[发明专利]基于网络处理器的访问控制列表实现方法

说明书

技术领域

本发明涉及一种网络安全防护技术中的访问控制列表，尤其涉及一种基于网络处理器的访问控制列表实现方法。

背景技术

访问控制列表(Access Control List，ACL)是应用在路由器接口上的一个控制列表，可以控制拒绝和允许进入以及离开路由器的数据包，也可以拒绝和允许用户访问某一网络资源。由于其应用的非常广泛，可以对IP、协议、端口等功能上进行控制，从而对网络系统起到安全与保护的作用，所以它是一种网络安全防护技术，也可以当作一种网络控制的有力工具。

ACL实际上就是一系列允许和拒绝匹配准则的集合。简单的说就是利用这些准则来告诉路由器哪些数据包可以接收、哪些数据包需要拒绝。至于数据包是被接收还是被拒绝，那就要根据这些准则中所定义的条件来决定控制数据包在输入与输出。匹配准则的总类繁多，可以是简单的数据包目标地址的单项目匹配，也可以是数据包目标地址、源地址，端口等多项目的综合匹配等，ACL对符合匹配规则的数据包进行允许和拒绝的操作。

当路由器的接口接收到一个数据包时，首先会检查访问控制列表，如果有执行控制列表中有拒绝和允许的操作，则根据：被拒绝的数据包将会被丢弃，允许的数据包进入路由选择状态。

对进入路由选择状态的数据再根据路由器的路由表执行路由选择，如果路由表中没有到达目标网络的路由，那么相应的数据包就会被丢弃；如果路由表中存在到达目标网络的路由，则数据包被送到相应的网络接口。

以上是ACL的简单的工作过程，其简单的说明数据包的经过路由器时，根据访问控制列表作相应的动作来判断是被接收还是被丢弃，在安全性很高的配置中，有时还会为每个接口配置自己的ACL，来为数据作更详细的判断。

随着网络速度的飞速发展，传统的路由器已经越来越难已满足报文的快速转发要求。为了适应这一发展，出现了新型的网络处理器(Net Processor，NP)。它是一种新型的处理器类型，专门用于满足网络交换设备的需求、网络环境的要求而设计的。它除了一般处理器的功能外还包含若干个专门处理数据分组的高速智能接口，即高速引擎，使得网络处理器能够处理高速网络中同时到达的多个数据流。

网络处理器是用于实现报文处理、协议分析、路由、语音/数据集成、防火墙和QoS等通信工作的可编程硬件。它被经过专门设计和高度优化来完成各种网络功能。由于它与传统的路由器的架构的差异，使得访问控制列表不能直接应用于网络处理器，因此，如何在网络处理器中实现访问控制列表，是本领域技术人员急欲解决的问题。

发明内容

本发明所要解决的技术问题是提供一种基于网络处理器的访问控制列表实现方法。

本发明为解决上述技术问题而采用的技术方案是提供一种基于网络处理器的访问控制列表实现方法，该网络处理器具有分析模块、查找模块、决策模块和修改模块，该方法包括下列步骤：首先，接收一个网络报文；其次，在分析模块中，创建报文相关消息和硬件寄存器消息，并建立一五元组。接着，在查找模块中，以五元组为键查询一会话表或一访问控制列表；并且，将查询到的结果传递至决策模块。然后，在决策模块中，根据查询的结果作相应的处理，其中如果访问控制列表的匹配规则为允许或重定向，则创建相应的修改策略和修改标签，并传递至修改模块；如果访问控制列表的匹配规则为不允许，则丢弃报文。最后，在修改模块中，根据修改策略和修改标签，修改报文并转发出去。

上述的基于网络处理器的访问控制列表实现方法，其中，根据五元组查询一会话表或一访问控制列表的步骤包括：查询一会话表，如果在会话表中找到匹配项，则直接将查询到的结果传递至决策模块，如果未找到匹配项，则查询访问控制列表以确定匹配规则。

上述的基于网络处理器的访问控制列表实现方法，其中，查询访问控制列表以确定匹配规则的步骤包括：查询进端口访问控制列表以确定进端口匹配规则，如果匹配规则为不允许，则直接将查询到的结果传递至决策模块；如果匹配规则为允许或重定向，执行以下步骤，首先，查询一路由表以选择报文的出端口；其次，查询出端口访问控制列表以确定出端口匹配规则。

上述的基于网络处理器的访问控制列表实现方法，其中，还包括根据查询的结果在会话表中建立相应的条目，以供同一会话的后续报文来临时查询。

上述的基于网络处理器的访问控制列表实现方法，其中，创建相应的修改策略和修改标签的步骤包括，将报文修改信息组合成修改策略和修改标签。这些报文修改信息包含在会话表中，或者包含在访问控制列表中。