[发明专利]一种用于网络安全设备的报文处理方法及装置

说明书

技术领域

本发明属于网络安全技术领域，尤其涉及一种用于网络安全设备的报文处理方法及装置。

术语解释

网络安全规则：在网络安全设备中使用，根据系统管理员配置的规则生成。主要用于规定每个报文的处理方式，是允许报文通过还是应该阻断报文。

网络安全规则ID：每条网络安全规则都有自己唯一标识的编号，网络安全规则ID表示该安全规则的编号。

DDR2/DDR3SDRAM：DDR是Double Data Rate的缩写，SDRAM是SynchronousDynamic Random Access Memory的缩写，中文名称是同步动态随机存储器。一种大容量、高带宽的存储器件。在计算机和网络设备上被大量使用，主要用于存储大量的数据。在网络安全设备中，一般会用来存储网络安全规则。

SSRAM：SSRAM是Synchronous Static Random Access Memory的缩写，中文名称是同步静态随机存储器，是一种存储器件。访问机制很简单，具有较高的访问带宽，但容量一般不大。适合于具有较高的访问带宽要求、但容量要求不高的场合。

主CPU：CPU是Central Processing Unit的缩写，中文名称是中央处理器。在网络安全设备中，都存在一个CPU处理器件，用于管理整个设备的正常运行。同时，它还需要监控网络设备的运行状态、收集设备中通过的报文的各种统计信息，并用直观的方式显示出来，供设备的管理员查看。该CPU即为主CPU。

IP：IP是Internet Protocol的缩写，表示互联网协议。在互联网上，数据都是以符合互联网协议的格式进行传输，这些符合互联网协议格式的报文一般称为IP报文。

PCI/PCI E：PCI是Peripheral Component Interconnec t的缩写，中文名称是周边元件扩展接口，PCIE是PCI-Expres s的缩写。PCI/PCIE是在计算机和网络设备中广泛采用的、为CPU和其它器件提供高带宽传输通道的接口标准。PCIE接口是比PCI接口更新一代的接口标准，和PCI接口相比，PCIE接口具有更高的传输带宽，

DMA：DMA是Direct Memory Access的缩写，表示直接寄存器访问方式，是PCI/PCIE接口标准中的一种使用方式。在连续大流量数据传输时，通过这种方式可以提高PCI/PCIE总线的使用效率。

IPsec VPN：IPsec VPN是I nternet Protocol Security Virtual PrivateNetwork的缩写，是一种IP网络上对数据进行加密和解密的协议标准。在发送IP报文时，网络安全设备可根据IPsec VPN协议对IP报文进行加密来保障IP报文的安全。在接收时，网络安全设备需要对加密报文进行解密。

SA：是Security Associations的缩写。在SA中，将IPsec VPN协议中的安全协议、IP目标地址和索引号进行安全关联。网络安全设备根据SA中的信息来对IP报文进行加密和解密处理。

SADB：是Security Associations Database的缩写，是存储SA的数据库。

查找模块：这里特指硬件实现的网络安全设备中，专门负责查找网络安全规则表或者SADB的功能模块。

背景技术

在网络安全设备(以下有的地方也简称为“设备”)中，需要对经过的网络报文进行规则查找。根据网络安全规则，允许符合网络安全规则的报文通过，阻断不符合网络安全规则的报文。网络安全规则的条目数量有很多，一般都可达到几百万条的规模。而且每条网络安全规则的内容也很多，一般都不少于512bit。因此，这些网络安全规则一般都存放在专门的大容量存储器中，这些存储器主要是DDR2/DDR3SDRAM。在高性能的网络安全设备中，查表模块都由硬件实现，设备的性能指标主要取决于查找DDR2/DDR3SDRAM的性能。

网络安全规则表中，主要包含了两个方面的内容：报文的处理方式、符合该规则的报文统计信息。报文的处理方式，用于网络安全设备中的硬件转发模块来控制每个报文的转发方式；而每条规则中的报文统计信息，需要上报到设备中的主CPU，用于生成统计信息。对于每一个通过网络安全设备的报文来说，都需要查找网络安全规则表，读出规则表中的报文处理方式和累积的统计信息。同时，还需要根据报文信息来更新规则表的累积统计信息，然后再将更新后的统计信息回写到大容量存储器中。主CPU会定期查询网络规则表中的累积统计信息，从而得到所有的统计信息。