防火墙网卡负载均衡机制中协议动态端口处理方法和系统技术方案

本发明专利技术涉及防火墙网卡负载均衡机制中协议动态端口处理方法和系统，应用于多队列网卡中，在数据包识别解码阶段根据协议特征提取动态端口信息，使用广播订阅查询方式下发动态端口信息以及策略匹配信息到缓存队列中，其他队列处理进程订阅所述缓存队列中的动态端口信息并加载到动态端口处理链中，当其他队列处理进程接收到动态端口数据包时，查询所述动态端口处理链，获取策略匹配信息，根据获取到的所处策略匹配信息进行动作处理。本发明专利技术能够确保动态端口数据能够一直哈希到同一网卡队列上，能够准确命中动态端口策略，解决了网卡多对列哈希导致动态端口与标准端口哈希到不同网卡队列上引起的单项策略不可用问题。队列上引起的单项策略不可用问题。

【技术实现步骤摘要】
防火墙网卡负载均衡机制中协议动态端口处理方法和系统


[0001]本专利技术涉及网络
，尤其涉及防火墙网卡负载均衡机制中协议动态端口处理方法和系统。

技术介绍

[0002]现有技术中网卡多对列哈希会导致动态端口与标准端口哈希到不同网卡队列上，从而引起的单项策略不可用问题。例如，FTP客户端连接到FTP服务器的21端口，发送用户名和密码登录，登录成功后要list列表或者读取数据时，发送PASV命令到FTP服务器，服务器在本地随机开放一个端口(1024以上)，然后把开放的端口告诉客户端，客户端再连接到服务器开放的端口进行数据传输。
[0003]我们将这种在一个会话过程中，服务端开放的随机端口(不可预测)称为动态端口，由于在防火墙中遵循设置策略严谨性仅开放固定已知的端口(ftp 21、opc 135等)。在多进程处理过程中存在动态端口策略无法命中的问题。在现有的技术中，单网卡单进程处理，在同一进程中可以轻松的将ftp会话中21端口与产生的动态端口加载到同一会话上进行处理，不存在策略匹配动态端口的情况。
[0004]但由于采用的多队列负载均衡，多进程监控网卡，在五元组的哈希导致将ftp固定端口21与产生的动态端口哈希到不同的网卡队列上并进入不同的处理进程中，假设21端口哈希到进程a，动态端口哈希到进程b，在策略检查中仅放行21固定端口，进程a能够放行链接，进程b不能放行链接导致ftp功能无法链接。

技术实现思路

[0005]针对以上问题，本专利技术提供防火墙网卡负载均衡机制中协议动态端口处理方法和系统，在数据包识别解码阶段根据协议特征提取动态端口信息，根据提取的动态端口信息查询策略匹配信息，从而确保动态端口与标准端口哈希到同一网卡队列上，准确命中动态端口策略。
[0006]本专利技术提供防火墙网卡负载均衡机制中协议动态端口处理方法，应用于多队列网卡中，其特征在于，包括以下步骤：
[0007]获取动态端口信息，在数据包识别解码阶段根据协议特征提取动态端口信息；
[0008]广播所述动态端口信息，使用广播订阅查询方式下发动态端口信息以及策略匹配信息到缓存队列中；
[0009]订阅动态端口信息，其他队列处理进程订阅所述缓存队列中的动态端口信息并加载到动态端口处理链中；
[0010]查询动态端口信息，当其他队列处理进程接收到动态端口数据包时，查询所述动态端口处理链，获取策略匹配信息，根据获取到的所处策略匹配信息进行动作处理。
[0011]进一步的，所述获取动态端口信息可以是，服务端为各协议分配动态端口，并记录所述各协议与动态端口的映射关系；在数据包识别解码阶段根据协议特征以及所述映射关
系提取动态端口信息。
[0012]进一步的，所述动态端口信息包括动态端口五元组的哈希值，其中动态端口五元组包括协议名称、源IP地址、源端口、目的IP地址、目的端口五元组信息；所述协议包括ftp、opc、sip、tftp等应用层协议。
[0013]进一步的，所述缓存队列为redis缓存队列。
[0014]进一步的，所述策略匹配信息包括接受或丢弃(accept\drop)操作。
[0015]进一步的，在所述查询动态端口信息步骤之后还包括，删除所述动态端口处理链中的动态端口信息，以避免数据冗余。
[0016]本专利技术还提供防火墙网卡负载均衡机制中协议动态端口处理系统，应用于多队列网卡中，其特征在于，包括：获取模块、广播模块、订阅模块以及查询处理模块，其中，
[0017]获取模块，用于获取动态端口信息，在数据包识别解码阶段根据协议特征提取动态端口信息；
[0018]广播模块，用于广播所述动态端口信息，使用广播订阅查询方式下发动态端口信息以及策略匹配信息到缓存队列中；
[0019]订阅模块，用于订阅动态端口信息，其他队列处理进程订阅所述缓存队列中的动态端口信息并加载到动态端口处理链中；
[0020]查询处理模块，用于查询动态端口信息，当其他队列处理进程接收到动态端口数据包时，查询所述动态端口处理链，获取策略匹配信息，根据获取到的所处策略匹配信息进行动作处理。
[0021]进一步的，所述获取动态端口信息可以是，服务端为各协议分配动态端口，并记录所述各协议与动态端口的映射关系；在数据包识别解码阶段根据协议特征以及所述映射关系提取动态端口信息。
[0022]进一步的，所述动态端口信息包括动态端口五元组的哈希值，其中动态端口五元组包括协议名称、源IP地址、源端口、目的IP地址、目的端口五元组信息；所述协议包括ftp、opc、sip、tftp等应用层协议。
[0023]进一步的，所述缓存队列为redis缓存队列。
[0024]进一步的，所述策略匹配信息包括接受或丢弃(accept\drop)操作。
[0025]进一步的，在所述查询动态端口信息之后还包括，删除所述动态端口处理链中的动态端口信息，以避免数据冗余。
[0026]本专利技术产生的有益效果是：本专利技术提供防火墙网卡负载均衡机制中协议动态端口处理方法和系统，在数据包识别解码阶段根据协议特征提取动态端口信息，根据提取的动态端口信息查询策略匹配信息，从而确保动态端口与标准端口哈希到同一网卡队列上，能够准确命中动态端口策略，解决了网卡多对列哈希导致动态端口与标准端口哈希到不同网卡队列上引起的单项策略不可用问题。
附图说明
[0027]为了更清楚地说明本专利技术的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍：
[0028]图1示出了本专利技术第一实施例的防火墙网卡负载均衡机制中协议动态端口处理方
法的流程图。
[0029]图2示出了本专利技术的第一实施例的防火墙网卡负载均衡机制中协议动态端口处理系统的示意图。
具体实施方式
[0030]为了使本专利技术的目的、技术方案以及优点更加清楚明白，以下结合附图及实施例，对本专利技术进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用于解释本专利技术，并不用于限定本专利技术。
[0031]在下述介绍中，术语“第一”、“第二”仅用于描述的目的，而不能理解为暗示其相对重要性。
[0032]下述介绍提供了本专利技术的多个实施例，不同实施例之间可以替换或者合并组合，因此本专利技术也可认为包含所记载的相同和/或不同实施例的所有可能组合。因而，如果一个实施例包含特征A、B、C，另一个实施例包含特征B、D，那么本专利技术也应视为包括含有A、B、C、D的一个或多个所有其他可能的组合的实施例，尽管该实施例可能并未在以下内容中有明确的文字记载。
[0033]实施例一
[0034]图1示出了本专利技术第一实施例的防火墙网卡负载均衡机制中协议动态端口处理方法的流程图。
[0035]如图1所示，本专利技术的防火墙网卡负载均衡机制中协议动态端口处理方法，应用于多队列网卡中，其特征在于，包括以下步骤：
[0036]步骤S101，获取动态端口信息，在数据包识别解码阶段根据协议特征提取本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.防火墙网卡负载均衡机制中协议动态端口处理方法，应用于多队列网卡中，其特征在于，包括以下步骤：步骤S101，获取动态端口信息，在数据包识别解码阶段根据协议特征提取动态端口信息；步骤S102，广播所述动态端口信息，使用广播订阅查询方式下发动态端口信息以及策略匹配信息到缓存队列中；步骤S103，订阅动态端口信息，其他队列处理进程订阅所述缓存队列中的动态端口信息并加载到动态端口处理链中；步骤S104，查询动态端口信息，当其他队列处理进程接收到动态端口数据包时，查询所述动态端口处理链，获取策略匹配信息，根据获取到的所处策略匹配信息进行动作处理。2.如权利要求1所述的防火墙网卡负载均衡机制中协议动态端口处理方法，其中所述步骤S101获取动态端口信息可以是，服务端为各协议分配动态端口，并记录所述各协议与动态端口的映射关系；在数据包识别解码阶段根据协议特征以及所述映射关系提取动态端口信息。3.如权利要求1所述的防火墙网卡负载均衡机制中协议动态端口处理方法，所述动态端口信息包括动态端口五元组的哈希值，其中动态端口五元组包括协议名称、源IP地址、源端口、目的IP地址、目的端口五元组信息；所述协议包括ftp、opc、sip、tftp等应用层协议。4.如权利要求1所述的防火墙网卡负载均衡机制中协议动态端口处理方法，所述缓存队列为redis缓存队列；所述策略匹配信息包括接受或丢弃(accept\drop)操作。5.如权利要...

【专利技术属性】
技术研发人员：李建北，毛庆威，陈英辉，宫成，胡江，
申请(专利权)人：杭州立思辰安科科技有限公司，
类型：发明
国别省市：