CN110719267A - 一种服务器板卡及其数据处理方法 - Google Patents
一种服务器板卡及其数据处理方法 Download PDFInfo
- Publication number
- CN110719267A CN110719267A CN201910912636.6A CN201910912636A CN110719267A CN 110719267 A CN110719267 A CN 110719267A CN 201910912636 A CN201910912636 A CN 201910912636A CN 110719267 A CN110719267 A CN 110719267A
- Authority
- CN
- China
- Prior art keywords
- board card
- main processor
- module
- vpn
- virtualization
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种服务器板卡及其数据处理方法,包括主处理器、FPGA,所述主处理器,用于根据配置信息确定板卡的运行模式,并根据所述板卡的运行模式,确定接收的数据报文进入防火墙模块或VPN模块进行处理;所述FPGA,用于根据所述板卡的运行模式启动所述防火墙模块或所述VPN模块,并配合所述主处理器加速处理所述数据报文。本发明提供一种安装在服务器上的板卡,可集成防火墙功能或VPN功能,可保护内部网络,同时比传统的防火墙设备或VPN设备使用更加方便。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种服务器板卡及其数据处理方法。
背景技术
随着云计算发展的与日俱增,云计算是未来部署软件和服务重要基础设施。云服务提供商提供给用户按需的、弹性的服务,降低了资本性支出和运营成本。虽然云计算有着众多优点,由于数据和业务外包给了第三方,由此也产生了云中严重的安全和隐私问题。尽管有许多和安全相关的工作,目前致力于防止云数据受到各种攻击的研究工作并不多。而为了保护云数据中心,构建防火墙是一个不错的选择,通常,传统防火墙设备作为整机部署在托管简单和有限服务的局域网环境下,部署方式复杂。云数据中心通常托管着各种各样类型的异构服务器,传统防火墙设备因为部署配置复杂,无法满足现阶段的安全需求。
发明内容
本发明所要解决的技术问题是针对现有技术的不足,提供一种服务器板卡及其数据处理方法。
本发明解决上述技术问题的技术方案如下:
一种服务器板卡,包括主处理器、FPGA,所述主处理器,用于根据配置信息确定板卡的运行模式,并根据所述板卡的运行模式,确定接收的数据报文进入防火墙模块或VPN模块进行处理;
所述FPGA,用于根据所述板卡的运行模式启动所述防火墙模块或所述VPN模块,并配合所述主处理器加速处理所述数据报文。
本发明的有益效果是:提供了一种可安装在服务器上的板卡,根据用户的配置信息设置板卡的模式为防火墙模式或VPN模式,FPGA配合主处理器对接收到的报文进行防火墙处理或VPN处理,在服务器的板卡上集成了防火墙功能或VPN功能,可保护服务器内部网络,同时比传统的防火墙设备或VPN设备部署和配置简单。
在上述技术方案的基础上,本发明还可以做如下改进。
进一步地,当所述板卡的运行模式是防火墙模式时,所述主处理器,用于将所述数据报文进行报文过滤和防攻击处理;
所述FPGA,用于将安全策略规则生成加速配置,并根据所述加速配置,对所述数据报文进行匹配处理。
进一步地,当所述板卡的运行模式是VPN模式时,所述主处理器,用于建立加密安全传输隧道,并将接收到的加解密报文发送至所述FPGA进行预处理;
所述FPGA,用于根据所述安全策略规则过滤所述数据报文,得到需要进行加解密的数据报文。
采用上述进一步方案的有益效果是,当板卡的运行模式为防火墙模式时,主处理器对数据报文进行过滤和防攻击处理,FPGA加速数据报文的处理流程,当板卡的运行模式为VPN模式时,主处理器建立安全传输隧道,FPGA可加速对数据报文的安全策略处理。本方案可加速服务器板卡处理数据报文的速度。
在上述技术方案的基础上,本发明还可以做如下改进。
进一步地,所述板卡还包括加解密芯片;
所述加解密芯片,用于当所述板卡的运行模式是VPN模式时,将所述主处理器发送的数据报文进行加解密后,发送至所述主处理器。
进一步地,所述板卡还包括PCIE接口;
所述PCIE接口,用于接收服务器转发的数据报文,并将所述数据报文转发至所述主处理器。
进一步地,所述PCIE接口,用于配置多个虚拟化接口;
每个所述虚拟化接口对应相应的虚拟化防火墙模块或虚拟化VPN模块。
进一步地,当所述板卡的运行模式是防火墙模式,且所述PCIE接口配置多个虚拟化接口时,对应配置所述主处理器虚拟化,配置所述防火墙模块虚拟化。
进一步地,当所述板卡的运行模式是VPN模式,且所述PCIE接口配置多个虚拟化接口时,配置所述主处理器虚拟化,配置所述VPN模块虚拟化。
采用上述进一步方案的有益效果是:通过PCIE接口虚拟化,可支持虚拟化防火墙和虚拟化VPN,为服务器内网提供虚拟化安全服务。
进一步地,所述板卡还包括存储模块,所述存储模块,用于存储安全策略规则。
本发明解决上述技术问题的另一种技术方案如下:
一种数据处理方法,基于上述技术方案中的服务器板卡,包括以下步骤:
通过主处理器根据配置信息确定板卡的运行模式;
根据所述板卡的运行模式启动FPGA中的防火墙模块或VPN模块;
通过所述主处理器根据所述板卡的运行模式,确定接收的数据报文进入防火墙模块或VPN模块进行处理;
通过所述FPGA配合所述主处理器加速处理所述数据报文。
本发明的有益效果是:基于服务器板卡提供了一种数据处理方法,可通过用户的配置信息确定数据报文通过防火墙处理或VPN处理,可保护服务器的内部网络,同时比传统的防火墙设备或VPN设备使用更加方便。
本发明附加的方面的优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明实践了解到。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面所描述的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种服务器板卡的模块结构图;
图2为本发明另一实施例提供的基于服务器板卡的数据处理方法的示意性流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明的一部分实施例,而不是全部实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都应属于本发明保护的范围。
如图1提供的一种服务器板卡的模块结构图所示,
本实施例提供了一种服务器板卡,该板卡可安装在服务器上,主处理器根据用户的配置信息确定板卡的运行模式,并确定接收到的数据报文进入防火墙模块或VPN模块进行处理;
应理解,实施例中的服务器板卡也可安装在其他网络设备中。
FPGA根据板卡的运行模式启动防火墙模块或VPN模块,并配合板卡的运行模式配合主处理器进行处理。
应理解,主处理器可以是CPU或其他处理器,FPGA可对主处理器处理速度慢的一些模块进行加速处理,FPGA可对包过滤、身份认证、报文加解密等进行硬件加速。
基于本实施例提供一种可安装在服务器上的板卡,根据用户的配置信息设置板卡的模式为防火墙模式或VPN模式,FPGA配合主处理器对接收到的报文进行防火墙处理或VPN处理,在服务器的板卡上集成了防火墙功能或VPN功能,可保护内部网络,同时比传统的防火墙设备或VPN设备部署和配置简单。
基于上述实施例,进一步地,当板卡的运行模式为防火墙模式时,主处理器,用于将数据报文进行报文过滤和防攻击处理;
FPGA,用于根据用户配置的安全策略规则生成加速配置,并根据加速配置,对数据报文进行处理。
进一步地,当板卡的运行模式为VPN模式时,主处理器根据客户端的请求报文,对客户端进行身份认证后,建立加密安全传输隧道,并将接收到的加解密报文发送至FPGA进行预处理;
FPGA根据所述安全策略规则过滤所述数据报文,得到需要进行加解密的数据报文。
应理解,本申请中的防火墙软件包括传统防火墙设备所支持的一些功能模块,如包过滤、攻击防范和用户认证等。
本申请中的VPN软件包括IPSEC协议、SSL协议和用户认证等模块。
进一步地,板卡还包括加解密芯片,加解密芯片,用于当板卡的运行模式为VPN模式时,对主处理器发送的数据报文进行加解密后,发送回主处理器。
进一步地,板卡还包括PCIE模块,PCIE模块包括PCIE接口;
PCIE接口,用于接收服务器转发的数据报文,并将数据报文转发至主处理器。
应理解,PCIE模块可支持高速PCIE协议,如PCIE1.0、2.0、3.0版本,板卡通过PCIE接口与服务器进行通信,可适应不同性能要求和硬件配置的服务器,此外,板卡还可以通过其他接口与服务器进行通信,本申请中不做限制。
进一步地,PCIE接口,用于根据用户的配置多个虚拟化接口;
每个虚拟化接口对应虚拟化防火墙模块或虚拟化VPN模块。
进一步地,当板卡的运行模式是防火墙模式,且PCIE接口配置多个虚拟化接口,配置虚拟化主处理器,配置防火墙模块虚拟化,虚拟化防火墙模块与虚拟化主处理器对应。
进一步地,当板卡的运行模式是VPN模式,且PCIE接口配置多个虚拟化接口,配置虚拟化主处理器,配置VPN模块虚拟化,虚拟化VPN模块与虚拟化主处理器对应。
进一步地,板卡还包括存储模块,存储模块,用于存储安全策略规则。
应理解,存储模块还包括RAM和Flash,其中RAM可为CPU存储数据,Flash可用于存储防火墙软件、VPN软件等。加解密模块可是加解密芯片,作为加解密硬件与主处理器进行交互,可提高报文加解密的效率。
如图2本发明提供的一种数据处理方法的示意性流程图所示,包括以下步骤:
110、通过主处理器根据配置信息确定板卡的运行模式。
应理解,在启动板卡后,首先需要对板卡的模式进行配置,主处理器可处理用户的配置信息,并根据用户的配置启动相应的数据处理模块。
120、根据板卡的运行模式启动FPGA中的防火墙模块或VPN模块。
应理解,PCIE模块作为板卡与服务器之间的接口,可接收或转发服务器发送的数据报文。
130、通过主处理器根据板卡的运行模式,确定接收的数据报文进入防火墙模块或VPN模块进行处理。
应理解,FPGA作为硬件加速,可通过与主处理器交互,将需要耗费较多计算资源的程序进行处理。
140、通过FPGA配合主处理器加速处理数据报文。
通过上述实施例基于服务器板卡提供了一种数据处理方法,可通过用户的配置信息确定数据报文通过防火墙处理或VPN处理,可保护服务器的内部网络,同时比传统的防火墙设备或VPN设备使用更加方便。
基于上述实施例,进一步地,当板卡的运行模式是防火墙模式时,主处理器将数据报文进行报文过滤和防攻击处理,FPGA将安全策略规则生成加速配置,并根据加速配置对数据报文进行匹配处理。
进一步地,当板卡的运行模式是VPN模式时,主处理器建立加密安全传输隧道,并将接收到的加解密报文发送至FPGA进行预处理;FPGA根据安全策略规则过滤数据报文,得到需要进行加解密的数据报文。
进一步地,当板卡的运行模式是VPN模式时,通过加解密芯片将主处理器发送的数据报文进行加解密后,发送至主处理器。
进一步地,通过PCIE接口接收服务器转发的数据报文,并将数据报文转发至主处理器。
进一步地,通过PCIE接口配置多个虚拟化接口,每个虚拟化接口对应相应的虚拟化防火墙模块或虚拟化VPN模块。
进一步地,当板卡的运行模式是防火墙模式,且PCIE接口配置多个虚拟化接口时,对应配置主处理器虚拟化,配置防火墙模块虚拟化。
进一步地,当板卡的运行模式是VPN模式,且PCIE接口配置多个虚拟化接口时,配置主处理器虚拟化,配置VPN模块虚拟化。
应理解,当PCIE接口配置为多个虚拟化接口时,且服务器板卡为防火墙模式时,当接收到数据报文时,判断数据报文是从哪个虚拟化接口中收到的,同时为数据报文添加虚拟标识,将数据报文发送至对应的虚拟化防火墙模块,虚拟化防火墙由对应的虚拟化主处理器进行处理,当数据报文处理完成后需要发送时,根据虚拟标识,将报文发送至对应的虚拟化接口,通过虚拟化接口发送。
应理解,当PCIE接口配置为多个虚拟化接口时,且服务器板卡为VPN模式时,当接收到数据报文时,判断数据报文是从哪个虚拟化接口中收到的,同时为数据报文添加虚拟标识,将数据报文发送至对应的虚拟VPN模块,通过对应的虚拟VPN模块进行安全加解密,虚拟VPN模块包括虚拟安全隧道,当数据报文处理完成后需要发送时,根据虚拟标识将报文发送至对应的虚拟化接口,并通过虚拟化接口发送。
进一步地,通过存储模块存储安全策略规则。
应理解,在本发明各实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
以上,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (10)
1.一种服务器板卡,包括主处理器、FPGA,其特征在于,
所述主处理器,用于根据配置信息确定板卡的运行模式,并根据所述板卡的运行模式,确定接收的数据报文进入防火墙模块或VPN模块进行处理;
所述FPGA,用于根据所述板卡的运行模式启动所述防火墙模块或所述VPN模块,并配合所述主处理器加速处理所述数据报文。
2.根据权利要求1所述的服务器板卡,其特征在于,
当所述板卡的运行模式是防火墙模式时,所述主处理器,用于将所述数据报文进行报文过滤和防攻击处理;
所述FPGA,用于将安全策略规则生成加速配置,并根据所述加速配置,对所述数据报文进行匹配处理。
3.根据权利要求1所述的服务器板卡,其特征在于,
当所述板卡的运行模式是VPN模式时,所述主处理器,用于建立加密安全传输隧道,并将接收到的加解密报文发送至所述FPGA进行预处理;
所述FPGA,用于根据所述安全策略规则过滤所述数据报文,得到需要进行加解密的数据报文。
4.根据权利要求3所述的服务器板卡,其特征在于,
所述板卡还包括加解密芯片;
所述加解密芯片,用于当所述板卡的运行模式是VPN模式时,将所述主处理器发送的数据报文进行加解密后,发送至所述主处理器。
5.根据权利要求1-4中任一项所述的服务器板卡,其特征在于,
所述板卡还包括PCIE接口;
所述PCIE接口,用于接收服务器转发的数据报文,并将所述数据报文转发至所述主处理器。
6.根据权利要求5所述的服务器板卡,其特征在于,
所述PCIE接口,用于配置多个虚拟化接口;
每个所述虚拟化接口对应相应的虚拟化防火墙模块或虚拟化VPN模块。
7.根据权利要求6所述的板卡,其特征在于,
当所述板卡的运行模式是防火墙模式,且所述PCIE接口配置多个虚拟化接口时,对应配置所述主处理器虚拟化,配置所述防火墙模块虚拟化。
8.根据权利要求6所述的板卡,其特征在于,
当所述板卡的运行模式是VPN模式,且所述PCIE接口配置多个虚拟化接口时,配置所述主处理器虚拟化,配置所述VPN模块虚拟化。
9.根据权利要求1所述的板卡,其特征在于,所述板卡还包括存储模块,所述存储模块,用于存储安全策略规则。
10.一种基于如权利要求1-9中任一项所述服务器板卡的数据处理方法,其特征在于,包括:
通过主处理器根据配置信息确定板卡的运行模式;
根据所述板卡的运行模式启动FPGA中的防火墙模块或VPN模块;
通过所述主处理器根据所述板卡的运行模式,确定接收的数据报文进入防火墙模块或VPN模块进行处理;
通过所述FPGA配合所述主处理器加速处理所述数据报文。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910912636.6A CN110719267A (zh) | 2019-09-25 | 2019-09-25 | 一种服务器板卡及其数据处理方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910912636.6A CN110719267A (zh) | 2019-09-25 | 2019-09-25 | 一种服务器板卡及其数据处理方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110719267A true CN110719267A (zh) | 2020-01-21 |
Family
ID=69210890
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910912636.6A Pending CN110719267A (zh) | 2019-09-25 | 2019-09-25 | 一种服务器板卡及其数据处理方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110719267A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111541658A (zh) * | 2020-04-14 | 2020-08-14 | 许艺明 | 一种pcie防火墙 |
| CN113556265A (zh) * | 2021-07-14 | 2021-10-26 | 国家计算机网络与信息安全管理中心 | 数据处理方法、计算机设备及可读存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20020008887A (ko) * | 2000-07-20 | 2002-02-01 | 이광세 | 방화벽 및 vpn(가상개인망)기능의 인터페이스 보드 |
| CN2935648Y (zh) * | 2006-08-04 | 2007-08-15 | 黄耿 | 一种防火墙主板 |
| CN108183901A (zh) * | 2017-12-28 | 2018-06-19 | 湖南大唐先科技有限公司 | 基于fpga的主机安全防护物理卡及其数据处理方法 |
| CN109495517A (zh) * | 2019-01-10 | 2019-03-19 | 紫光股份有限公司 | 一种基于现场可编程门阵列的防火墙装置 |
| US20190108145A1 (en) * | 2018-08-20 | 2019-04-11 | Intel Corporation | Dual in-line memory module (dimm) programmable accelerator card |
-
2019
- 2019-09-25 CN CN201910912636.6A patent/CN110719267A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20020008887A (ko) * | 2000-07-20 | 2002-02-01 | 이광세 | 방화벽 및 vpn(가상개인망)기능의 인터페이스 보드 |
| CN2935648Y (zh) * | 2006-08-04 | 2007-08-15 | 黄耿 | 一种防火墙主板 |
| CN108183901A (zh) * | 2017-12-28 | 2018-06-19 | 湖南大唐先科技有限公司 | 基于fpga的主机安全防护物理卡及其数据处理方法 |
| US20190108145A1 (en) * | 2018-08-20 | 2019-04-11 | Intel Corporation | Dual in-line memory module (dimm) programmable accelerator card |
| CN109495517A (zh) * | 2019-01-10 | 2019-03-19 | 紫光股份有限公司 | 一种基于现场可编程门阵列的防火墙装置 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111541658A (zh) * | 2020-04-14 | 2020-08-14 | 许艺明 | 一种pcie防火墙 |
| CN111541658B (zh) * | 2020-04-14 | 2024-05-31 | 许艺明 | 一种pcie防火墙 |
| CN113556265A (zh) * | 2021-07-14 | 2021-10-26 | 国家计算机网络与信息安全管理中心 | 数据处理方法、计算机设备及可读存储介质 |
| CN113556265B (zh) * | 2021-07-14 | 2024-02-20 | 国家计算机网络与信息安全管理中心 | 数据处理方法、计算机设备及可读存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9923871B1 (en) | Application-aware connection for network access client | |
| US10103892B2 (en) | System and method for an endpoint hardware assisted network firewall in a security environment | |
| CN101076796B (zh) | 为漫游用户建立虚拟专用网络 | |
| WO2019111065A1 (en) | End-to-end communication security | |
| US11729042B2 (en) | IPSec acceleration method, apparatus, and system | |
| US20020116644A1 (en) | Adapter card for wirespeed security treatment of communications traffic | |
| CN110719267A (zh) | 一种服务器板卡及其数据处理方法 | |
| CN114938312B (zh) | 一种数据传输方法和装置 | |
| CN108900324B (zh) | 校验虚拟机通信性能的方法及装置 | |
| CN109040225B (zh) | 一种动态端口桌面接入管理方法和系统 | |
| CN111541658B (zh) | 一种pcie防火墙 | |
| US8676998B2 (en) | Reverse network authentication for nonstandard threat profiles | |
| US20220385631A1 (en) | Distributed traffic steering and enforcement for security solutions | |
| CN115664738A (zh) | 通信方法、装置、电子设备及计算机存储介质 | |
| CN115499177A (zh) | 云桌面访问方法、零信任网关、云桌面客户端和服务端 | |
| CN114285594A (zh) | 一种软件实现设计的密钥协商方法 | |
| US20220174045A1 (en) | Reactive secure communications | |
| CN113922969A (zh) | Intel SGX可信服务集群化部署的实现方法、系统及电子设备 | |
| CN112019418A (zh) | 基于野蛮模式的IPSec隧道建立方法及其装置 | |
| KR101448711B1 (ko) | 통신 암호화를 통한 보안시스템 및 보안방법 | |
| CN218499149U (zh) | 一种嵌入到业务服务器内部的门闸式安全网关 | |
| Alfaw et al. | 5G security threats | |
| Ince et al. | Token-based authentication and access delegation for HW-accelerated telco cloud solution | |
| CN117544396A (zh) | IPSec虚拟专用网客户端和方法 | |
| CN115694853A (zh) | 一种攻击防护方法、装置、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200121 |
|
| RJ01 | Rejection of invention patent application after publication |