CN1439985A - 一种改进防火墙性能的方法 - Google Patents
一种改进防火墙性能的方法 Download PDFInfo
- Publication number
- CN1439985A CN1439985A CN 02104228 CN02104228A CN1439985A CN 1439985 A CN1439985 A CN 1439985A CN 02104228 CN02104228 CN 02104228 CN 02104228 A CN02104228 A CN 02104228A CN 1439985 A CN1439985 A CN 1439985A
- Authority
- CN
- China
- Prior art keywords
- node
- address translation
- network
- rule
- network address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及计算机网络***中防火墙安全模型,通过对防火墙多维空间模型和快速搜索方法的运用,提高防火墙的转发效率。应用了多维空间模型产生安全规则的产生方法如下:1)用户输入安全策略步骤;2)对用户输入的安全规则进行空间划分、语法检查、语义分析的预处理步骤;3)对经过预处理的规则表进行编译、优化,生成安全策略语义结构树,并下装到核心中去的生成步骤。4)对按上述方法生成的防火墙安全策略进行查询的方法。其中步骤4)可如下操作:下装运行后,防火墙包过滤模块截获每一个经过防火墙主机的数据包,抽取数据包中的信息(ip源地址、ip目的地址、源端口号、服务端口号,甚至应用层中的数据,根据这些信息在所述的安全规则多维空间中查找,得到相应的访问状态位,进而采取相应的行动。
Description
技术领域
本发明涉及计算机网络***中防火墙安全模型,通过对防火墙多维空间模型和快速搜索方法的运用,提高防火墙的转发效率。
背景技术
现有的防火墙包过滤规则一般是根据一些参数如ip源地址、ip目的地址、服务端口号、用户标示、时间等采取行动,如接收、丢弃,或者网络地址转换等。防火墙把规则按顺序存储,在过滤数据包时,根据数据包中提取的包头信息(ip源地址,ip目的地址,源端口,目的端口)与防火墙的n条规则逐一对比,直到找到某条规则与此数据包中的信息匹配,此时可应用该条规则,采取某种行动,这种方法对于查找过程没有经过优化,平均查找长度为(n+1)/2。现有防火墙存在如下一些缺点:顺序查找效率慢,规则数增多时,转发效率下降;查找规则复杂度为o(N)(N为简单规则条数)等等。
发明内容
本发明通过一种改进防火墙安全规则组织的方法,提高防火墙安全规则处理速度和吞吐率。本发明的方法将上述传统参数在多维空间上表示,而行动可抽象成在多维空间上的函数映射。Action=f(x1,x2,…….,xn)其中x1,x2,….,xn为在多维空间上表示的自变量,action为函数值,用以表示一组特定的行动。空间模型方法和传统方法规则处理能力比较查找规则复杂度为o(logN)(N为简单规则条数)。本发明重新组织包过滤规则,形成一棵树;语义结构树把防火墙规则在多维空间中展开,使得总的规则查找计算量大幅下降,计算复杂度降为o(logN)。
附图说明
图1是一种典型的网络环境
图2是对根据本发明所形成的查找规则进行查找的方法的流程图
具体实施方式
下面结合具体实施例及相关附图对本发明进行详细描述。应用了多维空间模型的安全规则树的产生方法如下:1)用户输入安全策略步骤;2)对用户输入的安全规则进行空间划分、语法检查、语义分析的预处理步骤。3)对经过预处理的规则表进行编译、优化,生成安全策略语义结构树,并下装到核心中去的生成步骤。4)对按上述方法生成的防火墙安全策略进行查询的步骤。图1中的网络环境是配置了cygergate2.0的一个典型网络应用环境,内部网用户可以访问DMZ区的dns服务、www服务,可以访问internet;internet上的用户可以访问DMZ区提供的服务。在防火墙主机上对外部网有三个合法的IP地址,分别是用于用户对外访问的159.226.232.254,用于域名服务的159.226.232.73和用作web服务的159.226.232.116,对内部网和DMZ各有一个局部IP地址,分别是172.16.1.222(内部网),172.16.9.222(DMZ)。一般情况下,图1的示例中允许以下几种访问:
1.外部网访问DMZ的服务器,具体为Internet的用户可以访问websrv提供的http服务;
2.内部网用户访问外部网,具体为内部网的普通用户可以访问Internet提供的某些服务,
3.通常我们并不使用IP地址直接访问,所以允许内部网访问DMZ的dnssrv提供的域名服务,也允许dnssrv和外部网的域名服务器互相访问。
下面叙述在这样的网络环境下,怎样实施eygergate2.0防火墙的安全规则多维空间模型。首先,用户输入安全规则:防火墙在进行包过滤之前,用户首先对防火墙进行配置,内容包括网络对象,网口对象,规则表的输入。网络对象是构成访问控制规则的最基本元素。我们给一段ip,或者单个ip起个名字,便于用户记忆。例如服务器、普通主机、网段等。防火墙就是根据这些最基本的元素,作为源或者目的来构成访问控制的规则。可参见下图。
名称 | 接口 | 最小IP | 最大IP |
net1 | qfe0 | 1.0.0.1 | 9.255.255.254 |
net2 | qfe0 | 11.0.0.1 | 126.255.255.254 |
net3 | qfe0 | 128.0.0.1 | 172.15.255.254 |
net4 | qfe0 | 172.32.0.1 | 192.167.255.254 |
net5 | qfe0 | 192.169.0.1 | 223.255.255.254 |
名称 | 网络地址转换 | 转换后IP | 接口 | 服务器IP地址 |
websrv | 静态目的模式 | 172.16.9.94 | Qfe2 | 159.226.252.116 |
名称 | 网络地址转换 | 转换后IP | 接口 | 服务器IP地址 |
Dnssrv | 静态目的模式 | 172.16.9.95 | qfe2 | 159.226.232.73 |
网口对象的配置是让用户设定防火墙上的接口的信息,主要包括搜索防火墙的所有网卡信息,设置防火墙的内部网卡,外部网卡。可参见下图。
序号 | 接口名称 | IP地址 | 位置 | 网关名 |
1 | qfe0 | 159.226.232.254 | 外部 | gate |
2 | qfe1 | 172.16.1.222 | 内部 | gate |
3 | qfe2 | 172.16.9.222 | 内部 | gate |
规则表,规则表就是用户制定的访问控制规则的集合。可参见下图。
第一条规则:
源地址 | 目的地址 | 服务 | 动作 |
Net1Net2Net3Net4Net5 | websrv | http | Accept |
根据用户的输入生成如下数据库:
(1)网络对象管理数据库、(2)网口对象管理数据库、(3)规则表数
据库
接着进行空间划分,它们将服务的端口号以及网络对象的IP地址划分成没有交集的区域,存放在数据库里,经过空间划分后,网络对象和服务已经被划分成互不相连的小块,它们存放在数据库中供下装函数使用。空间划分的作用是为语法检查、语义分析做准备,尽量减少语法错误、语义冲突、并且使编译过程简单化。
用户输入控制规则时按照人的习惯,输入的规则会有重复,矛盾的现象,输入模块把用户输入的规则进行预处理,得到一个语法上无错误、语义上不矛盾的规则集合。因此,要进行语法语义检查,即规则预处理步骤。检查是否出现下列情况:
1.对规则的构成元素的检查:包括源和目的不能相同;规则必须含有源、目的、服务;
2.对多条规则之间的关系的检查:包括规则之间有语义冲突,则以排在规则表前头的规则具有优先权的原则处理
3.检查避免无效规则的出现:包括内部无效地址不经网络地址转换不能访问外部。
4.检查以使网络对象与实际的网络接口、网络地址、转换模式相符:包括同一条规则内的源或目的应该具有相同的接口、网络地址、转换模式。
每条规则要进入数据库必须经过这么多检查,当规则经过检测后就可以正确的输入进入数据库了。
若没有出现上述问题,则进入编译步骤,生成规则树,所述的规则树在结构上共有三级:Snet、Dnet、Port。规则树的作用是使包过滤模块在逐级查完规则树的三级结构后将得到应触发的行动类型的信息。生成规则树的语义分析具体步骤:
1.从规则表数据库中检索出所有的id∈行动编号的规则,将这些规则中的Snet节点生成一个Snet链表,链表中的每个节点都含有id、规则编号、网络对象编号信息。
2.同理,从规则表数据库中检索出所有id∈行动编号的所有规则的Dnet节点,生成一个Dnet链表,链表中的每个节点都含有id、规则编号、网络对象编号信息。
3.同理,从规则表数据库中检索出所有id∈行动编号的所有规则的服务节点,生成一个服务链表,链表中的每个节点都含有id、规则编号信息。
4.从Snet链表的第一个节点开始,生成其Dnet链表,再生成其Dnet链表中的第一个节点的服务链表,并将此服务链表生成平衡二叉树树,连在Dnet节点上。则第一个Snet节点的第一个Dnet节点的树已生成。
5.依次,再生成第一个Snet节点的第二个Dnet节点的树,直至第一个Snet节点的最后一个Dnet节点的服务树生成,这时可将第一个Snet节点的Dnet树生成,连在这第一个Snet节点上。
6.类似于步骤4、5,接着处理第二个Snet节点。直至Snet链表中所有Snet链表均处理完毕,则将此Snet链表生成平衡二叉树树。由此规则树的三级结构已完成。只需将每一个服务节点的规则表查询结果中加载网络地址转换信息。
7.网络地址转换分析。可具体分成如下步骤:
(a)在整个规则树的结构已全部生成后,遍历树中每一个Snet节点,对每一个Snet节点依次处理加载网络地址转换信息。具体如下:
读出每一个Snet的网络对象id(即网络对象编号),在网络对象数据库中根据网络对象编号进行逐次查找,将得出所对应的几项信息:有效ip、网卡编号、网络地址转换模式、网络地址转换后的ip、Ipsrc。
(b)如果读出的一个网络对象编号对应的有效ip=1,即此Ipsrc为合法地址,则不需经过网络地址转换。
这时置该节点的网络地址转换模式=0/*0:needn’t网络地址转换*/;
再根据网卡编号在网口对象管理表中查到相应的NIC;
将这些NIC、网络地址转换模式、Ipsrc信息封装,遍历此Snet节点下的每一个Dnet的每一个服务节点,将每一个服务节点上已加载的Action信息连同以上的NIC、网络地址转换模式、Ipsrc信息,一同封装于fg_RuleResult中,仍加载于每一个服务节点上。
(c)如果读出的一个网络对象编号对应的有效ip=0,即此Ipsrc为局部地址,读取其网络地址转换模式,这时网络地址转换模式的值有两种可能1:hide(隐藏模式);2:static src(静态源模式);记录网络地址转换后的ip(目前对于Hide模式的网络地址转换,转换后都只对应一个合法IP),置IpAddr=网络地址转换后的ip;置网络地址转换模式=hide;记录NIC;记录此Snet的Ipsrc。
(d)接着遍历此Snet节点下的每一个Dnet节点,读出每一个Dnet节点对应的网络对象编号。读出一个网络对象编号对应的有效ip,
当有效ip=0,则对连在此Snet节点下的此Dnet节点的下一级服务节点进行遍历,在每一个服务节点的规则表查询结果中将置其网络地址转换模式=0(no网络地址转换);将其NIC置为网络对象编号的NIC,
若有效ip=1(Ipdst为合法地址),根据这个网络对象编号的值查出其有效ip和网络地址转换模式,记录网络地址转换模式,则在网口对象管理表中继续查出其NIC和location,记录NIC,
(1)若location=0(此Ipdst绑定在内部网口上),则查看已记录的Dnet节点的网络地址转换模式,(a)若网络地址转换模式=0(no网络地址转换)意味着此Ipdst是放在内部的合法IP,不需转换,则置其网络地址转换模式=0(no网络地址转换);置其NIC为已记录的Snet的NIC;封装。(b)若网络地址转换模式=3(static dst),此Ipdst是放在内部网口的DMZ,要按静态目的来转换,则置其网络地址转换模式=3;置其NIC为此Dnet节点的NIC。封装。
(2)若location=1(此Ipdst绑定在外部网口上),则查看在步步骤c中已记录的NIC、网络地址转换模式、IpAddr,封装。
(e)遍历此Dnet节点下每一个服务节点,并将已封装好的信息加载在每一个服务节点的规则表查询结果中。
下面对接和附图2详细描述规则树的查找过程。规则树的查找比较简单,在过滤数据包时,从数据包中提取包头信息(ip源地址,ip目的地址,源端口,目的端口),以ip源地址在规则树中查找,最终会得到一个指针,以次为根节点,在子树空间中继续查找ip目的地址;同理,继续查目的端口,最后得到一个规则树查询结果,据此,包过滤模块可采取相应的行动。
本发明可以在许多计算机或计算机组的大量不同操作***下运行。本发明阐述的是在防火墙***上组织过滤规则,从而提高查找速度的一种改进的通用的模型,对于依此模型在不同硬件平台上的实现,以及以此模型为基础对此模型进行的进一步的扩充,都属本发明的权益范围之内。例如,此种方法在windows平台,各种unix平台,包括solaris,linux,平台上的实现,或者在不同硬件平台上的实现如pc机,sparc机。或者对本方法的一些扩充,如规则中对用户,组的概念的支持、对认证的支持、对审计的支持、记费的支持、对加密的支持、对vpn的支持。以及对以此发明为基础建立起来的防火墙***上的管理界面所作的修改;以及对规则树本身某些方面所作的一些修改。都包含有本发明的权益。
Claims (9)
1.一种改进防火墙性能的方法,包括步骤:
1)由用户输入安全策略步骤;
2)对用户输入的安全规则进行空间划分、语法检查、语义分析的预处理步骤;
3)对经过预处理的规则表进行编译、优化,生成相应的安全策略语义结构树,并下装到核心中去的步骤;
4)对按上述方法生成的防火墙安全策略按照二叉树查找方法进行查询的步骤。
2.如权利要求1所述的改进防火墙性能的方法,其中步骤2)还进一步包括对规则中的的地址进行空间划分的步骤;
3.如权利要求1所述的改进防火墙安全性能的方法,其中步骤2)还进一步包括生成网络对象管理数据库、网口对象管理数据库、规则表数据库的过程;
4.如权利要求1所述的改进防火墙性能的方法,其中步骤2)还进一步包括对规则的构成元素的检查。
5.如权利要求1所述的改进防火墙安全性能的方法,其中步骤2)还进一步包括对多条规则之间的关系的检查。
6.如权利要求1所述的改进防火墙安全性能的方法,其中步骤2)还进一步包括检查避免无效规则的出现。
7.如权利要求1所述的改进防火墙安全性能的方法,其中步骤2)还进一步包括检查以使网络对象与实际的网络接口、网络地址、转换模式相符。
8.如权利要求1所述的改进防火墙安全性能的方法,其中步骤3)还进一步包括如下步骤:
(1)从规则表数据库中检索出所有的id∈行动编号的规则,将这些规则中的Snet节点生成一个Snet链表,链表中的每个节点都含有id、规则编号、网络对象编号信息;
(2)同理,从规则表数据库中检索出所有id∈行动编号的所有规则的Dnet节点,生成一个Dnet链表,链表中的每个节点都含有id、规则编号、网络对象编号信息;
(3)同理,从规则表数据库中检索出所有id∈行动编号的所有规则的服务节点,生成一个服务链表,链表中的每个节点都含有id、规则编号信息;
(4)从Snet链表的第一个节点开始,生成其Dnet链表,再生成其Dnet链表中的第一个节点的服务链表,并将此服务链表生成平衡二叉树树,连在Dnet节点上;则第一个Snet节点的第一个Dnet节点的树已生成;
(5)依次,再生成第一个Snet节点的第二个Dnet节点的树,直至第一个Snet节点的最后一个Dnet节点的服务树生成,这时可将第一个Snet节点的Dnet树生成,连在这第一个Snet节点上;
(6)类似于步骤4、5,接着处理第二个Snet节点;直至Snet链表中所有Snet链表均处理完毕,则将此Snet链表生成平衡二叉树树;由此规则树的三级结构已完成;只需将每一个服务节点的规则表查询结果中加载网络地址转换信息;
(7)网络地址转换分析;
9.如权利要求8所述的改进防火墙安全性能的方法,其中步骤(7)还进一步包括如下步骤:
(a)在整个规则树的结构已全部生成后,遍历树中每一个Snet节点,对每一个Snet节点依次处理加载网络地址转换信息,具体如下:读出每一个Snet的网络对象id(即网络对象编号),在网络对象数据库中根据网络对象编号进行逐次查找,将得出所对应的几项信息:有效ip、网卡编号、网络地址转换模式、网络地址转换后的ip、Ipsrc;
(b)如果读出的一个网络对象编号对应的有效ip=1,即此Ipsrc为合法地址,则不需经过网络地址转换;
这时置该节点的网络地址转换模式=0/*0:needn’t网络地址转换*/;
再根据网卡编号在网口对象管理表中查到相应的NIC;
将这些NIC、网络地址转换模式、Ipsrc信息封装,遍历此Snet节点下的每一个Dnet的每一个服务节点,将每一个服务节点上已加载的Action信息连同以上的NIC、网络地址转换模式、Ipsrc信息,一同封装于fg RuleResult中,仍加载于每一个服务节点上;
(e)如果读出的一个网络对象编号对应的有效ip=0,即此Ipsrc为局部地址,读取其网络地址转换模式,这时网络地址转换模式的值有两种可能1:hide(隐藏模式);2:static src(静态源模式);记录网络地址转换后的ip(目前对于Hide模式的网络地址转换,转换后都只对应一个合法IP),置IpAddr=网络地址转换后的ip;置网络地址转换模式=hide;记录NIC;记录此Snet的Ipsrc;
(d)接着遍历此Snet节点下的每一个Dnet节点,读出每一个Dnet节点对应的网络对象编号;读出一个网络对象编号对应的有效ip,当有效ip=0,则对连在此Snet节点下的此Dnet节点的下一级服务节点进行遍历,在每一个服务节点的规则表查询结果中将置其网络地址转换模式=0(no网络地址转换);将其NIC置为网络对象编号的NIC,若有效ip=1(Ipdst为合法地址),根据这个网络对象编号的值查出其有效ip和网络地址转换模式,记录网络地址转换模式,则在网口对象管理表中继续查出其NIC和location,记录NIC,
(1)若location=0(此Ipdst绑定在内部网口上),则查看已记录的Dnet节点的网络地址转换模式,(a)若网络地址转换模式=0(no网络地址转换)意味着此Ipdst是放在内部的合法IP,不需转换,则置其网络地址转换模式=0(no网络地址转换);置其NIC为已记录的Snet的NIC;封装;(b)若网络地址转换模式=3(static dst),此Ipdst是放在内部网口的DMZ,要按静态目的来转换,则置其网络地址转换模式=3;置其NIC为此Dnet节点的NIC,封装;
(2)若location=1(此Ipdst绑定在外部网口上),则查看在步步骤c中已记录的NIC、网络地址转换模式、IpAddr,封装;
(e)遍历此Dnet节点下每一个服务节点,并将已封装好的信息加载在每一个服务节点的规则表查询结果中。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 02104228 CN1232922C (zh) | 2002-02-20 | 2002-02-20 | 一种改进防火墙性能的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 02104228 CN1232922C (zh) | 2002-02-20 | 2002-02-20 | 一种改进防火墙性能的方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN1439985A true CN1439985A (zh) | 2003-09-03 |
CN1232922C CN1232922C (zh) | 2005-12-21 |
Family
ID=27793058
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN 02104228 Expired - Fee Related CN1232922C (zh) | 2002-02-20 | 2002-02-20 | 一种改进防火墙性能的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN1232922C (zh) |
Cited By (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN100359889C (zh) * | 2004-10-29 | 2008-01-02 | 江苏南大苏富特软件股份有限公司 | 基于策略树的报文分组过滤及管理方法 |
CN100384143C (zh) * | 2004-08-24 | 2008-04-23 | 华为技术有限公司 | 一种网络交换设备检测恶意ip扫描的方法 |
CN100395997C (zh) * | 2005-07-12 | 2008-06-18 | 华为技术有限公司 | 一种保护接入用户安全的方法 |
CN1988447B (zh) * | 2006-12-22 | 2010-08-18 | 华为技术有限公司 | 通信网络业务处理方法和设备 |
CN1863193B (zh) * | 2005-05-10 | 2010-10-13 | 联想网御科技(北京)有限公司 | 实现网络安全装置安全策略的方法 |
CN101242260B (zh) * | 2007-02-08 | 2010-12-15 | 北京天融信网络安全技术有限公司 | 防火墙***自动修复方法 |
CN101036369B (zh) * | 2004-10-08 | 2011-02-23 | 国际商业机器公司 | 分组的脱机分析 |
CN102027714A (zh) * | 2008-05-16 | 2011-04-20 | 微软公司 | 基于目的地网络执行联网任务 |
CN101299683B (zh) * | 2008-06-25 | 2012-07-18 | 中兴通讯股份有限公司 | 一种离线数据的配置设备和方法 |
CN101330495B (zh) * | 2007-06-19 | 2012-07-25 | 瑞达信息安全产业股份有限公司 | 一种在计算机网络内实现非对等访问的控制方法和控制*** |
CN102833271A (zh) * | 2012-09-20 | 2012-12-19 | 桂林电子科技大学 | 虚拟专用网络中安全隐患的解决方法 |
CN106603524A (zh) * | 2016-12-09 | 2017-04-26 | 浙江宇视科技有限公司 | 一种安全规则的合并方法以及智能设备 |
CN109873799A (zh) * | 2017-12-04 | 2019-06-11 | 和硕联合科技股份有限公司 | 网络安全***及其方法 |
CN111464566A (zh) * | 2014-12-02 | 2020-07-28 | Nicira股份有限公司 | 上下文感知的分布式防火墙 |
CN111698110A (zh) * | 2019-03-14 | 2020-09-22 | 深信服科技股份有限公司 | 一种网络设备性能分析方法、***、设备及计算机介质 |
-
2002
- 2002-02-20 CN CN 02104228 patent/CN1232922C/zh not_active Expired - Fee Related
Cited By (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN100384143C (zh) * | 2004-08-24 | 2008-04-23 | 华为技术有限公司 | 一种网络交换设备检测恶意ip扫描的方法 |
CN101036369B (zh) * | 2004-10-08 | 2011-02-23 | 国际商业机器公司 | 分组的脱机分析 |
CN100359889C (zh) * | 2004-10-29 | 2008-01-02 | 江苏南大苏富特软件股份有限公司 | 基于策略树的报文分组过滤及管理方法 |
CN1863193B (zh) * | 2005-05-10 | 2010-10-13 | 联想网御科技(北京)有限公司 | 实现网络安全装置安全策略的方法 |
CN100395997C (zh) * | 2005-07-12 | 2008-06-18 | 华为技术有限公司 | 一种保护接入用户安全的方法 |
CN1988447B (zh) * | 2006-12-22 | 2010-08-18 | 华为技术有限公司 | 通信网络业务处理方法和设备 |
CN101242260B (zh) * | 2007-02-08 | 2010-12-15 | 北京天融信网络安全技术有限公司 | 防火墙***自动修复方法 |
CN101330495B (zh) * | 2007-06-19 | 2012-07-25 | 瑞达信息安全产业股份有限公司 | 一种在计算机网络内实现非对等访问的控制方法和控制*** |
CN102027714B (zh) * | 2008-05-16 | 2017-06-06 | 微软技术许可有限责任公司 | 基于目的地网络执行联网任务 |
CN102027714A (zh) * | 2008-05-16 | 2011-04-20 | 微软公司 | 基于目的地网络执行联网任务 |
CN101299683B (zh) * | 2008-06-25 | 2012-07-18 | 中兴通讯股份有限公司 | 一种离线数据的配置设备和方法 |
CN102833271B (zh) * | 2012-09-20 | 2014-11-26 | 桂林电子科技大学 | 虚拟专用网络中安全隐患的解决方法 |
CN102833271A (zh) * | 2012-09-20 | 2012-12-19 | 桂林电子科技大学 | 虚拟专用网络中安全隐患的解决方法 |
CN111464566A (zh) * | 2014-12-02 | 2020-07-28 | Nicira股份有限公司 | 上下文感知的分布式防火墙 |
CN106603524A (zh) * | 2016-12-09 | 2017-04-26 | 浙江宇视科技有限公司 | 一种安全规则的合并方法以及智能设备 |
CN109873799A (zh) * | 2017-12-04 | 2019-06-11 | 和硕联合科技股份有限公司 | 网络安全***及其方法 |
CN111698110A (zh) * | 2019-03-14 | 2020-09-22 | 深信服科技股份有限公司 | 一种网络设备性能分析方法、***、设备及计算机介质 |
CN111698110B (zh) * | 2019-03-14 | 2023-07-18 | 深信服科技股份有限公司 | 一种网络设备性能分析方法、***、设备及计算机介质 |
Also Published As
Publication number | Publication date |
---|---|
CN1232922C (zh) | 2005-12-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN1232922C (zh) | 一种改进防火墙性能的方法 | |
CN101639879B (zh) | 数据库安全监控方法、装置及其*** | |
CN103902653B (zh) | 一种构建数据仓库表血缘关系图的方法和装置 | |
Kwak et al. | Mining communities in networks: a solution for consistency and its evaluation | |
CN104243315A (zh) | 用于唯一枚举解析树中的路径的装置和方法 | |
CN102857493A (zh) | 内容过滤方法和装置 | |
CN106227668A (zh) | 数据处理方法和装置 | |
US11790016B2 (en) | Method, device and computer program for collecting data from multi-domain | |
KR20090064374A (ko) | 데이터 구조를 모듈형 유한 상태 변환기로 변환하는 방법, 컴퓨터 판독가능 매체, 변환 프레임워크, 및 컴파일러 | |
US9647947B2 (en) | Block mask register key processing by compiling data structures to traverse rules and creating a new rule set | |
CN105939269A (zh) | 基于网络地址转换规则的报文转换方法及装置 | |
CN107798106A (zh) | 一种分布式爬虫***中的url去重方法 | |
US7853591B1 (en) | Protection of database operations | |
Aldwairi et al. | n‐Grams exclusion and inclusion filter for intrusion detection in Internet of Energy big data systems | |
US20150032732A1 (en) | Classification engine for data packet classification | |
Hsieh et al. | Multiprefix trie: A new data structure for designing dynamic router-tables | |
Ma et al. | Graph simulation on large scale temporal graphs | |
US11847121B2 (en) | Compound predicate query statement transformation | |
Ye et al. | Converting service rules to semantic rules | |
De Sensi et al. | Dpi over commodity hardware: implementation of a scalable framework using fastflow | |
Nottingham | GPF: A framework for general packet classification on GPU co-processors | |
Ye | Identify the semantic meaning of service rules with natural language processing | |
Lucchesi et al. | High-performance IP lookup using Intel Xeon Phi: a Bloom filters based approach | |
Rezvani et al. | Analyzing and resolving anomalies in firewall security policies based on propositional logic | |
Zhang et al. | RETRACTED ARTICLE: Research on smart city service system based on adaptive algorithm |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
C17 | Cessation of patent right | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20051221 Termination date: 20110220 |