一种访问控制列表快速过滤方法及装置制造方法及图纸

本发明专利技术涉及一种访问控制列表快速过滤方法及装置，该方法包括：获取待匹配规则的五元组信息，并转化为第一记录信息；根据所述第一记录信息，确定整体索引值，插入至红黑树上对应的放置节点；获取报文的五元组信息，并转化为第二记录信息，根据所述第二记录信息在所述红黑树上进行节点匹配，若存在匹配的所述放置节点，则报文命中。本发明专利技术基于五元组范围信息，实现网络边界设备对五元组范围信息的快速过滤，保证网络安全，对指定的五元组网段进行有效的阻断，整体搜索查询非常快。整体搜索查询非常快。整体搜索查询非常快。

【技术实现步骤摘要】
一种访问控制列表快速过滤方法及装置


[0001]本专利技术涉及计算机网络
，尤其涉及一种访问控制列表快速过滤方法及装置。

技术介绍

[0002]在现代的网络应用中，尤其是在一些应用要求严格的地方，管理员需要及时的对一些五元组网段进行阻断。倘若直接使用基于IP的黑名单，该种方案或系统直接限制了该终端所有行为，应用十分受限。如果直接使用基于“源IP、目的IP、源端口、目的端口、协议类型”的五元组进行过滤，确实能够限制具体的应用，但是因为五元组的组合会产生数以万计的节点，设备根本无法使用。因此，如何提出快速准确的规则匹配方法是亟待解决的问题。

技术实现思路

[0003]有鉴于此，有必要提供一种访问控制列表快速过滤方法及装置，用以克服现有技术中复杂网络环境中规则过滤不够准确有效的问题。
[0004]本专利技术提供一种访问控制列表快速过滤方法，包括：
[0005]获取待匹配规则的五元组信息，并转化为第一记录信息；
[0006]根据所述第一记录信息，确定整体索引值，插入至红黑树上对应的放置节点；
[0007]获取报文的五元组信息，并转化为第二记录信息，根据所述第二记录信息在所述红黑树上进行节点匹配，若存在匹配的所述放置节点，则报文命中。
[0008]进一步地，所述五元组信息包括源IP、目的IP、源端口、目的端口、协议类型，所述获取待匹配规则的五元组信息，并转化为第一记录信息包括：
[0009]获取所述待匹配规则的源IP、目的IP、源端口、目的端口和协议类型，确定对应的源IP范围、目的IP范围、源端口范围、目的端口范围和协议类型范围；
[0010]根据所述待匹配规则的源IP范围、目的IP范围、源端口范围、目的端口范围和协议类型范围，形成指定形式，确定所述第一记录信息。
[0011]进一步地，所述根据所述第一记录信息，确定整体索引值，插入至红黑树上对应的放置节点包括：
[0012]根据所述第一记录信息，确定对应的所述源IP范围、所述目的IP范围、所述源端口范围、所述目的端口范围和所述协议类型范围；
[0013]根据所述源IP范围、所述目的IP范围、所述源端口范围、所述目的端口范围和所述协议类型范围，确定所述整体索引值；
[0014]根据所述整体索引值，确定对应的所述放置节点，将所述待匹配规则插入至所述红黑树的所述放置节点。
[0015]进一步地，所述红黑树包括第一红黑树和第二红黑树，将所述待匹配规则插入至所述第一红黑树的放置节点后，将所述待匹配规则插入至所述第二红黑树同样的放置节点，其中，所述第二红黑树用于作为查询源。
[0016]进一步地，当从所述红黑树上删除所述待匹配规则时，禁用所述待匹配规则对应的所述放置节点，形成禁用节点；当所述红黑树的放置节点数量达到预设数量时，依次删除所述红黑树上的所述禁用节点。
[0017]进一步地，所述获取报文的五元组信息，并转化为第二记录信息包括：
[0018]获取所述报文的源IP、目的IP、源端口、目的端口和协议类型，确定对应的源IP范围、目的IP范围、源端口范围、目的端口范围和协议类型范围，形成指定形式，确定所述第二记录信息。
[0019]进一步地，所述根据所述第二记录信息在所述红黑树上进行节点匹配包括：
[0020]判断红黑树上的放置节点是否处于有效状态；
[0021]若处于，则提取出所述放置节点的所述第一记录信息，根据所述第一记录信息，确定对应的第一高字节和第一低字节；
[0022]基于所述第一高字节和所述第一低字节，与所述第二记录信息进行比较，确定所述第二记录信息是否与所述放置节点相匹配。
[0023]进一步地，所述根据所述第一记录信息，确定对应的第一高字节和第一低字节包括：
[0024]根据所述第一记录信息，确定对应的所述待匹配规则的源IP范围、目的IP 范围、源端口范围、目的端口范围和协议类型范围；
[0025]根据所述源IP范围，确定最大源IP和最小源IP，根据所述目的IP范围，确定最大目的IP和最小目的IP，根据所述源端口范围，确定最大源端口和最小源端口，根据所述目的端口范围，确定最大目的端口和最小目的端口，根据协议类型范围，确定最大协议类型和最小协议类型；
[0026]根据所述最大源IP、所述最大目的IP、所述最大源端口、所述最大目的端口和所述最大协议类型，形成所述第一高字节；
[0027]根据所述最小源IP、所述最小目的IP、所述最小源端口、所述最小目的端口和所述最小协议类型，形成所述第一低字节。
[0028]进一步地，所述基于所述第一高字节和所述第一低字节，与所述第二记录信息进行比较，确定所述第二记录信息是否与所述放置节点相匹配包括：
[0029]根据所述第一高字节和所述第一高字节，形成所述待匹配规则的源IP范围、目的IP范围、源端口范围、目的端口范围和协议类型范围；
[0030]提取所述第二记录信息中的源IP、目的IP、源端口、目的端口和协议类型，分别与所述源IP范围、所述目的IP范围、所述源端口范围、所述目的端口范围和所述协议类型范围依次进行比较，若都处于对应的范围中，则所述第二记录信息与所述放置节点相匹配。
[0031]本专利技术还提供了一种访问控制列表快速过滤装置，包括：
[0032]获取单元，用于获取待匹配规则的五元组信息，并转化为第一记录信息；
[0033]处理单元，用于根据所述第一记录信息，确定整体索引值，插入至红黑树上对应的放置节点；
[0034]过滤单元，用于获取报文的五元组信息，并转化为第二记录信息，根据所述第二记录信息在所述红黑树上进行节点匹配，若存在匹配的所述放置节点，则报文命中。
[0035]与现有技术相比，本专利技术的有益效果包括：首先，对待匹配规则的五元组信息进行
有效的获取，并转化为指定的形式，形成第一记录信息，便于后续与第二记录信息的比较；然后，基于第一记录信息确定了整体索引值，在红黑树上进行有效的插入，从而将多种带匹配规则插入，形成红黑树，便于后续报文在红黑树上的匹配；最后，对报文进行五元组信息的有效获取，同样转换为指定的形式，形成第二记录信息，在红黑树上的放置节点进行逐一匹配，利用第二记录信息和放置节点的第一记录信息进行有效的比较，从而判断报文是否命中该放置节点对应的带匹配规则。综上，本专利技术基于五元组范围信息，实现网络边界设备对五元组范围信息的快速过滤，保证网络安全，对指定的五元组网段进行有效的阻断。
附图说明
[0036]图1为本专利技术提供的访问控制列表快速过滤方法的应用系统一实施例的场景示意图；
[0037]图2为本专利技术提供的访问控制列表快速过滤方法一实施例的流程示意图；
[0038]图3为本专利技术提供的图1中步骤S1一实施例的流程示意图；
[0039]图4为本专利技术提供的图1中步骤S2一实施例的流程示意图；
[0040]图5为本专利技术提供的图1中步骤S3节点匹本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种访问控制列表快速过滤方法，其特征在于，包括：获取待匹配规则的五元组信息，并转化为第一记录信息；根据所述第一记录信息，确定整体索引值，插入至红黑树上对应的放置节点；获取报文的五元组信息，并转化为第二记录信息，根据所述第二记录信息在所述红黑树上进行节点匹配，若存在匹配的所述放置节点，则报文命中。2.根据权利要求1所述的访问控制列表快速过滤方法，其特征在于，所述五元组信息包括源IP、目的IP、源端口、目的端口、协议类型，所述获取待匹配规则的五元组信息，并转化为第一记录信息包括：获取所述待匹配规则的源IP、目的IP、源端口、目的端口和协议类型，确定对应的源IP范围、目的IP范围、源端口范围、目的端口范围和协议类型范围；根据所述待匹配规则的源IP范围、目的IP范围、源端口范围、目的端口范围和协议类型范围，形成指定形式，确定所述第一记录信息。3.根据权利要求2所述的访问控制列表快速过滤方法，其特征在于，所述根据所述第一记录信息，确定整体索引值，插入至红黑树上对应的放置节点包括：根据所述第一记录信息，确定对应的所述源IP范围、所述目的IP范围、所述源端口范围、所述目的端口范围和所述协议类型范围；根据所述源IP范围、所述目的IP范围、所述源端口范围、所述目的端口范围和所述协议类型范围，确定所述整体索引值；根据所述整体索引值，确定对应的所述放置节点，将所述待匹配规则插入至所述红黑树的所述放置节点。4.根据权利要求3所述的访问控制列表快速过滤方法，其特征在于，所述红黑树包括第一红黑树和第二红黑树，将所述待匹配规则插入至所述第一红黑树的放置节点后，将所述待匹配规则插入至所述第二红黑树同样的放置节点，其中，所述第二红黑树用于作为查询源。5.根据权利要求3所述的访问控制列表快速过滤方法，其特征在于，当从所述红黑树上删除所述待匹配规则时，禁用所述待匹配规则对应的所述放置节点，形成禁用节点；当所述红黑树的放置节点数量达到预设数量时，依次删除所述红黑树上的所述禁用节点。6.根据权利要求3所述的访问控制列表快速过滤方法，其特征在于，所述获取报文的五元组信息，并转化为第二记录信息包括：获取所述报文的源IP、目的IP、源端口、目的端口和协议类型，确定对应的源IP范围、目的IP范围、源端口范围、目的端口范围和协议类型范围，形成指定形式，确定所述第二记录信息。7.根据权利要求6...

【专利技术属性】
技术研发人员：刘小伟，
申请(专利权)人：武汉思普崚技术有限公司，
类型：发明
国别省市：