報(bào)文控制策略的匹配方法及裝置的制造方法
【專(zhuān)利摘要】本申請(qǐng)?zhí)峁┮环N報(bào)文控制策略的匹配方法及裝置�����,該方法包括:對(duì)接收的報(bào)文進(jìn)行解析�,得到報(bào)文的五元組信息;將五元組信息中的每個(gè)信息與五元組掩碼中對(duì)應(yīng)掩碼做按位與運(yùn)算���,得到對(duì)應(yīng)的五個(gè)運(yùn)算結(jié)果�����;如果五個(gè)運(yùn)算結(jié)果與五元組信息對(duì)應(yīng)相等���,則在報(bào)文控制策略表中查找與報(bào)文匹配的報(bào)文控制策略;如果五個(gè)運(yùn)算結(jié)果與五元組信息不相等�,則確定報(bào)文控制策略表中不存在與報(bào)文匹配的報(bào)文控制策略,停止報(bào)文控制策略的匹配操作���。本申請(qǐng)通過(guò)使用五元組掩碼進(jìn)行預(yù)匹配���,可過(guò)濾掉部分不匹配報(bào)文控制策略的流量����,減少了無(wú)效查找��,提高了報(bào)文控制策略匹配的性能����。
【專(zhuān)利說(shuō)明】
報(bào)文控制策略的匹配方法及裝置
技術(shù)領(lǐng)域
[0001]本申請(qǐng)涉及網(wǎng)絡(luò)通信技術(shù)領(lǐng)域��,尤其涉及一種報(bào)文控制策略的匹配方法及裝置���。
【背景技術(shù)】
[0002]隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展�,為了保證互聯(lián)網(wǎng)的安全發(fā)展�����,各種報(bào)文處理技術(shù)應(yīng)運(yùn)而生��,一般網(wǎng)絡(luò)設(shè)備可通過(guò)報(bào)文控制策略來(lái)對(duì)匹配該報(bào)文控制策略的報(bào)文進(jìn)行相應(yīng)處理�����,如轉(zhuǎn)發(fā)報(bào)文�、丟棄報(bào)文���、存儲(chǔ)報(bào)文等。由于網(wǎng)絡(luò)流量大����,網(wǎng)絡(luò)設(shè)備進(jìn)行報(bào)文控制策略匹配的計(jì)算量也很大,因此網(wǎng)絡(luò)設(shè)備存在較大的時(shí)延����,如何快速匹配報(bào)文控制策略成為報(bào)文處理的關(guān)鍵。
[0003]現(xiàn)有技術(shù)中�����,可直接提取出報(bào)文的五元組信息或者報(bào)文內(nèi)容�,并通過(guò)快速匹配算法到報(bào)文控制策略表中去匹配報(bào)文控制策略。但是在大流量的數(shù)據(jù)采集和分析的應(yīng)用場(chǎng)景下�,大部分報(bào)文與網(wǎng)絡(luò)設(shè)備中的報(bào)文控制策略無(wú)法匹配上,這可造成大量的無(wú)效查找�,大大降低了報(bào)文控制策略匹配的性能。
【發(fā)明內(nèi)容】
[0004]本申請(qǐng)?zhí)峁┮环N報(bào)文控制策略的匹配方法及裝置����,以解決現(xiàn)有報(bào)文控制策略的匹配方法可能造成大量的無(wú)效查找的問(wèn)題。
[0005]第一方面�,提供一種報(bào)文控制策略的匹配方法���,應(yīng)用于網(wǎng)絡(luò)設(shè)備中,包括:
[0006]對(duì)接收的報(bào)文進(jìn)行解析����,得到所述報(bào)文的五元組信息;
[0007]將所述五元組信息中的每個(gè)信息與五元組掩碼中對(duì)應(yīng)掩碼做按位與運(yùn)算����,得到對(duì)應(yīng)的五個(gè)運(yùn)算結(jié)果��;
[0008]如果所述五個(gè)運(yùn)算結(jié)果與所述五元組信息對(duì)應(yīng)相等��,則在報(bào)文控制策略表中查找與所述報(bào)文匹配的報(bào)文控制策略�;
[0009]如果所述五個(gè)運(yùn)算結(jié)果與所述五元組信息不相等,則確定所述報(bào)文控制策略表中不存在與所述報(bào)文匹配的報(bào)文控制策略���,停止報(bào)文控制策略的匹配操作���。
[0010]第二方面,提供一種報(bào)文控制策略的匹配方法裝置�����,應(yīng)用于網(wǎng)絡(luò)設(shè)備上,所述裝置包括:
[0011 ]解析單元��,用于對(duì)接收的報(bào)文進(jìn)行解析���,得到所述報(bào)文的五元組信息�����;
[0012]運(yùn)算單元�����,用于將所述五元組信息中的每個(gè)信息與五元組掩碼中對(duì)應(yīng)掩碼做按位與運(yùn)算����,得到對(duì)應(yīng)的五個(gè)運(yùn)算結(jié)果�;
[0013]匹配單元,用于在所述五個(gè)運(yùn)算結(jié)果與所述五元組信息對(duì)應(yīng)相等時(shí)��,在報(bào)文控制策略表中查找與所述報(bào)文匹配的報(bào)文控制策略;在所述五個(gè)運(yùn)算結(jié)果與所述五元組信息不相等時(shí)���,確定所述報(bào)文控制策略表中不存在與所述報(bào)文匹配的報(bào)文控制策略�����,停止報(bào)文控制策略的匹配操作��。
[0014]本申請(qǐng)的網(wǎng)絡(luò)設(shè)備通過(guò)使用五元組掩碼進(jìn)行預(yù)匹配����,可過(guò)濾掉部分不匹配報(bào)文控制策略表的流量,避免了網(wǎng)絡(luò)設(shè)備對(duì)與報(bào)文控制策略無(wú)法匹配上的報(bào)文進(jìn)行報(bào)文控制策略匹配計(jì)算�����,減少了無(wú)效查找����,提高了報(bào)文控制策略匹配的性能���。
【附圖說(shuō)明】
[0015]圖1是本申請(qǐng)一種實(shí)施例中報(bào)文控制策略的匹配方法流程圖����;
[0016]圖2是本申請(qǐng)一種實(shí)施例五元組掩碼的生成方法流程圖��;
[0017]圖3是本申請(qǐng)一種實(shí)施例中報(bào)文控制策略的匹配裝置的所在硬件設(shè)備的硬件示意圖�����;
[0018]圖4是本申請(qǐng)一種實(shí)施例中報(bào)文控制策略的匹配裝置示意圖。
【具體實(shí)施方式】
[0019]這里將詳細(xì)地對(duì)示例性實(shí)施例進(jìn)行說(shuō)明����,其示例表示在附圖中。下面的描述涉及附圖時(shí)���,除非另有表示��,不同附圖中的相同數(shù)字表示相同或相似的要素����。以下示例性實(shí)施例中所描述的實(shí)施方式并不代表與本申請(qǐng)相一致的所有實(shí)施方式�����。相反��,它們僅是與如所附權(quán)利要求書(shū)中所詳述的��、本申請(qǐng)的一些方面相一致的裝置和方法的例子���。
[0020]在本申請(qǐng)使用的術(shù)語(yǔ)是僅僅出于描述特定實(shí)施例的目的���,而非旨在限制本申請(qǐng)����。在本申請(qǐng)和所附權(quán)利要求書(shū)中所使用的單數(shù)形式的“一種”����、“所述”和“該”也旨在包括多數(shù)形式,除非上下文清楚地表示其他含義��。還應(yīng)當(dāng)理解����,本文中使用的術(shù)語(yǔ)“和/或”是指并包含一個(gè)或多個(gè)相關(guān)聯(lián)的列出項(xiàng)目的任何或所有可能組合。
[0021]應(yīng)當(dāng)理解�����,盡管在本申請(qǐng)可能采用術(shù)語(yǔ)第一��、第二�、第三等來(lái)描述各種信息���,但這些信息不應(yīng)限于這些術(shù)語(yǔ)���。這些術(shù)語(yǔ)僅用來(lái)將同一類(lèi)型的信息彼此區(qū)分開(kāi)����。例如����,在不脫離本申請(qǐng)范圍的情況下,第一信息也可以被稱(chēng)為第二信息��,類(lèi)似地��,第二信息也可以被稱(chēng)為第一信息��。取決于語(yǔ)境��,如在此所使用的詞語(yǔ)“如果”可以被解釋成為“在……時(shí)”或“當(dāng)……時(shí)”或“響應(yīng)于確定”�。
[0022]本申請(qǐng)中,報(bào)文控制策略可包括報(bào)文五元組信息以及對(duì)該報(bào)文的處理操作��。
[0023]參見(jiàn)圖1��,是本申請(qǐng)一種實(shí)施例中報(bào)文控制策略的匹配方法流程圖�����,該方法應(yīng)用于網(wǎng)絡(luò)設(shè)備,例如防火墻設(shè)備上�����,包括以下步驟:
[0024]步驟101:對(duì)接收的報(bào)文進(jìn)行解析�����,得到報(bào)文的五元組信息�����。
[0025]本實(shí)施例中��,網(wǎng)絡(luò)設(shè)備接收到報(bào)文后����,可對(duì)報(bào)文進(jìn)行解析得到的五元組信息,包括:源IP地址��、目的IP地址���、源端口、目的端口和協(xié)議號(hào)�����。
[0026]步驟102:將五元組信息中的每個(gè)信息與五元組掩碼中對(duì)應(yīng)掩碼做按位與運(yùn)算,得到對(duì)應(yīng)的五個(gè)運(yùn)算結(jié)果�����。
[0027]對(duì)應(yīng)于五元組信息����,五元組掩碼包括:源IP地址掩碼、目的IP地址掩碼�、源端口掩碼、目的端口掩碼���、協(xié)議號(hào)掩碼�。當(dāng)有新的報(bào)文控制策略下發(fā)時(shí)���,網(wǎng)絡(luò)設(shè)備都可根據(jù)新下發(fā)的報(bào)文控制策略對(duì)應(yīng)的五元組信息與網(wǎng)絡(luò)設(shè)備原來(lái)存儲(chǔ)的五元組掩碼中的每個(gè)掩碼對(duì)應(yīng)做按位或運(yùn)算�,生成并存儲(chǔ)一個(gè)五元組的掩碼����。生成五元組掩碼的具體操作可參見(jiàn)圖2。
[0028]由于五元組的掩碼是由所有報(bào)文控制策略對(duì)應(yīng)的五元組信息進(jìn)行或運(yùn)算計(jì)算得到的����,因此最后存儲(chǔ)的五元組掩碼值為I的位可以包含所有報(bào)文控制策略的五元組信息為I的位�。
[0029]網(wǎng)絡(luò)設(shè)備在接收到報(bào)文后��,可先將報(bào)文五元組信息中的每個(gè)信息與五元組掩碼中對(duì)應(yīng)掩碼做按位與運(yùn)算��,得到對(duì)應(yīng)的五個(gè)運(yùn)算結(jié)果����。
[0030]步驟103:判斷五個(gè)運(yùn)算結(jié)果中的每個(gè)運(yùn)算結(jié)果與五元組信息中的對(duì)應(yīng)信息是否完全相等。
[0031 ]如果完全相等�,則判定五個(gè)運(yùn)算結(jié)果與五元組信息對(duì)應(yīng)相等,并執(zhí)行步驟104���,否則判定五個(gè)運(yùn)算結(jié)果與五元組信息不相等��,并執(zhí)行步驟105���。
[0032]步驟104:如果五個(gè)運(yùn)算結(jié)果與五元組信息對(duì)應(yīng)相等,則在報(bào)文控制策略表中查找與報(bào)文匹配的報(bào)文控制策略�。
[0033]如果五個(gè)運(yùn)算結(jié)果與報(bào)文的五元組信息對(duì)應(yīng)相等,則說(shuō)明此報(bào)文的五元組信息很有可能存儲(chǔ)在報(bào)文控制策略表中���,因此可在報(bào)文控制策略表中使用快速匹配算法查找與報(bào)文匹配的報(bào)文控制策略��。
[0034]步驟105:如果五個(gè)運(yùn)算結(jié)果與五元組信息不相等�,則確定報(bào)文控制策略表中不存在與報(bào)文匹配的報(bào)文控制策略�,停止報(bào)文控制策略的匹配操作。
[0035]由于五元組的掩碼是由所有報(bào)文控制策略對(duì)應(yīng)的五元組信息進(jìn)行或運(yùn)算計(jì)算得到的�,因此最后存儲(chǔ)的五元組掩碼值為I的位可以包含所有報(bào)文控制策略的五元組信息為I的位。如果五個(gè)運(yùn)算結(jié)果與報(bào)文的五元組信息不相等����,則可確定此報(bào)文的五元組信息沒(méi)有存儲(chǔ)在報(bào)文控制策略表中,即報(bào)文控制策略表中不存在與報(bào)文匹配的報(bào)文控制策略����,停止報(bào)文控制策略的匹配操作以免造成無(wú)效查找。
[0036]結(jié)合圖1的實(shí)施例可知���,本申請(qǐng)中的網(wǎng)絡(luò)設(shè)備可通過(guò)使用五元組掩碼進(jìn)行預(yù)匹配���,可過(guò)濾掉部分不匹配報(bào)文控制策略表的流量,避免了網(wǎng)絡(luò)設(shè)備對(duì)與報(bào)文控制策略無(wú)法匹配上的報(bào)文進(jìn)行報(bào)文控制策略匹配計(jì)算�,減少了無(wú)效查找,提高了報(bào)文控制策略匹配的性能��。
[0037]參見(jiàn)圖2����,是本申請(qǐng)一種實(shí)施例五元組掩碼的生成方法流程圖:
[0038]步驟201:添加報(bào)文控制策略�。
[0039]當(dāng)有新的報(bào)文控制策略下發(fā)時(shí)�����,網(wǎng)絡(luò)設(shè)備可在報(bào)文控制策略表中添加報(bào)文控制策略�。
[0040]步驟202:將報(bào)文控制策略的對(duì)應(yīng)五元組信息與五元組掩碼中對(duì)應(yīng)掩碼做按位或運(yùn)算。
[0041]為了實(shí)現(xiàn)本申請(qǐng)���,需要預(yù)先設(shè)置五元組掩碼中每個(gè)掩碼的初始掩碼����,這里設(shè)置每個(gè)掩碼的初始掩碼為O��,五元組掩碼中各個(gè)掩碼的位數(shù)可與五元組信息對(duì)應(yīng)信息的位數(shù)相同��,也可統(tǒng)一設(shè)置為32位��,本申請(qǐng)對(duì)此不作特別限定�����。
[0042]下面以根據(jù)報(bào)文控制策略中對(duì)應(yīng)五元組信息中的源IP地址生成源IP地址掩碼為例描述生成掩碼的方法,五元組掩碼的其他掩碼的生成方法與此相同�����。
[0043]每次添加報(bào)文控制策略時(shí)都可將網(wǎng)絡(luò)設(shè)備中存儲(chǔ)的源IP地址掩碼與所添加的報(bào)文控制策略的源IP地址做按位或運(yùn)算����,根據(jù)O或I等于I�����,I或I等于I���,0或O等于O的原理����,源IP地址掩碼的掩碼值為I的位可包含所有源IP地址中值為I的位��。
[0044]例如����,網(wǎng)絡(luò)設(shè)備的報(bào)文控制策略表中存儲(chǔ)了2條策略,報(bào)文控制策略I的源IP地址為1.1.1.1����,報(bào)文控制策略2的源IP地址為2.2.2.2����。由于源IP地址掩碼的初始掩碼為O����,因此與報(bào)文控制策略I的源IP地址做按位或運(yùn)算后,結(jié)果為報(bào)文控制策略I的源IP地址����。報(bào)文控制策略I的源IP地址二進(jìn)制是00000001000000010000000100000001,則源IP地址中值為I的位是第O位�����,第8位�����,第16位����,第24位。報(bào)文控制策略2的源IP地址的二進(jìn)制是00000010000000100000001000000010,則值為 I 的位是第 I 位��,第9位,第17位�,第 25 位。
[0045]將報(bào)文控制策略I的源IP地址和報(bào)文控制策略2的源IP地址進(jìn)行位或運(yùn)算�,得到的結(jié)果是3.3.3.3,二進(jìn)制是00000011000000110000001100000011��,則結(jié)果值為I的bit位是第O位���,第I位��,第8位,第9位��,第16位���,第17位��,第24位����,第25位�。
[0046]按照此操作方法,即可生成五元組掩碼的其他掩碼�。
[0047]步驟203:存儲(chǔ)五元組掩碼。
[0048]結(jié)合圖2的實(shí)施例可知,本申請(qǐng)中的網(wǎng)絡(luò)設(shè)備可通過(guò)按位或運(yùn)算得到五元組掩碼���,以用于圖1所示的實(shí)施例對(duì)接收到的報(bào)文進(jìn)行預(yù)匹配��。
[0049]參見(jiàn)圖3��,是本申請(qǐng)一種實(shí)施例中報(bào)文控制策略的匹配裝置的所在硬件設(shè)備的硬件示意圖��。
[0050]本申請(qǐng)數(shù)據(jù)包過(guò)濾裝置的實(shí)施例可以應(yīng)用在網(wǎng)絡(luò)設(shè)備上�����。裝置實(shí)施例可以通過(guò)軟件實(shí)現(xiàn)���,也可以通過(guò)硬件或者軟硬件結(jié)合的方式實(shí)現(xiàn)。以軟件實(shí)現(xiàn)為例�����,作為一個(gè)邏輯意義上的裝置�����,是通過(guò)其所在設(shè)備的處理器將非易失性存儲(chǔ)器中對(duì)應(yīng)的計(jì)算機(jī)程序指令讀取到內(nèi)存中運(yùn)行形成的��。從硬件層面而言,如圖3所示�����,為本申請(qǐng)一種實(shí)施例中報(bào)文控制策略的匹配裝置的所在硬件設(shè)備的硬件示意圖�����,除了圖3所示的處理器���、內(nèi)存��、網(wǎng)絡(luò)接口����、以及非易失性存儲(chǔ)器之外��,實(shí)施例中裝置所在的設(shè)備通常根據(jù)該裝置的實(shí)際功能���,還可以包括其他硬件,對(duì)此不再贅述�����。
[0051]參見(jiàn)圖4,是本申請(qǐng)一種實(shí)施例中報(bào)文控制策略的匹配裝置示意圖��,該裝置可以應(yīng)用于網(wǎng)絡(luò)設(shè)備����,用于實(shí)現(xiàn)圖1所示實(shí)施例的方法,該裝置可以包括:解析單元410�����、運(yùn)算單元420����、匹配單元430。
[0052]解析單元410�����,用于對(duì)接收的報(bào)文進(jìn)行解析����,得到所述報(bào)文的五元組信息;
[0053]運(yùn)算單元420����,用于將所述五元組信息中的每個(gè)信息與五元組掩碼中對(duì)應(yīng)掩碼做按位與運(yùn)算����,得到對(duì)應(yīng)的五個(gè)運(yùn)算結(jié)果�;
[0054]匹配單元430,用于在所述五個(gè)運(yùn)算結(jié)果與所述五元組信息對(duì)應(yīng)相等時(shí)��,在報(bào)文控制策略表中查找與所述報(bào)文匹配的報(bào)文控制策略;在所述五個(gè)運(yùn)算結(jié)果與所述五元組信息不相等時(shí)��,確定所述報(bào)文控制策略表中不存在與所述報(bào)文匹配的報(bào)文控制策略���,停止報(bào)文控制策略的匹配操作�。
[0055]可選的�����,所述裝置還包括:生成單元440(圖4中未示出)����,用于生成五元組掩碼�。
[0056]其中,五元組掩碼包括源IP地址掩碼�����、目的IP地址掩碼、源端口掩碼���、目的端口掩碼���、協(xié)議號(hào)掩碼。
[0057]生成單元440����,具體用于在有報(bào)文控制策略下發(fā)時(shí),將所述報(bào)文控制策略的對(duì)應(yīng)五元組信息中的每個(gè)信息與所述五元組掩碼中對(duì)應(yīng)掩碼做按位或運(yùn)算����,生成新的五元組掩碼。
[0058]可選的�����,所述裝置還包括:預(yù)設(shè)單元450(圖4中未示出)���,用于預(yù)先設(shè)置五元組掩碼中每個(gè)掩碼的初始掩碼�����。
[0059]可選的��,所述裝置還包括:判斷單元460(圖4中未示出)��,用于判斷所述五個(gè)運(yùn)算結(jié)果中的每個(gè)運(yùn)算結(jié)果與所述五元組信息中的對(duì)應(yīng)信息是否完全相等��,如果完全相等�,則判定所述五個(gè)運(yùn)算結(jié)果與所述五元組信息對(duì)應(yīng)相等,否則判定所述五個(gè)運(yùn)算結(jié)果與所述五元組信息不相等���。
[0060]上述裝置中各個(gè)單元的功能和作用的實(shí)現(xiàn)過(guò)程具體詳見(jiàn)上述方法中對(duì)應(yīng)步驟的實(shí)現(xiàn)過(guò)程��,在此不再贅述�。
[0061]對(duì)于裝置實(shí)施例而言��,由于其基本對(duì)應(yīng)于方法實(shí)施例�,所以相關(guān)之處參見(jiàn)方法實(shí)施例的部分說(shuō)明即可。以上所描述的裝置實(shí)施例僅僅是示意性的���,其中所述作為分離部件說(shuō)明的單元可以是或者也可以不是物理上分開(kāi)的�����,作為單元顯示的部件可以是或者也可以不是物理單元,即可以位于一個(gè)地方�,或者也可以分布到多個(gè)網(wǎng)絡(luò)單元上��?���?梢愿鶕?jù)實(shí)際的需要選擇其中的部分或者全部模塊來(lái)實(shí)現(xiàn)本申請(qǐng)方案的目的��。本領(lǐng)域普通技術(shù)人員在不付出創(chuàng)造性勞動(dòng)的情況下�,即可以理解并實(shí)施。
[0062]以上所述僅為本申請(qǐng)的較佳實(shí)施例而已���,并不用以限制本申請(qǐng)�����,凡在本申請(qǐng)的精神和原則之內(nèi)����,所做的任何修改����、等同替換、改進(jìn)等�,均應(yīng)包含在本申請(qǐng)保護(hù)的范圍之內(nèi)。
【主權(quán)項(xiàng)】
1.一種報(bào)文控制策略的匹配方法,應(yīng)用于網(wǎng)絡(luò)設(shè)備上����,其特征在于,所述方法包括: 對(duì)接收的報(bào)文進(jìn)行解析�����,得到所述報(bào)文的五元組信息��; 將所述五元組信息中的每個(gè)信息與五元組掩碼中對(duì)應(yīng)掩碼做按位與運(yùn)算��,得到對(duì)應(yīng)的五個(gè)運(yùn)算結(jié)果����; 如果所述五個(gè)運(yùn)算結(jié)果與所述五元組信息對(duì)應(yīng)相等,則在報(bào)文控制策略表中查找與所述報(bào)文匹配的報(bào)文控制策略���; 如果所述五個(gè)運(yùn)算結(jié)果與所述五元組信息不相等��,則確定所述報(bào)文控制策略表中不存在與所述報(bào)文匹配的報(bào)文控制策略�����,停止報(bào)文控制策略的匹配操作�����。2.根據(jù)權(quán)利要求1所述的方法�,其特征在于��,所述方法還包括:生成五元組掩碼�����。3.根據(jù)權(quán)利要求2所述的方法��,其特征在于�,所述五元組掩碼包括源IP地址掩碼、目的IP地址掩碼���、源端口掩碼�����、目的端口掩碼��、協(xié)議號(hào)掩碼���; 所述生成五元組掩碼,包括: 當(dāng)有報(bào)文控制策略下發(fā)時(shí),將所述報(bào)文控制策略的對(duì)應(yīng)五元組信息中的每個(gè)信息與所述五元組掩碼中對(duì)應(yīng)掩碼做按位或運(yùn)算�,生成新的五元組掩碼。4.根據(jù)權(quán)利要求3所述的方法���,其特征在于�,所述生成五元組掩碼之前����,還包括:預(yù)先設(shè)置五元組掩碼中每個(gè)掩碼的初始掩碼。5.根據(jù)權(quán)利要求1所述的方法����,其特征在于,所述將所述五元組信息中的每個(gè)信息與五元組掩碼中對(duì)應(yīng)掩碼做按位與運(yùn)算之后��,還包括: 判斷所述五個(gè)運(yùn)算結(jié)果中的每個(gè)運(yùn)算結(jié)果與所述五元組信息中的對(duì)應(yīng)信息是否完全相等�,如果完全相等,則判定所述五個(gè)運(yùn)算結(jié)果與所述五元組信息對(duì)應(yīng)相等�,否則判定所述五個(gè)運(yùn)算結(jié)果與所述五元組信息不相等。6.一種報(bào)文控制策略的匹配裝置��,應(yīng)用于網(wǎng)絡(luò)設(shè)備上���,其特征在于�,所述裝置包括: 解析單元,用于對(duì)接收的報(bào)文進(jìn)行解析�,得到所述報(bào)文的五元組信息; 運(yùn)算單元�,用于將所述五元組信息中的每個(gè)信息與五元組掩碼中對(duì)應(yīng)掩碼做按位與運(yùn)算,得到對(duì)應(yīng)的五個(gè)運(yùn)算結(jié)果����; 匹配單元��,用于在所述五個(gè)運(yùn)算結(jié)果與所述五元組信息對(duì)應(yīng)相等時(shí)���,在報(bào)文控制策略表中查找與所述報(bào)文匹配的報(bào)文控制策略;在所述五個(gè)運(yùn)算結(jié)果與所述五元組信息不相等時(shí)��,確定所述報(bào)文控制策略表中不存在與所述報(bào)文匹配的報(bào)文控制策略���,停止報(bào)文控制策略的匹配操作。7.根據(jù)權(quán)利要求6所述的裝置��,其特征在于��,所述裝置還包括:生成單元���,用于生成五元組掩碼����。8.根據(jù)權(quán)利要求7所述的裝置,其特征在于��,所述五元組掩碼包括源IP地址掩碼��、目的IP地址掩碼���、源端口掩碼�����、目的端口掩碼��、協(xié)議號(hào)掩碼���; 所述生成單元,具體用于在有報(bào)文控制策略下發(fā)時(shí)��,將所述報(bào)文控制策略的對(duì)應(yīng)五元組信息中的每個(gè)信息與所述五元組掩碼中對(duì)應(yīng)掩碼做按位或運(yùn)算�,生成新的五元組掩碼。9.根據(jù)權(quán)利要求8所述的裝置�,其特征在于,所述裝置還包括:預(yù)設(shè)單元�����,用于預(yù)先設(shè)置五元組掩碼中每個(gè)掩碼的初始掩碼。10.根據(jù)權(quán)利要求6所述的裝置����,其特征在于,所述裝置還包括:判斷單元����,用于判斷所述五個(gè)運(yùn)算結(jié)果中的每個(gè)運(yùn)算結(jié)果與所述五元組信息中的對(duì)應(yīng)信息是否完全相等,如果完全相等���,則判定所述五個(gè)運(yùn)算結(jié)果與所述五元組信息對(duì)應(yīng)相等,否則判定所述五個(gè)運(yùn)算結(jié)果與所述五元組信息不相等�。
【文檔編號(hào)】H04L12/813GK105939284SQ201610016462
【公開(kāi)日】2016年9月14日
【申請(qǐng)日】2016年1月8日
【發(fā)明人】黃曉朦, 劉欣然, 吳剛, 王勇, 王濤, 郭三川, 翟海濱
【申請(qǐng)人】杭州迪普科技有限公司, 國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心