[发明专利]防火墙网卡负载均衡机制中协议动态端口处理方法、系统、设备和存储介质

说明书

本发明涉及防火墙网卡负载均衡机制中协议动态端口处理方法、系统、设备和存储介质，应用于多队列网卡中。所述方法包括在数据包识别解码阶段根据协议特征提取动态端口信息，使用广播订阅查询方式下发动态端口信息以及策略匹配信息到缓存队列中，其他队列处理进程订阅所述缓存队列中的动态端口信息并加载到动态端口处理链中，当其他队列处理进程接收到动态端口数据包时，查询所述动态端口处理链，获取策略匹配信息，根据获取到的所处策略匹配信息进行动作处理。本发明能够确保动态端口数据能够一直哈希到同一网卡队列上，能够准确命中动态端口策略，解决了网卡多对列哈希导致动态端口与标准端口哈希到不同网卡队列上引起的单项策略不可用问题。

技术领域

本发明涉及网络技术领域，尤其涉及防火墙网卡负载均衡机制中协议动态端口处理方法、系统、设备和存储介质。

背景技术

现有技术中网卡多对列哈希会导致动态端口与标准端口哈希到不同网卡队列上，从而引起的单项策略不可用问题。例如，FTP客户端连接到FTP服务器的21端口，发送用户名和密码登录，登录成功后要list列表或者读取数据时，发送PASV命令到FTP服务器，服务器在本地随机开放一个端口(1024以上)，然后把开放的端口告诉客户端，客户端再连接到服务器开放的端口进行数据传输。

我们将这种在一个会话过程中，服务端开放的随机端口(不可预测)称为动态端口，由于在防火墙中遵循设置策略严谨性仅开放固定已知的端口(ftp 21、opc 135等)。在多进程处理过程中存在动态端口策略无法命中的问题。在现有的技术中，单网卡单进程处理，在同一进程中可以轻松的将ftp会话中21端口与产生的动态端口加载到同一会话上进行处理，不存在策略匹配动态端口的情况。

但由于采用的多队列负载均衡，多进程监控网卡，在五元组的哈希导致将ftp固定端口21与产生的动态端口哈希到不同的网卡队列上并进入不同的处理进程中，假设21端口哈希到进程a，动态端口哈希到进程b，在策略检查中仅放行21固定端口，进程a能够放行链接，进程b不能放行链接导致ftp功能无法链接。

发明内容

针对以上问题，本发明提供防火墙网卡负载均衡机制中协议动态端口处理方法和系统，在数据包识别解码阶段根据协议特征提取动态端口信息，根据提取的动态端口信息查询策略匹配信息，从而确保动态端口与标准端口哈希到同一网卡队列上，准确命中动态端口策略。

本发明提供防火墙网卡负载均衡机制中协议动态端口处理方法，应用于多队列网卡中，其特征在于，包括以下步骤：

获取动态端口信息，在数据包识别解码阶段根据协议特征提取动态端口信息；

广播所述动态端口信息，使用广播订阅查询方式下发动态端口信息以及策略匹配信息到缓存队列中；

订阅动态端口信息，其他队列处理进程订阅所述缓存队列中的动态端口信息并加载到动态端口处理链中；

查询动态端口信息，当其他队列处理进程接收到动态端口数据包时，查询所述动态端口处理链，获取策略匹配信息，根据获取到的所处策略匹配信息进行动作处理。

进一步的，所述获取动态端口信息可以是，服务端为各协议分配动态端口，并记录所述各协议与动态端口的映射关系；在数据包识别解码阶段根据协议特征以及所述映射关系提取动态端口信息。

进一步的，所述动态端口信息包括动态端口五元组的哈希值，其中动态端口五元组包括协议名称、源IP地址、源端口、目的IP地址、目的端口五元组信息；所述协议包括ftp、opc、sip、tftp等应用层协议。

进一步的，所述缓存队列为redis缓存队列。

进一步的，所述策略匹配信息包括接受或丢弃(accept\drop)操作。

进一步的，在所述查询动态端口信息步骤之后还包括，删除所述动态端口处理链中的动态端口信息，以避免数据冗余。