[发明专利]数据包过滤规则匹配方法及装置

说明书

技术领域

本发明涉及网络技术领域，尤指一种用于网络报文过滤的数据包过滤规则匹配方法及装置。

背景技术

数据包过滤技术是防火墙提供网络安全保障的关键技术。通常，防火墙根据预先定义好的过滤规则集中包含的数据包过滤规则匹配审查通过防火墙的每个数据包，以确定所通过的数据包是否与过滤规则集中的某一条规则相匹配。

数据包过滤规则一般是基于数据包的报头信息制订的。报头信息中包括互联网协议(Internet Protocol，IP)源地址、IP目标地址、传输协议(例如：传输控制协议(Transmission Control Protocol，TCP)、用户数据报协议(UserDatagram Protocol，UDP)、因特网控制报文协议(Internet Control MessageProtocol，ICMP)等等)、TCP/UDP目标端口、ICMP消息类型等。一个数据包与某条规则匹配的充要条件是该数据包的报头信息与该条规则匹配。

当需要进行数据包的过滤匹配时，从数据包过滤规则集的第一条数据包过滤规则开始，按照存储顺序逐一进行匹配，除非与某条规则匹配成功，否则包过滤过程只有在匹配完所有数据包过滤规则后，才能结束过滤匹配过程。当数据包与一个数据包过滤规则相匹配，防火墙就要执行该条过滤规则指定的相关的动作。这些动作将指示是否拒绝将数据包发送到某个特定的接口，或是指示是否接受并发送数据包到一个特定接口。如果一个数据包没有和数据包过滤规则集中的任何一条数据包过滤规则匹配成功，则系统会按照默认的处理规则对这个数据包进行发送或丢弃处理。

例如，数据包过滤规则集中存储了如下的数据包过滤规则：

firewall(config)#access-list 4 permit 10.9.8.1

firewall(config)#access-list 4 permit 10.9.8.2

firewall(config)#access-list 4 permit 10.9.8.3

firewall(config)#access-list 4 permit 10.9.8.4

firewall(config)#access-list 4 permit 10.9.8.5

firewall(config)#access-list 4 permit 10.9.8.9

firewall(config)#access-list 4 deny 10.9.8.0255.255.255.248

firewall(config)#access-list 4 permit any

firewall(config)#int f0/0

firewall(config-if)#ip access-group 4in

上述过滤规则针对防火墙的快速以太网接口0设置，其中，peimit表示快速以太网接口0允许接收所指示的IP地址的数据报文(数据包)，如10.9.8.1，10.9.8.2，……，10.9.8.9等地址的数据报文是允许接收到；deny表示快速以太网接口0禁止接收所指示的IP地址的数据报文，例如：满足10.9.8.0，255.255.255.248这一地址范围的报文。默认规则是接收没有被任何规则匹配的IP数据报文。

通常，为便于顺序匹配，防火墙包过滤规则集的物理存储依照用户定义数据包过滤规则的先后顺序逐条顺序储存。例如，根据上述定义的数据包过滤规则集，防火墙每收到一个数据报文需要从第一条数据包过滤规则开始逐条进行匹配，直到命中某条数据包过滤规则，或匹配完数据包过滤规则集中的全部规则。

因此，除了上述规则集中明确指定允许或禁止的几个IP地址外，来自其他IP地址的数据报文，都必须在执行完8次规则匹配操作后，才能确定可以按照默认的规则进行处理。上述仅仅有8条过滤规则的情况已经使得匹配过程非常麻烦，当数据包过滤规则集的规模不断增大，涉及到的IP地址不断增加的情况下，逐条顺序匹配，直到匹配成功或匹配完规则集中的所有规则为止的匹配过滤做法，必将导致匹配过滤的整个过程的数据处理量很大，数据处理的延时很长。大量的匹配处理占用了防火墙的硬件资源，从而会导致防火墙的数据包吞吐量下降，影响数据报文转发的速度和效率，尤其是对一些实时性要求比较高的业务的数据包处理将是非常不利的，这已经成为防火墙数据包转发处理的性能瓶颈。

发明内容