[发明专利]一种提升防火墙处理性能的方法和装置

说明书

技术领域

本发明涉及网络安全技术领域，更具体地说，涉及一种提升防火墙处理性能的方法和装置。

背景技术

随着互联网应用的普及和发展，网络安全变得越来越重要，而防火墙(Firewall)是解决网络安全的重要手段，在各种类型的防火墙中，SPI(Stateful Packet Inspection，状态包检测)状态防火墙应用广泛，其数据包匹配处理性能也越来越受到使用者的关注。SPI对防火墙规则的处理是通过跟踪整个报文的交互过程，建立一个session(会话)描述其上下文环境。一个session包含源IP、目的IP、源端口、目的端口和协议类型五元组信息，根据五元组信息完成对报文的丢弃和转发工作。通常，在防火墙配置了较多规则的情况下，业界普遍采用快速搜索算法完成对规则匹配的高效查找，但在防火墙规则不是很多的情况下，比如家庭网关设备的防火墙规则策略不是很多，这种方法对防火墙处理性能的提升效果不大。

从SPI防火墙的实现分析，一个新的报文到来，总是需要为其建立session(会话)，查询规则过滤表用以匹配防火墙规则，决定报文执行策略是丢弃或转发。由于需要为每个报文建立一个session，一个被过滤掉的报文，总是需要分配资源为其建立session，当通过匹配过滤规则成功后，再删除前面创建的session资源，这种方式降低了防火墙处理效率。一个允许转发的报文，尽管该session已经经过过滤表的匹配处理，下一个报文也要重新查询过滤表，搜索所有规则找到匹配项，一定程度上也降低了防火墙的转发处理性能，因此，需要一种提升防火墙处理性能的方法和装置以克服上述现有技术的缺陷。

发明内容

本发明要解决的技术问题在于，针对现有技术中存在重复查询防火墙规则过滤表，无法节省查询规则过滤表的时间从而影响了防火墙的转发处理性能的缺陷，提供了一种提升防火墙处理性能的方法和装置。

本发明解决其技术问题所采用的技术方案是：

一种提升防火墙处理性能的方法，包括以下步骤：

当接收到一个报文时，在会话链表中进行会话搜索处理；

在搜索到相应的会话时检查所述会话是否设置了会话属性，若已经设置则进行会话加速处理；若未设置则直接查找规则过滤表并同时进行会话学习处理；

在未搜索到相应的会话时为所述报文创建会话，然后查找规则过滤表并同时进行会话学习处理。

在本发明所述的方法中，所述会话属性包括优先级属性和策略属性。

在本发明所述的方法中，所述策略属性是防火墙的规则过滤表中匹配策略的执行结果，即转发报文或丢弃报文。

在本发明所述的方法中，所述会话学习处理进一步包括：

根据规则过滤表中的规则优先级将所述会话加入到会话链表的相应位置；

根据规则过滤表中的规则优先级设置所述会话的优先级属性；

根据规则过滤表中的规则匹配策略的执行结果设置所述会话的策略属性。

在本发明所述的方法中，所述会话加速处理进一步包括：

刷新所述会话的老化时间；

根据所述会话的优先级属性从高到低查询匹配会话；

根据所述会话的策略属性转发或丢弃所述会话。

为了更好地实现本发明，还提供了一种提升防火墙处理性能的装置，所述装置包括：

会话搜索处理模块，用于当接收到一个报文时在会话链表中进行会话搜索处理；用于在未搜索到相应的会话时为所述报文创建会话；

检查模块，用于在会话搜索处理模块搜索到相应的会话时检查所述会话是否设置了会话属性；

会话加速处理模块，用于对已经设置了会话属性的会话进行会话加速处理；

会话学习处理模块，用于对未设置会话属性的会话直接查找规则过滤表的同时进行会话学习处理；用于在会话搜索处理模块未搜索到相应的会话时，查找规则过滤表并进行会话学习处理。

具体的，所述会话属性包括优先级属性和策略属性。

具体的，所述策略属性是防火墙的规则过滤表中匹配策略的执行结果，即转发报文或丢弃报文。

具体的，所述会话搜索处理模块在创建会话时设置所述会话的老化时间。

具体的，当用户修改防火墙的规则过滤表时，由防火墙系统清除所述已经设置的会话属性。

本发明的有益效果是，本发明提供的一种提升防火墙处理性能的方法和装置通过学习防火墙规则过滤表实现了加速匹配处理，不仅规避了重复查询，而且节省了查询规则过滤表的时间，从而提高了防火墙的数据包匹配效率，提升了防火墙的转发处理性能。