发明名称 |
一种基于SOC及并行虚拟防火墙的高性能防火墙实现方法 |
摘要 |
本发明提出了一种新型的高性能防火墙实现方法,该方法采用带有SDRM接口的FPGA芯片,作为防火墙数据包的预处理器,实现基于硬件芯片的包过滤,从而有效地提高了防火墙的数据包吞吐性能,同时本技术采用虚拟机技术,实现多个并行的虚拟防火墙,可对所保护的网络空间进行划分,针对不同网段分别配置虚拟防火墙,进行独立的安全配置管理,提高了防火墙并行处理与检测能力,同时基于虚拟机的安全管理扩展功能,可以实现更多安全保护功能与更细粒度的安全保护能力。 |
申请公布号 |
CN101958903B |
申请公布日期 |
2013.01.02 |
申请号 |
CN201010501170.X |
申请日期 |
2010.10.09 |
申请人 |
南京博同科技有限公司 |
发明人 |
傅涛;陈志军;张敏 |
分类号 |
H04L29/06(2006.01)I;H04L29/12(2006.01)I |
主分类号 |
H04L29/06(2006.01)I |
代理机构 |
南京天翼专利代理有限责任公司 32112 |
代理人 |
朱戈胜 |
主权项 |
一种基于SOC及并行虚拟防火墙的高性能防火墙实现方法,其特征包括步骤:步骤1)采用SOC硬件芯片作为防火墙数据包的预处理器,先对网络数据包进行过滤,具体包括如下步骤:步骤1.1)由含有IPv4/IPv6协议的高速网络数据包分发器作为网络接口、来接收网络数据包,并根据包的源/目的地址、以及防火墙安全管理策略的配置,将数据包分发至各数据包预处理芯片的内存空间;步骤1.2)由防火墙数据包预处理芯片根据防火墙用户的配置规则,对输入的数据包进行过滤;本步骤采用硬件匹配来对数据包预处理,这是本防火墙的第一道过滤功能节点;步骤2)由并行虚拟防火墙对预处理的数据包进一步处理:所述并行虚拟防火墙包括多个由虚拟机实现的防火墙;各个虚拟防火墙独立配置;所述并行虚拟防火墙设有安全操作系统;虚拟防火墙接收预处理器发送来的数据包,进行独立的、基于状态的安全监测,保护各虚拟防火墙各自所辖范围内的网络资源安全;各个虚拟防火墙之间根据网络的实时情况,进行协作进一步提供防火墙的保护能力。 |
地址 |
210019 江苏省南京市建邺区江东中路311号中泰国际广场五座519室 |