本发明专利技术提供一种网络设备中的会话创建方法,其包括以下步骤:基于接收到的数据包,分别构成用于查找会话表中会话的会话键值和与所述会话表对应会话模板集合中会话模板的模板键值;判断是否存在与上述模板键值对应的会话模板;如果存在与上述模板键值对应的会话模板,则利用上述会话模板创建会话;否则,直接利用所述会话键值进行会话查找,如查找不到则进行会话创建,并且依据所创建的上述会话创建新的会话模板。根据上述构成,通过利用会话模板,避免了执行直接会话创建中的复杂逻辑步骤的次数,缩短了创建会话的时间。
【技术实现步骤摘要】
网络设备中的会话创建方法及会话创建装置
本专利技术涉及一种网络设备中的会话创建方法及会话创建装置,更详细地说,涉及利用会话模板来创建会话的网络设备中的会话创建方法及会话创建装置。
技术介绍
随着网络应用迅猛发展,对网络设备的网速的需求也是越来越高。网络安全设备部署在网关的边界,在网络中起到阀门的作用,其新建连接的速率直接影响到整个网络拓扑的吞吐量。通常,使用指标新建连接速率(CPS:ConnectionsPerSecond)来衡量网络安全设备的性能,该指标主要体现了设备对于连接请求的实时反应能力,当设备可以更快的处理连接请求,而且可以更快传输数据的话,网络中的并发连接数会减小,从而设备压力也会减小,用户感受到的性能也就越好。在当前X86体系的网络安全产品中,基本都采用基于会话连接表的方法处理网络流量,其中,在会话表建立后,后续的数据包将通过查找对应的会话表项,并利用会话表项信息快速处理或转发。图1是表示在网络设备中利用现有的会话创建方法创建会话并转发数据包的流程图。如图1所示,首先,网络设备(例如网卡等)接收要转发的数据包(步骤1010),接着对该数据包进行合法性检查(步骤1020)。然后,通过提取该数据包中的各种信息,构成用于在会话表中查找对应的会话的会话键值,再根据该会话键值在会话表中查找对应的会话(步骤1030)。然后,判断在该会话表中是否存在与该会话键值对应的会话(步骤1040),如果该会话表中存在对应的会话,则不需要进行会话创建过程;否则,如果该会话表中不存在对应的会话,则进行通常的会话创建工作(步骤1050)来创建会话。通常的会话创建过程如图2所示,包括如下步骤:IPMAC地址邦定(步骤2010),地址黑名单过滤(步骤2010),攻击防御处理(步骤2030),二层或三层转发判断(步骤2050),判断为二层转发时的CAM表查询(步骤2060)及IP包过滤(步骤2070),判断为三层转发时的目的地址转化DNAT(步骤2080)、路由查找(步骤2090)、IP包过滤(步骤2100)以及源头地址转化SNAT(步骤2110),应用控制(步骤2120)和深度检测(步骤2130)等步骤。在此示出的通常的会话创建过程仅是公知技术的一个示例而已,也可以采用其它现有的会话创建方法。接着,检测网络拓扑是否发生变化(步骤1060),再进行NAT转化及QOS控制(步骤1070)等工作之后,通过网络设备发送数据包。在如上所述的会话创建过程中执行的各个步骤的功能逻辑复杂、耗时较长,会极大影响设备的新建连接速率。而且,随着网络安全类产品向应用层延伸,在如图2所示的会话创建过程中还会添加越来越多的功能模块,导致创建会话的时间越来越长,对网络设备的转发性能的影响非常大。因此,需要一种能够极大地缩短创建会话所需的时间,从而提高转发性能的网络设备。
技术实现思路
本专利技术是鉴于上述现有技术中存在的问题而做出,其目的在于提供一种基于会话模板的会话创建方法,能够极大地缩短创建会话所需的时间,提高网络设备的数据包转发性能。为了实现上述目的,本专利技术涉及的一种网络设备中的会话创建方法,其包括以下步骤:基于接收到的数据包,分别构成用于查找会话表中会话的会话键值和与所述会话表对应会话模板集合中会话模板的模板键值;判断是否存在与上述模板键值对应的会话模板;如果存在与上述模板键值对应的会话模板,则利用上述会话模板创建会话;否则,直接利用所述会话键值进行会话查找,如查找不到则进行会话创建,并且依据所创建的上述会话创建新的会话模板。此外,还可以包括以下步骤:在判断是否存在与上述模板键值对应的会话模板之前,根据当前的网络配置条件查找与该网络配置条件对应的会话模板分类,然后在查找出的上述会话模板分类中,判断是否存在与上述模板键值对应的会话模板;在依据上述会话创建新的会话模板之后,根据当前的网络配置条件将上述会话模板分类。此外,还可以包括以下步骤:随时监测上述网络配置条件是否发生变化,如果发生变化且影响与其对应的会话模板的正确性,则删除对应的全部会话模板。此外,还可以是,所述会话模板中至少包括包含模板键值、网络配置条件、模板信息以及模板限制信息。其中,也可以是,上述模板键值包含来源IP地址和端口、目的IP地址和端口、协议信息以及虚拟设备信息中的一种以上;上述网络配置信息包含配置的访问策略、应用控制规则中的一种以上。另外,本专利技术还提供一种网络设备中的会话创建装置,其包括:键值构成单元,基于接收到的数据包,分别构成用于查找会话表中会话的会话键值和与所述会话表对应会话模板集合中会话模板的模板键值;判断单元,判断是否存在与上述模板键值对应的会话模板;创建会话单元,上述判断单元的判断结果,如果存在与上述键值对应的会话模板,则利用上述会话模板创建会话;否则,进行直接利用所述会话键值进行会话查找,如查找不到则会话创建,并且依据所创建的上述会话创建新的会话模板。根据本专利技术的上述构成,通过利用会话模板来创建会话,节省了大量的创建会话时间,提高转发性能的网络设备。同时,还能够保障网络设备的安全性。附图说明根据参照附图进行的下述详细描述,本专利技术的特征和优点将变得更加显而易见。图1是表示在网络设备中利用现有的会话创建方法创建会话并转发数据包的流程图。图2是表示现有的直接会话创建过程的流程图。图3是表示在利用本专利技术的第一实施例涉及的会话创建方法的网络设备中转发数据包的流程图。图4是表示在利用本专利技术的第二实施例涉及的会话创建方法的网络设备中转发数据包的流程图。图5是表示监测网络配置条件的变化状况的流程图。图6是表示本专利技术涉及的网络设备中的会话创建装置的具体结构的框图。具体实施方式为了使本专利技术的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本专利技术进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本专利技术,并不用于限定本专利技术。第一实施例:图3是表示在利用本专利技术的第一实施例涉及的会话创建方法的网络设备中转发数据包的流程图。如该图所示,本专利技术涉及的会话创建过程,在利用现有的会话表的基础上,还进一步追加使用会话模板来创建会话。在本专利技术中,会话模板可以包含以下信息:模板键值,根据需要可以包含例如来源IP地址和端口、目的IP地址和端口、协议信息以及虚拟设备信息等信息中的一种以上;网络配置条件,包含网络配置信息,例如配置的访问策略和应用控制规则中的一种以上;模板信息,可以包含例如是否创建会话的信息、以及可用于后续会话创建的通用信息(例如路由)中的一种以上;模板限制信息,表示对模板使用条件的限制的信息,包含超时时间等。上述模板键值、网络配置条件、模板信息以及模板限制信息中,也可以包含其它信息。如图3所示,本专利技术涉及的会话创建方法同图1所示的现有会话创建方法的区别之处在于,增加了根据模板键值查找会话模板的步骤和根据会话来创建会话模板的步骤。首先,网络设备接收到要转发的数据包(步骤3010),接着对该数据包进行合法性检查(步骤3020)。然后,通过提取该数据包中的各种信息(例如来源IP地址和端口、目的IP地址和端口、协议等信息),分别构成用于查找会话表中会话的会话键值和与所述会话表对应会话模板集合中会话模板的模板键值,再根据该会话键值查找会话表(步骤3030),并判断在该会话表本文档来自技高网...
【技术保护点】
一种网络设备中的会话创建方法,其特征在于,包括以下步骤:基于接收到的数据包,分别构成用于查找会话表中会话的会话键值和与所述会话表对应会话模板集合中会话模板的模板键值;判断是否存在与上述模板键值对应的会话模板;如果存在与上述模板键值对应的会话模板,则利用上述会话模板创建会话;否则,直接利用所述会话键值进行会话查找,如查找不到则进行会话创建,并且依据所创建的上述会话创建新的会话模板。
【技术特征摘要】
1.一种网络设备中的会话创建方法,其特征在于,包括以下步骤:基于接收到的数据包,分别构成用于查找会话表中会话的会话键值和与所述会话表对应会话模板集合中会话模板的模板键值;根据上述会话键值查找上述会话表,并判断在上述会话表中是否存在与上述会话键值对应的会话;如果在上述会话表中存在上述对应的会话,则不需要进行会话创建过程;否则,进一步根据上述模板键值查找与上述模板键值对应的会话模板;判断是否存在与上述模板键值对应的会话模板;如果存在与上述模板键值对应的会话模板,则利用上述会话模板创建会话;否则,直接进行会话创建,并且依据所创建的上述会话创建新的会话模板。2.根据权利要求1所述的会话创建方法,其特征在于,还包括以下步骤:在判断是否存在与上述模板键值对应的会话模板之前,根据当前的网络配置条件查找与该网...
【专利技术属性】
技术研发人员:陈静相,曹斌,
申请(专利权)人:东软集团股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。