CN106603427A - 防火墙中实现软件bypass的方法及装置 - Google Patents
防火墙中实现软件bypass的方法及装置 Download PDFInfo
- Publication number
- CN106603427A CN106603427A CN201710036343.7A CN201710036343A CN106603427A CN 106603427 A CN106603427 A CN 106603427A CN 201710036343 A CN201710036343 A CN 201710036343A CN 106603427 A CN106603427 A CN 106603427A
- Authority
- CN
- China
- Prior art keywords
- current
- bypass
- software
- software bypass
- interfaces
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/29—Flow control; Congestion control using a combination of thresholds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种防火墙中实现软件bypass的方法及装置,方法包括:判断现网流量是否大于等于预设流量阈值;如果现网流量大于等于预设流量阈值,则在报文接收端函数或重要安全业务处理函数中调用预先封装的软件bypass操作接口,使软件bypass操作接口通过调用预先封装的计算接口获取当前CPU使用率和当前网口接收速率,并在当前CPU使用率和当前网口接收速率均大于当前硬件设备平台安全业务处理丢包预设阀值时,按照预设规则将接收的报文在预先设置的成对的软件bypass网口之间进行软件bypass。本发明解决了现有技术中现网流量较大或是出现高峰时段的突发性流量,且现网流量达到防火墙的安全业务处理的最大性能上限出现的设备丢包而导致网络卡顿或断网的问题。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及一种防火墙中实现软件bypass的方法及装置。
背景技术
目前,网络安全设备一般都是应用在两个或更多的网络之间,比如内网和外网之间,网络安全设备内的应用程序会对通过他的网络封包来进行业务处理,处理完后再按照一定的路由规则将封包转发出去,而如果这台网络安全设备出现了故障,比如断电或死机后,那连接这台设备上所有网段也就彼此失去联系了,这个时候如果要求各个网络彼此还需要处于连通状态,那么就必须硬件bypass出面了。
硬件bypass,就是旁路功能,可以通过特定的触发状态(断电或死机)让两个网络不通过网络安全设备的***,而直接物理上导通。所以有了硬件Bypass后,当网络安全设备故障以后,还可以让连接在这台设备上的网络相互导通而不出现断网,当然这个时候这台网络设备也就不会再对网络中的封包做处理了。
但是,硬件bypass在特定场景下才触发(断电或死机),让两个网络不通过网络安全设备的***而直接物理上导通,硬件bypass口一般成对出现,并非安全设备所有口都是bypass口,而且一般电口支持光口不支持。随着云计算及大数据时代的来临,现网的流量越来越大。在现网的流量较大或是出现高峰时段的突发性流量时,如果现网流量达到防火墙的安全业务处理的最大性能上限则会出现设备丢包,轻则网络卡顿,重则断网,此时硬件bypass是不会触发的。
鉴于此,如何实现软件bypass,以解决现网的流量较大或是出现高峰时段的突发性流量,且现网流量达到防火墙的安全业务处理的最大性能上限出现的设备丢包而导致网络卡顿或断网的问题成为目前需要解决的技术问题。
发明内容
为解决上述的技术问题,本发明提供一种防火墙中实现软件bypass的方法及装置,能够解决现有技术中现网的流量较大或是出现高峰时段的突发性流量,且现网流量达到防火墙的安全业务处理的最大性能上限出现的设备丢包而导致网络卡顿或断网的问题。
第一方面,本发明提供一种防火墙中实现软件bypass的方法,包括:
判断现网流量是否大于等于预设流量阈值;
如果现网流量大于等于预设流量阈值,则在报文接收端函数或重要安全业务处理函数中调用预先封装的软件bypass操作接口,使所述软件bypass操作接口通过调用预先封装的计算接口获取当前CPU使用率和当前网口接收速率,并在当前CPU使用率和当前网口接收速率均大于当前硬件设备平台安全业务处理丢包预设阀值时,按照预设规则将接收的报文在预先设置的成对的软件bypass网口之间进行软件bypass。
可选地,在所述判断现网流量是否大于等于预设流量阈值之前,所述方法还包括:
在防火墙初始化阶段,根据当前硬件设备网口情况设置成对的软件bypass网口;
封装用于计算当前CPU使用率和当前网口接收速率的计算接口;
封装软件bypass操作接口,所述软件bypass操作接口用于通过调用所述计算接口获取当前CPU使用率和当前网口接收速率,并在当前CPU使用率和当前网口接收速率均大于当前硬件设备平台安全业务处理丢包预设阀值时,按照预设规则将接收的报文在所设置的成对的软件bypass网口之间进行软件bypass。
可选地,所述在防火墙初始化阶段,根据硬件设备网口情况设置成对的软件bypass网口,包括:
在防火墙初始化阶段,根据硬件设备网口情况设置成对的软件bypass网口,在所设置的每一软件bypass网口的数据结构net_device中均增加指向与其成对的另一个软件bypass网口的成员指针。
可选地,所述计算接口通过读取CPU指令周期数或累计运行时间计算获得当前CPU使用率。
可选地,所述计算接口通过计算单位时间内的收包数获得当前网口接收速率。
可选地,所述在当前CPU使用率和当前网口接收速率均大于当前硬件设备平台安全业务处理丢包预设阀值时,按照预设规则将接收的报文在预先设置的成对的软件bypass网口之间进行软件bypass,包括:
在当前CPU使用率和当前网口接收速率均大于当前硬件设备平台安全业务处理丢包预设阀值时,检测是否存在用户预先输入的转发预设比例;
若未检测到用户预先输入的转发预设比例,则将接收的报文在预先设置的成对的软件bypass网口之间进行全部软件bypass;
若检测到用户预先输入的转发预设比例,则按照所述转发预设比例,将接收的报文在预先设置的成对的软件bypass网口之间进行部分软件bypass。
可选地,所述按照所述转发预设比例,将接收的报文在预先设置的成对的软件bypass网口之间进行部分软件bypass,包括:
将接收的报文中所述转发预设比例的报文在预先设置的成对的软件bypass网口之间直接驱动转发,将接收的报文中除了直接驱动转发的报文之外剩余的报文执行安全业务处理。
第二方面,本发明提供一种防火墙中实现软件bypass的装置,包括:
判断模块,用于判断现网流量是否大于等于预设流量阈值;
调用模块,用于如果现网流量大于等于预设流量阈值,则在报文接收端函数或重要安全业务处理函数中调用预先封装的软件bypass操作接口,使所述软件bypass操作接口通过调用预先封装的计算接口获取当前CPU使用率和当前网口接收速率,并在当前CPU使用率和当前网口接收速率均大于当前硬件设备平台安全业务处理丢包预设阀值时,按照预设规则将接收的报文在预先设置的成对的软件bypass网口之间进行软件bypass。
可选地,所述装置还包括:
设置模块,用于在防火墙初始化阶段,根据当前硬件设备网口情况设置成对的软件bypass网口;
第一封装模块,用于封装用于计算当前CPU使用率和当前网口接收速率的计算接口;
第二封装模块,用于封装软件bypass操作接口,所述软件bypass操作接口用于通过调用所述计算接口获取当前CPU使用率和当前网口接收速率,并在当前CPU使用率和当前网口接收速率均大于当前硬件设备平台安全业务处理丢包预设阀值时,按照预设规则将接收的报文在所设置的成对的软件bypass网口之间进行软件bypass。
可选地,所述调用模块,具体用于
如果现网流量大于等于预设流量阈值,则在报文接收端函数或重要安全业务处理函数中调用预先封装的软件bypass操作接口,使所述软件bypass操作接口通过调用预先封装的计算接口获取当前CPU使用率和当前网口接收速率,并在当前CPU使用率和当前网口接收速率均大于当前硬件设备平台安全业务处理丢包预设阀值时,检测是否存在用户预先输入的转发预设比例;
若未检测到用户预先输入的转发预设比例,则将接收的报文在预先设置的成对的软件bypass网口之间进行全部软件bypass;
若检测到用户预先输入的转发预设比例,则按照所述转发预设比例,将接收的报文在预先设置的成对的软件bypass网口之间进行部分软件bypass。
由上述技术方案可知,本发明的防火墙中实现软件bypass的方法及装置,通过判断现网流量是否大于等于预设流量阈值,如果现网流量大于等于预设流量阈值,则在报文接收端函数或重要安全业务处理函数中调用预先封装的软件bypass操作接口,使所述软件bypass操作接口通过调用预先封装的计算接口获取当前CPU使用率和当前网口接收速率,并在当前CPU使用率和当前网口接收速率均大于当前硬件设备平台安全业务处理丢包预设阀值时,按照预设规则将接收的报文在预先设置的成对的软件bypass网口之间进行软件bypass,由此,能够解决现有技术中在现网的流量较大或是出现高峰时段的突发性流量,且现网流量达到防火墙的安全业务处理的最大性能上限出现的设备丢包而导致网络卡顿或断网的问题,可以减少部分业务流量处理占用的***资源,保证防火墙作为安全设备尽量少出现丢包或断流情况,防止大流量环境下因达到防火墙性能上限而出现的现网网络环境卡顿或断网情况发生,而影响用户体验及正常使用网络。
附图说明
图1为本发明一实施例提供的一种防火墙中实现软件bypass的方法的流程示意图;
图2为本发明一实施例提供的一种防火墙中实现软件bypass的装置的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整的描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他的实施例,都属于本发明保护的范围。
图1示出了本发明一实施例提供的防火墙中实现软件bypass的方法的流程示意图,如图1所示,本实施例的防火墙中实现软件bypass的方法如下所述。
101、判断现网流量是否大于等于预设流量阈值。
在具体应用中,所述预设流量阈值可以预先根据当前防火墙的具体情况进行设置,本实施例并不对其进行限制。
在具体应用中,在所述步骤101之前,本实施例所述方法还包括图中未示出的步骤S1-S3:
S1、在防火墙初始化阶段,根据当前硬件设备网口情况设置成对的软件bypass网口。
具体地,所述步骤S1可具体包括:
在防火墙初始化阶段,根据硬件设备网口情况设置成对的软件bypass网口(例如:网口eth0ð1、或网口eth2ð3等),在所设置的每一软件bypass网口的数据结构net_device中均增加指向与其成对的另一个软件bypass网口的(pstSoftBypassDev)成员指针。
S2、封装用于计算当前CPU使用率和当前网口接收速率的计算接口。
在具体应用中,所述计算接口可通过(可利用rdtsc指令)读取CPU指令周期数计算获得当前CPU使用率,或者,可通过读取CPU的累计运行时间(/proc/stat)计算获得当前CPU使用率。
在具体应用中,所述计算接口可通过计算单位时间内的收包数获得当前网口接收速率。
可以理解的是,本实施例所述计算接口也可以利用其他方法计算当前CPU使用率和当前网口接收速率,本实施例并不对其进行限制。
S3、封装软件bypass操作接口,所述软件bypass操作接口用于通过调用所述计算接口获取当前CPU使用率和当前网口接收速率,并在当前CPU使用率和当前网口接收速率均大于当前硬件设备平台安全业务处理丢包预设阀值时,按照预设规则将接收的报文在所设置的成对的软件bypass网口之间进行软件bypass。
可以理解的是,软件bypass的出接口可根据所设置的成对的软件bypass网口的数据结构net_device中彼此保存的指向对方网口的(pstSoftBypassDev)成员指针而获得。
需说明的是,不同硬件设备平台安全业务处理丢包预设阀值及转发预设比例可根据测试仪打流量测得,比如在多大接收速率或多大CPU使用率时开始出现丢包,此时的值即为该硬件设备平台安全业务处理丢包预设阀值;比如在设置转发预设比例为多少时不再丢包,此时的值即为转发预设比例;在本实施例中,可通过接收用户输入的命令行,预先设置当前硬件设备平台安全业务处理丢包预设阀值及转发预设比例。
102、如果现网流量大于等于预设流量阈值,则在报文接收端函数或重要安全业务处理函数中调用预先封装的软件bypass操作接口,使所述软件bypass操作接口通过调用预先封装的计算接口获取当前CPU使用率和当前网口接收速率,并在当前CPU使用率和当前网口接收速率均大于当前硬件设备平台安全业务处理丢包预设阀值时,按照预设规则将接收的报文在预先设置的成对的软件bypass网口之间进行软件bypass。
在具体应用中,所述步骤102中的“在当前CPU使用率和当前网口接收速率均大于当前硬件设备平台安全业务处理丢包预设阀值时,按照预设规则将接收的报文在预先设置的成对的软件bypass网口之间进行软件bypass”,可以具体包括:
在当前CPU使用率和当前网口接收速率均大于当前硬件设备平台安全业务处理丢包预设阀值时,检测是否存在用户预先输入的转发预设比例;
若未检测到用户预先输入的转发预设比例,则将接收的报文在预先设置的成对的软件bypass网口之间进行全部软件bypass;
若检测到用户预先输入的转发预设比例,则按照所述转发预设比例,将接收的报文在预先设置的成对的软件bypass网口之间进行部分软件bypass。
其中,所述按照所述转发预设比例,将接收的报文在预先设置的成对的软件bypass网口之间进行部分软件bypass,可具体包括:
将接收的报文中所述转发预设比例的报文在预先设置的成对的软件bypass网口之间直接驱动转发,将接收的报文中除了直接驱动转发的报文之外剩余的报文执行安全业务处理。
本实施例的防火墙中实现软件bypass的方法,通过判断现网流量是否大于等于预设流量阈值,如果现网流量大于等于预设流量阈值,则在报文接收端函数或重要安全业务处理函数中调用预先封装的软件bypass操作接口,使所述软件bypass操作接口通过调用预先封装的计算接口获取当前CPU使用率和当前网口接收速率,并在当前CPU使用率和当前网口接收速率均大于当前硬件设备平台安全业务处理丢包预设阀值时,按照预设规则将接收的报文在预先设置的成对的软件bypass网口之间进行软件bypass,由此,能够解决现有技术中在现网的流量较大或是出现高峰时段的突发性流量,且现网流量达到防火墙的安全业务处理的最大性能上限出现的设备丢包而导致网络卡顿或断网的问题,可以减少部分业务流量处理占用的***资源,保证防火墙作为安全设备尽量少出现丢包或断流情况,防止大流量环境下因达到防火墙性能上限而出现的现网网络环境卡顿或断网情况发生,而影响用户体验及正常使用网络。
图2示出了本发明一实施例提供的一种防火墙中实现软件bypass的装置的结构示意图,如图2所示,本实施例的防火墙中实现软件bypass的装置,包括:判断模块21和调用模块22;其中:
判断模块21,用于判断现网流量是否大于等于预设流量阈值;
调用模块22,用于如果现网流量大于等于预设流量阈值,则在报文接收端函数或重要安全业务处理函数中调用预先封装的软件bypass操作接口,使所述软件bypass操作接口通过调用预先封装的计算接口获取当前CPU使用率和当前网口接收速率,并在当前CPU使用率和当前网口接收速率均大于当前硬件设备平台安全业务处理丢包预设阀值时,按照预设规则将接收的报文在预先设置的成对的软件bypass网口之间进行软件bypass。
在具体应用中,所述预设流量阈值可以预先根据当前防火墙的具体情况进行设置,本实施例并不对其进行限制。
在具体应用中,本实施例所述装置还可以包括图中未示出的:
设置模块,用于在防火墙初始化阶段,根据当前硬件设备网口情况设置成对的软件bypass网口;
第一封装模块,用于封装用于计算当前CPU使用率和当前网口接收速率的计算接口;
第二封装模块,用于封装软件bypass操作接口,所述软件bypass操作接口用于通过调用所述计算接口获取当前CPU使用率和当前网口接收速率,并在当前CPU使用率和当前网口接收速率均大于当前硬件设备平台安全业务处理丢包预设阀值时,按照预设规则将接收的报文在所设置的成对的软件bypass网口之间进行软件bypass。
在具体应用中,所述计算接口可通过(可利用rdtsc指令)读取CPU指令周期数计算获得当前CPU使用率,或者,可通过读取CPU的累计运行时间(/proc/stat)计算获得当前CPU使用率。
在具体应用中,所述计算接口可通过计算单位时间内的收包数获得当前网口接收速率。
可以理解的是,本实施例所述计算接口也可以利用其他方法计算当前CPU使用率和当前网口接收速率,本实施例并不对其进行限制。
需说明的是,不同硬件设备平台安全业务处理丢包预设阀值及转发预设比例可根据测试仪打流量测得,比如在多大接收速率或多大CPU使用率时开始出现丢包,此时的值即为该硬件设备平台安全业务处理丢包预设阀值;比如在设置转发预设比例为多少时不再丢包,此时的值即为转发预设比例;在本实施例中,可通过接收用户输入的命令行,预先设置当前硬件设备平台安全业务处理丢包预设阀值及转发预设比例。
在具体应用中,所述调用模块22,可具体用于
如果现网流量大于等于预设流量阈值,则在报文接收端函数或重要安全业务处理函数中调用预先封装的软件bypass操作接口,使所述软件bypass操作接口通过调用预先封装的计算接口获取当前CPU使用率和当前网口接收速率,并在当前CPU使用率和当前网口接收速率均大于当前硬件设备平台安全业务处理丢包预设阀值时,检测是否存在用户预先输入的转发预设比例;
若未检测到用户预先输入的转发预设比例,则将接收的报文在预先设置的成对的软件bypass网口之间进行全部软件bypass;
若检测到用户预先输入的转发预设比例,则按照所述转发预设比例,将接收的报文在预先设置的成对的软件bypass网口之间进行部分软件bypass。
其中,按照所述转发预设比例,将接收的报文在预先设置的成对的软件bypass网口之间进行部分软件bypass,可具体包括:
将接收的报文中所述转发预设比例的报文在预先设置的成对的软件bypass网口之间直接驱动转发,将接收的报文中除了直接驱动转发的报文之外剩余的报文执行安全业务处理。
本实施例的防火墙中实现软件bypass的装置,能够解决现有技术中在现网的流量较大或是出现高峰时段的突发性流量,且现网流量达到防火墙的安全业务处理的最大性能上限出现的设备丢包而导致网络卡顿或断网的问题,可以减少部分业务流量处理占用的***资源,保证防火墙作为安全设备尽量少出现丢包或断流情况,防止大流量环境下因达到防火墙性能上限而出现的现网网络环境卡顿或断网情况发生,而影响用户体验及正常使用网络。
本实施例的防火墙中实现软件bypass的装置,可以用于执行前述方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
本领域内的技术人员应明白,本申请的实施例可提供为方法、***、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。术语“上”、“下”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以根据具体情况理解上述术语在本发明中的具体含义。
本发明的说明书中,说明了大量具体细节。然而能够理解的是,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。类似地,应当理解,为了精简本发明公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释呈反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。本发明并不局限于任何单一的方面,也不局限于任何单一的实施例,也不局限于这些方面和/或实施例的任意组合和/或置换。而且,可以单独使用本发明的每个方面和/或实施例或者与一个或更多其他方面和/或其实施例结合使用。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围,其均应涵盖在本发明的权利要求和说明书的范围当中。
Claims (10)
1.一种防火墙中实现软件bypass的方法,其特征在于,包括:
判断现网流量是否大于等于预设流量阈值;
如果现网流量大于等于预设流量阈值,则在报文接收端函数或重要安全业务处理函数中调用预先封装的软件bypass操作接口,使所述软件bypass操作接口通过调用预先封装的计算接口获取当前CPU使用率和当前网口接收速率,并在当前CPU使用率和当前网口接收速率均大于当前硬件设备平台安全业务处理丢包预设阀值时,按照预设规则将接收的报文在预先设置的成对的软件bypass网口之间进行软件bypass。
2.根据权利要求1所述的方法,其特征在于,在所述判断现网流量是否大于等于预设流量阈值之前,所述方法还包括:
在防火墙初始化阶段,根据当前硬件设备网口情况设置成对的软件bypass网口;
封装用于计算当前CPU使用率和当前网口接收速率的计算接口;
封装软件bypass操作接口,所述软件bypass操作接口用于通过调用所述计算接口获取当前CPU使用率和当前网口接收速率,并在当前CPU使用率和当前网口接收速率均大于当前硬件设备平台安全业务处理丢包预设阀值时,按照预设规则将接收的报文在所设置的成对的软件bypass网口之间进行软件bypass。
3.根据权利要求2所述的方法,其特征在于,所述在防火墙初始化阶段,根据硬件设备网口情况设置成对的软件bypass网口,包括:
在防火墙初始化阶段,根据硬件设备网口情况设置成对的软件bypass网口,在所设置的每一软件bypass网口的数据结构net_device中均增加指向与其成对的另一个软件bypass网口的成员指针。
4.根据权利要求2所述的方法,其特征在于,所述计算接口通过读取CPU指令周期数或累计运行时间计算获得当前CPU使用率。
5.根据权利要求2所述的方法,其特征在于,所述计算接口通过计算单位时间内的收包数获得当前网口接收速率。
6.根据权利要求1所述的方法,其特征在于,所述在当前CPU使用率和当前网口接收速率均大于当前硬件设备平台安全业务处理丢包预设阀值时,按照预设规则将接收的报文在预先设置的成对的软件bypass网口之间进行软件bypass,包括:
在当前CPU使用率和当前网口接收速率均大于当前硬件设备平台安全业务处理丢包预设阀值时,检测是否存在用户预先输入的转发预设比例;
若未检测到用户预先输入的转发预设比例,则将接收的报文在预先设置的成对的软件bypass网口之间进行全部软件bypass;
若检测到用户预先输入的转发预设比例,则按照所述转发预设比例,将接收的报文在预先设置的成对的软件bypass网口之间进行部分软件bypass。
7.根据权利要求6所述的方法,其特征在于,所述按照所述转发预设比例,将接收的报文在预先设置的成对的软件bypass网口之间进行部分软件bypass,包括:
将接收的报文中所述转发预设比例的报文在预先设置的成对的软件bypass网口之间直接驱动转发,将接收的报文中除了直接驱动转发的报文之外剩余的报文执行安全业务处理。
8.一种防火墙中实现软件bypass的装置,其特征在于,包括:
判断模块,用于判断现网流量是否大于等于预设流量阈值;
调用模块,用于如果现网流量大于等于预设流量阈值,则在报文接收端函数或重要安全业务处理函数中调用预先封装的软件bypass操作接口,使所述软件bypass操作接口通过调用预先封装的计算接口获取当前CPU使用率和当前网口接收速率,并在当前CPU使用率和当前网口接收速率均大于当前硬件设备平台安全业务处理丢包预设阀值时,按照预设规则将接收的报文在预先设置的成对的软件bypass网口之间进行软件bypass。
9.根据权利要求8所述的装置,其特征在于,所述装置还包括:
设置模块,用于在防火墙初始化阶段,根据当前硬件设备网口情况设置成对的软件bypass网口;
第一封装模块,用于封装用于计算当前CPU使用率和当前网口接收速率的计算接口;
第二封装模块,用于封装软件bypass操作接口,所述软件bypass操作接口用于通过调用所述计算接口获取当前CPU使用率和当前网口接收速率,并在当前CPU使用率和当前网口接收速率均大于当前硬件设备平台安全业务处理丢包预设阀值时,按照预设规则将接收的报文在所设置的成对的软件bypass网口之间进行软件bypass。
10.根据权利要求9所述的装置,其特征在于,所述调用模块,具体用于
如果现网流量大于等于预设流量阈值,则在报文接收端函数或重要安全业务处理函数中调用预先封装的软件bypass操作接口,使所述软件bypass操作接口通过调用预先封装的计算接口获取当前CPU使用率和当前网口接收速率,并在当前CPU使用率和当前网口接收速率均大于当前硬件设备平台安全业务处理丢包预设阀值时,检测是否存在用户预先输入的转发预设比例;
若未检测到用户预先输入的转发预设比例,则将接收的报文在预先设置的成对的软件bypass网口之间进行全部软件bypass;
若检测到用户预先输入的转发预设比例,则按照所述转发预设比例,将接收的报文在预先设置的成对的软件bypass网口之间进行部分软件bypass。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710036343.7A CN106603427A (zh) | 2017-01-17 | 2017-01-17 | 防火墙中实现软件bypass的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710036343.7A CN106603427A (zh) | 2017-01-17 | 2017-01-17 | 防火墙中实现软件bypass的方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106603427A true CN106603427A (zh) | 2017-04-26 |
Family
ID=58586130
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710036343.7A Pending CN106603427A (zh) | 2017-01-17 | 2017-01-17 | 防火墙中实现软件bypass的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106603427A (zh) |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108965237A (zh) * | 2017-05-17 | 2018-12-07 | 通用电气公司 | 网络防火墙***及对应的方法及非暂时性计算机可读介质 |
| CN109561083A (zh) * | 2018-11-20 | 2019-04-02 | 杭州迪普科技股份有限公司 | bypass处理的方法、装置、设备及存储介质 |
| CN110113268A (zh) * | 2019-04-26 | 2019-08-09 | 新华三技术有限公司合肥分公司 | 流量控制方法、装置和服务器 |
| WO2019185013A1 (zh) * | 2018-03-30 | 2019-10-03 | 新华三技术有限公司 | 报文转发 |
| CN110648535A (zh) * | 2019-09-26 | 2020-01-03 | 国家计算机网络与信息安全管理中心 | 一种基于流量旁路采集的轨道交通数据上报方法及装置 |
| CN110798342A (zh) * | 2019-10-14 | 2020-02-14 | 杭州迪普科技股份有限公司 | 一种基于软件实现旁路模式的方法及装置 |
| CN110995694A (zh) * | 2019-11-28 | 2020-04-10 | 新华三半导体技术有限公司 | 网络报文检测方法、装置、网络安全设备及存储介质 |
| CN111277509A (zh) * | 2020-01-13 | 2020-06-12 | 奇安信科技集团股份有限公司 | 针对ips引擎的流量引导方法及装置 |
| CN111641946A (zh) * | 2017-11-07 | 2020-09-08 | Oppo广东移动通信有限公司 | 处理数据的方法、网络设备和计算机存储介质 |
| CN112231107A (zh) * | 2020-10-28 | 2021-01-15 | 新华三信息安全技术有限公司 | 防火墙的报文限速***、方法、设备及介质 |
| CN112311765A (zh) * | 2020-09-29 | 2021-02-02 | 新华三信息安全技术有限公司 | 一种报文检测方法及装置 |
| CN113691517A (zh) * | 2021-08-17 | 2021-11-23 | 北京天融信网络安全技术有限公司 | 一种bypass的通信管理方法、装置、设备及介质 |
| CN113691536A (zh) * | 2021-08-25 | 2021-11-23 | 北京天融信网络安全技术有限公司 | 报文处理方法、装置、电子设备及可读存储介质 |
| CN113992596A (zh) * | 2021-10-18 | 2022-01-28 | 北京沃东天骏信息技术有限公司 | 一种接口限流方法、装置、设备、***和存储介质 |
| US11317291B2 (en) | 2018-03-15 | 2022-04-26 | Guangdong Oppo Mobile Telecommunications Corp., Ltd. | Data processing method, access network device, and core network device |
-
2017
- 2017-01-17 CN CN201710036343.7A patent/CN106603427A/zh active Pending
Cited By (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10469386B2 (en) * | 2017-05-17 | 2019-11-05 | General Electric Company | Network shunt with bypass |
| CN108965237A (zh) * | 2017-05-17 | 2018-12-07 | 通用电气公司 | 网络防火墙***及对应的方法及非暂时性计算机可读介质 |
| CN111641946B (zh) * | 2017-11-07 | 2022-01-28 | Oppo广东移动通信有限公司 | 处理数据的方法、网络设备和计算机存储介质 |
| CN111641946A (zh) * | 2017-11-07 | 2020-09-08 | Oppo广东移动通信有限公司 | 处理数据的方法、网络设备和计算机存储介质 |
| US11722899B2 (en) | 2018-03-15 | 2023-08-08 | Guangdong Oppo Mobile Telecommunications Corp., Ltd. | Data processing method, access network device, and core network device |
| US11317291B2 (en) | 2018-03-15 | 2022-04-26 | Guangdong Oppo Mobile Telecommunications Corp., Ltd. | Data processing method, access network device, and core network device |
| WO2019185013A1 (zh) * | 2018-03-30 | 2019-10-03 | 新华三技术有限公司 | 报文转发 |
| CN109561083A (zh) * | 2018-11-20 | 2019-04-02 | 杭州迪普科技股份有限公司 | bypass处理的方法、装置、设备及存储介质 |
| CN110113268A (zh) * | 2019-04-26 | 2019-08-09 | 新华三技术有限公司合肥分公司 | 流量控制方法、装置和服务器 |
| CN110113268B (zh) * | 2019-04-26 | 2022-04-08 | 新华三技术有限公司合肥分公司 | 流量控制方法、装置和服务器 |
| CN110648535A (zh) * | 2019-09-26 | 2020-01-03 | 国家计算机网络与信息安全管理中心 | 一种基于流量旁路采集的轨道交通数据上报方法及装置 |
| CN110798342A (zh) * | 2019-10-14 | 2020-02-14 | 杭州迪普科技股份有限公司 | 一种基于软件实现旁路模式的方法及装置 |
| CN110995694B (zh) * | 2019-11-28 | 2021-10-12 | 新华三半导体技术有限公司 | 网络报文检测方法、装置、网络安全设备及存储介质 |
| CN110995694A (zh) * | 2019-11-28 | 2020-04-10 | 新华三半导体技术有限公司 | 网络报文检测方法、装置、网络安全设备及存储介质 |
| CN111277509A (zh) * | 2020-01-13 | 2020-06-12 | 奇安信科技集团股份有限公司 | 针对ips引擎的流量引导方法及装置 |
| CN111277509B (zh) * | 2020-01-13 | 2023-12-05 | 奇安信科技集团股份有限公司 | 针对ips引擎的流量引导方法及装置 |
| CN112311765A (zh) * | 2020-09-29 | 2021-02-02 | 新华三信息安全技术有限公司 | 一种报文检测方法及装置 |
| CN112231107A (zh) * | 2020-10-28 | 2021-01-15 | 新华三信息安全技术有限公司 | 防火墙的报文限速***、方法、设备及介质 |
| CN112231107B (zh) * | 2020-10-28 | 2023-06-30 | 新华三信息安全技术有限公司 | 防火墙的报文限速***、方法、设备及介质 |
| CN113691517A (zh) * | 2021-08-17 | 2021-11-23 | 北京天融信网络安全技术有限公司 | 一种bypass的通信管理方法、装置、设备及介质 |
| CN113691517B (zh) * | 2021-08-17 | 2022-11-08 | 北京天融信网络安全技术有限公司 | 一种bypass的通信管理方法、装置、设备及介质 |
| CN113691536A (zh) * | 2021-08-25 | 2021-11-23 | 北京天融信网络安全技术有限公司 | 报文处理方法、装置、电子设备及可读存储介质 |
| CN113992596A (zh) * | 2021-10-18 | 2022-01-28 | 北京沃东天骏信息技术有限公司 | 一种接口限流方法、装置、设备、***和存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106603427A (zh) | 防火墙中实现软件bypass的方法及装置 | |
| US9992117B2 (en) | Network apparatus, communication system, abnormal traffic detection method, and program | |
| CN108023829B (zh) | 报文处理方法及装置、存储介质、电子设备 | |
| WO2020238747A1 (zh) | 串口输出路径切换方法、***及装置和交换机 | |
| CN104796329B (zh) | 一种链路自动切换方法及装置 | |
| CN105068880A (zh) | 一种基于看门狗的设备复位方法 | |
| CN102255910A (zh) | 一种测试入侵防御产品性能的方法和装置 | |
| CN101188527A (zh) | 一种心跳检测方法和装置 | |
| CN106533736A (zh) | 一种网络设备重启方法和装置 | |
| CN106878164A (zh) | 一种报文传输方法和装置 | |
| CN106789264A (zh) | 一种链路聚合组通道快速切换的方法和装置 | |
| CN105099825B (zh) | 一种外置Bypass的安全保护方法及装置 | |
| CN106411863A (zh) | 一种实时处理虚拟交换机网络流量的虚拟化平台 | |
| US11258666B2 (en) | Method, device, and system for implementing MUX machine | |
| CN107547430A (zh) | 一种报文发送方法及装置 | |
| CN105527564A (zh) | Fpga内部功能自诊断方法与*** | |
| CN107872370A (zh) | 一种以太网接口环路快速检测方法 | |
| CN103747472A (zh) | 基于电路域七号信令网的无感串接*** | |
| CN103248536A (zh) | 一种虚链路pw检测方法及设备 | |
| CN106506265B (zh) | 检测fpga芯片挂死的方法及装置 | |
| CN109039761B (zh) | 集群控制通道中故障链路处理方法和装置 | |
| CN104199799A (zh) | 基于cpld的波特率自适应方法及装置 | |
| CN105224426A (zh) | 物理主机故障检测方法、装置及虚机管理方法、*** | |
| CN110798342A (zh) | 一种基于软件实现旁路模式的方法及装置 | |
| JP2017147583A (ja) | ネットワーク中継装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |