安全网关及其数据处理方法技术

本公开实施例中提供了一种安全网关及其数据处理方法，属于信号处理技术领域，所述方法包括：接收前端端口发送的网络流量数据；对所述网络流量数据进行求模处理后分成多个部分网络流量数据；分别对所述部分网络流量数据进行安全性分析处理，并将安全性分析处理后的部分安全流量数据进行聚合处理，并将聚合后的安全流量数据发送至后端端口。通过本公开的处理方案，提高了安全网关整体的数据处理能力。提高了安全网关整体的数据处理能力。提高了安全网关整体的数据处理能力。

【技术实现步骤摘要】
安全网关及其数据处理方法


[0001]本公开涉及信号处理
，尤其涉及一种安全网关及其数据处理方法。

技术介绍

[0002]安全网关是从传统路由器、防火墙融合发展而来的新型硬件系统，除了传统路由器对网络的分发，基本网络防火墙的功能以外，安全网关还加入了数据分析和配置接口，方便用户对后端的应用服务进行统一的安全防护策略配置，以及对实时的数据进行分析，阻断攻击和不安全接入。
[0003]相关技术中，安全网关基于网卡，与处理器结合运行软件实现安全防护。由于把安全策略都配置到安全网关后，安全网关的吞吐量大增，同时需要处理的数据量也大大增加，采用网卡与处理器的方案无法满足不断增加的数据的需求。

技术实现思路

[0004]有鉴于此，本公开实施例提供一种安全网关及其数据处理方法，至少部分解决相关技术中存在的问题。
[0005]第一方面，本公开实施例提供了一种数据处理方法，其特征在于，所述方法包括：
[0006]接收前端端口发送的网络流量数据；
[0007]对所述网络流量数据进行求模处理后分成多个部分网络流量数据；
[0008]分别对所述部分网络流量数据进行安全性分析处理，并将安全性分析处理后的部分安全流量数据进行聚合处理，并将聚合后的安全流量数据发送至后端端口。
[0009]根据本公开实施例的一种具体实现方式，所述对所述网络流量数据进行求模处理后分成多项部分网络流量数据，包括：
[0010]确定所述网络流量数据的各数据包；
[0011]对每一数据包的四层包头和IP进行五元组哈希处理，得到哈希值；
[0012]对每一数据包对应的哈希值进行求模，求模结果相同的数据包形成一项部分网络流量数据。
[0013]根据本公开实施例的一种具体实现方式，所述分别对所述部分网络流量数据进行安全性分析处理，包括：
[0014]采用加解密加速的方式对部分网络流量数据进行安全性分析处理。
[0015]根据本公开实施例的一种具体实现方式，还包括：
[0016]对安全性分析处理后未通过的部分流量数据进行透传。
[0017]第二方面，本公开实施例还提供一种数据处理装置，包括：
[0018]第一接收单元，用于接收前端端口发送的网络流量数据；
[0019]第一分发单元，对所述网络流量数据进行求模处理后分成多个部分网络流量数据；
[0020]处理单元，用于分别对所述部分网络流量数据进行安全性分析处理；
[0021]聚合单元，用于将安全性分析处理后的部分安全流量数据进行聚合处理，并将聚合后的安全流量数据发送至后端端口。
[0022]第三方面，本公开实施例还提供一种安全网关，包括：
[0023]现场可编程逻辑门阵列，所述现场可编程逻辑门阵列的输入端与前端端口连接；用于接收前端端口发送的网络流量数据，以及将所述网络流量数据分发至其至少两个输出端，其中，同一IP的数据分发至同一输出端；
[0024]至少两个处理器，所述至少两个处理器的输入端分别与所述现场可编程逻辑门阵列的至少两个输出端一一对应连接；用于对接收到的部分网络流量数据进行安全性分析处理，并发送通过安全性分析处理的安全流量数据；
[0025]交换机，所述交换机的至少两个输入端与所述至少两个处理器的输出端一一对应连接，所述交换机的输出端与后端端口连接；用于接收并聚合所述至少两个处理器分别发送的安全流量数据，并将聚合后的安全流量数据发送至后端端口。
[0026]根据本公开实施例的一种具体实现方式，所述至少两个处理器的输入端分别通过连接线与所述现场可编程逻辑门阵列的至少两个输出端一一对应连接，所述连接线包括高速串行计算机扩展总线标准线、通用串行总线或以太网线中的至少一种。
[0027]根据本公开实施例的一种具体实现方式，所述处理器上插设有加解密加速卡，用于与处理器结合共同对接收到的部分网络流量数据进行安全性分析处理。
[0028]根据本公开实施例的一种具体实现方式，所述现场可编程逻辑门阵列，包括：
[0029]第二接收单元，用于接收前端端口发送的网络流量数据，并确定所述网络流量数据的各数据包；
[0030]第二分发单元，用于对所述网络流量数据进行求模处理后分成多个部分网络流量数据，其中，所述第二分发单元包括计算模块和发送模块，所述计算模块用于对每一数据包的四层包头和IP进行五元组哈希处理，得到哈希值；所述发送模块用于对每一数据包对应的哈希值进行求模，求模结果相同的数据包发送至相同的输出端。
[0031]第四方面，本公开实施例还提供一种计算机可读存储介质，包括处理器、存储器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述计算机程序被所述处理器执行时实现如上所述的数据处理方法的步骤。
[0032]本公开实施例中，现场可编程逻辑门阵列将接收到的网络流量数据按照一致性原则分发至至少两个处理器，每个处理器负责对部分网络流量数据进行安全性分析处理，再由交换机将各个处理器中通过安全性分析处理的安全流量数据聚合后发送至后端端口；这样，能够降低每个处理器的数据处理量，提高数据处理速度，从而提高安全网关整体的数据处理能力。
附图说明
[0033]为了更清楚地说明本公开实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本公开的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。
[0034]图1为本公开一实施例提供的安全网关的结构示意图；
[0035]图2为本公开一实施例提供的数据处理方法的流程图。
具体实施方式
[0036]下面结合附图对本公开实施例进行详细描述。
[0037]以下通过特定的具体实例说明本公开的实施方式，本领域技术人员可由本说明书所揭露的内容轻易地了解本公开的其他优点与功效。显然，所描述的实施例仅仅是本公开一部分实施例，而不是全部的实施例。本公开还可以通过另外不同的具体实施方式加以实施或应用，本说明书中的各项细节也可以基于不同观点与应用，在没有背离本公开的精神下进行各种修饰或改变。需说明的是，在不冲突的情况下，以下实施例及实施例中的特征可以相互组合。基于本公开中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本公开保护的范围。
[0038]要说明的是，下文描述在所附权利要求书的范围内的实施例的各种方面。应显而易见，本文中所描述的方面可体现于广泛多种形式中，且本文中所描述的任何特定结构及/或功能仅为说明性的。基于本公开，所属领域的技术人员应了解，本文中所描述的一个方面可与任何其它方面独立地实施，且可以各种方式组合这些方面中的两者或两者以上。举例来说，可使用本文中所阐述的任何数目个方面来实施设备及/或实践方法。另外，可使用除了本文中所阐述的方面中的一或多者之外的其它结构及/或功能性实施此设备及/或实践此方法。本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种数据处理方法，其特征在于，所述方法包括：接收前端端口发送的网络流量数据；对所述网络流量数据进行求模处理后分成多个部分网络流量数据；分别对所述部分网络流量数据进行安全性分析处理，并将安全性分析处理后的部分安全流量数据进行聚合处理，并将聚合后的安全流量数据发送至后端端口。2.根据权利要求1所述的方法，其特征在于，所述对所述网络流量数据进行求模处理后分成多项部分网络流量数据，包括：确定所述网络流量数据的各数据包；对每一数据包的四层包头和IP进行五元组哈希处理，得到哈希值；对每一数据包对应的哈希值进行求模，求模结果相同的数据包形成一项部分网络流量数据。3.根据权利要求1所述的方法，其特征在于，所述分别对所述部分网络流量数据进行安全性分析处理，包括：采用加解密加速的方式对部分网络流量数据进行安全性分析处理。4.根据权利要求1所述的方法，其特征在于，还包括：对安全性分析处理后未通过的部分流量数据进行透传。5.一种数据处理装置，其特征在于，包括：第一接收单元，用于接收前端端口发送的网络流量数据；第一分发单元，对所述网络流量数据进行求模处理后分成多个部分网络流量数据；处理单元，用于分别对所述部分网络流量数据进行安全性分析处理；聚合单元，用于将安全性分析处理后的部分安全流量数据进行聚合处理，并将聚合后的安全流量数据发送至后端端口。6.一种安全网关，其特征在于，包括：现场可编程逻辑门阵列，所述现场可编程逻辑门阵列的输入端与前端端口连接；用于接收前端端口发送的网络流量数据，以及将所述网络流量数据分发至其至少两个输出端，其中，同一IP的数据分发至同一输出端；至少两个处理器，所述至少两个处理器的输入...

【专利技术属性】
技术研发人员：汝聪翀，姚正斌，沈寓实，
申请(专利权)人：飞诺门阵北京科技有限公司，
类型：发明
国别省市：