[发明专利]一种数据包过滤方法及装置

说明书

本申请提供一种数据包过滤方法及装置，所述方法包括：网络设备将预配置的若干条包过滤规则划分为若干条分组规则；其中，各分组规则分别对应不同的预设字段，各分组规则由与其对应的预设字段在所述若干条包过滤规则中对应的字段取值构成；网络设备提取接收到的目标数据包对应于各预设字段的字段取值，并将提取到的各字段取值分别与其对应的分组规则进行并行匹配；然后计算各字段取值与其对应的分组规则的匹配结果的交集，基于该交集确定该目标数据包匹配到的包过滤规则，并基于该包过滤规则对应的包过滤策略对该目标数据包执行包过滤处理。本申请解决了现有技术在对包过滤规则预处理时因为包过滤规则的数量增加，导致匹配效率下降的问题。

技术领域

本申请涉及网络安全领域，特别涉及一种数据包过滤方法及装置。

背景技术

在网络安全领域，包过滤规则是用户配置的对进出网络的数据包进行过滤的规则，通常由源IP地址、目的IP地址、端口号、协议等字段组成。网络设备根据配置的不同的包过滤规则而采取不同的过滤策略。为了使网络设备能够快速地根据包过滤规则匹配数据包，通常需要将包过滤规则进行预处理。网络设备根据预处理后的包过滤规则匹配接收到的数据包。

由于包过滤规则是多个字段组成的一个多维数据，在预处理的过程中可能会拆分其中的一些字段，从而导致包过滤规则数量的增加，在这种情况下，网络设备在接收到数据包后，会根据每一条包过滤规则依次去匹配数据包，直到匹配成功。可见，包过滤规则的数量增加后，会导致网络设备在根据包过滤规则匹配数据包的工作量增加，整个过程的匹配效率下降。

发明内容

有鉴于此，本申请提供一种数据包过滤方法及装置，用以解决现有技术在对包过滤规则预处理的过程中因为包过滤规则的数量增加，导致匹配效率下降的问题。

具体地，本申请是通过如下技术方案实现的：

一种数据包过滤方法，应用于网络设备，所述网络设备预配置了由若干个预设字段构成的若干条包过滤规则，包括：

将所述若干条包过滤规则划分为对应于各预设字段的若干条分组规则；其中，各分组规则分别对应不同的预设字段；各分组规则由与其对应的预设字段在所述若干条包过滤规则中对应的字段取值构成；

提取接收到的目标数据包对应于各预设字段的字段取值；

将提取到的各字段取值分别与其对应的分组规则进行并行匹配；

计算各字段取值与其对应的分组规则的匹配结果的交集，基于计算出的所述交集确定该目标数据包匹配到的包过滤规则，并基于匹配到的该包过滤规则对应的包过滤策略针对该目标数据包执行包过滤处理。

在所述数据包过滤方法中，所述将所述若干条包过滤规则划分为对应于各预设字段的若干条分组规则，包括：

将各预设字段依次选定为目标字段；

分别提取各包过滤规则对应于所述目标字段的字段取值；

基于提取出的各包过滤规则对应于所述目标字段的字段取值，以及与该字段取值对应的包过滤规则标识，创建对应于该目标字段的分组规则。

在所述数据包过滤方法中，还包括：

基于预设的算法分别对各分组规则进行处理，使得处理后的分组规则更适合与提取到的各字段取值进行匹配。

在所述数据包过滤方法中，还包括：

当各预设字段中存在相关的多个预设字段，将为该多个预设字段分别创建的分组规则进行合并；以及，

当创建的任一分组规则中包括多个相同的字段取值，则将该多个字段取值所对应的包过滤规则标识进行合并。

在所述数据包过滤方法中，各分组规则分别预配置了不同的匹配线程；