(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111383186.X (22)申请日 2021.11.22 (71)申请人 闪捷信息科技有限公司 地址 310000 浙江省杭州市余杭区五常街 道文一西路9 98号5幢6 08室 (72)发明人 张黎　李垚　陈广辉　刘维炜　 杨大志　 (74)专利代理 机构 北京超凡宏宇专利代理事务 所(特殊普通 合伙) 11463 代理人 曹瑞敏 (51)Int.Cl. H04L 9/40(2022.01) H04L 45/74(2022.01) (54)发明名称 串行防火墙报文转发方法、 装置、 设备及存 储介质 (57)摘要 本申请提供一种串行防火墙报文转发方法、 装置、 设备及存储介质， 涉及网络安全技术领域。 应用于串行防火墙， 串行防火墙包括： 多个接口 对； 该方法包括： 经由第一接口对中的物理接口 接收报文， 并将报文中的源物理地址与第一接口 对中的虚拟 接口写入桥转发数据库表中； 若报文 为待转发的报文， 则经由第一接口对中的物理接 口将报文转发至第一接口对中的虚拟接口； 根据 桥转发数据库表或路由信息， 确定报文待转发至 的第二接口对中的虚拟接口； 经由第一接口对中 的虚拟接口将报文发送至第二接口对中的虚拟 接口； 经由第二接口对中的虚拟 接口将报文发送 至第二接口对中的物理接口， 并经由第二接口对 中的物理接口发送报文。 本方案极大降低了报文 转发过程的时延。 权利要求书2页 说明书14页 附图7页 CN 114172695 A 2022.03.11 CN 114172695 A 1.一种串行防火墙报文转发方法， 其特征在于， 应用于串行防火墙， 所述串行防火墙中 包括： 多个接口对， 各所述接口对分别包括一个物理接口和一个虚拟 接口； 所述虚拟接口由 所述串行防火墙中的操作系统控制， 所述物理接口 由所述串行防火墙中的应用进程管理； 所述方法包括： 经由第一接口对中的物理接口接收报文， 并将所述报文中的源物理地址与 所述第一接 口对中的虚拟接口写入桥 转发数据库表中； 若所述报文为待转发的报文， 则经由所述第 一接口对中的物理接口将所述报文转发至 所述第一接口对中的虚拟接口； 根据所述桥转发数据库表或路由信 息， 确定所述报文待转发至的第 二接口对中的虚拟 接口； 经由所述第一接口对中的虚拟接口将所述报文发送至所述第二接口对中的虚拟接口； 经由所述第 二接口对中的虚拟接口将所述报文发送至所述第 二接口对中的物 理接口， 并经由所述第二接口对中的物理接口发送所述报文。 2.根据权利要求1所述的方法， 其特征在于， 所述经由第 一接口对中的物理接口接收报 文之前， 还 包括： 分别创建所述第 一接口对中的物理接口的第 一软交换映射接口、 以及所述第 一接口对 中的虚拟接口； 创建所述第一接口对中的虚拟接口 的第二软交换映射接口。 3.根据权利要求2所述的方法， 其特征在于， 所述经由所述第 一接口对中的物 理接口将 所述报文转发至所述第一接口对中的虚拟接口， 包括： 根据所述第 一接口对中的物 理接口、 与 所述第一接口对中的物 理接口的第 一软交换映 射接口的软交换映射关系， 经由所述第一接口对中的物理接口将所述报文转 发至所述第一 接口对中的物理接口 的第一软交换映射接口； 根据所述第 一接口对中的物 理接口的第 一软交换映射接口、 与 所述第一接口对中的虚 拟接口的第二软交换映射接口的桥接映射关系， 经由所述第一接口对中的物理接口的第一 软交换映射接口将所述报文转发至所述第一接口对中的虚拟接口 的第二软交换映射接口； 根据所述第 一接口对中的虚拟接口的第 二软交换映射接口、 与 所述第一接口对中的虚 拟接口的软交换映射关系， 经由所述第一接口对中的虚拟接口的第二软交换映射接口将所 述报文转发至所述第一接口对中的虚拟接口。 4.根据权利要求2所述的方法， 其特征在于， 所述根据所述桥转发数据库表或路由信 息， 确定所述报文的第二接口对中的虚拟接口， 包括： 根据所述桥转发数据库表确定所述报文待转发至的目标虚拟接口， 或根据所述路由信 息进行选路确定所述报文待转发至的所述目标虚拟接口； 并将所述目标虚拟接口作为所述 第二接口对中的虚拟接口。 5.根据权利要求1所述的方法， 其特征在于， 所述经由所述第 一接口对中的虚拟接口将 所述报文发送至所述第二接口对中的虚拟接口之前， 包括： 分别创建所述第 二接口对中的物理接口的第 一软交换映射接口、 以及所述第 二接口对 中的虚拟接口； 创建所述第二接口对中的虚拟接口 的第二软交换映射接口。权　利　要　求　书 1/2 页 2 CN 114172695 A 26.根据权利要求5所述的方法， 其特征在于， 所述经由所述第 二接口对中的虚拟接口将 接收到的所述报文发送至所述第二接口对中的物理接口， 包括： 根据所述第 二接口对中的虚拟接口、 与 所述第二接口对中的虚拟接口的第 二软交换映 射接口的软交换映射关系， 经由所述第二接口对中的虚拟接口将所述报文转 发至所述第二 接口对中的虚拟接口 的第二软交换映射接口； 根据所述第 二接口对中的虚拟接口的第 二软交换映射接口、 与 所述第二接口对中的物 理接口的第一软交换映射接口的桥接映射关系， 经由所述第二接口对中的虚拟接口的第二 软交换映射接口将所述报文转发至所述第二接口对中的物理接口 的第一软交换映射接口； 根据所述第 二接口对中的物 理接口的第 一软交换映射接口、 与 所述第二接口对中的物 理接口的软交换映射关系， 经由所述第二接口对中的物理接口的第一软交换映射接口将所 述报文转发至所述第二接口对中的物理接口。 7.根据权利要求1 ‑6任一项所述的方法， 其特征在于， 所述经由所述第 二接口对中的物 理接口发送所述报文， 包括： 将所述报文 复制至发送数据缓冲地址循环队列， 经由所述第 二接口对中的物 理接口将 所述报文发送至目标接收设备。 8.一种串行防火墙报文转发装置， 其特征在于， 应用于串行防火墙， 所述串行防火墙中 包括： 多个接口对， 各所述接口对分别包括一个物理接口和一个虚拟 接口； 所述虚拟接口由 所述串行防火墙中的操作系统控制， 所述物理接口 由所述串行防火墙中的应用进程管理； 所述装置包括： 接收模块， 用于经由第一接口对中的物理接口接收报文， 并将所述报文中的源物理地 址与所述第一接口对中的虚拟接口写入桥 转发数据库表中； 转发模块， 用于若所述报文为待转发的报文， 则经由所述第一接口对中的物理接口将 所述报文转发至所述第一接口对中的虚拟接口； 确定模块， 用于根据所述桥转发数据库表或路由信息， 确定所述报文待转发至的第二 接口对中的虚拟接口； 所述转发模块， 还用于经由所述第 一接口对中的虚拟接口将所述报文发送至所述第 二 接口对中的虚拟接口； 经由所述第二接口对中的虚拟接口将所述报文发送至所述第二接口 对中的物理接口， 并经由所述第二接口对中的物理接口发送所述报文。 9.一种电子设备， 其特征在于， 包括： 处理器、 存储介质和总线， 所述存储介质存储有所 述处理器可执行 的机器可读指令， 当电子设备运行时， 所述处理器与所述存储介质之间通 过总线通信， 所述处理器执行所述机器可读指 令， 以执行如权利要求 1‑7任一所述方法的步 骤。 10.一种计算机可读存储介质， 其特征在于， 所述存储介质上存储有计算机程序， 所述 计算机程序被处 理器运行时执 行如权利要求1 ‑7任一所述方法的步骤。权　利　要　求　书 2/2 页 3 CN 114172695 A 3