[发明专利]报文内容检测与流控装置

说明书

技术领域

发明涉及一种用于网络安全监测、网络分流及网络内容过滤的装置。

背景技术

目前，网络分流及内容过滤装置(如华为技术有限公司生产的装置)包括主控制器、PCI接口、成帧器、搜索加速器，该装置主要是针对2.5G速率网络接入的数据包进行分析处理的，且只针对于数据协议头中的某些字段对数据包进行分类、过滤。系统根据用户自己配置的分类规则(目的IP地址+源IP地址+协议号+目的端口号+源端口号)进行过滤处理。而且其规则表不超过16K，2.5G的处理速率也将影响和限制着内容检测设备在高速网络干线上的使用，同时搜索筛选的条件不断增加，16K规则表也越来越无法适应现有网络的高速要求与更加复杂的分析检测规则的运用市场。

发明内容

发明的目的是要提供一种报文内容检测与流控装置，该装置处理速率大于2.5G，能满足网络的高速要求与更加复杂的分析检测规则。

发明的目的是这样实现的：该装置包括主控制器，主控制器的通讯连接口与PCI接口相连，主控制器的第一输入输出口和第二输入输出口分别连接有一个高速硬件多队列管理器，主控制器的第三输入输出口通过高速缓冲区总线与高速缓冲区相连，主控制器的第四输入输出口连接有可编程逻辑控制器，可编程逻辑控制器的第一通讯口通过成帧器与光纤输出接口相连，可编程逻辑控制器的第二通讯口与光纤输入接口相连，可编程逻辑控制器的第三通讯口与并行内容寻址存储器相连。

发明针对现阶段网络高速发展的不断需求而设计，采用了先进的并行基于内容寻址和地址寻址查表算法、高速多队列管理.不仅可以对源IP地址、目的IP地址、源端口号、目的端口号和协议类型以及报文负载首部的前20字节进行任意组合的内容查表，更可以实现对报文负载中任何位置的特征关键词识别，从而可以在硬件级对10G速率报文进行逐报内容级识别和流控。

发明具有以下优点：

1、对10G速率网络接入的数据包进行分析；

2、根据数据包协议头中的某些字段对数据包进行分类、过滤；

3、源IP地址、目的IP地址、源端口号、目的端口号和协议类型以及报文负载首部的前20字节进行任意组合的内容查表，更可以实现对报文负载中任何位置的特征关键词识别；

4、可更具用户设定特定的规则对报文数据内容进行过滤和截获。从而可以在硬件级对10G速率报文进行逐报内容级识别和流控；

5、64K的规则表，是原检测规则表分析能力的4倍。

附图说明

图1是发明一个实施例的电路原理示意图。

图2是图1中的PCI接口电路图。

图3是图1中的主控制器电路图。

图4是图1中的高速硬件多队列管理器电路图。

图5是图1中的并行内容寻址存储器电路图。

具体实施方式

在图1中，主控制器MPU的通讯连接口A1-A31与PCI接口相连，主控制器MPU的第一输入输出口D0-D30连接有高速硬件多队列管理器IDT1，主控制器MPU的第二输入输出口D31—D63连接有高速硬件多队列管理器IDT2，主控制器MPU的第三输入输出口BA0—BA63通过高速缓冲区总线RAM BUS与高速缓冲区RAM相连，主控制器MPU的第四输入输出口FPD0—FPD63连接有可编程逻辑控制器FPGA，可编程逻辑控制器FPGA的第一通讯口FPDQM0—FPDQM63通过成帧器PMC与光纤输出接口RJ1相连，可编程逻辑控制器FPGA的第二通讯口R0—R7与光纤输入接口RJ2相连，可编程逻辑控制器MPU的第三通讯口FBAA0—FBAA63与并行内容寻址存储器CAM相连。

各部分电源采用直流3.3V。

PCI接口部分采用NS8392。

数据处理流程如下：

10G网络报文通过光纤进入高速硬件多队列管理器IDT并同时与并行内容寻址存储器CAM协同工作，MPU控制搜索加速器PMC TEMU X336协同高速缓冲区RAM规则表按存储在CAM中的规则对数据报文进行报文报头及报文内容比较匹配。并将结果通过PCI接口送入控制服务器按设定处理。

对于10G bit/s端口，该装置在采用RAMBUS技术与并行内容寻址存储技术相结合最终使得测试结果达到预期目标。