[发明专利]防火墙一次比对地址信息的控制方法

摘要

本发明所述的防火墙一次比对地址信息的控制方法，通过在核心层采用面向对象方式来实现访问控制，在对一个数据包应用控制规则时每一个用户组中的地址信息只需比对一次，利用用户数远小于访问控制规则的情况，来达到有效提升防火墙性能、压缩比对时间的目的。所述防火墙一次比对地址信息的控制方法，是将现有N次(N等于访问控制规则的实际条数)降低为n次(n≤N，且n≤用户组的数量)。也就是，在每一用户组中无论访问控制规则有多少，其中的地址信息仅比对一次。这样即可将防火墙性能与访问控制规则的数量成反比，改变为与用户组数量和访问控制规则中较小的那个因素成反比。

主权项

1、一种防火墙一次比对地址信息的控制方法，其特征在于：所述的控制方法基于面向对象方式的防火墙访问控制，是按以下内容实现的，第一步，防火墙的访问控制是面向对象方式的控制方法；(1)、对于防火墙的访问控制对象进行分类；对于防火墙要控制的各个对象进行定义，定义的具体内容包括有定义名称(供用户使用时引用)、标志位(即用户组ID，供系统核心层查询时使用)、以及对象的具体信息；(2)、将分类信息通过接口函数传递至系统核心层；按上一步访问控制对象的定义分类，将上述访问对象定义信息依次链接起来并在核心层建立访问对象链表；(3)、配置面向对象的访问控制规则；(4)、将配置规则通过接口函数传递至核心层；按上一步访问控制规则的定义，将上述访问规则在核心层建立访问对象链表；(5)、核心层把配置规则中的对象标识与预先定义的对象的具体信息联系起来，对通过防火墙的数据包进行访问控制。第二步，用户组信息采用指针数组结构，并设置有比对地址信息使用的标志位；第三步，在比对前将每一个数据包的标志位均置为-1；第四步，根据对比数据包与用户组中的地址信息的结果，将用户组标志位分别更新设置为1或0；第五步，后续的访问控制规则比较时，仅需根据标志位来判断是否数据包地址信息包含于用户组地址信息中，而无需重复进行地址信息比对。