CN103220287A - 利用acl对报文进行业务匹配的方法 - Google Patents
利用acl对报文进行业务匹配的方法 Download PDFInfo
- Publication number
- CN103220287A CN103220287A CN201310124039XA CN201310124039A CN103220287A CN 103220287 A CN103220287 A CN 103220287A CN 201310124039X A CN201310124039X A CN 201310124039XA CN 201310124039 A CN201310124039 A CN 201310124039A CN 103220287 A CN103220287 A CN 103220287A
- Authority
- CN
- China
- Prior art keywords
- acl
- message
- address
- messages
- service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及防火墙技术,具体公开了一种利用ACL对报文进行业务匹配的方法。该方法包括:防火墙将所有报文的IP地址进行分类,得到N类IP地址,并为N类IP地址分别配置ACL,得到N个ACL,N个ACL分别记录每类IP地址对应的报文需要执行的业务类型;当防火墙接收到报文时,根据所述报文的IP地址,在N个ACL中找到对应的ACL进行匹配,从而得到所述报文需要执行的业务类型;防火墙根据所述报文需要执行的业务类型将所述报文发送给相应的业务处理模块进行处理。采用本发明提出的技术方案,防火墙对报文进行处理时只需匹配一次ACL,就可以知道该报文需要做哪些业务了,通过这种方法可以大大加快处理报文的速度。
Description
技术领域
本发明涉及防火墙技术领域,特别涉及一种利用ACL对报文进行业务匹配的方法。
背景技术
在防火墙设备上,使用最基础也是最频繁的就是ACL功能,ACL全称为Access Control List,即访问控制列表。ACL功能可以配置报文的五元组,包括源IP地址、目的IP地址、协议号、源端口号、目的端口号。ACL功能与其它功能结合形成了具体对报文执行动作的方式。例如,IPSec隧道使用ACL功能判断哪些报文需要被加密,哪些报文需要被丢弃,哪些报文需要被放行;NAT转换使用ACL功能来判断哪些报文需要被哪些IP地址转换;三层安全控制使用ACL来判断哪些报文可以被转发,哪些需要被丢弃;策略路由使用ACL来判断哪些报文基于路由查找之上直接将报文转发到指定的出接口。当以上所有功能被一起使用时,每个业务处理模块都需要配置独立的ACL,然后每个报文就会围绕着各个模块分别进行业务匹配,判断是否需要做此业务。例如,配置了以上的所有业务之后,每个报文的处理流程就变成了分别匹配三层安全控制模块、NAT转换模块、策略路由模块、IPSec隧道加密模块,此时相当于要在每个业务处理模块中都匹配私有的ACL功能,共需匹配4次。但是,从以上4个模块中可以看出一个共同点,就是都使用了ACL作为是否执行本业务的判断方法。所以,若是将ACL匹配抽取成一个独立的模块,当配置的时候将ACL匹配后的行为记录到ACL项中,那么对报文进行处理时就只需匹配一次ACL,然后就可以知道该报文需要做哪些业务了,通过这种方法可以大大加快处理报文的速度。
发明内容
(一)所要解决的技术问题
本发明的目的在于提供一种利用ACL对报文进行业务匹配的方法,以解决现有的防火墙在对接收到的报文进行业务匹配时,需要依次通过每个业务处理模块进行ACL匹配,从而导致报文处理速度减慢的问题。
(二)技术方案
为了解决上述技术问题,本发明提出了一种利用ACL对报文进行业务匹配的方法,所述方法包括以下步骤:
S1、防火墙将所有报文的IP地址进行分类,得到N类IP地址,并为所述N类IP地址分别配置ACL,从而得到N个ACL,其中,N为正整数,所述N个ACL分别记录每类IP地址对应的报文需要执行的业务类型;
S2、当所述防火墙接收到报文时,根据所述报文的IP地址,在所述N个ACL中找到对应的ACL进行匹配,从而得到所述报文需要执行的业务类型;
S3、所述防火墙根据所述报文需要执行的业务类型将所述报文发送给相应的业务处理模块进行处理。
可选的,所述IP地址包括源IP地址或目的IP地址。
可选的,步骤S1中,每类IP地址对应的报文需要执行的业务类型包括三层安全控制、NAT转换、策略路由或IPSec加密;步骤S3中,所述业务处理模块包括三层安全控制模块、NAT转换模块、策略路由模块或IPSec加密模块。
可选的,步骤S1中,当某类IP地址对应的报文需要执行的业务类型包括IPSec加密时,与之相对应的ACL指定一个固定的IPSec隧道进行加密。
(三)有益效果
本发明提出的技术方案将ACL匹配模块单独抽取出来,使其独立于各业务处理模块之上,当防火墙接收到报文时,仅需根据报文的IP地址进行一次ACL匹配,就可以知道该报文需要做哪些业务处理了。这样一方面能够将ACL匹配的次数减少为每个报文仅需一次;另一方面,根据报文实际需要执行的业务类型将报文发送给相应的业务处理模块进行处理,能够避免报文跟不必要的业务处理模块进行业务匹配。总之,本发明提出的方法可以大大加快防火墙对报文的处理速度。
附图说明
图1是本发明提出的利用ACL对报文进行业务匹配的方法的基本流程图。
具体实施方式
下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。
如图1所示,本发明提出的利用ACL对报文进行业务匹配的方法包括以下步骤:
S1、防火墙将所有报文的IP地址进行分类,得到N类IP地址,并为所述N类IP地址分别配置ACL,从而得到N个ACL,其中,N为正整数,所述N个ACL分别记录每类IP地址对应的报文需要执行的业务类型;
S2、当所述防火墙接收到报文时,根据所述报文的IP地址,在所述N个ACL中找到对应的ACL进行匹配,从而得到所述报文需要执行的业务类型;
S3、所述防火墙根据所述报文需要执行的业务类型将所述报文发送给相应的业务处理模块进行处理。
所述IP地址既可以是报文的源IP地址,也可以是报文的目的IP地址。
下面通过一个实施例对上述方法的实现过程进行详细说明。
在本实施例中,共将所有报文的IP地址分为4类,并对应地配置4个ACL,每类IP地址对应的报文需要执行的业务类型包括三层安全控制、NAT转换、策略路由或IPSec加密,涉及的业务处理模块包括三层安全控制模块、NAT转换模块、策略路由模块和IPSec加密模块,具体如下:
配置一个ACL1,匹配的IP地址为1.1.1.1-1.1.1.10,执行的动作是丢弃;
配置一个ACL2,匹配的IP地址为2.2.2.1-2.2.2.10,执行的动作是放行并作NAT模块转换,转换的IP地址为公网IP地址202.1.1.1;
配置一个ACL3,匹配的IP地址为3.3.3.1-3.3.3.10,执行的动作是放行,做NAT模块转换,转换的IP地址为公网IP地址202.1.1.2,并做策略路由,指定出接口为0/0/1;
配置一个ACL4,匹配的IP地址为4.4.4.1-4.4.4.10,执行的动作是放行,做NAT模块转换,转换的IP地址为公网IP地址202.1.1.3,做策略路由,指定出接口为0/0/1,并做IPSec隧道加密。
当有一个IP地址为1.1.1.1的报文通过防火墙时,根据ACL的匹配,匹配上了ACL1规则,规则内容是丢弃,则直接丢弃此报文。
当一个IP地址为4.4.4.1的报文通过防火墙时,根据ACL的匹配,匹配上了ACL4,则此报文需要依次执行NAT转换、策略路由和IPSec隧道加密处理。
当报文需要执行IPSec隧道匹配时,此时如果配置了多个IPSec隧道,由于每个IPSec隧道的ACL是独有的,所以ACL4会指定一个固定的IPSec隧道进行加密。
在上述实施例中,如果按照现有的方式,每个业务处理模块若是需要配置10条ACL,那么4个模块就需要配置40个ACL,但往往在配置中模块间的ACL配置会重复。但是,如果采用本发明提出的方法,就会使一个报文在一个整体的ACL表中匹配到ACL表项,再根据表项中所配置的动作对报文进行处理。例如,ACL4需要全部的4个模块进行处理,那么就相当于一个报文原先需要4次ACL匹配,而现在减少到1次ACL匹配,这样就大大提高了防火墙对报文的处理速度。
需要指出的是,业务处理模块的类型并不局限于上述实施例所述的4种模块,业务处理模块是根据每个防火墙的实际功能进行配置的。因此,对报文的IP地址进行分类以及配置对应的ACL时,也需要根据防火墙的具体功能以及报文的类型进行灵活设置。
以上所述仅是本发明的优选实施方式,应当指出,对于本领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和替换,这些改进和替换也应视为本发明的保护范围。
Claims (4)
1.一种利用ACL对报文进行业务匹配的方法,其特征在于,所述方法包括以下步骤:
S1、防火墙将所有报文的IP地址进行分类,得到N类IP地址,并为所述N类IP地址分别配置ACL,从而得到N个ACL,其中,N为正整数,所述N个ACL分别记录每类IP地址对应的报文需要执行的业务类型;
S2、当所述防火墙接收到报文时,根据所述报文的IP地址,在所述N个ACL中找到对应的ACL进行匹配,从而得到所述报文需要执行的业务类型;
S3、所述防火墙根据所述报文需要执行的业务类型将所述报文发送给相应的业务处理模块进行处理。
2.根据权利要求1所述的方法,其特征在于,所述IP地址包括源IP地址或目的IP地址。
3.根据权利要求1所述的方法,其特征在于,步骤S1中,每类IP地址对应的报文需要执行的业务类型包括三层安全控制、NAT转换、策略路由或IPSec加密;步骤S3中,所述业务处理模块包括三层安全控制模块、NAT转换模块、策略路由模块或IPSec加密模块。
4.根据权利要求3所述的方法,其特征在于,步骤S1中,当某类IP地址对应的报文需要执行的业务类型包括IPSec加密时,与之相对应的ACL指定一个固定的IPSec隧道进行加密。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310124039.XA CN103220287B (zh) | 2013-04-11 | 2013-04-11 | 利用acl对报文进行业务匹配的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310124039.XA CN103220287B (zh) | 2013-04-11 | 2013-04-11 | 利用acl对报文进行业务匹配的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103220287A true CN103220287A (zh) | 2013-07-24 |
| CN103220287B CN103220287B (zh) | 2016-12-28 |
Family
ID=48817751
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310124039.XA Expired - Fee Related CN103220287B (zh) | 2013-04-11 | 2013-04-11 | 利用acl对报文进行业务匹配的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103220287B (zh) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103516613A (zh) * | 2013-09-25 | 2014-01-15 | 汉柏科技有限公司 | 报文快速转发的方法 |
| WO2015051741A1 (en) * | 2013-10-10 | 2015-04-16 | Hangzhou H3C Technologies Co., Ltd. | Packet processing |
| CN105591926A (zh) * | 2015-12-11 | 2016-05-18 | 杭州华三通信技术有限公司 | 一种流量保护方法及装置 |
| CN105635343A (zh) * | 2016-02-02 | 2016-06-01 | 中国互联网络信息中心 | 应用于dns查询的ip地址列表存储和查询方法 |
| CN107135203A (zh) * | 2017-04-05 | 2017-09-05 | 北京明朝万达科技股份有限公司 | 一种终端访问控制策略优化的方法及*** |
| CN107566201A (zh) * | 2016-06-30 | 2018-01-09 | 华为技术有限公司 | 报文处理方法及装置 |
| CN107968770A (zh) * | 2016-10-19 | 2018-04-27 | 北京计算机技术及应用研究所 | 基于国产自主软硬件平台的网络防火墙及其数据处理方法 |
| CN112787847A (zh) * | 2020-12-24 | 2021-05-11 | 凌云天博光电科技股份有限公司 | 基于网管***EPON大量Trap的快速处理方法及装置 |
| CN113079097A (zh) * | 2021-03-24 | 2021-07-06 | 新华三信息安全技术有限公司 | 一种报文处理方法及装置 |
| CN113132241A (zh) * | 2021-05-07 | 2021-07-16 | 杭州迪普信息技术有限公司 | Acl模板动态配置方法及装置 |
| CN113452615A (zh) * | 2021-06-28 | 2021-09-28 | 烽火通信科技股份有限公司 | 一种提高大规格acl匹配效率的方法和装置 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050055573A1 (en) * | 2003-09-10 | 2005-03-10 | Smith Michael R. | Method and apparatus for providing network security using role-based access control |
| CN1781286A (zh) * | 2003-06-10 | 2006-05-31 | 思科技术公司 | 用于分组分类和重写的方法和装置 |
| CN101035060A (zh) * | 2006-03-08 | 2007-09-12 | 中兴通讯股份有限公司 | 一种三重内容可寻址存储器报文分类的统一处理方法 |
| CN101340370A (zh) * | 2008-08-14 | 2009-01-07 | 杭州华三通信技术有限公司 | 链路选择方法和链路选择装置 |
| CN101631121A (zh) * | 2009-08-24 | 2010-01-20 | 杭州华三通信技术有限公司 | 一种端点准入防御中的报文控制方法及接入设备 |
| CN101667964A (zh) * | 2009-09-18 | 2010-03-10 | 中兴通讯股份有限公司 | 一种访问控制列表规则的配置方法及装置 |
-
2013
- 2013-04-11 CN CN201310124039.XA patent/CN103220287B/zh not_active Expired - Fee Related
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1781286A (zh) * | 2003-06-10 | 2006-05-31 | 思科技术公司 | 用于分组分类和重写的方法和装置 |
| US20050055573A1 (en) * | 2003-09-10 | 2005-03-10 | Smith Michael R. | Method and apparatus for providing network security using role-based access control |
| CN101035060A (zh) * | 2006-03-08 | 2007-09-12 | 中兴通讯股份有限公司 | 一种三重内容可寻址存储器报文分类的统一处理方法 |
| CN101340370A (zh) * | 2008-08-14 | 2009-01-07 | 杭州华三通信技术有限公司 | 链路选择方法和链路选择装置 |
| CN101631121A (zh) * | 2009-08-24 | 2010-01-20 | 杭州华三通信技术有限公司 | 一种端点准入防御中的报文控制方法及接入设备 |
| CN101667964A (zh) * | 2009-09-18 | 2010-03-10 | 中兴通讯股份有限公司 | 一种访问控制列表规则的配置方法及装置 |
Cited By (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103516613A (zh) * | 2013-09-25 | 2014-01-15 | 汉柏科技有限公司 | 报文快速转发的方法 |
| WO2015051741A1 (en) * | 2013-10-10 | 2015-04-16 | Hangzhou H3C Technologies Co., Ltd. | Packet processing |
| CN104579940A (zh) * | 2013-10-10 | 2015-04-29 | 杭州华三通信技术有限公司 | 查找访问控制列表的方法及装置 |
| CN104579940B (zh) * | 2013-10-10 | 2017-08-11 | 新华三技术有限公司 | 查找访问控制列表的方法及装置 |
| CN105591926A (zh) * | 2015-12-11 | 2016-05-18 | 杭州华三通信技术有限公司 | 一种流量保护方法及装置 |
| CN105591926B (zh) * | 2015-12-11 | 2019-06-07 | 新华三技术有限公司 | 一种流量保护方法及装置 |
| CN105635343B (zh) * | 2016-02-02 | 2019-06-04 | 中国互联网络信息中心 | 应用于dns查询的ip地址列表存储和查询方法 |
| CN105635343A (zh) * | 2016-02-02 | 2016-06-01 | 中国互联网络信息中心 | 应用于dns查询的ip地址列表存储和查询方法 |
| WO2017133344A1 (zh) * | 2016-02-02 | 2017-08-10 | 中国互联网络信息中心 | 应用于dns查询的ip地址列表存储和查询方法 |
| CN107566201A (zh) * | 2016-06-30 | 2018-01-09 | 华为技术有限公司 | 报文处理方法及装置 |
| CN107566201B (zh) * | 2016-06-30 | 2020-08-25 | 华为技术有限公司 | 报文处理方法及装置 |
| CN107968770A (zh) * | 2016-10-19 | 2018-04-27 | 北京计算机技术及应用研究所 | 基于国产自主软硬件平台的网络防火墙及其数据处理方法 |
| CN107135203A (zh) * | 2017-04-05 | 2017-09-05 | 北京明朝万达科技股份有限公司 | 一种终端访问控制策略优化的方法及*** |
| CN112787847A (zh) * | 2020-12-24 | 2021-05-11 | 凌云天博光电科技股份有限公司 | 基于网管***EPON大量Trap的快速处理方法及装置 |
| CN113079097A (zh) * | 2021-03-24 | 2021-07-06 | 新华三信息安全技术有限公司 | 一种报文处理方法及装置 |
| CN113079097B (zh) * | 2021-03-24 | 2022-03-22 | 新华三信息安全技术有限公司 | 一种报文处理方法及装置 |
| CN113132241A (zh) * | 2021-05-07 | 2021-07-16 | 杭州迪普信息技术有限公司 | Acl模板动态配置方法及装置 |
| CN113452615A (zh) * | 2021-06-28 | 2021-09-28 | 烽火通信科技股份有限公司 | 一种提高大规格acl匹配效率的方法和装置 |
| CN113452615B (zh) * | 2021-06-28 | 2022-07-08 | 烽火通信科技股份有限公司 | 一种提高大规格acl匹配效率的方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103220287B (zh) | 2016-12-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103220287A (zh) | 利用acl对报文进行业务匹配的方法 | |
| US10447655B2 (en) | Method for controlling transmission security of industrial communications flow based on SDN architecture | |
| US8301771B2 (en) | Methods, systems, and computer program products for transmission control of sensitive application-layer data | |
| CN105591926A (zh) | 一种流量保护方法及装置 | |
| CN101309273B (zh) | 一种生成安全联盟的方法和装置 | |
| CN101753553B (zh) | 安全隔离与信息交换***及方法 | |
| CN105812322B (zh) | 因特网安全协议安全联盟的建立方法及装置 | |
| CN105763557A (zh) | 交换芯片或np与cpu协同完成报文ipsec加密的方法与*** | |
| CN104767752A (zh) | 一种分布式网络隔离***及方法 | |
| CN103905317A (zh) | 一种软件定义网络的报文处理方法和*** | |
| CN104270355A (zh) | 一种基于网络总线跨安全区传输数据的方法 | |
| CN103237039A (zh) | 一种报文转发方法及设备 | |
| CN102710639A (zh) | 一种基于ActiveMQ数据总线的跨电力安全区实时数据交换方法 | |
| CN101605136B (zh) | 一种对报文进行互联网协议安全性IPSec处理的方法和装置 | |
| CN102932377A (zh) | 一种ip报文过滤方法及装置 | |
| WO2012014509A1 (ja) | 不正アクセス遮断制御方法 | |
| CN103313308A (zh) | 一种数据传输方法和设备 | |
| CN102761494A (zh) | 一种ike协商处理方法及装置 | |
| WO2016070633A1 (zh) | 上网日志生成方法和装置 | |
| CN105227403B (zh) | 一种OpenStack网络流量监控方法 | |
| CN103442096B (zh) | 基于移动互联网的nat转换方法及*** | |
| CN102761483A (zh) | 一种不占用ip地址的隧道实现方法、***及设备 | |
| CN102932229B (zh) | 一种对数据包进行加解密处理的方法 | |
| CN106161386A (zh) | 一种实现IPsec分流的方法和装置 | |
| CN102684971A (zh) | VLAN功能实现方法及Linux***局域网网关 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20161228 Termination date: 20180411 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |