[发明专利]一种用户态流水线架构防火墙系统

说明书

本发明公开了一种用户态流水线架构防火墙系统，控制平面负责系统的管理和控制功能，将从管理口发送过来的报文重新定向到内核协议栈；数据平面负责主要业务功能，数据平面工作在用户态，可以绕过复杂的Linux内核协议栈直接从网卡获取报文。数据平面将防火墙功能软件分解为多个功能模块，每个功能模块分别绑定至一个独立的CPU核上，使用其中一个CPU核作为主核，负责接收报文，采用轮询方式实现数据包收发，形成流水线架构。本发明防火墙系统属于绕过系统内核的适合防火墙功能的软件架构，网卡驱动通常在内核中实现，本发明中改为在用户态重新实现，系统直接从网卡获取报文，有效解决了传统防火墙Linux内核导致处理效率低下的问题。

技术领域

本发明属于数字信息传输技术领域，具体涉及一种用户态流水线架构防火墙系统。

背景技术

随着互联网通信技术的发展和互联网应用的日益普及，网络已成为主要的数据传输和信息交换平台。作为基本的网络安全产品，防火墙技术则是实现网络信息安全的一种重要手段，因此防火墙的应用场景非常广。

目前，稍具规模的网络安全厂商几乎都已推出自己的防火墙产品，除了必须具备的功能，防火墙的性能也是各安全厂商竞相宣传的重点，比如很多防火墙产品采用了FPGA、ASIC、NP等硬件加速处理技术。但由于硬件加速技术的开发具有周期长、成本高、功能相对弱等缺点，许多厂商仍然会试图寻求纯软件的解决方案。绝大多数防火墙厂商软件解决方案是通过基于Linux内核架构进行设计实现。随着网络通信基础设施的进步和信息技术的快速发展，网络带宽已经达到10G、100G的阶段，与之相应对网络防火墙的处理能力的要求也随之水涨船高。然而目前遇到的主要问题是基于内核协议栈进行高带宽的数据交换处理时，防火墙的性能很难令人满意。

在Linux内核中，以报文处理为例，目前存在几个方面的瓶颈问题。首先是系统调用昂贵，每次进行系统调用时，内核都需要为其准备各种内存、堆栈、中断等，导致消耗很长的时钟周期。其次是阻塞式IO引发的上下文切换，函数调用只有在操作完成后才会返回，如在读取报文时，应用程序调用recvfrom函数转入内核，内核有wait for data和copy datafrom kernel to user两个过程，直到最后拷贝过程完成后，recvfrom函数才返回，在此之前此过程一直是阻塞的。除此之外，还有报文在内核与用户空间之间的复制，以及报文收发引发的内核中断等问题都会消耗CPU资源，导致防火墙处理能力难以满足现实的需求。由此可以看出，整个Linux内核是导致报文处理效率低下的根本原因。Linux系统是针对通用系统设计的，功能很强很全面，但专用性不够。防火墙是网络访问控制专用设备，其需要有高速的报文处理能力，基于Linux内核协议栈来设计防火墙难以满足实际需求。

作为一个开源项目，基于DPDK架构的数据平面应用开发非常流行。DPDK使用了轮询(polling)方式而不是中断来处理数据包。经DPDK重载的网卡驱动不会通过中断通知CPU，而是直接将数据包存入内存，交付应用层软件通过DPDK提供的接口来直接处理，这样节省了大量的CPU中断时间和内存拷贝时间。但在针对防火墙领域的DPDK开发目前还没有成熟的产品。

同时，在网络安全的国产化替代的过程中，目前国产CPU与x86等国外CPU的处理能力相比还存在比较大的差距。通过软件层面的改进以弥补整机硬件性能的差距，达到满足实际用户的基本需求，是一个比较切实可行的研发方向。另一方面，随着CPU芯片技术的发展，CPU核心数不断增加，32核、64核等多核架构CPU的应用开始逐渐普及，网络安全产品中如何充分利用CPU资源来提升设备处理能力已经成为一个热门的研究课题。

发明内容

针对以上现有纯软件方式防火墙解决方案中存在的Linux内核调用导致防火墙的报文处理效率低下的问题，客观上需要有针对性地设计一套符合实际需求的防火墙软件架构系统，以充分利用多核心的CPU资源来提升设备处理能力。