CN106657161B - 数据包过滤的实现方法和装置 - Google Patents

数据包过滤的实现方法和装置 Download PDF

Info

Publication number
CN106657161B
CN106657161B CN201710113606.XA CN201710113606A CN106657161B CN 106657161 B CN106657161 B CN 106657161B CN 201710113606 A CN201710113606 A CN 201710113606A CN 106657161 B CN106657161 B CN 106657161B
Authority
CN
China
Prior art keywords
filtering rule
filtering
data packet
rule table
address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201710113606.XA
Other languages
English (en)
Other versions
CN106657161A (zh
Inventor
谭天
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou DPtech Information Technology Co Ltd
Original Assignee
Hangzhou DPTech Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou DPTech Technologies Co Ltd filed Critical Hangzhou DPTech Technologies Co Ltd
Priority to CN201710113606.XA priority Critical patent/CN106657161B/zh
Publication of CN106657161A publication Critical patent/CN106657161A/zh
Application granted granted Critical
Publication of CN106657161B publication Critical patent/CN106657161B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请提供一种数据包过滤的实现方法和装置,应用于网络设备,包括:当接收到发送给局域网内部的数据包时,判断本地是否保存有与所述数据包的目的IP地址对应的过滤规则表;如果本地保存有所述过滤规则表,则基于所述数据包的源IP地址、源端口、目的端口和传输层协议在所述过滤规则表中查找对应的过滤规则;根据查找到的过滤规则对所述数据包进行过滤处理。本申请技术方案可以大幅提高数据包过滤的效率。

Description

数据包过滤的实现方法和装置
技术领域
本申请涉及通信技术领域,尤其涉及一种数据包过滤的实现方法和装置。
背景技术
防火墙等网络安全产品一般部署于局域网的出入口,可以对发送给局域网内部的数据包进行过滤,以避免某些来自局域网外部设备的攻击,保护局域网内部设备的安全;或者,也可以对局域网内部发出的数据包进行过滤,以限制局域网内部设备访问某些局域网外部设备,实现网络隔离。相关技术中,通常采用对数据包过滤的算法进行优化的方式来提高数据包过滤的效率。然而,优化后的算法可能并不适用于所有的数据包过滤规则,适用范围较小,对数据包过滤效率的提高幅度也较小。
发明内容
有鉴于此,本申请提供一种数据包过滤的实现方法和装置,以解决相关技术中数据包过滤的效率低下的问题。
具体地,本申请是通过如下技术方案实现的:
第一方面,本申请提供一种数据包过滤的实现方法,所述方法应用于网络设备,包括:
当接收到发送给局域网内部的数据包时,判断本地是否保存有与所述数据包的目的IP地址对应的过滤规则表;
如果本地保存有所述过滤规则表,则基于所述数据包的源IP地址、源端口、目的端口和传输层协议在所述过滤规则表中查找对应的过滤规则;
根据查找到的过滤规则对所述数据包进行过滤处理。
第二方面,本申请提供一种数据包过滤的实现装置,所述装置应用于网络设备,包括:
判断单元,用于当接收到发送给局域网内部的数据包时,判断本地是否保存有与所述数据包的目的IP地址对应的过滤规则表;
查找单元,用于当本地保存有所述过滤规则表时,基于所述数据包的源IP地址、源端口、目的端口和传输层协议在所述过滤规则表中查找对应的过滤规则;
处理单元,用于根据查找到的过滤规则对所述数据包进行过滤处理。
分析上述技术方案可知,网络设备可以为局域网内部的每个IP地址建立一个对应的过滤规则表,网络设备在接收到发送给局域网内部的数据包时,可以先根据所述数据包的目的IP地址确定对应的过滤规则表,再基于所述数据包的源IP地址、源端口、目的端口和传输层协议在所述过滤规则表中查找对应的过滤规则,并根据查找到的过滤规则对所述数据包进行过滤处理。与相关技术相比,所述过滤规则表中仅保存有与所述目的IP地址相关的过滤规则,因此所述过滤规则表的大小均远小于保存有所有过滤规则的原始规则集的大小,在不改变数据包过滤算法的情况下,网络设备在所述过滤规则表中查找所述数据包对应的过滤规则的速率也得以大幅加快,数据包过滤的效率也随之大幅提高。
附图说明
图1是本申请一示例性实施例示出的一种数据包过滤的实现方法的流程图;
图2是本申请一示例性实施例示出的一种数据包过滤的实现方法的组网图;
图3是本申请一示例性实施例示出的一种数据包过滤的实现装置所在设备的硬件结构图;
图4是本申请一示例性实施例示出的一种数据包过滤的实现装置的框图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
请参考图1,为本申请一示例性实施例示出的一种数据包过滤的实现方法的流程图,所述方法可以应用于防火墙等网络设备,包括以下步骤:
步骤101:当接收到发送给局域网内部的数据包时,判断本地是否保存有与所述数据包的目的IP地址对应的过滤规则表。
在本实施例中,网络设备在接收到发送给局域网内部的数据包时,可以提取所述数据包的五元组,并根据所述数据包的目的IP地址,判断本地是否保存有与所述目的IP地址对应的过滤规则表;其中,所述过滤规则表可以保存在内存中。如果本地保存有所述过滤规则表,则可以执行步骤102。
步骤102:如果本地保存有所述过滤规则表,则基于所述数据包的源IP地址、源端口、目的端口和传输层协议在所述过滤规则表中查找对应的过滤规则。
在本实施例中,基于前述步骤101的判断结果,如果本地保存有所述过滤规则表,则网络设备可以基于所述数据包的五元组中除目的IP地址外剩余的四元组,即源IP地址、源端口、目的端口和传输层协议,在所述过滤规则表中查找所述数据包对应的过滤规则。在实际应用中,网络设备还可以利用hash算法、k-d树算法等较为快速地在所述过滤规则表中查找对应的过滤规则。
步骤103:根据查找到的过滤规则对所述数据包进行过滤处理。
在本实施例中,网络设备可以根据在前述步骤102中查找到的过滤规则,对所述数据包进行过滤处理。具体地,如果查找到的过滤规则为保留数据包,则网络设备可以根据所述数据包的目的IP地址对所述数据包进行转发;如果查找到的过滤规则为丢弃数据包,则网络设备可以将所述数据包丢弃,而不再对所述数据包进行转发。
在一个可选的实施例中,基于前述步骤101的判断结果,如果本地保存有所述过滤规则表,但在前述步骤102中未在所述过滤规则表中查找到对应的过滤规则,则与相关技术类似,网络设备可以基于所述数据包的五元组在本地保存的原始规则集中查找对应的过滤规则,并根据查找到的过滤规则对所述数据包进行过滤处理;其中,所述原始规则集也可以保存在内存中,但所述原始规则集与所述过滤规则表的存储地址不同,所述原始规则集中可以保存有用户配置的所有过滤规则。
结合步骤102,在本实施例中,网络设备可以仅利用除目的IP地址外的四元组,在与接收到的数据包的目的IP地址对应的过滤规则表中查找对应的过滤规则,与相关技术中利用所述数据包的五元组,在所述原始规则集中查找对应的过滤规则相比,可以显著加快网络设备查找过滤规则的速率,从而可以提高数据包过滤的效率。
根据时间局部性原理,如果某一时刻网络设备接收到的某个数据包(第一数据包)匹配到某条过滤规则,则近期网络设备接收到的数据包匹配到这条过滤规则的概率较大。因此,网络设备可以将在所述原始规则集中查找到的过滤规则添加到所述过滤规则表中。后续网络设备在再次接收到五元组与所述数据包的五元组相同的第二数据包时,可以在所述过滤规则表中查找到对应的过滤规则,并根据查找到的过滤规则对所述第二数据包进行过滤处理,而无需再在所述原始规则集中查找对应的过滤规则。
需要说明的是,为了合理利用内存,可以为所述本地保存的各个过滤规则表设置大小限制,例如:每个过滤规则表最多可以保存多少条过滤规则。在这种情况下,网络设备在将在所述原始规则集中查找到的过滤规则添加到所述过滤规则表中时,如果检测到所述过滤规则表中保存的过滤规则的数量已达上限,则可以基于RAND(Random,随机)算法、LFU(Least Frequently Used,最不经常使用)算法、LRU(Least Recently Used,近期最少使用)算法等,从所述保存的过滤规则中选择一条过滤规则,并将选择到的过滤规则替换为所述查找到的过滤规则。
在另一个可选的实施例中,基于前述步骤101的判断结果,如果本地未保存有所述过滤规则表,则网络设备可以基于所述数据包的五元组在本地保存的原始规则集中查找对应的过滤规则,并根据查找到的过滤规则对所述数据包进行过滤处理。
同样地,网络设备可以基于查找到的过滤规则生成与所述数据包的目的IP地址对应的过滤规则表。后续网络设备在再次接收到目的IP地址与所述数据包的目的IP地址相同(命中所述数据包的目的IP地址)的第三数据包时,可以首先基于所述第三数据包的源IP地址、源端口、目的端口和传输层协议,在所述过滤规则表中查找对应的过滤规则。如果查找到对应的过滤规则,则网络设备可以根据查找到的过滤规则对所述第三数据包进行过滤处理;如果未查找到对应的过滤规则,则网络设备可以再基于所述第三数据包的五元组在所述原始规则集中查找对应的过滤规则,并根据查找到的过滤规则对所述第三数据包进行过滤处理,同时网络设备还可以将这条过滤规则添加到所述过滤规则表中,以便于后续的数据包过滤。
然而,当局域网内部的主机数量较多时,网络设备接收到的目的IP地址互不相同的数据包数量通常也会较多,本地保存的过滤规则表的数量也会随之增多,导致网络设备需要分配较大的内存空间用于保存所有过滤规则表。为了合理利用内存,可以针对本地保存的所有过滤规则表的数量设置第一阈值;其中,所述第一阈值可以由用户自行设置,也可以由技术人员预先设置,或者由系统根据网络设备当前内存使用情况动态地进行调整。网络设备在确定本地未保存有与接收到的数据包的目的IP地址对应的过滤规则表,并根据在所述原始规则集中查找到的过滤规则对所述数据包进行过滤处理后,可以先检测本地保存的所有过滤规则表的数量是否小于所述第一阈值。当所述过滤规则表的数量小于所述第一阈值时,说明此时过滤规则表占用的内存空间还较小,网络设备可以基于查找到的过滤规则生成对应所述目的IP地址的过滤规则表。而当所述过滤规则表的数量大于等于所述第一阈值时,说明此时过滤规则表已占用较大的内存空间,则网络设备可以在预设的统计时间内统计接收到的命中所述目的IP地址的数据包的数量总和,并判断所述数量总和与预设的第二阈值之间的大小关系;其中,所述统计时间和所述第二阈值都可以是用户设置的数值,也可以是默认的缺省值。
如果网络设备统计到的数量总和小于所述第二阈值,则网络设备无需生成对应所述目的IP地址的过滤规则表,以节省内存资源。而当所述数量总和大于等于预设的第二阈值时,则网络设备可以基于RAND算法、LFU算法、LRU算法等,从本地保存的过滤规则表中选择一个过滤规则表作为无效规则表,并清除所述无效规则表,后续网络设备可以利用所述无效规则表原先占用的内存空间,基于查找到的过滤规则生成对应所述目的IP地址的过滤规则表,以便于后续的数据包过滤。需要说明的是,所述查找到的过滤规则可以是首次接收到的命中所述目的IP地址的数据包匹配到的过滤规则,也可以是最后一次接收到的命中所述目的IP地址的数据包匹配到的过滤规则。
请参考图2,为本申请一示例性实施例示出的一种数据包过滤的实现方法的组网图,其中,主机A、主机B和主机C均为同一局域网内部的主机,防火墙中除保存有原始规则集外,还保存有多个过滤规则表。假设主机A的IP地址为IP地址1,主机B的IP地址为IP地址2,主机C的IP地址为IP地址3;过滤规则表1与IP地址1对应,过滤规则表2与IP地址2对应。
防火墙在接收到目的IP地址为IP地址1的数据包时,可以确定该数据包的目的IP地址对应过滤规则表1,并基于该数据包除目的IP地址外的四元组在过滤规则表1中查找对应的过滤规则。假设过滤规则中保存有5条过滤规则,分别为过滤规则11至15,则当该数据包匹配到过滤规则11时,防火墙可以根据过滤规则11对该数据包进行过滤处理。
如果该数据包与过滤规则表1中保存的5条过滤规则均不匹配,则防火墙可以基于该数据包的五元组在原始规则集中查找对应的过滤规则。假设该数据包匹配到原始规则集中保存的过滤规则16,则防火墙可以将过滤规则16添加到过滤规则表1中,即此后过滤规则表1中保存有过滤规则11至16。
在另一个例子中,如果过滤规则表1中保存的过滤规则的数量上限是5,则防火墙可以从过滤规则11至15中选择一条过滤规则,例如:近期接收到的数据包匹配到过滤规则12的次数较少,则防火墙可以选择过滤规则12,并将过滤规则12替换为过滤规则16,即此后过滤规则表1中保存有过滤规则11、16、13、14和15。
防火墙在接收到目的IP地址为IP地址3的数据包时,可以先判断本地是否保存有与IP地址3对应的过滤规则表3。假设本地未保存有过滤规则表3,则防火墙可以基于该数据包的五元组在原始规则集中查找对应的过滤规则。假设该数据包匹配到原始规则集中保存的过滤规则31,则防火墙可以根据过滤规则31对该数据包进行过滤处理。
后续网络设备可以先判断本地保存的所有过滤规则表的数量与预设的第一阈值之间的大小关系。假设所述第一阈值为3,大于所述过滤规则表的数量2,则防火墙可以生成对应IP地址3的过滤规则表3,并将过滤规则31添加到过滤规则表3中。
在另一个例子中,假设所述第一阈值为2,等于所述过滤规则表的数量2,则防火墙可以在预设的统计时间内统计目的IP地址为IP地址3的数据包的数量总和。当所述数量总和小于预设的第二阈值时,防火墙无需生成对应IP地址3的过滤规则表3;而当所述数量总和大于等于所述第二阈值时,防火墙可以从过滤规则表1、2中选择一个过滤规则表,例如:近期接收到的数据包匹配到过滤规则表2中保存的过滤规则的次数较少,则防火墙可以清除过滤规则表2,并生成对应IP地址3的过滤规则表3。此时,防火墙可以将过滤规则31添加到过滤规则表3中,也可以将最后一次接收到的目的IP地址为IP地址3的数据包匹配到的过滤规则添加到过滤规则表3中。
由上述实施例可见,网络设备可以为局域网内部的每个IP地址建立一个对应的过滤规则表,网络设备在接收到发送给局域网内部的数据包时,可以先根据所述数据包的目的IP地址确定对应的过滤规则表,再基于所述数据包的源IP地址、源端口、目的端口和传输层协议在所述过滤规则表中查找对应的过滤规则,并根据查找到的过滤规则对所述数据包进行过滤处理。与相关技术相比,所述过滤规则表中仅保存有与所述目的IP地址相关的过滤规则,因此所述过滤规则表的大小均远小于保存有所有过滤规则的原始规则集的大小,在不改变数据包过滤算法的情况下,网络设备在所述过滤规则表中查找所述数据包对应的过滤规则的速率也得以大幅加快,数据包过滤的效率也随之大幅提高。
另一方面,网络设备在对局域网内部发出的数据包进行过滤时,与图1所示的实施例类似,可以先提取接收到的局域网内部发出的数据包的五元组。后续网络设备可以根据所述数据包的源IP地址,判断本地是否保存有与所述源IP地址对应的过滤规则表。如果本地保存有所述过滤规则表,则网络设备可以基于所述数据包的目的IP地址、源端口、目的端口和传输层协议在所述过滤规则表中查找对应的过滤规则,并根据查找到的过滤规则对所述数据包进行过滤处理。而当本地未保存有与所述源IP地址对应的过滤规则表,或者本地保存有与所述源IP地址对应的过滤规则表,但网络设备未在所述过滤规则表中查找到对应的过滤规则时,也可以采用与前述实施例类似的方式,对本地保存的过滤规则表以及各过滤规则表中保存的过滤规则进行更新。
与前述数据包过滤的实现方法的实施例相对应,本申请还提供了数据包过滤的实现装置的实施例。
本申请数据包过滤的实现装置的实施例可以应用在网络设备上。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在网络设备的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言,如图3所示,为本申请数据包过滤的实现装置所在网络设备的一种硬件结构图,除了图3所示的处理器、内存、网络接口、以及非易失性存储器之外,实施例中装置所在的网络设备通常根据该数据包过滤的实现的实际功能,还可以包括其他硬件,对此不再赘述。
请参考图4,为本申请一示例性实施例示出的一种数据包过滤的实现装置的框图,该装置400可以应用于图3所示的网络设备中,包括:
判断单元401,用于当接收到发送给局域网内部的数据包时,判断本地是否保存有与所述数据包的目的IP地址对应的过滤规则表;
查找单元402,用于当本地保存有所述过滤规则表时,基于所述数据包的源IP地址、源端口、目的端口和传输层协议在所述过滤规则表中查找对应的过滤规则;
处理单元403,用于根据查找到的过滤规则对所述数据包进行过滤处理。
在一个可选的实施例中,所述判断单元401还可以用于当接收到局域网内部发出的数据包时,判断本地是否保存有与所述数据包的源IP地址对应的过滤规则表;所述查找单元402还可以用于当本地保存有所述过滤规则表时,基于所述数据包的目的IP地址、源端口、目的端口和传输层协议在所述过滤规则表中查找对应的过滤规则;所述处理单元403还可以用于根据查找到的过滤规则对所述数据包进行过滤处理。
在另一个可选的实施例中,所述查找单元402还可以用于当本地未保存有所述过滤规则表时,基于所述数据包的五元组在本地保存的原始规则集中查找对应的过滤规则;所述处理单元403还可以用于根据查找到的过滤规则对所述数据包进行过滤处理。
在另一个可选的实施例中,所述装置还可以包括:
检测单元404,用于检测本地保存的过滤规则表的数量是否小于预设的第一阈值;
生成单元405,用于当所述过滤规则表的数量小于所述第一阈值时,基于查找到的过滤规则生成对应所述目的IP地址的过滤规则表;
统计单元406,用于当所述过滤规则表的数量大于等于所述第一阈值时,在预设的统计时间内统计命中所述目的IP地址的数据包的数量总和;
所述生成单元405还可以用于当所述数量总和大于等于预设的第二阈值时,从所述过滤规则表中选择一个过滤规则表作为无效规则表,清除所述无效规则表,并生成对应所述目的IP地址的过滤规则表。
在另一个可选的实施例中,所述查找单元402还可以用于当本地保存有所述过滤规则表,但未在所述过滤规则表中查找到对应的过滤规则时,基于所述数据包的五元组在本地保存的原始规则集中查找对应的过滤规则;所述处理单元403还可以用于根据查找到的过滤规则对所述数据包进行过滤处理,并将所述过滤规则添加到所述过滤规则表中。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。

Claims (8)

1.一种数据包过滤的实现方法,其特征在于,所述方法应用于网络设备,包括:
当接收到发送给局域网内部的数据包时,判断本地是否保存有与所述数据包的目的IP地址对应的过滤规则表;所述过滤规则表中保存有与所述目的IP地址相关的过滤规则;
如果本地保存有所述过滤规则表,则基于所述数据包的源IP地址、源端口、目的端口和传输层协议在所述过滤规则表中查找对应的过滤规则;
根据查找到的过滤规则对所述数据包进行过滤处理;
如果本地保存有所述过滤规则表,但未在所述过滤规则表中查找到对应的过滤规则,则基于所述数据包的五元组在本地保存的原始规则集中查找对应的过滤规则;
根据查找到的过滤规则对所述数据包进行过滤处理,并将所述过滤规则添加到所述过滤规则表中。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
当接收到局域网内部发出的数据包时,判断本地是否保存有与所述数据包的源IP地址对应的过滤规则表;
如果本地保存有所述过滤规则表,则基于所述数据包的目的IP地址、源端口、目的端口和传输层协议在所述过滤规则表中查找对应的过滤规则;
根据查找到的过滤规则对所述数据包进行过滤处理。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
如果本地未保存有所述过滤规则表,则基于所述数据包的五元组在本地保存的原始规则集中查找对应的过滤规则;
根据查找到的过滤规则对所述数据包进行过滤处理。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
检测本地保存的过滤规则表的数量是否小于预设的第一阈值;
当所述过滤规则表的数量小于所述第一阈值时,基于查找到的过滤规则生成对应所述目的IP地址的过滤规则表;
当所述过滤规则表的数量大于等于所述第一阈值时,在预设的统计时间内统计命中所述目的IP地址的数据包的数量总和;
当所述数量总和大于等于预设的第二阈值时,从所述过滤规则表中选择一个过滤规则表作为无效规则表,清除所述无效规则表,并生成对应所述目的IP地址的过滤规则表。
5.一种数据包过滤的实现装置,其特征在于,所述装置应用于网络设备,包括:
判断单元,用于当接收到发送给局域网内部的数据包时,判断本地是否保存有与所述数据包的目的IP地址对应的过滤规则表;所述过滤规则表中保存有与所述目的IP地址相关的过滤规则;
查找单元,用于当本地保存有所述过滤规则表时,基于所述数据包的源IP地址、源端口、目的端口和传输层协议在所述过滤规则表中查找对应的过滤规则;
处理单元,用于根据查找到的过滤规则对所述数据包进行过滤处理;
所述查找单元还用于当本地保存有所述过滤规则表,但未在所述过滤规则表中查找到对应的过滤规则时,基于所述数据包的五元组在本地保存的原始规则集中查找对应的过滤规则;
所述处理单元还用于根据查找到的过滤规则对所述数据包进行过滤处理,并将所述过滤规则添加到所述过滤规则表中。
6.根据权利要求5所述的装置,其特征在于,
所述判断单元还用于当接收到局域网内部发出的数据包时,判断本地是否保存有与所述数据包的源IP地址对应的过滤规则表;
所述查找单元还用于当本地保存有所述过滤规则表时,基于所述数据包的目的IP地址、源端口、目的端口和传输层协议在所述过滤规则表中查找对应的过滤规则;
所述处理单元还用于根据查找到的过滤规则对所述数据包进行过滤处理。
7.根据权利要求5所述的装置,其特征在于,
所述查找单元还用于当本地未保存有所述过滤规则表时,基于所述数据包的五元组在本地保存的原始规则集中查找对应的过滤规则;
所述处理单元还用于根据查找到的过滤规则对所述数据包进行过滤处理。
8.根据权利要求7所述的装置,其特征在于,所述装置还包括:
检测单元,用于检测本地保存的过滤规则表的数量是否小于预设的第一阈值;
生成单元,用于当所述过滤规则表的数量小于所述第一阈值时,基于查找到的过滤规则生成对应所述目的IP地址的过滤规则表;
统计单元,用于当所述过滤规则表的数量大于等于所述第一阈值时,在预设的统计时间内统计命中所述目的IP地址的数据包的数量总和;
所述生成单元还用于当所述数量总和大于等于预设的第二阈值时,从所述过滤规则表中选择一个过滤规则表作为无效规则表,清除所述无效规则表,并生成对应所述目的IP地址的过滤规则表。
CN201710113606.XA 2017-02-28 2017-02-28 数据包过滤的实现方法和装置 Active CN106657161B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710113606.XA CN106657161B (zh) 2017-02-28 2017-02-28 数据包过滤的实现方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710113606.XA CN106657161B (zh) 2017-02-28 2017-02-28 数据包过滤的实现方法和装置

Publications (2)

Publication Number Publication Date
CN106657161A CN106657161A (zh) 2017-05-10
CN106657161B true CN106657161B (zh) 2020-10-09

Family

ID=58846590

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710113606.XA Active CN106657161B (zh) 2017-02-28 2017-02-28 数据包过滤的实现方法和装置

Country Status (1)

Country Link
CN (1) CN106657161B (zh)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107508805B (zh) * 2017-08-10 2019-01-25 北京明朝万达科技股份有限公司 一种数据包处理方法及系统
CN107948091B (zh) * 2017-11-02 2020-04-14 中国科学院声学研究所 一种网包分类的方法及装置
CN107835185B (zh) * 2017-11-21 2020-10-02 广州大学 一种基于ARM TrustZone的移动终端安全服务方法及装置
CN108123949B (zh) * 2017-12-22 2021-02-26 杭州迪普科技股份有限公司 一种数据包过滤的方法及装置
CN112910792B (zh) 2018-08-30 2023-06-20 华为技术有限公司 报文处理的方法、装置及相关设备
CN108881328B (zh) * 2018-09-29 2021-02-23 北京东土军悦科技有限公司 数据包过滤方法、装置、网关设备及存储介质
CN114374569B (zh) * 2022-03-22 2022-07-05 北京指掌易科技有限公司 一种报文的检测方法、装置、电子设备和存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101860531A (zh) * 2010-04-21 2010-10-13 北京星网锐捷网络技术有限公司 数据包过滤规则匹配方法及装置
CN103560973A (zh) * 2013-10-14 2014-02-05 深圳市同洲电子股份有限公司 一种数据包过滤的方法及装置
CN104079545A (zh) * 2013-03-29 2014-10-01 西门子公司 一种提取数据包过滤规则的方法、装置和系统
CN105939323A (zh) * 2015-12-31 2016-09-14 杭州迪普科技有限公司 数据包过滤方法及装置

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101753542B (zh) * 2008-12-03 2012-10-10 北京天融信网络安全技术有限公司 一种加速防火墙过滤规则匹配的方法及装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101860531A (zh) * 2010-04-21 2010-10-13 北京星网锐捷网络技术有限公司 数据包过滤规则匹配方法及装置
CN104079545A (zh) * 2013-03-29 2014-10-01 西门子公司 一种提取数据包过滤规则的方法、装置和系统
CN103560973A (zh) * 2013-10-14 2014-02-05 深圳市同洲电子股份有限公司 一种数据包过滤的方法及装置
CN105939323A (zh) * 2015-12-31 2016-09-14 杭州迪普科技有限公司 数据包过滤方法及装置

Also Published As

Publication number Publication date
CN106657161A (zh) 2017-05-10

Similar Documents

Publication Publication Date Title
CN106657161B (zh) 数据包过滤的实现方法和装置
US11057404B2 (en) Method and apparatus for defending against DNS attack, and storage medium
EP2643762B1 (en) Method and apparatus for high performance, updatable, and deterministic hash table for network equipment
US20160048585A1 (en) Bloom filter with memory element
EP2830260B1 (en) Rule matching method and device
US10666672B2 (en) Collecting domain name system traffic
US10193900B2 (en) Methods and apparatus to identify an internet protocol address blacklist boundary
JP2009534001A (ja) 悪質な攻撃の検出システム及びそれに関連する使用方法
US20170034195A1 (en) Apparatus and method for detecting abnormal connection behavior based on analysis of network data
CN106961422B (zh) 一种dns递归服务器的拟态安全方法及装置
US20210243130A9 (en) Hierarchical pattern matching devices and methods
US11811733B2 (en) Systems and methods for operating a networking device
US20150331808A1 (en) Packet capture deep packet inspection sensor
CN106789450B (zh) 一种报文的特征统计方法及装置
CN112583827B (zh) 一种数据泄露检测方法及装置
US11411986B2 (en) Method and data packet cleaning system for screening data packets received at a service infrastructure
US7917649B2 (en) Technique for monitoring source addresses through statistical clustering of packets
Viet et al. Mitigating HTTP GET flooding attacks in SDN using NetFPGA-based OpenFlow switch
CN108076068B (zh) 一种防攻击方法以及装置
CN111106982B (zh) 一种信息过滤方法、装置、电子设备及存储介质
KR101308086B1 (ko) 향상된 심층 패킷 조사를 수행하기 위한 방법 및 장치
CN109688117B (zh) 一种大容量ip地址拦截方法和设备
JP2018101926A (ja) ネットワーク装置および異常検知システム
Dai et al. DAmpADF: A framework for DNS amplification attack defense based on Bloom filters and NAmpKeeper
US20180034717A1 (en) Organizing and storing network communications

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20210621

Address after: 310051 05, room A, 11 floor, Chung Cai mansion, 68 Tong Xing Road, Binjiang District, Hangzhou, Zhejiang.

Patentee after: Hangzhou Dip Information Technology Co.,Ltd.

Address before: 6 / F, Zhongcai building, 68 Tonghe Road, Binjiang District, Hangzhou City, Zhejiang Province

Patentee before: Hangzhou DPtech Technologies Co.,Ltd.