[发明专利]一种数据流表的老化方法、装置和系统

说明书

技术领域

本发明涉及网络技术领域，特别是涉及一种数据流表的老化方法、装置和系统。

背景技术

目前，网络上99％以上的数据流都是基于TCP(Transmission ControlProtocol，传输控制协议)或UDP(User Datagram Protocol，用户数据报协议)的。如何检测和防范数据流里面的攻击报文，是安全防火墙产品需要解决的问题。业界所有设备厂商的安全防火墙产品都是基于状态的，状态防火墙能够检测所有经过的应用数据流的交互状态，针对每个应用数据流，动态生成一个数据流表。数据流表最基本的元素包括：源地址、源端口、协议号(TCP/UDP)、目的端口和目的地址，简称五元组。

数据流表都是动态生成的，一般每条数据流的首包到达防火墙后，防火墙根据首包，建立一个数据流表。该数据流的后续报文到达防火墙后，防火墙直接查找上述数据流表，对后续报文进行转发，跳过了首包很多的流程，提高了设备的转发能力。然而，每一个数据流表都会占用一定的内存空间，如果长时间累积数据流表，内存会耗尽，网络业务就会出现中断。所以，每一个数据流表都会有一个生存周期，或者称为老化时间。防火墙通过对老化时间的控制和检测，动态地删除数据流表。

现有技术中，数据流表老化的技术方案为：防火墙设备根据数据流首包建立数据流表，记录该数据流表建立的起始时间，赋给该数据流表一个生存周期；设备老化周期内，防火墙设备会周期地检测数据流表的生存周期，每次检测会缩短数据流表的生存周期；如果该数据流的后续报文命中该数据流表，防火墙设备重新赋给该数据流表一个完整的生存周期；如果数据流表在生存周期内无后续报文经过，防火墙设备在设备老化周期内，检测到该数据流表的生存周期结束，直接删除该数据流表。防火墙设备会针对每种不同的应用业务，为生成的数据流表指定一个生存周期，该生存周期指定的基本原则为：时间长度能够满足业务检测和业务转发的需要，一般都是根据经验值进行指定。比如：普通UDP应用数据流表生存周期为2分钟，TCP应用数据流表生存周期为20分钟等等。

发明人在实现本发明的过程中，发现现有技术至少存在如下问题：

数据流表的生存周期都是根据经验值进行指定，指定的生存周期过长时，数据流表未老化，而数据流已经停止，如果数据流表大量存在，很容易达到防火墙设备的数据流表上限，导致新的数据流不能建立，影响业务的正常运行。

发明内容

本发明实施例提供一种数据流表的老化方法、装置和系统，在不影响正常业务的前提下，加速了对数据流表的老化。

为达到上述目的，本发明实施例一方面提出一种数据流表的老化方法，包括：

接收数据流的首包，根据所述数据流的首包建立数据流表，记录所述数据流表的建立时间；

在以所述数据流表的建立时间为起点的预设时间内，对接收到的所述数据流的后续报文进行计数，所述预设时间小于或等于设备的老化周期；

检测所述后续报文的计数数值是否小于预设数量，所述检测后续报文的计数数值的时间点为设备的老化周期到达的时刻，如果所述计数数值小于所述预设数量，则删除所述数据流表。

本发明实施例还提出一种网络装置，包括：

记录模块，用于接收数据流的首包，根据所述数据流的首包建立数据流表，记录所述数据流表的建立时间；

计数模块，用于在以所述数据流表的建立时间为起点的预设时间内，对接收到的所述数据流的后续报文进行计数，所述预设时间小于或等于网络装置的老化周期；

检测模块，用于检测所述计数模块得到的所述后续报文的计数数值是否 小于预设数量，所述检测后续报文的计数数值的时间点为网络装置的老化周期到达的时刻；

删除模块，用于当所述检测模块检测到所述计数数值小于所述预设数量，删除所述数据流表。

本发明实施例还提出一种网络系统，包括：

承载装置，用于承载网络中的数据流；

网络装置，用于老化数据流表，所述数据流表根据所述承载装置承载的数据流生成，所述网络装置包括：

记录模块，用于接收数据流的首包，根据所述数据流的首包建立数据流表，记录所述数据流表的建立时间；

计数模块，用于在以所述数据流表的建立时间为起点的预设时间内，对接收到的所述数据流的后续报文进行计数，所述预设时间小于或等于网络装置的老化周期；

检测模块，用于检测所述计数模块得到的所述后续报文的计数数值是否小于预设数量，所述检测后续报文的计数数值的时间点为设备的老化周期到达的时刻；