技術領域

本發(fā)明涉及通信領域，尤其涉及數(shù)據(jù)包轉發(fā)和安全防護檢測系統(tǒng)、負載均衡方法及裝置。

背景技術

在網(wǎng)絡通信中進行數(shù)據(jù)包轉發(fā)時，數(shù)據(jù)包經(jīng)過網(wǎng)絡通信中的工作層，可以經(jīng)過物理層、數(shù)據(jù)鏈路層、網(wǎng)絡層、傳輸層和應用層等，在數(shù)據(jù)轉發(fā)的過程中，數(shù)據(jù)包可能會受到安全威脅，例如，數(shù)據(jù)包可能會受到DTP攻擊，ARP?Flood攻擊，SYN?Flood攻擊以及應用層的病毒注入等，因此，對于在網(wǎng)絡通信中轉發(fā)的數(shù)據(jù)包，需要進行安全防護檢測，以保證轉發(fā)數(shù)據(jù)包的安全性。

目前，現(xiàn)有的進行數(shù)據(jù)包轉發(fā)和安全防護主要為串行式的數(shù)據(jù)包處理方式，具體為：獲取一個待轉發(fā)數(shù)據(jù)包，對當前待轉發(fā)數(shù)據(jù)包進行安全防護檢測，當檢測到該當前待轉發(fā)數(shù)據(jù)包存在安全威脅時，對該當前待轉發(fā)數(shù)據(jù)包進行阻斷或丟棄處理，當檢測該當前待轉發(fā)數(shù)據(jù)包安全時，將該當前待轉發(fā)數(shù)據(jù)包發(fā)送給接收端，當該當前待轉發(fā)數(shù)據(jù)包轉發(fā)結束后，對下一個待轉發(fā)數(shù)據(jù)包進行上述轉發(fā)和安全防護處理。

上述現(xiàn)有的數(shù)據(jù)包轉發(fā)和安全防護的處理方式中，由于采用串行的數(shù)據(jù)包轉發(fā)和安全防護處理方式，每次只能針對一個數(shù)據(jù)包進行轉發(fā)和安全防護檢測，數(shù)據(jù)包轉發(fā)和安全防護檢測的效率低。

發(fā)明內(nèi)容

本發(fā)明實施例提供數(shù)據(jù)包轉發(fā)和安全防護檢測系統(tǒng)、負載均衡方法及裝置，用以解決現(xiàn)有技術中存在的對數(shù)據(jù)包進行轉發(fā)和安全防護檢測的處理效率低的問題。

本發(fā)明實施例提供一種數(shù)據(jù)包轉發(fā)和安全防護檢測系統(tǒng)，其特征在于，包括：數(shù)據(jù)包轉發(fā)模塊，多個安全引擎和與多個安全引擎一一對應的環(huán)形隊列，其中：

所述數(shù)據(jù)包轉發(fā)模塊包括包收取模塊，包處理模塊和包發(fā)送模塊；

所述包收取模塊，用于接收多個待轉發(fā)數(shù)據(jù)包；將多個所述待轉發(fā)數(shù)據(jù)包發(fā)送給所述包處理模塊；

所述包處理模塊，用于接收所述包收取模塊發(fā)送的多個所述待轉發(fā)數(shù)據(jù)包；根據(jù)預設負載均衡算法，將所述待轉發(fā)數(shù)據(jù)包發(fā)送給多個安全引擎中負載能力最強的安全引擎對應的環(huán)形隊列；接收多個所述環(huán)形隊列中攜帶有安全檢測結果標識的所述待轉發(fā)數(shù)據(jù)包；向所述包發(fā)送模塊發(fā)送攜帶有表示安全的安全檢測結果標識的待轉發(fā)數(shù)據(jù)包；對攜帶有表示數(shù)據(jù)包有安全威脅的安全檢測結果標識的待轉發(fā)數(shù)據(jù)包進行丟棄或者阻斷轉發(fā)處理；

所述包發(fā)送模塊，用于接收所述包處理模塊發(fā)送的所述攜帶有表示安全的安全檢測結果標識的待轉發(fā)數(shù)據(jù)包；將所述攜帶有表示安全的安全檢測結果標識的待轉發(fā)數(shù)據(jù)包發(fā)送給接收端；

所述安全引擎，用于從與自身對應的所述環(huán)形隊列中獲取待轉發(fā)數(shù)據(jù)包；對所述待轉發(fā)數(shù)據(jù)包進行安全防護檢測；將攜帶有安全檢測結果標識的待轉發(fā)數(shù)據(jù)包放入與自身對應的環(huán)形隊列中；

所述環(huán)形隊列，用于存儲所述包處理模塊發(fā)送的所述待轉發(fā)數(shù)據(jù)包和與自身對應的所述安全引擎發(fā)送的攜帶有表示安全的安全檢測結果標識的待轉發(fā)數(shù)據(jù)包。

采用本發(fā)明提供的上述系統(tǒng)，由于采用多個安全引擎同時對待轉發(fā)數(shù)據(jù)包并行地進行安全檢測，提高了對數(shù)據(jù)包進行轉發(fā)和安全防護檢測的處理效率。

進一步的，所述包處理模塊，具體用于對從所述包收取模塊接收的多個所述待轉發(fā)數(shù)據(jù)包進行底層安全防護檢測；針對每個所述待轉發(fā)數(shù)據(jù)包，當對該待轉發(fā)數(shù)據(jù)包的檢測結果為該待轉發(fā)數(shù)據(jù)包安全時，根據(jù)預設負載均衡算法，將該待轉發(fā)數(shù)據(jù)包發(fā)送給多個安全引擎中負載能力最強的安全引擎對應的環(huán)形隊列；當對該待轉發(fā)數(shù)據(jù)包的檢測結果為該待轉發(fā)數(shù)據(jù)包有安全威脅時，將該待轉發(fā)數(shù)據(jù)包丟棄或者阻斷轉發(fā)處理。

進一步的，上述系統(tǒng)，還包括：配置解析模塊，用于根據(jù)性能需求和處理器硬件制約條件設置所述數(shù)據(jù)包轉發(fā)模塊的線程個數(shù)和安全引擎的個數(shù)，對所述數(shù)據(jù)包轉發(fā)模塊和安全引擎進行初始化設置。

進一步的，所述配置解析模塊，還用于根據(jù)已配置的所述安全引擎的個數(shù)，分別為每個安全引擎分配與自身對應的環(huán)形隊列。

本發(fā)明實施例提供一種負載均衡方法，應用于數(shù)據(jù)包轉發(fā)和安全防護檢測系統(tǒng)，所述數(shù)據(jù)包轉發(fā)和安全防護檢測系統(tǒng)包括：多個用于對數(shù)據(jù)包進行安全檢測的安全引擎和與多個安全引擎一一對應的環(huán)形隊列，所述環(huán)形隊列用于存儲與該環(huán)形隊列對應的安全引擎將要進行檢測的數(shù)據(jù)包，該方法包括：

根據(jù)待轉發(fā)數(shù)據(jù)包的源IP、目的IP和所述安全引擎的個數(shù)進行哈希運算，得到哈希運算結果；

確定是否存在與所述哈希運算結果對應的環(huán)形隊列索引；

當存在與所述哈希運算結果對應的環(huán)形隊列索引時，確定所述環(huán)形隊列索引對應的安全引擎為將要對所述待轉發(fā)數(shù)據(jù)包進行安全檢測的安全引擎；