报文过滤方法、装置及网络设备制造方法及图纸

本发明专利技术提供一种报文过滤方法、装置及网络设备，方法包括：根据接收到的报文，获取包括报文的源ＩＰ地址、目的ＩＰ地址、协议类型、第一参数和第二参数的第一信息和表示源ＩＰ地址所属的ＶＲＦ的第一标识；对第一信息进行离散化处理，生成第一索引值；将第一信息和第一标识与数据流表中第一索引值对应的各流记录中的信息分别进行匹配；当未匹配到包含第一信息和第一标识的流记录时，创建报文所属的流记录；当匹配到包含第一信息和第一标识的流记录时，根据流记录中的连接状态信息判断报文的合法性，并对报文进行过滤处理。本发明专利技术提供的报文过滤方法、装置及网络设备，减少了报文过滤过程中查询路由表的操作，提高了防火墙转发报文的性能。

【技术实现步骤摘要】

本专利技术实施例涉及防火墙技术，尤其涉及一种报文过滤方法、装置及网络设备。
技术介绍
防火墙作为一种重要的网络防护设备，被广泛的配置在网络的各个环节，以对内部网络和外部网络之间的交互报文进行过滤，拦截恶意攻击。防火墙对报文的过滤是通过跟踪整个报文的交互过程，在一定上下文环境中对交互报文的合法性进行判断来实现的，而不是仅基于单个报文。其中，防火墙通过为交互过程中的报文创建流来记录交互过程中的上下文环境，并以流表的形式组织和管理流。 通常，流记录中的字节元素只包含源网络协议(Internet Protocol ;简称为IP)地址、目的IP地址、协议类型、源端口和目的端口五元组，并根据该五元组完成对报文的过滤处理。但是，随着虚拟专用网络(VirtualPrivate Network ;简称为VPN)的快速发展，为了隔离不同的VPN用户和解决地址重叠问题引出了虚拟路由转发(Virtual RoutingForwarding ;简称为VRF)技术，VRF可以把一台路由器划分为多台虚拟路由器，每一台虚拟路由器有自己的路由表、转发表和相应接口，因此，在一台路由器上可以维护一个或多个VRF，不同的VRF通过VRF标识区分。而在一些特定的应用环境中，需要对VRF静态路由进行扩展，通过配置到其他VRF的下一跳作为出接口以实现跨VRF路由，上述以五元组方式对报文进行过滤处理的方式将不再适用。 在跨VRF路由模式下，防火墙接收到报文，为了判断该报文是否合法，需要从报文头提取源IP、目的IP、协议类型、源端口和目的端口 ；从防火墙接口属性值中获取源IP所属的VRF以及通过查询路由表得到目的IP所属的VRF，即得到七元组源IP、源IP所属的VRF，目的IP、目的IP所属的VRF、协议类型、源端口和目的端口。七元组经过哈希(HASH)运算，根据该HASH结果找到该报文在流表中的映射位置。然后将该报文的七元组与流表映射位置处的各流记录中的七元组逐个进行匹配；若与其中一个匹配上，则说明该报文所属的流已存在，并通过进一步判断该报文类型，以判断报文的合法性；若未匹配上，则在该报文符合创建新连接条件后，为该报文创建一个流，并挂在流表索引对应的位置，以记录该报文所属的连接。 在实现本专利技术过程中，专利技术人发现现有技术中至少存在如下问题防火墙每收到报文后，在获取七元组，以确定该报文所属的流记录是否存在的过程中，需要通过查路由表获得目的IP所属的VRF，而查路由表是一种比较耗时的操作，频繁查询路由表，将会影响防火墙转发报文的速度，降低防火墙转发报文的性能。
技术实现思路
本专利技术实施例提供一种报文过滤方法、装置及网络设备，用以克服现有技术中防火墙过滤报文时频繁查询路由表的缺陷，提高防火墙转发报文的性能。 本专利技术实施例提供一种报文过滤方法，包括 根据接收到的报文，获取第一信息和第一标识，所述第一信息包括所述报文的源IP地址、目的IP地址、协议类型、第一参数和第二参数，所述第一标识为所述源IP地址所属的虚拟路由转发表的标识； 对所述第一信息进行离散化处理，生成第一索引值； 在数据流表中所述第一索引值对应的各流记录中，将所述第一信息和所述第一标识与各流记录中的信息分别进行匹配； 当未匹配到包含所述第一信息和所述第一标识的流记录时，创建与所述第一索引值对应的新的流记录，用于记录连接状态信息，并将所述第一信息和所述第一标识记录在所述新的流记录中，且将根据所述第一信息和所述源IP地址所属的虚拟路由转发表的标识在路由表中查询获取的目的IP地址所属的虚拟路由转发表的标识记录在所述新的流记录中； 当匹配到包含所述第一信息和所述第一标识的流记录时，根据匹配到的流记录中的连接状态信息判断所述报文的合法性，并对所述报文进行过滤处理。 本专利技术实施例提供一种报文过滤装置，包括 获取模块，用于根据接收到的报文，获取第一信息和第一标识，所述第一信息包括所述报文的源IP地址、目的IP地址、协议类型、第一参数和第二参数，所述第一标识为所述源IP地址所属的虚拟路由转发表的标识； 生成模块，用于对所述第一信息进行离散化处理，生成第一索引值； 匹配模块，用于在数据流表中所述第一索引值对应的各流记录中，将所述第一信息和所述第一标识与各流记录中的信息分别进行匹配； 创建模块，用于当未匹配到包含所述第一信息和所述第一标识的流记录时，创建与所述第一索引值对应的新的流记录，用于记录连接状态信息，并将所述第一信息和所述第一标识记录在所述新的流记录中，且将根据所述第一信息和所述源IP地址所属的虚拟路由转发表的标识在路由表中查询获取的目的IP地址所属的虚拟路由转发表的标识记录在所述新的流记录中； 处理模块，用于当匹配到包含所述第一信息和所述第一标识的流记录时，根据匹配到的流记录中的连接状态信息判断所述报文的合法性，并对所述报文进行过滤处理。 本专利技术实施例提供一种网络设备，包括本专利技术实施例提供的报文过滤装置。 本专利技术实施例的报文过滤方法、装置及网络设备，根据报文的源IP地址、目的IP地址、协议类型、第一参数和第二参数，获取报文在数据流表中的映射位置，将报文的源IP地址、目的IP地址、协议类型、第一参数、第二参数以及源IP地址所属的VRF的标识与映射位置处的各流记录中的信息进行匹配，根据匹配结果对报文进行过滤处理。由于本专利技术实施例的技术方案在匹配过程中不需要目的IP地址所属的VRF的标识，因此，不需要查询路由表，节省了防火墙的处理时间，在实现对报文进行过滤处理的同时，克服了现有技术中频繁查询路由表的操作，提高了防火墙转发报文的性能。附图说明 为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以 根据这些附图获得其他的附图。图1为本专利技术实施例一提供的报文过滤方法的流程图； 图2A为本专利技术实施例二提供的报文过滤方法中发送TCP报文的流程图； 图2B为本专利技术实施例二提供的报文过滤方法中接收响应报文的流程图； 图3为本专利技术实施例三提供的报文过滤装置的结构示意图。具体实施例方式为使本专利技术实施例的目的、技术方案和优点更加清楚，下面将结合本专利技术实施例 中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是 本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员 在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。 实施例一 图1为本专利技术实施例一提供的报文过滤方法的流程图，本实施例的执行主体为防 火墙，如图1所示，本实施例的报文过滤方法包括 步骤ll，根据接收到的报文，获取第一信息和第一标识，第一信息包括报文的源 IP地址、目的IP地址、协议类型、第一参数和第二参数，第一标识为源IP地址所属的VRF的 标识； 其中，防火墙接收到报文后从报文头中获取第一信息，并且从接收该报文的防火 墙接口的属性值中获取第一标识，即源IP地址所属的VRF的标识。 步骤12，对第一信息进行离散化处理，生成第一索引值； 步骤13，在数据流表中第一索引值对应的各流记录中，将第一信息和第一本文档来自技高网...

【技术保护点】
一种报文过滤方法，其特征在于，包括：　　　　根据接收到的报文，获取第一信息和第一标识；所述第一信息包括所述报文的源ＩＰ地址、目的ＩＰ地址、协议类型、第一参数和第二参数；所述第一标识为所述源ＩＰ地址所属的虚拟路由转发表的标识；　　　　对所述第一信息进行离散化处理，生成第一索引值；　　　　在数据流表中所述第一索引值对应的各流记录中，将所述第一信息和所述第一标识与各流记录中的信息分别进行匹配；　　　　当未匹配到包含所述第一信息和所述第一标识的流记录时，创建与所述第一索引值对应的新的流记录，用于记录连接状态信息，并将所述第一信息和所述第一标识记录在所述新的流记录中，且将根据所述第一信息和所述源ＩＰ地址所属的虚拟路由转发表的标识在路由表中查询获取的目的ＩＰ地址所属的虚拟路由转发表的标识记录在所述新的流记录中；　　　　当匹配到包含所述第一信息和所述第一标识的流记录时，根据匹配到的流记录中的连接状态信息判断所述报文的合法性，并对所述报文进行过滤处理。

【技术特征摘要】
一种报文过滤方法，其特征在于，包括根据接收到的报文，获取第一信息和第一标识；所述第一信息包括所述报文的源IP地址、目的IP地址、协议类型、第一参数和第二参数；所述第一标识为所述源IP地址所属的虚拟路由转发表的标识；对所述第一信息进行离散化处理，生成第一索引值；在数据流表中所述第一索引值对应的各流记录中，将所述第一信息和所述第一标识与各流记录中的信息分别进行匹配；当未匹配到包含所述第一信息和所述第一标识的流记录时，创建与所述第一索引值对应的新的流记录，用于记录连接状态信息，并将所述第一信息和所述第一标识记录在所述新的流记录中，且将根据所述第一信息和所述源IP地址所属的虚拟路由转发表的标识在路由表中查询获取的目的IP地址所属的虚拟路由转发表的标识记录在所述新的流记录中；当匹配到包含所述第一信息和所述第一标识的流记录时，根据匹配到的流记录中的连接状态信息判断所述报文的合法性，并对所述报文进行过滤处理。2. 根据权利要求1所述的报文过滤方法，其特征在于，所述根据接收到的报文，获取第 一信息和第一标识，具体为从所述报文的报文头中获取所述第一信息； 从接收所述报文的防火墙接口的属性值中获取所述第一标识。3. 根据权利要求1或2所述的报文过滤方法，其特征在于，所述报文为传输控制协议报 文或用户数据包协议报文，所述第一参数为所述报文的源端口 ；所述第二参数为所述报文 的目的端口。4. 根据权利要求3所述的报文过滤方法，其特征在于，对所述第一信息进行离散化处 理，生成第一索引值，具体为通过哈希运算对所述第一信息进行离散化处理，获得第一运算结果； 将所述第一信息中的源IP地址、第一参数分别与目的IP地址、第二参数进行对调； 通过哈希运算对对调后的所述第一信息进行离散化处理，获得第二运算结果； 将所述第一运算结果和所述第二运算结果做异或运算，生成所述第一索引值。5. 根据权利要求1或2所述的报文过滤方法，其特征在于，所述报文为因特网控制报文 协议报文，所述第一参数为因特网控制报文协议报文标识；所述第二参数为第一因特网控 制报文协议报文类型和因特网控制报文协议报文代码字段的组合。6. 根据权利要求5所述的报文过滤方法，其特征在于，对所述第一信息进行离散化处 理，生成第一索引值，具体为通过哈希运算对所述第一信息进行离散化处理，获得第三运算结果；根据所述第一因特网控制报文协议报文类型，查询所述报文的映射表，获取第二因特 网控制报文协议报文类型，并生成第二信息；所述第二信息包括目的IP地址、源IP地址、协 议类型、因特网控制报文协议报文标识和所述第二因特网控制报文协议报文类型与所述因 特网控制报文协议报文代码字段的组合；通过哈希运算对所述第二信息进行离散化处理，获得第四运算结果； 将所述第三运算结果和所述第四运算结果做异或运算，生成所述第一索引值。7. —种报文过滤装置，其特征在于，包括获取模块，用于根据接收到的报文，获取第一信息和第一标识，所述第一信息包括所述 报文的...

【专利技术属性】
技术研发人员：黄凯明，
申请(专利权)人：福建星网锐捷网络有限公司，
类型：发明
国别省市：35[中国|福建]