一种报文过滤的方法和装置制造方法及图纸

本申请提供一种报文过滤的方法和装置，应用于宽带远程接入服务器。所述方法包括：转发芯片将接收到的报文与会话表项进行匹配；其中，所述会话表项包括MAC地址，以及与所述MAC地址对应的报文处理标签；如果所述报文未命中会话表项，转发芯片将所述报文上送至CPU，由CPU基于源MAC地址对发送所述报文的目标设备进行安全认证，并基于安全认证的结果为所述报文生成会话表项，以及将所述会话表项下发至转发芯片；如果所述报文命中会话表项，转发芯片基于所述会话表项中的报文处理标签对所述报文进行过滤处理。采用本申请提供的方法，可以提高设备报文过滤的性能。

【技术实现步骤摘要】
一种报文过滤的方法和装置
本申请涉及网络通信
，特别涉及一种报文过滤的方法和装置。
技术介绍
随着网络技术的不断发展，接入网络的设备数量以及设备的种类越来越多，从而使得在一些特定的使用场景中报文的流量过大，且在这大量的报文中，含有大量杂包，甚至含有大量攻击报文以及窃取网络资源的非法报文等。在现有技术中，通过带有包过滤功能的设备将这些非法报文进行过滤。在实现时，设备接收到报文时，可以将报文上送至CPU，CPU可以从所述报文中获取该报文的五元组，然后基于所述五元组对该报文进行认证，如果认证通过就可以将该报文正常转发；如果认证失败，可以将该报文丢弃。然而，现有技术无法彻底对非法报文完全过滤，且现有技术的会话策略是在IP层实现的，需要获取报文的五元组信息，而获得五元组信息需要逐层解析报文，从而使得设备性能较差。
技术实现思路
有鉴于此，本申请提供一种报文过滤的方法和装置，应用于宽带远程接入服务器，提高网络资源的安全性。具体地，本申请是通过如下技术方案实现的：一种报文过滤的方法，应用于宽带远程接入服务器，所述宽带远程接入服务器包括CPU和转发芯片，包括：转发芯片将接收到的报文与会话表项进行匹本文档来自技高网...

【技术保护点】
一种报文过滤的方法，应用于宽带远程接入服务器，所述宽带远程接入服务器包括CPU和转发芯片，其特征在于，包括：转发芯片将接收到的报文与会话表项进行匹配；其中，所述会话表项包括MAC地址，以及与所述MAC地址对应的报文处理标签；如果所述报文未命中会话表项，转发芯片将所述报文上送至CPU，由CPU基于源MAC地址对发送所述报文的目标设备进行安全认证，并基于安全认证的结果为所述报文生成会话表项，以及将所述会话表项下发至转发芯片；如果所述报文命中会话表项，转发芯片基于所述会话表项中的报文处理标签对所述报文进行过滤处理。

【技术特征摘要】
1.一种报文过滤的方法，应用于宽带远程接入服务器，所述宽带远程接入服务器包括CPU和转发芯片，其特征在于，包括：转发芯片将接收到的报文与会话表项进行匹配；其中，所述会话表项包括MAC地址，以及与所述MAC地址对应的报文处理标签；如果所述报文未命中会话表项，转发芯片将所述报文上送至CPU，由CPU基于源MAC地址对发送所述报文的目标设备进行安全认证，并基于安全认证的结果为所述报文生成会话表项，以及将所述会话表项下发至转发芯片；如果所述报文命中会话表项，转发芯片基于所述会话表项中的报文处理标签对所述报文进行过滤处理。2.根据权利要求1所述的方法，其特征在于，所述基于源MAC地址对发送所述报文的目标设备进行安全认证，并基于安全认证的结果为所述报文生成会话表项，包括：获取所述报文的源MAC地址；将所述源MAC地址与预设的MAC地址白名单进行匹配；如果所述源MAC地址未命中所述MAC地址白名单，基于所述源MAC地址创建会话表项，并基于用户预配置的过滤策略在所述会话表项中添加对应的报文处理标签。3.根据权利要求2所述的方法，其特征在于，还包括：如果所述源MAC地址命中所述MAC地址白名单，基于所述源MAC地址创建会话表项；其中，所述会话表项未携带报文处理标签。4.根据权利要求2或3所述的方法，其特征在于，所述报文处理标签包括阻断标签以及告警标签；所述基于所述会话表项中的报文处理标签对所述报文进行过滤处理，包括：判断所述会话表项是否携带报文处理标签；如果所述会话表项未携带报文处理标签，正常转发所述报文；如果所述会话表项携带报文处理标签，则进一步识别所述处理标签的类型；如果所述报文处理标签为阻断标签，将所述报文进行丢弃；如果所述报文处理标签为告警标签，生成告警日志，并将所述生成的告警日志下发至告警日志服务器。5.根据权利要求2所述的方法，其特征在于，所述方法还包括：当所述预设的MAC地址白名单发生更新时，CPU通知所述转发芯片清空所...

【专利技术属性】
技术研发人员：宋爽，仇俊杰，
申请(专利权)人：杭州迪普科技股份有限公司，
类型：发明
国别省市：浙江,33