[发明专利]一种数据库防火墙的数据转发方法

说明书

本发明公开了一种数据库防火墙的数据转发方法，为每个分析线程对应分配一个接收环形队列、发送环形队列和工作网卡；从所述每个分析线程对应的工作网卡抓取数据包，并对抓取的数据包进行初步解析和过滤后获得有效数据包；对所述有效数据包进行过滤策略匹配，将匹配成功的有效数据包存入数据包接收环形队列，匹配失败的有效数据包存入数据包发送环形队列；再从所述数据包接收环形队列上获取数据包并进行深度解析，之后，对深度解析后的数据包进行阻断策略匹配，若匹配失败，将数据包存入到对应的数据包发送环形队列上；最后，从所述数据包发送环形队列取出数据包后将数据包转发出去。

技术领域

本发明属于网络防火墙技术领域，具体涉及一种数据库防火墙的数据转发方法。

背景技术

随着计算机和网络技术发展，网络防火墙的应用越来越广泛。随着计算机网络的迅猛发展，越来越多不同类型的网络应用出现，与此同时，出现了越来越多的网络安全问题，这些安全问题一直困绕着网络和数据库管理员，在这种环境下，人们对于防火墙的安全性要求也随之提高。

当前，防火墙系统要实现安全设计，还需要对企业的网络安全进行全方面的需求分析，尤其是考虑目前大数据的环境下，提高防火墙系统的适用性和处理能力是非常有必要的。

发明内容

有鉴于此，本发明的主要目的在于提供一种数据库防火墙的数据转发方法。

为达到上述目的，本发明的技术方案是这样实现的：

本发明实施例提供一种数据库防火墙的数据转发方法，该方法为：为每个分析线程对应分配一个接收环形队列、发送环形队列和工作网卡；从所述每个分析线程对应的工作网卡抓取数据包，并对抓取的数据包进行初步解析和过滤后获得有效数据包；对所述有效数据包进行过滤策略匹配，将匹配成功的有效数据包存入数据包接收环形队列，匹配失败的有效数据包存入数据包发送环形队列；再从所述数据包接收环形队列上获取数据包并进行深度解析，之后，对深度解析后的数据包进行阻断策略匹配，若匹配失败，将数据包存入到对应的数据包发送环形队列上；最后，从所述数据包发送环形队列取出数据包后将数据包转发出去。

上述方案中，所述对深度解析后的数据包进行阻断策略匹配，若匹配成功，则直接将该数据包丢弃。

上述方案中，该方法之前，还包括根据CPU总线程确定转发线程、抓包线程、分析线程、接收环形队列和发送环形队列的数量，具体为：假设CPU总线程为N，确定M个抓包线程、M个转发线程和（N-2M）个分析线程；构建（N-2M）个数据包接收环形队列和(N-2M）个数据包发送环形队列。

上述方案中，所述将匹配成功的有效数据包存入数据包接收环形队列，匹配失败的有效数据包存入数据包发送环形队列，具体为：根据数据包的五元组信息按照CRC20算法求出hash值，根据该hash值取余数（N-2M），根据余数将数据包存入对应的数据包接收环形队列上或者数据包转发环形队列。

上述方案中，所述对抓取的数据包进行初步解析和过滤后获得有效数据包，具体为：对该数据包进行协议剥离，依次剥离以太层头、其他层协议、IPV4/6头、TCP头、UPD头，解析出数据包的IP、MAC和端口信息，并在数据包中标记此数据包的TCP|UDP协议层偏移值、IP、MAC和端口；对该数据包的协议类型进行过滤，去除不需要防护的协议。

上述方案中，所述其他层协议包括VLAN、L2TP、PPPOE、MPLS和自定义封装协议。

上述方案中，所述对所述有效数据包进行过滤策略匹配，具体为：过滤策略匹配中配置有需要保护的IP和端口信息，如果数据包中的IP和端口与需要保护的IP和端口一致，则认为匹配成功，反之，认为匹配失败。