專利名稱:監(jiān)控會話流的方法及裝置的制作方法
技術領域:
本發(fā)明涉及會話流監(jiān)控技術����,尤其涉及一種監(jiān)控會話流的方法及裝置�。
背景技術:
在網(wǎng)絡安全設備如防火墻中,普遍采用會話流狀態(tài)跟蹤技術來實現(xiàn)對經(jīng)過網(wǎng)絡安全設備的會話流進行監(jiān)控管理�����,達到對特定非可信的會話流進行識別及阻斷的目的�����。會話流即端到端的數(shù)據(jù)連接及通過端到端的數(shù)據(jù)連接傳輸?shù)男畔?。在傳輸控制協(xié)議(Transmission Control Protocol, TCP)/ 因牛寺網(wǎng)十辦i義(Internet, Protocol, IP)十辦i義里面,通常使用5元組信息源IP地址�、目的IP地址、協(xié)議號�、TCP/用戶數(shù)據(jù)報協(xié)議(User Data Protocol, UDP)源端口號、TCP/UDP目的端口號來識別一個會話流��。網(wǎng)絡安全設備內(nèi)通常使用一張會話流狀態(tài)跟蹤表(以下簡稱流表)來管理眾多的會話流��,并存儲有該會話流的處理策略如阻斷�����、通過或者其他附加處理操作�����。在上述會話流狀態(tài)跟蹤技術框架下�����,一個會話流的處理過程如圖1所示��。該會話流的首個報文到達時�,建立一個新的會話流表項,添加到流表中����;對該會話流進行安全策略匹配、審核����,并將處理策略結(jié)果更新到新建立的會話流表項中。當該會話流的后續(xù)報文即非首個報文到達時�����,由于流表已經(jīng)存有該會話流的信息,因此直接查找流表���;按照對應會話流表項即新建立的會話流表項中的處理策略對該會話流進行處理����。然而�,某些特殊協(xié)議存在兩個或多個相互關聯(lián)的會話流,通常其中一個會話流為主控制連接會話流���,其它會話流為該主控制連接所生成的附屬連接會話流���,建立過程如下 首先是客戶端向服務器發(fā)起控制連接請求,以與服務器建立連接��。連接建立后���,客戶端與服務器協(xié)商出附屬連接的端口號�����,并發(fā)起建立相應的附屬連接的操作���。以文件傳輸協(xié)議(File Transfer Pr0t0C0l,F(xiàn)TP)協(xié)議中的主動模式為例��,一個完整的FTP傳輸需要建立兩個TCP連接控制連接���、數(shù)據(jù)連接���。控制連接為初始主連接�,數(shù)據(jù)連接為協(xié)商生成的附屬連接。假設服務器端IP地址為10. 0. 0. 1���,監(jiān)聽FTP控制連接TCP端口號為21的端口��,設客戶端IP地址為10. 1. 0. 2���。建立FTP傳輸時,客戶端使用內(nèi)部隨機分配的端口(假設端口號為12345)�,向服務器端口號為21的端口發(fā)起控制連接請求。經(jīng)過 TCP三次握手����,建立起該控制連接�,即TCP連接10. 1.0. 2:12345<->10. 0. 0. 1:21��。然后�,客戶端通過協(xié)商命令,向服務器端發(fā)起數(shù)據(jù)傳輸請求命令����,內(nèi)容包含客戶端IP 地址及客戶端的端口號(假設為12346)。服務器端收到數(shù)據(jù)傳輸請求后��,以端口號為20的端口為源端口����,主動發(fā)起向客戶端端口 12346 (即端口號為12346的端口 )的TCP連接請求, 通過三次握手��,成功建立起數(shù)據(jù)連接����,即TCP連接10. 0. 0. 1:20<->10· 1.0.2:12346。此后�, 雙方通過數(shù)據(jù)連接傳遞文件數(shù)據(jù)內(nèi)容。假設網(wǎng)絡安全設備如圖2所示�,處于客戶端與服務器端口之間,需要在二者之間做安全策略檢查,服務器端監(jiān)聽的是FTP控制連接端口號為21的端口����,為使上述FTP訪問能正常進行,通常需要配置安全策略規(guī)則����,允許指定的客戶端用戶可以訪問上述指定服務器的TCP端口號為21的端口����。但是,上述FTP的數(shù)據(jù)連接即附屬連接��,其端口號是客戶端與服務器端動態(tài)協(xié)商確定的�����,且是從服務器端口主動向客戶端發(fā)起的連接請求���,通常不能符合預設的安全策略�����,從而導致數(shù)據(jù)連接不能建立��,也就無法完成FTP傳輸����。為解決上述問題,通常在上述控制連接建立后����,跟蹤掃描控制連接的協(xié)商命令,抽取協(xié)商確定的客戶端/服務器的IP地址端口號信息�,動態(tài)生成一個安全策略規(guī)則,使得后續(xù)的數(shù)據(jù)連接請求能命中該動態(tài)安全策略規(guī)則��,并被允許通過�����。具體如圖3所示��,網(wǎng)絡安全設備構(gòu)造了一個額外的動態(tài)規(guī)則表���,若新的報文到達�����,但是未匹配到已存在的會話流���,在執(zhí)行安全策略匹配審核之前�����,先進行動態(tài)規(guī)則的匹配���。若動態(tài)規(guī)則匹配成功,則略過安全策略匹配審核�,直接設置安全策略匹配審核通過。如生成的動態(tài)規(guī)則為=RULE 協(xié)議號=TCP���,源IP = 10.0.0. 1,源端口 =任意��,目的IP= 10. 1.0.2���,目的端口 = 12346 ���;則當服務器端使用端口號為20的端口向客戶端端口號為12346的端口主動發(fā)起數(shù)據(jù)連接時,顯然會命中上述動態(tài)規(guī)則����,從而直接通過安全采路匹配審核,不再進行普通安全策略的匹配審核,使得FTP數(shù)據(jù)傳輸?shù)靡哉_M行?���,F(xiàn)有技術存在的缺陷在于建立會話流過程中增加了一個動態(tài)規(guī)則匹配的操作。 當大量用戶同時使用FTP或其他需要特殊處理的協(xié)議時���,會生成數(shù)量巨大的動態(tài)規(guī)則���,嚴重影響系統(tǒng)性能。
發(fā)明內(nèi)容
本發(fā)明提出一種監(jiān)控會話流的方法及裝置����,以減少查表操作,提升網(wǎng)絡安全設備的處理性能���。本發(fā)明提供了一種監(jiān)控會話流的方法�,包括利用監(jiān)控到的控制連接建立后的協(xié)商命令�����,生成動態(tài)規(guī)則表項�,所述動態(tài)規(guī)則表項包括動態(tài)規(guī)則及用于指示五元組中任意一個信息不參與動態(tài)規(guī)則匹配的標識;將所述動態(tài)規(guī)則表項添加到流表中���;有報文到達后�,查找所述流表,將到達的所述報文與所述流表的表項進行匹配����;根據(jù)匹配結(jié)果對所述報文進行相應地處理。本發(fā)明還提供了一種監(jiān)控會話流的裝置�,包括動態(tài)表項生成模塊,用于利用監(jiān)控到的控制連接建立后的協(xié)商命令��,生成動態(tài)規(guī)則表項����,所述動態(tài)規(guī)則表項包括動態(tài)規(guī)則及用于指示五元組中任意一個信息不參與動態(tài)規(guī)則匹配的標識;動態(tài)表項添加模塊��,用于將所述動態(tài)規(guī)則表項添加到流表中����;查表模塊����,用于有報文到達后,查找所述流表�,將到達的所述報文與所述流表的表項進行匹配�;處理模塊����,用于根據(jù)匹配結(jié)果對所述報文進行相應地處理。本發(fā)明提供的監(jiān)控會話流的方法及裝置通過將特殊協(xié)議的動態(tài)規(guī)則與流表共用存儲數(shù)據(jù)結(jié)構(gòu)即動態(tài)規(guī)則表與流表合并在一起�,避免了單獨為動態(tài)規(guī)則構(gòu)建一張表,并將動態(tài)規(guī)則匹配過程合并到流表項查找過程�,使得建立會話流過程省略了動態(tài)規(guī)則匹配的單獨查表操作,將流表項的匹配所產(chǎn)生的查表操作及動態(tài)規(guī)則匹配所產(chǎn)生的查表操作合并為一次查表操作�����,節(jié)約了報文匹配時間���,提升了網(wǎng)絡安全設備的數(shù)據(jù)處理性能����。
為了更清楚地說明本發(fā)明實施例中的技術方案�,下面將對實施例中所需要使用的附圖作簡單地介紹,顯而易見地��,下面描述中的附圖僅僅是本發(fā)明的一些實施例�,對于本領域普通技術人員來講,在不付出創(chuàng)造性勞動性的前提下�,還可以根據(jù)這些附圖獲得其他的附圖��。圖1為現(xiàn)有技術中的會話流的處理過程示意圖����;圖2為網(wǎng)絡安全設備的位置示意圖���;圖3為現(xiàn)有技術中FTP會話流的監(jiān)控流程圖�;圖4為本發(fā)明實施例提供的一種監(jiān)控會話流的方法的流程圖����;圖5為本發(fā)明實施例提供的另一種監(jiān)控會話流的方法流程圖;圖6為本發(fā)明實施例提供的監(jiān)控會話流的裝置的結(jié)構(gòu)示意圖����。
具體實施例方式下面將結(jié)合本發(fā)明實施例中的附圖,對本發(fā)明實施例中的技術方案進行清楚����、完整地描述�,顯然,所描述的實施例僅僅是本發(fā)明一部分實施例�,而不是全部的實施例?���;诒景l(fā)明中的實施例�,本領域普通技術人員在沒有作出創(chuàng)造性勞動前提下所獲得的所有其他實施例��,都屬于本發(fā)明保護的范圍����。圖4為本發(fā)明實施例提供的一種監(jiān)控會話流的方法的流程圖。如圖4所示�,包括步驟41、利用監(jiān)控到的控制連接建立后的協(xié)商命令�,生成動態(tài)規(guī)則表項,所述動態(tài)規(guī)則表項包括動態(tài)規(guī)則及用于指示五元組中任意一個信息不參與動態(tài)規(guī)則匹配的標識���。如生成動態(tài)規(guī)則RULE 協(xié)議號=TCP����,源IP = 10. 0. 0. 1�����,源端口 =任意����,目的IP =10. 1. 0. 2��,目的端口 = 12346 ���;則建立的動態(tài)規(guī)則表項包含上述動態(tài)規(guī)則,此外還包含一個用于指示源端口不參與動態(tài)規(guī)則匹配的標識����。此標識的實現(xiàn)方式可以是掩碼方式,也可以采取其他方式���。若采用掩碼方式實現(xiàn)����,則建立的動態(tài)規(guī)則表項如下KEY:協(xié)議號=TCP����,源 IP = 10.0.0. 1,源端口 =任意��,目的 IP = 10. 1.0.2���,目的端□= 12346MASK 協(xié)議號=OxFF,源 IP = OxFFFFFFFF,源端口 = 0x0000����,目的 IP = OxFFFFFFFF,目的端口 = OxFFFFMASK的位圖中���,為1表示參與匹配����,為0表示不參與匹配��。從上述“MASK”內(nèi)容可知源端口不參與動態(tài)規(guī)則匹配��。建立的動態(tài)規(guī)則表項中�,標識可以用來指示五元組中的任何一個信息不參與匹配。如對于FTP連接的被動模式��,目的端口不參與動態(tài)規(guī)則匹配�����,則建立的動態(tài)規(guī)則表項中可包含一個用于指示目的端口不參與動態(tài)規(guī)則匹配的標識�����;再如視頻連接中��,一個客戶端需要同多個視頻服務器建立連接,這樣目的IP不參與動態(tài)規(guī)則匹配�,則建立的動態(tài)規(guī)則表項中包含一個用于指示目的IP不參與動態(tài)規(guī)則匹配的標識。標識同樣可采用上述掩碼的方式實現(xiàn)��。步驟42����、將所述動態(tài)規(guī)則表項添加到流表中;步驟43�、有報文到達后,查找所述流表����,將到達的所述報文與所述流表的表項進行匹配;步驟44��、根據(jù)匹配結(jié)果對所述報文進行相應地處理����。上述步驟41-步驟44均可由網(wǎng)絡安全設備執(zhí)行。步驟44中���,具體地����,若所述報文與所述動態(tài)規(guī)則表項匹配成功,則所述報文可能為與所述控制連接相關的會話流的第一個報文即建立所述控制連接的附屬連接的數(shù)據(jù)連接請求�,正常轉(zhuǎn)發(fā)所述第一個報文。所述報文也可能為數(shù)據(jù)連接建立后傳輸?shù)膱笪?����。所述報文與所述動態(tài)規(guī)則表項匹配成功后����,正常轉(zhuǎn)發(fā)所述報文之前還可包括根據(jù)所述報文在所述流表中創(chuàng)建新的流表項�。對后續(xù)到達的報文再次查找所述流表,按照最長匹配結(jié)果優(yōu)先原則將所述后續(xù)到達的報文與所述流表中的表項進行匹配����。由于流表中還有動態(tài)規(guī)則表項,因此�,匹配時采用最長匹配結(jié)果優(yōu)先原則,即當一個報文同時匹配到一個動態(tài)規(guī)則表項和一個流表項時���,優(yōu)先選擇流表項的匹配結(jié)果�。由于流表項的匹配關鍵字由五元組構(gòu)成�,包括源IP、目的IP���、協(xié)議號�、源端口、目的端口��,且執(zhí)行的是精確的關鍵字匹配��,而動態(tài)規(guī)則表項的關鍵字雖然與流表項的關鍵字相同����,但是,動態(tài)規(guī)則匹配執(zhí)行的是模糊匹配����,即上述五個關鍵字某些關鍵字允許是任意值,只要剩余關鍵字匹配成功�����,則認為動態(tài)規(guī)則匹配成功��,因此��,流表項的匹配結(jié)果長度大于動態(tài)規(guī)則表項的匹配結(jié)果���。通過新建立的流表項�����,可以對一個控制連接的多個數(shù)據(jù)連接上的會話流分別進行監(jiān)控���。當?shù)竭_網(wǎng)絡安全設備的報文為數(shù)據(jù)連接建立后在建立的數(shù)據(jù)連接上傳輸?shù)膱笪臅r���,步驟44可包括若所述報文既與所述動態(tài)規(guī)則表項匹配成功�����,又與所述流表中的流表項匹配成功��,則按照最長匹配結(jié)果優(yōu)先原則�,正常轉(zhuǎn)發(fā)所述報文。本實施例��,在基于會話流狀態(tài)跟蹤技術的網(wǎng)絡安全設備中�����,通過將特殊協(xié)議的動態(tài)規(guī)則與流表共用存儲數(shù)據(jù)結(jié)構(gòu)即動態(tài)規(guī)則表與流表合并在一起���,避免了單獨為動態(tài)規(guī)則構(gòu)建一張表����,并將動態(tài)規(guī)則匹配過程合并到流表項查找過程,使得建立會話流過程省略了動態(tài)規(guī)則匹配的單獨查表操作���,將流表項的匹配所產(chǎn)生的查表操作及動態(tài)規(guī)則匹配所產(chǎn)生的查表操作合并為一次查表操作����,節(jié)約了報文匹配時間����,提升了網(wǎng)絡安全設備的數(shù)據(jù)處理性能。圖5為本發(fā)明實施例提供的另一種監(jiān)控會話流的方法流程圖���。本實施例中對圖2 所示的FTP傳輸?shù)臅捔鬟M行監(jiān)控��,如圖5所示���,監(jiān)控會話流的具體過程如下步驟51、查找流表以對傳輸?shù)膱笪倪M行匹配����。流表中包含動態(tài)規(guī)則表項和流表項。其中�����,動態(tài)規(guī)則表項在FTP控制連接建立后, 利用客戶端發(fā)送的協(xié)商命令即向服務器端發(fā)起的數(shù)據(jù)傳輸請求命令生成�����,如KEY:協(xié)議號=TCP����,源 IP = 10.0.0. 1,源端口 =任意�,目的 IP = 10. 1.0.2����,目的端□= 12346MASK 協(xié)議號=OxFF,源 IP = OxFFFFFFFF,源端口 = 0x0000,目的 IP = OxFFFFFFFF,目的端口 = OxFFFF并添加到流表中����。服務器端收到協(xié)商命令后,服務端端口號為20的源端口���,主動發(fā)起向客戶端端口號為12346的端口的TCP連接請求�����,通過三次握手�����,成功建立起數(shù)據(jù)連接�����,即TCP連接
協(xié)議號=TCP��,源IP = 10.0.0. 1����,源端口 = 20,目的 IP = 10. 1.0.2��,目的端口 = 12346�。此后,服務器端與客戶端的數(shù)據(jù)交換����,使用的就是與新建的流表項對應的會話流。其中��,TCP連接請求即新的會話流的第一個報文�,網(wǎng)絡安全設備如防火墻在接收到服務器端發(fā)起的TCP連接請求即數(shù)據(jù)連接請求后����,查找流表��,進行表項匹配����。此時,該第一個報文僅與動態(tài)規(guī)則表項匹配成功����。后續(xù)報文到達時,再次進行流表查找����,按最長匹配優(yōu)先原則�����,與新建的流表項成功匹配�����,然后報文被正常轉(zhuǎn)發(fā)�����。換句話說,會話流的第一個報文命中動態(tài)規(guī)則表項后����,根據(jù)當前報文的精確5元組信息,立即構(gòu)造出一條精確匹配的流表項����,此后該會話流的報文都會命中流表項,而走正常的報文轉(zhuǎn)發(fā)�����。步驟52����、判斷匹配是否成功。由于流表中包含動態(tài)規(guī)則表項及流表項�,因此,匹配也包括動態(tài)規(guī)則匹配與流表項匹配兩種匹配�����。相應地,匹配成功包括流表項匹配成功��、動態(tài)規(guī)則匹配成功或流表項及動態(tài)規(guī)則匹配成功�����。如果僅流表項匹配成功���,說明到達的報文所屬的會話流與其他會話流沒有關聯(lián)�����,執(zhí)行步驟54 ���;若僅動態(tài)規(guī)則匹配成功,說明到達的報文所屬的會話流在流表中尚未建立流表項�,或者動態(tài)規(guī)則表項的附屬連接僅有一條,因為附屬連接只有一條的話���,可不用建立流表項�����,執(zhí)行步驟55 ;若流表項及動態(tài)規(guī)則匹配成功, 說明到達的報文所屬的會話流所使用的數(shù)據(jù)連接為一個控制連接的附屬連接���,流表中相應的動態(tài)規(guī)則表項及流表項均已建立��,按圖4所示實施例中采用的采用最長匹配結(jié)果優(yōu)先原則�,判定為流表項匹配成功�����,則直接設置安全策略匹配審核為通過�����,略過安全策略匹配審核過程�����,執(zhí)行步驟54���。若匹配失敗�����,說明到達的報文為某一會話流的第一個報文�,且該會話流與其他會話流不相關,執(zhí)行步驟53�����。步驟53��、利用到達的報文在流表中生成新的流表項���,并對該會話流進行安全策略匹配審核��。步驟54�、正常轉(zhuǎn)發(fā)到達的報文�����。步驟55����、利用到達的報文在流表中生成新的流表項,并直接設置安全策略匹配審核為通過��,略過安全策略匹配審核過程�����,直接執(zhí)行步驟54��?��?梢钥闯霰緦嵤├鄬ΜF(xiàn)有技術方案����,在建立會話流過程中�,減少了單獨用于動態(tài)規(guī)則匹配的一次查表操作,使得網(wǎng)絡安全設備的負荷減少����,從而提升了網(wǎng)絡安全設備的處理性能。本領域普通技術人員可以理解實現(xiàn)上述方法實施例的全部或部分步驟可以通過程序指令相關的硬件來完成����,前述的程序可以存儲于一計算機可讀取存儲介質(zhì)中,該程序在執(zhí)行時�����,執(zhí)行包括上述方法實施例的步驟����;而前述的存儲介質(zhì)包括R0M����、RAM���、磁碟或者光盤等各種可以存儲程序代碼的介質(zhì)�。圖6為本發(fā)明實施例提供的監(jiān)控會話流的裝置的結(jié)構(gòu)示意圖��。如圖6所示��,監(jiān)控會話流的裝置可為網(wǎng)絡安全設備�����,具體包括動態(tài)表項生成模塊61��、動態(tài)表項添加模塊62���、 查表模塊63及處理模塊64���。動態(tài)表項生成模塊61用于利用監(jiān)控到的控制連接建立后的協(xié)商命令,生成動態(tài)規(guī)則表項���,所述動態(tài)規(guī)則表項包括動態(tài)規(guī)則及用于指示五元組中任意一個信息不參與動態(tài)規(guī)則匹配的標識��;所述標識可為掩碼���,詳見上述方法實施例中的說明��。
動態(tài)表項添加模塊62用于將所述動態(tài)規(guī)則表項添加到流表中;查表模塊63用于有報文到達后�,查找所述流表,將到達的所述報文與所述流表的表項進行匹配����;處理模塊 64用于根據(jù)匹配結(jié)果對所述報文進行相應地處理。如所述處理模塊具體用于若所述報文與所述動態(tài)規(guī)則表項匹配成功��,則正常轉(zhuǎn)發(fā)所述報文���;或者如所述處理模塊具體用于若所述報文既與所述動態(tài)規(guī)則表項匹配成功�,又與所述流表中的流表項匹配成功�����,則按照最長匹配結(jié)果優(yōu)先原則�,正常轉(zhuǎn)發(fā)所述報文。詳見上述方法實施例中的說明�。本發(fā)明實施例提供的監(jiān)控會話流的裝置還可包括流表項建立模塊���,用于所述報文與所述動態(tài)規(guī)則表項匹配成功后,所述處理模塊正常轉(zhuǎn)發(fā)所述報文之前�����,根據(jù)所述報文在所述流表中創(chuàng)建新的流表項�����。所述查表模塊還用于對后續(xù)到達的報文再次查找所述流表�����,按照最長匹配結(jié)果優(yōu)先原則將所述后續(xù)到達的報文與所述流表中的表項進行匹配��。本實施例中�����,監(jiān)控會話流的裝置如在基于會話流狀態(tài)跟蹤技術的網(wǎng)絡安全設備中����,將特殊協(xié)議的動態(tài)規(guī)則匹配過程合并到流查找過程,使得建立會話流過程省略了單獨用于動態(tài)規(guī)則的匹配操作的查表操作�����,降低了網(wǎng)絡安全設備的負荷,提升了網(wǎng)絡安全設備的處理性能�����。最后應說明的是以上實施例僅用以說明本發(fā)明的技術方案�����,而非對其限制�;盡管參照前述實施例對本發(fā)明進行了詳細的說明��,本領域的普通技術人員應當理解其依然可以對前述各實施例所記載的技術方案進行修改�,或者對其中部分技術特征進行等同替換;而這些修改或者替換���,并不使相應技術方案的本質(zhì)脫離本發(fā)明各實施例技術方案的精神和范圍�����。
權(quán)利要求
1.一種監(jiān)控會話流的方法����,其特征在于,包括利用監(jiān)控到的控制連接建立后的協(xié)商命令����,生成動態(tài)規(guī)則表項,所述動態(tài)規(guī)則表項包括動態(tài)規(guī)則及用于指示五元組中任意一個信息不參與動態(tài)規(guī)則匹配的標識��;將所述動態(tài)規(guī)則表項添加到流表中���;有報文到達后���,查找所述流表,將到達的所述報文與所述流表的表項進行匹配��;根據(jù)匹配結(jié)果對所述報文進行相應地處理���。
2.根據(jù)權(quán)利要求1所述的監(jiān)控會話流的方法���,其特征在于,根據(jù)匹配結(jié)果對所述報文進行相應地處理的過程����,包括若所述報文與所述動態(tài)規(guī)則表項匹配成功,則正常轉(zhuǎn)發(fā)所述報文。
3.根據(jù)權(quán)利要求2所述的監(jiān)控會話流的方法����,其特征在于,所述報文與所述動態(tài)規(guī)則表項匹配成功后��,正常轉(zhuǎn)發(fā)所述報文之前還包括根據(jù)所述報文在所述流表中創(chuàng)建新的流表項�。
4.根據(jù)權(quán)利要求1所述的監(jiān)控會話流的方法,其特征在于�,根據(jù)匹配結(jié)果對所述報文進行相應地處理的過程,包括若所述報文既與所述動態(tài)規(guī)則表項匹配成功��,又與所述流表中的流表項匹配成功�����,則按照最長匹配結(jié)果優(yōu)先原則�����,正常轉(zhuǎn)發(fā)所述報文���。
5.根據(jù)權(quán)利要求1-4任一項所述的監(jiān)控會話流的方法,其特征在于��,所述標識通過掩碼實現(xiàn)。
6.一種監(jiān)控會話流的裝置����,其特征在于,包括動態(tài)表項生成模塊�,用于利用監(jiān)控到的控制連接建立后的協(xié)商命令,生成動態(tài)規(guī)則表項�,所述動態(tài)規(guī)則表項包括動態(tài)規(guī)則及用于指示五元組中任意一個信息不參與動態(tài)規(guī)則匹配的標識;動態(tài)表項添加模塊�,用于將所述動態(tài)規(guī)則表項添加到流表中;查表模塊���,用于有報文到達后���,查找所述流表,將到達的所述報文與所述流表的表項進行匹配�����;處理模塊����,用于根據(jù)匹配結(jié)果對所述報文進行相應地處理。
7.根據(jù)權(quán)利要求6所述的監(jiān)控會話流的裝置��,其特征在于,所述處理模塊具體用于若所述報文與所述動態(tài)規(guī)則表項匹配成功�����,則正常轉(zhuǎn)發(fā)所述報文���。
8.根據(jù)權(quán)利要求7所述的監(jiān)控會話流的裝置�����,其特征在于�����,還包括流表項建立模塊���,用于所述報文與所述動態(tài)規(guī)則表項匹配成功后,所述處理模塊正常轉(zhuǎn)發(fā)所述報文之前���,根據(jù)所述報文在所述流表中創(chuàng)建新的流表項。
9.根據(jù)權(quán)利要求6所述的監(jiān)控會話流的裝置�����,其特征在于,所述處理模塊具體用于若所述報文既與所述動態(tài)規(guī)則表項匹配成功��,又與所述流表中的流表項匹配成功���,則按照最長匹配結(jié)果優(yōu)先原則�����,正常轉(zhuǎn)發(fā)所述報文���。
10.根據(jù)權(quán)利要求6-9任一項所述的監(jiān)控會話流的裝置,其特征在于�����,所述動態(tài)表項生成模塊建立的動態(tài)規(guī)則表項中���,所述標識為掩碼���。
11.根據(jù)權(quán)利要求6-9任一項所述的監(jiān)控會話流的裝置,其特征在于����,所述監(jiān)控會話流的裝置為網(wǎng)絡安全設備���。
全文摘要
本發(fā)明涉及一種監(jiān)控會話流的方法及裝置,方法包括利用監(jiān)控到的控制連接建立后的協(xié)商命令����,生成動態(tài)規(guī)則表項,所述動態(tài)規(guī)則表項包括動態(tài)規(guī)則及用于指示五元組中任意一個信息不參與動態(tài)規(guī)則匹配的標識�;將所述動態(tài)規(guī)則表項添加到流表中;有報文到達后�����,查找所述流表�����,將到達的所述報文與所述流表的表項進行匹配�����;根據(jù)匹配結(jié)果對所述報文進行相應地處理�。通過將特殊協(xié)議的動態(tài)規(guī)則與流表共用存儲數(shù)據(jù)結(jié)構(gòu)即動態(tài)規(guī)則表與流表合并在一起,節(jié)約了報文匹配時間�����,提升了網(wǎng)絡安全設備的數(shù)據(jù)處理性能�����。
文檔編號H04L29/06GK102255909SQ201110192688
公開日2011年11月23日 申請日期2011年7月11日 優(yōu)先權(quán)日2011年7月11日
發(fā)明者陳平平 申請人:北京星網(wǎng)銳捷網(wǎng)絡技術有限公司