本發明提供一種實現高性能狀態防火墻的方法及裝置，包括數據包處理模塊VPP、路由模塊、防火墻策略模塊和流狀態模塊。數據包處理模塊VPP用于從網絡接口接收發送數據。路由模塊通過查詢路由信息并轉發數據。防火墻策略模塊用于匹配用戶下發的防火墻策略，對首次建立會話的數據流按IP地址，協議，端口號進行安全策略匹配。流狀態模塊，用于對成功通過防火墻策略的數據流創建流會話，對已經建立了會話的流進行流狀態檢測，對于防火墻策略發生改變和路由發生改變時刷新流表，定期檢查流表，對在一個生命周期內都沒有狀態更新的流，從流表中刪除。通過減少防火墻安全策略表的重復查詢匹配及路由表的查詢，達到提升VPP處理數據包的能力，同時提升防火墻的吞吐率，有效地提升防火墻數據轉發性能。

技術領域

本發明涉及信息安全領域的防火墻技術，尤其涉及一種基于流狀態控制的高性能狀態防火墻。

背景技術

隨著計算機網絡快速發展，網絡攻擊復雜性不斷上升，病毒，木馬，后門等混合威脅的泛濫，讓網絡層和應用層面臨著更大的安全威脅，防火墻是一種可以保護網絡信息安全的設備，由軟件和硬件設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障，是一種計算機硬件和軟件的結合，使Internet與Intranet之間建立起一個安全網關(Security Gateway)，從而保護內部網免受非法用戶的侵入，防火墻主要由服務訪問規則、驗證工具、包過濾和應用網關4個部分組成。計算機流入流出的所有網絡通信和數據包均要經過此防火墻。最早的防火墻是基于包過濾的方式，到最后加入了狀態監測的機制，狀態防火墻也是目前主流的防火墻技術。

傳統的基于包過濾的防火墻，采用逐包過濾原則，效率非常低，并且很容易被攻擊者繞開安全策略。狀態檢測也只能監視網絡層和傳輸層數據。為了更好的保護計算機網絡，通常會將防火墻與其他防攻擊設備和防病毒設備串聯使用，這樣的方案不但部署困難，而且也會大大降低整個網絡的吞吐率。

因此，發展集成更多功能的防火墻和高性能防火墻才能適應新的網絡安全需求。

發明內容

本發明提供了一種實現高性能狀態防火墻的方法及裝置，以解決目前網絡吞吐率低以及通用軟件處理數據包能力不足的技術問題。

為實現上述技術目的，本發明使用以下技術方法：

一種實現高性能狀態防火墻的方法及裝置，包括數據包處理模塊VPP，所述數據包處理模塊VPP用于從網絡接口接收及發送數據。所述數據包處理模塊VPP包括路由模塊、防火墻策略模塊和流狀態模塊，所述路由模塊用于查詢路由信息并轉發數據，所述防火墻策略模塊用于匹配用戶下發的防火墻策略，對首次建立會話的數據流按IP地址，協議，端口號進行安全策略匹配，所述流狀態模塊，用于對成功通過防火墻策略的數據流創建流會話，對已經建立了會話的流進行流狀態檢測，對于防火墻策略發生改變和路由發生改變時刷新流表，定期檢查流表，對查過生命周期都沒有狀態更新的流，從流表中刪除。

進一步地，所述流狀態模塊內設有流會話表，當一條數據流通過防火墻時，從所述流會話表中查詢該條數據流，獲取該條流的狀態信息和路由信息，將所述數據流與流會話表進行匹配，根據匹配結果對所述數據流進行相應地處理。

進一步地，根據匹配結果對所述數據流進行相應地處理的過程包括，若在所述流會話表中查詢到所述數據流，則根據該條流的狀態信息和路由信息實現快速轉發出防火墻。通過數據流與流會話表進行匹配的方式對數據流進行處理，可以大大減少數據流通過防火墻的時間，有效提升防火墻數據轉發效率和轉發性能。

進一步地，根據匹配結果對所述數據流進行相應地處理的過程包括，若在流狀態模塊的流會話表中沒有查詢到所述數據流信息，則該條數據流需要經過路由模塊查詢路由以及防火墻安全策略模塊匹配安全策略，當數據包成功通過路由模塊和安全策略模塊，需要將該條流加入到流狀態模塊的流會話表中，并記錄該條數據流的狀態信息和路由信息。

一種實現高性能狀態防火墻的方法及裝置，包括如下步驟：