一种数据包过滤方法及装置制造方法及图纸

本申请提供一种数据包过滤方法及装置，所述方法包括：网络设备将预配置的若干条包过滤规则划分为若干条分组规则；其中，各分组规则分别对应不同的预设字段，各分组规则由与其对应的预设字段在所述若干条包过滤规则中对应的字段取值构成；网络设备提取接收到的目标数据包对应于各预设字段的字段取值，并将提取到的各字段取值分别与其对应的分组规则进行并行匹配；然后计算各字段取值与其对应的分组规则的匹配结果的交集，基于该交集确定该目标数据包匹配到的包过滤规则，并基于该包过滤规则对应的包过滤策略对该目标数据包执行包过滤处理。本申请解决了现有技术在对包过滤规则预处理时因为包过滤规则的数量增加，导致匹配效率下降的问题。

Data packet filtering method and device

This application provides a data packet filtering method and device, the method includes: network equipment will be pre configured of a plurality of packet filtering rules are divided into several groups, each group of rules; rules corresponding to different preset field, each packet corresponding to the preset rules by the field in a plurality of packet filtering in a field value corresponding to the rules; network equipment field value extraction target received data packets corresponding to the preset field, parallel matching grouping rules of the field values and to extract corresponding matching results; intersection grouping rules and then calculate the value of the corresponding field, the packet filtering rules the intersection of determining the target packet matching based on packet filtering and based on the strategy corresponding to the packet filtering rules of the target data package performs packet filtering processing . The invention solves the problem that the matching efficiency is reduced because of the increase of the number of packet filtering rules when the prior art of packet filtering rules is processed.

【技术实现步骤摘要】
一种数据包过滤方法及装置
本申请涉及网络安全领域，特别涉及一种数据包过滤方法及装置。
技术介绍
在网络安全领域，包过滤规则是用户配置的对进出网络的数据包进行过滤的规则，通常由源IP地址、目的IP地址、端口号、协议等字段组成。网络设备根据配置的不同的包过滤规则而采取不同的过滤策略。为了使网络设备能够快速地根据包过滤规则匹配数据包，通常需要将包过滤规则进行预处理。网络设备根据预处理后的包过滤规则匹配接收到的数据包。由于包过滤规则是多个字段组成的一个多维数据，在预处理的过程中可能会拆分其中的一些字段，从而导致包过滤规则数量的增加，在这种情况下，网络设备在接收到数据包后，会根据每一条包过滤规则依次去匹配数据包，直到匹配成功。可见，包过滤规则的数量增加后，会导致网络设备在根据包过滤规则匹配数据包的工作量增加，整个过程的匹配效率下降。
技术实现思路
有鉴于此，本申请提供一种数据包过滤方法及装置，用以解决现有技术在对包过滤规则预处理的过程中因为包过滤规则的数量增加，导致匹配效率下降的问题。具体地，本申请是通过如下技术方案实现的：一种数据包过滤方法，应用于网络设备，所述网络设备预配置了由若干个预设字段构成的若干条包过滤规则，包括：将所述若干条包过滤规则划分为对应于各预设字段的若干条分组规则；其中，各分组规则分别对应不同的预设字段；各分组规则由与其对应的预设字段在所述若干条包过滤规则中对应的字段取值构成；提取接收到的目标数据包对应于各预设字段的字段取值；将提取到的各字段取值分别与其对应的分组规则进行并行匹配；计算各字段取值与其对应的分组规则的匹配结果的交集，基于计算出的所述交集确定该目标数据包匹配到的包过滤规则，并基于匹配到的该包过滤规则对应的包过滤策略针对该目标数据包执行包过滤处理。在所述数据包过滤方法中，所述将所述若干条包过滤规则划分为对应于各预设字段的若干条分组规则，包括：将各预设字段依次选定为目标字段；分别提取各包过滤规则对应于所述目标字段的字段取值；基于提取出的各包过滤规则对应于所述目标字段的字段取值，以及与该字段取值对应的包过滤规则标识，创建对应于该目标字段的分组规则。在所述数据包过滤方法中，还包括：基于预设的算法分别对各分组规则进行处理，使得处理后的分组规则更适合与提取到的各字段取值进行匹配。在所述数据包过滤方法中，还包括：当各预设字段中存在相关的多个预设字段，将为该多个预设字段分别创建的分组规则进行合并；以及，当创建的任一分组规则中包括多个相同的字段取值，则将该多个字段取值所对应的包过滤规则标识进行合并。在所述数据包过滤方法中，各分组规则分别预配置了不同的匹配线程；所述将提取到的各字段取值分别与其对应的分组规则进行并行匹配，包括：将提取到的各字段取值分别提交至为与其对应的分组规则预配置的匹配线程，由该匹配线程将接收到的字段取值与其对应的分组规则中记录的各字段取值分别进行匹配；其中，各匹配线程为各字段取值分别创建了对应的bitmap表；该bitmap表中包括若干个用于记录匹配结果的bit位；每个bit位分别与所述分组规则中记录的包过滤规则的标识相对应；各匹配线程将提取到的各字段取值与其对应的分组规则中记录的各字段取值的匹配结果，记录至所述bitmap表中对应的bit位。在所述数据包过滤方法中，所述bitmap表中的bit位取值为1时，表示与该bit位对应的包过滤规则匹配；所述计算各字段取值与其对应的分组规则的匹配结果的交集，基于计算出的所述交集确定该目标数据包匹配到的包过滤规则，包括：将与各字段取值对应的bitmap表进行按位与运算；其中，所述bitmap表中的bit位的排列顺序对应于所述包过滤规则的优先级顺序；将按位与运算后第一个取值为1的bit位对应的包过滤规则确定为所述目标数据包匹配到的包过滤规则。一种数据包过滤装置，应用于网络设备，所述网络设备预配置了由若干个预设字段构成的若干条包过滤规则，包括：划分单元，用于将所述若干条包过滤规则划分为对应于各预设字段的若干条分组规则；其中，各分组规则分别对应不同的预设字段；各分组规则由与其对应的预设字段在所述若干条包过滤规则中对应的字段取值构成；提取单元，用于提取接收到的目标数据包对应于各预设字段的字段取值；匹配单元，用于将提取到的各字段取值分别与其对应的分组规则进行并行匹配；计算单元，用于计算各字段取值与其对应的分组规则的匹配结果的交集，基于计算出的所述交集确定该目标数据包匹配到的包过滤规则，并基于匹配到的该包过滤规则对应的包过滤策略针对该目标数据包执行包过滤处理。在所述数据包过滤装置中，所述划分单元，进一步用于：将各预设字段依次选定为目标字段；分别提取各包过滤规则对应于所述目标字段的字段取值；基于提取出的各包过滤规则对应于所述目标字段的字段取值，以及与该字段取值对应的包过滤规则标识，创建对应于该目标字段的分组规则。在所述数据包过滤装置中，所述装置还包括：处理单元，用于基于预设的算法分别对各分组规则进行处理，使得处理后的分组规则更适合与提取到的各字段取值进行匹配。在所述数据包过滤装置中，其特征在于，所述装置还包括：合并单元，用于当各预设字段中存在相关的多个预设字段，将为该多个预设字段分别创建的分组规则进行合并；以及，当创建的任一分组规则中包括多个相同的字段取值，则将该多个字段取值所对应的包过滤规则标识进行合并。在所述数据包过滤装置中，各分组规则分别预配置了不同的匹配线程；所述匹配单元，进一步用于：将提取到的各字段取值分别提交至为与其对应的分组规则预配置的匹配线程，由该匹配线程将接收到的字段取值与其对应的分组规则中记录的各字段取值分别进行匹配；其中，各匹配线程为各字段取值分别创建了对应的bitmap表；该bitmap表中包括若干个用于记录匹配结果的bit位；每个bit位分别与所述分组规则中记录的包过滤规则的标识相对应；各匹配线程将提取到的各字段取值与其对应的分组规则中记录的各字段取值的匹配结果，记录至所述bitmap表中对应的bit位。在所述数据包过滤装置中，所述bitmap表中的bit位取值为1时，表示与该bit位对应的包过滤规则匹配；所述计算单元，进一步用于：将与各字段取值对应的bitmap表进行按位与运算；其中，所述bitmap表中的bit位的排列顺序对应于所述包过滤规则的优先级顺序；将按位与运算后第一个取值为1的bit位对应的包过滤规则确定为所述目标数据包匹配到的包过滤规则。在本申请实施例中，网络设备预配置了由若干个预设字段构成的若干条包过滤规则，将所述若干条包过滤规则划分为对应于各预设字段的若干条分组规则；其中，各分组规则分别对应不同的预设字段；各分组规则由与其对应的预设字段在所述若干条包过滤规则中对应的字段取值构成；网络设备提取接收到的目标数据包对应于各预设字段的字段取值，并将提取到的各字段取值分别与其对应的分组规则进行并行匹配；然后计算各字段取值与其对应的分组规则的匹配结果的交集，基于计算出的所述交集确定该目标数据包匹配到的包过滤规则，并基于匹配到的该包过滤规则对应的包过滤策略针对该目标数据包执行包过滤处理。由于在本申请中，网络设备将预配置的若干条包过滤规则划分为对应于各预设字段的若干条分组规则，然后根据若干条分组规则并行地对接收到的目本文档来自技高网...

【技术保护点】
一种数据包过滤方法，应用于网络设备，所述网络设备预配置了由若干个预设字段构成的若干条包过滤规则，其特征在于，包括：将所述若干条包过滤规则划分为对应于各预设字段的若干条分组规则；其中，各分组规则分别对应不同的预设字段；各分组规则由与其对应的预设字段在所述若干条包过滤规则中对应的字段取值构成；提取接收到的目标数据包对应于各预设字段的字段取值；将提取到的各字段取值分别与其对应的分组规则进行并行匹配；计算各字段取值与其对应的分组规则的匹配结果的交集，基于计算出的所述交集确定该目标数据包匹配到的包过滤规则，并基于匹配到的该包过滤规则对应的包过滤策略针对该目标数据包执行包过滤处理。

【技术特征摘要】
1.一种数据包过滤方法，应用于网络设备，所述网络设备预配置了由若干个预设字段构成的若干条包过滤规则，其特征在于，包括：将所述若干条包过滤规则划分为对应于各预设字段的若干条分组规则；其中，各分组规则分别对应不同的预设字段；各分组规则由与其对应的预设字段在所述若干条包过滤规则中对应的字段取值构成；提取接收到的目标数据包对应于各预设字段的字段取值；将提取到的各字段取值分别与其对应的分组规则进行并行匹配；计算各字段取值与其对应的分组规则的匹配结果的交集，基于计算出的所述交集确定该目标数据包匹配到的包过滤规则，并基于匹配到的该包过滤规则对应的包过滤策略针对该目标数据包执行包过滤处理。2.根据权利要求1所述的方法，其特征在于，所述将所述若干条包过滤规则划分为对应于各预设字段的若干条分组规则，包括：将各预设字段依次选定为目标字段；分别提取各包过滤规则对应于所述目标字段的字段取值；基于提取出的各包过滤规则对应于所述目标字段的字段取值，以及与该字段取值对应的包过滤规则标识，创建对应于该目标字段的分组规则。3.根据权利要求2所述的方法，其特征在于，所述方法还包括：基于预设的算法分别对各分组规则进行处理，使得处理后的分组规则更适合与提取到的各字段取值进行匹配。4.根据权利要求2所述的方法，其特征在于，所述方法还包括：当各预设字段中存在相关的多个预设字段，将为该多个预设字段分别创建的分组规则进行合并；以及，当创建的任一分组规则中包括多个相同的字段取值，则将该多个字段取值所对应的包过滤规则标识进行合并。5.根据权利要求2所述的方法，其特征在于，各分组规则分别预配置了不同的匹配线程；所述将提取到的各字段取值分别与其对应的分组规则进行并行匹配，包括：将提取到的各字段取值分别提交至为与其对应的分组规则预配置的匹配线程，由该匹配线程将接收到的字段取值与其对应的分组规则中记录的各字段取值分别进行匹配；其中，各匹配线程为各字段取值分别创建了对应的bitmap表；该bitmap表中包括若干个用于记录匹配结果的bit位；每个bit位分别与所述分组规则中记录的包过滤规则的标识相对应；各匹配线程将提取到的各字段取值与其对应的分组规则中记录的各字段取值的匹配结果，记录至所述bitmap表中对应的bit位。6.根据权利要求5所述的方法，其特征在于，所述bitmap表中的bit位取值为1时，表示与该bit位对应的包过滤规则匹配；所述计算各字段取值与其对应的分组规则的匹配结果的交集，基于计算出的所述交集确定该目标数据包匹配到的包过滤规则，包括：将与各字段取值对应的bitmap表进行按位与运算；其中，所述bitmap表中的bit位的排列顺序对应于所述包过滤规则的优先级顺序；将按位与运算后第一个取值为1的bit位对应的包过滤规...

【专利技术属性】
技术研发人员：谭天，
申请(专利权)人：杭州迪普科技股份有限公司，
类型：发明
国别省市：浙江,33