CN103384222A - 一种数据流匹配acl的方法 - Google Patents
一种数据流匹配acl的方法 Download PDFInfo
- Publication number
- CN103384222A CN103384222A CN2013102574862A CN201310257486A CN103384222A CN 103384222 A CN103384222 A CN 103384222A CN 2013102574862 A CN2013102574862 A CN 2013102574862A CN 201310257486 A CN201310257486 A CN 201310257486A CN 103384222 A CN103384222 A CN 103384222A
- Authority
- CN
- China
- Prior art keywords
- acl
- nat
- message
- matching
- matched
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Abstract
本发明公开了一种数据流匹配ACL的方法,其特征在于,包括以下步骤:S1:为防火墙设备配置NAT模块,对每个NAT模块中的ACL模块分为n组,即ACL1、ACL2、ACL3、……ACLn,且默认的匹配顺序是ACL1、ACL2、ACL3、……ACLn;S2:防火墙设备接收报文,对报文进行ACL匹配,若匹配成功ACLm,m为不大于n的正整数,则将ACLm的优先级设置为最高级,ACL模块的匹配顺序变为ACLm、ACL1、ACL2……ACLn。本发明防火墙设备中的NAT功能进行了优化,当有NAT匹配规则被匹配上之后,就提升此NAT匹配规则的被匹配的优先级,将NAT匹配规则被流量匹配的顺序动态的变化,使当前最容易被匹配上的NAT匹配规则在下次报文匹配的时候首先被使用,通过以上方法来优化报文被NAT匹配的规则。
Description
技术领域
本发明涉及网络通信技术领域,特别涉及一种数据流匹配ACL的方法。
背景技术
ACL(Access Control List,访问控制列表)通常被使用在三层流过滤(是否报文被准许通过)、IPSEC隧道规则匹配(是否报文需要加密)、NAT规则匹配(是否报文需要做NAT转换)等。以NAT规则匹配为例,NAT功能判断哪些报文需要进行NAT转换是通过匹配NAT规则实现的,NAT匹配规则实际上就是使用ACL对报文进行匹配,当报文匹配上指定的ACL(此ACL就是NAT匹配规则)之后,就对此报文进行NAT转换,如果匹配不上此ACL,则报文不作NAT转换,而进行其它业务处理。在此过程中,通常流量最大的时候,是相同的一组背景流(此相同的一组背景流指的是需要做相同转换的报文)。当配置了很多个NAT转换的时候,流量就会按照NAT转换匹配的顺序一个一个的匹配每个NAT对应的NAT匹配规则,此时往往在流量最大的时候只有一个或者几个NAT会被匹配上,其他NAT匹配规则根本就没有流量,如果此时没有流量的NAT配置在了前面,那么每个报文都需要先匹配一遍这个没用的NAT匹配规则。这就会造成报文转发效率非常低。
发明内容
(一)要解决的技术问题
本发明要解决的是现有技术中,报文进行NAT转换时,所有报文需要对全部ACL进行遍历一次的匹配所造成的效率较低的问题。
(二)技术方案
为解决上述技术问题,本发明提供了一种数据流匹配ACL的方法,其特征在于,
包括以下步骤:
S1:为防火墙设备配置NAT模块,对每个NAT模块中的ACL模块分为n组,即ACL1、ACL2、ACL3、……ACLn,且默认的匹配顺序是ACL1、ACL2、ACL3、……ACLn;
S2:防火墙设备接收报文,对所述报文进行ACL匹配,若匹配成功ACLm,m为不大于n的正整数,则将ACLm的优先级设置为最高级,ACL模块的匹配顺序变为ACLm、ACL1、ACL2……ACLn。
所述步骤S1之前还包括将在同一时段上网的用户的IP地址设置在同一ACL模块的地址池中。
(三)有益效果
本发明的数据流匹配ACL的方法对防火墙设备中的NAT模块进行优化,按照用户需求将ACL分为若干组,报文先对全部ACL分组进行遍历,匹配成功后将匹配上的ACL组的优先级设置为最高级,其余ACL分组的匹配顺序不变,则下次报文先对最高级的ACL进行匹配,节约了匹配的时间。
具体实施方式
下面对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明,但不用来限制本发明的范围。
本实施方式的方法包括以下步骤:
S1:为防火墙设备配置NAT模块,对每个NAT模块中的ACL模块分为n组,即ACL1、ACL2、ACL3、……ACLn,且默认的匹配顺序是ACL1、ACL2、ACL3、……ACLn;
S2:防火墙设备接收报文,对报文进行ACL匹配,若匹配成功ACLm,m为不大于n的正整数,则将ACLm的优先级设置为最高级,其余ACL模块的匹配顺序不变,即匹配顺序调整为ACLm、ACL1、ACL2……ACLn;防火墙设备再次接收报文,对报文进行ACL匹配,匹配顺序为ACLm、ACL1、ACL2……ACLn。
进一步地,步骤S1之前还包括将在同一时段上网的用户的IP地址设置在同一ACL模块的地址池中。
本发明防火墙设备中的NAT功能进行了优化,当有NAT匹配规则被匹配上之后,就提升此NAT匹配规则的被匹配的优先级,将NAT匹配规则被流量匹配的顺序动态的变化,使当前最容易被匹配上的NAT匹配规则在下次报文匹配的时候首先被使用,通过以上方法来优化报文被NAT匹配的规则。
以上实施方式仅用于说明本发明,而并非对本发明的限制,有关技术领域的普通技术人员,在不脱离本发明的精神和范围的情况下,还可以做出各种变化和变型,因此所有等同的技术方案也属于本发明的范畴,本发明的专利保护范围应由权利要求限定。
Claims (2)
1.一种数据流匹配ACL的方法,其特征在于,
包括以下步骤:
S1:为防火墙设备配置NAT模块,对每个NAT模块中的ACL模块分为n组,即ACL1、ACL2、ACL3、……ACLn,且默认的匹配顺序是ACL1、ACL2、ACL3、……ACLn;
S2:防火墙设备接收报文,对所述报文进行ACL匹配,若匹配成功ACLm,m为不大于n的正整数,则将ACLm的优先级设置为最高级,ACL模块的匹配顺序变为ACLm、ACL1、ACL2……ACLn。
2.根据权利要求1所述一种数据流匹配ACL的方法,其特征在于,所述步骤S1之前还包括将在同一时段上网的用户的IP地址设置在同一ACL模块的地址池中。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310257486.2A CN103384222B (zh) | 2013-06-26 | 2013-06-26 | 一种数据流匹配acl的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310257486.2A CN103384222B (zh) | 2013-06-26 | 2013-06-26 | 一种数据流匹配acl的方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103384222A true CN103384222A (zh) | 2013-11-06 |
CN103384222B CN103384222B (zh) | 2016-09-14 |
Family
ID=49491921
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201310257486.2A Expired - Fee Related CN103384222B (zh) | 2013-06-26 | 2013-06-26 | 一种数据流匹配acl的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103384222B (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104092612A (zh) * | 2014-06-05 | 2014-10-08 | 汉柏科技有限公司 | 更新快速转发表匹配顺序的方法及装置 |
WO2016091027A1 (zh) * | 2014-12-12 | 2016-06-16 | 中兴通讯股份有限公司 | 一种网络地址转换与访问控制列表规则聚合方法和装置 |
CN106842915A (zh) * | 2016-12-22 | 2017-06-13 | 首都师范大学 | 一种用于机器人分布式控制系统的形式建模方法及装置 |
CN108418801A (zh) * | 2018-02-01 | 2018-08-17 | 杭州安恒信息技术股份有限公司 | 一种基于大数据分析的防火墙策略优化方法及系统 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1414757A (zh) * | 2002-05-08 | 2003-04-30 | 华为技术有限公司 | 自动按序配置访问控制列表规则的方法及其应用 |
CN1708029A (zh) * | 2004-06-08 | 2005-12-14 | 华为技术有限公司 | 建立转发流表的方法 |
CN1964324A (zh) * | 2006-11-24 | 2007-05-16 | 中兴通讯股份有限公司 | 对流分类算法进行自动选择的方法 |
CN101039271A (zh) * | 2007-03-20 | 2007-09-19 | 华为技术有限公司 | 访问控制列表规则生效的方法及装置 |
CN101141304A (zh) * | 2007-09-18 | 2008-03-12 | 杭州华三通信技术有限公司 | Acl规则的管理方法和设备 |
CN101447940A (zh) * | 2008-12-23 | 2009-06-03 | 杭州华三通信技术有限公司 | 访问控制列表规则的更新方法和装置 |
CN102724131A (zh) * | 2012-06-29 | 2012-10-10 | 杭州华三通信技术有限公司 | 一种ip报文等价路由均衡实现的方法及装置 |
CN103078794A (zh) * | 2013-01-08 | 2013-05-01 | 杭州华三通信技术有限公司 | 一种报文处理控制方法及装置 |
-
2013
- 2013-06-26 CN CN201310257486.2A patent/CN103384222B/zh not_active Expired - Fee Related
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1414757A (zh) * | 2002-05-08 | 2003-04-30 | 华为技术有限公司 | 自动按序配置访问控制列表规则的方法及其应用 |
CN1708029A (zh) * | 2004-06-08 | 2005-12-14 | 华为技术有限公司 | 建立转发流表的方法 |
CN1964324A (zh) * | 2006-11-24 | 2007-05-16 | 中兴通讯股份有限公司 | 对流分类算法进行自动选择的方法 |
CN101039271A (zh) * | 2007-03-20 | 2007-09-19 | 华为技术有限公司 | 访问控制列表规则生效的方法及装置 |
CN101141304A (zh) * | 2007-09-18 | 2008-03-12 | 杭州华三通信技术有限公司 | Acl规则的管理方法和设备 |
CN101447940A (zh) * | 2008-12-23 | 2009-06-03 | 杭州华三通信技术有限公司 | 访问控制列表规则的更新方法和装置 |
CN102724131A (zh) * | 2012-06-29 | 2012-10-10 | 杭州华三通信技术有限公司 | 一种ip报文等价路由均衡实现的方法及装置 |
CN103078794A (zh) * | 2013-01-08 | 2013-05-01 | 杭州华三通信技术有限公司 | 一种报文处理控制方法及装置 |
Non-Patent Citations (1)
Title |
---|
马凤娟、宋大伟: "基于编号IPACL的访问控制的实现", 《潍坊教育学院学报》 * |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104092612A (zh) * | 2014-06-05 | 2014-10-08 | 汉柏科技有限公司 | 更新快速转发表匹配顺序的方法及装置 |
WO2016091027A1 (zh) * | 2014-12-12 | 2016-06-16 | 中兴通讯股份有限公司 | 一种网络地址转换与访问控制列表规则聚合方法和装置 |
CN105744010A (zh) * | 2014-12-12 | 2016-07-06 | 中兴通讯股份有限公司 | 一种网络地址转换与访问控制列表规则聚合方法和装置 |
CN106842915A (zh) * | 2016-12-22 | 2017-06-13 | 首都师范大学 | 一种用于机器人分布式控制系统的形式建模方法及装置 |
CN108418801A (zh) * | 2018-02-01 | 2018-08-17 | 杭州安恒信息技术股份有限公司 | 一种基于大数据分析的防火墙策略优化方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN103384222B (zh) | 2016-09-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102318291B (zh) | 一种业务流处理的方法、装置及系统 | |
CN101141304B (zh) | Acl规则的管理方法和设备 | |
CN102291324A (zh) | 高并发业务请求处理方法 | |
CN103384222A (zh) | 一种数据流匹配acl的方法 | |
CN103338161A (zh) | 一种实现跨设备聚合的方法和设备 | |
JP2018067927A (ja) | 中継装置を有するネットワーク内の3つのアドレスのみ適応できるアクセスポイントにおけるレイヤ−2アドレスの管理 | |
CN103618733A (zh) | 一种应用于移动互联网的数据过滤系统及方法 | |
CN104506540B (zh) | 虚拟主机的读写请求处理方法及系统、宿主机 | |
CN103313308A (zh) | 一种数据传输方法和设备 | |
CN103560995A (zh) | 一种同时实现ipv4和ipv6的URL过滤方法 | |
CN101888388A (zh) | 一种实现虚拟媒体访问控制地址的方法及装置 | |
CN106302117A (zh) | 消息传输系统、方法和装置 | |
CN102984235A (zh) | 一种屏幕数据的共享方法及系统 | |
CN106533894A (zh) | 一种全新的安全的即时通信体系 | |
CN103944886B (zh) | 一种端口安全的实现方法及系统 | |
CN103209107A (zh) | 一种实现用户访问控制的方法 | |
US20170310561A1 (en) | Network Control Method and Apparatus | |
CN103297312B (zh) | 一种mpls vpn的接入方法及装置 | |
CN104052654A (zh) | 实现网络聊天的方法及系统 | |
CN104486119A (zh) | 通过改进openflow协议实现批量管理交换机的方法及系统 | |
CN104506304B (zh) | 一种增强密码设备按需服务能力的适配控制系统及方法 | |
CN102752208A (zh) | 防止半连接攻击的方法及系统 | |
CN107046568B (zh) | 一种认证方法和装置 | |
JP6200587B2 (ja) | ミニブログ情報共有方法 | |
CN105591866A (zh) | 共享wifi的方法及系统、家庭网关和无线局域网关 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20160914 Termination date: 20180626 |
|
CF01 | Termination of patent right due to non-payment of annual fee |