本发明专利技术公开一种提升防火墙转发效率的方法,包括:构建一个六元组结构;当接收到一个数据包的时候,根据构建的六元组结构处理数据包,得到对应的六元组,计算哈希值并记录入口后进入哈希桶;在数据包中VLAN ID对应的VLAN下广播这个数据包;当收到该六元组数据的回包后,记录出口,到此这个六元组的一对转发接口对建立成功;再次收到此六元组的报文后,不需要再找接口,直接使用已经建立的转发接口对进行快速转发。本发明专利技术避免了查询VLAN和某个VALN下MAC地址和接口的对应关系,可以复用已有的状态信息快速找到接口进行转发,并且可以快速适应网络拓扑的变化,进行自我修正,可以大大提升防火墙的转发效率。提升防火墙的转发效率。提升防火墙的转发效率。
【技术实现步骤摘要】
一种提升防火墙转发效率的方法
[0001]本专利技术涉及计算机安全
,尤其涉及一种提升防火墙转发效率的方法。
技术介绍
[0002]防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术。防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题,其中处理措施包括隔离与保护,同时可对计算机网络安全当中的各项操作实施记录与检测,以确保计算机网络运行的安全性,保障用户资料与信息的完整性,为用户提供更好、更安全的计算机网络使用体验。
[0003]现有的防火墙在转发时会受到多个方面的影响,一般需要查找多张表,例如,防火墙在做完响应的过滤动作后,需要先查询VLAN(虚拟局域网),然后再查询此VALN下的出接口等动作,这种查询对于防火墙的转发效率会造成很大的影响。基于此,为了避免每一个数据包都进行这样的查询,本专利技术提出一种提升防火墙转发效率的方法。
技术实现思路
[0004]本专利技术提供了一种提升防火墙转发效率的方法,包括:
[0005]构建一个六元组结构,包括源IP、目的IP、源端口、目的端口、协议和VLAN ID;
[0006]当接收到一个数据包的时候,根据构建的六元组结构处理数据包,得到对应的六元组,计算哈希值并记录入口后进入哈希桶;
[0007]在数据包中VLAN ID对应的VLAN下广播这个数据包;
[0008]当收到该六元组数据的回包后,记录出口,到此这个六元组的一对转发接口对建立成功;
[0009]再次收到此六元组的报文后,不需要再找接口,直接使用已经建立的转发接口对进行快速转发。
[0010]如上所述的一种提升防火墙转发效率的方法,其中,当接口出现变动的时候,即收到的报文的入口和当前存储的入口不同的时候,更新当前的入口。
[0011]如上所述的一种提升防火墙转发效率的方法,其中,按照预定周期老化掉哈希桶内一定时间内没有流量的哈希值。
[0012]如上所述的一种提升防火墙转发效率的方法,其中,当某个流的VLAN发生变化后,即六元祖中前五元组没变,仅仅VALN ID变化,则按照一条新的流创建,老的流按着正常老化周期进行老化后释放资源。
[0013]本专利技术还提供一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中包含一个或多个程序指令,所述一个或多个程序指令用于被处理器执行上述任一项所述的一种提升防火墙转发效率的方法。
[0014]本专利技术实现的有益效果如下:本专利技术避免了查询VLAN和某个VALN下MAC地址和接
口的对应关系,可以复用已有的状态信息快速找到接口进行转发,并且可以快速适应网络拓扑的变化,进行自我修正,可以大大提升防火墙的转发效率。
附图说明
[0015]为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术中记载的一些实施例,对于本领域普通技术人员来讲,还可以根据这些附图获得其他的附图。
[0016]图1是本专利技术实施例一提供的一种提升防火墙转发效率的方法流程图。
具体实施方式
[0017]下面结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。
[0018]实施例一
[0019]参见图1,本专利技术实施例一提供一种提升防火墙转发效率的方法,包括:
[0020]步骤110、构建一个六元组结构,包括源IP、目的IP、源端口、目的端口、协议和VLAN ID;
[0021]步骤120、当接收到一个数据包的时候,根据构建的六元组结构处理数据包,得到对应的六元组数据,计算哈希值并记录入口后进入哈希桶;
[0022]具体地,当接收到一个数据包之后,根据六元祖结构从数据包中获取对应的六元祖数据,包括源IP、目的IP、源端口、目的端口、协议和VLAN ID,然后对这些数据进行哈希运算,得到该数据包六元祖对应的哈希值,将接收该数据包的接口作为入口,将哈希值保存入哈希桶中。
[0023]步骤130、在数据包中VLAN ID对应的VLAN下广播这个数据包。
[0024]步骤140、当收到该六元组数据的回包后,记录出口,到此这个六元组的一对转发接口对建立成功;
[0025]具体地,在VLAN下广播数据包之后,当收到某个接口返回的对该六元祖数据反馈的响应后,确定该接收为该六元祖的出口,由此该六元祖数据的入口和出口都已确定,即转发接口对建立成功。
[0026]当步骤150、再次收到此六元组的报文后,不需要再找接口,直接使用已经建立的转发接口对进行快速转发。
[0027]当接口出现变动的时候,即收到的报文的入口和当前存储的入口不同的时候,更新当前的入口。根据上述方法,可能会创建出多个六元组的哈希值,这样哈希桶里就会出现多个哈希值,为了避免流量结束后资源的占用,可以按着周期老化掉哈希桶内一定时间内(比如3分钟、5分钟、10分钟等)没有流量的哈希值。
[0028]当某个流的VLAN发生变化后(即六元祖中前五元组没变,仅仅VALN ID变化),按照一条新的流创建,并按着上述步骤进行处理,而老的流按着正常老化周期进行老化后释放
资源。
[0029]与上述实施例对应的,本专利技术实施例提供一种提升防火墙转发效率的装置,该系统包括:至少一个存储器和至少一个处理器;
[0030]存储器用于存储一个或多个程序指令;
[0031]处理器,用于运行一个或多个程序指令,用以执行一种提升防火墙转发效率的方法。
[0032]与上述实施例对应的,本专利技术实施例提供一种计算机可读存储介质,计算机存储介质中包含一个或多个程序指令,一个或多个程序指令用于被处理器执行一种提升防火墙转发效率的方法。
[0033]本专利技术所公开的实施例提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机程序指令,当所述计算机程序指令在计算机上运行时,使得计算机执行上述的一种提升防火墙转发效率的方法。
[0034]在本专利技术实施例中,处理器可以是一种集成电路芯片,具有信号的处理能力。处理器可以是通用处理器、数字信号处理器(Digital Signal Processor,简称DSP)、专用集成电路(Application Specific Integrated Circuit,简称ASIC)、现场可编程门阵列(FieldProgrammable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
[0035]可以实现或者执行本专利技术实施例中的公开的各方法、本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种提升防火墙转发效率的方法,其特征在于,包括:构建一个六元组结构,包括源IP、目的IP、源端口、目的端口、协议和VLAN ID;当接收到一个数据包的时候,根据构建的六元组结构处理数据包,得到对应的六元组,计算哈希值并记录入口后进入哈希桶;在数据包中VLANID对应的VLAN下广播这个数据包;当收到该六元组数据的回包后,记录出口,到此这个六元组的一对转发接口对建立成功;再次收到此六元组的报文后,不需要再找接口,直接使用已经建立的转发接口对进行快速转发。2.如权利要求1所述的一种提升防火墙转发效率的方法,其特征在于,当接口出现变动的时候,即收到的报文的入口和当前存储的入口...
【专利技术属性】
技术研发人员:王方立,黄敏,龙国东,
申请(专利权)人:北京威努特技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。