【技术实现步骤摘要】
本专利技术属于网络安全,具体涉及一种千兆网络acl包过滤的实现装置及方法。
技术介绍
1、在网络
常见的网络防护手段是网络防火墙,而多元组的报文过滤技术又是其中的关键技术。访问控制列表acl使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。目前常见的防火墙中多元组规则过滤基本由软件实现,而缺点也非常明显。因为软件acl针对与本机交互的报文,所以必须上送cpu处理的报文,软件acl过滤的报文类型也只有与本机交互的报文。另外由于过滤报文方式不同,软件acl是被上层软件引用来实现报文的过滤,硬件acl是被下发到硬件来实现报文的过滤。通过软件acl过滤报文时,会消耗cpu资源,通过硬件acl过滤报文时,则会占用硬件资源,且通过硬件acl过滤报文的速度更快。
技术实现思路
1、(一)要解决的技术问题
2、本专利技术要解决的技术问题是:为实现低成本、高可移植性可嵌入小型网络防火墙设...
【技术保护点】
1.一种千兆网络ACL包过滤的实现装置,其特征在于,包括MCU、FPGA、参数配置接口、人机交互设备;
2.如权利要求1所述的装置,其特征在于,所述ACL过滤规则包括三个部分:规则序号、关键字、匹配动作;FPGA接收到ACL过滤规则后,提取五元组关键字,将每个元素分别经区间转换算法处理,得到其地址映射表;ACL过滤规则中的ACL过滤规则序号形成规则序号池;地址映射表与规则序号池一一对应,同一地址映射一条或多条ACL过滤规则序号。
3.如权利要求2所述的装置,其特征在于,FPGA在处理网络报文过程中进行网络报文匹配时进行两级检索,首先提取其五元组...
【技术特征摘要】
1.一种千兆网络acl包过滤的实现装置,其特征在于,包括mcu、fpga、参数配置接口、人机交互设备;
2.如权利要求1所述的装置,其特征在于,所述acl过滤规则包括三个部分:规则序号、关键字、匹配动作;fpga接收到acl过滤规则后,提取五元组关键字,将每个元素分别经区间转换算法处理,得到其地址映射表;acl过滤规则中的acl过滤规则序号形成规则序号池;地址映射表与规则序号池一一对应,同一地址映射一条或多条acl过滤规则序号。
3.如权利要求2所述的装置,其特征在于,fpga在处理网络报文过程中进行网络报文匹配时进行两级检索,首先提取其五元组关键字,对每个元素分别经关键字匹配算法处理,得到其所属区间,然后检索地址映射表,进而获取规则序号序列;五元组匹配将得到五组规则序号序列,取每个序列中均存在的规则编号,即为最终匹配到的规则编号。
4.一种基于如权利要求2或3所述装置实现的千兆acl报文过滤方法。
5.如权利要求4所述的方法,其特征在于,包括以下步骤:
6.如权利要求5所述的方法,其特征在于...
【专利技术属性】
技术研发人员:刘天慧,赵慧,张继业,曾颖明,刘昊,刘金鹏,
申请(专利权)人:北京计算机技术及应用研究所,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。