CN103384222A - 一种数据流匹配acl的方法 - Google Patents

一种数据流匹配acl的方法 Download PDF

Info

Publication number
CN103384222A
CN103384222A CN2013102574862A CN201310257486A CN103384222A CN 103384222 A CN103384222 A CN 103384222A CN 2013102574862 A CN2013102574862 A CN 2013102574862A CN 201310257486 A CN201310257486 A CN 201310257486A CN 103384222 A CN103384222 A CN 103384222A
Authority
CN
China
Prior art keywords
acl
nat
message
matching
matched
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN2013102574862A
Other languages
English (en)
Other versions
CN103384222B (zh
Inventor
陈海滨
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Opzoon Technology Co Ltd
Original Assignee
Opzoon Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Opzoon Technology Co Ltd filed Critical Opzoon Technology Co Ltd
Priority to CN201310257486.2A priority Critical patent/CN103384222B/zh
Publication of CN103384222A publication Critical patent/CN103384222A/zh
Application granted granted Critical
Publication of CN103384222B publication Critical patent/CN103384222B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Abstract

本发明公开了一种数据流匹配ACL的方法,其特征在于,包括以下步骤:S1:为防火墙设备配置NAT模块,对每个NAT模块中的ACL模块分为n组,即ACL1、ACL2、ACL3、……ACLn,且默认的匹配顺序是ACL1、ACL2、ACL3、……ACLn;S2:防火墙设备接收报文,对报文进行ACL匹配,若匹配成功ACLm,m为不大于n的正整数,则将ACLm的优先级设置为最高级,ACL模块的匹配顺序变为ACLm、ACL1、ACL2……ACLn。本发明防火墙设备中的NAT功能进行了优化,当有NAT匹配规则被匹配上之后,就提升此NAT匹配规则的被匹配的优先级,将NAT匹配规则被流量匹配的顺序动态的变化,使当前最容易被匹配上的NAT匹配规则在下次报文匹配的时候首先被使用,通过以上方法来优化报文被NAT匹配的规则。

Description

一种数据流匹配ACL的方法
技术领域
本发明涉及网络通信技术领域,特别涉及一种数据流匹配ACL的方法。
背景技术
ACL(Access Control List,访问控制列表)通常被使用在三层流过滤(是否报文被准许通过)、IPSEC隧道规则匹配(是否报文需要加密)、NAT规则匹配(是否报文需要做NAT转换)等。以NAT规则匹配为例,NAT功能判断哪些报文需要进行NAT转换是通过匹配NAT规则实现的,NAT匹配规则实际上就是使用ACL对报文进行匹配,当报文匹配上指定的ACL(此ACL就是NAT匹配规则)之后,就对此报文进行NAT转换,如果匹配不上此ACL,则报文不作NAT转换,而进行其它业务处理。在此过程中,通常流量最大的时候,是相同的一组背景流(此相同的一组背景流指的是需要做相同转换的报文)。当配置了很多个NAT转换的时候,流量就会按照NAT转换匹配的顺序一个一个的匹配每个NAT对应的NAT匹配规则,此时往往在流量最大的时候只有一个或者几个NAT会被匹配上,其他NAT匹配规则根本就没有流量,如果此时没有流量的NAT配置在了前面,那么每个报文都需要先匹配一遍这个没用的NAT匹配规则。这就会造成报文转发效率非常低。
发明内容
(一)要解决的技术问题
本发明要解决的是现有技术中,报文进行NAT转换时,所有报文需要对全部ACL进行遍历一次的匹配所造成的效率较低的问题。
(二)技术方案
为解决上述技术问题,本发明提供了一种数据流匹配ACL的方法,其特征在于,
包括以下步骤:
S1:为防火墙设备配置NAT模块,对每个NAT模块中的ACL模块分为n组,即ACL1、ACL2、ACL3、……ACLn,且默认的匹配顺序是ACL1、ACL2、ACL3、……ACLn
S2:防火墙设备接收报文,对所述报文进行ACL匹配,若匹配成功ACLm,m为不大于n的正整数,则将ACLm的优先级设置为最高级,ACL模块的匹配顺序变为ACLm、ACL1、ACL2……ACLn
所述步骤S1之前还包括将在同一时段上网的用户的IP地址设置在同一ACL模块的地址池中。
(三)有益效果
本发明的数据流匹配ACL的方法对防火墙设备中的NAT模块进行优化,按照用户需求将ACL分为若干组,报文先对全部ACL分组进行遍历,匹配成功后将匹配上的ACL组的优先级设置为最高级,其余ACL分组的匹配顺序不变,则下次报文先对最高级的ACL进行匹配,节约了匹配的时间。
具体实施方式
下面对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明,但不用来限制本发明的范围。
本实施方式的方法包括以下步骤:
S1:为防火墙设备配置NAT模块,对每个NAT模块中的ACL模块分为n组,即ACL1、ACL2、ACL3、……ACLn,且默认的匹配顺序是ACL1、ACL2、ACL3、……ACLn
S2:防火墙设备接收报文,对报文进行ACL匹配,若匹配成功ACLm,m为不大于n的正整数,则将ACLm的优先级设置为最高级,其余ACL模块的匹配顺序不变,即匹配顺序调整为ACLm、ACL1、ACL2……ACLn;防火墙设备再次接收报文,对报文进行ACL匹配,匹配顺序为ACLm、ACL1、ACL2……ACLn
进一步地,步骤S1之前还包括将在同一时段上网的用户的IP地址设置在同一ACL模块的地址池中。
本发明防火墙设备中的NAT功能进行了优化,当有NAT匹配规则被匹配上之后,就提升此NAT匹配规则的被匹配的优先级,将NAT匹配规则被流量匹配的顺序动态的变化,使当前最容易被匹配上的NAT匹配规则在下次报文匹配的时候首先被使用,通过以上方法来优化报文被NAT匹配的规则。
以上实施方式仅用于说明本发明,而并非对本发明的限制,有关技术领域的普通技术人员,在不脱离本发明的精神和范围的情况下,还可以做出各种变化和变型,因此所有等同的技术方案也属于本发明的范畴,本发明的专利保护范围应由权利要求限定。

Claims (2)

1.一种数据流匹配ACL的方法,其特征在于,
包括以下步骤:
S1:为防火墙设备配置NAT模块,对每个NAT模块中的ACL模块分为n组,即ACL1、ACL2、ACL3、……ACLn,且默认的匹配顺序是ACL1、ACL2、ACL3、……ACLn
S2:防火墙设备接收报文,对所述报文进行ACL匹配,若匹配成功ACLm,m为不大于n的正整数,则将ACLm的优先级设置为最高级,ACL模块的匹配顺序变为ACLm、ACL1、ACL2……ACLn
2.根据权利要求1所述一种数据流匹配ACL的方法,其特征在于,所述步骤S1之前还包括将在同一时段上网的用户的IP地址设置在同一ACL模块的地址池中。
CN201310257486.2A 2013-06-26 2013-06-26 一种数据流匹配acl的方法 Expired - Fee Related CN103384222B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201310257486.2A CN103384222B (zh) 2013-06-26 2013-06-26 一种数据流匹配acl的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201310257486.2A CN103384222B (zh) 2013-06-26 2013-06-26 一种数据流匹配acl的方法

Publications (2)

Publication Number Publication Date
CN103384222A true CN103384222A (zh) 2013-11-06
CN103384222B CN103384222B (zh) 2016-09-14

Family

ID=49491921

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201310257486.2A Expired - Fee Related CN103384222B (zh) 2013-06-26 2013-06-26 一种数据流匹配acl的方法

Country Status (1)

Country Link
CN (1) CN103384222B (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104092612A (zh) * 2014-06-05 2014-10-08 汉柏科技有限公司 更新快速转发表匹配顺序的方法及装置
WO2016091027A1 (zh) * 2014-12-12 2016-06-16 中兴通讯股份有限公司 一种网络地址转换与访问控制列表规则聚合方法和装置
CN106842915A (zh) * 2016-12-22 2017-06-13 首都师范大学 一种用于机器人分布式控制系统的形式建模方法及装置
CN108418801A (zh) * 2018-02-01 2018-08-17 杭州安恒信息技术股份有限公司 一种基于大数据分析的防火墙策略优化方法及系统

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1414757A (zh) * 2002-05-08 2003-04-30 华为技术有限公司 自动按序配置访问控制列表规则的方法及其应用
CN1708029A (zh) * 2004-06-08 2005-12-14 华为技术有限公司 建立转发流表的方法
CN1964324A (zh) * 2006-11-24 2007-05-16 中兴通讯股份有限公司 对流分类算法进行自动选择的方法
CN101039271A (zh) * 2007-03-20 2007-09-19 华为技术有限公司 访问控制列表规则生效的方法及装置
CN101141304A (zh) * 2007-09-18 2008-03-12 杭州华三通信技术有限公司 Acl规则的管理方法和设备
CN101447940A (zh) * 2008-12-23 2009-06-03 杭州华三通信技术有限公司 访问控制列表规则的更新方法和装置
CN102724131A (zh) * 2012-06-29 2012-10-10 杭州华三通信技术有限公司 一种ip报文等价路由均衡实现的方法及装置
CN103078794A (zh) * 2013-01-08 2013-05-01 杭州华三通信技术有限公司 一种报文处理控制方法及装置

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1414757A (zh) * 2002-05-08 2003-04-30 华为技术有限公司 自动按序配置访问控制列表规则的方法及其应用
CN1708029A (zh) * 2004-06-08 2005-12-14 华为技术有限公司 建立转发流表的方法
CN1964324A (zh) * 2006-11-24 2007-05-16 中兴通讯股份有限公司 对流分类算法进行自动选择的方法
CN101039271A (zh) * 2007-03-20 2007-09-19 华为技术有限公司 访问控制列表规则生效的方法及装置
CN101141304A (zh) * 2007-09-18 2008-03-12 杭州华三通信技术有限公司 Acl规则的管理方法和设备
CN101447940A (zh) * 2008-12-23 2009-06-03 杭州华三通信技术有限公司 访问控制列表规则的更新方法和装置
CN102724131A (zh) * 2012-06-29 2012-10-10 杭州华三通信技术有限公司 一种ip报文等价路由均衡实现的方法及装置
CN103078794A (zh) * 2013-01-08 2013-05-01 杭州华三通信技术有限公司 一种报文处理控制方法及装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
马凤娟、宋大伟: "基于编号IPACL的访问控制的实现", 《潍坊教育学院学报》 *

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104092612A (zh) * 2014-06-05 2014-10-08 汉柏科技有限公司 更新快速转发表匹配顺序的方法及装置
WO2016091027A1 (zh) * 2014-12-12 2016-06-16 中兴通讯股份有限公司 一种网络地址转换与访问控制列表规则聚合方法和装置
CN105744010A (zh) * 2014-12-12 2016-07-06 中兴通讯股份有限公司 一种网络地址转换与访问控制列表规则聚合方法和装置
CN106842915A (zh) * 2016-12-22 2017-06-13 首都师范大学 一种用于机器人分布式控制系统的形式建模方法及装置
CN108418801A (zh) * 2018-02-01 2018-08-17 杭州安恒信息技术股份有限公司 一种基于大数据分析的防火墙策略优化方法及系统

Also Published As

Publication number Publication date
CN103384222B (zh) 2016-09-14

Similar Documents

Publication Publication Date Title
CN102318291B (zh) 一种业务流处理的方法、装置及系统
CN101141304B (zh) Acl规则的管理方法和设备
CN102291324A (zh) 高并发业务请求处理方法
CN103384222A (zh) 一种数据流匹配acl的方法
CN103338161A (zh) 一种实现跨设备聚合的方法和设备
JP2018067927A (ja) 中継装置を有するネットワーク内の3つのアドレスのみ適応できるアクセスポイントにおけるレイヤ−2アドレスの管理
CN103618733A (zh) 一种应用于移动互联网的数据过滤系统及方法
CN104506540B (zh) 虚拟主机的读写请求处理方法及系统、宿主机
CN103313308A (zh) 一种数据传输方法和设备
CN103560995A (zh) 一种同时实现ipv4和ipv6的URL过滤方法
CN101888388A (zh) 一种实现虚拟媒体访问控制地址的方法及装置
CN106302117A (zh) 消息传输系统、方法和装置
CN102984235A (zh) 一种屏幕数据的共享方法及系统
CN106533894A (zh) 一种全新的安全的即时通信体系
CN103944886B (zh) 一种端口安全的实现方法及系统
CN103209107A (zh) 一种实现用户访问控制的方法
US20170310561A1 (en) Network Control Method and Apparatus
CN103297312B (zh) 一种mpls vpn的接入方法及装置
CN104052654A (zh) 实现网络聊天的方法及系统
CN104486119A (zh) 通过改进openflow协议实现批量管理交换机的方法及系统
CN104506304B (zh) 一种增强密码设备按需服务能力的适配控制系统及方法
CN102752208A (zh) 防止半连接攻击的方法及系统
CN107046568B (zh) 一种认证方法和装置
JP6200587B2 (ja) ミニブログ情報共有方法
CN105591866A (zh) 共享wifi的方法及系统、家庭网关和无线局域网关

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20160914

Termination date: 20180626

CF01 Termination of patent right due to non-payment of annual fee