[发明专利]一种分布式防火墙的板间通信系统及其通信方法

说明书

本发明涉及通信技术领域，特别是一种分布式防火墙的板间通信系统及其通信方法。该通信系统的通信机制按照从底层到顶层的结构顺序依次包括：硬件物理链路层、网络接口抽象层、数据通道统一接口层、数据通道，以及业务层。其中，硬件物理链路层中设置了主控板和各业务模块单板之间的连接模式。网络接口抽象层将MAC子层和PHY子层统一为一个网络接口，并发送或接受报文。数据通道统一接口层用于实现多层次的数据传送要求以及不同的功能对数据接口的要求。数据通道包括同步数据通道和异步数据通道，业务层用于实现各种功能，并在该层中由用户选择实现功能所要发送的数据类型。该分布式防火墙的板间通信系统，解决了传统系统整体通信性能不足，板间通信实时性达不到要求的问题。

技术领域

本发明涉及通信技术领域，特别是一种分布式防火墙的板间通信系统及其通信方法。

背景技术

网络安全是用户使用网络设备过程中的一个核心关切，在安全的基础领域，分布式防火墙被大量使用，同时，用户对防火墙设备的认知也越来越深刻。在很多领域，如政府、银行、金融等政企行业，安全已经成为用户考虑的首要因素，对防火墙设备的需求也与日俱增，根据行业自身的特点，对防火墙的功能提出特别需求，而这其中，对分布式防火墙的功能的要求也越来越高。目前分布式防火墙的主要特点和优势主要包括如下几点：(1)增强的系统安全性；分布式防火墙针对主机的入侵检测和防护功能，加强了来自内部的攻击防护，实现全方位的安全策略。(2)提高系统的性能；分布式防火墙利用硬件层次将业务模块、管理模块、控制模块等使用不同的硬件和软件系统来实现，各司其职提高整体的性能。(3)丰富的系统的扩展性；分布式防火墙在硬件和软件层面实现对分布式防火墙的扩充。

为了提高分布式防火墙设备的性能，可以考虑提升分布式防火墙设备中各单板间的通信能力。传统的分布式防火墙的硬件架构中：主要包括业务板与主控板两个部分组成，实现控制与业务的划分，复杂的防火墙还会将业务部进一步细分，如接口业务和安全业务进行独立分工。在这种设备架构中，所有的单板之间都需要进行通信，可以具体的了解到，每个业务板都会与主控板相连接，进行数据通信，包括主控和业务板之间的通信，以及主控板与备用主控板之间的通信。不管怎样硬件结构怎样的设计，板间通信好交互性能都非常重要。

分布式防火墙中需要在主控板和业务板之间进行数据的通信，确保各个单板上的系统都实时的更新设备上所有的单板的信息和一些数据，所以需要在分布式防火墙中建立一套通信机制，使得系统的启动早期就可以进行数据的通信(一般在Linux内核启动之后就需要各个单板能进行数据通信，当然在系统启动之后也可以进行通信)。传统的分布式防火墙系统中为了实现单板之间的信息快速交互，在每个单板系统中都需要实现一套并发量大，及时响应的通信机制，并且根据具体的信息需求，实现对数据传输的同步和异步方式。因此导致分布式防火墙的系统复杂度提升，运行效率降低，板间交互性能的快速性、实时性达不到要求。

发明内容

本发明提供了一种分布式防火墙的板间通信系统及其通信方法，解决了传统的分布式防火墙的整体通信性能不足，板间通信的实时性达不到要求的问题。

为克服现有技术的缺陷，本发明是采用以下技术方案实现：

首先，本发明提供一种分布式防火墙的板间通信系统，该通信系统的通信机制按照从底层到顶层的结构顺序依次包括：硬件物理链路层、网络接口抽象层、数据通道统一接口层、数据通道，以及业务层。

其中，硬件物理链路层位于通信系统的最底层，硬件物理链路层中设置了主控板和各业务模块单板之间的连接模式。

网络接口抽象层用于将硬件物理链路层中的MAC子层和PHY子层统一为一个网络接口，并将该网络接口用于发送或接受报文。

数据通道统一接口层是在网络接口抽象层的基础上进行统一封装得到的，统一封装后的数据通道统一接口层用于实现多层次的数据传送要求以及不同的功能对数据接口的要求。