[发明专利]串行防火墙报文转发方法、装置、设备及存储介质

说明书

本申请提供一种串行防火墙报文转发方法、装置、设备及存储介质，涉及网络安全技术领域。应用于串行防火墙，串行防火墙包括：多个接口对；该方法包括：经由第一接口对中的物理接口接收报文，并将报文中的源物理地址与第一接口对中的虚拟接口写入桥转发数据库表中；若报文为待转发的报文，则经由第一接口对中的物理接口将报文转发至第一接口对中的虚拟接口；根据桥转发数据库表或路由信息，确定报文待转发至的第二接口对中的虚拟接口；经由第一接口对中的虚拟接口将报文发送至第二接口对中的虚拟接口；经由第二接口对中的虚拟接口将报文发送至第二接口对中的物理接口，并经由第二接口对中的物理接口发送报文。本方案极大降低了报文转发过程的时延。

技术领域

本申请涉及网络安全技术领域，具体而言，涉及一种串行防火墙报文转发方法、装置、设备及存储介质。

背景技术

为了确保各种不同的网络设备在网络中进行数据通信的信息安全问题，通常使用防火墙来对各网络设备实行严格的访问控制。

目前，串行防火墙大多采用链表队列，收取操作系统内核从网卡接收到的报文，并在对报文进行检测之后，设置报文的裁决标志，再交还给链表队列，由操作系统内核进行转发。

但是，由于通过操作系统内核进行报文转发时，会产生频繁的硬件中断、内存拷贝等问题，进而造成报文转发的时延将大大增加。

发明内容

本发明的目的在于，针对上述现有技术中的不足，提供一种串行防火墙报文转发方法、装置、设备及存储介质，以便降低报文转发的时延。

为实现上述目的，本申请实施例采用的技术方案如下：

第一方面，本申请实施例提供了一种串行防火墙报文转发方法，应用于串行防火墙，所述串行防火墙中包括：多个接口对，各所述接口对分别包括一个物理接口和一个虚拟接口；所述虚拟接口由所述串行防火墙中的操作系统控制，所述物理接口由所述串行防火墙中的应用进程管理；

所述方法包括：

经由第一接口对中的物理接口接收报文，并将所述报文的源物理地址(MediaAccess Control，简称MAC)与所述第一接口对中的虚拟接口写入桥转发数据库((Forwarding Database，简称FDB)表中；

若所述报文为待转发的报文，则经由所述第一接口对中的物理接口将所述报文转发至所述第一接口对中的虚拟接口；

根据所述FDB表或路由信息，确定所述报文待转发至的第二接口对中的虚拟接口；

经由所述第一接口对中的虚拟接口将所述报文发送至所述第二接口对中的虚拟接口；

经由所述第二接口对中的虚拟接口将所述报文发送至所述第二接口对中的物理接口，并经由所述第二接口对中的物理接口发送所述报文。

可选地，所述经由第一接口对中的物理接口接收报文之前，还包括：

分别创建所述第一接口对中的物理接口的第一软交换映射接口、以及所述第一接口对中的虚拟接口；

创建所述第一接口对中的虚拟接口的第二软交换映射接口。

可选地，所述经由所述第一接口对中的物理接口将所述报文转发至所述第一接口对中的虚拟接口，包括：

根据所述第一接口对中的物理接口、与所述第一接口对中的物理接口的第一软交换映射接口的软交换映射关系，经由所述第一接口对中的物理接口将所述报文转发至所述第一接口对中的物理接口的第一软交换映射接口；

根据所述第一接口对中的物理接口的第一软交换映射接口、与所述第一接口对中的虚拟接口的第二软交换映射接口的桥接映射关系，经由所述第一接口对中的物理接口的第一软交换映射接口将所述报文转发至所述第一接口对中的虚拟接口的第二软交换映射接口；