專利名稱:一種網(wǎng)絡(luò)設(shè)備及其轉(zhuǎn)發(fā)數(shù)據(jù)流的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及互聯(lián)網(wǎng)技術(shù)��,尤其涉及一種網(wǎng)絡(luò)設(shè)備及其轉(zhuǎn)發(fā)數(shù)據(jù)流的方法�。
背景技術(shù):
互聯(lián)網(wǎng)日益豐富,承載的內(nèi)容越來越復(fù)雜��,針對(duì)網(wǎng)絡(luò)流量進(jìn)行分析管理的網(wǎng)絡(luò)設(shè)備也逐漸普及���。目前�����,通過網(wǎng)絡(luò)設(shè)備實(shí)現(xiàn)網(wǎng)絡(luò)流量轉(zhuǎn)發(fā)的過程包括首先���,通過網(wǎng)卡接收數(shù)據(jù)包����,再經(jīng)由系統(tǒng)協(xié)議族處理后傳輸?shù)竭_(dá)邏輯功能模塊�,邏輯功能模塊中對(duì)所述數(shù)據(jù)包進(jìn)行邏輯功能處理(如路由處理���、防火墻處理����、或入侵檢測等)����,會(huì)得到功能結(jié)論,根據(jù)所述功能結(jié)論判斷可以繼續(xù)發(fā)送���,則再將所述數(shù)據(jù)包經(jīng)由系統(tǒng)協(xié)議族的處理傳送出去����,從而完成數(shù)據(jù)包的轉(zhuǎn)發(fā)�����。由此可以看出,復(fù)雜的協(xié)議族處理邏輯和復(fù)雜的邏輯功能都將會(huì)極大程度的影響 網(wǎng)絡(luò)設(shè)備的整體轉(zhuǎn)發(fā)性能����。
發(fā)明內(nèi)容
有鑒于此,本發(fā)明的主要目的在于提供一種網(wǎng)絡(luò)設(shè)備及其轉(zhuǎn)發(fā)數(shù)據(jù)流的方法�����,能夠簡化網(wǎng)絡(luò)設(shè)備轉(zhuǎn)發(fā)數(shù)據(jù)流的處理流程�����,從而提升網(wǎng)絡(luò)設(shè)備的轉(zhuǎn)發(fā)性能�����。為達(dá)到上述目的�,本發(fā)明的技術(shù)方案是這樣實(shí)現(xiàn)的本發(fā)明提供了一種網(wǎng)絡(luò)設(shè)備轉(zhuǎn)發(fā)數(shù)據(jù)流的方法,所述方法包括根據(jù)已記錄的邏輯功能信息�����,判斷是否需要對(duì)當(dāng)前數(shù)據(jù)流的當(dāng)前數(shù)據(jù)包進(jìn)行邏輯功能處理��;如果不需要,則根據(jù)已記錄的當(dāng)前數(shù)據(jù)流的邏輯功能信息�,將所述數(shù)據(jù)包直接發(fā)送出去;如果需要����,則對(duì)所述數(shù)據(jù)包進(jìn)行邏輯功能處理后發(fā)送出去。在上述方案中����,所述對(duì)所述數(shù)據(jù)包進(jìn)行邏輯功能處理后發(fā)送出去�,包括使用系統(tǒng)協(xié)議棧將所述數(shù)據(jù)包傳送給邏輯功能模塊;邏輯功能模塊對(duì)所述數(shù)據(jù)包進(jìn)行邏輯功能處理�,得到所述數(shù)據(jù)包的邏輯功能信息;根據(jù)所述數(shù)據(jù)包的邏輯功能信息����,使用系統(tǒng)協(xié)議棧將所述數(shù)據(jù)包傳送出去。在上述方案中�����,所述得到所述數(shù)據(jù)包的邏輯功能信息后�,所述方法還包括記錄所述數(shù)據(jù)包的邏輯功能信息。在上述方案中�����,所述方法還包括預(yù)先定義轉(zhuǎn)發(fā)策略;所述根據(jù)已記錄的邏輯功能信息��,判斷是否需要對(duì)當(dāng)前數(shù)據(jù)流的當(dāng)前數(shù)據(jù)包進(jìn)行邏輯功能處理�����,包括查詢與當(dāng)前數(shù)據(jù)流對(duì)應(yīng)的轉(zhuǎn)發(fā)策略�,根據(jù)當(dāng)前數(shù)據(jù)流對(duì)應(yīng)的轉(zhuǎn)發(fā)策略、以及已記錄的當(dāng)前數(shù)據(jù)流的邏輯功能信息��,判斷是否對(duì)當(dāng)前接收到的數(shù)據(jù)包進(jìn)行邏輯功能處理���。在上述方案中�����,所述邏輯功能處理為路由功能處理�、深度包檢測DPI處理����、網(wǎng)絡(luò)地址轉(zhuǎn)換NAT處理、入侵檢測����、防火墻功能處理���、或內(nèi)容審計(jì)處理;所述邏輯功能信息為路由信息�、DPI識(shí)別信息、NAT信息��、入侵檢測結(jié)果���、防火墻功能處理結(jié)果�����、或內(nèi)容審計(jì)結(jié)果。本發(fā)明還提供了一種網(wǎng)絡(luò)設(shè)備��,所述網(wǎng)絡(luò)設(shè)備包括判斷模塊��、發(fā)送模塊���、邏輯功能模塊和協(xié)議棧處理模塊��;其中�,判斷模塊,用于根據(jù)已記錄的邏輯功能信息�,判斷是否需要對(duì)當(dāng)前數(shù)據(jù)流的當(dāng)前數(shù)據(jù)包進(jìn)行邏輯功能處理,不是則通知所述發(fā)送模塊�,是則通知所述協(xié)議棧處理模塊;發(fā)送模塊����,用于在接收到所述判斷模塊的通知時(shí),根據(jù)已記錄的當(dāng)前數(shù)據(jù)流的邏輯功能信息����,將所述數(shù)據(jù)包直接發(fā)送出去;協(xié)議棧處理模塊�,用于在所述判斷模塊的通知時(shí),將所述數(shù)據(jù)包傳送給所述邏輯功能1吳塊����; 邏輯功能模塊,用于對(duì)所述數(shù)據(jù)包進(jìn)行邏輯功能處理后通過所述協(xié)議棧處理模塊發(fā)送出去����。在上述方案中,所述邏輯功能模塊��,用于對(duì)所述數(shù)據(jù)包進(jìn)行邏輯功能處理�,得到所述數(shù)據(jù)包的邏輯功能信息�;所述協(xié)議棧處理模塊�����,用于在所述判斷模塊的通知時(shí)���,將所述數(shù)據(jù)包傳送給所述邏輯功能模塊�;在所述邏輯功能模塊對(duì)數(shù)據(jù)包進(jìn)行邏輯功能處理后��,根據(jù)所述數(shù)據(jù)包的邏輯功能信息���,使用系統(tǒng)協(xié)議棧將所述數(shù)據(jù)包傳送出去���。在上述方案中,所述網(wǎng)絡(luò)設(shè)備還包括記錄模塊���,用于記錄當(dāng)前數(shù)據(jù)流各數(shù)據(jù)包的邏輯功能信息;所述邏輯功能模塊��,還用于在得到所述數(shù)據(jù)包的邏輯功能信息后���,將所述數(shù)據(jù)包的邏輯功能信息發(fā)送給所述記錄模塊�;發(fā)送模塊,用于在接收到所述判斷模塊的通知時(shí)��,根據(jù)所述記錄模塊已記錄的當(dāng)前數(shù)據(jù)流的邏輯功能信息�����,將所述數(shù)據(jù)包直接發(fā)送出去���。在上述方案中�����,所述判斷模塊�����,用于預(yù)先定義轉(zhuǎn)發(fā)策略���;查詢與當(dāng)前數(shù)據(jù)流對(duì)應(yīng)的轉(zhuǎn)發(fā)策略,根據(jù)當(dāng)前數(shù)據(jù)流對(duì)應(yīng)的轉(zhuǎn)發(fā)策略����、以及已記錄的當(dāng)前數(shù)據(jù)流的邏輯功能信息,判斷是否對(duì)當(dāng)前接收到的數(shù)據(jù)包進(jìn)行邏輯功能處理���。在上述方案中�����,所述邏輯功能模塊進(jìn)行的邏輯功能處理�,為路由功能處理、深度包檢測DPI處理��、網(wǎng)絡(luò)地址轉(zhuǎn)換NAT處理��、入侵檢測����、防火墻功能處理、或內(nèi)容審計(jì)處理�;所述邏輯功能信息為路由信息、DPI識(shí)別信息�����、NAT信息�����、入侵檢測結(jié)果��、防火墻功能處理結(jié)果��、或內(nèi)容審計(jì)結(jié)果���。本發(fā)明的網(wǎng)絡(luò)設(shè)備及其轉(zhuǎn)發(fā)數(shù)據(jù)流的方法�,根據(jù)已記錄的邏輯功能信息判斷是否需要進(jìn)行邏輯功能處理��,并在不需要進(jìn)行邏輯功能處理時(shí)直接將當(dāng)前的數(shù)據(jù)包發(fā)送出去���,從而提高了網(wǎng)絡(luò)設(shè)備的轉(zhuǎn)發(fā)性能和吞吐量�,同時(shí)其性能也不再受具體邏輯功能復(fù)雜度的影響��。
圖I為本發(fā)明網(wǎng)絡(luò)設(shè)備轉(zhuǎn)發(fā)數(shù)據(jù)流的方法的流程示意圖�����;圖2為本發(fā)明實(shí)施例一網(wǎng)絡(luò)設(shè)備的組成結(jié)構(gòu)示意圖3為本發(fā)明實(shí)施例一網(wǎng)絡(luò)設(shè)備轉(zhuǎn)發(fā)數(shù)據(jù)流的流程示意圖�����;圖4為本發(fā)明實(shí)施例二網(wǎng)絡(luò)設(shè)備轉(zhuǎn)發(fā)數(shù)據(jù)流的流程示意圖����;圖5為本發(fā)明實(shí)施例三網(wǎng)絡(luò)設(shè)備轉(zhuǎn)發(fā)數(shù)據(jù)流的流程示意圖����;圖6為本發(fā)明實(shí)施例四網(wǎng)絡(luò)設(shè)備轉(zhuǎn)發(fā)數(shù)據(jù)流的流程示意圖�;圖7為本發(fā)明實(shí)施例五網(wǎng)絡(luò)設(shè)備轉(zhuǎn)發(fā)數(shù)據(jù)流的流程示意圖。
具體實(shí)施例方式如圖I所示��,本發(fā)明一種網(wǎng)絡(luò)設(shè)備轉(zhuǎn)發(fā)數(shù)據(jù)流的方法可以包括步驟101 :根據(jù)已記錄的邏輯功能信息���,判斷是否需要對(duì)當(dāng)前數(shù)據(jù)流的當(dāng) 前數(shù)據(jù)包進(jìn)行邏輯功能處理��,如果不需要�����,則繼續(xù)步驟102 ;如果需要�,則繼續(xù)步驟103 ��;步驟102 :根據(jù)已記錄的當(dāng)前數(shù)據(jù)流的邏輯功能信息�����,將所述數(shù)據(jù)包直接發(fā)送出去;步驟103 :對(duì)所述數(shù)據(jù)包進(jìn)行邏輯功能處理后發(fā)送出去�����。這里��,所述對(duì)所述數(shù)據(jù)包進(jìn)行邏輯功能處理后發(fā)送出去�,可以包括使用系統(tǒng)協(xié)議棧將所述數(shù)據(jù)包傳送給邏輯功能模塊;邏輯功能模塊對(duì)所述數(shù)據(jù)包進(jìn)行邏輯功能處理�,得到所述數(shù)據(jù)包的邏輯功能信息;根據(jù)所述數(shù)據(jù)包的邏輯功能信息����,使用系統(tǒng)協(xié)議棧將所述數(shù)據(jù)包傳送出去。其中�����,所述得到所述數(shù)據(jù)包的邏輯功能信息后�����,所述方法還包括記錄所述數(shù)據(jù)包的邏輯功能信息�����。這里�����,所述方法還包括預(yù)先定義轉(zhuǎn)發(fā)策略;所述根據(jù)已記錄的邏輯功能信息����,判斷是否需要對(duì)當(dāng)前數(shù)據(jù)流的當(dāng)前數(shù)據(jù)包進(jìn)行邏輯功能處理,包括查詢與當(dāng)前數(shù)據(jù)流對(duì)應(yīng)的轉(zhuǎn)發(fā)策略�����,根據(jù)當(dāng)前數(shù)據(jù)流對(duì)應(yīng)的轉(zhuǎn)發(fā)策略�、以及已記錄的當(dāng)前數(shù)據(jù)流的邏輯功能信息,判斷是否對(duì)當(dāng)前接收到的數(shù)據(jù)包進(jìn)行邏輯功能處理���。相應(yīng)的�,本發(fā)明還提供了一種網(wǎng)絡(luò)設(shè)備��,所述網(wǎng)絡(luò)設(shè)備包括判斷模塊����、發(fā)送模塊、邏輯功能模塊和協(xié)議棧處理模塊��;其中����,判斷模塊�����,用于根據(jù)已記錄的邏輯功能信息,判斷是否需要對(duì)當(dāng)前數(shù)據(jù)流的當(dāng)前數(shù)據(jù)包進(jìn)行邏輯功能處理�����,不是則通知所述發(fā)送模塊�,是則通知所述協(xié)議棧處理模塊;發(fā)送模塊����,用于在接收到所述判斷模塊的通知時(shí),根據(jù)已記錄的當(dāng)前數(shù)據(jù)流的邏輯功能信息�����,將所述數(shù)據(jù)包直接發(fā)送出去����;協(xié)議棧處理模塊,用于在所述判斷模塊的通知時(shí)�����,將所述數(shù)據(jù)包傳送給所述邏輯功能模塊;邏輯功能模塊���,用于對(duì)所述數(shù)據(jù)包進(jìn)行邏輯功能處理后通過所述協(xié)議棧處理模塊發(fā)送出去�。具體地����,所述邏輯功能模塊,用于對(duì)所述數(shù)據(jù)包進(jìn)行邏輯功能處理�����,得到所述數(shù)據(jù)包的邏輯功能信息��;所述協(xié)議棧處理模塊�����,用于在所述判斷模塊的通知時(shí)�,將所述數(shù)據(jù)包傳送給所述邏輯功能模塊;在所述邏輯功能模塊對(duì)數(shù)據(jù)包進(jìn)行邏輯功能處理后�,根據(jù)所述數(shù)據(jù)包的邏輯功能信息,使用系統(tǒng)協(xié)議棧將所述數(shù)據(jù)包傳送出去�。這里��,所述網(wǎng)絡(luò)設(shè)備還包括記錄模塊��,用于記錄當(dāng)前數(shù)據(jù)流各數(shù)據(jù)包的邏輯功能信息�����;所述邏輯功能模塊���,還用于在得到所述數(shù)據(jù)包的邏輯功能信息后����,將所述數(shù)據(jù)包的邏輯功能信息發(fā)送給所述記錄模塊;發(fā)送模塊�,用于在接收到所述判斷模塊的通知時(shí),根據(jù)所述記錄模塊已記錄的當(dāng)前數(shù)據(jù)流的邏輯功能信息�����,將所述數(shù)據(jù)包直接發(fā)送出去�。具體地,所述判斷模塊���,用于預(yù)先定義轉(zhuǎn)發(fā)策略��;查詢與當(dāng)前數(shù)據(jù)流對(duì)應(yīng)的轉(zhuǎn)發(fā)策略�����,根據(jù)當(dāng)前數(shù)據(jù)流對(duì)應(yīng)的轉(zhuǎn)發(fā)策略�����、以及已記錄的當(dāng)前數(shù)據(jù)流的邏輯功能信息���,判斷是否對(duì)當(dāng)前接收到的數(shù)據(jù)包進(jìn)行邏輯功能處理��。實(shí)施例一本實(shí)施例��,以路由為例���,詳細(xì)說明本發(fā)明的網(wǎng)絡(luò)設(shè)備轉(zhuǎn)發(fā)數(shù)據(jù)流的過程。本實(shí)施例中���,網(wǎng)絡(luò)設(shè)備的組成結(jié)構(gòu)如圖2所示�,主要可以包括接收模塊�����、判斷模塊、邏輯功能模塊�����、記錄模塊�����、協(xié)議棧處理模塊�����、發(fā)送模塊�����;其中��,接收模塊用于接收需轉(zhuǎn)發(fā)的數(shù)據(jù)流����;判斷模塊�,用于根據(jù)所述記錄模塊中已記錄的所述數(shù)據(jù)流的路由信息,判斷所述接收模塊當(dāng)前接收到的數(shù)據(jù)包是否需要進(jìn)行路由功能處理�����,是則通知所述協(xié)議棧處理模塊,使用系統(tǒng)協(xié)議棧將所述接收模塊當(dāng)前接收到的數(shù)據(jù)包傳送給所述邏輯功能模塊��,否則通知發(fā)送模塊����,由所述發(fā)送模塊根據(jù)所述記錄模塊中已記錄的所述數(shù)據(jù)流的路由信息直接將所述數(shù)據(jù)包發(fā)送出去;邏輯功能模塊���,用于對(duì)所述協(xié)議棧處理模塊傳送過來的數(shù)據(jù)包進(jìn)行路由功能處理���,得到所述數(shù)據(jù)包的路由信息;記錄模塊用于對(duì)記錄所述邏輯功能模塊得到的所述數(shù)據(jù)包的路由信息����;協(xié)議棧處理模塊還用于在所述邏輯功能模塊得到所述數(shù)據(jù)包的路由信息后,根據(jù)所述數(shù)據(jù)包的路由信息���,使用系統(tǒng)協(xié)議棧將所述邏輯功能模塊處理后 的數(shù)據(jù)包傳送出去��。如圖3所示���,本實(shí)施例中�����,網(wǎng)絡(luò)設(shè)備轉(zhuǎn)發(fā)數(shù)據(jù)流的具體流程可以包括步驟301 :接收需轉(zhuǎn)發(fā)的數(shù)據(jù)流����;步驟302 :根據(jù)已記錄所述數(shù)據(jù)流的路由信息�,判斷是否對(duì)當(dāng)前接收的數(shù)據(jù)包進(jìn)行路由功能處理,如果否�����,則繼續(xù)步驟307 ;如果是����,則繼續(xù)步驟303 ;實(shí)際應(yīng)用中�,可以預(yù)先定義轉(zhuǎn)發(fā)策略�,在判斷當(dāng)前數(shù)據(jù)包是否需要進(jìn)行路由功能處理時(shí),首先查詢到與當(dāng)前數(shù)據(jù)流對(duì)應(yīng)的轉(zhuǎn)發(fā)策略��,再根據(jù)當(dāng)前數(shù)據(jù)流對(duì)應(yīng)的轉(zhuǎn)發(fā)策略��、以及已記錄的路由信息��,判斷是否對(duì)當(dāng)前接收到的數(shù)據(jù)包進(jìn)行路由功能處理。如果所述當(dāng)前數(shù)據(jù)流對(duì)應(yīng)的轉(zhuǎn)發(fā)策略允許僅對(duì)指定的數(shù)據(jù)包進(jìn)行路由功能處理�,則判斷當(dāng)前接收到的數(shù)據(jù)包是否為所述指定的數(shù)據(jù)包,并判斷當(dāng)前是否記錄了該數(shù)據(jù)流的路由信息�,如果當(dāng)前接收到的數(shù)據(jù)包為所述指定的數(shù)據(jù)包或當(dāng)前未記錄該數(shù)據(jù)流的路由信息,則判斷需要對(duì)當(dāng)前接收的數(shù)據(jù)包進(jìn)行路由功能處理���;如果當(dāng)前接收到的數(shù)據(jù)包不是所述指定的數(shù)據(jù)包且當(dāng)前已記錄了該數(shù)據(jù)流的路由信息����,則判斷不需要對(duì)當(dāng)前接收的數(shù)據(jù)包進(jìn)行路由功能處理����。具體地,所述轉(zhuǎn)發(fā)策略可以是對(duì)一個(gè)數(shù)據(jù)流中各數(shù)據(jù)包進(jìn)行路由功能處理的策略���,例如����,在一個(gè)數(shù)據(jù)流中各數(shù)據(jù)包均需要進(jìn)行相同的路由功能處理時(shí)�,可以僅對(duì)某些指定的數(shù)據(jù)包進(jìn)行路由功能處理;或者��,在一個(gè)數(shù)據(jù)流各數(shù)據(jù)包均具有相同的路由信息時(shí),可以僅對(duì)某些指定的數(shù)據(jù)包進(jìn)行路由功能處理���。實(shí)際應(yīng)用中�����,可以根據(jù)數(shù)據(jù)流中各數(shù)據(jù)包的屬性信息判斷其各數(shù)據(jù)包是否具有相同的路由信息或是否需要進(jìn)行相同的路由功能處理�。步驟303 :使用系統(tǒng)協(xié)議棧對(duì)當(dāng)前接收到的數(shù)據(jù)包進(jìn)行傳輸處理���,傳送到邏輯功能豐旲塊;步驟304 :邏輯功能模塊對(duì)所述數(shù)據(jù)包進(jìn)行路由功能處理�,得到所述數(shù)據(jù)包的輸出端口以及下一跳地址等路由信息��,并且重寫鏈路層數(shù)據(jù)包頭���;步驟305 :記錄所述數(shù)據(jù)包的路由信息����;步驟306 :根據(jù)所述數(shù)據(jù)包的路由信息��,使用系統(tǒng)協(xié)議棧將所述數(shù)據(jù)包通過相應(yīng)的網(wǎng)口傳送出去�,結(jié)束當(dāng)前流程���。步驟307 :根據(jù)已記錄所述數(shù)據(jù)流的路由信息�����,直接將所述數(shù)據(jù)包轉(zhuǎn)發(fā)出去���,結(jié)束當(dāng)前流程���。實(shí)施例二本實(shí)施例,以深度包檢測(DPI�,Deep Packet Inspection)為例,詳細(xì)說明本發(fā)明的網(wǎng)絡(luò)設(shè)備轉(zhuǎn)發(fā)數(shù)據(jù)流的過程����。本實(shí)施例中,網(wǎng)絡(luò)設(shè)備的組成結(jié)構(gòu)與實(shí)施例一中相似�,所不同是的,本實(shí)施例中��,判斷模塊���,用于根據(jù)所述記錄模塊中已記錄的所述數(shù)據(jù)流的DPI識(shí)別信息�,判斷所述接收模塊當(dāng)前接收到的數(shù)據(jù)包是否需要進(jìn)行DPI處理�,是則通知所述協(xié)議棧處理模塊���,使用系統(tǒng)協(xié)議棧將所述接收模塊當(dāng)前接收到的數(shù)據(jù)包傳送給所述邏輯功能模塊,否則通知發(fā)送模塊����,由所述發(fā)送模塊根據(jù)所述數(shù)據(jù)包的DPI識(shí)別信息直接將所述接收模塊當(dāng)前接收到的數(shù)據(jù)包發(fā)送出去;邏輯功能模塊����,用于對(duì)所述協(xié)議棧處理模塊傳送過來的數(shù)據(jù)包進(jìn)行DPI處理,得到所述數(shù)據(jù)包的DPI識(shí)別信息����;記錄模塊用于對(duì)記錄所述邏輯功能模塊得到的所述數(shù)據(jù)包的DPI識(shí)別信息;協(xié)議棧處理模塊還用于在所述邏輯功能模塊得到所述數(shù)據(jù)包的 DPI識(shí)別信息后����,根據(jù)所述數(shù)據(jù)包的DPI識(shí)別信息�,使用系統(tǒng)協(xié)議棧將所述邏輯功能模塊處 理后的數(shù)據(jù)包傳送出去��。如圖4所示�����,本實(shí)施例中��,網(wǎng)絡(luò)設(shè)備轉(zhuǎn)發(fā)數(shù)據(jù)流的具體流程可以包括步驟401 :接收需轉(zhuǎn)發(fā)的數(shù)據(jù)流;步驟402 :根據(jù)已記錄所述數(shù)據(jù)流的DPI識(shí)別信息�����,判斷是否對(duì)當(dāng)前接收的數(shù)據(jù)包進(jìn)行DPI處理��,如果否�����,則繼續(xù)步驟407 ;如果是�����,則繼續(xù)步驟403 ���;實(shí)際應(yīng)用中,可以預(yù)先定義轉(zhuǎn)發(fā)策略���,在判斷當(dāng)前數(shù)據(jù)包是否需要進(jìn)行DPI處理時(shí)�,首先查詢到與當(dāng)前數(shù)據(jù)流對(duì)應(yīng)的轉(zhuǎn)發(fā)策略�,再根據(jù)當(dāng)前數(shù)據(jù)流對(duì)應(yīng)的轉(zhuǎn)發(fā)策略、以及已記錄的DPI識(shí)別信息��,判斷是否對(duì)當(dāng)前接收到的數(shù)據(jù)包進(jìn)行DPI處理。如果所述當(dāng)前數(shù)據(jù)流對(duì)應(yīng)的轉(zhuǎn)發(fā)策略允許僅對(duì)指定的數(shù)據(jù)包進(jìn)行DPI處理��,則判斷當(dāng)前接收到的數(shù)據(jù)包是否為所述指定的數(shù)據(jù)包����,并判斷當(dāng)前是否記錄了該數(shù)據(jù)流的DPI識(shí)別信息,如果當(dāng)前接收到的數(shù)據(jù)包為所述指定的數(shù)據(jù)包或當(dāng)前未記錄該數(shù)據(jù)流的DPI識(shí)別信息����,則判斷需要對(duì)當(dāng)前接收的數(shù)據(jù)包進(jìn)行DPI處理;如果當(dāng)前接收到的數(shù)據(jù)包不是所述指定的數(shù)據(jù)包且當(dāng)前已記錄了該數(shù)據(jù)流的DPI識(shí)別信息����,則判斷不需要對(duì)當(dāng)前接收的數(shù)據(jù)包進(jìn)行DPI處理。具體地�����,所述轉(zhuǎn)發(fā)策略可以是對(duì)一個(gè)數(shù)據(jù)流中各數(shù)據(jù)包進(jìn)行DPI處理的策略�����,例如���,在一個(gè)數(shù)據(jù)流中各數(shù)據(jù)包均需要進(jìn)行相同的DPI處理時(shí)��,可以僅對(duì)某些指定的數(shù)據(jù)包進(jìn)行DPI處理�;或者,在一個(gè)數(shù)據(jù)流各數(shù)據(jù)包均具有相同的DPI屬性時(shí)�,可以僅對(duì)某些指定的數(shù)據(jù)包進(jìn)行DPI處理。實(shí)際應(yīng)用中����,可以根據(jù)數(shù)據(jù)流中各數(shù)據(jù)包的DPI屬性判斷是否需要對(duì)其各數(shù)據(jù)包進(jìn)行相同的DPI處理���。步驟403 :使用系統(tǒng)協(xié)議棧對(duì)當(dāng)前接收到的數(shù)據(jù)包進(jìn)行傳輸處理���,傳送到邏輯功能豐旲塊;步驟404 :邏輯功能模塊對(duì)所述數(shù)據(jù)包進(jìn)行DPI處理,得到所述數(shù)據(jù)包的DPI識(shí)別
信息�;步驟405 :記錄所述數(shù)據(jù)包的DPI識(shí)別信息;步驟406 :根據(jù)所述數(shù)據(jù)包的DPI識(shí)別信息����,使用系統(tǒng)協(xié)議棧將所述數(shù)據(jù)包通過相應(yīng)的網(wǎng)口傳送出去,結(jié)束當(dāng)前流程���。步驟407 :根據(jù)已記錄所述數(shù)據(jù)流的DPI識(shí)別信息����,直接將所述數(shù)據(jù)包轉(zhuǎn)發(fā)出去,結(jié)束當(dāng)前流程����。這里,根據(jù)DPI識(shí)別信息將數(shù)據(jù)包發(fā)送出去或傳送出去�,包括如果所述DPI識(shí)別信息指示當(dāng)前數(shù)據(jù)包DPI已通過,則將所述數(shù)據(jù)包發(fā)送出去或傳送出去�����;如果所述DPI識(shí)別信息指示當(dāng)前數(shù)據(jù)包DPI未通過���,則不發(fā)送或傳送所述數(shù)據(jù)包����。實(shí)施例三本實(shí)施例�����,以網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT,Network Address Translation)為例��,詳細(xì)說明本發(fā)明的網(wǎng)絡(luò)設(shè)備轉(zhuǎn)發(fā)數(shù)據(jù)流的過程����。本實(shí)施例中����,網(wǎng)絡(luò)設(shè)備的組成結(jié)構(gòu)與實(shí)施例一中相似����,所不同是的,本實(shí)施例中�����,判斷模塊���,用于根據(jù)所述記錄模塊中已記錄的所述數(shù)據(jù)流的NAT信息,判斷所述接收模塊當(dāng)前接收到的數(shù)據(jù)包是否需要進(jìn)行NAT處理�,是則通知所述協(xié)議棧處理模塊,使用系統(tǒng)協(xié)議棧將所述接收模塊當(dāng)前接收到的數(shù)據(jù)包傳送給所述邏輯功能模塊��,否則通知發(fā)送模塊���,由所述發(fā)送模塊根據(jù)所述數(shù)據(jù)包的NAT信息直接將所述接收模塊當(dāng)前接收到的數(shù)據(jù)包發(fā) 送出去����;邏輯功能模塊,用于對(duì)所述協(xié)議棧處理模塊傳送過來的數(shù)據(jù)包進(jìn)行NAT處理�����,得到所述數(shù)據(jù)包的NAT信息�;記錄模塊用于對(duì)記錄所述邏輯功能模塊得到的所述數(shù)據(jù)包的NAT信息;協(xié)議棧處理模塊還用于在所述邏輯功能模塊得到所述數(shù)據(jù)包的NAT信息后��,根據(jù)所述數(shù)據(jù)包的NAT信息�,使用系統(tǒng)協(xié)議棧將所述邏輯功能模塊處理后的數(shù)據(jù)包傳送出去。如圖5所示�����,本實(shí)施例中��,網(wǎng)絡(luò)設(shè)備轉(zhuǎn)發(fā)數(shù)據(jù)流的具體流程可以包括步驟501 :接收需轉(zhuǎn)發(fā)的數(shù)據(jù)流�����;步驟502 :根據(jù)已記錄所述數(shù)據(jù)流的NAT信息��,判斷是否對(duì)當(dāng)前接收的數(shù)據(jù)包進(jìn)行NAT處理�����,如果否,則繼續(xù)步驟507 ;如果是���,則繼續(xù)步驟503 �;實(shí)際應(yīng)用中��,可以預(yù)先定義轉(zhuǎn)發(fā)策略����,在判斷當(dāng)前數(shù)據(jù)包是否需要進(jìn)行NAT處理時(shí),首先查詢到與當(dāng)前數(shù)據(jù)流對(duì)應(yīng)的轉(zhuǎn)發(fā)策略�,再根據(jù)當(dāng)前數(shù)據(jù)流對(duì)應(yīng)的轉(zhuǎn)發(fā)策略、以及已記錄的NAT信息���,判斷是否對(duì)當(dāng)前接收到的數(shù)據(jù)包進(jìn)行NAT處理�。如果所述當(dāng)前數(shù)據(jù)流對(duì)應(yīng)的轉(zhuǎn)發(fā)策略允許僅對(duì)指定的數(shù)據(jù)包進(jìn)行NAT處理�,則判斷當(dāng)前接收到的數(shù)據(jù)包是否為所述指定的數(shù)據(jù)包����,并判斷當(dāng)前是否記錄了該數(shù)據(jù)流的NAT信息,如果當(dāng)前接收到的數(shù)據(jù)包為所述指定的數(shù)據(jù)包或當(dāng)前未記錄該數(shù)據(jù)流的NAT信息��,則判斷需要對(duì)當(dāng)前接收的數(shù)據(jù)包進(jìn)行NAT處理����;如果當(dāng)前接收到的數(shù)據(jù)包不是所述指定的數(shù)據(jù)包且當(dāng)前已記錄了該數(shù)據(jù)流的NAT信息����,則判斷不需要對(duì)當(dāng)前接收的數(shù)據(jù)包進(jìn)行NAT處理�。具體地,所述轉(zhuǎn)發(fā)策略可以是對(duì)一個(gè)數(shù)據(jù)流中各數(shù)據(jù)包進(jìn)行NAT處理的策略�,例如,在一個(gè)數(shù)據(jù)流中各數(shù)據(jù)包均需要進(jìn)行相同的NAT處理時(shí)�����,可以僅對(duì)某些指定的數(shù)據(jù)包進(jìn)行NAT處理����;或者,在一個(gè)數(shù)據(jù)流各數(shù)據(jù)包均具有相同的NAT屬性時(shí)��,可以僅對(duì)某些指定的數(shù)據(jù)包進(jìn)行NAT處理����。實(shí)際應(yīng)用中,可以根據(jù)數(shù)據(jù)流中各數(shù)據(jù)包的NAT屬性判斷是否需要對(duì)其各數(shù)據(jù)包進(jìn)行相同的DPI處理����。步驟503 :使用系統(tǒng)協(xié)議棧對(duì)當(dāng)前接收到的數(shù)據(jù)包進(jìn)行傳輸處理���,傳送到邏輯功能豐旲塊;步驟504 :邏輯功能模塊對(duì)所述數(shù)據(jù)包進(jìn)行NAT處理,得到所述數(shù)據(jù)包的NAT信息�;這里,所述NAT處理是將數(shù)據(jù)包IP數(shù)據(jù)包頭中的IP地址轉(zhuǎn)換為另一個(gè)IP地址的過程���。數(shù)據(jù)包的NAT信息可以包括NAT處理前的IP地址�、和NAT處理后的IP地址��。
步驟505 :記錄所述數(shù)據(jù)包的NAT信息���;步驟506 :根據(jù)所述數(shù)據(jù)包的NAT信息���,使用系統(tǒng)協(xié)議棧將所述數(shù)據(jù)包通過相應(yīng)的網(wǎng)口傳送出去,結(jié)束當(dāng)前流程�。步驟507 :根據(jù)已記錄所述數(shù)據(jù)流的NAT信息,直接將所述數(shù)據(jù)包轉(zhuǎn)發(fā)出去��,結(jié)束當(dāng)前流程����。這里�����,根據(jù)NAT信息將數(shù)據(jù)包發(fā)送出去或傳送出去,具體為根據(jù)NAT處理后的IP地址��,將所述數(shù)據(jù)部發(fā)送出去或傳送出去���。實(shí)施例四本實(shí)施例����,以入侵檢測為例�,詳細(xì)說明本發(fā)明的網(wǎng)絡(luò)設(shè)備轉(zhuǎn)發(fā)數(shù)據(jù)流的過程。本實(shí)施例中�����,網(wǎng)絡(luò)設(shè)備的組成結(jié)構(gòu)與實(shí)施例一中相似�,所不同是的,本實(shí)施例中 �,判斷模塊,用于根據(jù)所述記錄模塊中已記錄的所述數(shù)據(jù)流的入侵檢測結(jié)果��,判斷所述接收模塊當(dāng)前接收到的數(shù)據(jù)包是否需要進(jìn)行入侵檢測�,是則通知所述協(xié)議棧處理模塊,使用系統(tǒng)協(xié)議棧將所述接收模塊當(dāng)前接收到的數(shù)據(jù)包傳送給所述邏輯功能模塊����,否則通知發(fā)送模塊���,由所述發(fā)送模塊根據(jù)所述數(shù)據(jù)包的入侵檢測結(jié)果直接將所述接收模塊當(dāng)前接收到的數(shù)據(jù)包發(fā)送出去;邏輯功能模塊����,用于對(duì)所述協(xié)議棧處理模塊傳送過來的數(shù)據(jù)包進(jìn)行入侵檢測,得到所述數(shù)據(jù)包的入侵檢測結(jié)果�;記錄模塊用于對(duì)記錄所述邏輯功能模塊得到的所述數(shù)據(jù)包的入侵檢測結(jié)果;協(xié)議棧處理模塊還用于在所述邏輯功能模塊得到所述數(shù)據(jù)包的入侵檢測結(jié)果后��,根據(jù)所述數(shù)據(jù)包的入侵檢測結(jié)果�,使用系統(tǒng)協(xié)議棧將所述邏輯功能模塊處理后的數(shù)據(jù)包傳送出去。如圖6所示����,本實(shí)施例中,網(wǎng)絡(luò)設(shè)備轉(zhuǎn)發(fā)數(shù)據(jù)流的具體流程可以包括步驟601 :接收需轉(zhuǎn)發(fā)的數(shù)據(jù)流����;步驟602 :根據(jù)已記錄所述數(shù)據(jù)流的入侵檢測結(jié)果,判斷是否對(duì)當(dāng)前接收的數(shù)據(jù)包進(jìn)行入侵檢測�,如果否,則繼續(xù)步驟607 ;如果是�,則繼續(xù)步驟603 ;實(shí)際應(yīng)用中���,可以預(yù)先定義轉(zhuǎn)發(fā)策略�����,在判斷當(dāng)前數(shù)據(jù)包是否需要進(jìn)行入侵檢測時(shí)���,首先查詢到與當(dāng)前數(shù)據(jù)流對(duì)應(yīng)的轉(zhuǎn)發(fā)策略,再根據(jù)當(dāng)前數(shù)據(jù)流對(duì)應(yīng)的轉(zhuǎn)發(fā)策略���、以及已記錄的入侵檢測結(jié)果��,判斷是否對(duì)當(dāng)前接收到的數(shù)據(jù)包進(jìn)行入侵檢測�。如果所述當(dāng)前數(shù)據(jù)流對(duì)應(yīng)的轉(zhuǎn)發(fā)策略允許僅對(duì)指定的數(shù)據(jù)包進(jìn)行入侵檢測���,則判斷當(dāng)前接收到的數(shù)據(jù)包是否為所述指定的數(shù)據(jù)包�����,并判斷當(dāng)前是否記錄了該數(shù)據(jù)流的入侵檢測結(jié)果���,如果當(dāng)前接收到的數(shù)據(jù)包為所述指定的數(shù)據(jù)包或當(dāng)前未記錄該數(shù)據(jù)流的入侵檢測結(jié)果����,則判斷需要對(duì)當(dāng)前接收的數(shù)據(jù)包進(jìn)行入侵檢測���;如果當(dāng)前接收到的數(shù)據(jù)包不是所述指定的數(shù)據(jù)包且當(dāng)前已記錄了該數(shù)據(jù)流的入侵檢測結(jié)果�����,則判斷不需要對(duì)當(dāng)前接收的數(shù)據(jù)包進(jìn)行入侵檢測��。具體地���,所述轉(zhuǎn)發(fā)策略可以是對(duì)一個(gè)數(shù)據(jù)流中各數(shù)據(jù)包進(jìn)行入侵檢測的策略,例如���,在一個(gè)數(shù)據(jù)流中各數(shù)據(jù)包均需要進(jìn)行相同的入侵檢測時(shí)�,可以僅對(duì)某些指定的數(shù)據(jù)包進(jìn)行入侵檢測�����;或者�,在一個(gè)數(shù)據(jù)流各數(shù)據(jù)包均具有相同的安全屬性時(shí),可以僅對(duì)某些指定的數(shù)據(jù)包進(jìn)行入侵檢測。實(shí)際應(yīng)用中�����,可以根據(jù)數(shù)據(jù)流中各數(shù)據(jù)包的安全屬性判斷是否需要對(duì)其各數(shù)據(jù)包進(jìn)行相同的入侵檢測��。步驟603 :使用系統(tǒng)協(xié)議棧對(duì)當(dāng)前接收到的數(shù)據(jù)包進(jìn)行傳輸處理���,傳送到邏輯功能豐旲塊;步驟604 :邏輯功能模塊對(duì)所述數(shù)據(jù)包進(jìn)行入侵檢測,得到所述數(shù)據(jù)包的入侵檢測結(jié)果�;這里,所述入侵檢測是對(duì)數(shù)據(jù)包是否安全進(jìn)行檢測的過程�����。數(shù)據(jù)包的入侵檢測結(jié)果可以包括指示所述數(shù)據(jù)包為安全信息的標(biāo)識(shí)或指示所述數(shù)據(jù)包為危險(xiǎn)信息的標(biāo)識(shí)等����。步驟605 :記錄所述數(shù)據(jù)包的入侵檢測結(jié)果;步驟606 :根據(jù)所述數(shù)據(jù)包的入侵檢測結(jié)果�����,使用系統(tǒng)協(xié)議棧將所述數(shù)據(jù)包通過相應(yīng)的網(wǎng)口傳送出去���,結(jié)束當(dāng)前流程�。步驟607 :根據(jù)已記錄所述數(shù)據(jù)流的入侵檢測結(jié)果,直接將所述數(shù)據(jù)包轉(zhuǎn)發(fā)出去�,結(jié)束當(dāng)前流程。這里�����,根據(jù)入侵檢測結(jié)果將數(shù)據(jù)包發(fā)送出去或傳送出去����,包括如果所述入侵檢測結(jié)果指示當(dāng)前數(shù)據(jù)包已通過入侵檢測(即該數(shù)據(jù)包屬安全信息),則將所述數(shù)據(jù)包發(fā)送出 去或傳送出去�����;如果所述入侵檢測結(jié)果指示當(dāng)前數(shù)據(jù)包未通過入侵檢測(即該數(shù)據(jù)包屬危險(xiǎn)信息)�����,則拒絕發(fā)送或傳送所述數(shù)據(jù)包��,也就是說過濾掉該數(shù)據(jù)包�。這里,對(duì)于防火墻功能���,基于防火墻功能處理結(jié)果判斷是否對(duì)當(dāng)前數(shù)據(jù)包進(jìn)行防火墻功能處理���,其轉(zhuǎn)發(fā)數(shù)據(jù)流的具體實(shí)現(xiàn)過程與上述的入侵檢測中轉(zhuǎn)發(fā)數(shù)據(jù)流的過程類似����,不再贅述���。實(shí)施例五本實(shí)施例,以內(nèi)容審計(jì)為例�,詳細(xì)說明本發(fā)明的網(wǎng)絡(luò)設(shè)備轉(zhuǎn)發(fā)數(shù)據(jù)流的過程。本實(shí)施例中����,網(wǎng)絡(luò)設(shè)備的組成結(jié)構(gòu)與實(shí)施例一中相似,所不同是的�����,本實(shí)施例中�,判斷模塊,用于根據(jù)所述記錄模塊中已記錄的所述數(shù)據(jù)流的內(nèi)容審計(jì)結(jié)果�����,判斷所述接收模塊當(dāng)前接收到的數(shù)據(jù)包是否需要進(jìn)行內(nèi)容審計(jì)處理,是則通知所述協(xié)議棧處理模塊�����,使用系統(tǒng)協(xié)議棧將所述接收模塊當(dāng)前接收到的數(shù)據(jù)包傳送給所述邏輯功能模塊���,否則通知發(fā)送模塊����,由所述發(fā)送模塊根據(jù)所述數(shù)據(jù)包的內(nèi)容審計(jì)結(jié)果直接將所述接收模塊當(dāng)前接收到的數(shù)據(jù)包發(fā)送出去�;邏輯功能模塊,用于對(duì)所述協(xié)議棧處理模塊傳送過來的數(shù)據(jù)包進(jìn)行內(nèi)容審計(jì)處理�,得到所述數(shù)據(jù)包的內(nèi)容審計(jì)結(jié)果;記錄模塊用于對(duì)記錄所述邏輯功能模塊得到的所述數(shù)據(jù)包的內(nèi)容審計(jì)結(jié)果�����;協(xié)議棧處理模塊還用于在所述邏輯功能模塊得到所述數(shù)據(jù)包的內(nèi)容審計(jì)結(jié)果后�,根據(jù)所述數(shù)據(jù)包的內(nèi)容審計(jì)結(jié)果,使用系統(tǒng)協(xié)議棧將所述邏輯功能模塊處理后的數(shù)據(jù)包傳送出去�����。如圖7所示��,本實(shí)施例中,網(wǎng)絡(luò)設(shè)備轉(zhuǎn)發(fā)數(shù)據(jù)流的具體流程可以包括步驟701 :接收需轉(zhuǎn)發(fā)的數(shù)據(jù)流�����;步驟702 :根據(jù)已記錄所述數(shù)據(jù)流的內(nèi)容審計(jì)結(jié)果���,判斷是否對(duì)當(dāng)前接收的數(shù)據(jù)包進(jìn)行內(nèi)容審計(jì)處理���,如果否,則繼續(xù)步驟707 ;如果是�����,則繼續(xù)步驟703 ���;實(shí)際應(yīng)用中,可以預(yù)先定義轉(zhuǎn)發(fā)策略��,在判斷當(dāng)前數(shù)據(jù)包是否需要進(jìn)行內(nèi)容審計(jì)處理時(shí)��,首先查詢到與當(dāng)前數(shù)據(jù)流對(duì)應(yīng)的轉(zhuǎn)發(fā)策略�,再根據(jù)當(dāng)前數(shù)據(jù)流對(duì)應(yīng)的轉(zhuǎn)發(fā)策略、以及已記錄的內(nèi)容審計(jì)結(jié)果�,判斷是否對(duì)當(dāng)前接收到的數(shù)據(jù)包進(jìn)行內(nèi)容審計(jì)處理���。如果所述當(dāng)前數(shù)據(jù)流對(duì)應(yīng)的轉(zhuǎn)發(fā)策略允許僅對(duì)指定的數(shù)據(jù)包進(jìn)行內(nèi)容審計(jì)處理,則判斷當(dāng)前接收到的數(shù)據(jù)包是否為所述指定的數(shù)據(jù)包��,并判斷當(dāng)前是否記錄了該數(shù)據(jù)流的內(nèi)容審計(jì)結(jié)果�����,如果當(dāng)前接收到的數(shù)據(jù)包為所述指定的數(shù)據(jù)包或當(dāng)前未記錄該數(shù)據(jù)流的內(nèi)容審計(jì)結(jié)果����,則判斷需要對(duì)當(dāng)前接收的數(shù)據(jù)包進(jìn)行內(nèi)容審計(jì)處理;如果當(dāng)前接收到的數(shù)據(jù)包不是所述指定的數(shù)據(jù)包且當(dāng)前已記錄了該數(shù)據(jù)流的內(nèi)容審計(jì)結(jié)果�,則判斷不需要對(duì)當(dāng)前接收的數(shù)據(jù)包進(jìn)行內(nèi)容審計(jì)處理。具體地�����,所述轉(zhuǎn)發(fā)策略可以是對(duì)一個(gè)數(shù)據(jù)流中各數(shù)據(jù)包進(jìn)行內(nèi)容審計(jì)的策略�,例如,在一個(gè)數(shù)據(jù)流中各數(shù)據(jù)包均需要進(jìn)行相同的內(nèi)容審計(jì)處理時(shí)���,可以僅對(duì)某些指定的數(shù)據(jù)包進(jìn)行內(nèi)容審計(jì)�;或者����,在一個(gè)數(shù)據(jù)流各數(shù)據(jù)包均具有相同內(nèi)容時(shí)�����,可以僅對(duì)某些指定的數(shù)據(jù)包進(jìn)行內(nèi)容審計(jì)處理����。實(shí)際應(yīng)用中����,可以根據(jù)數(shù)據(jù)流中各數(shù)據(jù)包的內(nèi)容屬性判斷是否需要對(duì)其各數(shù)據(jù)包進(jìn)行相同的內(nèi)容審計(jì)處理。步驟703 :使用系統(tǒng)協(xié)議棧對(duì)當(dāng)前接收到的數(shù)據(jù)包進(jìn)行傳輸處理���,傳送到邏輯功能豐旲塊;步驟704:邏輯功能模塊對(duì)所述數(shù)據(jù)包進(jìn)行內(nèi)容審計(jì)處理��,得到所述數(shù)據(jù)包的內(nèi)容審計(jì)結(jié)果;這里���,所述內(nèi)容審計(jì)處理是對(duì)數(shù)據(jù)包的內(nèi)容進(jìn)行審計(jì)處理的過程�����。數(shù)據(jù)包的內(nèi)容審計(jì)結(jié)果可以包括對(duì)所述數(shù)據(jù)包的內(nèi)容進(jìn)行統(tǒng)計(jì)處理得到的統(tǒng)計(jì)數(shù)據(jù)等信息���。
步驟705 :記錄所述數(shù)據(jù)包的內(nèi)容審計(jì)結(jié)果�����;步驟706 :根據(jù)所述數(shù)據(jù)包的內(nèi)容審計(jì)結(jié)果�,使用系統(tǒng)協(xié)議棧將所述數(shù)據(jù)包通過相應(yīng)的網(wǎng)口傳送出去�,結(jié)束當(dāng)前流程。步驟707 :根據(jù)已記錄所述數(shù)據(jù)流的內(nèi)容審計(jì)結(jié)果����,直接將所述數(shù)據(jù)包轉(zhuǎn)發(fā)出去,結(jié)束當(dāng)前流程�����。這里��,根據(jù)入侵檢測結(jié)果將數(shù)據(jù)包發(fā)送出去或傳送出去�����,包括如果所述內(nèi)容審計(jì)結(jié)果指示當(dāng)前數(shù)據(jù)包已通過內(nèi)容審計(jì)(即該數(shù)據(jù)包屬安全信息)�����,則將所述數(shù)據(jù)包發(fā)送出去或傳送出去;如果所述內(nèi)容審計(jì)結(jié)果指示當(dāng)前數(shù)據(jù)包未通過內(nèi)容審計(jì)(即該數(shù)據(jù)包屬危險(xiǎn)信息)�����,則拒絕發(fā)送或傳送所述數(shù)據(jù)包���,也就是說過濾掉該數(shù)據(jù)包����。需要說明的是�����,本發(fā)明網(wǎng)絡(luò)設(shè)備轉(zhuǎn)發(fā)數(shù)據(jù)流的方法也適用于設(shè)置代理服務(wù)器�、網(wǎng)絡(luò)數(shù)據(jù)緩存等邏輯功能,其具體實(shí)現(xiàn)流程可以基于上述各實(shí)施例的相關(guān)流程直接得到�����,不再贅述����。實(shí)際應(yīng)用中��,還可以結(jié)合并發(fā)優(yōu)化技術(shù),例如����,在轉(zhuǎn)發(fā)數(shù)據(jù)流的過程中,還可以將網(wǎng)絡(luò)設(shè)備的發(fā)送模塊和協(xié)議棧處理模塊分別由不同的CPU來實(shí)現(xiàn)�����,從而能更大限度的提高網(wǎng)絡(luò)轉(zhuǎn)發(fā)性能�,保證數(shù)據(jù)流轉(zhuǎn)發(fā)的高速和穩(wěn)定。以上所述�����,僅為本發(fā)明的較佳實(shí)施例而已����,并非用于限定本發(fā)明的保護(hù)范圍。
權(quán)利要求
1.一種網(wǎng)絡(luò)設(shè)備轉(zhuǎn)發(fā)數(shù)據(jù)流的方法�����,其特征在于���,所述方法包括 根據(jù)已記錄的邏輯功能信息�����,判斷是否需要對(duì)當(dāng)前數(shù)據(jù)流的當(dāng)前數(shù)據(jù)包進(jìn)行邏輯功能處理����; 如果不需要,則根據(jù)已記錄的當(dāng)前數(shù)據(jù)流的邏輯功能信息���,將所述數(shù)據(jù)包直接發(fā)送出去; 如果需要��,則對(duì)所述數(shù)據(jù)包進(jìn)行邏輯功能處理后發(fā)送出去��。
2.根據(jù)權(quán)利要求I所述網(wǎng)絡(luò)設(shè)備轉(zhuǎn)發(fā)數(shù)據(jù)流的方法�����,其特征在于����,所述對(duì)所述數(shù)據(jù)包進(jìn)行邏輯功能處理后發(fā)送出去�,包括 使用系統(tǒng)協(xié)議棧將所述數(shù)據(jù)包傳送給邏輯功能模塊; 邏輯功能模塊對(duì)所述數(shù)據(jù)包進(jìn)行邏輯功能處理��,得到所述數(shù)據(jù)包的邏輯功能信息; 根據(jù)所述數(shù)據(jù)包的邏輯功能信息��,使用系統(tǒng)協(xié)議棧將所述數(shù)據(jù)包傳送出去����。
3.根據(jù)權(quán)利要求2所述網(wǎng)絡(luò)設(shè)備轉(zhuǎn)發(fā)數(shù)據(jù)流的方法��,其特征在于��,所述得到所述數(shù)據(jù)包的邏輯功能信息后����,所述方法還包括記錄所述數(shù)據(jù)包的邏輯功能信息。
4.根據(jù)權(quán)利要求I所述網(wǎng)絡(luò)設(shè)備轉(zhuǎn)發(fā)數(shù)據(jù)流的方法��,其特征在于���, 所述方法還包括預(yù)先定義轉(zhuǎn)發(fā)策略���; 所述根據(jù)已記錄的邏輯功能信息,判斷是否需要對(duì)當(dāng)前數(shù)據(jù)流的當(dāng)前數(shù)據(jù)包進(jìn)行邏輯功能處理�,包括 查詢與當(dāng)前數(shù)據(jù)流對(duì)應(yīng)的轉(zhuǎn)發(fā)策略,根據(jù)當(dāng)前數(shù)據(jù)流對(duì)應(yīng)的轉(zhuǎn)發(fā)策略�����、以及已記錄的當(dāng)前數(shù)據(jù)流的邏輯功能信息,判斷是否對(duì)當(dāng)前接收到的數(shù)據(jù)包進(jìn)行邏輯功能處理�。
5.根據(jù)權(quán)利要求I至4任一項(xiàng)所述網(wǎng)絡(luò)設(shè)備轉(zhuǎn)發(fā)數(shù)據(jù)流的方法,其特征在于�����,所述邏輯功能處理為路由功能處理�����、深度包檢測DPI處理�����、網(wǎng)絡(luò)地址轉(zhuǎn)換NAT處理���、入侵檢測����、防火墻功能處理��、或內(nèi)容審計(jì)處理��; 所述邏輯功能信息為路由信息、DPI識(shí)別信息����、NAT信息、入侵檢測結(jié)果�、防火墻功能處理結(jié)果����、或內(nèi)容審計(jì)結(jié)果。
6.一種網(wǎng)絡(luò)設(shè)備���,其特征在于�,所述網(wǎng)絡(luò)設(shè)備包括判斷模塊�����、發(fā)送模塊����、邏輯功能模塊和協(xié)議棧處理模塊;其中��, 判斷模塊��,用于根據(jù)已記錄的邏輯功能信息,判斷是否需要對(duì)當(dāng)前數(shù)據(jù)流的當(dāng)前數(shù)據(jù)包進(jìn)行邏輯功能處理��,不是則通知所述發(fā)送模塊�����,是則通知所述協(xié)議棧處理模塊�����; 發(fā)送模塊���,用于在接收到所述判斷模塊的通知時(shí)����,根據(jù)已記錄的當(dāng)前數(shù)據(jù)流的邏輯功能信息��,將所述數(shù)據(jù)包直接發(fā)送出去�; 協(xié)議棧處理模塊,用于在所述判斷模塊的通知時(shí)����,將所述數(shù)據(jù)包傳送給所述邏輯功能模塊; 邏輯功能模塊��,用于對(duì)所述數(shù)據(jù)包進(jìn)行邏輯功能處理后通過所述協(xié)議棧處理模塊發(fā)送出去。
7.根據(jù)權(quán)利要求6所述的網(wǎng)絡(luò)設(shè)備��,其特征在于���, 所述邏輯功能模塊�����,用于對(duì)所述數(shù)據(jù)包進(jìn)行邏輯功能處理,得到所述數(shù)據(jù)包的邏輯功能信息���; 所述協(xié)議棧處理模塊�,用于在所述判斷模塊的通知時(shí)��,將所述數(shù)據(jù)包傳送給所述邏輯功能模塊��;在所述邏輯功能模塊對(duì)數(shù)據(jù)包進(jìn)行邏輯功能處理后�����,根據(jù)所述數(shù)據(jù)包的邏輯功能信息�����,使用系統(tǒng)協(xié)議棧將所述數(shù)據(jù)包傳送出去。
8.根據(jù)權(quán)利要求7所述的網(wǎng)絡(luò)設(shè)備�����,其特征在于���, 所述網(wǎng)絡(luò)設(shè)備還包括記錄模塊�,用于記錄當(dāng)前數(shù)據(jù)流各數(shù)據(jù)包的邏輯功能信息���; 所述邏輯功能模塊�����,還用于在得到所述數(shù)據(jù)包的邏輯功能信息后�,將所述數(shù)據(jù)包的邏輯功能信息發(fā)送給所述記錄模塊���; 發(fā)送模塊����,用于在接收到所述判斷模塊的通知時(shí)�����,根據(jù)所述記錄模塊已記錄的當(dāng)前數(shù)據(jù)流的邏輯功能信息,將所述數(shù)據(jù)包直接發(fā)送出去��。
9.根據(jù)權(quán)利要求6所述的網(wǎng)絡(luò)設(shè)備����,其特征在于,所述判斷模塊��,用于預(yù)先定義轉(zhuǎn)發(fā)策略��;查詢與當(dāng)前數(shù)據(jù)流對(duì)應(yīng)的轉(zhuǎn)發(fā)策略�,根據(jù)當(dāng)前數(shù)據(jù)流對(duì)應(yīng)的轉(zhuǎn)發(fā)策略、以及已記錄的當(dāng)前數(shù)據(jù)流的邏輯功能信息�,判斷是否對(duì)當(dāng)前接收到的數(shù)據(jù)包進(jìn)行邏輯功能處理�����。
10.根據(jù)權(quán)利要求6至9任一項(xiàng)所述的網(wǎng)絡(luò)設(shè)備���,其特征在于��, 所述邏輯功能模塊進(jìn)行的邏輯功能處理�,為路由功能處理、深度包檢測DPI處理�、網(wǎng)絡(luò)地址轉(zhuǎn)換NAT處理、入侵檢測���、防火墻功能處理���、或內(nèi)容審計(jì)處理; 所述邏輯功能信息為路由信息����、DPI識(shí)別信息、NAT信息�、入侵檢測結(jié)果、防火墻功能處理結(jié)果�����、或內(nèi)容審計(jì)結(jié)果�����。
全文摘要
本發(fā)明公開了一種網(wǎng)絡(luò)設(shè)備轉(zhuǎn)發(fā)數(shù)據(jù)流的方法��,所述方法包括根據(jù)已記錄的邏輯功能信息��,判斷是否需要對(duì)當(dāng)前數(shù)據(jù)流的當(dāng)前數(shù)據(jù)包進(jìn)行邏輯功能處理;如果不需要�,則根據(jù)已記錄的當(dāng)前數(shù)據(jù)流的邏輯功能信息,將所述數(shù)據(jù)包直接發(fā)送出去����;如果需要,則對(duì)所述數(shù)據(jù)包進(jìn)行邏輯功能處理后發(fā)送出去��。相應(yīng)的�,本發(fā)明還公開了一種能夠?qū)崿F(xiàn)上述轉(zhuǎn)發(fā)方法的網(wǎng)絡(luò)設(shè)備,提高了網(wǎng)絡(luò)設(shè)備的轉(zhuǎn)發(fā)性能和吞吐量���,同時(shí)不再受具體邏輯功能復(fù)雜度的影響�。
文檔編號(hào)H04L29/12GK102857426SQ20121030683
公開日2013年1月2日 申請日期2012年8月24日 優(yōu)先權(quán)日2012年8月24日
發(fā)明者陳鑫, 梁志勇, 米嘉, 王慶官, 田禮軍 申請人:北京網(wǎng)康科技有限公司