CN102497372A - 一种基于ip报文目的端口过滤策略的***和方法 - Google Patents
一种基于ip报文目的端口过滤策略的***和方法 Download PDFInfo
- Publication number
- CN102497372A CN102497372A CN2011104136083A CN201110413608A CN102497372A CN 102497372 A CN102497372 A CN 102497372A CN 2011104136083 A CN2011104136083 A CN 2011104136083A CN 201110413608 A CN201110413608 A CN 201110413608A CN 102497372 A CN102497372 A CN 102497372A
- Authority
- CN
- China
- Prior art keywords
- message
- filters
- fifo
- module
- port
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种基于IP报文目的端口过滤策略的***和方法,该***从五元组FIFO模块中读取IP报文的五元组数据提供给端口过滤模块,由端口过滤模块进行目的端口过滤,并将命中端口的控制信息存储在目的结果Fifo模块中,以供后续模块处理。所述方法从五元组FIFO步骤中读取IP报文的五元组数据提供给端口过滤步骤,由端口过滤步骤进行目的端口过滤,并将命中端口的控制信息存储在目的结果Fifo步骤中,以供后续步骤处理。本发明提供的基于IP报文目的端口过滤策略的***和方法,采用FPGA实现了网络协议中针对IP包负载为TCP或UDP的目的端口进行过滤的方法,可解放CPU,从而提高主机的性能,且将某些有针对性的源目端口号,将其过滤掉,提高网络的安全性能。
Description
技术领域
本发明属于网络安全领域,具体涉及一种基于IP报文目的端口过滤策略的***和方法。
背景技术
专利号CN200810106399.6(一种GPON***中实现帧过滤的远程管理装置)公开了一种GPON***中实现帧过滤的远程管理装置。针对现有的GPON***只有工作在MAC桥模式下才仅能实现根据目的MAC地址过滤功能的问题而发明。本发明提出的GPON***中实现帧过滤的远程管理装置,增设一帧过滤表数据管理实体,该管理实体内设置有MAC地址过滤表模块、IP地址过滤表模块、TCP/UDP端口过滤表模块、互联网组管理协议查询报文过滤模块、DHCP响应报文过滤模块之中的一个或几个模块,可以针对工作在各种模式下的GPON***实现对数据帧的过滤。同时,还能够根据控制端的指令增加/删除规则条目。
专利号CN200680012308.1(一种桥接转发方法和装置)公开了一种桥接转发方法,将一个或一个以上端口和VLAN标识的组合对应一个虚拟转发实例(VSI),完成不同VLAN之间的报文桥接转发、MAC地址学习以及源端口过滤。该方法包括以下步骤:从输入端口接收报文,获取该报文的输入虚拟局域网标识VLAN标识和目的MAC地址;确定报文的输出端口和输出VLAN标识,并根据输出端口和输出VLAN标识转发报文。本发明还公开了一种桥接转发装置,包括接收一个以上VLAN的报文的输入端口、发送报文至一个以上VLAN的输出端口和转发单元,该转发单元获取输入端口接收的报文的输入VLAN标识和目的MAC地址,确定报文的输出端口和输出VLAN标识,并将报文输出至输出端口。采用本发明的方法和装置,可以实现以太网报文在多个VLAN之间的桥接转发。
但上述技术无法检测网络数据包的源目端口以及协议,不能将某些有针对性的源目端口号过滤掉,从而无法解放CPU并提高主机的性能,也无法提高网络的安全性能。
本发明采用FPGA实现了网络协议中针对IP包负载为TCP或UDP的目的端口进行过滤的方法,可解放CPU,从而提高主机的性能。该方法主要检测网络数据包的源目端口以及协议,将某些有针对性的源目端口号,将其过滤掉,提高网络的安全性能。
发明内容
本发明克服现有技术存在的不足,采用FPGA实现了网络协议中针对IP包负载为TCP或UDP的目的端口进行过滤的方法,可解放CPU,从而提高主机的性能。该方法主要检测网络数据包的源目端口以及协议,将某些有针对性的源目端口号,将其过滤掉,提高网络的安全性能。
本发明提供了一种基于IP报文目的端口过滤策略的***,该策略从五元组FIFO模块中读取IP报文的五元组数据提供给端口过滤模块,由端口过滤模块进行目的端口过滤,并将命中端口的控制信息存储在目的结果Fifo模块中,以供后续模块处理。
本发明提供的基于IP报文目的端口过滤策略的***,端口过滤模块用于TCP过滤和UDP过滤两部分功能。
本发明提供的基于IP报文目的端口过滤策略的***,端口过滤模块的TCP过滤和UDP过滤共用一个控制器。
本发明提供的基于IP报文目的端口过滤策略的***,五元组控制FIFO,存储从原始IP报文中提取出的五元组数据。
本发明提供的基于IP报文目的端口过滤策略的***,目的端口过滤模块的专用网卡使用查找LUT过滤索引表方式来对IP报文过滤。
本发明提供的基于IP报文目的端口过滤策略的***,目的端口过滤模块的专用网卡芯片内部集成一个LUT过滤索引表,并利用专用芯片内部的RAM资源实现单端口RAM来存储该索引表。
本发明还提供了一种基于IP报文目的端口过滤策略的方法,该策略从五元组FIFO步骤中读取IP报文的五元组数据提供给端口过滤步骤,由端口过滤步骤进行目的端口过滤,并将命中端口的控制信息存储在目的结果Fifo步骤中,以供后续步骤处理。
本发明提供的基于IP报文目的端口过滤策略的方法,端口过滤步骤用于TCP过滤和UDP过滤两部分功能。
本发明提供的基于IP报文目的端口过滤策略的方法,端口过滤步骤的TCP过滤和UDP过滤共用一个控制器。
本发明提供的基于IP报文目的端口过滤策略的方法,五元组控制FIFO,存储从原始IP报文中提取出的五元组数据。
本发明提供的基于IP报文目的端口过滤策略的方法,目的端口过滤步骤的专用网卡使用查找LUT过滤索引表方式来对IP报文过滤。
本发明提供的基于IP报文目的端口过滤策略的方法,目的端口过滤步骤的专用网卡芯片内部集成一个LUT过滤索引表,并利用专用芯片内部的RAM资源实现单端口RAM来存储该索引表。
本发明提供的基于IP报文目的端口过滤策略的方法,在专用网卡的初始化过程中,上层软件通过写操作建立起该LUT索引表。
本发明提供的基于IP报文目的端口过滤策略的方法,在方法运行的过程中,当用户更改某些规则的时候,需要同时更新索引表中对应的项,保持过滤电路的一致性。
本发明提供的基于IP报文目的端口过滤策略的方法,LUT写操作为64位。
本发明提供的基于IP报文目的端口过滤策略的方法,该索引表映射到主机的内存地址空间,内存映射地址被设计成为只写方式,上层软件可以利用操作方法提供的Memory写命令来操作它。
本发明提供的基于IP报文目的端口过滤策略的方法,每一位代表一个端口号,位值1:表示要求上传;0:表示过滤掉。
本发明提供的基于IP报文目的端口过滤策略的方法,当开启端口过滤功能,若五元组FIFO不空并且目的结果Fifo不满,则启动状态机。
与现有技术相比,本发明的有益效果在于:因为针对IP包负载为TCP或UDP的目的端口进行过滤解放了CPU,同时过滤掉某些有针对性的源目端口号,从而提高主机的性能和提高网络的安全性能。
附图说明
图1是本发明的目的端口过滤结构示意图;
图2是本发明的状态示意图;
图3是本发明端口过滤时序图。
具体实施方式
该策略从五元组FIFO中读取IP报文的五元组数据提供给端口过滤模块,端口过滤包括TCP过滤和UDP过滤两部分功能,TCP过滤和UDP过滤共用一个控制器,因为一组五元组只可能是TCP或UDP中的一种协议。若进行目的端口过滤,则按照协议类型执行不同的过滤,将命中端口的控制信息存储在目的结果Fifo中,以供后续模块处理。若不进行端口过滤,则不做任何处理,直接将数据写入到目的结果Fifo中,以供后续模块处理。结构图1所示,目的端口过滤结构框图。
其中,PktHeadFifo为五元组控制FIFO,存储从原始IP报文中提取出的五元组数据。
目的端口过滤专用网卡使用查找LUT过滤索引表方式来对IP报文的过滤,主要分为TCP过滤和UDP过滤;芯片内部需要集成一个LUT过滤索引表,我们利用专用芯片内部的RAM资源实现单端口RAM来存储该索引表。
在专用网卡的初始化过程中,上层软件通过写操作建立起该LUT索引表。在***运行的过程中,当用户更改某些规则的时候,需要同时更新索引表中对应的项,保持过滤电路的一致性。注意:LUT写操作为64位。
为了方便上层软件维护索引表,我们将该索引表映射到主机的内存地址空间,内存映射地址被设计成为只写方式,上层软件可以利用操作***提供的Memory写命令来操作它。每一位代表一个端口号,位值1:表示要求上传;0:表示过滤掉。例如地址020_0000~020_0007h的64位数据为0000_0000_0000_0010h,表示,端口号为4的ip包上传,端口号为0~3,5~63都过滤掉。
当开启端口过滤使能,若PktHeadFifo不空并且DPFResultFifo不满,则启动状态机。
其状态机如图2所示,
状态WAITLUTDATA:完成从索引表中读取数据。
状态JUDGEHIT:根据读取的数据值判断是否命中。
状态WAIT1CYCLE:等待一个周期,完成上述处理。
状态Wr1stWord:完成第一拍数据处理。
状态Wr2ndWord:完成第二拍数据处理。
端口过滤时序图如图3所示:
以上实施例仅用以说明本发明的技术方案而非对其限制,尽管参照上述实施例对本发明进行了详细的说明,所述领域的普通技术人员应当理解:依然可以对本发明的具体实施方式进行修改或者同等替换,而未脱离本发明精神和范围的任何修改或者等同替换,其均应涵盖在本发明的权利要求范围当中。
Claims (18)
1.一种基于IP报文目的端口过滤策略的***,该策略从五元组FIFO模块中读取IP报文的五元组数据提供给端口过滤模块,由端口过滤模块进行目的端口过滤,并将命中端口的控制信息存储在目的结果Fifo模块中,以供后续模块处理。
2.权利要求1的***,其特征在于端口过滤模块用于TCP过滤和UDP过滤两部分功能。
3.权利要求1-2的***,其特征在于端口过滤模块的TCP过滤和UDP过滤共用一个控制器。
4.权利要求1-3的***,其特征在于五元组控制FIFO,存储从原始IP报文中提取出的五元组数据。
5.权利要求1-4的***,其特征在于目的端口过滤模块的专用网卡使用查找LUT过滤索引表方式来对IP报文过滤。
6.权利要求1-5的***,其特征在于,目的端口过滤模块的专用网卡芯片内部集成一个LUT过滤索引表,并利用专用芯片内部的RAM资源实现单端口RAM来存储该索引表。
7.一种基于IP报文目的端口过滤策略的方法,该策略从五元组FIFO步骤中读取IP报文的五元组数据提供给端口过滤步骤,由端口过滤步骤进行目的端口过滤,并将命中端口的控制信息存储在目的结果Fifo步骤中,以供后续步骤处理。
8.权利要求7的方法,其特征在于端口过滤步骤用于TCP过滤和UDP过滤两部分功能。
9.权利要求7-8的方法,其特征在于端口过滤步骤的TCP过滤和UDP过滤共用一个控制器。
10.权利要求7-9的方法,其特征在于五元组控制FIFO,存储从原始IP报文中提取出的五元组数据。
11.权利要求7-10的方法,其特征在于目的端口过滤步骤的专用网卡使用查找LUT过滤索引表方式来对IP报文过滤。
12.权利要求7-11的方法,其特征在于,目的端口过滤步骤的专用网卡芯片内部集成一个LUT过滤索引表,并利用专用芯片内部的RAM资源实现单端RAM来存储该索引表。
13.权利要求7-12的方法,其特征在于,在专用网卡的初始化过程中,上层软件通过写操作建立起该LUT索引表。
14.权利要求7-13的方法,其特征在于,在方法运行的过程中,当用户更改某些规则的时候,需要同时更新索引表中对应的项,保持过滤电路的一致性。
15.权利要求7-14的方法,其特征在于,LUT写操作为64位。
16.权利要求7-15的方法,其特征在于,该索引表映射到主机的内存地址空间,内存映射地址被设计成为只写方式,上层软件可以利用操作方法提供的Memory写命令来操作它。
17.权利要求7-16的方法,其特征在于,每一位代表一个端口号,位值1:表示要求上传;0:表示过滤掉。
18.权利要求7-17的方法,其特征在于,当开启端口过滤功能,若五元组FIFO不空并且目的结果Fifo不满,则启动状态机。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011104136083A CN102497372A (zh) | 2011-12-13 | 2011-12-13 | 一种基于ip报文目的端口过滤策略的***和方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011104136083A CN102497372A (zh) | 2011-12-13 | 2011-12-13 | 一种基于ip报文目的端口过滤策略的***和方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102497372A true CN102497372A (zh) | 2012-06-13 |
Family
ID=46189157
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2011104136083A Pending CN102497372A (zh) | 2011-12-13 | 2011-12-13 | 一种基于ip报文目的端口过滤策略的***和方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102497372A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103929358A (zh) * | 2014-05-06 | 2014-07-16 | 大连梯耐德网络技术有限公司 | 一种可配逻辑关系的报文分配***和方法 |
| CN105635088A (zh) * | 2014-11-25 | 2016-06-01 | 中兴通讯股份有限公司 | 一种网络数据包处理方法及装置 |
| CN109495370A (zh) * | 2018-12-29 | 2019-03-19 | 瑞斯康达科技发展股份有限公司 | 一种基于vpls的报文传输方法及装置 |
| CN112737914A (zh) * | 2020-12-28 | 2021-04-30 | 北京天融信网络安全技术有限公司 | 报文处理方法、装置、网络设备及可读存储介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1536497A (zh) * | 2003-04-04 | 2004-10-13 | 上海广电应确信有限公司 | 一种实现包过滤的防火墙及其实现包过滤的方法 |
| CN101572891A (zh) * | 2009-06-15 | 2009-11-04 | 东南大学 | 基于fpga的3g数据包过滤***及方法 |
| CN101702723A (zh) * | 2009-10-30 | 2010-05-05 | 曙光信息产业(北京)有限公司 | Ip报文的过滤方法和装置 |
| CN101707617A (zh) * | 2009-12-04 | 2010-05-12 | 福建星网锐捷网络有限公司 | 报文过滤方法、装置及网络设备 |
| CN102045818A (zh) * | 2009-10-15 | 2011-05-04 | 友劲科技股份有限公司 | 无线装置的数据报文过滤方法 |
| CN102098291A (zh) * | 2010-12-17 | 2011-06-15 | 天津曙光计算机产业有限公司 | 一种基于fpga的网络安全日志处理方法和装置 |
| WO2011078687A1 (en) * | 2009-12-21 | 2011-06-30 | Tandberg Telecom As | Method and device for filtering media packets |
-
2011
- 2011-12-13 CN CN2011104136083A patent/CN102497372A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1536497A (zh) * | 2003-04-04 | 2004-10-13 | 上海广电应确信有限公司 | 一种实现包过滤的防火墙及其实现包过滤的方法 |
| CN101572891A (zh) * | 2009-06-15 | 2009-11-04 | 东南大学 | 基于fpga的3g数据包过滤***及方法 |
| CN102045818A (zh) * | 2009-10-15 | 2011-05-04 | 友劲科技股份有限公司 | 无线装置的数据报文过滤方法 |
| CN101702723A (zh) * | 2009-10-30 | 2010-05-05 | 曙光信息产业(北京)有限公司 | Ip报文的过滤方法和装置 |
| CN101707617A (zh) * | 2009-12-04 | 2010-05-12 | 福建星网锐捷网络有限公司 | 报文过滤方法、装置及网络设备 |
| WO2011078687A1 (en) * | 2009-12-21 | 2011-06-30 | Tandberg Telecom As | Method and device for filtering media packets |
| CN102098291A (zh) * | 2010-12-17 | 2011-06-15 | 天津曙光计算机产业有限公司 | 一种基于fpga的网络安全日志处理方法和装置 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103929358A (zh) * | 2014-05-06 | 2014-07-16 | 大连梯耐德网络技术有限公司 | 一种可配逻辑关系的报文分配***和方法 |
| CN105635088A (zh) * | 2014-11-25 | 2016-06-01 | 中兴通讯股份有限公司 | 一种网络数据包处理方法及装置 |
| WO2016082380A1 (zh) * | 2014-11-25 | 2016-06-02 | 中兴通讯股份有限公司 | 一种网络数据包处理方法及装置 |
| CN109495370A (zh) * | 2018-12-29 | 2019-03-19 | 瑞斯康达科技发展股份有限公司 | 一种基于vpls的报文传输方法及装置 |
| CN109495370B (zh) * | 2018-12-29 | 2020-11-24 | 瑞斯康达科技发展股份有限公司 | 一种基于vpls的报文传输方法及装置 |
| CN112737914A (zh) * | 2020-12-28 | 2021-04-30 | 北京天融信网络安全技术有限公司 | 报文处理方法、装置、网络设备及可读存储介质 |
| CN112737914B (zh) * | 2020-12-28 | 2022-08-05 | 北京天融信网络安全技术有限公司 | 报文处理方法、装置、网络设备及可读存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8908564B2 (en) | Method for Media Access Control address learning and learning rate suppression | |
| US10372637B2 (en) | Methods and apparatus for aggregating packet transfer over a virtual bus interface | |
| US11474879B2 (en) | Extending Berkeley Packet Filter semantics for hardware offloads | |
| CN102739473A (zh) | 一种应用智能网卡的网络检测方法 | |
| CN102904730A (zh) | 根据协议、端口和ip地过滤挑选流量的智能加速网卡 | |
| CN103117948B (zh) | 基于fpga的分级并行高速网络tcp流重组方法 | |
| EP3282649A1 (en) | Data packet forwarding | |
| WO2007006146A1 (en) | System and method of offloading protocol functions | |
| CN102497372A (zh) | 一种基于ip报文目的端口过滤策略的***和方法 | |
| CN102904729A (zh) | 根据协议、端口分流支持多应用的智能加速网卡 | |
| US9678891B2 (en) | Efficient search key controller with standard bus interface, external memory interface, and interlaken lookaside interface | |
| CN101815014A (zh) | 基于连接的实时网络数据捕获方法 | |
| CN102970190B (zh) | 一种网络流量监测*** | |
| CN103077148A (zh) | 一种基于pcie的主机通讯方法和主机 | |
| CN101599966A (zh) | 一种多虚拟机应用的数据过滤方法 | |
| CN106603376A (zh) | 报文处理方法和虚拟专用网络sslvpn服务器 | |
| CN103188042A (zh) | 一种ip数据包的匹配方法和匹配加速器 | |
| US20150264141A1 (en) | Communication apparatus, information processor, communication method, and computer-readable storage medium | |
| CN103812860A (zh) | 一种基于fpga的高速网络策略匹配方法 | |
| CN102750245B (zh) | 报文接收方法、报文接收模块、装置及*** | |
| CN103780460B (zh) | 一种通过fpga实现tap设备硬件过滤的*** | |
| CN102098291A (zh) | 一种基于fpga的网络安全日志处理方法和装置 | |
| US9594706B2 (en) | Island-based network flow processor with efficient search key processing | |
| US10877911B1 (en) | Pattern generation using a direct memory access engine | |
| CN201623727U (zh) | 一种基于网络处理器的小型单机防火墙装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20120613 |