[发明专利]根据协议、端口和IP地过滤挑选流量的智能加速网卡

说明书

技术领域

本发明属于网络通信领域，具体涉及一种根据协议、端口和IP地过滤挑选流量的智能加速网卡。

背景技术

随着网络技术的迅速发展，互联网上的应用种类日益繁多，网络流量总带宽增长迅猛，网络流量的组成也日趋复杂，以使用最广泛的以太网为例，传统以太网络中大多只有IPv4、ARP等少数几种协议的流量，而目前的以太网络中包含了IPv4、IPv6、PPPoE、带VLAN标签的IPv4和IPv6报文、带多层MPLS标签的IPv4和IPv6报文、IPv4 in IPv6隧道报文、IPv6 in IPv4隧道报文、Teredo隧道报文等多种协议格式的报文，相关网络技术的发展推动了互联网的繁荣的同时，也给网络流量监管带来了极大的难度，对国家安全、网民安全带来了极大的挑战。

为了保障网络的和谐稳定，保护国家网络的利益，通常需要在网络出入口部署类IDS(入侵检测和防御系统)检测、阻止潜在的危机，并上报网络安全部门。类IDS系统是整个系统的核心，它承担着检测和阻断非法流量的重要功能，而高效快速有针对性的捕获数据包是核心的基础，传统的类IDS系统通常采用通用网卡基于Linux系统上的libpacp接口捕获所有数据包方式实现。一个数据包到达网卡后，要经过接口层-＞数据链路层-＞IP层-＞TCP层-＞应用层最后到达应用程序。以太网的设计中主要关注的是传输可靠性，因此数据包在这一过程中要经过大量的检查和内存的拷贝，此外由于linux内存管理的要求，再从网络协议栈所处的内核空间，拷贝到应用程序所处的用户空间。在此过程中数据包的大量检查及由内核空间向用户空间的拷贝开销是巨大的。

为了提高捕包效率，一部分厂商采用零拷贝技术，在用户空间开辟一个共享内存区，通过内存映射这一机制，将网卡得到的数据直接放入用户空间里去。这样即避免了层层协议检测同时又避免了数据包从内核空间向用户空间的拷贝，但其仍旧将全部的网络报文都上传给了应用程序。

而且网络行为特征日趋复杂，攻击和种类也越来多，所以需要多个不同功能的类IDS系统才能实现预期的监管，而传统的类IDS系统都是通过网络设备捕获所有数据包然后进行分析，即基于全流量的处理，由于总带宽巨大所以单一的类IDS系统就很庞大，由多个类IDS系统组成的大系统更是巨大和复杂，这即需要增加采购设备的成本，增加机房和供电等方面的消耗，同时还不便于管理。

现有的类IDS系统大多基于通用libpacp接口或经过优化的零拷贝接口进行捕包分析，其优化着眼于提高捕获数据包的效率和优化业务处理流程，这在一定程度上提高了系统的吞吐量，但当前互联网上的业务日新月异，攻击流量数量和攻击种类日益复杂，网络流量增加迅猛，仅靠优化捕包效率和处理效率仍旧满足不了大流量下全面监管的需求，因此急需一种流量选择技术，使业务系统可只处理相关的网络数据包，降低真实处理总带宽。

发明内容

为克服上述缺陷，本发明提供了一种根据协议、端口和IP地过滤挑选流量的智能加速网卡，使业务系统可只处理相关的网络数据包，降低了真实处理总带宽。

为实现上述目的，本发明提供一种根据协议、端口和IP地过滤挑选流量的智能加速网卡，其改进之处在于，所述网卡包括业务单元和与其连接的存储单元。

本发明提供的优选技术方案中，所述业务单元，接收网络报文，将报文中的源IP、目的IP、源端口、目的端口和协议与存储单元中存储的报文规则进行匹配，如果匹配则按照匹配的规则对报文进行操作，否则丢弃。

本发明提供的第二优选技术方案中，网卡规则是对源IP、目的IP、源端口、目的端口和协议进行设定。

本发明提供的第三优选技术方案中，源IP、目的IP、源端口、目的端口和协议分别是指定的IP地址、端口和协议。

本发明提供的第四优选技术方案中，源IP、目的IP、源端口、目的端口和协议设置的数值为0时，表示选择的IP地址、端口和协议是任意的。

本发明提供的第五优选技术方案中，对报文进行操作包括：上传给主机、丢弃、转发和打标签。

本发明提供的第六优选技术方案中，所述业务单元采用FPGA芯片。

本发明提供的第七优选技术方案中，所述FPGA芯片的型号为XC5VLX110T。

本发明提供的第八优选技术方案中，所述存储单元，用于缓冲数据包和存放网卡规则。

本发明提供的第九优选技术方案中，所述存储单元采用容量为4G的DDR3存储器。