一种分布式防火墙的板间通信系统及其通信方法技术方案

本发明专利技术涉及通信技术领域，特别是一种分布式防火墙的板间通信系统及其通信方法。该通信系统的通信机制按照从底层到顶层的结构顺序依次包括：硬件物理链路层、网络接口抽象层、数据通道统一接口层、数据通道，以及业务层。其中，硬件物理链路层中设置了主控板和各业务模块单板之间的连接模式。网络接口抽象层将MAC子层和PHY子层统一为一个网络接口，并发送或接受报文。数据通道统一接口层用于实现多层次的数据传送要求以及不同的功能对数据接口的要求。数据通道包括同步数据通道和异步数据通道，业务层用于实现各种功能，并在该层中由用户选择实现功能所要发送的数据类型。该分布式防火墙的板间通信系统，解决了传统系统整体通信性能不足，板间通信实时性达不到要求的问题。

【技术实现步骤摘要】
一种分布式防火墙的板间通信系统及其通信方法
本专利技术涉及通信
，特别是一种分布式防火墙的板间通信系统及其通信方法。
技术介绍
网络安全是用户使用网络设备过程中的一个核心关切，在安全的基础领域，分布式防火墙被大量使用，同时，用户对防火墙设备的认知也越来越深刻。在很多领域，如政府、银行、金融等政企行业，安全已经成为用户考虑的首要因素，对防火墙设备的需求也与日俱增，根据行业自身的特点，对防火墙的功能提出特别需求，而这其中，对分布式防火墙的功能的要求也越来越高。目前分布式防火墙的主要特点和优势主要包括如下几点：(1)增强的系统安全性；分布式防火墙针对主机的入侵检测和防护功能，加强了来自内部的攻击防护，实现全方位的安全策略。(2)提高系统的性能；分布式防火墙利用硬件层次将业务模块、管理模块、控制模块等使用不同的硬件和软件系统来实现，各司其职提高整体的性能。(3)丰富的系统的扩展性；分布式防火墙在硬件和软件层面实现对分布式防火墙的扩充。为了提高分布式防火墙设备的性能，可以考虑提升分布式防火墙设备中各单板间的通信能力。传统的分布式防火墙的硬件架构中：主要包括业务板与主控板两个部分组成，实现控制与业务的划分，复杂的防火墙还会将业务部进一步细分，如接口业务和安全业务进行独立分工。在这种设备架构中，所有的单板之间都需要进行通信，可以具体的了解到，每个业务板都会与主控板相连接，进行数据通信，包括主控和业务板之间的通信，以及主控板与备用主控板之间的通信。不管怎样硬件结构怎样的设计，板间通信好交互性能都非常重要。分布式防火墙中需要在主控板和业务板之间进行数据的通信，确保各个单板上的系统都实时的更新设备上所有的单板的信息和一些数据，所以需要在分布式防火墙中建立一套通信机制，使得系统的启动早期就可以进行数据的通信(一般在Linux内核启动之后就需要各个单板能进行数据通信，当然在系统启动之后也可以进行通信)。传统的分布式防火墙系统中为了实现单板之间的信息快速交互，在每个单板系统中都需要实现一套并发量大，及时响应的通信机制，并且根据具体的信息需求，实现对数据传输的同步和异步方式。因此导致分布式防火墙的系统复杂度提升，运行效率降低，板间交互性能的快速性、实时性达不到要求。
技术实现思路
本专利技术提供了一种分布式防火墙的板间通信系统及其通信方法，解决了传统的分布式防火墙的整体通信性能不足，板间通信的实时性达不到要求的问题。为克服现有技术的缺陷，本专利技术是采用以下技术方案实现：首先，本专利技术提供一种分布式防火墙的板间通信系统，该通信系统的通信机制按照从底层到顶层的结构顺序依次包括：硬件物理链路层、网络接口抽象层、数据通道统一接口层、数据通道，以及业务层。其中，硬件物理链路层位于通信系统的最底层，硬件物理链路层中设置了主控板和各业务模块单板之间的连接模式。网络接口抽象层用于将硬件物理链路层中的MAC子层和PHY子层统一为一个网络接口，并将该网络接口用于发送或接受报文。数据通道统一接口层是在网络接口抽象层的基础上进行统一封装得到的，统一封装后的数据通道统一接口层用于实现多层次的数据传送要求以及不同的功能对数据接口的要求。数据通道包括同步数据通道和异步数据通道，同步数据通道和异步数据通道分别用于完成同步和异步两种数据传送方式，同步和异步两种数据传送方式根据上次用户的需求是否需要对传送信息进行实时返回进行选择。业务层位于通信系统的最顶层，业务层用于实现各种功能，并在该层中由用户选择实现功能所要发送的数据类型。进一步地，硬件物理链路层中各单板之间的连接模式采用SGMII协议链接。进一步地，数据通道统一接口层中实现的传送要求及功能包括单播传输、多播传输和广播传输。其次，本专利技术还包括一种分布式防火墙的板间通信方法，该通信方法基于前述分布式防火墙的板间通信系统提供的通信机制，采用高性能线程集调度方法，实现通信系统中各单板之间的信息快速交互；该通信方法包括如下步骤：S1：对通信系统的基本条件进行初始化；包括创建或准备全局数据结构体、定时器、epoll机制和全局等待队列标识；S2：创建实现通信所需的高性能线程集；高性能线程集包括轮询机制和内核线程集；S3：定义通信系统基本的统一接口；包括同步数据通道、异步数据通道、数据通道统一接口，以及网络抽象层接口；各所述统一接口用于发送或接受数据、报文；S4：通信系统根据定时器确定的时间间隔，在触发定时器服务进程后，通过高性能线程集监听等待队列上的同步信息标志的状态，并根据监听结果的判断，在需要时发送同步更新的数据；S5：通信系统根据接收到的同步更新数据，对接收更新数据的业务模块单板上的数据进行同步更新，并根据同步请求标志确定是否需要返回同步信息。5.根据权利要求4所述的分布式防火墙的板间通信方法，其特征在于：所述步骤S1中，全局数据结构体用于保存需要同步的信息，或业务模块单板中需要进行通信的信息；所述全局数据结构体中保存的数据种类包括硬件设计的信息，功能实现信息和用户需求信息。进一步地，步骤S1中，全局等待队列的标识用于在发送和接收通信信息时，对不同的通信信息进行区分；全局等待队列的标志在创建过程中，不同的同步信息类型设置不同的标识。进一步地，步骤S1中，定时器用于构建定时器机制；定时器机制中，定时器每隔一定时间触发，并在触发后调用相应的定时器处理服务进程；服务进程用于在全局等待队列中写入一个同步信息的标识，从而触发某一类型的信息进行通信。进一步地，步骤S3的统一接口定义过程中，同时还设置一个全局变量结构体；全局变量结构体作为注册机制，用于使用指针函数保存统一接口的函数；全局变量结构体还记录不同接口的ID值，接口的处理函数优先级，以及记录是否建立连接和是否同步返回的标识。进一步地，步骤S4中，定时器服务进程被触发后，通信系统会对需要同步更新的数据进行封装，封装过程中通信系统每调用一次下一层的接口，就会根据接口函数的功能不同，对数据再进行一次封装，以此类推，直至最后到达网络接口抽象层，完成数据封装；此时，需要同步更新的数据被封装成网络报文，网络报文被从通信系统的硬件物理链路层发送出去。进一步地，步骤S5的同步数据接收过程中，从底层到上一层，每次都会对接收到的报文进行拆分，剥去每一层特有的数据头信息，最后到达需要进行数据更新的业务层。本专利技术提供的一种分布式防火墙的板间通信系统及其通信方法，具有如下有益效果：1、该通信系统和方法实现了在分布式防火墙系统启动的同时进行数据的交互，使得各个独立的单板系统能够感知到整个设备中各个单板的信息，从而为整个设备启动后的协同工作奠定基础，提升了分布式防火墙的整体通信性能。2、本专利技术提供的通信系统中使用了一套自定义的分布式通信的层次逻辑结构，实现了在分布式设备下，多单板、多系统的逻辑通信结构的统一。3、本专利技术的通信系统和方法采用了Linux内核的定时器、等待队列、多线程、epoll机制等多种技术，实现了一种新的本文档来自技高网...

【技术保护点】
1.一种分布式防火墙的板间通信系统，其特征在于，所述通信系统的通信机制按照从底层到顶层的结构顺序依次包括：/n硬件物理链路层，其位于通信系统的最底层，所述硬件物理链路层中设置了主控板和各业务模块单板之间的连接模式；/n网络接口抽象层，其用于将硬件物理链路层中的MAC子层和PHY子层统一为一个网络接口，并将该网络接口用于发送或接受报文；/n数据通道统一接口层，其是在网络接口抽象层的基础上进行统一封装得到的，统一封装后的所述数据通道统一接口层用于实现多层次的数据传送要求以及不同的功能对数据接口的要求；/n数据通道，其包括同步数据通道和异步数据通道，所述同步数据通道和异步数据通道分别用于完成同步和异步两种数据传送方式，同步和异步两种数据传送方式根据上次用户的需求是否需要对传送信息进行实时返回进行选择；以及/n业务层，其位于通信系统的最顶层，所述业务层用于实现各种功能，并在该层中由用户选择实现功能所要发送的数据类型。/n

【技术特征摘要】
1.一种分布式防火墙的板间通信系统，其特征在于，所述通信系统的通信机制按照从底层到顶层的结构顺序依次包括：
硬件物理链路层，其位于通信系统的最底层，所述硬件物理链路层中设置了主控板和各业务模块单板之间的连接模式；
网络接口抽象层，其用于将硬件物理链路层中的MAC子层和PHY子层统一为一个网络接口，并将该网络接口用于发送或接受报文；
数据通道统一接口层，其是在网络接口抽象层的基础上进行统一封装得到的，统一封装后的所述数据通道统一接口层用于实现多层次的数据传送要求以及不同的功能对数据接口的要求；
数据通道，其包括同步数据通道和异步数据通道，所述同步数据通道和异步数据通道分别用于完成同步和异步两种数据传送方式，同步和异步两种数据传送方式根据上次用户的需求是否需要对传送信息进行实时返回进行选择；以及
业务层，其位于通信系统的最顶层，所述业务层用于实现各种功能，并在该层中由用户选择实现功能所要发送的数据类型。


2.根据权利要求1所述的分布式防火墙的板间通信系统，其特征在于：所述硬件物理链路层中各单板之间的连接模式采用SGMII协议链接。


3.根据权利要求1所述的分布式防火墙的板间通信系统，其特征在于：所述数据通道统一接口层中实现的传送要求及功能包括单播传输、多播传输和广播传输。


4.一种分布式防火墙的板间通信方法，其特征在于：所述通信方法基于权利要求1-3任意一项所述的分布式防火墙的板间通信系统提供的通信机制，采用高性能线程集调度方法，实现通信系统中各单板之间的信息快速交互；所述通信方法包括如下步骤：
S1：对通信系统的基本条件进行初始化；包括创建或准备全局数据结构体、定时器、epoll机制和全局等待队列标识；
S2：创建实现通信所需的高性能线程集；所述高性能线程集包括轮询机制和内核线程集；
S3：定义通信系统基本的统一接口；包括同步数据通道、异步数据通道、数据通道统一接口，以及网络抽象层接口；各所述统一接口用于发送或接受数据、报文；
S4：通信系统根据定时器确定的时间间隔，在触发定时器服务进程后，通过高性能线程集监听等待队列上的同步信息标志的状态，并根据监听结果的判断，在需要时...

【专利技术属性】
技术研发人员：朱前进，万森，程腾，朱千叶，袁泽川，金淑云，
申请(专利权)人：安徽科大擎天科技有限公司，
类型：发明
国别省市：安徽;34