專利名稱:一種提升防火墻處理性能的方法和裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域,更具體地說(shuō),涉及一種提升防火墻處理性能的方法和裝置。
背景技術(shù):
隨著互聯(lián)網(wǎng)應(yīng)用的普及和發(fā)展,網(wǎng)絡(luò)安全變得越來(lái)越重要,而防火墻(Firewall)是解決網(wǎng)絡(luò)安全的重要手段,在各種類型的防火墻中,SPI (Stateful Packet Inspection,狀態(tài)包檢測(cè))狀態(tài)防火墻應(yīng)用廣泛,其數(shù)據(jù)包匹配處理性能也越來(lái)越受到使用者的關(guān)注。SPI對(duì)防火墻規(guī)則的處理是通過(guò)跟蹤整個(gè)報(bào)文的交互過(guò)程,建立一個(gè)session(會(huì)話)描述其上下文環(huán)境。一個(gè)session包含源IP、目的IP、源端口、目的端口和協(xié)議類型五元組信息,根據(jù)五元組信息完成對(duì)報(bào)文的丟棄和轉(zhuǎn)發(fā)工作。通常,在防火墻配置了較多規(guī)則的情況下,業(yè)界普遍采用快速搜索算法完成對(duì)規(guī)則匹配的高效查找,但在防火墻規(guī)則不是很多的情況下,比如家庭網(wǎng)關(guān)設(shè)備的防火墻規(guī)則策略不是很多,這種方法對(duì)防火墻處理性能的提升效果不大。從SPI防火墻的實(shí)現(xiàn)分析,一個(gè)新的報(bào)文到來(lái),總是需要為其建立session(會(huì)話),查詢規(guī)則過(guò)濾表用以匹配防火墻規(guī)則,決定報(bào)文執(zhí)行策略是丟棄或轉(zhuǎn)發(fā)。由于需要為每個(gè)報(bào)文建立一個(gè)session, —個(gè)被過(guò)濾掉的報(bào)文,總是需要分配資源為其建立session,當(dāng)通過(guò)匹配過(guò)濾規(guī)則成功后,再刪除前面創(chuàng)建的session資源,這種方式降低了防火墻處理效率。一個(gè)允許轉(zhuǎn)發(fā)的報(bào)文,盡管該session已經(jīng)經(jīng)過(guò)過(guò)濾表的匹配處理,下一個(gè)報(bào)文也要重新查詢過(guò)濾表,搜索所有規(guī)則找到匹配項(xiàng),一定程度上也降低了防火墻的轉(zhuǎn)發(fā)處理性能,因此,需要一種提升防火墻處理性能的方法和裝置以克服上述現(xiàn)有技術(shù)的缺陷。
發(fā)明內(nèi)容
本發(fā)明要解決的技術(shù)問(wèn)題在于,針對(duì)現(xiàn)有技術(shù)中存在重復(fù)查詢防火墻規(guī)則過(guò)濾表,無(wú)法節(jié)省查詢規(guī)則過(guò)濾表的時(shí)間從而影響了防火墻的轉(zhuǎn)發(fā)處理性能的缺陷,提供了一種提升防火墻處理性能的方法和裝置。本發(fā)明解決其技術(shù)問(wèn)題所采用的技術(shù)方案是:一種提升防火墻處理性能的方法,包括以下步驟:當(dāng)接收到一個(gè)報(bào)文時(shí),在會(huì)話鏈表中進(jìn)行會(huì)話搜索處理;在搜索到相應(yīng)的會(huì)話時(shí)檢查所述會(huì)話是否設(shè)置了會(huì)話屬性,若已經(jīng)設(shè)置則進(jìn)行會(huì)話加速處理;若未設(shè)置則直接查找規(guī)則過(guò)濾表并同時(shí)進(jìn)行會(huì)話學(xué)習(xí)處理;在未搜索到相應(yīng)的會(huì)話時(shí)為所述報(bào)文創(chuàng)建會(huì)話,然后查找規(guī)則過(guò)濾表并同時(shí)進(jìn)行會(huì)話學(xué)習(xí)處理。在本發(fā)明所述的方法中,所述會(huì)話屬性包括優(yōu)先級(jí)屬性和策略屬性。在本發(fā)明所述的方法中,所述策略屬性是防火墻的規(guī)則過(guò)濾表中匹配策略的執(zhí)行結(jié)果,即轉(zhuǎn)發(fā)報(bào)文或丟棄報(bào)文。
在本發(fā)明所述的方法中,所述會(huì)話學(xué)習(xí)處理進(jìn)一步包括:根據(jù)規(guī)則過(guò)濾表中的規(guī)則優(yōu)先級(jí)將所述會(huì)話加入到會(huì)話鏈表的相應(yīng)位置;根據(jù)規(guī)則過(guò)濾表中的規(guī)則優(yōu)先級(jí)設(shè)置所述會(huì)話的優(yōu)先級(jí)屬性;根據(jù)規(guī)則過(guò)濾表中的規(guī)則匹配策略的執(zhí)行結(jié)果設(shè)置所述會(huì)話的策略屬性。在本發(fā)明所述的方法中,所述會(huì)話加速處理進(jìn)一步包括:刷新所述會(huì)話的老化時(shí)間;根據(jù)所述會(huì)話的優(yōu)先級(jí)屬性從高到低查詢匹配會(huì)話;根據(jù)所述會(huì)話的策略屬性轉(zhuǎn)發(fā)或丟棄所述會(huì)話。為了更好地實(shí)現(xiàn)本發(fā)明,還提供了一種提升防火墻處理性能的裝置,所述裝置包括:會(huì)話搜索處理模塊,用于當(dāng)接收到一個(gè)報(bào)文時(shí)在會(huì)話鏈表中進(jìn)行會(huì)話搜索處理;用于在未搜索到相應(yīng)的會(huì)話時(shí)為所述報(bào)文創(chuàng)建會(huì)話;檢查模塊,用于在會(huì)話搜索處理模塊搜索到相應(yīng)的會(huì)話時(shí)檢查所述會(huì)話是否設(shè)置了會(huì)話屬性;會(huì)話加速處理模塊,用于對(duì)已經(jīng)設(shè)置了會(huì)話屬性的會(huì)話進(jìn)行會(huì)話加速處理;會(huì)話學(xué)習(xí)處理模塊,用于對(duì)未設(shè)置會(huì)話屬性的會(huì)話直接查找規(guī)則過(guò)濾表的同時(shí)進(jìn)行會(huì)話學(xué)習(xí)處理;用于在會(huì)話搜索處理模塊未搜索到相應(yīng)的會(huì)話時(shí),查找規(guī)則過(guò)濾表并進(jìn)行會(huì)話學(xué)習(xí)處理。具體的,所述會(huì)話屬性包括優(yōu)先級(jí)屬性和策略屬性。具體的,所述策略屬性是防火墻的規(guī)則過(guò)濾表中匹配策略的執(zhí)行結(jié)果,即轉(zhuǎn)發(fā)報(bào)文或丟棄報(bào)文。具體的,所述會(huì)話搜索處理模塊在創(chuàng)建會(huì)話時(shí)設(shè)置所述會(huì)話的老化時(shí)間。具體的,當(dāng)用戶修改防火墻的規(guī)則過(guò)濾表時(shí),由防火墻系統(tǒng)清除所述已經(jīng)設(shè)置的會(huì)話屬性。本發(fā)明的有益效果是,本發(fā)明提供的一種提升防火墻處理性能的方法和裝置通過(guò)學(xué)習(xí)防火墻規(guī)則過(guò)濾表實(shí)現(xiàn)了加速匹配處理,不僅規(guī)避了重復(fù)查詢,而且節(jié)省了查詢規(guī)則過(guò)濾表的時(shí)間,從而提高了防火墻的數(shù)據(jù)包匹配效率,提升了防火墻的轉(zhuǎn)發(fā)處理性能。
此處所說(shuō)明的附圖用來(lái)提供對(duì)本發(fā)明的進(jìn)一步理解,構(gòu)成本發(fā)明的一部分,本發(fā)明的示意性實(shí)施例及其說(shuō)明用于解釋本發(fā)明,并不構(gòu)成對(duì)本發(fā)明的不當(dāng)限定。在附圖中:圖1是依據(jù)本發(fā)明一較佳實(shí)施例提供的一種提升防火墻處理性能的方法的流程圖;圖2是圖1中會(huì)話學(xué)習(xí)處理步驟的詳細(xì)流程圖;圖3是圖1中會(huì)話加速處理步驟的詳細(xì)流程圖;圖4是依據(jù)本發(fā)明一較佳實(shí)施例提供的一種提升防火墻處理性能的裝置的示意圖。
具體實(shí)施方式
為了使本發(fā)明所要解決的技術(shù)問(wèn)題、技術(shù)方案及有益效果更加清楚、明白,以下結(jié)合附圖和實(shí)施例,對(duì)本發(fā)明進(jìn)行進(jìn)一步詳細(xì)說(shuō)明。應(yīng)當(dāng)理解,此處所描述的具體實(shí)施例僅用以解釋本發(fā)明,并不用于限定本發(fā)明。如圖1所示的是依據(jù)本發(fā)明一較佳實(shí)施例的一種提升防火墻處理性能的方法的流程圖;所述方法100包括以下步驟:步驟102,當(dāng)一個(gè)報(bào)文到達(dá)并進(jìn)入防火墻時(shí),首先構(gòu)建報(bào)文的五元組信息;所述五元組信息為源IP地址、目的IP地址、源端口、目的端口和協(xié)議類型五元組,由于SPI (Stateful Packet Inspection,狀態(tài)包檢測(cè))防火墻靈活的可擴(kuò)展性,數(shù)據(jù)包的匹配條件可以不僅僅為五元組信息,也可以包含報(bào)文中的其它參數(shù)及會(huì)話狀態(tài)特性,由于通常的過(guò)濾規(guī)則針對(duì)五元組的條件較多,因此本實(shí)施例的說(shuō)明基于五元組條件的規(guī)則但不限于所述五元組條件。步驟104,當(dāng)接收到一個(gè)報(bào)文時(shí),在session (會(huì)話)鏈表中進(jìn)行會(huì)話搜索處理;所述會(huì)話鏈表由系統(tǒng)創(chuàng)建,所述會(huì)話搜索處理主要是根據(jù)五元組信息進(jìn)行會(huì)話的匹配查詢。步驟106,對(duì)搜索結(jié)果進(jìn)行判斷,若搜索到所述會(huì)話則執(zhí)行步驟114 ;若搜索不到所述會(huì)話則執(zhí)行步驟108。步驟108,由于沒(méi)有在會(huì)話鏈表中搜索到所述會(huì)話,在未搜索到相應(yīng)的會(huì)話時(shí)為所述報(bào)文創(chuàng)建會(huì)話,即為其建立五元組session(會(huì)話),同時(shí)設(shè)置老化時(shí)間,老化時(shí)間可以根據(jù)不同的操作系統(tǒng)和不同的協(xié)議進(jìn)行不同的設(shè)置,如對(duì)于TCP協(xié)議可以設(shè)置長(zhǎng)一點(diǎn)時(shí)間,對(duì)于UDP協(xié)議可以設(shè)置短一點(diǎn)時(shí)間。步驟110,根據(jù)所述會(huì)話的五元組信息查找防火墻的規(guī)則過(guò)濾表并進(jìn)行規(guī)則的匹配,同時(shí)執(zhí)行步驟120進(jìn)行會(huì)話學(xué)習(xí)處理(所述具體的會(huì)話學(xué)習(xí)處理步驟請(qǐng)參考附圖2以及下文)。步驟112,在查找防火墻的規(guī)則過(guò)濾表并進(jìn)行規(guī)則的匹配過(guò)程中,根據(jù)匹配策略的結(jié)果處理報(bào)文,即若策略結(jié)果是轉(zhuǎn)發(fā)則轉(zhuǎn)發(fā)所述報(bào)文;若策略結(jié)果是丟棄則丟棄所述報(bào)文。步驟114,由于在會(huì)話鏈表中搜索到了所述會(huì)話,在搜索到相應(yīng)的會(huì)話時(shí)檢查所述會(huì)話是否設(shè)置了會(huì)話屬性,若所述會(huì)話沒(méi)有設(shè)置所述會(huì)話屬性則執(zhí)行步驟110,說(shuō)明是老化時(shí)間到了,所述會(huì)話的會(huì)話屬性已經(jīng)被清除,需要重新學(xué)習(xí);若所述會(huì)話設(shè)置了所述會(huì)話屬性則執(zhí)行步驟130進(jìn)行會(huì)話加速處理(所述具體的會(huì)話加速處理步驟請(qǐng)參考附圖3以及下文);所述會(huì)話屬性包括優(yōu)先級(jí)屬性和策略屬性;所述策略屬性是防火墻的規(guī)則過(guò)濾表中匹配策略的執(zhí)行結(jié)果,即轉(zhuǎn)發(fā)報(bào)文或丟棄報(bào)文。如圖2所示的是圖1中步驟120即會(huì)話學(xué)習(xí)處理步驟的詳細(xì)流程圖;其中,步驟120包括以下具體步驟:步驟122,在查詢規(guī)則過(guò)濾表并進(jìn)行規(guī)則的匹配過(guò)程中進(jìn)入會(huì)話學(xué)習(xí)處理。步驟124,根據(jù)查詢到會(huì)話的規(guī)則優(yōu)先級(jí)將會(huì)話加入到會(huì)話鏈表的適當(dāng)位置。步驟126,根據(jù)所述規(guī)則優(yōu)先級(jí)設(shè)置所述會(huì)話的優(yōu)先級(jí)屬性。步驟128,根據(jù)規(guī)則過(guò)濾表的規(guī)則匹配策略執(zhí)行結(jié)果設(shè)置會(huì)話的策略屬性,所述規(guī)則匹配策略執(zhí)行結(jié)果即是轉(zhuǎn)發(fā)報(bào)文還是丟棄報(bào)文。會(huì)話學(xué)習(xí)處理是按優(yōu)先級(jí)對(duì)session (會(huì)話)進(jìn)行排序,規(guī)則過(guò)濾表中同一個(gè)規(guī)則學(xué)習(xí)的session (會(huì)話)優(yōu)先級(jí)相同。如圖3所示的是圖1中步驟130即會(huì)話加速處理步驟的詳細(xì)流程圖;其中,步驟130包括以下具體步驟:步驟132,經(jīng)過(guò)檢查所述會(huì)話設(shè)置了會(huì)話屬性則進(jìn)入會(huì)話加速處理。步驟134,刷新所述會(huì)話的老化時(shí)間,即老化時(shí)間重新開(kāi)始記時(shí)。步驟136,根據(jù)已經(jīng)設(shè)置的優(yōu)先級(jí)從高到低查詢并匹配所述會(huì)話,匹配了所述會(huì)話后即可確定所述會(huì)話的策略屬性,所述策略屬性是防火墻的規(guī)則過(guò)濾表中匹配策略的執(zhí)行結(jié)果,即轉(zhuǎn)發(fā)報(bào)文或丟棄報(bào)文。步驟138,根據(jù)策略屬性即可確定是轉(zhuǎn)發(fā)報(bào)文還是丟棄報(bào)文。如圖4所示的是依據(jù)本發(fā)明一較佳實(shí)施例的一種提升防火墻處理性能的裝置的示意圖;其中,所述裝置400包括:會(huì)話搜索處理模塊401,用于當(dāng)接收到一個(gè)報(bào)文時(shí)在會(huì)話鏈表中進(jìn)行會(huì)話搜索處理;用于在未搜索到相應(yīng)的會(huì)話時(shí)為所述報(bào)文創(chuàng)建會(huì)話;檢查模塊403,用于在會(huì)話搜索處理模塊401搜索到相應(yīng)的會(huì)話時(shí)檢查所述會(huì)話是否設(shè)置了會(huì)話屬性;會(huì)話加速處理模塊404,用于對(duì)已經(jīng)設(shè)置了會(huì)話屬性的會(huì)話進(jìn)行會(huì)話加速處理;會(huì)話學(xué)習(xí)處理模塊402,用于對(duì)未設(shè)置會(huì)話屬性的會(huì)話直接查找規(guī)則過(guò)濾表的同時(shí)進(jìn)行會(huì)話學(xué)習(xí)處理;用于在會(huì)話搜索處理模塊未搜索到相應(yīng)的會(huì)話時(shí),查找規(guī)則過(guò)濾表并進(jìn)行會(huì)話學(xué)習(xí)處理。當(dāng)所述裝置400接收到到達(dá)防火墻的報(bào)文時(shí),會(huì)話搜索處理模塊401在會(huì)話鏈表中進(jìn)行會(huì)話搜索處理,所述會(huì)話鏈表由系統(tǒng)創(chuàng)建,所述會(huì)話搜索處理主要是根據(jù)五元組信息進(jìn)行會(huì)話的匹配查詢;在未搜索到相應(yīng)的會(huì)話時(shí)由所述會(huì)話搜索處理模塊401為所述報(bào)文創(chuàng)建會(huì)話,然后查找規(guī)則過(guò)濾表并同時(shí)通過(guò)所述會(huì)話學(xué)習(xí)處理模塊402進(jìn)行會(huì)話學(xué)習(xí)處理,所述會(huì)話搜索處理模塊401在創(chuàng)建會(huì)話時(shí)設(shè)置所述會(huì)話的老化時(shí)間;所述會(huì)話學(xué)習(xí)處理模塊402根據(jù)查詢到會(huì)話的規(guī)則優(yōu)先級(jí)將會(huì)話加入到會(huì)話鏈表的適當(dāng)位置,根據(jù)所述規(guī)則優(yōu)先級(jí)設(shè)置所述會(huì)話的優(yōu)先級(jí)屬性,根據(jù)規(guī)則過(guò)濾表的規(guī)則匹配策略執(zhí)行結(jié)果設(shè)置會(huì)話的策略屬性,所述規(guī)則匹配策略執(zhí)行結(jié)果即是轉(zhuǎn)發(fā)報(bào)文還是丟棄報(bào)文;所述會(huì)話學(xué)習(xí)處理模塊402是按優(yōu)先級(jí)對(duì)session(會(huì)話)進(jìn)行排序,規(guī)則過(guò)濾表中同一個(gè)規(guī)則學(xué)習(xí)的session (會(huì)話)優(yōu)先級(jí)相同。當(dāng)所述會(huì)話搜索處理模塊401在會(huì)話鏈表中進(jìn)行會(huì)話搜索處理時(shí)搜索到了相應(yīng)的會(huì)話,則通過(guò)所述檢查模塊403檢查所述會(huì)話是否設(shè)置了會(huì)話屬性,所述會(huì)話屬性包括優(yōu)先級(jí)屬性和策略屬性;若未設(shè)置會(huì)話屬性,說(shuō)明是老化時(shí)間到了,所述會(huì)話的會(huì)話屬性已經(jīng)被清除,需要重新學(xué)習(xí),則在直接查找規(guī)則過(guò)濾表的同時(shí)通過(guò)所述會(huì)話學(xué)習(xí)處理模塊402進(jìn)行會(huì)話學(xué)習(xí)處理。若通過(guò)所述檢查模塊403檢查所述會(huì)話發(fā)現(xiàn)設(shè)置了會(huì)話屬性,則通過(guò)所述會(huì)話加速處理模塊404對(duì)報(bào)文進(jìn)行加速處理;所述會(huì)話加速處理模塊404刷新所述會(huì)話的老化時(shí)間,即老化時(shí)間重新開(kāi)始記時(shí);所述會(huì)話加速處理模塊404根據(jù)已經(jīng)設(shè)置的優(yōu)先級(jí)從高到低查詢并匹配所述會(huì)話,匹配了所述會(huì)話后即可確定所述會(huì)話的策略屬性,所述策略屬性是防火墻的規(guī)則過(guò)濾表中匹配策略的執(zhí)行結(jié)果,即轉(zhuǎn)發(fā)報(bào)文或丟棄報(bào)文;因此,所述會(huì)話加速處理模塊404根據(jù)所述策略屬性即可確定是轉(zhuǎn)發(fā)報(bào)文還是丟棄報(bào)文。當(dāng)用戶修改防火墻的規(guī)則過(guò)濾表時(shí),由防火墻系統(tǒng)清除所述已經(jīng)設(shè)置的會(huì)話屬性,這樣,所述裝置400就可以根據(jù)新修改配置的防火墻規(guī)則過(guò)濾表進(jìn)行處理。
可以看出,本發(fā)明的實(shí)施例通過(guò)學(xué)習(xí)防火墻規(guī)則過(guò)濾表進(jìn)行加速匹配處理,不僅規(guī)避了重復(fù)查詢、創(chuàng)建和刪除session (會(huì)話)的步驟,而且節(jié)省了查詢規(guī)則過(guò)濾表的時(shí)間,從而提高了防火墻的數(shù)據(jù)包匹配效率,提升了防火墻的轉(zhuǎn)發(fā)處理性能。上述說(shuō)明示出并描述了本發(fā)明的優(yōu)選實(shí)施例,但如前所述,應(yīng)當(dāng)理解本發(fā)明并非局限于本文所披露的形式,不應(yīng)看作是對(duì)其他實(shí)施例的排除,而可用于各種其他組合、修改和環(huán)境,并能夠在本文所述發(fā)明構(gòu)想范圍內(nèi),通過(guò)上述教導(dǎo)或相關(guān)領(lǐng)域的技術(shù)或知識(shí)進(jìn)行改動(dòng)。而本領(lǐng)域人員所進(jìn)行的改動(dòng)和變化不脫離本發(fā)明的精神和范圍,則都應(yīng)在本發(fā)明所附權(quán)利要求的保護(hù)范圍內(nèi)。
權(quán)利要求
1.一種提升防火墻處理性能的方法,其特征在于,包括以下步驟: 當(dāng)接收到一個(gè)報(bào)文時(shí),在會(huì)話鏈表中進(jìn)行會(huì)話搜索處理; 在搜索到相應(yīng)的會(huì)話時(shí)檢查所述會(huì)話是否設(shè)置了會(huì)話屬性,若已經(jīng)設(shè)置則進(jìn)行會(huì)話加速處理;若未設(shè)置則直接查找規(guī)則過(guò)濾表并同時(shí)進(jìn)行會(huì)話學(xué)習(xí)處理; 在未搜索到相應(yīng)的會(huì)話時(shí)為所述報(bào)文創(chuàng)建會(huì)話,然后查找規(guī)則過(guò)濾表并同時(shí)進(jìn)行會(huì)話學(xué)習(xí)處理。
2.根據(jù)權(quán)利要求1所述的提升防火墻處理性能的方法,其特征在于,所述會(huì)話屬性包括優(yōu)先級(jí)屬性和策略屬性。
3.根據(jù)權(quán)利要求2所述的提升防火墻處理性能的方法,其特征在于,所述策略屬性是防火墻的規(guī)則過(guò)濾表中匹配策略的執(zhí)行結(jié)果,即轉(zhuǎn)發(fā)報(bào)文或丟棄報(bào)文。
4.根據(jù)權(quán)利要求1所述的提升防火墻處理性能的方法,其特征在于,所述會(huì)話學(xué)習(xí)處理進(jìn)一步包括: 根據(jù)規(guī)則過(guò)濾表中的規(guī)則優(yōu)先級(jí)將所述會(huì)話加入到會(huì)話鏈表的相應(yīng)位置; 根據(jù)規(guī)則過(guò)濾表中的規(guī)則優(yōu)先級(jí)設(shè)置所述會(huì)話的優(yōu)先級(jí)屬性; 根據(jù)規(guī)則過(guò)濾表中的規(guī)則匹配策略的執(zhí)行結(jié)果設(shè)置所述會(huì)話的策略屬性。
5.根據(jù)權(quán)利要求1所述的提升防火墻處理性能的方法,其特征在于,所述會(huì)話加速處理進(jìn)一步包括: 刷新所述會(huì)話的老化時(shí)間; 根據(jù)所述會(huì)話的優(yōu)先級(jí)屬性從高到低查詢匹配會(huì)話; 根據(jù)所述會(huì)話的策略屬性轉(zhuǎn)發(fā)或丟棄所述會(huì)話。
6.一種提升防火墻處理性能的裝置,其特征在于,包括: 會(huì)話搜索處理模塊,用于當(dāng)接收到一個(gè)報(bào)文時(shí)在會(huì)話鏈表中進(jìn)行會(huì)話搜索處理;用于在未搜索到相應(yīng)的會(huì)話時(shí)為所述報(bào)文創(chuàng)建會(huì)話; 檢查模塊,用于在會(huì)話搜索處理模塊搜索到相應(yīng)的會(huì)話時(shí)檢查所述會(huì)話是否設(shè)置了會(huì)話屬性; 會(huì)話加速處理模塊,用于對(duì)已經(jīng)設(shè)置了會(huì)話屬性的會(huì)話進(jìn)行會(huì)話加速處理; 會(huì)話學(xué)習(xí)處理模塊,用于對(duì)未設(shè)置會(huì)話屬性的會(huì)話直接查找規(guī)則過(guò)濾表的同時(shí)進(jìn)行會(huì)話學(xué)習(xí)處理;用于在會(huì)話搜索處理模塊未搜索到相應(yīng)的會(huì)話時(shí),查找規(guī)則過(guò)濾表并進(jìn)行會(huì)話學(xué)習(xí)處理。
7.根據(jù)權(quán)利要求6所述的提升防火墻處理性能的裝置,其特征在于,所述會(huì)話屬性包括優(yōu)先級(jí)屬性和策略屬性。
8.根據(jù)權(quán)利要求7所述的提升防火墻處理性能的裝置,其特征在于,所述策略屬性是防火墻的規(guī)則過(guò)濾表中匹配策略的執(zhí)行結(jié)果,即轉(zhuǎn)發(fā)報(bào)文或丟棄報(bào)文。
9.根據(jù)權(quán)利要求6所述的提升防火墻處理性能的裝置,其特征在于,所述會(huì)話搜索處理模塊在創(chuàng)建會(huì)話時(shí)設(shè)置所述會(huì)話的老化時(shí)間。
10.根據(jù)權(quán)利要求6所述的提升防火墻處理性能的裝置,其特征在于,當(dāng)用戶修改防火墻的規(guī)則過(guò)濾表時(shí),由防火墻系統(tǒng)清除所述已經(jīng)設(shè)置的會(huì)話屬性。
全文摘要
本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域,公開(kāi)了一種提升防火墻處理性能的方法,所述方法包括以下步驟當(dāng)接收到一個(gè)報(bào)文時(shí),在會(huì)話鏈表中進(jìn)行會(huì)話搜索處理;在搜索到相應(yīng)的會(huì)話時(shí)檢查所述會(huì)話是否設(shè)置了會(huì)話屬性,若已經(jīng)設(shè)置則進(jìn)行會(huì)話加速處理;若未設(shè)置則直接查找規(guī)則過(guò)濾表并同時(shí)進(jìn)行會(huì)話學(xué)習(xí)處理;在未搜索到相應(yīng)的會(huì)話時(shí)為所述報(bào)文創(chuàng)建會(huì)話,然后查找規(guī)則過(guò)濾表并同時(shí)進(jìn)行會(huì)話學(xué)習(xí)處理。本發(fā)明還同時(shí)公開(kāi)了一種提升防火墻處理性能的裝置,通過(guò)本發(fā)明公開(kāi)的提升防火墻處理性能的方法和裝置節(jié)省了查詢規(guī)則過(guò)濾表的時(shí)間,提升了防火墻的處理性能。
文檔編號(hào)H04L29/06GK103095665SQ20111034826
公開(kāi)日2013年5月8日 申請(qǐng)日期2011年11月7日 優(yōu)先權(quán)日2011年11月7日
發(fā)明者劉成天 申請(qǐng)人:中興通訊股份有限公司