【技术实现步骤摘要】
报文转发方法、系统、存储介质和电子设备
本公开涉及网络
,具体地,涉及一种报文转发方法、系统、存储介质和电子设备。
技术介绍
随着计算机技术的发展,越来越多的防火墙采用多核处理机制。现今对网络的安全性和健壮性的要求越来越高,对于异构平台而言,报文转发架构通常由用户态和内核态中的CPU组成,通过用户态CPU和内核态CPU进行协议完成报文转发。现有技术中,在海量的攻击到来时,该攻击则会迅速堵塞内核态CPU和用户态CPU之间的通信通道,难以保证对正常报文的转发,容易造成转发系统瘫痪。
技术实现思路
本公开的目的是提供一种高稳定性的报文转发方法、系统、存储介质及电子设备。为了实现上述目的,根据本公开的第一方面,提供一种报文转发方法,应用于报文转发系统,所述报文转发系统中包括多个转发核和与每一所述转发核对应的处理核,所述方法包括:所述转发核从网卡接收到目标报文,查询所述目标报文对应的会话表;在未查询到所述会话表的情况下,根据所述目标报文的五元组和所述转发核的局部策略表,确定所述局部策略表中是否存在与所述五元组匹配的拒绝策略,其中,所述局部策略表存储在所述转发核,所述局部策略表为根据所述处理核对应的总策略表生成的,所述局部策略表中包含多条拒绝策略,所述拒绝策略用于拒绝报文转发;在确定所述局部策略表中存在与所述五元组匹配的拒绝策略的情况下,丢弃所述目标报文。可选地,所述方法还包括:所述处理核接收策略配置指令,其中,所述策略配置指令中包含用于所述处理核对报文进...
【技术保护点】
1.一种报文转发方法,其特征在于,应用于报文转发系统,所述报文转发系统中包括多个转发核和与每一所述转发核对应的处理核,所述方法包括:/n所述转发核从网卡接收到目标报文,查询所述目标报文对应的会话表;/n在未查询到所述会话表的情况下,根据所述目标报文的五元组和所述转发核的局部策略表,确定所述局部策略表中是否存在与所述五元组匹配的拒绝策略,其中,所述局部策略表存储在所述转发核,所述局部策略表为根据所述处理核对应的总策略表生成的,所述局部策略表中包含多条拒绝策略,所述拒绝策略用于拒绝报文转发;/n在确定所述局部策略表中存在与所述五元组匹配的拒绝策略的情况下,丢弃所述目标报文。/n
【技术特征摘要】
1.一种报文转发方法,其特征在于,应用于报文转发系统,所述报文转发系统中包括多个转发核和与每一所述转发核对应的处理核,所述方法包括:
所述转发核从网卡接收到目标报文,查询所述目标报文对应的会话表;
在未查询到所述会话表的情况下,根据所述目标报文的五元组和所述转发核的局部策略表,确定所述局部策略表中是否存在与所述五元组匹配的拒绝策略,其中,所述局部策略表存储在所述转发核,所述局部策略表为根据所述处理核对应的总策略表生成的,所述局部策略表中包含多条拒绝策略,所述拒绝策略用于拒绝报文转发;
在确定所述局部策略表中存在与所述五元组匹配的拒绝策略的情况下,丢弃所述目标报文。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
所述处理核接收策略配置指令,其中,所述策略配置指令中包含用于所述处理核对报文进行匹配的目标策略;
在确定所述目标策略的类型为拒绝类型,且所述目标策略为对应于IP地址或端口的策略的情况下,向配置转发核发送所述目标策略,其中,所述配置转发核为所述多个转发核中的一者;
所述配置转发核根据所述目标策略和每一所述转发核的局部策略表,确定所述目标策略是否待更新;
在所述目标策略待更新的情况下,确定所述目标策略中的待更新策略,其中所述待更新策略为所述目标策略中与所述拒绝策略不重合的策略;
确定所述待更新策略对应的目标转发核;
在所述目标转发核与所述配置转发核不同的情况下,向所述目标转发核发送所述待更新策略;
所述目标转发核基于所述待更新策略更新所述目标转发核的局部策略表。
3.根据权利要求2所述的方法,其特征在于,所述确定所述待更新策略对应的目标转发核,包括:
获取全局策略表,其中,所述全局策略表中包含每一所述转发核的局部策略表中的任一拒绝策略;
在根据所述全局策略表,确定出与所述待更新策略进行合并的拒绝策略情况下,将该拒绝策略所属的局部策略表对应的转发核确定为所述目标转发核;
所述向所述目标转发核发送所述待更新策略,包括:
确定所述待更新策略中进行合并的可合并策略部分,并向所述目标转发核发送所述可合并策略部分。
4.根据权利要求3所述的方法,其特征在于,在所述待更新策略中存在不可合并策略部分的情况下,所述确定所述待更新策略对应的目标转发核,还包括:
根据每...
【专利技术属性】
技术研发人员:刘健男,
申请(专利权)人:东软集团股份有限公司,
类型:发明
国别省市:辽宁;21
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。