[发明专利]一种PCIE防火墙

说明书

本发明提供的PCIE防火墙，包括PCIE接口：通过插接在物理服务器上实现所述PCIE防火墙与物理服务器之间的数据交互及安全防护，将所述PCIE防火墙部署在至少一台物理服务器上；多核NP处理器：与所述PCIE接口电连接，用于运行操作系统；所述操作系统包括控制平面、转发平面和安全平面；FPGA芯片：与所述PCIE接口电连接；ASIC芯片：与所述PCIE接口电连接；网络接口单元：实现所述PCIE防火墙与外部网络之间的数据交互。该PCIE防火墙，实现数据中心南北向流量及东西向流量的安全管控及防护，提高安全防护的性能。

技术领域

本发明属于计算机技术领域，具体涉及一种PCIE防火墙。

背景技术

云计算数据中心主要采用虚拟化技术部署，包括计算虚拟化技术、网络虚拟化技术及存储虚拟化技术。云计算数据中心主要基于KVM、容器(Docker)技术、云管理平台等技术搭建。传统云计算数据中心的安全防护主要通过部署物理防火墙或者VFW防火墙产品实现，这种安全防护手段对于南北向流量具有较好的安全防护效果。但对于东西向流量(即虚拟机及虚拟机之间的网络数据流量)的安全防护，物理防火墙需通过“引流”方式，VFW防火墙存在占用物理主机CPU、总线及网络资源、性能不足、效率低下及安全管控防护效果不甚理想等诸多问题。另外这种传统防火墙类产品侧重安全管控及防护功能，网络数据流量加密及解密主要采用国际开源算法(如：AES、RSA、哈希等)，数据加解密性能不足，安全性堪忧。

发明内容

针对现有技术中的缺陷，本发明提供一种PCIE防火墙，实现数据中心南北向流量及东西向流量的安全管控及防护，提高安全防护的性能。

一种PCIE防火墙，包括：

PCIE接口：通过插接在物理服务器上实现所述PCIE防火墙与物理服务器之间的数据交互及安全防护，将所述PCIE防火墙部署在至少一台物理服务器上；

多核NP处理器：与所述PCIE接口电连接，用于运行操作系统；所述操作系统包括控制平面、转发平面和安全平面；

FPGA芯片：与所述PCIE接口电连接；

ASIC芯片：与所述PCIE接口电连接；

网络接口单元：实现所述PCIE防火墙与外部网络之间的数据交互。

优选地，所述PCIE防火墙还包括：

内存：分别与所述ASIC芯片、多核NP处理器和PCIE接口电连接；

存储芯片：分别与所述ASIC芯片、多核NP处理器电连接。

优选地，所述控制平面具体用于：

通过所述网络接口单元或物理服务器中网络接口单元接收并识别数据报文，采用网络层、应用层平面分离方式软件架构设计，采用单次解析架构实现数据报文的一次解析一次匹配，将数据报文通过零拷贝技术提取到应用层平面上实现威胁特征的统一解析和检测。

优选地，所述控制平面还用于：

利用微分段技术实现物理服务器中虚拟机之间的微隔离；通过DPI深度报文检查技术，检查并拦截物理服务器中虚拟机之间的网络攻击行为，所述网络攻击行为包括以下一种或多种组合：溢出攻击、RPC攻击、WEBCGI攻击、拒绝服务、木马、蠕虫和系统漏洞；通过防逃避检测技术对虚拟机的文件进行安全检测；

所述控制平面还用于：

根据物理服务器中虚拟机的迁移情况和复制情况，同步调整相关的安全策略；

所述控制平面还用于：

对虚拟机的流量进行实时监控，对物理服务器中虚拟机之间的通信关系进行深度梳理，根据梳理结果以动态拓扑结构展示虚拟机之间的通信关系。