[发明专利]数据包转发和安全防护检测系统、负载均衡方法及装置

权利要求书

1.一种数据包转发和安全防护检测系统，其特征在于，包括：数据包转发模块，多个安全引擎和与多个安全引擎一一对应的环形队列，其中：

所述数据包转发模块包括包收取模块，包处理模块和包发送模块；

所述包收取模块，用于接收多个待转发数据包；将多个所述待转发数据包发送给所述包处理模块；

所述包处理模块，用于接收所述包收取模块发送的多个所述待转发数据包；根据预设负载均衡算法，将所述待转发数据包发送给多个安全引擎中负载能力最强的安全引擎对应的环形队列；接收多个所述环形队列中携带有安全检测结果标识的所述待转发数据包；向所述包发送模块发送携带有表示安全的安全检测结果标识的待转发数据包；对携带有表示数据包有安全威胁的安全检测结果标识的待转发数据包进行丢弃或者阻断转发处理；

所述包发送模块，用于接收所述包处理模块发送的所述携带有表示安全的安全检测结果标识的待转发数据包；将所述携带有表示安全的安全检测结果标识的待转发数据包发送给接收端；

所述安全引擎，用于从与自身对应的所述环形队列中获取待转发数据包；对所述待转发数据包进行安全防护检测；将携带有安全检测结果标识的待转发数据包放入与自身对应的环形队列中；

所述环形队列，用于存储所述包处理模块发送的所述待转发数据包和与自身对应的所述安全引擎发送的携带有表示安全的安全检测结果标识的待转发数据包。

2.如权利要求1所述的系统，其特征在于，所述包处理模块，具体用于对从所述包收取模块接收的多个所述待转发数据包进行底层协议安全防护检测；针对每个所述待转发数据包，当对该待转发数据包的检测结果为该待转发数据包安全时，根据预设负载均衡算法，将该待转发数据包发送给多个安全引擎中负载能力最强的安全引擎对应的环形队列；当对该待转发数据包的检测结果为该待转发数据包有安全威胁时，将该待转发数据包丢弃或者阻断转发处理。

3.如权利要求1所述的系统，其特征在于，还包括：配置解析模块，用于根据性能需求和处理器硬件制约条件设置所述数据包转发模块的线程个数和安全引擎的个数，对所述数据包转发模块和安全引擎进行初始化设置。

4.如权利要求1所述的系统，其特征在于，所述配置解析模块，还用于根据已配置的所述安全引擎的个数，分别为每个安全引擎分配与自身对应的环形队列。

5.一种负载均衡方法，其特征在于，应用于数据包转发和安全防护检测系统，所述数据包转发和安全防护检测系统包括：多个用于对数据包进行安全检测的安全引擎和与多个安全引擎一一对应的环形队列，所述环形队列用于存储与该环形队列对应的安全引擎将要进行检测的数据包；所述方法包括：

根据待转发数据包的源IP、目的IP和所述安全引擎的个数进行哈希运算，得到哈希运算结果；

确定是否存在与所述哈希运算结果对应的环形队列索引；

当存在与所述哈希运算结果对应的环形队列索引时，确定所述环形队列索引对应的安全引擎为将要对所述待转发数据包进行安全检测的安全引擎；

当不存在与所述哈希运算结果对应的环形队列索引时，从所述多个安全引擎中确定对所述待转发数据包进行安全检测的安全引擎，并建立所述哈希运算结果与确定的该安全引擎对应的环形队列索引之间的对应关系。

6.如权利要求5所述的方法，其特征在于，当存在与所述哈希运算结果对应的环形队列索引时，确定所述环形队列索引对应的安全引擎为将要对所述待转发数据包进行安全检测的安全引擎，具体包括：

当存在与所述哈希运算结果对应的环形队列索引时，确定所述环形队列索引对应的安全引擎的负载权值是否不小于预设权值阈值，所述负载权值为基于所述安全引擎的工作状态、CPU占用率和获取的该安全引擎的当前数据处理流量确定的，所述负载权值表示该安全引擎的当前数据包处理能力，所述当前数据处理流量表示该安全引擎当前单位时间内处理的数据包的流量；

当所述环形队列索引对应的安全引擎的负载权值不小于预设权值阈值时，确定该环形队列索引对应的安全引擎为将要对所述待转发数据包进行安全检测的安全引擎。