System.ArgumentOutOfRangeException: 索引和长度必须引用该字符串内的位置。 参数名: length 在 System.String.Substring(Int32 startIndex, Int32 length) 在 zhuanliShow.Bind() 一种千兆网络ACL包过滤的实现装置及方法制造方法及图纸_技高网
当前位置: 首页 > 专利查询>北京计算机技术及应用研究所专利>正文

一种千兆网络ACL包过滤的实现装置及方法制造方法及图纸

技术编号:41404252 阅读:8 留言:0更新日期:2024-05-20 19:30
本发明专利技术涉及一种千兆网络ACL包过滤的实现装置及方法,属于网络安全技术领域。本发明专利技术通过区间转换算法及两级索引算法的设计,实现了一种可应用于高速网络防火墙功能报文过滤的千兆ACL报文过滤实现装置及方法,从而实现了低成本、高可移植性可嵌入小型网络防火墙设备中的ACL报文过滤。

全部详细技术资料下载

【技术实现步骤摘要】

本专利技术属于网络安全,具体涉及一种千兆网络acl包过滤的实现装置及方法。


技术介绍

1、在网络
常见的网络防护手段是网络防火墙,而多元组的报文过滤技术又是其中的关键技术。访问控制列表acl使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。目前常见的防火墙中多元组规则过滤基本由软件实现,而缺点也非常明显。因为软件acl针对与本机交互的报文,所以必须上送cpu处理的报文,软件acl过滤的报文类型也只有与本机交互的报文。另外由于过滤报文方式不同,软件acl是被上层软件引用来实现报文的过滤,硬件acl是被下发到硬件来实现报文的过滤。通过软件acl过滤报文时,会消耗cpu资源,通过硬件acl过滤报文时,则会占用硬件资源,且通过硬件acl过滤报文的速度更快。


技术实现思路

1、(一)要解决的技术问题

2、本专利技术要解决的技术问题是:为实现低成本、高可移植性可嵌入小型网络防火墙设备中的acl报文过滤,设计一种基于fpga多元组规则过滤的实现装置及方法。

3、(二)技术方案

4、为了解决上述技术问题,本专利技术提供了一种千兆网络acl包过滤的实现装置,包括mcu、fpga、参数配置接口、人机交互设备;

5、在人机交互设备上可完成acl过滤规则的配置,所述装置完成规则配置后即可进行网络报文的多元组规则过滤;

6、mcu用于接收用户在人机交互设备输入的acl过滤规则配置参数,并根据自定义协议将配置参数转换为自定义协议的配置报文,通过参数配置接口发送到fpga;

7、fpga用于在接收到配置报文后,解析出acl过滤规则,并经过区间转换算法处理后保存两级索引表,完成acl过滤规则及其对应索引保存后通知mcuacl过滤规则写入操作完成;然后fpga开始接收并处理网络报文,并记录过滤处理信息且上传至mcu,mcu接收过滤处理信息并对该过滤处理信息进行分析、处理、封装后上传至人机交互设备显示给用户。

8、优选地,所述acl过滤规则包括三个部分:规则序号、关键字、匹配动作;fpga接收到acl过滤规则后,提取五元组关键字,将每个元素分别经区间转换算法处理,得到其地址映射表;acl过滤规则中的acl过滤规则序号形成规则序号池;地址映射表与规则序号池一一对应,同一地址映射一条或多条acl过滤规则序号。

9、优选地,fpga在处理网络报文过程中进行网络报文匹配时进行两级检索,首先提取其五元组关键字,对每个元素分别经关键字匹配算法处理,得到其所属区间,然后检索地址映射表,进而获取规则序号序列;五元组匹配将得到五组规则序号序列,取每个序列中均存在的规则编号,即为最终匹配到的规则编号。

10、本专利技术还提供了一种基于所述装置实现的千兆acl报文过滤方法。

11、优选地,包括以下步骤:

12、步骤一:人机交互设备接收用户通过人机交互设备输入的acl过滤规则配置,mcu接收到配置参数后,根据自定义协议转换为配置报文,并通过参数配置接口下发到fpga;

13、步骤二:fpga收到配置报文后,解析出acl过滤规则,并进行区间转换算法处理生成两级索引表,得到的一级索引表为地址映射表,二级索引表为规则序号池,完成处理后通知mcuacl过滤规则写入操作完成;

14、步骤三:fpga完成acl过滤规则写入操作后,开始接收并处理网络报文,处理时先解析该网络报文的五元组关键字;

15、步骤四:fpga对五元组关键字进行关键字匹配算法处理,得到关键字所属地址区间,根据关键字所属地址区间依次检索地址映射表和规则序号池,得到命中的规则id序列;

16、步骤五:fpga将五元组关键字命中的规则id序列进行比对,找出每条规则id序列均存在的规则id,该规则id即为命中的规则id,规则id即为规则序号;

17、步骤六:fpga根据命中的规则的动作参数,对当前网络报文进行过滤处理,包括丢弃和通过两种处理方式,fpga实时统计过滤处理信息并上传至mcu,mcu接收过滤处理信息并对该过滤处理信息分析处理后上传人机交互设备显示给用户。

18、优选地,步骤二中的区间转换算法具体如下:

19、假如有n条acl过滤规则,其规则id序列设为集合id,该集合id包含id1、id2、...、idn,acl过滤规则中关键的五元组关键字分别是src ip、des ip、src port、des port和网络协议,src ip、des ip组成ip二元组,src port、des port组成端口二元组;五元组中的ip和端口四元组支持范围匹配,网络协议只支持精确匹配;所以对于n条acl过滤规则中的四元组,每个元素的acl过滤规则都是由上限值max和下限值min组成的范围,每个一元素的max和min在这n条acl过滤规则中的取值组成一个集合v,设该集合v包含v1、v2、...、vn,其中的元素可以相等;将集合v中元素由小到大排列后会形成m个区间,区间编号为x1、x2、...、xm,这样就将这n条acl过滤规则中单个元素的所有范围都用区间x表示出来,这个x的区间集合即为一级索引表,即地址映射表;

20、划分得到的每个区间x都有若干个指向该区间的acl过滤规则,将指向同一个区间的规则序号设为一个子集合,则每个区间分别拥有一个子集合,设为p1、p2、...、pm,各子集合的集合p即为二级索引表,即规则序号池;二级索引表中的每个元素都是集合id中的元素,二级索引表不能为空集且各子集合中的元素没有相同的值。

21、优选地,步骤四中,fpga对五元组关键字中每个元素分别进行两级检索,首先判断元素所对应的地址区间,查找出其对应的规则序号池地址,然后检索规则序号池,取出其对应的规则id序列。

22、优选地,步骤四中的关键字匹配算法如下:首先提取网络报文中的五元组关键字,设一元组的取值为y,由于规则添加时就已经将所有规则中的四元组中全部元素的区间x整理出来,所以首先判断y落到哪个区间上,此时有两种情况,一种是y值没有落到某个区间,说明不存在某条规则的范围包含该值,查找结束;另一种是y值落到了区间x上;取出区间x对应的规则序号集合;对其他三元组进行同样的处理,最后取出四个规则序号集合,然后判断同时出现在四个集合中的规则序号,从而找出命中的规则序号,进而得到命中的规则id序列。

23、本专利技术还提供了一种基于所述装置设计得到的可嵌入小型网络防火墙设备。

24、本专利技术还提供了一种基于所述方法实现的网络防火墙功能报文过滤方法。

25、(三)有益效果

26、本专利技术通过区间转换算法及两级索引算法的设计,实现了一种可应用于高速网络防火墙功能报文过滤的千兆acl报文过滤实现装置及方法,从而实现了低成本、高可移植性可嵌入小型网络防火墙设备中的acl报文过本文档来自技高网...

【技术保护点】

1.一种千兆网络ACL包过滤的实现装置,其特征在于,包括MCU、FPGA、参数配置接口、人机交互设备;

2.如权利要求1所述的装置,其特征在于,所述ACL过滤规则包括三个部分:规则序号、关键字、匹配动作;FPGA接收到ACL过滤规则后,提取五元组关键字,将每个元素分别经区间转换算法处理,得到其地址映射表;ACL过滤规则中的ACL过滤规则序号形成规则序号池;地址映射表与规则序号池一一对应,同一地址映射一条或多条ACL过滤规则序号。

3.如权利要求2所述的装置,其特征在于,FPGA在处理网络报文过程中进行网络报文匹配时进行两级检索,首先提取其五元组关键字,对每个元素分别经关键字匹配算法处理,得到其所属区间,然后检索地址映射表,进而获取规则序号序列;五元组匹配将得到五组规则序号序列,取每个序列中均存在的规则编号,即为最终匹配到的规则编号。

4.一种基于如权利要求2或3所述装置实现的千兆ACL报文过滤方法。

5.如权利要求4所述的方法,其特征在于,包括以下步骤:

6.如权利要求5所述的方法,其特征在于,步骤二中的区间转换算法具体如下:

7.如权利要求6所述的方法,其特征在于,步骤四中,FPGA对五元组关键字中每个元素分别进行两级检索,首先判断元素所对应的地址区间,查找出其对应的规则序号池地址,然后检索规则序号池,取出其对应的规则ID序列。

8.如权利要求6所述的方法,其特征在于,步骤四中的关键字匹配算法如下:首先提取网络报文中的五元组关键字,设一元组的取值为Y,由于规则添加时就已经将所有规则中的四元组中全部元素的区间X整理出来,所以首先判断Y落到哪个区间上,此时有两种情况,一种是Y值没有落到某个区间,说明不存在某条规则的范围包含该值,查找结束;另一种是Y值落到了区间X上;取出区间X对应的规则序号集合;对其他三元组进行同样的处理,最后取出四个规则序号集合,然后判断同时出现在四个集合中的规则序号,从而找出命中的规则序号,进而得到命中的规则ID序列。

9.一种基于如权利要求1或2或3所述装置设计得到的可嵌入小型网络防火墙设备。

10.一种基于如权利要求4至8中任一项所述方法实现的网络防火墙功能报文过滤方法。

...

【技术特征摘要】

1.一种千兆网络acl包过滤的实现装置,其特征在于,包括mcu、fpga、参数配置接口、人机交互设备;

2.如权利要求1所述的装置,其特征在于,所述acl过滤规则包括三个部分:规则序号、关键字、匹配动作;fpga接收到acl过滤规则后,提取五元组关键字,将每个元素分别经区间转换算法处理,得到其地址映射表;acl过滤规则中的acl过滤规则序号形成规则序号池;地址映射表与规则序号池一一对应,同一地址映射一条或多条acl过滤规则序号。

3.如权利要求2所述的装置,其特征在于,fpga在处理网络报文过程中进行网络报文匹配时进行两级检索,首先提取其五元组关键字,对每个元素分别经关键字匹配算法处理,得到其所属区间,然后检索地址映射表,进而获取规则序号序列;五元组匹配将得到五组规则序号序列,取每个序列中均存在的规则编号,即为最终匹配到的规则编号。

4.一种基于如权利要求2或3所述装置实现的千兆acl报文过滤方法。

5.如权利要求4所述的方法,其特征在于,包括以下步骤:

6.如权利要求5所述的方法,其特征在于...

【专利技术属性】
技术研发人员:刘天慧赵慧张继业曾颖明刘昊刘金鹏
申请(专利权)人:北京计算机技术及应用研究所
类型:发明
国别省市:

全部详细技术资料下载 我是这个专利的主人
相关技术
网友询问留言 已有0条评论

  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1
发布您的意见
相关领域技术

关于我们 | 联系我们 | 支付方式

Copyright © 2018 All Rights Reserved.

津ICP备16005673号-1 津公网安备 12019202000132号 技高德科技(天津)有限公司版权所有