分布式网络防火墙以及基于流的转发系统技术方案

一种由具有多个应用处理单元的网络装置执行的方法，包括：在网络装置接收第一数据包；基于关于第一数据包的一个或多个信息使用数学算法来计算第一值；以及使用所计算的第一值来识别网络装置中的多个应用处理单元的第一应用处理单元。网络装置包括：彼此通信连接的多个处理单元；其中多个处理单元的第一处理单元用于：基于关于第一数据包的一个或多个信息使用数学算法来计算第一值；以及使用所计算的第一值来识别多个处理单元的第二处理单元。

【技术实现步骤摘要】
分布式网络防火墙以及基于流的转发系统
本申请主要涉及网络安全装置，比如防火墙和安全设备，更具体地，涉及具有用于监控网络的多个应用处理卡的网络安全装置。
技术介绍
网络装置，比如高端分布式安全网关，用于保护网络免受各种攻击，进行入侵检测和预防，从而提供高性能数据包路由，以及其他应用服务。在某些情况下，此网络装置可以包括用于执行不同数据包处理功能的多个处理单元。这些处理单元可以由中心CPU管理，该中心CPU托管用于存储所有多个处理单元的所有信息的中心数据库。本申请的专利技术人考虑使用具有使用分布式数据库的网络装置，而不是使用具有中心数据库的网络装置，来处理数据包可能是期望的。
技术实现思路
一种由具有多个应用处理单元的网络装置执行的方法，包括：在网络装置接收第一数据包；基于关于第一数据包的一个或多个信息使用数学算法来计算第一值；以及使用所计算的第一值来识别网络装置中的多个应用处理单元的第一应用处理单元。借助非限制性实例，网络装置可以是防火墙、网络安全网关或其他安全设备的任意一个。可选地，一个或多个信息可以包括源IP地址、目的地IP地址、源端口标识符、目的地端口标识符、以及协议信息的一个或组合。可选地，网络装置可以包括多个应用处理卡，多个应用处理单元可以是应用处理卡的一部分。可选地，应用处理单元中的至少两个可以用于执行各自不同的数据包处理功能。可选地，所述方法可以进一步包括至少部分基于关于第一数据包的一组信息来从所识别的第一应用处理单元检索数据，这组信息是用于计算第一值的一个或多个信息的超集。可选地，用于检索数据的这组信息可以包括源IP地址、目的地IP地址、源端口、目的地端口、以及协议信息，并且其中用于识别第一应用处理单元的一个或多个信息可以包括这组信息的子集。可选地，从所识别的第一应用处理单元检索数据的动作可以包括从与第一应用处理单元相关联的第一本地数据库检索数据。可选地，所述方法可以进一步包括从所识别的第一应用处理单元接收数据，其中接收数据的动作可以由网络装置中的多个应用处理单元的与使用所计算的第一值识别的第一应用处理单元不同的第二应用处理单元执行。可选地，应用处理单元可以具有与应用处理单元相关联的各本地数据库，并且所述方法可以进一步包括将关于第一数据包的数据存储在本地数据库的与所识别的第一应用处理单元相关联的一个本地数据库处。可选地，本地数据库中的至少一个可以不具有数据副本。可选地，所述方法可以进一步包括：在网络装置接收第二数据包；基于关于第二数据包的一个或多个信息来计算第二值；以及使用所计算的第二值来识别多个应用处理单元的第二应用处理单元。可选地，所述方法可以进一步包括：检索存储在与所识别的应用处理单元相关联的本地数据库中的数据；以及至少部分基于检索的数据来创建表示数据包处理计划的数据包处理会话。可选地，数据包处理会话可以由应用处理单元中的一个创建。可选地，网络装置还可以包括多个I/O卡，并且所述方法可以进一步包括将数据包处理会话存储在I/O卡的接收第一数据包的一个的第一本地数据库中。可选地，数据包处理会话还可以存储在I/O卡的输出第一数据包的另一个的第二本地数据库中。可选地，网络装置可以用于在慢通道配置或快通道配置中执行数据包处理，在慢通道配置中处理第一数据包的同时可以执行计算第一值的动作和使用所计算的第一值来识别第一应用处理单元的动作。一种网络装置包括：彼此通信连接的多个处理单元；其中多个处理单元的第一处理单元用于：基于关于第一数据包的一个或多个信息使用数学算法来计算第一值；以及使用所计算的第一值来识别多个处理单元的第二处理单元。可选地，一个或多个信息可以包括源IP地址、目的地IP地址、源端口标识符、目的地端口标识符、以及协议信息的一个或组合。可选地，所述网络装置可以进一步包括多个应用处理卡，多个应用处理单元可以是应用处理卡的一部分。可选地，应用处理单元中的至少两个可以用于执行各自不同的数据包处理功能。可选地，第一处理单元可以用于至少部分基于关于第一数据包的一组信息来从所识别的第一应用处理单元检索数据，这组信息是用于计算用于识别第二应用处理单元的第一值的一个或多个信息的超集。可选地，用于检索数据的这组信息可以包括源IP地址、目的地IP地址、源端口、目的地端口、以及协议信息，并且其中用于识别第二应用处理单元的一个或多个信息可以包括这组信息的子集。可选地，第一处理单元可以用于通过从与第二应用处理单元相关联的本地数据库检索数据来从所识别的第二应用处理单元检索数据。可选地，所述网络装置可以进一步包括与处理单元相关联的各本地数据库，其中本地数据库中的与所识别的第二应用处理单元相关联的这个本地数据库用于存储关于第一数据包的数据。可选地，本地数据库中的至少一个可以不具有数据副本。可选地，第一处理单元可以用于：基于关于第二数据包的一个或多个信息来计算第二值；以及使用所计算的第二值来识别多个应用处理单元的第三应用处理单元。可选地，第一处理单元可以用于：检索存储在与所识别的应用处理单元相关联的本地数据库中的数据；以及至少部分基于检索的数据来创建表示数据包处理计划的数据包处理会话。可选地，所述网络装置可以进一步包括多个I/O卡，其中第一数据包在I/O卡的第一I/O卡处接收，并在I/O卡的第二I/O卡处输出，并且其中数据包处理会话存储在I/O卡中的接收第一数据包的第一I/O卡中，以及I/O卡的输出第一数据包的第二I/O卡中。可选地，网络装置可以用于在慢通道配置或快通道配置中执行数据包处理，第一处理单元可以用于在慢通道配置中处理第一数据包的同时执行计算第一值的动作和使用所计算的第一值来识别第二处理单元的动作。可选地，第一处理单元可以包括第一应用处理单元，第二处理单元可以包括第二应用处理单元。可选地，第一处理单元可以包括I/O卡中的网络处理单元，第二处理单元可以包括应用处理卡中的应用处理单元。根据实施例的以下详细描述，其他和进一步方面和特征将变得显而易见。附图说明附图示出了设计和实施例的实用性，其中类似元件用共同参考编号表示。这些附图不一定按比例绘制。为了更好的了解获得上述及其他优点和目的的方式，将呈现实施例的更具体的描述，在附图中示出了所述实施例。这些附图只描述了典型的实施例，并因此不被视为限制该范围。图1示出了根据某些实施例的网络装置；图2示出了图1的网络装置，特别示出了在慢通道配置中处理数据包的网络装置；图3示出了图1的网络装置，特别示出了在快通道配置中处理数据包的网络装置；图4示出了根据某些实施例的数据包处理的方法；图5示出了图1的网络装置的分布式数据库配置；图6示出了与分布式数据库配置对照的中心数据库配置；图7示出了与分布式数据库配置对照的全同步数据库配置；图8示出了分布式数据库中的数据包处理的实例；图9示出了可以在图1的网络装置中实现的处理器间通信系统；以及图10示出了计算机系统的实例，本文描述的实施例可以利用该计算机系统来实现。具体实施方式下文将参照图形描述各种实施例。应注意的是，图形不按比例绘制并且类似结构或功能的元件在所有图形中用类似参考编号表示。还应注意的是，图形仅旨在有利于描述实施例。图形不用作详尽描述本专利技术或限制本专利技术的范围。另外，所示的实施例不必具有所示的所有方面或优点。即使未如此示出，或未本文档来自技高网...

【技术保护点】
一种由具有多个应用处理单元的网络装置执行的方法，包括：在网络装置接收第一数据包；基于关于所述第一数据包的一个或多个信息使用数学算法来计算第一值；以及使用所计算的第一值识别所述网络装置中的多个应用处理单元的第一应用处理单元。

【技术特征摘要】
2013.03.15 US 13/843，6531.一种由具有多个应用处理单元的网络装置执行的方法，包括：在网络装置接收第一数据包；基于关于所述第一数据包的一个或多个信息使用数学算法来计算第一值；以及使用所计算的第一值识别所述网络装置中的多个应用处理单元的第一应用处理单元；所述网络装置还包括多个I/O卡，并且所述方法还包括：将数据包处理会话存储在所述I/O卡的接收所述第一数据包的一个第一本地数据库中，其中，所述数据包处理会话表示数据包处理计划。2.根据权利要求1所述的方法，其中，所述一个或多个信息包括源IP地址、目的地IP地址、源端口标识符、目的地端口标识符、以及协议信息的一个或组合。3.根据权利要求1所述的方法，其中，所述网络装置包括多个应用处理卡，所述多个应用处理单元是所述应用处理卡的一部分。4.根据权利要求1所述的方法，其中，所述应用处理单元中的至少两个用于执行各自不同的数据包处理功能。5.根据权利要求1所述的方法，还包括：至少部分基于关于第一数据包的一组信息从所识别的第一应用处理单元检索数据，所述组信息是用于计算所述第一值的一个或多个信息的超集。6.根据权利要求5所述的方法，其中，用于检索数据的所述组信息包括源IP地址、目的地IP地址、源端口、目的地端口、以及协议信息，并且其中用于识别所述第一应用处理单元的一个或多个信息包括所述组信息的子集。7.根据权利要求5所述的方法，其中，从所识别的第一应用处理单元检索数据的动作包括从与所述第一应用处理单元相关联的第一本地数据库检索数据。8.根据权利要求1所述的方法，还包括：从所识别的第一应用处理单元接收数据，其中接收数据的动作由所述网络装置中的多个应用处理单元的与使用所计算的第一值识别的第一应用处理单元不同的第二应用处理单元执行。9.根据权利要求1所述的方法，其中，所述应用处理单元具有与所述应用处理单元相关联的各本地数据库，并且所述方法还包括将关于所述第一数据包的数据存储在本地数据库的与所识别的第一应用处理单元相关联的一个本地数据库处。10.根据权利要求9所述的方法，其中，所述本地数据库中的至少一个不具有所述数据的副本。11.根据权利要求1所述的方法，还包括：在网络装置接收第二数据包；基于关于所述第二数据包的一个或多个信息来计算第二值；以及使用所计算的第二值来识别多个应用处理单元的第二应用处理单元。12.根据权利要求1所述的方法，还包括：检索存储在与所识别的应用处理单元相关联的本地数据库中的数据；以及至少部分基于检索的数据来创建表示数据包处理计划的数据包处理会话。13.根据权利要求12所述的方法，其中，所述数据包处理会话由应用处理单元中的一个创建。14.根据权利要求1所述的方法，其中，所述数据包处理会话还存储在I/O卡的输出第一数据包的另一个的第二本地数据库中。15.根据权利要求1所述的方法，其中，所述网络装置用于在慢通道配置或快通道配置中执行数据包处理，在所述慢通道配置中处理所述第一数据包的同时执行计算第一值的动作和使用所计算的第一值来识别所述第一应用处理单元的...

【专利技术属性】
技术研发人员：蒋东毅，尚进，於大维，林蔡宗，谢军，张晔，
申请(专利权)人：山石网科通信技术有限公司，
类型：发明
国别省市：江苏;32