專利名稱:千兆線速防火墻核心包過濾算法的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種防火墻分組過濾的方法��,該方法通過對分組過濾表建立Multi-Trie的索引�,大大提高了檢索的速度����;同時該方法根據(jù)分組過濾表的特點����,依次進行基于前綴、基于范圍��、基于數(shù)值的分階段過濾��,只要存在一個階段不符合就可以認(rèn)為其不符合條件�����,這樣通過增加為多個處理階段�,從而減少了處理的總時間;該方法同時也支持多優(yōu)先級設(shè)置�。
背景技術(shù):
網(wǎng)絡(luò)安全在當(dāng)前已經(jīng)引起了全世界的矚目,成為了一個非常關(guān)鍵的問題����。目前為了保證內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)和資源的安全�����,比較普遍的方法是采用防火墻技術(shù)。防火墻是一種由軟件和硬件構(gòu)成的系統(tǒng)�,用于在兩個網(wǎng)絡(luò)之間實施進入控制策略.
防火墻分組過濾技術(shù)主要討論的是通過對分組的信息在過濾規(guī)則表中的查詢來指明應(yīng)當(dāng)如何處理該分組。當(dāng)一個數(shù)據(jù)報到達時��,首先把這個數(shù)據(jù)報傳送給分組過濾模塊��,如果過濾模塊拒絕該數(shù)據(jù)報��,就立即將其放棄��。當(dāng)指明過濾要阻擋拒絕的數(shù)據(jù)報時�,管理員往往需要列出下列內(nèi)容的各種組合源站的IP地址以及相應(yīng)的掩碼、目的站的IP地址以及相應(yīng)的掩碼��、協(xié)議����、源站的端口、目的站的端口���、權(quán)重(可選的)以及需要采取的動作等等信息��,如果分組的信息滿足某個規(guī)則并且權(quán)重比較大���,那將會做出相應(yīng)的動作���。分組過濾技術(shù)是比較傳統(tǒng)的技術(shù),但它卻是防火墻技術(shù)的基礎(chǔ)��,其他技術(shù)都需要建立在分組過濾基礎(chǔ)之上�。
發(fā)明內(nèi)容
分組過濾表規(guī)則的特點在于分組過濾表包括了多個表項,每一個表項都是一個IP分組的處理規(guī)則�,該規(guī)則包括設(shè)定的目的IP前綴范圍、源IP前綴范圍�����、目的端口的范圍���、源IP端口的范圍����、協(xié)議名稱�����、優(yōu)先級以及對匹配過濾本規(guī)則的IP分組的處理——包括拒絕和通過兩種操作處理��。當(dāng)從IP分組中提取出來的目的IP地址��、源IP地址�����、目的端口�����、源端口以及協(xié)議名稱的5元組和分組過濾表進行逐項的匹配的時候���,如果該5元組與分組過濾表中的某一項的相對應(yīng)的值一致或者處于該項對應(yīng)范圍中����,我們就認(rèn)為IP分組匹配該規(guī)則���。
本發(fā)明提出的一種防火墻的分組過濾方法��,根據(jù)從IP分組中提取出來的目的IP地址��、源IP地址�����、目的端口��、源端口以及協(xié)議名稱的5元組進行和分組過濾表的匹配�����,如果該5元組與分組過濾表中的某一項相一致�,則執(zhí)行該項所要求的操作——或者通過或者拒絕;該5元組與分組過濾表中的某幾項相一致�,那么執(zhí)行其中優(yōu)先級最高的一項的操作;如果該5元組與分組過濾表中任意一項都不相符��,則拒絕該分組通過防火墻�。
首先,本發(fā)明對分組過濾表建立Multi-Trie的索引���,Multi-Trie的索引樹屬于一種基于關(guān)鍵碼空間分解的數(shù)據(jù)結(jié)構(gòu)��;索引樹的各個節(jié)點保存了分組過濾表的各個表項的數(shù)據(jù)�,通過將IP地址作為關(guān)鍵字就是可以通過Multibit索引樹來檢索到數(shù)據(jù)���;在Multi-Trie樹中���,在遍歷過程中����,依次根據(jù)IP地址的多個二進制位來選擇節(jié)點的不同的子分枝進行繼續(xù)遍歷�����。
同時本發(fā)明根據(jù)分組過濾表規(guī)則的特點����,依次進行基于前綴�、基于范圍、基于數(shù)值的分階段匹配過濾����,只要存在一個階段不符合就可以認(rèn)為其不符合條件,這樣通過增加為多個處理階段����,從而減少了處理的總時間。
分階段匹配過濾就是根據(jù)分組過濾表規(guī)則的特點��,首先對接收到IP分組進行對基于前綴的目的IP地址和源IP地址的匹配過濾��,然后對IP分組進行基于范圍的源端口和目的端口的匹配過濾���,最后進行基于值得協(xié)議字段進行匹配過濾�,如果這三個階段都能夠匹配,那么說明該分組匹配滿足該規(guī)則��?���;谇熬Y的匹配就是基于兩個Multi-Trie的索引;首先進行對源'地址的索引的檢索以得到目的索引樹的入口地址�,然后再進行對目的IP地址的索引的檢索;基于范圍的匹配就是基于兩個范圍的匹配�,首先判斷IP分組源端口是否落在該規(guī)則的源端口范圍內(nèi),然后再判斷IP分組目的端口是否落在規(guī)則的目的端口范圍內(nèi)���;基于值的匹配就是基于兩個值的比較�����,比較規(guī)則中的協(xié)議字段是否與IP分組中的協(xié)議字段的值相等���。
最后,本發(fā)明同時也支持多優(yōu)先級設(shè)置���。用戶可以為不同的分組過濾表項設(shè)置了不同的處理級別的數(shù)值�����,當(dāng)該數(shù)值越小的時候���,反映了其重要的程度�����,當(dāng)IP分組的5元組滿足多個過濾表項的時候,只執(zhí)行優(yōu)先級最高的項的操作——也就是數(shù)值最小的項所對應(yīng)的操作���。
在附屬權(quán)利要求書中陳述確信為表征本發(fā)明的各新穎特性����,然而����,通過閱讀時連帶著個附圖參照下述對一實例的詳細(xì)說明會最佳的理解本發(fā)明本身以及優(yōu)選使用方式、它的其它目的和優(yōu)點�,其中附圖是圖1是一個示例圖,示意本發(fā)明的邏輯體系結(jié)構(gòu)圖2是一個示例圖����,示意本發(fā)明在網(wǎng)絡(luò)處理器環(huán)境中的部署情況��。
圖3是一個示例流程圖��,示意本發(fā)明的檢索的流程具體實施方式
以下介紹一下在設(shè)計的時候考慮的主要最優(yōu)場景��。
防火墻分組過濾規(guī)則表主要是基于Intel的網(wǎng)絡(luò)處理器IXP2400來實現(xiàn)���。
Intel的IXP2400網(wǎng)絡(luò)處理器包括8個RISC芯片的并行執(zhí)行操作的微引擎(Microengine)(每一個微引擎中又可以實現(xiàn)8個基于硬件的線程)、一個基于RISC技術(shù)的XScale芯片��,CRC硬件單元����、Hash單元以及Scratchpad單元,最多可以支持2G的DDR SDRAM以及1G的SRAM等�。這種架構(gòu)滿足了網(wǎng)絡(luò)發(fā)展的所有需求性能、靈活性���、更快的市場反應(yīng)以及更小的功耗����。
分組過濾表將會集中保存在共享的存儲器中����;由XScale處理器進行過濾表的統(tǒng)一的更新���;防火墻數(shù)據(jù)層面的工作都會在微引擎上進行處理,如數(shù)據(jù)的接收和發(fā)送���、分組過濾表和轉(zhuǎn)發(fā)表的查詢��、隊列管理以及分組交換等�����。每個微引擎包括1個容量大小為是4K*40bit的控制存儲器����,主要用于存放此微引擎所要執(zhí)行的指令代碼���。由于需要執(zhí)行復(fù)雜而大量工作以及代碼總體容量的限制,就要求微引擎執(zhí)行的代碼量盡可能的少而高效���,也就是要求查找分組過濾表的工作盡可能的簡單而高效���。
權(quán)利要求
1,一種防火墻分組過濾的方法,該方法通過對分組過濾表建立Multi-Trie的索引���,大大提高了檢索的速度�;同時該方法根據(jù)分組過濾表規(guī)則的特點�,依次進行基于前綴、基于范圍�、基于數(shù)值的分階段匹配過濾,只要存在一個階段不符合就可以認(rèn)為其不符合條件��,這樣通過增加為多個處理階段�����,從而減少了處理的總時間��;該方法同時也支持多優(yōu)先級設(shè)置����。
2,根據(jù)權(quán)利要求1所述的分組過濾表規(guī)則的特點�����,其特征在于分組過濾表包括了多個表項�,每一個表項都是一個IP分組的處理規(guī)則,該規(guī)則包括設(shè)定的目的IP前綴范圍、源IP前綴范圍���、目的端口的范圍���、源IP端口的范圍、協(xié)議名稱���、優(yōu)先級以及對匹配過濾本規(guī)則的IP分組的處理——包括拒絕和通過兩種操作處理��。
3�����,根據(jù)權(quán)利要求2所述的IP分組對規(guī)則的匹配過濾�����,其特征在于根據(jù)從IP分組中提取出來的目的IP地址、源IP地址�����、目的端口���、源端口以及協(xié)議名稱的5元組進行和分組過濾表逐項的匹配��,如果該5元組與分組過濾表中的某一項的相對應(yīng)的值一致或者處于該項對應(yīng)范圍中���。
4�����,根據(jù)權(quán)利要求1所述的一種防火墻的分組過濾方法�,其特征在于根據(jù)從IP分組中提取出來的目的IP地址�、源IP地址、目的端口��、源端口以及協(xié)議名稱的5元組進行和分組過濾表的匹配���,如果該5元組與分組過濾表中的某一項相一致��,則執(zhí)行該項所要求的操作——或者通過或者拒絕��;該5元組與分組過濾表中的某幾項相一致�����,那么執(zhí)行其中優(yōu)先級最高的一項的操作��;如果該5元組與分組過濾表中任意一項都不相符���,則拒絕該分組通過防火墻��。
5���,根據(jù)權(quán)利要求1所述Multi-Trie的索引樹,其特征在于其屬于一種基于關(guān)鍵碼空間分解的數(shù)據(jù)結(jié)構(gòu)����;索引樹的各個節(jié)點保存了分組過濾表的各個表項的數(shù)據(jù),通過將IP地址作為關(guān)鍵字就是可以通過Multibit索引樹來檢索到數(shù)據(jù)��;在Multi-Trie樹中��,在遍歷過程中���,依次根據(jù)IP地址的多個二進制位來選擇節(jié)點的不同的子分枝進行繼續(xù)遍歷�����。
6,根據(jù)權(quán)利要求1�����,2所述的優(yōu)先級,其特征在于為不同的分組過濾表項設(shè)置了不同的處理級別的數(shù)值��,當(dāng)該數(shù)值越小的時候��,反映了其重要的程度�,當(dāng)IP分組的5元組滿足多個過濾表項的時候,只執(zhí)行優(yōu)先級最高的項的操作——也就是數(shù)值最小的項所對應(yīng)的操作�。
7,根據(jù)權(quán)利要求1所述的分階段匹配過濾�����,其特征在于根據(jù)分組過濾表規(guī)則的特點��,首先對接收到IP分組進行對基于前綴的目的IP地址和源IP地址的匹配過濾�����,然后對IP分組進行基于范圍的源端口和目的端口的匹配過濾�����,最后進行基于值得協(xié)議字段進行匹配過濾���,如果這三個階段都能夠匹配����,那么說明該分組匹配滿足該規(guī)則。
8����,根據(jù)權(quán)利要求1,7的基于前綴的匹配�����,其特征在于其匹配的過程基于兩個Multi-Trie的索引���;首先進行對源IP地址的索引的檢索以得到目的索引樹的入口地址��,然后再進行對目的IP地址的索引的檢索�����。
9��,根據(jù)權(quán)利要求1�����,7的基于范圍的匹配���,其特征在于其匹配的過程基于兩個范圍的匹配,首先判斷IP分組源端口是否落在該規(guī)則的源端口范圍內(nèi)���,然后再判斷IP分組目的端口是否落在規(guī)則的目的端口范圍內(nèi)�����。
10����,根據(jù)權(quán)利要求1����,7的基于值的匹配,其特征在于其匹配的過程基于兩個值的比較����,比較規(guī)則中的協(xié)議字段是否與IP分組中的協(xié)議字段的值相等。
全文摘要
本發(fā)明涉及一種防火墻分組過濾的方法���,該方法通過對分組過濾表建立Multi-Trie的索引��,大大提高了檢索的速度����;同時該方法根據(jù)分組過濾表的特點,依次進行基于前綴�、基于范圍、基于數(shù)值的分階段過濾����,只要存在一個階段不符合就可以認(rèn)為其不符合條件,這樣通過增加為多個處理階段���,從而減少了處理的總時間����;該方法同時也支持多優(yōu)先級設(shè)置��。
文檔編號H04L29/06GK1791068SQ20051013560
公開日2006年6月21日 申請日期2005年12月31日 優(yōu)先權(quán)日2005年12月31日
發(fā)明者錢德沛, 王宇潔, 王銳 申請人:錢德沛, 王宇潔, 王銳