[发明专利]一种基于多核网络处理器的防火墙实现方法

说明书

技术领域

本发明涉及计算机网络技术领域，特别涉及一种基于多核网络处理器的防火墙系统及实现方法。 

背景技术

随着社会的不断发展，计算机网络在全世界范围内的普及率越来越高。随着而来的是网络安全问题层出不穷，人们越来越重视信息的安全性。防火墙技术正是一种有效保护网络安全的技术，防火墙产品已逐渐发展成为维护网络安全所必不可少的组成部分。 

然而，随着计算机网络技术的飞速发展，网络流量急剧增加，各种新兴业务层出不穷，这就要求防火墙必须具有高效处理网络数据报文的能力，而防火墙功能和性能的矛盾一直是困扰信息安全产品的问题。传统的防火墙主要是基于x86软件平台开源项目和ASIC专用芯片平台，但是x86软件平台开源项目的防火墙最大的缺点就是小包通过率低，造成该缺点的主要原因是x86软件平台开源项目的中断机制以及有数据都要经过复杂的软件IP协议栈以及其他的辅助流程处理。目前市场上大多数的x86软件平台开源项目防火墙不能作为大容量千兆防火墙使用，只能作为小型百兆防火墙。基于ASIC专用芯片平台架构的防火墙从架构上改进了中断机制，数据通过网卡进入系统后，不需经过主CPU软件IP协议栈和辅助流程处理，而是由集成在系统中的芯片直接处理，完成防火墙的功能，如路由、NAT、防火墙规则匹配等，因此，其性能得到了大幅度的提升。但问题是，这种防火墙在设计时，就必须将安全功能固化进ASIC专用芯片中，所以它的灵活性不够，如果想要增添新的功能或进行系统升级，开发周期较长，对技术的要求也很高。 

可见，现有防火墙技术无法同时兼备高效处理网络数据报文的能力和较高的灵活性。 

发明内容

本发明针对现有防火墙技术不能同时兼备高效处理网络数据报文的能力和较高的灵活性的技术问题，提供一种基于多核网络处理器的防火墙系统及实现方法，在多核网络处理器架构上实现防火墙，可以解决x86软件平台开源项目的防火墙性能不高和ASIC专用芯片架构 的防火墙灵活性不够的技术问题。 

为解决上述技术问题，本发明防火墙实现方法所采用的技术方案是：一种基于多核网络处理器的防火墙实现方法，包括以下步骤： 

步骤1、在多核网络处理器的一部分核上运行通用操作系统，在运行通用操作系统上加载通用防火墙模块、防火墙配置工具及防火墙规则处理模块；在多核网络处理器的其余核上运行专用操作系统，在运行专用操作系统的每一个核上加载防火墙规则转换模块和专用防火墙模块； 

步骤2、通过防火墙配置工具添加防火墙规则，防火墙配置工具将所添加的防火墙规则解析后将防火墙规则提交给通用防火墙模块供其使用； 

步骤3、防火墙规则处理模块将防火墙规则从通用防火墙模块中提取出来，并将其进行转换，转换后将防火墙规则写到多核网络处理器的共享内存中形成防火墙规则表，该规则表供专用防火墙模块使用； 

步骤4、当网络数据报文到来时，将该网络数据报文发送给专用防火墙模块处理；防火墙规则转换模块通过从防火墙规则表中读取防火墙规则，并将所读取的防火墙规则转换成适合在专用防火墙模块上执行的形式，再交给专用防火墙模块来实现其防火墙功能； 

步骤5、对于专用防火墙模块处理不了的数据包则发送给通用防火墙模块处理。 

优选地，步骤4所述专用防火墙模块实现其防火墙功能步骤如下： 

步骤41：收到网络数据报文后，对网络数据报文中的数据包进行分类和标记，按照设定的优先级，将网络数据报文放到对应的优先级队列中； 

步骤42：采用负荷分担策略将网络数据报文按照加载了专用防火墙模块的核的负载进行分发，使所有加载了专用防火墙模块的核工作负担达到均衡； 

步骤43：所有加载了专用防火墙模块的核均通过防火墙规则表读取防火墙规则，实现防火墙功能。 

优选地，步骤42所述负载分担策略的步骤如下： 

当专用防火墙模块处于空闲状态时，按优先级从高到低顺序去获取优先权队列中的网络数据报文，如果优先级高的网络数据包存储队列中没有数据报文，则按优先级从高到低的队列依次往下获取，直到获取到为止。 

所述专用防火墙模块的防火墙功能包括数据过滤、连接跟踪和网络地址转换。 

优选地，步骤5在通用操作系统下的通用防火墙模块与专用操作系统下的专用防火墙模块共同达到防火墙的功能和性能合理优化组合。步骤5包括以下步骤：