[发明专利]数据包转发和安全防护检测系统、负载均衡方法及装置

说明书

技术领域

本发明涉及通信领域，尤其涉及数据包转发和安全防护检测系统、负载均衡方法及装置。

背景技术

在网络通信中进行数据包转发时，数据包经过网络通信中的工作层，可以经过物理层、数据链路层、网络层、传输层和应用层等，在数据转发的过程中，数据包可能会受到安全威胁，例如，数据包可能会受到DTP攻击，ARP Flood攻击，SYN Flood攻击以及应用层的病毒注入等，因此，对于在网络通信中转发的数据包，需要进行安全防护检测，以保证转发数据包的安全性。

目前，现有的进行数据包转发和安全防护主要为串行式的数据包处理方式，具体为：获取一个待转发数据包，对当前待转发数据包进行安全防护检测，当检测到该当前待转发数据包存在安全威胁时，对该当前待转发数据包进行阻断或丢弃处理，当检测该当前待转发数据包安全时，将该当前待转发数据包发送给接收端，当该当前待转发数据包转发结束后，对下一个待转发数据包进行上述转发和安全防护处理。

上述现有的数据包转发和安全防护的处理方式中，由于采用串行的数据包转发和安全防护处理方式，每次只能针对一个数据包进行转发和安全防护检测，数据包转发和安全防护检测的效率低。

发明内容

本发明实施例提供数据包转发和安全防护检测系统、负载均衡方法及装置，用以解决现有技术中存在的对数据包进行转发和安全防护检测的处理效率低的问题。

本发明实施例提供一种数据包转发和安全防护检测系统，其特征在于，包括：数据包转发模块，多个安全引擎和与多个安全引擎一一对应的环形队列，其中：

所述数据包转发模块包括包收取模块，包处理模块和包发送模块；

所述包收取模块，用于接收多个待转发数据包；将多个所述待转发数据包发送给所述包处理模块；

所述包处理模块，用于接收所述包收取模块发送的多个所述待转发数据包；根据预设负载均衡算法，将所述待转发数据包发送给多个安全引擎中负载能力最强的安全引擎对应的环形队列；接收多个所述环形队列中携带有安全检测结果标识的所述待转发数据包；向所述包发送模块发送携带有表示安全的安全检测结果标识的待转发数据包；对携带有表示数据包有安全威胁的安全检测结果标识的待转发数据包进行丢弃或者阻断转发处理；

所述包发送模块，用于接收所述包处理模块发送的所述携带有表示安全的安全检测结果标识的待转发数据包；将所述携带有表示安全的安全检测结果标识的待转发数据包发送给接收端；

所述安全引擎，用于从与自身对应的所述环形队列中获取待转发数据包；对所述待转发数据包进行安全防护检测；将携带有安全检测结果标识的待转发数据包放入与自身对应的环形队列中；

所述环形队列，用于存储所述包处理模块发送的所述待转发数据包和与自身对应的所述安全引擎发送的携带有表示安全的安全检测结果标识的待转发数据包。

采用本发明提供的上述系统，由于采用多个安全引擎同时对待转发数据包并行地进行安全检测，提高了对数据包进行转发和安全防护检测的处理效率。

进一步的，所述包处理模块，具体用于对从所述包收取模块接收的多个所述待转发数据包进行底层安全防护检测；针对每个所述待转发数据包，当对该待转发数据包的检测结果为该待转发数据包安全时，根据预设负载均衡算法，将该待转发数据包发送给多个安全引擎中负载能力最强的安全引擎对应的环形队列；当对该待转发数据包的检测结果为该待转发数据包有安全威胁时，将该待转发数据包丢弃或者阻断转发处理。

进一步的，上述系统，还包括：配置解析模块，用于根据性能需求和处理器硬件制约条件设置所述数据包转发模块的线程个数和安全引擎的个数，对所述数据包转发模块和安全引擎进行初始化设置。

进一步的，所述配置解析模块，还用于根据已配置的所述安全引擎的个数，分别为每个安全引擎分配与自身对应的环形队列。

本发明实施例提供一种负载均衡方法，应用于数据包转发和安全防护检测系统，所述数据包转发和安全防护检测系统包括：多个用于对数据包进行安全检测的安全引擎和与多个安全引擎一一对应的环形队列，所述环形队列用于存储与该环形队列对应的安全引擎将要进行检测的数据包，该方法包括：

根据待转发数据包的源IP、目的IP和所述安全引擎的个数进行哈希运算，得到哈希运算结果；

确定是否存在与所述哈希运算结果对应的环形队列索引；

当存在与所述哈希运算结果对应的环形队列索引时，确定所述环形队列索引对应的安全引擎为将要对所述待转发数据包进行安全检测的安全引擎；