【技术实现步骤摘要】
一种过滤策略管理系统及其方法
本申请涉及互联网
,尤其涉及一种过滤策略管理系统及其方法。
技术介绍
过滤策略的原理是逐包对通过防火墙的报文进行报文头检查,对满足过滤条件的报文进行相应的策略操作。先获取报文头的信息,例如源IP地址、目的IP地址、IP层承载的上层协议的协议号、源端口号、目的端口号等等,当报文头匹配成功后,则对报文执行转发、丢弃等操作。过滤策略本质上是对报文的分类。一般情况下,将过滤策略存储于如DDR等硬件中,可以快速执行报文的匹配,但硬件侧无法高效快速的响应用户的需求,在用户需要对过滤策略进行增/删/改时,效率较低。
技术实现思路
针对上述技术问题,本申请实施例提供一种过滤策略管理系统及其方法,技术方案如下:根据本申请实施例的第一方面,提供一种过滤策略管理系统,所述系统包括第一存储模块和第二存储模块,所述第一存储模块,包括哈希链区域与哈希链尾区域,所述哈希链区域与所述哈希链尾区域分别包括多个数据块,每个数据块具有索引值且对应存储一条过滤策略,所述第一存储模块用于...
【技术保护点】
1.一种过滤策略管理系统,其特征在于,所述系统包括第一存储模块和第二存储模块,/n所述第一存储模块,包括哈希链区域与哈希链尾区域,所述哈希链区域与所述哈希链尾区域分别包括多个数据块,每个数据块具有索引值且对应存储一条过滤策略,所述第一存储模块用于根据所存储的过滤策略执行报文匹配;/n所述第二存储模块,包括哈希链表结构,所述哈希链表结构包括多个头节点,每个头节点下包括基础节点,每个基础节点中对应存储一条过滤策略,所述第二存储模块用于接收用户的策略管理操作,以对应更改存储的过滤策略;/n第一存储模块和第二存储模块中存储的过滤策略一一对应,当所述第二存储模块中的过滤策略发生变更时...
【技术特征摘要】
1.一种过滤策略管理系统,其特征在于,所述系统包括第一存储模块和第二存储模块,
所述第一存储模块,包括哈希链区域与哈希链尾区域,所述哈希链区域与所述哈希链尾区域分别包括多个数据块,每个数据块具有索引值且对应存储一条过滤策略,所述第一存储模块用于根据所存储的过滤策略执行报文匹配;
所述第二存储模块,包括哈希链表结构,所述哈希链表结构包括多个头节点,每个头节点下包括基础节点,每个基础节点中对应存储一条过滤策略,所述第二存储模块用于接收用户的策略管理操作,以对应更改存储的过滤策略;
第一存储模块和第二存储模块中存储的过滤策略一一对应,当所述第二存储模块中的过滤策略发生变更时,同步变更所述第一存储模块中的对应过滤策略。
2.如权利要求1所述的过滤策略管理系统,其特征在于,所述基础节点包括:
五元组存储区域,用于存储过滤策略的五元组信息;
规则存储区域,用于存储五元组匹配成功后的处理动作;
地址存储区域,用于存储本基础节点对应的数据块的索引值,以及下一基础节点对应的数据块的索引值,所述基础节点和对应的数据块中存储有对应的过滤策略。
3.一种应用于权利要求1或2所述过滤策略管理系统的过滤策略添加方法,其特征在于,所述方法包括:
获取一个空闲的基础节点,将所述待添加策略中的五元组信息写入所述基础节点的五元组存储区域;
根据所述五元组信息计算哈希值,在所述第二存储模块的哈希链表结构中查找与所述哈希值一致的头节点,将所述基础节点添加在所述头节点下,其中,所述头节点下的基础节点包括首尾指针,所述基础节点通过首指针连接上一基础节点,通过尾指针连接下一基础节点;
在第一存储模块中选择一个空闲的数据块,将所述待添加策略写入所述数据块中,并将所述数据块的索引值写入所述基础节点的地址存储区域。
4.如权利要求3所述的过滤策略添加方法,其特征在于,所述获取一个空闲的基础节点,包括:
在基础节点链表中获取一个基础节点,所述基础节点链表中包括多个空闲基础节点,且所述多个空闲基础节点通过首尾指针彼此相连。
5.如权利要求3所述的过滤策略添加方法,其特征在于,所述在第一存储模块中选择一个空闲的数据块,包括:
通过第一位图,判断与计算出的哈希值一致的头节点下是否已存在基础节点,所述第一位图通过位的状态标识对应所述位的头节点的占用状态;
若所述头节点下不存在基础节点,则在第一存储模块中的哈希链区域查找索引值与所述哈希值一致的数据块,将所述数据块确定为已选择的空闲数据块;
若所述头节点下存在基础节点,则遍历第二位图,直到获取到第一存储模块的哈希链尾区域的一个空闲数据块,将所述数据块确定为已选择的空闲数据块,所述第二位图通过位的状态标识对应所述位的数据块的占用状态。
6.一种应用于权利要求1或2所述过滤...
【专利技术属性】
技术研发人员:江荧荧,
申请(专利权)人:杭州迪普信息技术有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。