【技术实现步骤摘要】
一种基于软件实现旁路模式的方法及装置
本申请涉及网络安全领域,特别涉及一种基于软件实现旁路模式的方法及装置。
技术介绍
为了保证网络安全,不同的网络之间互相通信一般需要借助网络安全设备。网络安全设备对网络之间互相通信的数据包进行分析,以判断是否有威胁存在,然后将分析后确认为安全的数据包转发出去。因此,一旦某台网络安全设备发生了故障,通过这台设备连接的所有网络彼此之间就失去了联系,导致网络中断。在这种情况下,若想保证网络不中断,可以依靠旁路模式(bypass)实现。旁路模式下,可以通过特定的触发状态,让网络之间传输的数据包不通过网络安全设备,而可以直接从物理上导通的端口转发出去,从而保证网络不会中断。传统的旁路模式依靠硬件才能实现,只能在断电或者死机这两个特定的情况下触发。然而,对于其它必须保证网络不中断的场合,传统旁路模式无法被触发,也就无法实现其功能。例如,在网络流量突增时,由于数据量大,网络安全设备达到处理性能的上限,也会导致网络卡顿甚至断网的情况,然而此种情况下可能并不涉及断电或死机,传统旁路模式无法发挥其功能...
【技术保护点】
1.一种基于软件实现旁路模式的方法,应用于网络安全设备,其特征在于,所述方法包括:/n接收网络中的数据包,从中确定一个待处理的数据包;/n判断对应于所述待处理的数据包的收包队列是否已满;/n在所述收包队列未满的情况下,将待处理的数据包以预设的规则送入收包队列;/n在所述收包队列已满的情况下,将待处理的数据包从预先封装好的软件旁路模式的操作接口转发出去。/n
【技术特征摘要】
1.一种基于软件实现旁路模式的方法,应用于网络安全设备,其特征在于,所述方法包括:
接收网络中的数据包,从中确定一个待处理的数据包;
判断对应于所述待处理的数据包的收包队列是否已满;
在所述收包队列未满的情况下,将待处理的数据包以预设的规则送入收包队列;
在所述收包队列已满的情况下,将待处理的数据包从预先封装好的软件旁路模式的操作接口转发出去。
2.根据权利要求1所述方法,其特征在于,所述收包队列为环形队列。
3.根据权利要求2所述方法,其特征在于,所述将待处理的数据包以预设的规则送入收包队列,包括:
待处理的数据包入队后,环形队列的头指针的地址向前偏移N1个单位,尾指针保持当前的地址不变,所述头指针和尾指针用于指明当前环形队列的空间占据情况,所述N1为预设的偏移值,所述头指针与尾指针在队列为空时地址相同。
4.根据权利要求3所述方法,其特征在于,所述判断对应于所述待处理的数据包的收包队列是否已满,包括:
判断环形队列当前的头指针向前偏移N2个单位后的地址是否与当前尾指针的地址相同,若相同,则认为环形队列已满,所述N2为预设的数值。
5.根据权利要求1所述方法,其特征在于,所述在所述收包队列已满的情况下,将待处理的数据包从预先封装好的软件旁路模式的操作接口转发出去,包括:
在判断所述收包队列已满后开始计时,对计时时长T内的所有待处理数据包从预先封装好的...
【专利技术属性】
技术研发人员:沈忱,孙军伟,任红军,
申请(专利权)人:杭州迪普科技股份有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。