本申請(qǐng)涉及通信技術(shù)領(lǐng)域，尤其涉及一種數(shù)據(jù)包過(guò)濾的實(shí)現(xiàn)方法和裝置。

背景技術(shù)：

防火墻等網(wǎng)絡(luò)安全產(chǎn)品一般部署于局域網(wǎng)的出入口，可以對(duì)發(fā)送給局域網(wǎng)內(nèi)部的數(shù)據(jù)包進(jìn)行過(guò)濾，以避免某些來(lái)自局域網(wǎng)外部設(shè)備的攻擊，保護(hù)局域網(wǎng)內(nèi)部設(shè)備的安全；或者，也可以對(duì)局域網(wǎng)內(nèi)部發(fā)出的數(shù)據(jù)包進(jìn)行過(guò)濾，以限制局域網(wǎng)內(nèi)部設(shè)備訪問(wèn)某些局域網(wǎng)外部設(shè)備，實(shí)現(xiàn)網(wǎng)絡(luò)隔離。相關(guān)技術(shù)中，通常采用對(duì)數(shù)據(jù)包過(guò)濾的算法進(jìn)行優(yōu)化的方式來(lái)提高數(shù)據(jù)包過(guò)濾的效率。然而，優(yōu)化后的算法可能并不適用于所有的數(shù)據(jù)包過(guò)濾規(guī)則，適用范圍較小，對(duì)數(shù)據(jù)包過(guò)濾效率的提高幅度也較小。

技術(shù)實(shí)現(xiàn)要素：

有鑒于此，本申請(qǐng)?zhí)峁┮环N數(shù)據(jù)包過(guò)濾的實(shí)現(xiàn)方法和裝置，以解決相關(guān)技術(shù)中數(shù)據(jù)包過(guò)濾的效率低下的問(wèn)題。

具體地，本申請(qǐng)是通過(guò)如下技術(shù)方案實(shí)現(xiàn)的：

第一方面，本申請(qǐng)?zhí)峁┮环N數(shù)據(jù)包過(guò)濾的實(shí)現(xiàn)方法，所述方法應(yīng)用于網(wǎng)絡(luò)設(shè)備，包括：

當(dāng)接收到發(fā)送給局域網(wǎng)內(nèi)部的數(shù)據(jù)包時(shí)，判斷本地是否保存有與所述數(shù)據(jù)包的目的IP地址對(duì)應(yīng)的過(guò)濾規(guī)則表；

如果本地保存有所述過(guò)濾規(guī)則表，則基于所述數(shù)據(jù)包的源IP地址、源端口、目的端口和傳輸層協(xié)議在所述過(guò)濾規(guī)則表中查找對(duì)應(yīng)的過(guò)濾規(guī)則；

根據(jù)查找到的過(guò)濾規(guī)則對(duì)所述數(shù)據(jù)包進(jìn)行過(guò)濾處理。

第二方面，本申請(qǐng)?zhí)峁┮环N數(shù)據(jù)包過(guò)濾的實(shí)現(xiàn)裝置，所述裝置應(yīng)用于網(wǎng)絡(luò)設(shè)備，包括：

判斷單元，用于當(dāng)接收到發(fā)送給局域網(wǎng)內(nèi)部的數(shù)據(jù)包時(shí)，判斷本地是否保存有與所述數(shù)據(jù)包的目的IP地址對(duì)應(yīng)的過(guò)濾規(guī)則表；

查找單元，用于當(dāng)本地保存有所述過(guò)濾規(guī)則表時(shí)，基于所述數(shù)據(jù)包的源IP地址、源端口、目的端口和傳輸層協(xié)議在所述過(guò)濾規(guī)則表中查找對(duì)應(yīng)的過(guò)濾規(guī)則；

處理單元，用于根據(jù)查找到的過(guò)濾規(guī)則對(duì)所述數(shù)據(jù)包進(jìn)行過(guò)濾處理。

分析上述技術(shù)方案可知，網(wǎng)絡(luò)設(shè)備可以為局域網(wǎng)內(nèi)部的每個(gè)IP地址建立一個(gè)對(duì)應(yīng)的過(guò)濾規(guī)則表，網(wǎng)絡(luò)設(shè)備在接收到發(fā)送給局域網(wǎng)內(nèi)部的數(shù)據(jù)包時(shí)，可以先根據(jù)所述數(shù)據(jù)包的目的IP地址確定對(duì)應(yīng)的過(guò)濾規(guī)則表，再基于所述數(shù)據(jù)包的源IP地址、源端口、目的端口和傳輸層協(xié)議在所述過(guò)濾規(guī)則表中查找對(duì)應(yīng)的過(guò)濾規(guī)則，并根據(jù)查找到的過(guò)濾規(guī)則對(duì)所述數(shù)據(jù)包進(jìn)行過(guò)濾處理。與相關(guān)技術(shù)相比，所述過(guò)濾規(guī)則表中僅保存有與所述目的IP地址相關(guān)的過(guò)濾規(guī)則，因此所述過(guò)濾規(guī)則表的大小均遠(yuǎn)小于保存有所有過(guò)濾規(guī)則的原始規(guī)則集的大小，在不改變數(shù)據(jù)包過(guò)濾算法的情況下，網(wǎng)絡(luò)設(shè)備在所述過(guò)濾規(guī)則表中查找所述數(shù)據(jù)包對(duì)應(yīng)的過(guò)濾規(guī)則的速率也得以大幅加快，數(shù)據(jù)包過(guò)濾的效率也隨之大幅提高。

附圖說(shuō)明

圖1是本申請(qǐng)一示例性實(shí)施例示出的一種數(shù)據(jù)包過(guò)濾的實(shí)現(xiàn)方法的流程圖；

圖2是本申請(qǐng)一示例性實(shí)施例示出的一種數(shù)據(jù)包過(guò)濾的實(shí)現(xiàn)方法的組網(wǎng)圖；

圖3是本申請(qǐng)一示例性實(shí)施例示出的一種數(shù)據(jù)包過(guò)濾的實(shí)現(xiàn)裝置所在設(shè)備的硬件結(jié)構(gòu)圖；

圖4是本申請(qǐng)一示例性實(shí)施例示出的一種數(shù)據(jù)包過(guò)濾的實(shí)現(xiàn)裝置的框圖。

具體實(shí)施方式

這里將詳細(xì)地對(duì)示例性實(shí)施例進(jìn)行說(shuō)明，其示例表示在附圖中。下面的描述涉及附圖時(shí)，除非另有表示，不同附圖中的相同數(shù)字表示相同或相似的要素。以下示例性實(shí)施例中所描述的實(shí)施方式并不代表與本申請(qǐng)相一致的所有實(shí)施方式。相反，它們僅是與如所附權(quán)利要求書(shū)中所詳述的、本申請(qǐng)的一些方面相一致的裝置和方法的例子。

在本申請(qǐng)使用的術(shù)語(yǔ)是僅僅出于描述特定實(shí)施例的目的，而非旨在限制本申請(qǐng)。在本申請(qǐng)和所附權(quán)利要求書(shū)中所使用的單數(shù)形式的“一種”、“所述”和“該”也旨在包括多數(shù)形式，除非上下文清楚地表示其他含義。還應(yīng)當(dāng)理解，本文中使用的術(shù)語(yǔ)“和/或”是指并包含一個(gè)或多個(gè)相關(guān)聯(lián)的列出項(xiàng)目的任何或所有可能組合。

應(yīng)當(dāng)理解，盡管在本申請(qǐng)可能采用術(shù)語(yǔ)第一、第二、第三等來(lái)描述各種信息，但這些信息不應(yīng)限于這些術(shù)語(yǔ)。這些術(shù)語(yǔ)僅用來(lái)將同一類型的信息彼此區(qū)分開(kāi)。例如，在不脫離本申請(qǐng)范圍的情況下，第一信息也可以被稱為第二信息，類似地，第二信息也可以被稱為第一信息。取決于語(yǔ)境，如在此所使用的詞語(yǔ)“如果”可以被解釋成為“在……時(shí)”或“當(dāng)……時(shí)”或“響應(yīng)于確定”。

請(qǐng)參考圖1，為本申請(qǐng)一示例性實(shí)施例示出的一種數(shù)據(jù)包過(guò)濾的實(shí)現(xiàn)方法的流程圖，所述方法可以應(yīng)用于防火墻等網(wǎng)絡(luò)設(shè)備，包括以下步驟：

步驟101：當(dāng)接收到發(fā)送給局域網(wǎng)內(nèi)部的數(shù)據(jù)包時(shí)，判斷本地是否保存有與所述數(shù)據(jù)包的目的IP地址對(duì)應(yīng)的過(guò)濾規(guī)則表。

在本實(shí)施例中，網(wǎng)絡(luò)設(shè)備在接收到發(fā)送給局域網(wǎng)內(nèi)部的數(shù)據(jù)包時(shí)，可以提取所述數(shù)據(jù)包的五元組，并根據(jù)所述數(shù)據(jù)包的目的IP地址，判斷本地是否保存有與所述目的IP地址對(duì)應(yīng)的過(guò)濾規(guī)則表；其中，所述過(guò)濾規(guī)則表可以保存在內(nèi)存中。如果本地保存有所述過(guò)濾規(guī)則表，則可以執(zhí)行步驟102。

步驟102：如果本地保存有所述過(guò)濾規(guī)則表，則基于所述數(shù)據(jù)包的源IP地址、源端口、目的端口和傳輸層協(xié)議在所述過(guò)濾規(guī)則表中查找對(duì)應(yīng)的過(guò)濾規(guī)則。

在本實(shí)施例中，基于前述步驟101的判斷結(jié)果，如果本地保存有所述過(guò)濾規(guī)則表，則網(wǎng)絡(luò)設(shè)備可以基于所述數(shù)據(jù)包的五元組中除目的IP地址外剩余的四元組，即源IP地址、源端口、目的端口和傳輸層協(xié)議，在所述過(guò)濾規(guī)則表中查找所述數(shù)據(jù)包對(duì)應(yīng)的過(guò)濾規(guī)則。在實(shí)際應(yīng)用中，網(wǎng)絡(luò)設(shè)備還可以利用hash算法、k-d樹(shù)算法等較為快速地在所述過(guò)濾規(guī)則表中查找對(duì)應(yīng)的過(guò)濾規(guī)則。

步驟103：根據(jù)查找到的過(guò)濾規(guī)則對(duì)所述數(shù)據(jù)包進(jìn)行過(guò)濾處理。

在本實(shí)施例中，網(wǎng)絡(luò)設(shè)備可以根據(jù)在前述步驟102中查找到的過(guò)濾規(guī)則，對(duì)所述數(shù)據(jù)包進(jìn)行過(guò)濾處理。具體地，如果查找到的過(guò)濾規(guī)則為保留數(shù)據(jù)包，則網(wǎng)絡(luò)設(shè)備可以根據(jù)所述數(shù)據(jù)包的目的IP地址對(duì)所述數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)；如果查找到的過(guò)濾規(guī)則為丟棄數(shù)據(jù)包，則網(wǎng)絡(luò)設(shè)備可以將所述數(shù)據(jù)包丟棄，而不再對(duì)所述數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)。

在一個(gè)可選的實(shí)施例中，基于前述步驟101的判斷結(jié)果，如果本地保存有所述過(guò)濾規(guī)則表，但在前述步驟102中未在所述過(guò)濾規(guī)則表中查找到對(duì)應(yīng)的過(guò)濾規(guī)則，則與相關(guān)技術(shù)類似，網(wǎng)絡(luò)設(shè)備可以基于所述數(shù)據(jù)包的五元組在本地保存的原始規(guī)則集中查找對(duì)應(yīng)的過(guò)濾規(guī)則，并根據(jù)查找到的過(guò)濾規(guī)則對(duì)所述數(shù)據(jù)包進(jìn)行過(guò)濾處理；其中，所述原始規(guī)則集也可以保存在內(nèi)存中，但所述原始規(guī)則集與所述過(guò)濾規(guī)則表的存儲(chǔ)地址不同，所述原始規(guī)則集中可以保存有用戶配置的所有過(guò)濾規(guī)則。

結(jié)合步驟102，在本實(shí)施例中，網(wǎng)絡(luò)設(shè)備可以僅利用除目的IP地址外的四元組，在與接收到的數(shù)據(jù)包的目的IP地址對(duì)應(yīng)的過(guò)濾規(guī)則表中查找對(duì)應(yīng)的過(guò)濾規(guī)則，與相關(guān)技術(shù)中利用所述數(shù)據(jù)包的五元組，在所述原始規(guī)則集中查找對(duì)應(yīng)的過(guò)濾規(guī)則相比，可以顯著加快網(wǎng)絡(luò)設(shè)備查找過(guò)濾規(guī)則的速率，從而可以提高數(shù)據(jù)包過(guò)濾的效率。

根據(jù)時(shí)間局部性原理，如果某一時(shí)刻網(wǎng)絡(luò)設(shè)備接收到的某個(gè)數(shù)據(jù)包(第一數(shù)據(jù)包)匹配到某條過(guò)濾規(guī)則，則近期網(wǎng)絡(luò)設(shè)備接收到的數(shù)據(jù)包匹配到這條過(guò)濾規(guī)則的概率較大。因此，網(wǎng)絡(luò)設(shè)備可以將在所述原始規(guī)則集中查找到的過(guò)濾規(guī)則添加到所述過(guò)濾規(guī)則表中。后續(xù)網(wǎng)絡(luò)設(shè)備在再次接收到五元組與所述數(shù)據(jù)包的五元組相同的第二數(shù)據(jù)包時(shí)，可以在所述過(guò)濾規(guī)則表中查找到對(duì)應(yīng)的過(guò)濾規(guī)則，并根據(jù)查找到的過(guò)濾規(guī)則對(duì)所述第二數(shù)據(jù)包進(jìn)行過(guò)濾處理，而無(wú)需再在所述原始規(guī)則集中查找對(duì)應(yīng)的過(guò)濾規(guī)則。

需要說(shuō)明的是，為了合理利用內(nèi)存，可以為所述本地保存的各個(gè)過(guò)濾規(guī)則表設(shè)置大小限制，例如：每個(gè)過(guò)濾規(guī)則表最多可以保存多少條過(guò)濾規(guī)則。在這種情況下，網(wǎng)絡(luò)設(shè)備在將在所述原始規(guī)則集中查找到的過(guò)濾規(guī)則添加到所述過(guò)濾規(guī)則表中時(shí)，如果檢測(cè)到所述過(guò)濾規(guī)則表中保存的過(guò)濾規(guī)則的數(shù)量已達(dá)上限，則可以基于RAND(Random，隨機(jī))算法、LFU(Least Frequently Used，最不經(jīng)常使用)算法、LRU(Least Recently Used，近期最少使用)算法等，從所述保存的過(guò)濾規(guī)則中選擇一條過(guò)濾規(guī)則，并將選擇到的過(guò)濾規(guī)則替換為所述查找到的過(guò)濾規(guī)則。

在另一個(gè)可選的實(shí)施例中，基于前述步驟101的判斷結(jié)果，如果本地未保存有所述過(guò)濾規(guī)則表，則網(wǎng)絡(luò)設(shè)備可以基于所述數(shù)據(jù)包的五元組在本地保存的原始規(guī)則集中查找對(duì)應(yīng)的過(guò)濾規(guī)則，并根據(jù)查找到的過(guò)濾規(guī)則對(duì)所述數(shù)據(jù)包進(jìn)行過(guò)濾處理。

同樣地，網(wǎng)絡(luò)設(shè)備可以基于查找到的過(guò)濾規(guī)則生成與所述數(shù)據(jù)包的目的IP地址對(duì)應(yīng)的過(guò)濾規(guī)則表。后續(xù)網(wǎng)絡(luò)設(shè)備在再次接收到目的IP地址與所述數(shù)據(jù)包的目的IP地址相同(命中所述數(shù)據(jù)包的目的IP地址)的第三數(shù)據(jù)包時(shí)，可以首先基于所述第三數(shù)據(jù)包的源IP地址、源端口、目的端口和傳輸層協(xié)議，在所述過(guò)濾規(guī)則表中查找對(duì)應(yīng)的過(guò)濾規(guī)則。如果查找到對(duì)應(yīng)的過(guò)濾規(guī)則，則網(wǎng)絡(luò)設(shè)備可以根據(jù)查找到的過(guò)濾規(guī)則對(duì)所述第三數(shù)據(jù)包進(jìn)行過(guò)濾處理；如果未查找到對(duì)應(yīng)的過(guò)濾規(guī)則，則網(wǎng)絡(luò)設(shè)備可以再基于所述第三數(shù)據(jù)包的五元組在所述原始規(guī)則集中查找對(duì)應(yīng)的過(guò)濾規(guī)則，并根據(jù)查找到的過(guò)濾規(guī)則對(duì)所述第三數(shù)據(jù)包進(jìn)行過(guò)濾處理，同時(shí)網(wǎng)絡(luò)設(shè)備還可以將這條過(guò)濾規(guī)則添加到所述過(guò)濾規(guī)則表中，以便于后續(xù)的數(shù)據(jù)包過(guò)濾。

然而，當(dāng)局域網(wǎng)內(nèi)部的主機(jī)數(shù)量較多時(shí)，網(wǎng)絡(luò)設(shè)備接收到的目的IP地址互不相同的數(shù)據(jù)包數(shù)量通常也會(huì)較多，本地保存的過(guò)濾規(guī)則表的數(shù)量也會(huì)隨之增多，導(dǎo)致網(wǎng)絡(luò)設(shè)備需要分配較大的內(nèi)存空間用于保存所有過(guò)濾規(guī)則表。為了合理利用內(nèi)存，可以針對(duì)本地保存的所有過(guò)濾規(guī)則表的數(shù)量設(shè)置第一閾值；其中，所述第一閾值可以由用戶自行設(shè)置，也可以由技術(shù)人員預(yù)先設(shè)置，或者由系統(tǒng)根據(jù)網(wǎng)絡(luò)設(shè)備當(dāng)前內(nèi)存使用情況動(dòng)態(tài)地進(jìn)行調(diào)整。網(wǎng)絡(luò)設(shè)備在確定本地未保存有與接收到的數(shù)據(jù)包的目的IP地址對(duì)應(yīng)的過(guò)濾規(guī)則表，并根據(jù)在所述原始規(guī)則集中查找到的過(guò)濾規(guī)則對(duì)所述數(shù)據(jù)包進(jìn)行過(guò)濾處理后，可以先檢測(cè)本地保存的所有過(guò)濾規(guī)則表的數(shù)量是否小于所述第一閾值。當(dāng)所述過(guò)濾規(guī)則表的數(shù)量小于所述第一閾值時(shí)，說(shuō)明此時(shí)過(guò)濾規(guī)則表占用的內(nèi)存空間還較小，網(wǎng)絡(luò)設(shè)備可以基于查找到的過(guò)濾規(guī)則生成對(duì)應(yīng)所述目的IP地址的過(guò)濾規(guī)則表。而當(dāng)所述過(guò)濾規(guī)則表的數(shù)量大于等于所述第一閾值時(shí)，說(shuō)明此時(shí)過(guò)濾規(guī)則表已占用較大的內(nèi)存空間，則網(wǎng)絡(luò)設(shè)備可以在預(yù)設(shè)的統(tǒng)計(jì)時(shí)間內(nèi)統(tǒng)計(jì)接收到的命中所述目的IP地址的數(shù)據(jù)包的數(shù)量總和，并判斷所述數(shù)量總和與預(yù)設(shè)的第二閾值之間的大小關(guān)系；其中，所述統(tǒng)計(jì)時(shí)間和所述第二閾值都可以是用戶設(shè)置的數(shù)值，也可以是默認(rèn)的缺省值。

如果網(wǎng)絡(luò)設(shè)備統(tǒng)計(jì)到的數(shù)量總和小于所述第二閾值，則網(wǎng)絡(luò)設(shè)備無(wú)需生成對(duì)應(yīng)所述目的IP地址的過(guò)濾規(guī)則表，以節(jié)省內(nèi)存資源。而當(dāng)所述數(shù)量總和大于等于預(yù)設(shè)的第二閾值時(shí)，則網(wǎng)絡(luò)設(shè)備可以基于RAND算法、LFU算法、LRU算法等，從本地保存的過(guò)濾規(guī)則表中選擇一個(gè)過(guò)濾規(guī)則表作為無(wú)效規(guī)則表，并清除所述無(wú)效規(guī)則表，后續(xù)網(wǎng)絡(luò)設(shè)備可以利用所述無(wú)效規(guī)則表原先占用的內(nèi)存空間，基于查找到的過(guò)濾規(guī)則生成對(duì)應(yīng)所述目的IP地址的過(guò)濾規(guī)則表，以便于后續(xù)的數(shù)據(jù)包過(guò)濾。需要說(shuō)明的是，所述查找到的過(guò)濾規(guī)則可以是首次接收到的命中所述目的IP地址的數(shù)據(jù)包匹配到的過(guò)濾規(guī)則，也可以是最后一次接收到的命中所述目的IP地址的數(shù)據(jù)包匹配到的過(guò)濾規(guī)則。

請(qǐng)參考圖2，為本申請(qǐng)一示例性實(shí)施例示出的一種數(shù)據(jù)包過(guò)濾的實(shí)現(xiàn)方法的組網(wǎng)圖，其中，主機(jī)A、主機(jī)B和主機(jī)C均為同一局域網(wǎng)內(nèi)部的主機(jī)，防火墻中除保存有原始規(guī)則集外，還保存有多個(gè)過(guò)濾規(guī)則表。假設(shè)主機(jī)A的IP地址為IP地址1，主機(jī)B的IP地址為IP地址2，主機(jī)C的IP地址為IP地址3；過(guò)濾規(guī)則表1與IP地址1對(duì)應(yīng)，過(guò)濾規(guī)則表2與IP地址2對(duì)應(yīng)。

防火墻在接收到目的IP地址為IP地址1的數(shù)據(jù)包時(shí)，可以確定該數(shù)據(jù)包的目的IP地址對(duì)應(yīng)過(guò)濾規(guī)則表1，并基于該數(shù)據(jù)包除目的IP地址外的四元組在過(guò)濾規(guī)則表1中查找對(duì)應(yīng)的過(guò)濾規(guī)則。假設(shè)過(guò)濾規(guī)則中保存有5條過(guò)濾規(guī)則，分別為過(guò)濾規(guī)則11至15，則當(dāng)該數(shù)據(jù)包匹配到過(guò)濾規(guī)則11時(shí)，防火墻可以根據(jù)過(guò)濾規(guī)則11對(duì)該數(shù)據(jù)包進(jìn)行過(guò)濾處理。

如果該數(shù)據(jù)包與過(guò)濾規(guī)則表1中保存的5條過(guò)濾規(guī)則均不匹配，則防火墻可以基于該數(shù)據(jù)包的五元組在原始規(guī)則集中查找對(duì)應(yīng)的過(guò)濾規(guī)則。假設(shè)該數(shù)據(jù)包匹配到原始規(guī)則集中保存的過(guò)濾規(guī)則16，則防火墻可以將過(guò)濾規(guī)則16添加到過(guò)濾規(guī)則表1中，即此后過(guò)濾規(guī)則表1中保存有過(guò)濾規(guī)則11至16。

在另一個(gè)例子中，如果過(guò)濾規(guī)則表1中保存的過(guò)濾規(guī)則的數(shù)量上限是5，則防火墻可以從過(guò)濾規(guī)則11至15中選擇一條過(guò)濾規(guī)則，例如：近期接收到的數(shù)據(jù)包匹配到過(guò)濾規(guī)則12的次數(shù)較少，則防火墻可以選擇過(guò)濾規(guī)則12，并將過(guò)濾規(guī)則12替換為過(guò)濾規(guī)則16，即此后過(guò)濾規(guī)則表1中保存有過(guò)濾規(guī)則11、16、13、14和15。

防火墻在接收到目的IP地址為IP地址3的數(shù)據(jù)包時(shí)，可以先判斷本地是否保存有與IP地址3對(duì)應(yīng)的過(guò)濾規(guī)則表3。假設(shè)本地未保存有過(guò)濾規(guī)則表3，則防火墻可以基于該數(shù)據(jù)包的五元組在原始規(guī)則集中查找對(duì)應(yīng)的過(guò)濾規(guī)則。假設(shè)該數(shù)據(jù)包匹配到原始規(guī)則集中保存的過(guò)濾規(guī)則31，則防火墻可以根據(jù)過(guò)濾規(guī)則31對(duì)該數(shù)據(jù)包進(jìn)行過(guò)濾處理。

后續(xù)網(wǎng)絡(luò)設(shè)備可以先判斷本地保存的所有過(guò)濾規(guī)則表的數(shù)量與預(yù)設(shè)的第一閾值之間的大小關(guān)系。假設(shè)所述第一閾值為3，大于所述過(guò)濾規(guī)則表的數(shù)量2，則防火墻可以生成對(duì)應(yīng)IP地址3的過(guò)濾規(guī)則表3，并將過(guò)濾規(guī)則31添加到過(guò)濾規(guī)則表3中。

在另一個(gè)例子中，假設(shè)所述第一閾值為2，等于所述過(guò)濾規(guī)則表的數(shù)量2，則防火墻可以在預(yù)設(shè)的統(tǒng)計(jì)時(shí)間內(nèi)統(tǒng)計(jì)目的IP地址為IP地址3的數(shù)據(jù)包的數(shù)量總和。當(dāng)所述數(shù)量總和小于預(yù)設(shè)的第二閾值時(shí)，防火墻無(wú)需生成對(duì)應(yīng)IP地址3的過(guò)濾規(guī)則表3；而當(dāng)所述數(shù)量總和大于等于所述第二閾值時(shí)，防火墻可以從過(guò)濾規(guī)則表1、2中選擇一個(gè)過(guò)濾規(guī)則表，例如：近期接收到的數(shù)據(jù)包匹配到過(guò)濾規(guī)則表2中保存的過(guò)濾規(guī)則的次數(shù)較少，則防火墻可以清除過(guò)濾規(guī)則表2，并生成對(duì)應(yīng)IP地址3的過(guò)濾規(guī)則表3。此時(shí)，防火墻可以將過(guò)濾規(guī)則31添加到過(guò)濾規(guī)則表3中，也可以將最后一次接收到的目的IP地址為IP地址3的數(shù)據(jù)包匹配到的過(guò)濾規(guī)則添加到過(guò)濾規(guī)則表3中。

由上述實(shí)施例可見(jiàn)，網(wǎng)絡(luò)設(shè)備可以為局域網(wǎng)內(nèi)部的每個(gè)IP地址建立一個(gè)對(duì)應(yīng)的過(guò)濾規(guī)則表，網(wǎng)絡(luò)設(shè)備在接收到發(fā)送給局域網(wǎng)內(nèi)部的數(shù)據(jù)包時(shí)，可以先根據(jù)所述數(shù)據(jù)包的目的IP地址確定對(duì)應(yīng)的過(guò)濾規(guī)則表，再基于所述數(shù)據(jù)包的源IP地址、源端口、目的端口和傳輸層協(xié)議在所述過(guò)濾規(guī)則表中查找對(duì)應(yīng)的過(guò)濾規(guī)則，并根據(jù)查找到的過(guò)濾規(guī)則對(duì)所述數(shù)據(jù)包進(jìn)行過(guò)濾處理。與相關(guān)技術(shù)相比，所述過(guò)濾規(guī)則表中僅保存有與所述目的IP地址相關(guān)的過(guò)濾規(guī)則，因此所述過(guò)濾規(guī)則表的大小均遠(yuǎn)小于保存有所有過(guò)濾規(guī)則的原始規(guī)則集的大小，在不改變數(shù)據(jù)包過(guò)濾算法的情況下，網(wǎng)絡(luò)設(shè)備在所述過(guò)濾規(guī)則表中查找所述數(shù)據(jù)包對(duì)應(yīng)的過(guò)濾規(guī)則的速率也得以大幅加快，數(shù)據(jù)包過(guò)濾的效率也隨之大幅提高。

另一方面，網(wǎng)絡(luò)設(shè)備在對(duì)局域網(wǎng)內(nèi)部發(fā)出的數(shù)據(jù)包進(jìn)行過(guò)濾時(shí)，與圖1所示的實(shí)施例類似，可以先提取接收到的局域網(wǎng)內(nèi)部發(fā)出的數(shù)據(jù)包的五元組。后續(xù)網(wǎng)絡(luò)設(shè)備可以根據(jù)所述數(shù)據(jù)包的源IP地址，判斷本地是否保存有與所述源IP地址對(duì)應(yīng)的過(guò)濾規(guī)則表。如果本地保存有所述過(guò)濾規(guī)則表，則網(wǎng)絡(luò)設(shè)備可以基于所述數(shù)據(jù)包的目的IP地址、源端口、目的端口和傳輸層協(xié)議在所述過(guò)濾規(guī)則表中查找對(duì)應(yīng)的過(guò)濾規(guī)則，并根據(jù)查找到的過(guò)濾規(guī)則對(duì)所述數(shù)據(jù)包進(jìn)行過(guò)濾處理。而當(dāng)本地未保存有與所述源IP地址對(duì)應(yīng)的過(guò)濾規(guī)則表，或者本地保存有與所述源IP地址對(duì)應(yīng)的過(guò)濾規(guī)則表，但網(wǎng)絡(luò)設(shè)備未在所述過(guò)濾規(guī)則表中查找到對(duì)應(yīng)的過(guò)濾規(guī)則時(shí)，也可以采用與前述實(shí)施例類似的方式，對(duì)本地保存的過(guò)濾規(guī)則表以及各過(guò)濾規(guī)則表中保存的過(guò)濾規(guī)則進(jìn)行更新。

與前述數(shù)據(jù)包過(guò)濾的實(shí)現(xiàn)方法的實(shí)施例相對(duì)應(yīng)，本申請(qǐng)還提供了數(shù)據(jù)包過(guò)濾的實(shí)現(xiàn)裝置的實(shí)施例。

本申請(qǐng)數(shù)據(jù)包過(guò)濾的實(shí)現(xiàn)裝置的實(shí)施例可以應(yīng)用在網(wǎng)絡(luò)設(shè)備上。裝置實(shí)施例可以通過(guò)軟件實(shí)現(xiàn)，也可以通過(guò)硬件或者軟硬件結(jié)合的方式實(shí)現(xiàn)。以軟件實(shí)現(xiàn)為例，作為一個(gè)邏輯意義上的裝置，是通過(guò)其所在網(wǎng)絡(luò)設(shè)備的處理器將非易失性存儲(chǔ)器中對(duì)應(yīng)的計(jì)算機(jī)程序指令讀取到內(nèi)存中運(yùn)行形成的。從硬件層面而言，如圖3所示，為本申請(qǐng)數(shù)據(jù)包過(guò)濾的實(shí)現(xiàn)裝置所在網(wǎng)絡(luò)設(shè)備的一種硬件結(jié)構(gòu)圖，除了圖3所示的處理器、內(nèi)存、網(wǎng)絡(luò)接口、以及非易失性存儲(chǔ)器之外，實(shí)施例中裝置所在的網(wǎng)絡(luò)設(shè)備通常根據(jù)該數(shù)據(jù)包過(guò)濾的實(shí)現(xiàn)的實(shí)際功能，還可以包括其他硬件，對(duì)此不再贅述。

請(qǐng)參考圖4，為本申請(qǐng)一示例性實(shí)施例示出的一種數(shù)據(jù)包過(guò)濾的實(shí)現(xiàn)裝置的框圖，該裝置400可以應(yīng)用于圖3所示的網(wǎng)絡(luò)設(shè)備中，包括：

判斷單元401，用于當(dāng)接收到發(fā)送給局域網(wǎng)內(nèi)部的數(shù)據(jù)包時(shí)，判斷本地是否保存有與所述數(shù)據(jù)包的目的IP地址對(duì)應(yīng)的過(guò)濾規(guī)則表；

查找單元402，用于當(dāng)本地保存有所述過(guò)濾規(guī)則表時(shí)，基于所述數(shù)據(jù)包的源IP地址、源端口、目的端口和傳輸層協(xié)議在所述過(guò)濾規(guī)則表中查找對(duì)應(yīng)的過(guò)濾規(guī)則；

處理單元403，用于根據(jù)查找到的過(guò)濾規(guī)則對(duì)所述數(shù)據(jù)包進(jìn)行過(guò)濾處理。

在一個(gè)可選的實(shí)施例中，所述判斷單元401還可以用于當(dāng)接收到局域網(wǎng)內(nèi)部發(fā)出的數(shù)據(jù)包時(shí)，判斷本地是否保存有與所述數(shù)據(jù)包的源IP地址對(duì)應(yīng)的過(guò)濾規(guī)則表；所述查找單元402還可以用于當(dāng)本地保存有所述過(guò)濾規(guī)則表時(shí)，基于所述數(shù)據(jù)包的目的IP地址、源端口、目的端口和傳輸層協(xié)議在所述過(guò)濾規(guī)則表中查找對(duì)應(yīng)的過(guò)濾規(guī)則；所述處理單元403還可以用于根據(jù)查找到的過(guò)濾規(guī)則對(duì)所述數(shù)據(jù)包進(jìn)行過(guò)濾處理。

在另一個(gè)可選的實(shí)施例中，所述查找單元402還可以用于當(dāng)本地未保存有所述過(guò)濾規(guī)則表時(shí)，基于所述數(shù)據(jù)包的五元組在本地保存的原始規(guī)則集中查找對(duì)應(yīng)的過(guò)濾規(guī)則；所述處理單元403還可以用于根據(jù)查找到的過(guò)濾規(guī)則對(duì)所述數(shù)據(jù)包進(jìn)行過(guò)濾處理。

在另一個(gè)可選的實(shí)施例中，所述裝置還可以包括：

檢測(cè)單元404，用于檢測(cè)本地保存的過(guò)濾規(guī)則表的數(shù)量是否小于預(yù)設(shè)的第一閾值；

生成單元405，用于當(dāng)所述過(guò)濾規(guī)則表的數(shù)量小于所述第一閾值時(shí)，基于查找到的過(guò)濾規(guī)則生成對(duì)應(yīng)所述目的IP地址的過(guò)濾規(guī)則表；

統(tǒng)計(jì)單元406，用于當(dāng)所述過(guò)濾規(guī)則表的數(shù)量大于等于所述第一閾值時(shí)，在預(yù)設(shè)的統(tǒng)計(jì)時(shí)間內(nèi)統(tǒng)計(jì)命中所述目的IP地址的數(shù)據(jù)包的數(shù)量總和；

所述生成單元405還可以用于當(dāng)所述數(shù)量總和大于等于預(yù)設(shè)的第二閾值時(shí)，從所述過(guò)濾規(guī)則表中選擇一個(gè)過(guò)濾規(guī)則表作為無(wú)效規(guī)則表，清除所述無(wú)效規(guī)則表，并生成對(duì)應(yīng)所述目的IP地址的過(guò)濾規(guī)則表。

在另一個(gè)可選的實(shí)施例中，所述查找單元402還可以用于當(dāng)本地保存有所述過(guò)濾規(guī)則表，但未在所述過(guò)濾規(guī)則表中查找到對(duì)應(yīng)的過(guò)濾規(guī)則時(shí)，基于所述數(shù)據(jù)包的五元組在本地保存的原始規(guī)則集中查找對(duì)應(yīng)的過(guò)濾規(guī)則；所述處理單元403還可以用于根據(jù)查找到的過(guò)濾規(guī)則對(duì)所述數(shù)據(jù)包進(jìn)行過(guò)濾處理，并將所述過(guò)濾規(guī)則添加到所述過(guò)濾規(guī)則表中。

上述裝置中各個(gè)單元的功能和作用的實(shí)現(xiàn)過(guò)程具體詳見(jiàn)上述方法中對(duì)應(yīng)步驟的實(shí)現(xiàn)過(guò)程，在此不再贅述。

對(duì)于裝置實(shí)施例而言，由于其基本對(duì)應(yīng)于方法實(shí)施例，所以相關(guān)之處參見(jiàn)方法實(shí)施例的部分說(shuō)明即可。以上所描述的裝置實(shí)施例僅僅是示意性的，其中所述作為分離部件說(shuō)明的單元可以是或者也可以不是物理上分開(kāi)的，作為單元顯示的部件可以是或者也可以不是物理單元，即可以位于一個(gè)地方，或者也可以分布到多個(gè)網(wǎng)絡(luò)單元上?？梢愿鶕?jù)實(shí)際的需要選擇其中的部分或者全部模塊來(lái)實(shí)現(xiàn)本申請(qǐng)方案的目的。本領(lǐng)域普通技術(shù)人員在不付出創(chuàng)造性勞動(dòng)的情況下，即可以理解并實(shí)施。

以上所述僅為本申請(qǐng)的較佳實(shí)施例而已，并不用以限制本申請(qǐng)，凡在本申請(qǐng)的精神和原則之內(nèi)，所做的任何修改、等同替換、改進(jìn)等，均應(yīng)包含在本申請(qǐng)保護(hù)的范圍之內(nèi)。