CN100505636C - 防火墙一次比对地址信息的控制方法 - Google Patents
防火墙一次比对地址信息的控制方法 Download PDFInfo
- Publication number
- CN100505636C CN100505636C CNB2004100355185A CN200410035518A CN100505636C CN 100505636 C CN100505636 C CN 100505636C CN B2004100355185 A CNB2004100355185 A CN B2004100355185A CN 200410035518 A CN200410035518 A CN 200410035518A CN 100505636 C CN100505636 C CN 100505636C
- Authority
- CN
- China
- Prior art keywords
- access control
- information
- address information
- control rule
- flag bit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明所述的防火墙一次比对地址信息的控制方法,通过在核心层采用面向对象方式来实现访问控制,在对一个数据包应用控制规则时每一个用户组中的地址信息只需比对一次,利用用户数远小于访问控制规则的情况,来达到有效提升防火墙性能、压缩比对时间的目的。所述防火墙一次比对地址信息的控制方法,是将现有N次(N等于访问控制规则的实际条数)降低为n次(n≤N,且n≤用户组的数量)。也就是,在每一用户组中无论访问控制规则有多少,其中的地址信息仅比对一次。这样即可将防火墙性能与访问控制规则的数量成反比,改变为与用户组数量和访问控制规则中较小的那个因素成反比。
Description
技术领域
本发明涉及一种基于面向对象方式的访问控制方法,对于每一用户组中的地址信息实现一次数据包比对的防火墙控制方法。
背景技术
目前计算机网络系统中的防火墙,其主要功能是实现针对数据包源地址和目标地址的转换、以及根据针对TCP/IP协议中的某一具体参数实现访问控制。
现有防火墙地址转换时间,主要用在路由选择前和路由选择后的两个阶段来完成。因而在进行访问规则比较时,就需要在上述阶段分别比较访问控制规则和数据包中的地址信息是否一致。随着防火墙访问规则数量的增加,这种重复比对每一用户组中地址信息的控制方式直接影响到数据包处理时间的多少。当出现小数据包大流量的情况时,防火墙性能将下降50%左右。
出现上述问题究其原因是,现有防火墙访问控制是基于实际IP地址进行访问地址的比对。所以要避免上述问题的发生,就必须改变针对TCP/IP协议中的某一具体参数实现访问控制的做法,若采用防火墙面向对象的访问控制方式则可有效地减少重复比对地址信息的次数,缩短比对时间。
发明内容
本发明所述的防火墙一次比对地址信息的控制方法,旨在解决上述问题和不足而通过在核心层采用面向对象方式来实现访问控制,在对一个数据包应用控制规则时每一个用户组中的地址信息只需比对一次,利用用户组数远小于访问控制规则的情况,来达到有效提升防火墙性能、压缩比对时间的目的。
所述防火墙一次比对地址信息的控制方法,是将现有N次(N等于访问控制规则的实际条数)降低为n次(n≤N,且n≤用户组的数量)。也就是,在每一用户组中无论访问控制规则有多少,其中的地址信息仅比对一次。这样即可将防火墙性能与访问控制规则的数量成反比,改变为与用户组数量和访问控制规则中较小的那个因素成反比。
所述防火墙一次比对地址信息的控制方法,是按以下内容顺序实现的:
第一步,防火墙的访问控制是面向对象方式的控制方法。
(1)、对于防火墙的访问控制对象进行分类;
访问控制对象的分类原则,是根据控制规则中的各参数进行分类。按照不同的权限对访问对象进行分类,因而可根据地址类、服务类和时间类进行分类定义。
对于防火墙要控制的各个对象进行定义,定义的具体内容包括有定义名称(供用户使用时引用)、标志位(即用户组ID,供系统核心层查询时使用)、以及对象的具体信息。
(2)、将分类信息通过接口函数传递至系统核心层。
按上一步访问控制对象的定义分类,将上述访问对象定义信息依次链接起来并在核心层建立访问对象链表。具体的链表结构是:
指向下一个对象的指针(link*next);
访问对象的定义信息(class object),即访问控制对象的实际定义内容,包括有地址类、服务类和时间类定义的具体结构内容的实体。
对链表的操作是通用的,保留链表的头部和尾部指针,增加时可以直接连接到尾部,删除时根据ID号判断删除。
(3)、配置面向对象的访问控制规则。
所述的访问控制规则是由上述步骤预先分类定义的结构所决定。
(4)、将配置规则通过接口函数传递至核心层。
按上一步访问控制规则的定义,将上述访问规则在核心层建立访问对象链表。具体的链表结构是:
指向下一个对象的指针(link*next);
访问对象的定义信息(class object)。
(5)、核心层把配置规则中的对象标识与预先定义的对象的具体信息联系起来,对通过防火墙的数据包进行访问控制。
第二步,用户组信息采用指针数组结构,并设置有比对地址信息使用的标志位。
标志位相应地设定为-1,则表示该用户组中的数据包未比对过;
标志位设定为1,则表示该数据包地址信息包含于用户组地址信息中;
标志位设定为0,则表示该数据包地址信息未列入用户组中。
第三步,在比对前将每一个数据包的标志位均置为-1。
第四步,根据对比数据包与用户组中的地址信息的结果,将用户组标志位分别更新设置为1或0。
第五步,后续的访问控制规则比较时,仅需根据标志位来判断是否数据包地址信息包含于用户组地址信息中,而无需重复进行地址信息比对。
如上内容,防火墙一次比对地址信息的控制方法是基于面向对象方式的访问控制,在对一个数据包应用控制规则时,每一个用户组中的地址信息只需比对一次。而通常用户数会远小于访问控制规则的数量,可大大降低地址信息的比对次数,有效地提高防火墙控制效率。
附图说明
图1是所述防火墙访问控制方法的数据结构及相互关系示意图;
图2是所述一次比对地址信息的控制流程图。
具体实施方式
结合图1,所述的防火墙一次比对地址信息的控制方法,是基于面向对象方式的访问控制方式。
面向对象方式的防火墙访问控制方法,是按如下内容实现的:
(1)、对于防火墙的访问控制对象进行分类;
可根据地址类、服务类和时间类进行分类定义。
对于防火墙要控制的各个对象进行定义,定义的具体内容包括有定义名称(供用户使用时引用)、标志位(即用户组ID,供系统核心层查询时使用)、以及对象的具体信息。
(2)、将分类信息通过接口函数传递至系统核心层。
按上一步访问控制对象的定义分类,将上述访问对象定义信息依次链接起来并在核心层建立访问对象链表。具体的链表结构是:
指向下一个对象的指针(link*next);
访问对象的定义信息(class object)。
(3)、配置面向对象的访问控制规则。
所述的访问控制规则是由上述步骤预先分类定义的结构所决定,具体的结构包括有:
来源地址组ID(src_id:10);
目标地址组ID(dst_id:10);
来源接口(ingress:4);
目标接口(engress:4);
是否生效的标志位(enable:1);
服务组ID(service_id:8);
时间组ID(time_id:8);
处理方式的标志位(action:8);
会话数限制位(session_limit);
(4)、将配置规则通过接口函数传递至核心层。
按上一步访问控制规则的定义,将上述访问规则在核心层建立访问对象链表。具体的链表结构是:
指向下一个对象的指针(link*next);
访问对象的定义信息(class object)。
(5)、核心层把配置规则中的对象标识与预先定义的对象的具体信息联系起来,对通过防火墙的数据包进行访问控制。
如图2所示,所述的一次比对地址信息的流程是:
首先,用户组信息采用指针数组结构,并设置有比对地址信息使用的标志位;当新数据包进入核心层后,其标志位置为-1。
其次,当访问控制规则不为空时,判断访问控制规则中的标志位数值;若标志位是1或0,则表示该数据包地址信息已经比对过一次,而无需重复进行比对,继续下一条控制规则的比对;若标志位是-1,则说明该数据包尚未比对过地址信息,则立即进行地址信息比对。
然后,判断数据包与用户组中的地址信息的比对结果,若该数据包地址信息包含于用户组地址信息中,则标志位设置为1;若数据包地址信息未列入用户组中,则标志位设置为0;并且,转而比对数据包与控制规则中的其他信息。
最后,将数据包与访问控制规则中的信息全部比较后,按访问控制规则来处理数据包,并继续后续处理流程。
Claims (3)
1、一种防火墙一次比对地址信息的控制方法,其特征在于:所述的控制方法基于面向对象方式的防火墙访问控制,是按以下内容实现的,
第一步,防火墙的访问控制是面向对象方式的控制方法;
(1)、对于防火墙的访问控制对象进行分类;
对于防火墙要控制的各个对象进行定义,定义的具体内容包括有定义名称、标志位、以及对象的具体信息;
(2)、将分类信息通过接口函数传递至系统核心层;
按上一步访问控制对象的定义分类,将上述访问对象定义信息依次链接起来并在核心层建立访问对象链表;
(3)、配置面向对象的访问控制规则;
(4)、将配置的访问控制规则通过接口函数传递至核心层;
按上一步访问控制规则的定义,将上述访问控制规则在核心层建立访问对象链表;
(5)、核心层把配置的访问控制规则中的对象标识与预先定义的对象的具体信息联系起来,对通过防火墙的数据包进行访问控制;
第二步,用户组信息采用指针数组结构,并设置有比对地址信息使用的标志位;
第三步,在比对前将每一个数据包的标志位均置为-1;
第四步,根据对比数据包与用户组中的地址信息的结果,将用户组标志位分别更新设置为1或0;
第五步,后续的访问控制规则比较时,仅需根据标志位来判断是否数据包地址信息包含于用户组地址信息中,而无需重复进行地址信息比对。
2、根据权利要求1所述的防火墙一次比对地址信息的控制方法,其特征在于:所述防火墙一次比对地址信息的控制方法,在每一用户组中无论访问控制规则有多少,其中的地址信息仅比对一次。
3、根据权利要求2所述的防火墙一次比对地址信息的控制方法,其特征在于:
所述第三步中,当新数据包进入核心层后,其标志位置为-1;
所述第三步与第四步之间还包括,当访问控制规则不为空时,判断访问控制规则中的标志位数值;若标志位是1或0,则表示该数据包地址信息已经比对过一次,而无需重复进行比对,继续下一条访问控制规则的比对;若标志位是-1,则说明该数据包尚未比对过地址信息,则立即进行地址信息比对;
所述第四步中,判断数据包与用户组中的地址信息的比对结果,若该数据包地址信息包含于用户组地址信息中,则标志位设置为1;若数据包地址信息未列入用户组中,则标志位设置为0;并且,转而比对数据包与访问控制规则中的其他信息;
所述第五步之后还包括,将数据包与访问控制规则中的信息全部比较后,按访问控制规则来处理数据包,并继续后续处理流程。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2004100355185A CN100505636C (zh) | 2004-08-07 | 2004-08-07 | 防火墙一次比对地址信息的控制方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2004100355185A CN100505636C (zh) | 2004-08-07 | 2004-08-07 | 防火墙一次比对地址信息的控制方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1731736A CN1731736A (zh) | 2006-02-08 |
| CN100505636C true CN100505636C (zh) | 2009-06-24 |
Family
ID=35964044
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2004100355185A Expired - Fee Related CN100505636C (zh) | 2004-08-07 | 2004-08-07 | 防火墙一次比对地址信息的控制方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100505636C (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101945022B (zh) * | 2010-09-29 | 2013-01-30 | 珠海世纪鼎利通信科技股份有限公司 | 一种高效统一的无线通信网络测量参数解码方法 |
| CN102457430B (zh) * | 2010-10-20 | 2015-04-08 | 正文科技股份有限公司 | 网络封包处理方法及路由设备 |
| CN117521052B (zh) * | 2024-01-04 | 2024-06-21 | 中国电信股份有限公司江西分公司 | 一种服务器隐私的保护认证方法、装置、计算机设备及介质 |
-
2004
- 2004-08-07 CN CNB2004100355185A patent/CN100505636C/zh not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| CN1731736A (zh) | 2006-02-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111191767B (zh) | 一种基于向量化的恶意流量攻击类型的判断方法 | |
| CN108199863B (zh) | 一种基于两阶段序列特征学习的网络流量分类方法及系统 | |
| CN1838636A (zh) | 用于使数据包穿越网络地址转换装置的方法和装置 | |
| CN106095597B (zh) | 客户端数据处理方法及装置 | |
| CN104982013A (zh) | 一种业务路由的方法、设备及系统 | |
| WO2021051541A1 (zh) | 基于微服务框架的一起灰度方法、装置和计算机设备 | |
| CN104486091A (zh) | 一种计费方法及装置 | |
| US8532331B2 (en) | Method for monitoring a picture or multimedia video pictures in a communication system | |
| CN103237299B (zh) | 一种基于网络共享的计费控制、策略控制方法和设备 | |
| CN1946061B (zh) | 一种快速处理报文的方法及装置 | |
| CN103873356A (zh) | 基于家庭网关的应用识别方法、系统和家庭网关 | |
| CN103188042A (zh) | 一种ip数据包的匹配方法和匹配加速器 | |
| CN101626576B (zh) | 一种参数配置模板的生成方法及利用模板配置参数的方法 | |
| CN110222795A (zh) | 基于卷积神经网络的p2p流量的识别方法及相关装置 | |
| CN101340370B (zh) | 链路选择方法和链路选择装置 | |
| CN104753791A (zh) | 一种数据包处理方法、装置和系统 | |
| CN101650718A (zh) | 字符串匹配方法和装置 | |
| CN100505636C (zh) | 防火墙一次比对地址信息的控制方法 | |
| CN103152794B (zh) | 业务接入方法及接入控制器 | |
| CN101616098A (zh) | Tcp数据流的调度方法和设备 | |
| CN117478680A (zh) | 基于物联管理平台的终端数据流传输远程控制方法和系统 | |
| CN1578301B (zh) | 编辑数据流的方法和设备 | |
| CN101888303A (zh) | 网络流量信息的记录方法以及相关装置 | |
| CN107800630A (zh) | 报文处理方法及装置 | |
| CN115604229A (zh) | 一种基于IPv6特性构建柔性组网框架的方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| ASS | Succession or assignment of patent right |
Owner name: HAIXIN GROUP CO., LTD. Free format text: FORMER OWNER: HAIXIN GROUP CO., LTD.; APPLICANT Effective date: 20071214 |
|
| C10 | Entry into substantive examination | ||
| C41 | Transfer of patent application or patent right or utility model | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20071214 Address after: 151, Zhuzhou Road, Laoshan District, Shandong City, Qingdao Province, China: 266100 Applicant after: Hisense Group Co., Ltd. Address before: Zip code 11, Jiangxi Road, Qingdao, Shandong, China: 266071 Applicant before: Hisense Group Co-applicant before: Beijing Hisense Digital Technology Co., Ltd. |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20090624 Termination date: 20190807 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |