CN1604564A - 基于策略树的报文分组过滤及管理方法 - Google Patents
基于策略树的报文分组过滤及管理方法 Download PDFInfo
- Publication number
- CN1604564A CN1604564A CNA2004100651846A CN200410065184A CN1604564A CN 1604564 A CN1604564 A CN 1604564A CN A2004100651846 A CNA2004100651846 A CN A2004100651846A CN 200410065184 A CN200410065184 A CN 200410065184A CN 1604564 A CN1604564 A CN 1604564A
- Authority
- CN
- China
- Prior art keywords
- node
- strategy
- address
- packet
- policy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
一种基于策略树的报文分组过滤及管理方法,包括:首先对用户配置策略做策略树预编译;由预编译文件生成策略树内存映像;数据包预处理,得到网卡分区属性等信息;然后数据包注入策略树分析引擎,得到数据包下一步动作以及连接的相关属性。减少规则数量对查找性能的影响,高速完成防火墙对报文分组与过滤的方法。相对应提供给用户易于理解的树状策略配置方式,使用户对整个网络的安全策略配置情况有一个直观的了解,尽量避免由误操作带来的安全隐患。
Description
技术领域
本发明提供一种采用树形结构组织管理用户策略,并以策略树的生成和查找为核心,组织对报文进行分组与过滤的方法。
背景技术
报文过滤是防火墙的实现方式,报文过滤是在IP层实现的,因此,它可以只用路由器完成。报文过滤根据报文的源IP地址、目的IP地址、源端口、目的端口及报文传递方向等报头信息来判断是否允许报文通过。
报文过滤器的应用非常广泛,因为CPU用来处理报文过滤的时间可以忽略不计。而且这种防护措施对用户透明,合法用户在进出网络时,根本感觉不到它的存在,使用起来很方便。报文过滤另一个也是很关键的弱点是不能在用户级别上进行过滤,即不能识别不同的用户和防止IP地址的盗用。如果攻击者把自己主机的IP地址设成一个合法主机的IP地址,就可以很轻易地通过报文过滤器。
传统防火墙的用户安全策略以规则表的形式进行管理,对规则表进行诸如添加、删除条目等管理动作来完成安全策略的产生与修改。在防火墙过滤数据包时,防火墙把数据包中的各项参数与规则表中的各规则进行比对而产生下一步的处理动作,这种方法随着规则表中规则条数的大幅增加,首先用户对策略的管理会越来越困难,容易产生由策略误删除等的误操作,而带来的安全隐患,同时规则表查找性能会有显著下降,造成网络性能瓶颈。因此必须发展可以迅速分析报文的智能型报文过滤器。
发明内容
本发明的目的是提供一种以树型结构组织并查找策略,减少规则数量对查找性能的影响,高速完成防火墙对报文分组与过滤的方法。相对应提供给用户易于理解的树状策略配置方式,使用户对整个网络的安全策略配置情况有一个直观的了解,尽量避免由误操作带来的安全隐患。
本发明目的是这样实现的:基于策略树的报文分组过滤及管理方法,配置一个基于策略树的用户安全策略,它包括如下基本步骤:
步骤1:配置访问外网安全策略。
步骤2:配置访问内网的安全策略。
配置访问外网安全策略,上面步骤1可具体为:
步骤11:增加所要访问外网的服务节点,包括源端口目的端口及服务的应用类型。
步骤12:添加源地址允许列表。
步骤13:添加目的地址允许列表。
步骤14:添加时间策略信息。
步骤15:添加策略动作,或应用协议策略信息。
配置访问内网的安全策略,上面策略2可具体为:
步骤2-11:增加在内网的主机节点。主机节点可为ip地址或ip地址段。
步骤2-12:增加所要访问内网的服务节点,包括源端口目的端口及服务的应用类型。
步骤2-13:添加目的地址允许列表。
步骤2-14:添加时间策略信息。
步骤2-15:添加策略动作,或应用协议策略信息。
一种防火墙上基于策略树的报文分组过滤方法,它包括如下步骤:
步骤1:对用户配置策略做策略树预编译。
步骤2:由预编译文件生成策略树内存映像。
步骤3:数据包预处理。
步骤4:数据包注入策略树分析引擎。
步骤5:得到数据包下一步安全动作。
当对用户配置策略做策略树预编译,上面步骤1可以具体为:
步骤1-11:编译并产生访问外部的协议列表以及下面的服务。
步骤1-12:编译并产生访问外部的服务以下的策略。
步骤1-13:根据流量控制信息链表构造编译内部地址列表
步骤1-14:编译并产生内部保护地址段下的限制策略。
步骤1-15:编译并产生保护内部协议列表以及下面的服务和策略。
步骤1-16:编译并产生保护地址段以及地址段下相应的服务和策略。
步骤1-17:根据流量控制信息链表构造编译内部地址列表。
步骤1-18:编译应用协议策略。
步骤1-19:编译并产生策略树预编译文件。
由预编译文件形成策略树内存映像,上述步骤2可具体为:
步骤21:循环读编译文件。
步骤22:读文件判断文件下一步策略段的属性是访问内部区的策略还是访问外部区的策略。
如果文件元素标示为访问外部的策略,具体动作为:
步骤23:生成外部区策略根节点。
步骤24:如果在预编译策略文件中,策略元素为ip协议列表,则生成Ip协议号子节点,挂接在前一步产生的父节点下。
步骤25:如果在预编译策略文件中,策略元素为服务列表,则生成服务列表子节点,挂接在前一步产生的父节点下。
步骤26:如果在预编译策略文件中,策略元素为源Ip地址列表,则生成源Ip地址子节点,挂接在前一步产生的父节点下。
步骤27:如果在预编译策略文件中,策略元素为目的Ip地址列表,则生成目的Ip地址子节点,挂接在前一步产生的父节点下。
步骤28:如果在预编译策略文件中,策略元素为策略动作元素,则生成策略子节点,挂接在前一步产生的父节点下。
步骤29:如果在预编译策略文件中,策略元素为应用协议策略列表,则生成应用协议策略子节点,挂接在前一步产生的父节点下。
如果文件元素标示为访问内部的策略,具体动作为:
步骤23’:生成内部区策略根节点。
步骤24’:如果在预编译策略文件中,策略元素为内部地址列表,则生成内部地址子节点,挂接在前面产生的父节点下。
步骤25’:如果在预编译策略文件中,策略元素为源Ip地址列表,则生成源Ip地址子节点,挂接在前面产生的父节点下。
步骤26’:如果在预编译策略文件中,策略元素为Ip协议号地址列表,则生成Ip协议号子节点,挂接在前面产生的父节点下。
步骤27’:如果在预编译策略文件中,策略元素为服务列表,则生成服务列表子节点,挂接在前面产生的父节点下。
步骤28’:如果在预编译策略文件中,策略元素为策略动作元素,则生成策略子节点,挂接在前一步产生的父节点下。
步骤29:如果在预编译策略文件中,策略元素为应用协议策略列表,则生成应用协议策略子节点,挂接在前一步产生的父节点下。
数据包注入策略树分析引擎,上述步骤4可具体为:
步骤41:取数据包ip层及传输层头信息。
步骤42:根据数据包的来源网卡区域属性标示信息决定搜索节点为访问外部策略根节点还是访问内部策略根节点。如果此网卡未分配任何区域属性标示则直接返回拒绝动作,丢弃此数据包。
如果是访问节点为内部策略根节点,具体动作为:
步骤43:对于从外网卡接收到的数据包。从内部策略根节点开始搜索,首先查找根节点下的内部地址子节点,如果没有寻找到和数据包中目的地址相匹配的内部地址子节点,或者下一节点为空,则丢弃此数据包。
步骤44:如果下一节点为源Ip地址子节点,则用ip头中源ip地址比对源Ip列表子节点,如果没有寻找到和数据包中源ip地址相匹配的源ip地址子节点,或者下一节点为空,则丢弃此数据包。
步骤45:如果下一节点为Ip协议号子节点,用ip头中的协议号比对IP协议子节点,如果没有寻找到和数据包中ip协议号相匹配的ip协议子节点,或者下一节点为空,则丢弃此数据包。
步骤46:根据传输层协议头中协议信息查找服务列表子节,其中协议信息在tcp及udp数据包中为目的端口号。如果没有寻找到和数据包中协议信息相匹配的服务列表子节点,或者下一节点为空,则丢弃此数据包。
步骤47:如果下节点为动作子节点,比对时间策略,如果不在容许时间范围内返回拒绝动作。否则返回策略子节点默认动作。
步骤48:如果下一节点为应用协议策略,则构造相应的应用协议策略交由应用协议分析引擎作进一步处理。
步骤49:统计数据包动作信息,为判断拒绝服务攻击攻击提供参考依据。通过网卡区域属性及ip地址信息分析地址欺骗攻击。
如果是访问节点为外部策略根节点,具体动作为:
步骤43’:查找Ip协议号子节点,用ip头中的协议号比对IP协议子节点,如果没有寻找到和数据包中ip协议号相匹配的ip协议子节点,或者下一节点为空,则丢弃此数据包。
步骤44’:根据传输层协议头中协议信息查找服务列表子节,其中协议信息在tcp及udp数据包中为目的端口号。如果没有寻找到和数据包中协议信息相匹配的服务列表子节点,或者下一节点为空,则丢弃此数据包。
步骤45’:如果下一节点为源Ip地址子节点,则用ip头中源ip地址比对源Ip列表子节点,如果没有寻找到和数据包中源ip地址相匹配的源ip地址子节点,或者下一节点为空,则丢弃此数据包。
步骤46’:如果下一节点为目的Ip地址子节点,则用ip头中目的ip地址比对目的Ip列表子节点,如果没有寻找到和数据包中源目的p地址相匹配的目的ip地址子节点,或者下一节点为空,则丢弃此数据包。
步骤47’:如果下节点为动作子节点,比对时间策略,如果不在容许时间范围内返回拒绝动作。否则返回策略子节点默认动作。
步骤48’:如果下一节点为应用协议策略,则构造相应的应用协议策略交由应用协议分析引擎作进一步处理。
步骤49’:统计数据包动作信息,为判断拒绝服务攻击提供参考依据。通过网卡区域属性及ip地址信息分析地址欺骗攻击。
综上所述,本发明提供一种采用树形结构组织管理用户策略,并以策略树的生成和查找为核心,组织对报文进行分组与过滤的方法。提高了数据包分组和过滤的处理效率。并提供了接近网络拓扑结构的安全策略配置方法,清晰直观的反应了网络整体的安全需求状况,为更有效的实施网络的安全管理提供帮助。
以下结合附图和具体实施实例对本发明做进一步的详细说明。
附图说明:
图1为策略树查找工作流程图
图2为简单策略树构造示意图
具体实施方式:
本发明在防火墙设备中应用为策略分析引擎模块,该模块完成对数据包的策略查找,返回数据包下一步安全动作及在后续动作中该数据包所应具备的属性信息。
从缓冲区取到数据包,经过基本安全处理后,判断数据包是否是一个会话连接的第一个数据包,如果是不是第一个数据包,说明此会话已经做过策略查找工作,相应信息应已记录在状态表项中,则交由状态表处理模块对数据包进行处理。否则进入策略分析引擎模块。处理步骤如图1所示。
具体处理步骤为:
步骤41:取数据包ip层及传输层头信息。
步骤42:根据数据包的来源网卡区域属性标示信息决定搜索节点为访问外部策略根节点还是访问内部策略根节点。如果此网卡未分配任何区域属性标示则直接返回拒绝动作,丢弃此数据包。
如果是访问节点为内部策略根节点,具体动作为:
步骤43:对于从外网卡接收到的数据包。从内部策略根节点开始搜索,首先查找根节点下的内部地址子节点,如果没有寻找到和数据包中目的地址相匹配的内部地址子节点,或者下一节点为空,则丢弃此数据包。
步骤44:如果下一节点为源Ip地址子节点,则用ip头中源ip地址比对源Ip列表子节点,如果没有寻找到和数据包中源ip地址相匹配的源ip地址子节点,或者下一节点为空,则丢弃此数据包。
步骤45:如果下一节点为Ip协议号子节点,用ip头中的协议号比对IP协议子节点,如果没有寻找到和数据包中ip协议号相匹配的ip协议子节点,或者下一节点为空,则丢弃此数据包。
步骤46:根据传输层协议头中协议信息查找服务列表子节,其中协议信息在tcp及udp数据包中为目的端口号。如果没有寻找到和数据包中协议信息相匹配的服务列表子节点,或者下一节点为空,则丢弃此数据包。
步骤47:如果下节点为动作子节点,比对时间策略,如果不在容许时间范围内返回拒绝动作。否则返回策略子节点默认动作。
步骤48:如果下一节点为应用协议策略,则构造相应的应用协议策略交由应用协议分析引擎作进一步处理。
步骤49:统计数据包动作信息,为拒绝服务攻击攻击提供参考。通过网卡区域属性及ip地址信息分析地址欺骗攻击。
如果是访问节点为外部策略根节点,具体动作为:
步骤43’:查找Ip协议号子节点,用ip头中的协议号比对IP协议子节点,如果没有寻找到和数据包中ip协议号相匹配的ip协议子节点,或者下一节点为空,则丢弃此数据包。
步骤44’:根据传输层协议头中协议信息查找服务列表子节,其中协议信息在tcp及udp数据包中为目的端口号。如果没有寻找到和数据包中协议信息相匹配的服务列表子节点,或者下一节点为空,则丢弃此数据包。
步骤45’:如果下一节点为源Ip地址子节点,则用ip头中源ip地址比对源Ip列表子节点,如果没有寻找到和数据包中源ip地址相匹配的源ip地址子节点,或者下一节点为空,则丢弃此数据包。
步骤46’:如果下一节点为目的Ip地址子节点,则用ip头中目的ip地址比对目的Ip列表子节点,如果没有寻找到和数据包中源目的ip地址相匹配的目的ip地址子节点,或者下一节点为空,则丢弃此数据包。
步骤47’:如果下节点为动作子节点,比对时间策略,如果不在容许时间范围内返回拒绝动作。否则返回策略子节点默认动作。
步骤48’:如果下一节点为应用协议策略,则构造相应的应用协议策略交由应用协议分析引擎作进一步处理。
步骤49’:统计数据包动作信息,为拒绝服务攻击提供参考依据。通过网卡区域属性及ip地址信息分析地址欺骗攻击。
如果策略返回拒绝动作,防火墙丢弃此数据包。如果返回接受,防火墙把返回的数据包的各项信息注入状态表处理模块,对会话连接进行跟踪。
本发明解决了大型网络环境下,在防火墙上配置众多安全策略,而造成的防火墙性能瓶颈。在另一个方面,直观表现用户网络的***署状况,方便了用户对安全策略的管理,从某种角度上来说,提高了防火墙的安全性。
Claims (6)
1、一种基于策略树的报文分组过滤及管理方法,其特征在于它至少包括:
步骤1:对用户配置策略做策略树预编译;
步骤2:由预编译文件生成策略树内存映像;
步骤3:数据包预处理;
步骤4:数据包注入策略树分析引擎;
步骤5:得到数据包下一步安全动作。
2、根据权利要求1所述的一种基于策略树的报文分组过滤及管理方法;包括配置树形用户策略,其特征在于:
步骤1:配置访问外网安全策略;
步骤2:配置访问内网的安全策略;
配置访问外网安全策略,上面步骤1可具体为:
步骤11:增加所要访问外网的服务节点,包括源端口目的端口及服务应用类型;
步骤12:添加源地址允许列表;
步骤13:添加目的地址允许列表;
步骤14:添加时间策略信息;
步骤15:添加策略动作,或应用协议策略信息;
配置访问内网的安全策略,上面策略2可具体为:
步骤11:增加在内网的主机节点。主机节点可为ip地址或ip地址段;
步骤12:增加所要访问内网的服务节点,包括源端口目的端口及服务应用类型;
步骤13:添加目的地址允许列表;
步骤14:添加时间策略信息;
步骤15:添加策略动作,或应用协议策略信息。
3、根据权利要求1所述的一种基于策略树的报文分组过滤及管理方法;其特征在于:
步骤11:编译并产生访问外部的协议列表以及下面的服务;
步骤12:编译并产生访问外部的服务以下的策略;
步骤13:根据流量控制信息链表构造编译内部地址列表;
步骤14:编译并产生内部保护地址段下的限制策略;
步骤15:编译并产生保护内部协议列表以及下面的服务和策略;
步骤16:编译并产生保护地址段以及地址段下相应的服务和策略;
步骤17:根据流量控制信息链表构造编译内部地址列表;
步骤18:编译应用协议策略;
步骤19:编译并产生策略树预编译文件。
4、根据权利要求1所述的一种基于策略树的报文分组过滤及管理方法;其特征在于:
步骤21:循环读编译文件;
步骤22:读文件判断文件下一步策略段的属性是访问内部区的策略还是访问外部区的策略;
如果文件元素标示为访问外部的策略,具体动作为:
步骤23:生成外部区策略根节点;
步骤24:如果在预编译策略文件中,策略元素为ip协议列表,则生成Ip协议号子节点,挂接在前一步产生的父节点下;
步骤25:如果在预编译策略文件中,策略元素为服务列表,则生成服务列表子节点,挂接在前一步产生的父节点下;
步骤26:如果在预编译策略文件中,策略元素为源Ip地址列表,则生成源Ip地址子节点,挂接在前一步产生的父节点下;
步骤27:如果在预编译策略文件中,策略元素为目的Ip地址列表,则生成目的Ip地址子节点,挂接在前一步产生的父节点下;
步骤28:如果在预编译策略文件中,策略元素为策略动作元素,则生成策略子节点,挂接在前一步产生的父节点下;
步骤29:如果在预编译策略文件中,策略元素为应用协议策略列表,则生成应用协议策略子节点,挂接在前一步产生的父节点下;
如果文件元素标示为访问内部的策略,具体动作为:
步骤23’:生成内部区策略根节点;
步骤24’:如果在预编译策略文件中,策略元素为内部地址列表,则生成内部地址子节点,挂接在前面产生的父节点下;
步骤25’:如果在预编译策略文件中,策略元素为源Ip地址列表,则生成源Ip地址子节点,挂接在前面产生的父节点下;
步骤26’:如果在预编译策略文件中,策略元素为Ip协议号地址列表,则生成Ip协议号子节点,挂接在前面产生的父节点下;
步骤27’:如果在预编译策略文件中,策略元素为服务列表,则生成服务列表子节点,挂接在前面产生的父节点下;
步骤28’:如果在预编译策略文件中,策略元素为策略动作元素,则生成策略子节点,挂接在前一步产生的父节点下;
步骤29:如果在预编译策略文件中,策略元素为应用协议策略列表,则生成应用协议策略子节点,挂接在前一步产生的父节点下。
5、根据权利要求1所述的一种基于策略树的报文分组过滤及管理方法;其特征在于:
步骤41:取数据包ip层及传输层头信息;
步骤42:根据数据包的来源网卡区域属性标示信息决定搜索节点为访问外部策略根节点还是访问内部策略根节点。如果此网卡未分配任何区域属性标示则直接返回拒绝动作,丢弃此数据包;
如果是访问节点为内部策略根节点,具体动作为:
步骤43:对于从外网卡接收到的数据包。从内部策略根节点开始搜索,首先查找根节点下的内部地址子节点,如果没有寻找到和数据包中目的地址相匹配的内部地址子节点,或者下一节点为空,则丢弃此数据包;
步骤44:如果下一节点为源Ip地址子节点,则用ip头中源ip地址比对源Ip列表子节点,如果没有寻找到和数据包中源ip地址相匹配的源ip地址子节点,或者下一节点为空,则丢弃此数据包;
步骤45:如果下一节点为Ip协议号子节点,用ip头中的协议号比对IP协议子节点,如果没有寻找到和数据包中ip协议号相匹配的ip协议子节点,或者下一节点为空,则丢弃此数据包;
步骤46:根据传输层协议头中协议信息查找服务列表子节,其中协议信息在tcp及udp数据包中为目的端口号。如果没有寻找到和数据包中协议信息相匹配的服务列表子节点,或者下一节点为空,则丢弃此数据包;
步骤47:如果下节点为动作子节点,比对时间策略,如果不在容许时间范围内返回拒绝动作。否则返回策略子节点默认动作;
步骤48:如果下一节点为应用协议策略,则构造相应的应用协议策略交由应用协议分析引擎作进一步处理;
步骤49:统计数据包动作信息,为拒绝服务攻击攻击提供参考。通过网卡区域属性及ip地址信息分析地址欺骗攻击;
如果是访问节点为外部策略根节点,具体动作为:
步骤43’:查找Ip协议号子节点,用ip头中的协议号比对IP协议子节点,如果没有寻找到和数据包中ip协议号相匹配的ip协议子节点,或者下一节点为空,则丢弃此数据包;
步骤44’:根据传输层协议头中协议信息查找服务列表子节,其中协议信息在tcp及udp数据包中为目的端口号。如果没有寻找到和数据包中协议信息相匹配的服务列表子节点,或者下一节点为空,则丢弃此数据包;
步骤45’:如果下一节点为源Ip地址子节点,则用ip头中源ip地址比对源Ip列表子节点,如果没有寻找到和数据包中源ip地址相匹配的源ip地址子节点,或者下一节点为空,则丢弃此数据包;
步骤46’:如果下一节点为目的Ip地址子节点,则用ip头中目的ip地址比对目的Ip列表子节点,如果没有寻找到和数据包中源目的p地址相匹配的目的ip地址子节点,或者下一节点为空,则丢弃此数据包;
步骤47’:如果下节点为动作子节点,比对时间策略,如果不在容许时间范围内返回拒绝动作。否则返回策略子节点默认动作;
步骤48’:如果下一节点为应用协议策略,则构造相应的应用协议策略交由应用协议分析引擎作进一步处理;
步骤49’:统计数据包动作信息,为拒绝服务攻击攻击提供参考。通过网卡区域属性及ip地址信息分析地址欺骗攻击。
6、根据权利要求5所述的一种基于策略树的报文分组过滤及管理方法;其特征在于其所至少可以统计拒绝服务攻击、地址欺骗攻击的相关信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2004100651846A CN100359889C (zh) | 2004-10-29 | 2004-10-29 | 基于策略树的报文分组过滤及管理方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2004100651846A CN100359889C (zh) | 2004-10-29 | 2004-10-29 | 基于策略树的报文分组过滤及管理方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1604564A true CN1604564A (zh) | 2005-04-06 |
| CN100359889C CN100359889C (zh) | 2008-01-02 |
Family
ID=34666468
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2004100651846A Expired - Fee Related CN100359889C (zh) | 2004-10-29 | 2004-10-29 | 基于策略树的报文分组过滤及管理方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100359889C (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1881950B (zh) * | 2005-05-26 | 2010-12-15 | 阿尔卡特公司 | 使用频谱分析的分组分类加速 |
| CN101401466B (zh) * | 2005-11-10 | 2012-04-25 | 安全计算公司 | 基于内容的策略遵从***和方法 |
| CN106549793A (zh) * | 2015-09-23 | 2017-03-29 | 华为技术有限公司 | 流量控制方法及设备 |
| CN108628879A (zh) * | 2017-03-19 | 2018-10-09 | 上海格尔安全科技有限公司 | 一种带优先级策略的访问控制构造的检索方法 |
| CN111464566A (zh) * | 2014-12-02 | 2020-07-28 | Nicira股份有限公司 | 上下文感知的分布式防火墙 |
| CN112738114A (zh) * | 2020-12-31 | 2021-04-30 | 四川新网银行股份有限公司 | 一种网络安全策略的配置方法 |
| CN116132187A (zh) * | 2023-02-23 | 2023-05-16 | 北京京航计算通讯研究所 | 一种数据包过滤方法及*** |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6529897B1 (en) * | 2000-03-31 | 2003-03-04 | International Business Machines Corporation | Method and system for testing filter rules using caching and a tree structure |
| US20030123456A1 (en) * | 2001-12-28 | 2003-07-03 | Denz Peter R. | Methods and system for data packet filtering using tree-like hierarchy |
| CN1232922C (zh) * | 2002-02-20 | 2005-12-21 | 华北计算机***工程研究所 | 一种改进防火墙性能的方法 |
| JP2004172917A (ja) * | 2002-11-20 | 2004-06-17 | Nec Corp | パケット検索装置及びそれに用いるパケット処理検索方法並びにそのプログラム |
-
2004
- 2004-10-29 CN CNB2004100651846A patent/CN100359889C/zh not_active Expired - Fee Related
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1881950B (zh) * | 2005-05-26 | 2010-12-15 | 阿尔卡特公司 | 使用频谱分析的分组分类加速 |
| CN101401466B (zh) * | 2005-11-10 | 2012-04-25 | 安全计算公司 | 基于内容的策略遵从***和方法 |
| CN111464566A (zh) * | 2014-12-02 | 2020-07-28 | Nicira股份有限公司 | 上下文感知的分布式防火墙 |
| CN111464566B (zh) * | 2014-12-02 | 2022-07-22 | Nicira股份有限公司 | 介质、设备、***和用于网络管理器计算机的方法 |
| CN106549793A (zh) * | 2015-09-23 | 2017-03-29 | 华为技术有限公司 | 流量控制方法及设备 |
| CN106549793B (zh) * | 2015-09-23 | 2020-08-07 | 华为技术有限公司 | 流量控制方法及设备 |
| US10742685B2 (en) | 2015-09-23 | 2020-08-11 | Huawei Technologies Co., Ltd. | Flow control method and device |
| CN108628879A (zh) * | 2017-03-19 | 2018-10-09 | 上海格尔安全科技有限公司 | 一种带优先级策略的访问控制构造的检索方法 |
| CN108628879B (zh) * | 2017-03-19 | 2023-04-07 | 上海格尔安全科技有限公司 | 一种带优先级策略的访问控制构造的检索方法 |
| CN112738114A (zh) * | 2020-12-31 | 2021-04-30 | 四川新网银行股份有限公司 | 一种网络安全策略的配置方法 |
| CN116132187A (zh) * | 2023-02-23 | 2023-05-16 | 北京京航计算通讯研究所 | 一种数据包过滤方法及*** |
| CN116132187B (zh) * | 2023-02-23 | 2024-05-14 | 北京京航计算通讯研究所 | 一种数据包过滤方法及*** |
Also Published As
| Publication number | Publication date |
|---|---|
| CN100359889C (zh) | 2008-01-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101060493A (zh) | 一种私网内用户通过域名访问私网内服务器的方法 | |
| CN101079798A (zh) | 网络地址转换方法及实现访问控制列表的方法 | |
| CN1764193A (zh) | 一种快速更新地址解析协议的方法 | |
| CN101035131A (zh) | 协议识别方法及装置 | |
| CN1620010A (zh) | Vlan服务器 | |
| CN1838636A (zh) | 用于使数据包穿越网络地址转换装置的方法和装置 | |
| CN1574790A (zh) | 用于控制数据包传输并产生记账数据的方法和装置 | |
| CN1874218A (zh) | 一种许可证管理方法、***及装置 | |
| CN1909553A (zh) | 信息处理设备、通信控制方法和通信控制程序 | |
| CN1604564A (zh) | 基于策略树的报文分组过滤及管理方法 | |
| CN1731740A (zh) | 网络设备的管理方法及网络管理*** | |
| CN1516386A (zh) | 网络通信安全处理器及其数据处理方法 | |
| CN1905528A (zh) | 基于虚拟局域网的数据发送方法与装置 | |
| CN101075239A (zh) | 一种复合搜索方法和*** | |
| CN101056191A (zh) | Gpon***中的组播处理方法 | |
| CN101039253A (zh) | 一种实现三重内容可寻址存储器范围匹配的前缀扩展方法 | |
| CN1946053A (zh) | 一种运营商以太网与客户网络之间的数据传输方法和*** | |
| CN1925402A (zh) | iSCSI鉴权方法、其发起设备和目标设备及鉴权方法 | |
| CN1874358A (zh) | 一种互联网地址配置管理的方法和*** | |
| CN1647486A (zh) | 数据过滤器管理装置 | |
| CN1545285A (zh) | 访问控制列表和安全策略数据库的方法 | |
| CN100337222C (zh) | 一种防火墙***及其访问限制方法 | |
| CN1314293C (zh) | 一种用于消息中心智能监控的***和方法 | |
| CN1913495A (zh) | 数据转发方法和装置 | |
| CN101051900A (zh) | 一种通过网络修改登录信息的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20080102 Termination date: 20211029 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |