[发明专利]一种为用户态网络协议栈提供防火墙功能的方法和系统

说明书

本发明涉及一种为用户态网络协议栈提供防火墙功能的方法和系统。其方法部分主要包括：使用具备基于二层链路报文的转发、过滤能力的交换芯片，作为最前端的管理交换模块；采用分析器提取并分析经管理交换模块导流到内核栈方向的报文；对进入内核栈的报文进行是否已知类型的判断并进行过滤处理；基于用户态网络协议栈收发报文，由用户态网络协议栈自身进行检查；对导入到服务与行为管理模块中的报文，由服务与行为管理模块基于报文的来源确定如何开启服务，并根据处理的结果，向分析器注册对应的信息。本发明可以提供高效的处理网络信息流的方法，提供最高的安全特性，减少整个设备受到安全威胁中断服务的可能。

技术领域

本发明涉及防火墙技术领域，特别是涉及一种为用户态网络协议栈提供防火墙功能的方法和系统。

背景技术

使用操作系统内核栈不能适应通信设备规格的要求，故大规格设备，尤其是分布式形态多板卡的设备通常会使用用户态网络协议栈解决规格问题。

在此基础上，为了进一步提高用户态网络协议栈的实际吞吐率，会引入DPDK(DataPlane Development Kit，数据平面开发套件)这类将业务数据通过DMA(Direct MemoryAccess，直接存储器访问)的方法直接从硬件搬移至用户空间的手段，绕过内核栈。

这种情况下，吞吐率得到了长足的进步，但是对于用户态网络协议栈来说，如果存在攻击报文，则需要用户态网络协议栈内部集成防火墙相关机制，确认正常报文、攻击报文等。这对于用户态网络协议栈来说，是非常大的压力。

通常情况下，使用一个独占资源的网络防火墙，监视所有过栈数据，拦截攻击报文，转发正常报文。联合深度包检测等相关能力，可以极大提高安全性。但防火墙需要消耗大量的运算资源，并且所有报文均需要“通过防火墙”。

所以，如果在用户态网络协议栈前挂防火墙，防火墙处理过程将严重影响吞吐率，与引入DPDK的目的存在矛盾。而如果在用户态网络协议栈内集成防火墙，由用户态网络协议栈“自己处理所有报文”，那么存在以下两种情况：异常报文直接由用户态网络协议栈处理，安全性不足，且与功能用户态网络协议栈紧耦合，不利于功能的扩展；异常报文由用户态网络协议栈转发至防火墙，有效报文再转发给确定的下游模块，依然是串行的处理模式，与性能需求存在矛盾，严重影响吞吐率。

有鉴于此，如何克服现有技术所存在的缺陷，解决上述技术问题，是本技术领域待解决的难题。

发明内容

针对现有技术中的缺陷或改进需求，本发明提供一种为用户态网络协议栈提供防火墙功能的方法和系统，可以提供高效的处理网络信息流的方法，在对信息流的连接建立过程不带来冲击的情况下，能够最大利用包括设备内的交换芯片、业务芯片以及中央处理器的处理能力，在最小的消耗下达到更高的处理效率的同时，提供最高的安全特性，减少整个设备受到安全威胁中断服务的可能。

本发明实施例采用如下技术方案：

第一方面，本发明提供了一种为用户态网络协议栈提供防火墙功能的方法，包括：

使用具备基于二层链路报文的转发、过滤能力的交换芯片，作为最前端的管理交换模块，基于MAC层的信息，分发数据报文；

采用分析器提取并分析经管理交换模块导流到内核栈方向的报文，以决定这部分报文是丢弃还是向下游继续传递；

对进入内核栈的报文进行是否已知类型的判断并进行过滤处理；

基于用户态网络协议栈收发报文，由用户态网络协议栈自身进行检查；

对导入到服务与行为管理模块中的报文，由服务与行为管理模块基于报文的来源确定如何开启服务，并根据处理的结果，向分析器注册对应的信息，以便影响未来的报文如何抵达用户态网络协议栈。

进一步的，对于输入到管理交换模块的数据报文，其输入方式包括：