进行转换,转换后将防火墙规则写到多核网络处理器的共享内存中形成防火墙规则表,该规则表供专用防火墙模块使用;
步骤4、当网络数据报文到来时,将该网络数据报文发送给专用防火墙模块处理;防火墙规则转换模块通过从防火墙规则表中读取防火墙规则,并将所读取的防火墙规则转换成适合在专用防火墙模块上执行的形式,再交给专用防火墙模块来实现其防火墙功能;
步骤5、对于专用防火墙模块处理不了的数据包则发送给通用防火墙模块处理。
优选地,步骤4所述专用防火墙模块实现其防火墙功能步骤如下:
步骤41:收到网络数据报文后,对网络数据报文中的数据包进行分类和标记,按照设定的优先级,将网络数据报文放到对应的优先级队列中;
步骤42:采用负荷分担策略将网络数据报文按照加载了专用防火墙模块的核的负载进行分发,使所有加载了专用防火墙模块的核工作负担达到均衡;
步骤43:所有加载了专用防火墙模块的核均通过防火墙规则表读取防火墙规则,实现防火墙功能。
优选地,步骤42所述负载分担策略的步骤如下:
当专用防火墙模块处于空闲状态时,按优先级从高到低顺序去获取优先权队列中的网络数据报文,如果优先级高的网络数据包存储队列中没有数据报文,则按优先级从高到低的队列依次往下获取,直到获取到为止。
所述专用防火墙模块的防火墙功能包括数据过滤、连接跟踪和网络地址转换。
优选地,步骤5在通用操作系统下的通用防火墙模块与专用操作系统下的专用防火墙模块共同达到防火墙的功能和性能合理优化组合。步骤5包括以下步骤:
步骤51:当专用防火墙模块接收到网络数据报文,依据网络数据报文的特征,读取防火墙规则表中的防火墙规则,如果专用防火墙模块不进行规则处理该网络数据报文,则将所接收的网络数据报文发送给通用防火墙模块处理;
步骤52:步骤51所述的网络数据报文被通用防火墙处理器完成后,将产生相关的新防火墙规则,并通知防火墙规则处理模块,将所产生的新防火墙规则更新到共享内存中的防火墙规则表;
步骤53:下次专用防火墙模块收到同类的网络数据报文,从更新后的防火墙规则表获取已更新的防火墙规则,完成防火墙功能的处理。
为解决上述技术问题,本发明防火墙系统所采用的技术方案是:一种基于多核网络处理器的防火墙系统,包括多核网络处理器中集成的多个核:在一部分核上运行通用操作系统,作为控制面,在其余部分核上运行专用操作系统,作为数据面;所有运行有专用操作系统加载专用防火墙模块的核是并行运行的;多核网络处理器设有共享内存,用来存放防火墙规则,供多个核加载了专用防火墙模块使用;
运行通用操作系统的核上加载了通用防火墙模块、防火墙配置工具及防火墙规则处理模块;防火墙配置工具解析用户输入的防火墙命令并将其提交给通用防火墙模块;防火墙规则处理模块从通用防火墙模块读取防火墙规则,然后将所读取的防火墙规则转换成在专用防火墙模块使用的形式,最后将转换后的防火墙规则写到多核网络处理器中的共享内存中构成防火墙规则表;
运行专用操作系统的每一个核上加载了防火墙规则转换模块,以及用于数据过滤、连接跟踪和网络地址转换的专用防火墙模块;防火墙规则转换模块读取防火墙规则表的防火墙规则,并将所读取的防火墙规则转换成在专用防火墙模块上执行的形式后交给专用防火墙模块来实现其防火墙功能;当有网络数据报文到来时,首先经过专用防火墙模块的处理,绝大多数的网络数据报文,专用防火墙模块处理完成;对于专用防火墙模块处理不了的网络数据报文则交给通用防火墙模块处理,并产生相关的新防火墙规则,通知防火墙规则转换模块,将新的防火墙规则更新到共享内存中的防火墙规则表,下次专用防火墙模块接收到同类的网络数据报文,则从更新后的防火墙规则表获取已更新的防火墙规则,完成防火墙功能的处理,无需再将该网络报文转发到通用防火墙模块处理。
与现有技术相比,本发明的有益效果是:
1、运行在专用操作系统上的防火墙模块能够处理占网络数据包绝大部分的常规包,在专用操作系统上的代码执行更加简单和高效。所有运行专用操作系统的,加载专用防火墙模块的核是并行运行的,对数据报文进行并行的处理,以达到性能倍增的目的。
由于专用操作系统上的专用防火墙模块处理不了的网络数据报文(也叫例外包,或异常包)只占所有网络数据包的极少数,所以这不会对系统的性能造成很大的影响。因此,本发明一种基于多核网络处理器的防火墙实现方法可以解决x86软件平台开源项目架构的防火墙性能不高和ASIC专用芯片架构的防火墙灵活性不够的技术问题,从而可以实现兼具高性能和高灵活性的防火墙。
2、将运行通用操作系统的核作为控制面,将运行专用操作系统的核作为数据面。前者作为系统的控制管理,为用户提供接口配置管理的接口,同时在通用操作系统下的通用防火墙模块,具有完善、全面、最新特征的防火墙功能。后者主要用于高速的数据业务处理,在专用操作系统的专用防火墙模块,相比通用操作系统的通用防火墙模块,具有精简、高效的特点。
3、为了使得用户通过防火墙配置工具添加的规则能够立即被专用防火墙模块使用,采取消息机制来通知所述运行在通用操作系统中的防火墙规则处理模块,使其能够当用户通过防火墙配置工具添加规则后,立即把通用防火墙规则从该操作系统下的通用防火墙模块中提取出来并进行转换后写入到共享内存的防火墙规则中,这样可以保证通用操作系统上的防火墙规则和专用操作系统上的专用防火墙模块规则的一致性。
且运行在专用操作系统上的所有专用防火墙模块都是共用同一份从共享内存中读取出来的防火墙规则表的数据,从而可以保存上次防火墙规则搜索的结果索引,提高防火墙规则查询的命中率;还能保存最近使用规则在高速缓存cache中,减少访问内存的概率,提高读取防火墙规则的速度。
4、运行专用操作系统的所有核都运行相同的专用防火墙模块,各个核对网络数据报文是并行处理的,每个核彼此独立工作,没有相互关联,能达到高速并行工作。
5、基于多核网络处理器的多核并发处理特性,同时利用通用防火墙模块功能的完备性、灵活性、时效性和专用防火墙模块性能的并发性、高效性,有效平衡了防火墙功能和性能的关系,达到了防火墙的功能和性能的提升。
附图说明
图1为本发明的系统框图;
图2为本发明实现过程的流程图;
图3为专用操作系统实现其防火墙功能的示意图;
图4为负荷分担策略实现的流程图。
具体实施方式
下面结合实施例及附图对本发明作进一步详细的描述,但本发明的实施方式不限于此。
实施例
如图1所示,本发明基于多核网络处理器的防火墙系统,该系统将多核网络处理器中集成的n个核分成两部分,第0~m个核运行通用操作系统,作为控制面;第m+1~n(m+1≤n)个核运行专用操作系统,作为数据面,在专用操作系统上的专用防火墙代码运行更加简单、更加高效。通用操作系统指的是具有多种类型操作特征的操作系统,它可以同时兼有多道批处理、分时、实时处理的功能,或其中两种以上的功能;相应地,专用操作系统指的是具有一种专用类型操作特征的操作系统,只具有处理某种类型数据的功能,本专用操作系统是针对网络数据报文流程定制设计,设计了专用处理处理流程,对网络数据报文具有高效并行处理计算,并行转发数据,并行加解密等能力。
在通用操作系统上运行有其自带的完备功能的通用防火墙模块1以及与其配套使用的防火墙配置工具2,该防火墙配置工具2负责解析用户输入的防火墙命令并将其提交给通用防火墙模块1。在通用操作系统上还运行有一个防火墙规则处理模块3,该防火墙规则处理模块3负责从通用操作系统的读取防火墙规则,然后将所读取的防火墙规则转换成适合在专用操作系统的专用防火墙模块使用的形式,最后将转换后的防火墙规则写到多核网络处理器中的共享内存中,这些转换后的防火墙规则便构成共享内存中的防火墙规则表4,该防火墙规则表4供运行专用操作系统的加载专用防火墙模块的核使用。
在专用操作系统上则运行有一个防火墙规则转换模块5和另外一个专用防火墙模块6。所有运行专用操作系统的核,均加载了相同的专用防火墙模块6;加载在运行专用操作系统的核上的专用防火墙模块6具有以下防火墙功能:包过滤(过滤数据包,进行防火墙规则匹配和目标处理)、网络地址转换(根据用户配置情况,实现源IP地址、目的IP地址和IP地址伪装)及跟踪连接(用来跟踪和记录连接状态,实现有状态的防火墙和加速防火墙的转发性能)。基于多核网络处理器的防火墙功能主要就是依靠专用操作系统上的专用防火墙模块6来实现。防火墙规则转换模块5通过从共享内存中读取防火墙规则表4的防火墙规则,并将所读取的防火墙规则转换成适合在专用操作系统上高效执行的形式后交给专用防火墙模块6 来实现其防火墙功能。所有专用操作系统上运行的专用防火墙模块都是共用相同的一份防火墙规则表,即防火墙规则表4。当有网络数据包到来时,首先经过运行在专用操作系统上的专用防火墙模块6的处理,所有运行有专用操作系统的核是并行运行的,由多个核并行处理数据包,这样就可以使得防火墙的性能得到极大提升。运行在专用操作系统上的专用防火墙模块6可以处理在所有网络数据包中占绝大部分的常规包,而对于专用防火墙模块6处理不了的极少数数据报文则交给通用操作系统下的防火墙模块1处理。通用操作系统下的通用防火墙模块收到了来自专用防火墙模块的异常数据报文,则完成处理后,产生了新的防火墙规则,将更新通知防火墙规则处理模块3,将新的防火墙规则添加共享内存中的防火墙规则4。下次专用防火墙模块6收到同类的数据报文,专用防火墙模块6不再将该报文转发给通用防火墙模块1,加速整个防火墙的处理速度。专用防火墙模块相比通用防火墙模块,适用于多核网络处理器,优化了处理规则,简化了处理流程,特别是多个专用防火墙模块并发运行时,相比通用防火墙模块在效率上大大提升。通用防火墙模块在功能完备上较专用防火墙更全面,更完善。
如图2所示,本实施方式的基于多核网络处理器的防火墙实现方法,基于上述防火墙系统,包括如下步骤:
步骤S1:输入防火墙规则:用户通过通用操作系统中的防火墙配置工具2输入防火墙规则,防火墙配置工具2将防火墙规则解析后提交给该通用操作系统下的通用防火墙模块1供其使用。
步骤S2:提取防火墙规则:运行在通用操作系统中的防火墙规则处理模块3通过专用接口从通用防火墙模块1提取出防火墙规则。
步骤S3:转换防火墙规则并写入共享内存,防火墙规则处理模块3提取出防火墙规则后将其转换成适合在专用操作系统上专用防火墙模块6使用的形式,然后将转换后的防火墙规则写到多核网络处理器的共享内存的防火墙规则表4中。
步骤S4:当网络数据报文到来时,专用操作系统中防火墙规则转换模块5通过从防火墙规则表4中读取防火墙规则,并将所读取的防火墙规则转换成适合在专用操作系统上高效执行的形式后交给该专用操作系统下的专用防火墙模块6来实现其防火墙功能。每个运行专用操作系统的核上运行的专用防火墙模块都是相同的,所有运行在专用操作系统上的专用防火墙模块都是共用同一份从共享内存中读取的防火墙规则表,即防火墙规则表4。
步骤S5:对于那些专用操作系统上的专用防火墙模块处理不了的数据包则交给通用操作系统上的通用防火墙模块处理。通用操作系统的通用防火墙模块对该报文实施防火墙过滤、 跟踪连接、网络地址转换处理。通用防火墙模块处理完成后,产生的新的防火墙规则,更新共享内存中的防火墙规则4。
在本实施方式一种基于多核网络处理器的防火墙实现方法中,为了使得用户通过防火墙配置工具添加的规则能够立即被到运行在专用操作系统的专用防火墙模块使用,采取消息通知机制来通知所述运行在通用操作系统中的防火墙规则处理模块,使其能够当用户通过防火墙配置工具添加规则后立即把防火墙规则从通用防火墙模块中提取出来并进行转换后写入到共享内存中,这样可以保证通用操作系统上的防火墙规则和专用操作系统上的防火墙规则的一致性、高效性。
如图3所示,在本发明的实现过程中,在数据面部分主要由数据报文输入模块301、专用操作系统302、数据报文输出模块303及防火墙规则表4实现,其中专用操作系统302上主要由多个均加载了专用防火墙模块6的核321完成数据报文的过滤、连续跟踪及地址转换等处理,多个防火墙模块的核同时并行运行。专用操作系统实现其防火墙功能的步骤如下:
步骤S41:数据报文输入模块301收到来自物理端口过来的网络数据报文,对数据报文进行分类和标记,按照设定的优先级,放到相应优先级的队列中,进行缓存。
步骤S42:数据报文输入模块301在将网络数据报文发到加载了专用防火墙模块6的核321的时候,采用专用的负荷分担策略,将网络数据报文按照加载了专用防火墙模块6的核321的负载进行分发,使所有加载了专用防火墙模块6的核321的工作负担达到均衡。所有加载了专用防火墙模块6的核321是彼此独立工作,没有相互关联,能达到高速并行工作。
步骤S43:所有加载了专用防火墙模块6的核321均通过防火墙规则表4读取防火墙规则,实现网络数据包过滤、连接跟踪和地址转换的功能。
步骤S44:完成防火墙处理后,加载了专用防火墙模块6的核321将数据包发送到数据报文输出模块303,进行相关流量控制、流量整形,放入到优先级队列中,缓存后,发送到物理网络接口。
在本发明中,采用了专用的负载分担策略来满足达到在专用操作系统下多个专用防火墙模块的并行运行的目的。如图4所示,在专用操作系统下,设计了专用的队列,按照数据包分类标记,分类原则为:
QoSm:服务等级
Qum:队列数量
QoSm≤Qum
放入到优先级队列402中缓存,整个优先级队列402由具有不同优先级的多个数据包缓 存队列模块421构成。每个核上加载了一个专用防火墙模块6,多个专用防火墙模块6构成了整个防火墙403。
数据报文输入模块301收到来自物理网络接口的数据报文,对报文进行分类、标记,按照用户优先级将数据报文放入到优先级队列402中所对应的数据报文缓存队列模块421中,数据包围缓存队列模块421是将相同优先级的数据报文缓存起来,为防火墙模块来获取数据包做好准备。实现负载分担的步骤如下:
在专用操作系统下的多个专用防火墙模块,当专用防火墙模块处于空闲状态时,去获取存储队列模块中的数据报文。此处的策略是,空闲的专用防火墙模块获取数据包是从优先级高的数据包存储队列模块421中获取,如果优先级高的数据包存储队列模块421中没有数据报文,则按优先级从高到低依次往下获取,直到获取到为止。这样,所有的专用防火墙模块6就可以达到一个有效的负荷分担效果,当系统的负载很高的情况下,专用防火墙模块的负荷分担效果尤为明显。
上述实施例为本发明较佳的实施方式,但本发明的实施方式并不受上述实施例的限制,其他的任何未背离本发明的精神实质与原理下所作的改变、修饰、替代、组合、简化,均应为等效的置换方式,都包含在本发明的保护范围之内。
Claims (6)
1.一种基于多核网络处理器的防火墙实现方法,其特征在于,包括如下步骤:
步骤1、在多核网络处理器的一部分核上运行通用操作系统,在通用操作系统上加载通用防火墙模块、防火墙配置工具及防火墙规则处理模块;在多核网络处理器的其余部分核上运行专用操作系统,在运行专用操作系统的每一个核上加载防火墙规则转换模块和专用防火墙模块;
步骤2、通过防火墙配置工具添加防火墙规则,防火墙配置工具将所添加的防火墙规则解析后将防火墙规则提交给通用防火墙模块供其使用;
步骤3、防火墙规则处理模块将防火墙规则从通用防火墙模块中提取出来并将其进行转换,转换后将防火墙规则写到多核网络处理器的共享内存中形成防火墙规则表;
步骤4、当网络数据报文到来时,将该网络数据报文发送给专用防火墙模块处理;防火墙规则转换模块通过从防火墙规则表中读取防火墙规则,并将所读取的防火墙规则转换成适合在专用防火墙模块上执行的形式后交给专用防火墙模块来实现其防火墙功能;
步骤5、对于专用防火墙模块处理不了的数据包则发送给通用防火墙模块处理。
2.根据权利要求1所述的基于多核网络处理器的防火墙实现方法,其特征在于,步骤4所述专用防火墙模块实现其防火墙功能的步骤如下:
步骤41:收到网络数据报文后,对网络数据报文中的数据包进行分类和标记,按照设定的优先级,放到优先级队列中;
步骤42:采用负荷分担策略将网络数据报文按照加载了专用防火墙模块的核的负载进行分发,使所有加载了专用防火墙模块的核的工作负担达到均衡;
步骤43:所有加载了专用防火墙模块的核均通过防火墙规则表读取防火墙规则,实现防火墙功能。
3.根据权利要求2所述的基于多核网络处理器的防火墙实现方法,其特征在于,步骤42所述负载分担策略的步骤如下:
当专用防火墙模块处于空闲状态时,按优先级从高到低去获取优先权队列中的网络数据报文,如果优先级高的网络数据报文存储模块中没有数据报文,则按优先级从高到低依次往下获取,直到获取到为止。
4.根据权利要求1所述的基于多核网络处理器的防火墙实现方法,其特征在于:所述专用防火墙模块的防火墙功能包括:
包过滤:过滤数据包,进行防火墙规则匹配和目标处理;
网络地址转换:根据用户配置情况,实现源IP地址、目的IP地址和IP地址伪装;
跟踪连接:用来跟踪和记录连接状态,实现有状态的防火墙和加速防火墙的转发性能。
5.根据权利要求1所述的基于多核网络处理器的防火墙实现方法,其特征在于:所述步骤5包括以下步骤:
步骤51:当专用防火墙模块接收到网络数据报文,依据网络数据报文的特征,读取防火墙规则表中的防火墙规则,如果专用防火墙模块不进行规则处理该网络数据报文,则将所接收的网络数据报文发送给通用防火墙模块处理;
步骤52:步骤51所述的网络数据报文被通用防火墙模块处理完成后,将产生相关的新防火墙规则,并通知防火墙规则处理模块,将所产生的新防火墙规则更新到防火墙规则表;
步骤53:下次专用防火墙模块收到同类的网络数据报文,从更新后的防火墙规则表中获取已更新的防火墙规则,完成防火墙功能的处理。
6.一种基于多核网络处理器的防火墙系统,其特征在于,包括多核网络处理器中集成的多个核:在一部分核上运行通用操作系统,作为控制面,在其余部分核上运行专用操作系统,作为数据面;所有运行有专用操作系统的核是并行运行的;多核网络处理器设有共享内存;
运行通用操作系统的核上加载了通用防火墙模块、防火墙配置工具及防火墙规则处理模块;防火墙配置工具解析用户输入的防火墙命令并将其提交给通用防火墙模块;防火墙规则处理模块从通用防火墙模块读取防火墙规则,然后将所读取的防火墙规则转换成专用防火墙模块使用的形式,最后将转换后的防火墙规则写到多核网络处理器中的共享内存中构成防火墙规则表;
运行专用操作系统的每一个核上加载了防火墙规则转换模块,以及用于数据过滤、连接跟踪和网络地址转换的专用防火墙模块;防火墙规则转换模块读取防火墙规则表的防火墙规则,并将所读取的防火墙规则转换成在专用防火墙模块上执行的形式后交给专用防火墙模块来实现其防火墙功能;当有网络数据包到来时,首先经过专用防火墙模块的处理,对于专用防火墙模块处理不了的数数据包则交给通用防火墙模块处理,并产生相关的新防火墙规则,通知防火墙规则转换模块,将所产生的新防火墙规则更新到防火墙规则表供专用防火墙模块使用。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2012102789183A CN102752321A (zh) | 2012-08-07 | 2012-08-07 | 一种基于多核网络处理器的防火墙实现方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2012102789183A CN102752321A (zh) | 2012-08-07 | 2012-08-07 | 一种基于多核网络处理器的防火墙实现方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN102752321A true CN102752321A (zh) | 2012-10-24 |
Family
ID=47032220
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2012102789183A Pending CN102752321A (zh) | 2012-08-07 | 2012-08-07 | 一种基于多核网络处理器的防火墙实现方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102752321A (zh) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105763481A (zh) * | 2014-12-19 | 2016-07-13 | 北大方正集团有限公司 | 一种信息缓存方法及装置 |
CN106790113A (zh) * | 2016-12-27 | 2017-05-31 | 华东师范大学 | 一种硬件防火墙配置管理方法及装置 |
CN107864156A (zh) * | 2017-12-18 | 2018-03-30 | 东软集团股份有限公司 | Syn攻击防御方法和装置、存储介质 |
CN108123949A (zh) * | 2017-12-22 | 2018-06-05 | 杭州迪普科技股份有限公司 | 一种数据包过滤的方法及装置 |
CN112311731A (zh) * | 2019-07-29 | 2021-02-02 | 联合汽车电子有限公司 | 车载处理器、车载控制器及通信方法 |
US20210342461A1 (en) * | 2017-09-12 | 2021-11-04 | Sophos Limited | Providing process data to a data recorder |
CN114006859A (zh) * | 2021-09-18 | 2022-02-01 | 深圳震有科技股份有限公司 | 一种报文转发方法、终端及计算机可读存储介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1633110A (zh) * | 2005-01-14 | 2005-06-29 | 中国科学院计算技术研究所 | 基于Linux内核的流量分析方法 |
WO2008122976A1 (en) * | 2007-04-09 | 2008-10-16 | Sandisk Il Ltd | System and methods for using firewall protection with usb storage devices |
WO2011016915A1 (en) * | 2009-08-03 | 2011-02-10 | Kingston Technology Corporation | Universal serial bus - hardwate firewall (usb-hf) adaptor |
CN102609307A (zh) * | 2012-03-07 | 2012-07-25 | 汉柏科技有限公司 | 多核多线程双操作系统网络设备及其控制方法 |
-
2012
- 2012-08-07 CN CN2012102789183A patent/CN102752321A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1633110A (zh) * | 2005-01-14 | 2005-06-29 | 中国科学院计算技术研究所 | 基于Linux内核的流量分析方法 |
WO2008122976A1 (en) * | 2007-04-09 | 2008-10-16 | Sandisk Il Ltd | System and methods for using firewall protection with usb storage devices |
WO2011016915A1 (en) * | 2009-08-03 | 2011-02-10 | Kingston Technology Corporation | Universal serial bus - hardwate firewall (usb-hf) adaptor |
CN102609307A (zh) * | 2012-03-07 | 2012-07-25 | 汉柏科技有限公司 | 多核多线程双操作系统网络设备及其控制方法 |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105763481A (zh) * | 2014-12-19 | 2016-07-13 | 北大方正集团有限公司 | 一种信息缓存方法及装置 |
CN106790113A (zh) * | 2016-12-27 | 2017-05-31 | 华东师范大学 | 一种硬件防火墙配置管理方法及装置 |
US20210342461A1 (en) * | 2017-09-12 | 2021-11-04 | Sophos Limited | Providing process data to a data recorder |
US11620396B2 (en) * | 2017-09-12 | 2023-04-04 | Sophos Limited | Secure firewall configurations |
US11966482B2 (en) | 2017-09-12 | 2024-04-23 | Sophos Limited | Managing untyped network traffic flows |
CN107864156A (zh) * | 2017-12-18 | 2018-03-30 | 东软集团股份有限公司 | Syn攻击防御方法和装置、存储介质 |
CN107864156B (zh) * | 2017-12-18 | 2020-06-23 | 东软集团股份有限公司 | Syn攻击防御方法和装置、存储介质 |
CN108123949A (zh) * | 2017-12-22 | 2018-06-05 | 杭州迪普科技股份有限公司 | 一种数据包过滤的方法及装置 |
CN112311731A (zh) * | 2019-07-29 | 2021-02-02 | 联合汽车电子有限公司 | 车载处理器、车载控制器及通信方法 |
CN114006859A (zh) * | 2021-09-18 | 2022-02-01 | 深圳震有科技股份有限公司 | 一种报文转发方法、终端及计算机可读存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102752321A (zh) | 一种基于多核网络处理器的防火墙实现方法 | |
CN104205080B (zh) | 为联网设备虚拟化卸载分组处理 | |
CN110288345B (zh) | 跨链通信方法、装置、主链节点及存储介质 | |
CN107733855B (zh) | 一种可同时支持公有链、联盟链及私有链的区块链系统及应用方法 | |
CN102648455B (zh) | 服务器和流控制程序 | |
CN105577567B (zh) | 基于Intel DPDK的网络数据包并行处理方法 | |
CN1285046C (zh) | 根据共享属性而由压缩的队列对来建立多重虚拟队列对的安排 | |
CN104050041B (zh) | 用于在处理器中调度规则匹配的调度方法和装置 | |
CN103023827A (zh) | 一种虚拟化数据中心的数据转发方法及其实现设备 | |
CN102497322A (zh) | 一种基于分流网卡和多核cpu实现的高速包过滤设备和方法 | |
CN108768667B (zh) | 一种用于多核处理器片内核间网络通信的方法 | |
CN108366018A (zh) | 一种基于dpdk的网络数据包处理方法 | |
US8386626B2 (en) | Transmit scaling using multiple queues | |
CN105379221B (zh) | 一种链路聚合方法及设备 | |
US20050086412A1 (en) | System and method for communicating between modules | |
CN113709052A (zh) | 一种网络报文的处理方法、装置、电子设备和存储介质 | |
CN101208675A (zh) | 帧序处理装置、系统和方法 | |
CN103999435A (zh) | 用于高效的网络地址转换和应用层网关处理的装置和方法 | |
CN106789706A (zh) | 一种基于tcam的网络分流系统 | |
CN209328011U (zh) | 飞控通信系统 | |
CN113572700A (zh) | 流量检测方法、系统、装置及计算机可读存储介质 | |
EP3631640B1 (en) | Communication between field programmable gate arrays | |
CN100380897C (zh) | 微引擎与StrongArm核的通信方法 | |
CN110113193A (zh) | 基于分级代理的数据传输方法、系统及介质 | |
CN111050339B (zh) | 一种基于协议无感知转发的高速数据更新系统及方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20121024 |