[发明专利]一种基于串接流量的应用防火墙

说明书

本发明公开了一种基于串接流量的应用防火墙，包括基于多进程设计且采用背靠背代理模式的框架，框架包括与进程一一对应的数据处理通道；数据处理通道由根据功能拆分而成的网桥、流量控制、会话管理、协议栈、事件处理、应用协议管理以及业务处理模块组成；当接入或外发数据时，由网桥或所述业务处理模块自前而后或自后而前依次流经所述数据处理通道的各个模块进行处理。本发明实现了串接大数据流量下，应用防火墙对系统资源的高效利用；由于采用二次分流技术，可保障数据处理按照需要实现完整关联；对受控流量和非受控流量进行线程分离处理，最大程度降低了对非受控流量的影响；在应用层数据处理上，能保持受控流量的畅通，且总体时延较低可控。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种基于串接流量的应用防火墙。

背景技术

近年来，有关数据泄露、数据窃听、数据滥用等安全事件屡见不鲜，保护数据资产已被高度重视。传统旁路产品，存在无法提供可靠阻断、数据篡改功能，且存在无法有效进行加密流量的内容解析与识别等功能缺项，故在流量管控上无法满足全场景需求；基于应用防火墙的串路网络安全产品，很好的补充了这方面的不足，如网络数据泄露防护、数据库运维等串路产品在实际网安场景中得到了较宽广的应用。

应用防火墙由于其串接部署特点，故对自身程序可靠性、处理性能要求较高。一旦软件自身存在问题、或数据处理实时性较差，容易对用户的业务系统造成影响。

发明内容

基于现有的技术问题，本发明提出了一种基于串接流量的应用防火墙。

本发明提出的一种基于串接流量的应用防火墙，包括基于多进程设计且采用背靠背代理模式的框架，所述框架包括与所述进程一一对应的数据处理通道。

所述数据处理通道由根据功能拆分而成的网桥、流量控制、会话管理、协议栈、事件处理、应用协议管理以及业务处理模块组成。

当接入或外发数据时，由所述网桥或所述业务处理模块自前而后或自后而前依次流经所述数据处理通道的各个模块进行处理。

优选地，每个所述网桥模块由成对的网卡A以及网卡B组成，串入路由/交换设备后对网卡数据实现收发的动作。

所述网卡A以及所述网卡B开启按会话完整性分流的功能，所述网卡A以及所述网卡B会将收到的数据均衡的散列到自己的多个rx队列，之后每个所述网卡A以及网卡B都被会分配一对rx、tx队列用于所述网桥模块从对应网卡接收、外发数据的动作。

所述数据处理通道内的网桥模块在收到网卡A对应rx队列的接入数据后，会根据配置规则进行流量的二次分发以实现流量按需在应用防火墙多个数据处理通道的负载均衡动作。

对于属于本通道应该处理的流量，会进入流量控制模块，以判断当前流量是否需要受控，对于需要受控的流量，交由会话管理模块处理，经由协议栈传导至后端业务处理模块，非受控流量直接回传至网桥，从网卡B对外转发。

通过上述技术方案，实现对系统资源的高效利用，同时采用二次分流技术，可保障数据处理按照需要实现完整关联。

优选地，所述会话管理模块收到数据后，判断当前数据是否为TCP握手的第一个SYN包，如果是，则按配置建立当前TCP会话的本地代理映射记录，如果不是则查询本地会话记录表，得到原始会话与背靠背代理会话的映射关系后，将原数据中目的IP/PORT转换为提供服务的代理IP/PORT，提交给协议栈模块进行处理。

优选地，所述协议栈模块将接收到的原始数据剥离应用层以下的协议栈，并通知事件处理模块进行应用数据处理。

数据处理通道内为事件处理模块启动独立线程监控处理各种TCP会话事件，实现与下层模块解耦异步运行的动作。

优选地，所述事件处理模块接到协议栈模块的事件通知后，做出相应的响应，所述响应包括：