技術領域

本發明屬于網絡安全領域，尤其涉及一種基于ACP架構的防火墻設備。

背景技術

新建連接率(Connection?Per?Second，CPS)是防火墻每秒鐘內所能新建的最大的傳輸控制協議(Transmission?Control?Protocol，TCP)或者用戶數據報協議(User?Datagram?Protocol，UDP)連接數，是衡量狀態檢測防火墻的一個重要性能指標。防火墻的新建連接率直接影響防火墻響應來自因特網的服務請求。如果防火墻的新建連接率不夠高，當眾多因特網用戶同時請求網絡服務時，防火墻會把沒有建立連接的請求丟棄，造成此部分用戶不能訪問目標網絡。

如圖1所示，在ACP(ASIC芯片+CPU+PCI總線)架構中，專用集成電路(Application?Specific?Integrated?Circuit，ASIC)芯片20接收到報文(Packets)后，從外掛隨機存取存儲器(Random?Access?Memory，RAM)22中讀取會話連接表，根據會話連接表決定接收的報文是否需要進行轉發。接收到一個還沒有建立會話連接的首包報文時，將該首包報文寫入緩存模塊204。PCI?Target(PCI從接口)模塊206通過外部部件互連(Peripheral?Component?Interconnect，PCI)總線18經PCI橋片(Bridge)14將該首包報文上報給中央處理器(CentralProcessing?Unit，CPU)12。CPU?12將該首包報文暫存在PCI橋片外掛RAM?16中，進行路由表、安全規則等處理，并根據路由表、安全規則等處理決定是否允許轉發該首包報文。如果允許轉發，CPU?12將增加的會話連接表通過PCI總線18下發到ASIC芯片20。

PCI?Target模塊206采用輸入/輸出(I/O)通信方式接收CPU?12下發的會話連接表，將會話連接表寫入緩存模塊204，緩存模塊204隨后將會話連接表寫入ASIC芯片外掛RAM中，并通過PCI?Target模塊206將會話連接表寫入ASIC芯片外掛RAM?22的確認信息上報給CPU。CPU收到該確認信息后，將ASIC芯片20上報的首包報文從PCI橋片外掛RAM?16中讀取出來，通過PCI總線發送到ASIC芯片20。PCI?Target模塊206采用I/O通信方式接收該首包報文，并將該首包報文寫入緩存模塊204，緩存模塊204隨后將報文交給報文發送模塊210，報文發送模塊210將報文發送出去。否則，如果會話連接表還未建立而報文就已經發送出去，在此會話連接的應答報文到達防火墻設備時，此會話連接會話連接表可能仍未來得及建立，則ASIC芯片20從外掛RAM?22中查詢不到該連接而將應答報文丟棄，導致此會話連接通訊失敗。

從上述過程可知，影響防火墻新建連接率的因素如下：

1、CPU下發的會話連接表比較長，通常有128字節甚至更多。CPU將會話連接表通過PCI總線的I/O通信方式寫入ASIC芯片，一次最多只能寫入8個字節的會話連接表數據，因此CPU需要執行多次PCI總線請求周期才能將會話連接表配置完畢，執行時間過長。

2、CPU下發一次會話連接表需要多次操作PCI總線，且嚴重消耗了CPU資源。

3、CPU在確認會話連接表寫入RAM后才能將報文發送。則CPU需要頻繁查詢ASIC芯片會話連接表是否建立，以確定是否可以發送報文，耗費了較多的CPU資源。

綜上所述，在基于ACP架構的硬件防火墻設備中，會話連接的建立方式嚴重消耗了CPU資源，使得CPU單位時間內能夠處理的上報首包報文數量減少，并且多次操作PCI總線，占用PCI總線帶寬，導致會話連接表配置執行時間長，難以提高防火墻的新建連接率。

發明內容

本發明的目的在于提供一種基于ACP架構的硬件防火墻設備，旨在解決現有技術中存在的在基于ACP架構的硬件防火墻設備中，會話連接的建立方式嚴重消耗了CPU資源，使得CPU單位時間內能夠處理的上報的首包報文數量減少，并且多次操作PCI總線，占用PCI總線帶寬，導致會話連接表配置執行時間長，難以提高防火墻的新建連接率的問題。

本發明是這樣實現的，一種基于ACP架構的硬件防火墻設備，所述設備包括CPU，與所述CPU連接的PCI橋片，PCI橋片外掛RAM，通過PCI總線與所述PCI橋片連接的ASIC芯片，以及ASIC芯片外掛RAM，其中：

PCI橋片外掛RAM，用于存儲CPU為ASIC芯片上報的首包報文增加的會話連接表，以及首包報文；