[发明专利]防火墙系统和基于该防火墙系统的数据处理方法

说明书

技术领域

本发明涉及通信领域，具体而言，涉及一种防火墙系统和基于该防火墙系统的数据处理方法。

背景技术

目前，防火墙系统通常包括一个中央处理单元(Central Processing Unit，简称为CPU)，Switch(交换)系统和若干输入/输出(Input/output，简称为I/O)端口组成，如图1所示的防火墙系统结构示意图，其中，CPU负责完成所有防火墙的业务处理，该防火墙系统的数据包流向如图2所示，首先，数据包进入该防火墙系统的I/O端口，由I/O端口将数据包发送至Switch系统，经Switch系统转发至CPU；然后，CPU对该数据包进行处理，将处理后的数据包经Switch系统转发到I/O端口；最后，I/O端口将该数据包从防火墙系统中输出。上述的防火墙系统只有一个CPU进行业务处理，其性能受限于系统中的CPU的处理能力，不能扩展处理性能，并且在进行系统升级时，防火墙系统的CPU要中断业务才能完成升级过程，这样将导致该系统的业务处理过程不够可靠。

目前还存在一种通信设备系统，该通信设备系统包括主板和备板，主板负责处理系统业务，备板负责接收来自主板的同步信息。主板将配置和状态信息实时同步到备板，在进行软件升级时，先对备板进行，然后将配置和状态信息同步到该备板，该配置和状态信息的同步操作完成之后进行主备切换，原来的备板变为主板，接着再升级原来的主板。这样整个系统的软件就升级为新的软件版本，该升级方式仅支持需要CPU处理的业务都在主控板上进行处理的情况。

针对相关技术中系统无法进行业务扩展的问题，目前尚未提出有效的解决方案。

发明内容

针对相关技术中系统无法进行业务扩展的问题，本发明提供了一种防火墙系统和基于该防火墙系统的数据处理方法，以至少解决上述问题。

根据本发明的一个方面，提供了一种防火墙系统，该系统包括：两个主控模块、多个业务处理模块、多个分流模块、多个I/O模块和一个交换模块，其中，两个主控模块互为主备关系，用于控制上述多个业务处理模块、上述多个分流模块、上述多个I/O模块和上述交换模块，该交换模块用于转发各模块间的数据包，多个I/O模块和多个分流模块绑定，每个I/O模块用于将接收到的数据包发送到与其绑定的分流模块；多个分流模块中的每个分流模块用于将同一会话中的数据包发送给同一个业务处理模块；每个业务处理模块用于对接收到的数据包进行处理，处理完成之后将该数据包通过多个I/O模块中的一个I/O模块输出。

上述分流模块包括：负载确定单元，用于接收到一个会话的第一个数据包时，确定上述多个业务处理模块的负载情况；选择单元，用于根据负载确定单元确定的负载情况，选择第一个数据包对应的业务处理模块；第一分流单元，用于将第一个数据包转发给选择单元选择的业务处理模块。

上述分流模块包括：映射单元，用于接收到一个会话的第一个数据包时，根据第一个数据包的包头携带的信息进行映射；确定单元，用于根据映射单元的映射结果确定第一个数据包对应的业务处理模块；第二分流单元，用于将第一个数据包转发给确定单元确定的业务处理模块。

上述业务处理模块包括：接收单元，用于接收第一个数据包；创建单元，用于根据第一个数据包创建上述会话的数据结构；响应单元，用于向分流模块回复响应消息，其中该响应消息携带有上述会话标识与业务处理模块的标识的对应关系；分流模块包括：对应关系存储单元，用于存储上述响应消息中携带的上述会话标识与业务处理模块的标识的对应关系；第三分流单元，用于根据对应关系存储单元存储的上述对应关系，将上述会话中的后续数据包转发给业务处理模块。

上述分流模块包括：同步单元，用于接收到升级指示后，将对应关系存储单元中存储的上述对应关系同步至多个分流模块中的另一个分流模块；第一升级单元，用于根据上述升级指示进行升级；另一个分流模块包括：同步存储单元，用于存储同步单元同步的对应关系；交换模块包括：绑定修改单元，用于根据系统配置指示修改上述多个I/O模块和上述多个分流模块绑定关系。