[发明专利]一种基于多处理器架构的防火墙

说明书

一种基于多处理器架构的防火墙，包括：对防火墙的管理流程进行处理的主处理器；对防火墙的业务流程进行并行处理的协处理器；主处理器与所述协处理器之间相互独立，通过通信接口进行通信。本发明的防火墙采用双处理器架构，两个处理器之间相互独立，通过通信接口进行有限通信，在主处理器遭受网络攻击或主处理器不能正常工作时，协处理器的业务处理单元仍能够正常处理业务流程。本发明的防火墙将报文深度解析、基础策略匹配、工控协议功能码匹配、工控协议参数匹配、告警信息上传等模块，与其他工控防火墙相比，减少的处理时间达到几个数量级，在千兆速率线速、64字节以太网报文情况下达到100％吞吐量。

技术领域

本发明涉及防火墙技术领域，具体涉及一种基于多处理器架构的防火墙。

背景技术

基于硬件的传统工控防火墙在硬件方面一般采用了主流的几种架构：X86、ASIC、NP、MIPS和ARM。由于其常用操作系统采用的多是基于通用操作系统，而通用操作系统未充分考虑操作系统本身的安全性，安全机制不健全导致存在很多的安全漏洞和隐患，如，防火墙遭受到越来越多的基于操作系统漏洞、后门的病毒和木马的攻击。修改操作系统核心代码难度巨大，而在不修改操作系统核心代码仅在操作系统外围增加各种安全技术和防护措施，都不能从根本上解决安全问题。

工业网络环境中工控设备对于实时性传输反馈要求非常高，响应超时就可能导致某个开关停止响应，这就要求接入的工控防火墙也必须具备工业网络的实时性要求。而传统工控防火墙大多基于顺序执行的处理器，在经过对工业协议的数据包进行深度包解析，对报文中传输的工业协议指令和操作数据等信息进行合法性检查，工控防火墙处理延时将大大增加，甚至影响工控系统的正常运行。

因此，传统防火墙存在着下述缺陷：

(1)因通用操作系统未充分考虑操作系统本身的安全性，安全机制不健全导致存在很多的安全漏洞和隐患，当操作系统的安全漏洞、后门被利用将导致的防火墙设备异常、重启或安全机制失效等；

(2)因传统防火墙的处理器多为顺序执行，且工控防火墙需要对工业协议的数据包解析深度包解析、对工业协议指令和操作数进行合法性检查，造成防火墙处理延时的增加，不能在实时性传输反馈要求非常高的工控系统中应用。

发明内容

本申请提供一种基于多处理器架构的防火墙，包括：

对防火墙的管理流程进行处理的主处理器；

对防火墙的业务流程进行并行处理的协处理器；

所述主处理器与所述协处理器之间相互独立，通过并口进行通信。

一种实施例中，所述主处理器与所述协处理器之间具有相互检测的接口，使所述主处理器检测到所述协处理器异常时，自动控制所述协处理器恢复至正常工作状态，并记录异常码，及所述协处理器检测到所述主处理器异常时，自动控制所述主处理器恢复至正常工作状态，并记录异常码。

一种实施例中，所述主处理器与所述协处理器之间相互进行状态监测，具体的：

所述协处理器的共享RAM中设有心跳监测寄存器、主处理器状态寄存器和协处理器状态寄存器；

所述主处理器状态寄存器存储所述主处理器各进程、模块运行状态的状态码，且所述主处理器定时更新所述主处理器状态寄存器中存储的状态码；

所述协处理器状态寄存器存储所述协处理器各进程、模块运行状态的状态码，且所述协处理器定时更新所述协处理器状态寄存器中存储的状态码；

所述主处理器和协处理器定时轮流对所述心跳监测寄存器中的值进行翻转，若所述心跳监测寄存器中的值超时翻转或错误，则判定对方状态异常，并进入异常处理。

一种实施例中，所述异常处理分为三个等级：异常记录、异常记录和隔离、异常记录和复位。