[发明专利]数据流转发方法、主控板、接口板、引擎板及分布式防火墙

说明书

本发明提供了一种数据流转发方法、主控板、接口板、引擎板及分布式防火墙，方法包括：主控板获取NAT公网地址池中各公网IP地址，对于每个公网IP地址，将公网IP地址通过预设分配函数计算得到函数值，将公网IP地址下发至与函数值对应的引擎板；接口板接收应答正向数据流的反向数据流，若确定反向数据流的目的特征值是主控板根据预设分配函数预先分配的目的特征值，则根据反向数据流的目的特征值及采用与主控板相同的预设分配函数在多个输出接口中确定目标接口；向与目标接口连接的引擎板转发反向数据流，保证了反向数据流由会话表项所在的引擎板处理的技术效果。

技术领域

本发明涉及通信技术领域，尤其是涉及一种数据流转发方法、主控板、接口板、引擎板及分布式防火墙。

背景技术

分布式防火墙设备的核心业务由“接口板”和“引擎板”配合完成，前者负责报文收发，后者负责安全业务，例如NAT的处理。为提高业务处理能力，分布式防火墙往往会配置多块引擎板，接口板会根据一定的算法 (主要是hash)决定将流量送往某一块引擎板处理。

如果外网主机的应答流量没有被送往NAT会话表项记录的引擎板，即应答报文无法匹配NAT会话，则无法完成反向的NAT转换。例如：内网主机访问外网，流量被送往引擎板1做NAT转换，同时建立NAT会话表项； NAT处理完成后，引擎板将报文转发至接口板，发送到外网；外网主机发送的应答流量被接口板送往了引擎板2。由于引擎板2没有NAT会话表项，流量被丢弃，导致对于分布式防火墙产品，外网流量无法被NAT顺利转换。

发明内容

有鉴于此，本发明的目的在于提供一种数据流转发方法、主控板、接口板、引擎板及分布式防火墙，以缓解现有技术中存在的在应答正向数据流的反向数据流没有被送往NAT会话表项所在的引擎板时，反向数据流将由于无法匹配NAT会话表项导致的无法完成反向数据流的NAT转换的技术问题。

第一方面，本发明实施例提供了一种数据流转发方法，所述方法应用于分布式防火墙内的主控板中，所述方法包括：

获取NAT公网地址池中各公网IP地址；

对于每个公网IP地址，将公网IP地址通过预设分配函数计算得到函数值；

将所述公网IP地址下发至与所述函数值对应的引擎板。

第二方面，本发明实施例提供了一种数据流转发方法，所述方法应用于分布式防火墙内的主控板中，所述方法包括：

获取NAT公网地址池中各公网IP地址以及每一个公网IP地址所对应的多个端口号；

对于每个公网IP地址以及公网IP地址所对应的每个端口号，将公网 IP地址及端口号分别通过预设分配函数计算得到函数值；

将所述公网IP地址及端口号下发至与所述函数值对应的引擎板。

第三方面，本发明实施例提供了一种数据流转发方法，所述方法应用于分布式防火墙内的接口板中，所述分布式防火墙还包括分别与接口板的各输出接口连接的多个引擎板，所述方法包括：

接收应答正向数据流的反向数据流，所述正向数据流为由内网发往公网的数据流；

若确定所述反向数据流的目的特征值是主控板根据预设分配函数预先分配的目的特征值，则根据所述反向数据流的目的特征值及采用与所述主控板相同的预设分配函数在多个输出接口中确定目标接口；

向与所述目标接口连接的引擎板转发所述反向数据流。

结合第三方面，本发明实施例提供了第三方面的第一种可能的实施方式，其中，所述方法还包括：

接收正向数据流；

根据所述正向数据流的目的特征值及预设分配函数在多个输出接口中确定目标接口；