[发明专利]一种分布式防火墙安全通信的实现方法及系统

说明书

本公开提供了一种分布式防火墙安全通信的实现方法及系统，实现方法包括：接收数据报文；基于数据报文的源地址和目的地址确定第一目标业务板以及第二目标业务板；其中，第一目标业务板属于第一安全设备；第二目标业务板属于第二安全设备；利用第一目标业务板对数据报文进行加密处理，得到加密报文；利用第二目标业务板对加密报文进行解密得到数据报文，并按照目的地址转发数据报文。本公开无需用依赖于硬件，也即解决了现有技术中IPSec表项规格受限于硬件ACL规格的问题；并且，在不依赖硬件的基础上提高了通用性，降低了耦合性，易移植，可扩展性较好。

技术领域

本公开涉及通信安全技术领域，特别涉及一种分布式防火墙安全通信的实现方法及系统。

背景技术

随着网络技术的发展以及对网络设备功能、性能要求的不断提高，分布式处理架构的网络设备应运而生。分布式防火墙一般由控制板、业务板和交换接口板组成，通过多业务板并行处理提高整机处理性能，进而满足用户高并发、高新建以及高吞吐的要求。在分布式防火墙的硬件架构中，控制板用于设备的配置管理及路由等，业务板用于处理不同业务并建立会话等，交换接口板用于收发报文，并把接收到报文均衡的发送到各业务板处理。

现有技术中通常采用以下两种方式：1、线卡+协处理卡，线卡用于建立并维护IPSec隧道的对端IP地址与相应的协处理卡号的对应关系表，根据对应关系表，将报文送往协处理卡进行IPSec处理，具体结构参照图1；2、设置硬件ACL策略，业务板通知控制板及时向交换接口板下发ACL策略，以保证来自特定网络设备的报文均发送给对应的业务板，业务板进一步对报文进行加解密处理，具体结构参照图2。

但上述两种方式，虽然硬件ACL策略这一方式相较于线卡+协处理卡的方式，通用性较强、硬件较简单、易维护，但仍存在IPSec表项规格受限于硬件ACL规格，可扩展性较差的问题。

发明内容

有鉴于此，本公开实施例的目的在于提供一种分布式防火墙安全通信的实现方法及系统，用于解决现有技术中IPSec表项规格受限于硬件ACL规格，可扩展性较差的问题。

第一方面，本公开实施例提供了一种分布式防火墙安全通信的实现方法，其中，包括：

接收数据报文；

基于所述数据报文的源地址和目的地址确定第一目标业务板以及第二目标业务板；其中，所述第一目标业务板属于第一安全设备；第二目标业务板属于第二安全设备；

利用所述第一目标业务板对所述数据报文进行加密处理，得到加密报文；

利用所述第二目标业务板对所述加密报文进行解密得到数据报文，并按照所述目的地址转发所述数据报文。

在一种可能的实施方式中，基于所述数据报文的源地址和目的地址确定所述第一目标业务板，包括：

确定所述源地址和所述目的地址落入的第一目标前缀表；

将所述第一目标前缀表中包括的业务板作为所述第一目标业务板；

其中，每条所述前缀表包括第一子网段、第二子网段、业务板以及所述第一子网段与所述第二子网段之间的传输隧道。

在一种可能的实施方式中，所述确定所述源地址和所述目的地址落入的第一目标前缀表，包括：

将所述源地址落入的第一子网段以及所述目的地址落入的第二子网段所属的前缀表作为所述第一目标前缀表。

在一种可能的实施方式中，基于所述数据报文的源地址和目的地址确定所述第二目标业务板，包括：

查找所述第一目标前缀表中的传输隧道所属的第二目标前缀表；

将所述第二目标前缀表中包括的业务板作为所述第二目标业务板。

在一种可能的实施方式中，所述实现方法还包括：