CN111865994A - 一种软硬件结合网关防火墙的构建方法及其网络防护方法 - Google Patents

一种软硬件结合网关防火墙的构建方法及其网络防护方法 Download PDF

Info

Publication number
CN111865994A
CN111865994A CN202010720946.0A CN202010720946A CN111865994A CN 111865994 A CN111865994 A CN 111865994A CN 202010720946 A CN202010720946 A CN 202010720946A CN 111865994 A CN111865994 A CN 111865994A
Authority
CN
China
Prior art keywords
network
firewall
gateway
software
layer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010720946.0A
Other languages
English (en)
Other versions
CN111865994B (zh
Inventor
黄茂峰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Jiangsu Anchao Cloud Software Co Ltd
Original Assignee
Jiangsu Anchao Cloud Software Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Jiangsu Anchao Cloud Software Co Ltd filed Critical Jiangsu Anchao Cloud Software Co Ltd
Priority to CN202010720946.0A priority Critical patent/CN111865994B/zh
Publication of CN111865994A publication Critical patent/CN111865994A/zh
Application granted granted Critical
Publication of CN111865994B publication Critical patent/CN111865994B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明提供了一种软硬件结合网关防火墙的构建方法及其网络防护方法,该构建方法包括:获取用户的网关防火墙创建请求;根据网关防火墙创建请求确定网关防火墙节点;在网关防火墙节点上安装智能网卡,并启动智能网卡的网关防火墙卸载功能;将待创建网关防火墙分解为数据链路层和网络层的防火墙以及传输层及其以上网络层次的防火墙;将数据链路层和网络层的防火墙卸载至智能网卡中,并在用户空间创建传输层及其以上网络层次的防火墙,生成软硬件结合网关防火墙。本发明通过在软件网关防火墙基础上,结合智能网卡的卸载技术,为云环境提供了高性能且稳定的软硬件结合网关防火墙服务,智能网卡价格便宜且无需大量的适配开发工作,大大降低开发成本。

Description

一种软硬件结合网关防火墙的构建方法及其网络防护方法
技术领域
本发明涉及数据迁移技术领域,具体涉及一种软硬件结合网关防火墙的构建方法及其网络防护方法。
背景技术
随着网络、虚拟化、存储技术的飞速发展,云计算成为了当前引人关注的网络技术之一,可以说,网络技术已经迈入了云计算时代,各大云计算厂商或大的IT企业纷纷建立自己的数据中心以支撑和发展自己的业务。
随着云计算技术的发展,云环境中的云主机对高性能网关防火墙的需求也在不断上升,无论是公有云还是私有云都对网关防火墙的性能的要求越来越高。目前大部分云环境中采用基于内核+用户态软件的软件网关防火墙方案,或者使用例如负载均衡设备例F5等硬件来实现硬件网关防火墙方案。虽然软件网关防火墙的方案一般价格比较便宜,但是其性能和稳定性到不到保证,难以适应云环境中越来越高的要求;而硬件网关防火墙方案虽然能保证高性能和稳定性,但是其价格普遍比较昂贵,并且通常需要基于所选择的硬件做大量的适配开发,进一步提高硬件网关防火墙的开发成本,因此,如何在云环境中构建开发成本低并且性能优越的网关防火墙,对云计算技术的发展尤为重要。
发明内容
有鉴于此,本发明实施例提供了一种软硬件结合网关防火墙的构建方法及其网络防护方法,以克服现有技术中在云环境中使用的网关防火墙难以兼顾性能和开发成本的问题。
根据第一方面,本发明实施例提供了一种软硬件结合网关防火墙的构建方法,包括:获取用户的网关防火墙创建请求;根据所述网关防火墙创建请求确定网关防火墙节点;在所述网关防火墙节点上安装智能网卡,并启动所述智能网卡的网关防火墙卸载功能;将待创建网关防火墙分解为数据链路层和网络层的防火墙以及传输层及其以上网络层次的防火墙;将所述数据链路层和网络层的防火墙卸载至所述智能网卡中,并在用户空间创建所述传输层及其以上网络层次的防火墙,生成软硬件结合网关防火墙。
可选地,所述网关防火墙创建请求包括:所有待保护网络的网络信息;所述根据所述网关防火墙创建请求确定网关防火墙节点,包括:根据各待保护网络的网络信息确定各待保护网络所对应的网关;将所述网关对应的网关节点确定为所述网关防火墙节点。
根据第二方面,本发明实施例提供了一种软硬件结合网关防火墙的网络防护方法,应用于如本发明实施例提供的第一方面及其可选实施方式所述的软硬件结合网关防火墙的构建方法构建的软硬件结合网关防火墙,所述软硬件结合网关防火墙的网络防护方法包括:接收网络数据包:将网络数据包发送至智能网卡,由所述智能网卡对数据链路层和网络层的数据处理,并将数据处理后的网络数据包发送至用户空间创建的传输层及其以上网络层次的防火墙进行传输层及其以上网络层次的数据处理;发送经过传输层及其以上网络层次的数据处理后的网络数据包。
可选地,所述网络数据包包括由外网发送的网络数据包以及由内网中计算节点发送的网络数据包。
可选地,当所述网络数据包为由外网发送的网络数据包时,将经过传输层及其以上网络层次的数据处理后的网络数据包根据网络数据包的目的地址通过内网网卡发送至所述目的地址对应的内网计算节点。
可选地,当所述网络数据包为内网中计算节点发送的网络数据包时,将经过传输层及其以上网络层次的数据处理后的网络数据包根据网络数据包的目的地址通过外网网卡发送至所述目的地址对应的外网。
根据第三方面,本发明实施例提供了一种软硬件结合网关防火墙的构建装置,包括:获取模块,用于获取用户的网关防火墙创建请求;确定模块,用于根据所述网关防火墙创建请求确定网关防火墙节点;智能网卡启动模块,用于在所述网关防火墙节点上安装智能网卡,并启动所述智能网卡的网关防火墙卸载功能;分解模块,用于将待创建网关防火墙分解为数据链路层和网络层的防火墙以及传输层及其以上网络层次的防火墙;创建模块,用于将所述数据链路层和网络层的防火墙卸载至所述智能网卡中,并在用户空间创建所述传输层及其以上网络层次的防火墙,生成软硬件结合网关防火墙。
根据第四方面,本发明实施例提供了一种软硬件结合网关防火墙的网络防护装置,应用于本发明实施例提供的第三方面所述的软硬件结合网关防火墙的构建装置构建的软硬件结合网关防火墙,所述软硬件结合网关防火墙的网络防护装置包括:接收模块,用于接收网络数据包:处理模块,用于将网络数据包发送至智能网卡,由所述智能网卡对数据链路层和网络层的数据处理,并将数据处理后的网络数据包发送至用户空间创建的传输层及其以上网络层次的防火墙进行传输层及其以上网络层次的数据处理;发送模块,用于发送经过传输层及其以上网络层次的数据处理后的网络数据包。
根据第五方面,本发明实施例还提供了一种电子设备,包括:存储器和处理器,所述存储器和所述处理器之间互相通信连接,所述存储器中存储有计算机指令,所述处理器通过执行所述计算机指令,从而执行本发明实施例提供的第一方面及第一方面可选实施方式所述的软硬件结合网关防火墙的构建方法,或者,执行本发明实施例提供的第二方面及第二方面任意一种可选实施方式所述的软硬件结合网关防火墙的网络防护方法。
根据第六方面,本发明实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质存储计算机指令,所述计算机指令用于使所述计算机执行本发明实施例提供的第一方面及第一方面可选实施方式所述的软硬件结合网关防火墙的构建方法,或者,执行本发明实施例提供的第二方面及第二方面任意一种可选实施方式所述的软硬件结合网关防火墙的网络防护方法。
本发明技术方案,具有如下优点:
本发明实施例提供了一种软硬件结合网关防火墙的构建方法及装置,通过获取用户的网关防火墙创建请求来确定网关防火墙节点,并在该节点上安装智能网卡,开启智能网卡的网关防火墙卸载功能,然后将待创建网关防火墙分解为数据链路层和网络层的防火墙以及传输层及其以上网络层次的防火墙,然后将数据链路层和网络层的防火墙卸载至所述智能网卡中,并在用户空间创建所述传输层及其以上网络层次的防火墙,生成软硬件结合网关防火墙,从而通过利用价格优惠的支持网关防火墙卸载功能的智能网卡,来实现数据链路层和网络层的防火墙功能,而传输层及其以上网络层次的防火墙在用户空间完成,从而无需经过内核空间,为云环境提供了高性能且稳定的网关防火墙服务,并且通过软硬件结合的方式,即保证了高性能与稳定性,又减少了大量的适配开发工作,此外,由于智能网卡自身的价格优势,只需较低的成本即可实现能匹敌硬件网关防火墙的高性能和高稳定性的网关防火墙服务。
本发明实施例提供了一种软硬件结合网关防火墙的网络防护方法及装置,通过获取网络数据包,并对网络数据包利用本发明另一实施例提供的软硬件结合网关防火墙的构建方法构建的软硬件结合网关防火墙进行处理后发送出去,实现了网关防火墙服务。从而通过利用价格优惠的支持网关防火墙卸载功能的智能网卡,来实现数据链路层和网络层的防火墙功能,而传输层及其以上网络层次的防火墙在用户空间完成,从而无需经过内核空间,为云环境提供了高性能且稳定的网关防火墙服务,并且通过软硬件结合的方式,即保证了高性能与稳定性,又减少了大量的适配开发工作,此外,由于智能网卡自身的价格优势,只需较低的成本即可实现能匹敌硬件网关防火墙的高性能和高稳定性的网关防火墙服务。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例中的软硬件结合网关防火墙的构建方法的流程图;
图2为本发明实施例中的软硬件结合网关防火墙的网络防护方法的流程图;
图3为本发明实施例中的软硬件结合网关防火墙的具体工作过程示意图;
图4为本发明实施例中的软硬件结合网关防火墙的另一具体工作过程示意图;
图5为本发明实施例中的软硬件结合网关防火墙的构建装置的结构示意图;
图6为本发明实施例中的软硬件结合网关防火墙的网络防护装置的结构示意图;
图7为本发明实施例中的电子设备的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
下面所描述的本发明不同实施方式中所涉及的技术特征只要彼此之间未构成冲突就可以相互结合。
本发明实施例提供了一种软硬件结合网关防火墙的构建方法,该方法应用于云计算系统中的网关防火墙代理节点,其可以响应云计算系统中控制节点对网关防火墙进行管理,控制节点包括网关防火墙服务器和接口服务器,如图1所示,该软硬件结合网关防火墙的构建方法具体包括如下步骤:
步骤S101:获取用户的网关防火墙创建请求。具体地,该网关防火墙创建请求为用户根据自身需要设置的,其具体包括用户所希望通过网关防火墙进行网络保护的所有待保护网络的网络信息,在实际应用中,待保护网络为云计算系统中的云环境内需要保护的虚拟主机,该云计算系统可以是Linux系统或者unix系统。用户将网关防火墙创建请求发送至云计算系统中的接口服务器,由接口服务器向用户提供接口来操作负载均衡器,包括创建、删除、更新等,并将创建请求发送给网关防火墙服务器,网关防火墙服务器接收接口服务器的信息来操作云环境中的网关防火墙,如创建、删除、修改等。具体地,网关防火墙服务器可通过调度设置于网关防火墙节点上的网关防火墙代理来操作网关防火墙。
步骤S102:根据网关防火墙创建请求确定网关防火墙节点。具体地,根据上述所有待保护网络的网络信息,确定这些待保护网络所对应的网关,也即需要对该网关设置网关防火墙以为所有待保护网络提供网络安全服务,并将该网关对应的网关节点确定为网关防火墙节点。
步骤S103:在网关防火墙节点上安装智能网卡,并启动智能网卡的网关防火墙卸载功能。具体地,要在网关防火墙节点上创建网关防火墙,首先需要在该网关防火墙节点上安装具有卸载功能的智能网卡,当前主流的智能网卡均支持数据链路层和网络层防火墙的卸载,关于具有卸载功能的智能网卡的详细介绍参见现有技术中的相关描述,在此不再进行赘述。然后启动该智能网卡的网关防火墙卸载功能。
步骤S104:将待创建网关防火墙分解为数据链路层和网络层的防火墙以及传输层及其以上网络层次的防火墙。具体地,根据网络OSI七层模型,由于物理层(L1)一般无需设置防火墙的访问控制,因此可以将待创建的网关防火墙按照功能分解为数据链路层和网络层的防火墙以及传输层及其以上网络层次的防火墙。其中,数据链路层和网络层的防火墙用于实现网络OSI七层模型中数据链路层(L2)及网络层(L3)的数据访问控制,传输层及其以上网络层次的防火墙则用于实现传输层(L4)、会话层(L5)、表示层(L6)以及应用层(L7)的数据访问控制。
步骤S105:将数据链路层和网络层的防火墙卸载至智能网卡中,并在用户空间创建传输层及其以上网络层次的防火墙,生成软硬件结合网关防火墙。具体地,通过利用智能网卡的网关防火墙卸载功能,将数据链路层和网络层的防火墙所实现的数据访问控制功能卸载至智能网卡中,由智能网卡这一硬件设备来实现对数据链路层(L2)及网络层(L3)的数据访问进行控制,从而避免了传统的软件防火墙方案通过依靠内核空间来对数据链路层(L2)及网络层(L3)的数据访问进行控制,而利用内核空间设置的防火墙的性能和稳定性到不到保证的问题,通过利用硬件防火墙可以保证高性能和稳定性,并且由于智能网卡自身价格优势,比专门的硬件网关防火墙成本优势明显,且无需进行大量适配开发工作,进一步降低了开发成本。然后在用户空间创建传输层及其以上网络层次的防火墙,从而实现软硬件结合网关防火墙,由于其在用户空间创建因此不必通过内核空间,进而进一步提高了防火墙的性能和稳定性。
相比在内核空间处理数据链路层和网络层的防火墙,智能网卡是硬件,在网卡中处理数据链路层和网络层的防火墙的性能和稳定性都会得到很大的提升,继而提升整体网关防火墙的性能和稳定性。在软件方面,网关防火墙代理对网关防火墙的分层和分发可以灵活地响应各种请求,相比硬件网关防火墙适配云环境要做大量的开发工作,本发明实施例提供的技术方案更高效。智能网卡相比硬件网关防火墙,价格也要便宜许多。
基于上述关于本发明实施例的相关描述,本发明主要是在软件网关防火墙基础上,结合智能网卡的卸载技术,为云环境提供了高性能且稳定的网关防火墙服务。这种软硬件结合的方案,可以发挥用户态软件和智能网卡硬件的各自优点,即保证了高性能与稳定性,又减少了大量的适配开发工作,最重要的是价格适中,比硬件网关防火墙更便宜,可以大大降低开发成本。并且基于灵活的网关防火墙代理软件支持在云环境上的大规模部署,提高网关防火墙的部署效率。
通过执行上述步骤S101至步骤S105本发明实施例提供的一种软硬件结合网关防火墙的构建方法,通过获取用户的网关防火墙创建请求来确定网关防火墙节点,并在该节点上安装智能网卡,开启智能网卡的网关防火墙卸载功能,然后将待创建网关防火墙分解为数据链路层和网络层的防火墙以及传输层及其以上网络层次的防火墙,然后将数据链路层和网络层的防火墙卸载至智能网卡中,并在用户空间创建传输层及其以上网络层次的防火墙,生成软硬件结合网关防火墙,从而通过利用价格优惠的支持网关防火墙卸载功能的智能网卡,来实现数据链路层和网络层的防火墙功能,而传输层及其以上网络层次的防火墙在用户空间完成,从而无需经过内核空间,为云环境提供了高性能且稳定的网关防火墙服务,并且通过软硬件结合的方式,即保证了高性能与稳定性,又减少了大量的适配开发工作,此外,由于智能网卡自身的价格优势,只需较低的成本即可实现能匹敌硬件网关防火墙的高性能和高稳定性的网关防火墙服务。
本发明实施例还提供了一种软硬件结合网关防火墙的网络防护方法,应用于如本发明另一实施例提供的软硬件结合网关防火墙的构建方法构建的软硬件结合网关防火墙,如图2所示,该软硬件结合网关防火墙的网络防护方法具体包括如下步骤:
步骤S201:接收网络数据包。具体地,该网络数据包包括由外网发送的网络数据包以及由内网中计算节点发送的网络数据包。在实际应用中,云计算系统内部的各个计算节点需要与外网进行数据传输时,首先将包含传输数据的网络数据包发送至软硬件结合网关防火墙,同样,当外网需要访问云计算系统内部计算节点所承载的虚拟主机时,也需要将包含访问数据的网络数据包发送至软硬件结合网关防火墙,软硬件结合网关防火墙对接收到的网络数据包进行数据访问控制。
步骤S202:将网络数据包发送至智能网卡,由智能网卡对数据链路层和网络层的数据处理,并将数据处理后的网络数据包发送至用户空间创建的传输层及其以上网络层次的防火墙进行传输层及其以上网络层次的数据处理。具体地,软硬件结合网关防火墙首先将接收到的网络数据包交给卸载到智能网卡中的数据链路层和网络层网关防火墙进行访问控制的数据处理,处理之后,再将处理后的网络数据包直接丢给用户空间创建的传输层及其以上网络层次的防火墙进行访问控制的数据处理,而无需经过内核空间,最后将处理完的网络数据包根据目的地址发送出去。
步骤S203:发送经过传输层及其以上网络层次的数据处理后的网络数据包。具体地,当网络数据包为由外网发送的网络数据包时,将经过传输层及其以上网络层次的数据处理后的网络数据包根据网络数据包的目的地址通过内网网卡发送至目的地址对应的内网计算节点;当网络数据包为内网中计算节点发送的网络数据包时,将经过传输层及其以上网络层次的数据处理后的网络数据包根据网络数据包的目的地址通过外网网卡发送至目的地址对应的外网。
下面将结合具体应用示例,对本发明实施例提供的软硬件结合网关防火墙网络防护方法进行详细的介绍。
当云计算系统内网中的计算节点访问外网的网络数据包经过软硬件网关防火墙时,其具体过程如图3所示,图3中的内网网卡(该网卡是智能网卡)接受到该网络数据包后,会先交给卸载到智能网卡中的L2/L3Layer Firewall即数据链路层和网络层的防火墙去处理,处理之后,再将处理后到数据包直接丢给用户空间的L4~L7Layer Firewall即传输层及其以上网络层次的网关防火墙去处理,不用经过内核;L4~L7Layer Firewall处理完数据包之后,会经由外网网卡送到外网。
当云计算系统外网访问内网中计算节点的网络数据包经过软硬件网关防火墙时,其具体过程如图4所示,图4中的外网网卡(该网卡是智能网卡)接受到该网络数据包后,会先交给卸载到智能网卡中的L2/L3Layer Firewall即数据链路层和网络层的防火墙去处理,处理之后,再将处理后到数据包直接丢给用户空间的L4~L7Layer Firewall即传输层及其以上网络层次的网关防火墙去处理,不用经过内核;L4~L7Layer Firewall处理完数据包之后,会经由内网网卡送到内网。
通过执行上述步骤S201至步骤S203,本发明实施例提供的软硬件结合网关防火墙的网络防护方法,通过获取网络数据包,并对网络数据包利用本发明另一实施例提供的软硬件结合网关防火墙的构建方法构建的软硬件结合网关防火墙进行处理后发送出去,实现了网关防火墙服务。从而通过利用价格优惠的支持网关防火墙卸载功能的智能网卡,来实现数据链路层和网络层的防火墙功能,而传输层及其以上网络层次的防火墙在用户空间完成,从而无需经过内核空间,为云环境提供了高性能且稳定的网关防火墙服务,并且通过软硬件结合的方式,即保证了高性能与稳定性,又减少了大量的适配开发工作,此外,由于智能网卡自身的价格优势,只需较低的成本即可实现能匹敌硬件网关防火墙的高性能和高稳定性的网关防火墙服务。
本发明实施例还提供了一种软硬件结合网关防火墙的构建装置,如图5所示,该软硬件结合网关防火墙的构建装置包括:
获取模块101,用于获取用户的网关防火墙创建请求。详细内容参见上述方法实施例步骤S101的相关描述,在此不再进行赘述。
确定模块102,用于根据网关防火墙创建请求确定网关防火墙节点。详细内容参见上述方法实施例步骤S102的相关描述,在此不再进行赘述。
智能网卡启动模块103,用于在网关防火墙节点上安装智能网卡,并启动智能网卡的网关防火墙卸载功能。详细内容参见上述方法实施例步骤S103的相关描述,在此不再进行赘述。
分解模块104,用于将待创建网关防火墙分解为数据链路层和网络层的防火墙以及传输层及其以上网络层次的防火墙。详细内容参见上述方法实施例步骤S104的相关描述,在此不再进行赘述。
创建模块105,用于将数据链路层和网络层的防火墙卸载至智能网卡中,并在用户空间创建传输层及其以上网络层次的防火墙,生成软硬件结合网关防火墙。详细内容参见上述方法实施例步骤S105的相关描述,在此不再进行赘述。
通过上述各个组成部分的协同合作,本发明实施例提供的软硬件结合网关防火墙的构建装置,通过获取用户的网关防火墙创建请求来确定网关防火墙节点,并在该网关防火墙节点上安装智能网卡,开启智能网卡的网关防火墙卸载功能,然后将待创建网关防火墙分解为数据链路层和网络层的防火墙以及传输层及其以上网络层次的防火墙,然后将数据链路层和网络层的防火墙卸载至智能网卡中,并在用户空间创建传输层及其以上网络层次的防火墙,生成软硬件结合网关防火墙,从而通过利用价格优惠的支持网关防火墙卸载功能的智能网卡,来实现数据链路层和网络层的防火墙功能,而传输层及其以上网络层次的防火墙在用户空间完成,从而无需经过内核空间,为云环境提供了高性能且稳定的网关防火墙服务,并且通过软硬件结合的方式,即保证了高性能与稳定性,又减少了大量的适配开发工作,此外,由于智能网卡自身的价格优势,只需较低的成本即可实现能匹敌硬件网关防火墙的高性能和高稳定性的网关防火墙服务。
本发明实施例还提供了一种软硬件结合网关防火墙的网络防护装置,应用于如本发明另一实施例提供的软硬件结合网关防火墙的构建装置构建的软硬件结合网关防火墙,如图6所示,该软硬件结合网关防火墙的网络防护装置包括:
接收模块201,用于接收网络数据包。详细内容参见上述方法实施例步骤S201的相关描述,在此不再进行赘述。
处理模块202,用于将网络数据包发送至智能网卡,由智能网卡对数据链路层和网络层的数据处理,并将数据处理后的网络数据包发送至用户空间创建的传输层及其以上网络层次的防火墙进行传输层及其以上网络层次的数据处理。详细内容参见上述方法实施例步骤S202的相关描述,在此不再进行赘述。
发送模块203,用于发送经过传输层及其以上网络层次的数据处理后的网络数据包。详细内容参见上述方法实施例步骤S203的相关描述,在此不再进行赘述。
通过上述各个组成部分的协同合作,本发明实施例提供的软硬件结合网关防火墙的网络防护装置,通过获取网络数据包,并对网络数据包利用本发明另一实施例提供的软硬件结合网关防火墙的构建方法构建的软硬件结合网关防火墙进行处理后发送出去,实现了网关防火墙服务。从而通过利用价格优惠的支持网关防火墙卸载功能的智能网卡,来实现数据链路层和网络层的防火墙功能,而传输层及其以上网络层次的防火墙在用户空间完成,从而无需经过内核空间,为云环境提供了高性能且稳定的网关防火墙服务,并且通过软硬件结合的方式,即保证了高性能与稳定性,又减少了大量的适配开发工作,此外,由于智能网卡自身的价格优势,只需较低的成本即可实现能匹敌硬件网关防火墙的高性能和高稳定性的网关防火墙服务。
根据本发明实施例还提供了一种电子设备,如图7所示,该电子设备可以包括处理器901和存储器902,其中处理器901和存储器902可以通过总线或者其他方式连接,图7中以通过总线连接为例。
处理器901可以为中央处理器(Central Processing Unit,CPU)。处理器901还可以为其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等芯片,或者上述各类芯片的组合。
存储器902作为一种非暂态计算机可读存储介质,可用于存储非暂态软件程序、非暂态计算机可执行程序以及模块,如本发明方法实施例中的方法所对应的程序指令/模块。处理器901通过运行存储在存储器902中的非暂态软件程序、指令以及模块,从而执行处理器的各种功能应用以及数据处理,即实现上述方法实施例中的方法。
存储器902可以包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需要的应用程序;存储数据区可存储处理器901所创建的数据等。此外,存储器902可以包括高速随机存取存储器,还可以包括非暂态存储器,例如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施例中,存储器902可选包括相对于处理器901远程设置的存储器,这些远程存储器可以通过网络连接至处理器901。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
一个或者多个模块存储在存储器902中,当被处理器901执行时,执行上述方法实施例中的方法。
上述电子设备具体细节可以对应参阅上述方法实施例中对应的相关描述和效果进行理解,此处不再赘述。
本领域技术人员可以理解,实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)、随机存储记忆体(Random Access Memory,RAM)、快闪存储器(Flash Memory)、硬盘(Hard Disk Drive,缩写:HDD)或固态硬盘(Solid-StateDrive,SSD)等;存储介质还可以包括上述种类的存储器的组合。
虽然结合附图描述了本发明的实施例,但是本领域技术人员可以在不脱离本发明的精神和范围的情况下作出各种修改和变型,这样的修改和变型均落入由所附权利要求所限定的范围之内。

Claims (10)

1.一种软硬件结合网关防火墙的构建方法,其特征在于,包括:
获取用户的网关防火墙创建请求;
根据所述网关防火墙创建请求确定网关防火墙节点;
在所述网关防火墙节点上安装智能网卡,并启动所述智能网卡的网关防火墙卸载功能;
将待创建网关防火墙分解为数据链路层和网络层的防火墙以及传输层及其以上网络层次的防火墙;
将所述数据链路层和网络层的防火墙卸载至所述智能网卡中,并在用户空间创建所述传输层及其以上网络层次的防火墙,生成软硬件结合网关防火墙。
2.根据权利要求1所述软硬件结合网关防火墙的构建方法,其特征在于,所述网关防火墙创建请求包括:所有待保护网络的网络信息;所述根据所述网关防火墙创建请求确定网关防火墙节点,包括:
根据各待保护网络的网络信息确定各待保护网络所对应的网关;
将所述网关对应的网关节点确定为所述网关防火墙节点。
3.一种软硬件结合网关防火墙的网络防护方法,应用于如权利要求1-2任一项所述的软硬件结合网关防火墙的构建方法构建的软硬件结合网关防火墙,其特征在于,所述软硬件结合网关防火墙的网络防护方法包括:
接收网络数据包:
将网络数据包发送至智能网卡,由所述智能网卡对数据链路层和网络层的数据处理,并将数据处理后的网络数据包发送至用户空间创建的传输层及其以上网络层次的防火墙进行传输层及其以上网络层次的数据处理;
发送经过传输层及其以上网络层次的数据处理后的网络数据包。
4.根据权利要求3所述的软硬件结合网关防火墙的网络防护方法,其特征在于,
所述网络数据包包括由外网发送的网络数据包以及由内网中计算节点发送的网络数据包。
5.根据权利要求4所述的软硬件结合网关防火墙的网络防护方法,其特征在于,
当所述网络数据包为由外网发送的网络数据包时,将经过传输层及其以上网络层次的数据处理后的网络数据包根据网络数据包的目的地址通过内网网卡发送至所述目的地址对应的内网计算节点。
6.根据权利要求4所述的软硬件结合网关防火墙的网络防护方法,其特征在于,
当所述网络数据包为内网中计算节点发送的网络数据包时,将经过传输层及其以上网络层次的数据处理后的网络数据包根据网络数据包的目的地址通过外网网卡发送至所述目的地址对应的外网。
7.一种软硬件结合网关防火墙的构建装置,其特征在于,包括:
获取模块,用于获取用户的网关防火墙创建请求;
确定模块,用于根据所述网关防火墙创建请求确定网关防火墙节点;
智能网卡启动模块,用于在所述网关防火墙节点上安装智能网卡,并启动所述智能网卡的网关防火墙卸载功能;
分解模块,用于将待创建网关防火墙分解为数据链路层和网络层的防火墙以及传输层及其以上网络层次的防火墙;
创建模块,用于将所述数据链路层和网络层的防火墙卸载至所述智能网卡中,并在用户空间创建所述传输层及其以上网络层次的防火墙,生成软硬件结合网关防火墙。
8.一种软硬件结合网关防火墙的网络防护装置,应用于如权利要求7所述的软硬件结合网关防火墙的构建装置构建的软硬件结合网关防火墙,其特征在于,所述软硬件结合网关防火墙的网络防护装置包括:
接收模块,用于接收网络数据包:
处理模块,用于将网络数据包发送至智能网卡,由所述智能网卡对数据链路层和网络层的数据处理,并将数据处理后的网络数据包发送至用户空间创建的传输层及其以上网络层次的防火墙进行传输层及其以上网络层次的数据处理;
发送模块,用于发送经过传输层及其以上网络层次的数据处理后的网络数据包。
9.一种电子设备,其特征在于,包括:
存储器和处理器,所述存储器和所述处理器之间互相通信连接,所述存储器中存储有计算机指令,所述处理器通过执行所述计算机指令,从而执行如权利要求1-2任一项所述的软硬件结合网关防火墙的构建方法,或者,执行如权利要求3-6任一项所述的软硬件结合网关防火墙的网络防护方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使所述计算机从而执行如权利要求1-2任一项所述的软硬件结合网关防火墙的构建方法,或者,执行如权利要求3-6任一项所述的软硬件结合网关防火墙的网络防护方法。
CN202010720946.0A 2020-07-23 2020-07-23 一种软硬件结合网关防火墙的构建方法及其网络防护方法 Active CN111865994B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010720946.0A CN111865994B (zh) 2020-07-23 2020-07-23 一种软硬件结合网关防火墙的构建方法及其网络防护方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010720946.0A CN111865994B (zh) 2020-07-23 2020-07-23 一种软硬件结合网关防火墙的构建方法及其网络防护方法

Publications (2)

Publication Number Publication Date
CN111865994A true CN111865994A (zh) 2020-10-30
CN111865994B CN111865994B (zh) 2022-08-02

Family

ID=72951113

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010720946.0A Active CN111865994B (zh) 2020-07-23 2020-07-23 一种软硬件结合网关防火墙的构建方法及其网络防护方法

Country Status (1)

Country Link
CN (1) CN111865994B (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106302518A (zh) * 2016-09-13 2017-01-04 西安莫贝克半导体科技有限公司 一种软硬件结合的网络防火墙
CN106487784A (zh) * 2016-09-28 2017-03-08 东软集团股份有限公司 一种会话迁移的方法、装置及防火墙
CN107968770A (zh) * 2016-10-19 2018-04-27 北京计算机技术及应用研究所 基于国产自主软硬件平台的网络防火墙及其数据处理方法
CN110391993A (zh) * 2019-07-12 2019-10-29 苏州浪潮智能科技有限公司 一种数据处理方法及系统
US20200007500A1 (en) * 2016-02-08 2020-01-02 Cryptzone North America, Inc. Protecting network devices by a firewall
CN111224821A (zh) * 2019-12-31 2020-06-02 北京山石网科信息技术有限公司 安全服务部署系统、方法及装置

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20200007500A1 (en) * 2016-02-08 2020-01-02 Cryptzone North America, Inc. Protecting network devices by a firewall
CN106302518A (zh) * 2016-09-13 2017-01-04 西安莫贝克半导体科技有限公司 一种软硬件结合的网络防火墙
CN106487784A (zh) * 2016-09-28 2017-03-08 东软集团股份有限公司 一种会话迁移的方法、装置及防火墙
CN107968770A (zh) * 2016-10-19 2018-04-27 北京计算机技术及应用研究所 基于国产自主软硬件平台的网络防火墙及其数据处理方法
CN110391993A (zh) * 2019-07-12 2019-10-29 苏州浪潮智能科技有限公司 一种数据处理方法及系统
CN111224821A (zh) * 2019-12-31 2020-06-02 北京山石网科信息技术有限公司 安全服务部署系统、方法及装置

Also Published As

Publication number Publication date
CN111865994B (zh) 2022-08-02

Similar Documents

Publication Publication Date Title
US20220107848A1 (en) Edge service providing method and apparatus, and device
US20210004245A1 (en) Deploying service containers in an adapter device
US11275530B2 (en) Method, system, and related device for NAS data access
US9535871B2 (en) Dynamic routing through virtual appliances
US9454392B2 (en) Routing data packets between virtual machines using shared memory without copying the data packet
US9363172B2 (en) Managing a configurable routing scheme for virtual appliances
US9588807B2 (en) Live logical partition migration with stateful offload connections using context extraction and insertion
US11294735B2 (en) Method and apparatus for accessing desktop cloud virtual machine, and desktop cloud controller
WO2018121334A1 (zh) 一种提供网页应用服务的方法、装置、电子设备及系统
JP2018518744A (ja) コンピュートクラスタ内のリソースインスタンスグループの自動スケーリング
WO2013049991A1 (en) Network adapter hardware state migration discovery in a stateful environment
US20240272932A1 (en) Method and apparatus for live migration based on remote direct memory access, and device
CN107580011B (zh) 一种数据共享方法及桌面云服务端
CN112333017B (zh) 一种服务配置方法、装置、设备及存储介质
US11392402B1 (en) Coordinated migration of network-accessible services while maintaining service availability in prior environment
CN110209498B (zh) 基于私有云的跨可用区资源调度方法
US10244085B2 (en) Transmission control protocol (TPC) data handling
CN111865994B (zh) 一种软硬件结合网关防火墙的构建方法及其网络防护方法
CN110795209B (zh) 一种控制方法和装置
CN108829340B (zh) 存储处理方法、装置、存储介质及处理器
CN115865921A (zh) 一种构建容器网络的方法、系统、存储介质、电子设备
EP3857826A1 (en) Flexible unnumbered destination tunnels for virtual networks
CN112272209B (zh) 分布式对象存储中网关分离方法、装置、设备及存储介质
CN114205149A (zh) 网络通信方法及装置
CN110753043B (zh) 一种通信方法、装置、服务器及介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant