一种加速过滤数据包的处理方法,其用以加速计算机的数据包数据过滤处理。加速过滤数据包的处理方法包括以下步骤:载入多个数据包过滤政策;解析每一数据包过滤政策的特征值;根据特征值对数据包过滤政策进行群组化程序,将符合门槛值的数据包过滤政策加入相应的政策群组;根据数据包过滤政策的执行顺序,决定政策群组中的数据包过滤政策的执行顺序;根据政策群组的产生顺序,决定政策群组的执行顺序;接收多个数据包数据;当所述数据包没有匹配到任何的政策群组时,根据数据包的协议信息执行预设处理政策:新增政策群组、通过此数据包或丢弃此数据包。
【技术实现步骤摘要】
—种数据包处理方法,特别有关于一种加速数据包内容过滤的处理方法。
技术介绍
目前的防火墙静态数据包过滤技术都是利用一连串的规则链(rule chain)所实 现。规则链的维护与管理是由系统管理员来完成。其中规则链中的每一节点(即过滤政 策)都是由系统管理员所设定的数据包数据过滤政策所组成。 在决定上述的规则链后,系统装置会将接收到的数据包数据逐一的由规则链中的 每一过滤规则进行过滤。在这个过程中,数据包有可能匹配到一条特定的规则,也有可能没 有匹配到任何规则。 在数据包过滤过程中以下列方式处理所过滤的数据包数据第一种情况,也就是 数据包在过滤的过程中匹配到一条相应的政策时,此时系统将停止规则链的其他过滤政策 对该数据包数据进行过滤;第二种情况,也就是数据包在过滤过程中没有匹配到任何一条 相应的过滤政策,此时对该数据包的仲裁则由系统所决定。 这种方式对于系统管理员而言,虽然可以快速的新增过滤政策,但是也造成过滤 政策的维护与整合的弹性有所减少。
技术实现思路
本专利技术所要解决的技术问题在于提供一种,其用以加 速计算机的数据包数据过滤处理,从而减少资源的调度与比对的复杂度,加快数据包数据 的过滤速度。 为解决上述技术问题,本专利技术所公开的一种包括以下 步骤载入包含有多个数据包过滤政策的规则链;接收多个数据包数据;当发现有与这个 数据包匹配的政策群组时,就利用政策群组中所有的过滤政策逐一的对这个数据包进行过 滤。当发现有一数据包并没有与之匹配的政策群组时,则将依据此数据包的协议信息新建 一个政策群组;再根据每一数据包过滤政策的特征值与这个新建的政策群组的特征值的匹 配关系来验证是否应该将此过滤政策加入到这个新建的政策群组中;利用政策群组分别对数 据包信息进行过滤;若是有数据包未被匹配到任何的政策群组时,则根据数据包的协议信息 动态新增一个相应的政策群组;并重复上述的过滤动作,直至完成所有数据包数据的过滤。 本专利技术提供一种将规则链中循序执行的多个数据包过滤政策进行群组化处理,使 得相关的过滤政策整合成同一个政策群组。再依序执行政策群组中的过滤政策。这样可以 减少资源的调度与比对的复杂度,进而加快数据包数据的过滤速度。 下面结合附图和具体实施例对本专利技术进行详细描述,但不作为对本专利技术的限定。 附图说明 图1为本专利技术的运作流程示意图2A为规则链中的过滤政策的示意图2B为本专利技术的第一政策群组的示意图2C为本专利技术的第二政策群组的示意图2D为本专利技术的第三政策群组的示意图2E为本专利技术的第四政策群组的示意图3为本专利技术的执行顺序示意图。其中,附图标记200规则链210第一政策群组220第二政策群组230第三政策群组240第四政策群组具体实施例方式请参考图1所示,其为本专利技术的运作流程示意图。本专利技术可以实现在具有网络数 据包过滤的计算机装置中,举例来说,个人电脑、网络设备或网卡等。加速过滤数据包的处 理方法包括以下步骤 载入包含有多个数据包过滤政策的规则链(步骤S110)。接收多个数据包数据 (步骤S120)。根据数据包过滤政策的特征值,用以将数据包过滤政策进行群组化程序,将 符合门槛值的数据包过滤政策设定为政策群组(步骤S130)。将所有的与这个政策群组匹 配的数据包过滤政策全部加入到这个政策群组中。利用政策群组分别对数据包数据进行过 滤(步骤S140)。 判断数据包数据是否符合政策群组(步骤S150)。若数据包数据符合政策群组时, 则利用政策群组中的每一个数据包过滤政策进行数据包过滤处理(步骤S151)。若数据包 数据与政策群组不匹配时,则动态的新增一个政策群组(步骤S152)。其中,新增政策群组 的步骤根据数据包数据的协议所决定。若数据包数据与政策群组中的各数据包过滤政策不 匹配时,则根据预设处理政策对该数据包数据进行处理(步骤S153)。其中,预设处理政策 对数据包数据可以设定为通过、丢弃或保留等动作。 为方便说明本专利技术的精神,试以不同形状的节点代表不同的过滤政策,但并不仅 局限于所述数量。请参考图2A所示,其为规则链中的过滤政策的示意图。为了便于说明, 在图2A中将具有不同特征值的过滤政策,分别以不同的形状符号如圆形、菱形、正方 形与三角形表示,并分别将具有相同特征值的过滤政策的群组称为第一政策群组、 第二政策群组、第三政策群组与第四政策群组。在此由左至右的顺序并根据所接收 到的数据包数据用以对过滤政策进行特征值的解析。 在本专利技术中特征值可以由所接收到的数据包数据中所包含的网络协议或网络服 务种类作为特征值的条件。举例来说,所有的链路层封装,如ethernet, token ring等在第 一层,ARP, RARP, IPV4, IPV6在第二层,TCP, UDP, ICMP, IGMP, SCTP在第三层。将其指定一 对应设定值,在对上述的数据包过滤政策根据设定值进行数据包过滤的特征值解析。承接 上例,可以对上述各种协议与服务指定如下所述的设定值。 //layer 2 mask define #define IPV4_MASK 1〃00000001 #define IPV6_MASK 2〃00000010 #define ARP_MASK 4〃00000100 #define RARP_MASK 8〃00001000 //layer3 mask define #define TCP_MASK 1〃00000001 #define UDP_MASK 2〃00000010 #define ICMP_MASK 4〃00000100 #define SCTP_MASK 8〃00001000 使得系统用以解析每一数据包过滤政策的特征值,借以产生相应的政策群组。请 参考图2B所示,其为本专利技术的第一政策群组的示意图。由图2B的最左方为首,将其相近的 过滤政策进行群组化的处理。在图2B中将图2A中圆形的过滤政策群组化为第一政策 群组210。请参考图2C所示,其为本专利技术的第二政策群组的示意图。在执行第一政策群组 210的步骤后,再对下一个过滤政策进行另一群组化的处理。在图2C对规则链200中的菱 形的过滤政策进行群组化动作。并将菱形的过滤政策群组化为第二政策群组220。同 理,对于正方形的过滤政策与三角形的过滤政策进行群组化处理,用以产生第三政 策群组230与第四政策群组240。请参考图2D与图2E所示,其分别为本专利技术的第三政 策群组的示意图与第四政策群组的示意图。 在完成上述的政策群组后,并将图2A的规则链200执行顺序进行改变。其中,改 变的顺序有下述两种规则 规则1 :对每一个政策群组中的过滤政策的执行顺序进行串连。举例来说,第一政 策群组210中的过滤政策为图2A中的第一与第五顺位的过滤政策。在进行群组化后,则是 将政策群组中所包含的过滤政策依序执行。 规则2 :依据政策群组的产生顺序作为新的规则链200顺序,请参考图3所示,其 为本专利技术的执行顺序示意图。特别的是,本专利技术中将相似过滤政策归类为同一政策群组后, 再由这些政策群组中选择其一作为对此一数据包数据的过滤。 此外,每当政策群组处理一个数据包的时候,只要这个数据包没有匹配到该政策 群组中的任何的过滤政策。系统就会根据预设处理政策对数据包数据进本文档来自技高网...
【技术保护点】
一种加速过滤数据包的处理方法,其应用于一计算机装置的数据包处理流程,其特征在于,该数据包过滤方法包括以下步骤:载入包含有多个数据包过滤政策的规则链;接收多个数据包数据;根据所述数据包过滤政策的特征值,用以将所述数据包过滤政策进行一群组化程序,将符合一门槛值的数据包过滤政策设定为至少一政策群组;利用所述政策群组分别对所述数据包数据进行过滤;判断所述数据包数据是否符合该政策群组;若所述数据包数据符合该政策群组时,则利用该政策群组中的每一该数据包过滤政策进行数据包过滤处理;以及若所述数据包数据与该政策群组中的所述数据包过滤政策不匹配时,则根据一预设处理政策对该数据包数据进行处理。
【技术特征摘要】
一种加速过滤数据包的处理方法,其应用于一计算机装置的数据包处理流程,其特征在于,该数据包过滤方法包括以下步骤载入包含有多个数据包过滤政策的规则链;接收多个数据包数据;根据所述数据包过滤政策的特征值,用以将所述数据包过滤政策进行一群组化程序,将符合一门槛值的数据包过滤政策设定为至少一政策群组;利用所述政策群组分别对所述数据包数据进行过滤;判断所述数据包数据是否符合该政策群组;若所述数据包数据符合该政策群组时,则利用该政策群组中的每一该数据包过滤政策进行数据包过滤处理;以及若所述数据包数据与该政策群组中的所述数据包过滤政策不匹配时,则根据一预设处理政策对该数据包...
【专利技术属性】
技术研发人员:李岩,陈玄同,
申请(专利权)人:英业达股份有限公司,
类型:发明
国别省市:71[中国|台湾]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。