[发明专利]一种数据包过滤方法及装置

权利要求书

1.一种数据包过滤方法，应用于网络设备，所述网络设备预配置了由若干个预设字段构成的若干条包过滤规则，其特征在于，包括：

将所述若干条包过滤规则划分为对应于各预设字段的若干条分组规则；其中，各分组规则分别对应不同的预设字段；各分组规则由与其对应的预设字段在所述若干条包过滤规则中对应的字段取值以及与所述字段取值对应的包过滤规则标识构成；

提取接收到的目标数据包对应于各预设字段的字段取值；

将提取到的各字段取值分别与其对应的分组规则进行并行匹配；

计算各字段取值与其对应的分组规则的匹配结果的交集，基于计算出的所述交集确定该目标数据包匹配到的包过滤规则，并基于匹配到的该包过滤规则对应的包过滤策略针对该目标数据包执行包过滤处理。

2.根据权利要求1所述的方法，其特征在于，所述将所述若干条包过滤规则划分为对应于各预设字段的若干条分组规则，包括：

将各预设字段依次选定为目标字段；

分别提取各包过滤规则对应于所述目标字段的字段取值；

基于提取出的各包过滤规则对应于所述目标字段的字段取值，以及与该字段取值对应的包过滤规则标识，创建对应于该目标字段的分组规则。

3.根据权利要求2所述的方法，其特征在于，所述方法还包括：

基于预设的算法分别对各分组规则进行处理，使得处理后的分组规则更适合与提取到的各字段取值进行匹配。

4.根据权利要求2所述的方法，其特征在于，所述方法还包括：

当各预设字段中存在相关的多个预设字段，将为该多个预设字段分别创建的分组规则进行合并；以及，

当创建的任一分组规则中包括多个相同的字段取值，则将该多个字段取值所对应的包过滤规则标识进行合并。

5.根据权利要求2所述的方法，其特征在于，各分组规则分别预配置了不同的匹配线程；

所述将提取到的各字段取值分别与其对应的分组规则进行并行匹配，包括：

将提取到的各字段取值分别提交至为与其对应的分组规则预配置的匹配线程，由该匹配线程将接收到的字段取值与其对应的分组规则中记录的各字段取值分别进行匹配；其中，各匹配线程为各字段取值分别创建了对应的bitmap表；该bitmap表中包括若干个用于记录匹配结果的bit位；每个bit位分别与所述分组规则中记录的包过滤规则的标识相对应；

各匹配线程将提取到的各字段取值与其对应的分组规则中记录的各字段取值的匹配结果，记录至所述bitmap表中对应的bit位。

6.根据权利要求5所述的方法，其特征在于，所述bitmap表中的bit位取值为1时，表示与该bit位对应的包过滤规则匹配；

所述计算各字段取值与其对应的分组规则的匹配结果的交集，基于计算出的所述交集确定该目标数据包匹配到的包过滤规则，包括：

将与各字段取值对应的bitmap表进行按位与运算；其中，所述bitmap表中的bit位的排列顺序对应于所述包过滤规则的优先级顺序；

将按位与运算后第一个取值为1的bit位对应的包过滤规则确定为所述目标数据包匹配到的包过滤规则。

7.一种数据包过滤装置，应用于网络设备，所述网络设备预配置了由若干个预设字段构成的若干条包过滤规则，其特征在于，包括：

划分单元，用于将所述若干条包过滤规则划分为对应于各预设字段的若干条分组规则；其中，各分组规则分别对应不同的预设字段；各分组规则由与其对应的预设字段在所述若干条包过滤规则中对应的字段取值以及与所述字段取值对应的包过滤规则标识构成；

提取单元，用于提取接收到的目标数据包对应于各预设字段的字段取值；

匹配单元，用于将提取到的各字段取值分别与其对应的分组规则进行并行匹配；

计算单元，用于计算各字段取值与其对应的分组规则的匹配结果的交集，基于计算出的所述交集确定该目标数据包匹配到的包过滤规则，并基于匹配到的该包过滤规则对应的包过滤策略针对该目标数据包执行包过滤处理。