[发明专利]数据流转发方法、主控板、接口板、引擎板及分布式防火墙

权利要求书

1.一种数据流转发方法，其特征在于，所述方法应用于分布式防火墙内的主控板中，所述方法包括：

获取NAT公网地址池中各公网IP地址；

对于每个公网IP地址，将公网IP地址通过预设分配函数计算得到函数值；所述预设分配函数为Hash函数；所述函数值为将所述公网IP地址作为Hash函数的key，并使用分布式防火墙中引擎板的数量做哈希运算得到的；

将所述公网IP地址下发至与所述函数值对应的引擎板。

2.一种数据流转发方法，其特征在于，所述方法应用于分布式防火墙内的主控板中，所述方法包括：

获取NAT公网地址池中各公网IP地址以及每一个公网IP地址所对应的多个端口号；

对于每个公网IP地址以及公网IP地址所对应的每个端口号，将公网IP地址及端口号分别通过预设分配函数计算得到函数值；所述预设分配函数为Hash函数；所述函数值为将所述公网IP地址和公网IP地址所对应的每个端口号作为Hash函数的key，并使用分布式防火墙中引擎板的数量做哈希运算得到的；

将所述公网IP地址及端口号下发至与所述函数值对应的引擎板。

3.一种数据流转发方法，其特征在于，所述方法应用于分布式防火墙内的接口板中，所述分布式防火墙还包括分别与接口板的各输出接口连接的多个引擎板，所述方法包括：

接收应答正向数据流的反向数据流，所述正向数据流为由内网发往公网的数据流；

若确定所述反向数据流的目的特征值是主控板根据预设分配函数预先分配的目的特征值，则根据所述反向数据流的目的特征值及采用与所述主控板相同的预设分配函数在多个输出接口中确定目标接口；所述反向数据流的目的特征值为反向数据流的IP五元组中的目的IP地址，或者，所述反向数据流的目的特征值为反向数据流的IP五元组中的目的IP地址与目的端口的组合；所述预设分配函数为Hash函数；所述目的特征值包括：所述反向数据流的IP五元组中的目的IP地址；则所述预设分配函数为Hash函数，所述将所述反向数据流的目的特征值通过预设分配函数计算得到函数值，包括：将所述目的IP地址作为所述Hash函数的key，计算得到函数值；所述函数值为将所述公网IP地址作为Hash函数的key，并使用分布式防火墙中引擎板的数量做哈希运算得到的；或者，所述反向数据流的IP五元组中的目的IP地址与目的端口的组合；则所述预设分配函数为Hash函数，所述将所述反向数据流的目的特征值通过预设分配函数计算得到函数值，包括：将所述目的IP地址与所述目的端口号作为所述Hash函数的key，计算得到函数值；所述函数值为将所述公网IP地址和公网IP地址所对应的每个端口号作为Hash函数的key，并使用分布式防火墙中引擎板的数量做哈希运算得到的；

向与所述目标接口连接的引擎板转发所述反向数据流。

4.根据权利要求3所述的数据流转发方法，其特征在于，所述方法还包括：

接收正向数据流；

根据所述正向数据流的目的特征值及所述Hash函数在多个输出接口中确定目标接口；所述正向数据流的目的特征值为正向数据流的IP五元组中的目的IP地址；或者，所述正向数据流的目的特征值为正向数据流的IP五元组中的目的IP地址与目的端口的组合；

向与所述目标接口连接的引擎板转发所述正向数据流。

5.根据权利要求3所述的数据流转发方法，其特征在于，根据所述反向数据流的目的特征值及预设分配函数在多个输出接口中确定目标接口，包括：

将所述反向数据流的目的特征值通过所述Hash函数计算得到函数值;

将多个输出接口中与所述函数值对应的输出接口确定为目标接口。