【技术实现步骤摘要】
一种基于DPDK虚拟化管理系统的防火墙及其实现方法
本专利技术涉及防火墙
,特别是一种基于DPDK虚拟化管理系统的防火墙及其实现方法。
技术介绍
随着光纤技术的发展,网络带宽快速提升系统业务量的增加,软件技术性能基于传统的网络协议栈的防火墙对数据包的处理流程复杂,开销较大,无法满足人们对于高性能处理密集数据的要求,因此研发高性能防火墙具有十分重要的意义。
技术实现思路
本专利技术的目的是提供一种基于DPDK虚拟化管理系统的防火墙及其实现方法,旨在解决现有技术中防火墙对数据包的处理流程复杂、性能开销大的问题,实现提高虚拟化管理系统防火墙的数据处理性能,减少性能消耗。为达到上述技术目的,本专利技术提供了一种基于DPDK虚拟化管理系统的防火墙,所述防火墙包括:数据包捕获模块,用于基于DPDK接口,利用轮询模式批量接收网络数据包,并将数据包从内核态映射到用户态;会话查询模块,用于从数据包中解析出标识数据流的五元组数据信息后进行会话查询,若查询失败则尝试规则匹配,并在规则允许的情况下新...
【技术保护点】
1.一种基于DPDK虚拟化管理系统的防火墙,其特征在于,所述防火墙包括:/n数据包捕获模块,用于基于DPDK接口,利用轮询模式批量接收网络数据包,并将数据包从内核态映射到用户态;/n会话查询模块,用于从数据包中解析出标识数据流的五元组数据信息后进行会话查询,若查询失败则尝试规则匹配,并在规则允许的情况下新建会话;若查询成功则进入快转路径;/n规则查询模块,用于采用基于分治法的规则匹配算法,将规则集分为多个子规则集,并根据规则间的关系对规则进行分组,由组内的规则特征选择不同的查询算法,并在匹配成功后进入f-stack协议栈;/n快转模块,用于对已经建立会话且该条数据流无需通过...
【技术特征摘要】
1.一种基于DPDK虚拟化管理系统的防火墙,其特征在于,所述防火墙包括:
数据包捕获模块,用于基于DPDK接口,利用轮询模式批量接收网络数据包,并将数据包从内核态映射到用户态;
会话查询模块,用于从数据包中解析出标识数据流的五元组数据信息后进行会话查询,若查询失败则尝试规则匹配,并在规则允许的情况下新建会话;若查询成功则进入快转路径;
规则查询模块,用于采用基于分治法的规则匹配算法,将规则集分为多个子规则集,并根据规则间的关系对规则进行分组,由组内的规则特征选择不同的查询算法,并在匹配成功后进入f-stack协议栈;
快转模块,用于对已经建立会话且该条数据流无需通过协议栈处理的数据包进行快速转发;
管理模块,用于将数据包的包头信息和数据包流向记录到日志文件中,并将规则表单写入防火墙规则文件中,对防火墙网络策略进行管理。
2.根据权利要求1所述的一种基于DPDK虚拟化管理系统的防火墙,其特征在于,所述从数据包中解析出标识数据流的五元组数据信息后进行会话查询具体为:
将IP报文的源IP地址、目的IP地址、源端口、目的端口、协议类型作为一个五元组,计算出哈希值用以标识数据流,利用哈希查找算法查询该流是否在会话表中。
3.根据权利要求1所述的一种基于DPDK虚拟化管理系统的防火墙,其特征在于,所述规则查询模块在进行规则查询时,将数据包按照规则优先级从高到低的顺序依次尝试匹配子规则集中的规则,若匹配成功则执行规则指定的动作且不再尝试匹配后面的规则,否则一直尝试匹配下一条规则直到最后优先级最低的默认规则匹配完毕,返回查询结果,若规则允许则将数据包交给上层f-stack协议栈处理。
4.根据权利要求1所述的一种基于DPDK虚拟化管理系统的防火墙,其特征在于,所述快转模块在进行快速转发时,当一条数据流的第一个报文通过查找路由表转发后,将转发信息记录到会话表中,该数据流后续报文的转发可通过直接查找会话表进行转发。
5.根据权利要求1所述的一种基于DPDK虚拟化管理系统的防火墙,其特征在于,所述f-stack协议栈需要处理的数据包包括接收的第一个数据包、MPLS包、ARP包、VLAN包,且还需要记录每个新建会话的...
【专利技术属性】
技术研发人员:赵凯,
申请(专利权)人:苏州浪潮智能科技有限公司,
类型:发明
国别省市:江苏;32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。