[发明专利]一种高速网络数据包过滤装置

说明书

本发明公开了一种高速网络数据包过滤装置，装置将多核硬件资源在数据平面和控制平面上分配，控制平面用于实现网络协议栈、网络接口管理、内存管理，数据平面用于实现数据包的捕获、过滤、转发；装置具有高效的网络数据包多层次处理过滤能力，具有良好的实时性和灵活性，解决了目前高速网络应用环境下过滤效率不高的问题。

技术领域

本发明涉及计算机信息领域，具体地，涉及一种高速网络数据包过滤装置。

背景技术

随着网络新业务不断涌现，网络接口速度加快升级，从最早的1GE，发展到10GE、10GPOS，到如今的40GPOS，以及即将规模商用的100GE，导致网络交换节点负荷日益增加，降低网络监管性能,使网络容易受到外部攻击威胁。

面对越来越高的网络速度，一些原来的基于专用集成电路(ApplicationIntegrated Specific Circuit，ASIC)和通用处理器(General Purpose Processor,GPP)的传统网络数据过滤处理方案，虽然能够达到很高的处理速率,但是大多数产品都是单线程(进程)的处理方式，很难满足高速网络环境的安全防护和灵活性要求。近年来一些芯片厂家推出的基于专用指令处理器(Application Specific Instruction Processor,ASIP)技术的多核网络处理器(Multi-core Network Processor,Multi-core NP)，这些网络处理器在单芯片中集成了多个网络处理器，同时集成一些专用硬件加速引擎单元，例如CaviumOCTEON系列芯片就集成了TCP/IP、PIP/IPD、PKO、DFA、DMA、Sec Vault等加速引擎单元，提供了一种新型的网络数据包处理解决方案。

目前已有网络数据包过滤方法中，往往只是针对某一种特殊情况，适应范围较窄，且过滤算法复杂、效率较低。

现有的网络数据包过滤产品互不兼容,在硬件处理能力、识别能力、灵活性、实时性、吞吐量等方面亟待加强，大体来看，存在以下一些需要改进之处：

一.高速网络环境下过滤装置系统架构需进一步改进。在高速网络环境下，采用缺乏灵活性的ASIC不能应对快速变化的网络应用，采用通用的计算架构，则可能会在处理大数据流量时不堪重负导致延迟、丢包。

二.非实时在线全流量监控过滤。当前一些设备采用网络旁路全流量镜像、分流等方式检测，但灵活性不高，数据不能实时快速处理；有的虽然采用了串行在线检测，但是因为硬件处理平台计算能力不足、缺乏设备故障旁路机制等缺点,使数据延时丢包，降低系统吞吐量，造成系统的可靠性和鲁棒性欠佳。

三.过滤策略方法较简单、效率不高、覆盖协议层次少。通常基于单IP、单一数据包、五元组规则过滤处理，没有保存具有关联性的数据包的状态，没有综合考虑会话跟踪、分片跟踪、深度包解析(DPI)等方面；分析过滤处理通常位于网络层、传输层，没有进行ISO/RM的L2～L7层协议栈全覆盖过滤。

发明内容

本发明提供了一种高速网络数据包过滤装置，装置具有高效的网络数据包多层次处理过滤能力，具有良好的实时性和灵活性，解决了目前高速网络应用环境下过滤效率不高的问题。

通过对现有技术的研究，发明人发现为了在高速网络环境中实现大数据流量的有效过滤，需要在传统数据包过滤技术基础上，深入分析数据包结构、字段信息，制定高效的过滤规则或策略，通过规则匹配检测，实现对固定网、移动网数据包的有效过滤。

进一步的，需要基于新型多核网络处理平台，针对数据包之间关联特性，设计优化算法和过滤模型，并行处理，提高网络数据包的过滤效率。

为实现上述发明目的，本申请提供了一种高速网络数据包过滤装置，所述装置包括硬件部分和软件部分，硬件部分包括：

处理模块，用于实现数据过滤规则表管理、应用协议识别和转换、数据包检测过滤；