[发明专利]防火墙的报文限速系统、方法、设备及介质

权利要求书

1.一种防火墙的报文限速系统，其特征在于，包括：

命令增加模块，用于在防火墙上配置所有CPU核对应的第一设定阈值和配置每一CPU核的每一虚拟防火墙分别对应的第二设定阈值，其中，当所有CPU核的总CPU使用率大于第一设定阈值，且任一目标CPU核的任一虚拟防火墙CPU使用率大于第二设定阈值时，启动软件丢包；

在防火墙上新增命令行，用于在缺省防火墙和虚拟防火墙上实现CPU两级限速：

第一个命令行用来配置所有虚拟防火墙入方向单播报文的总CPU消耗率限制，第二个命令行用来配置单个虚拟防火墙入方向单播报文的CPU消耗率限制；

统计模块，用于读取内核态中记录的所述目标CPU核上一周期放行报文总数量和所述目标CPU核针对每一虚拟防火墙分别丢弃报文数量，并计算所述每一虚拟防火墙分别对应的丢弃报文数量与放行报文总数量的第一比值；

CPU核心限速模块，用于当任一虚拟防火墙对应的第一比值大于第三设定阈值，则针对所述任一虚拟防火墙启动硬件限速。

2.根据权利要求1所述的系统，其特征在于，在针对所述任一虚拟防火墙启动硬件限速时，所述CPU核心限速模块具体用于：

启动硬件限速功能，并针对所述任一虚拟防火墙配置对应的限速策略；以及基于所述限速策略对接收到的报文进行限速操作。

3.根据权利要求2所述的系统，其特征在于，所述限速策略包括所述任一虚拟防火墙的ID，所述目标CPU核的编号和针对所述任一虚拟防火墙上送至所述目标CPU核的报文进行限速的限速值，其中，在针对所述任一虚拟防火墙启动硬件限速后，所述任一虚拟防火墙上送至所述目标CPU核的报文的速率小于等于所述限速值；

在基于所述限速策略对接收到的报文进行限速操作时，所述CPU核心限速模块具体用于：

根据接收到的报文的信息确定转发该报文所需的虚拟防火墙，以及该虚拟防火墙上送的CPU核，若确定需要通过所述任一虚拟防火墙将该报文上送至所述目标CPU核进行报文处理，则采用所述限速策略对所述报文进行限速处理。

4.根据权利要求3所述的系统，其特征在于，在针对所述任一虚拟防火墙启动硬件限速后，所述统计模块还用于计算一个周期内所述目标CPU核针对所述任一虚拟防火墙的丢弃报文数量与所述目标CPU核放行报文总数量的第一比值；

若该第一比值仍大于第三设定阈值，则减小所述限速值；

若在连续超过预设时间周期的时间内，存在任一周期所述第一比值大于第三设定阈值，且其余时间所述第一比值持续低于第三设定阈值，则增大所述限速值；

若在连续超过预设时间周期的时间内，不存在所述第一比值大于第三设定阈值，则删除所述限速策略，停止硬件限速。

5.一种防火墙的报文限速方法，作用于如权利要求1～4任一项中所述的防火墙的报文限速系统，其特征在于，所述方法包括：

当所有CPU核的总CPU使用率大于第一设定阈值，且任一目标CPU核的任一虚拟防火墙的CPU使用率大于第二设定阈值时，启动软件丢包；

当启动软件丢包后，所述统计模块读取内核态中记录的所述目标CPU核上一时间周期内放行的报文总数量以及所述目标CPU核针对每一虚拟防火墙分别丢弃报文数量，并计算任一虚拟防火墙所述丢弃报文数量与所述报文总数量的所述第一比值；

若任一虚拟防火墙的所述第一比值大于预设的第三设定阈值，则所述CPU核心限速模块针对该虚拟防火墙启动硬件限速。

6.根据权利要求5所述的方法，其特征在于，当所述CPU核心限速模块针对该虚拟防火墙启动硬件限速后，所述方法还包括：

根据计算一个周期内所述目标CPU核针对所述任一虚拟防火墙的丢弃报文数量与所述目标CPU核放行报文总数量的第一比值与预设的第三设定阈值的大小关系进行动态调整针对所述任一虚拟防火墙上送至所述目标CPU核的报文进行限速的限速值。

7.根据权利要求6所述的方法，其特征在于，所述动态调整具体包括：

增大限速值操作、减小限速值操作和/或停止硬件限速操作。