專利名稱:一種基于ip報文目的端口過濾策略的系統(tǒng)和方法
技術(shù)領(lǐng)域:
本發(fā)明屬于網(wǎng)絡(luò)安全領(lǐng)域,具體涉及一種基于IP報文目的端口過濾策略的系統(tǒng)和方法�。
背景技術(shù):
專利號CN200810106399. 6 ( 一種GPON系統(tǒng)中實現(xiàn)幀過濾的遠(yuǎn)程管理裝置)公開了一種GPON系統(tǒng)中實現(xiàn)幀過濾的遠(yuǎn)程管理裝置。針對現(xiàn)有的GPON系統(tǒng)只有工作在MAC橋模式下才僅能實現(xiàn)根據(jù)目的MAC地址過濾功能的問題而發(fā)明��。本發(fā)明提出的GPON系統(tǒng)中實現(xiàn)幀過濾的遠(yuǎn)程管理裝置�����,增設(shè)一幀過濾表數(shù)據(jù)管理實體���,該管理實體內(nèi)設(shè)置有MAC地址過濾表模塊���、IP地址過濾表模塊、TCP/UDP端口過濾表模塊��、互聯(lián)網(wǎng)組管理協(xié)議查詢報文過濾模塊�����、DHCP響應(yīng)報文過濾模塊之中的一個或幾個模塊����,可以針對工作在各種模式下的 GPON系統(tǒng)實現(xiàn)對數(shù)據(jù)幀的過濾。同時����,還能夠根據(jù)控制端的指令增加/刪除規(guī)則條目����。專利號CN200680012308. 1 ( 一種橋接轉(zhuǎn)發(fā)方法和裝置)公開了一種橋接轉(zhuǎn)發(fā)方法��,將一個或一個以上端口和VLAN標(biāo)識的組合對應(yīng)一個虛擬轉(zhuǎn)發(fā)實例(VSI)���,完成不同 VLAN之間的報文橋接轉(zhuǎn)發(fā)、MAC地址學(xué)習(xí)以及源端口過濾�。該方法包括以下步驟從輸入端口接收報文,獲取該報文的輸入虛擬局域網(wǎng)標(biāo)識VLAN標(biāo)識和目的MAC地址�����;確定報文的輸出端口和輸出VLAN標(biāo)識����,并根據(jù)輸出端口和輸出VLAN標(biāo)識轉(zhuǎn)發(fā)報文。本發(fā)明還公開了一種橋接轉(zhuǎn)發(fā)裝置�,包括接收一個以上VLAN的報文的輸入端口、發(fā)送報文至一個以上VLAN 的輸出端口和轉(zhuǎn)發(fā)單元�,該轉(zhuǎn)發(fā)單元獲取輸入端口接收的報文的輸入VLAN標(biāo)識和目的MAC 地址,確定報文的輸出端口和輸出VLAN標(biāo)識�����,并將報文輸出至輸出端口。采用本發(fā)明的方法和裝置�����,可以實現(xiàn)以太網(wǎng)報文在多個VLAN之間的橋接轉(zhuǎn)發(fā)�。但上述技術(shù)無法檢測網(wǎng)絡(luò)數(shù)據(jù)包的源目端口以及協(xié)議,不能將某些有針對性的源目端口號過濾掉���,從而無法解放CPU并提高主機的性能��,也無法提高網(wǎng)絡(luò)的安全性能�����。本發(fā)明采用FPGA實現(xiàn)了網(wǎng)絡(luò)協(xié)議中針對IP包負(fù)載為TCP或UDP的目的端口進(jìn)行過濾的方法�,可解放CPU����,從而提高主機的性能。該方法主要檢測網(wǎng)絡(luò)數(shù)據(jù)包的源目端口以及協(xié)議��,將某些有針對性的源目端口號,將其過濾掉��,提高網(wǎng)絡(luò)的安全性能�。
發(fā)明內(nèi)容
本發(fā)明克服現(xiàn)有技術(shù)存在的不足,采用FPGA實現(xiàn)了網(wǎng)絡(luò)協(xié)議中針對IP包負(fù)載為 TCP或UDP的目的端口進(jìn)行過濾的方法����,可解放CPU,從而提高主機的性能��。該方法主要檢測網(wǎng)絡(luò)數(shù)據(jù)包的源目端口以及協(xié)議����,將某些有針對性的源目端口號,將其過濾掉���,提高網(wǎng)絡(luò)的安全性能。本發(fā)明提供了一種基于IP報文目的端口過濾策略的系統(tǒng)�,該策略從五元組FIFO 模塊中讀取IP報文的五元組數(shù)據(jù)提供給端口過濾模塊,由端口過濾模塊進(jìn)行目的端口過濾�,并將命中端口的控制信息存儲在目的結(jié)果FifO模塊中,以供后續(xù)模塊處理��。本發(fā)明提供的基于IP報文目的端口過濾策略的系統(tǒng)���,端口過濾模塊用于TCP過濾和UDP過濾兩部分功能�����。本發(fā)明提供的基于IP報文目的端口過濾策略的系統(tǒng)�,端口過濾模塊的TCP過濾和 UDP過濾共用一個控制器。本發(fā)明提供的基于IP報文目的端口過濾策略的系統(tǒng)�,五元組控制FIFO,存儲從原始IP報文中提取出的五元組數(shù)據(jù)���。本發(fā)明提供的基于IP報文目的端口過濾策略的系統(tǒng)��,目的端口過濾模塊的專用網(wǎng)卡使用查找LUT過濾索引表方式來對IP報文過濾���。本發(fā)明提供的基于IP報文目的端口過濾策略的系統(tǒng),目的端口過濾模塊的專用網(wǎng)卡芯片內(nèi)部集成一個LUT過濾索引表�����,并利用專用芯片內(nèi)部的RAM資源實現(xiàn)單端口 RAM 來存儲該索引表���。本發(fā)明還提供了一種基于IP報文目的端口過濾策略的方法�,該策略從五元組 FIFO步驟中讀取IP報文的五元組數(shù)據(jù)提供給端口過濾步驟���,由端口過濾步驟進(jìn)行目的端口過濾���,并將命中端口的控制信息存儲在目的結(jié)果Fifo步驟中�����,以供后續(xù)步驟處理���。本發(fā)明提供的基于IP報文目的端口過濾策略的方法,端口過濾步驟用于TCP過濾和UDP過濾兩部分功能�。本發(fā)明提供的基于IP報文目的端口過濾策略的方法,端口過濾步驟的TCP過濾和 UDP過濾共用一個控制器�����。本發(fā)明提供的基于IP報文目的端口過濾策略的方法��,五元組控制FIFO�����,存儲從原始IP報文中提取出的五元組數(shù)據(jù)����。本發(fā)明提供的基于IP報文目的端口過濾策略的方法,目的端口過濾步驟的專用網(wǎng)卡使用查找LUT過濾索引表方式來對IP報文過濾����。本發(fā)明提供的基于IP報文目的端口過濾策略的方法,目的端口過濾步驟的專用網(wǎng)卡芯片內(nèi)部集成一個LUT過濾索引表��,并利用專用芯片內(nèi)部的RAM資源實現(xiàn)單端口 RAM 來存儲該索引表���。本發(fā)明提供的基于IP報文目的端口過濾策略的方法����,在專用網(wǎng)卡的初始化過程中��,上層軟件通過寫操作建立起該LUT索引表��。本發(fā)明提供的基于IP報文目的端口過濾策略的方法��,在方法運行的過程中�,當(dāng)用戶更改某些規(guī)則的時候,需要同時更新索引表中對應(yīng)的項����,保持過濾電路的一致性。本發(fā)明提供的基于IP報文目的端口過濾策略的方法�����,LUT寫操作為64位。本發(fā)明提供的基于IP報文目的端口過濾策略的方法���,該索引表映射到主機的內(nèi)存地址空間�����,內(nèi)存映射地址被設(shè)計成為只寫方式�����,上層軟件可以利用操作方法提供的 Memory寫命令來操作它��。本發(fā)明提供的基于IP報文目的端口過濾策略的方法�,每一位代表一個端口號�,位值1 表示要求上傳;0 表示過濾掉��。本發(fā)明提供的基于IP報文目的端口過濾策略的方法��,當(dāng)開啟端口過濾功能��,若五元組FIFO不空并且目的結(jié)果Fifo不滿��,則啟動狀態(tài)機���。與現(xiàn)有技術(shù)相比��,本發(fā)明的有益效果在于因為針對IP包負(fù)載為TCP或UDP的目的端口進(jìn)行過濾解放了 CPU�����,同時過濾掉某些有針對性的源目端口號���,從而提高主機的性能和提高網(wǎng)絡(luò)的安全性能。
圖1是本發(fā)明的目的端口過濾結(jié)構(gòu)示意圖����;圖2是本發(fā)明的狀態(tài)示意圖;圖3是本發(fā)明端口過濾時序圖���。
具體實施例方式該策略從五元組FIFO中讀取IP報文的五元組數(shù)據(jù)提供給端口過濾模塊����,端口過濾包括TCP過濾和UDP過濾兩部分功能�,TCP過濾和UDP過濾共用一個控制器,因為一組五元組只可能是TCP或UDP中的一種協(xié)議��。若進(jìn)行目的端口過濾,則按照協(xié)議類型執(zhí)行不同的過濾����,將命中端口的控制信息存儲在目的結(jié)果Fifo中,以供后續(xù)模塊處理��。若不進(jìn)行端口過濾����,則不做任何處理,直接將數(shù)據(jù)寫入到目的結(jié)果Fifo中�,以供后續(xù)模塊處理。結(jié)構(gòu)圖 1所示����,目的端口過濾結(jié)構(gòu)框圖。其中�����,HaHeadFifo為五元組控制FIFO�,存儲從原始IP報文中提取出的五元組數(shù)據(jù)。目的端口過濾專用網(wǎng)卡使用查找LUT過濾索引表方式來對IP報文的過濾��,主要分為TCP過濾和UDP過濾��;芯片內(nèi)部需要集成一個LUT過濾索引表,我們利用專用芯片內(nèi)部的 RAM資源實現(xiàn)單端口 RAM來存儲該索引表�。在專用網(wǎng)卡的初始化過程中�����,上層軟件通過寫操作建立起該LUT索引表�。在系統(tǒng)運行的過程中,當(dāng)用戶更改某些規(guī)則的時候���,需要同時更新索引表中對應(yīng)的項�,保持過濾電路的一致性�����。注意LUT寫操作為64位�。為了方便上層軟件維護(hù)索引表,我們將該索引表映射到主機的內(nèi)存地址空間����, 內(nèi)存映射地址被設(shè)計成為只寫方式,上層軟件可以利用操作系統(tǒng)提供的Memory寫命令來操作它�����。每一位代表一個端口號,位值1 表示要求上傳�;0:表示過濾掉。例如地址 020_0000 020_0007h 的 64 位數(shù)據(jù)為 0000_0000_0000_0010h�����,表示�,端口號為 4 的 ip 包上傳,端口號為0 3��,5 63都過濾掉��。當(dāng)開啟端口過濾使能�����,若HitHeadFif0不空并且DPFResultFifo不滿��,則啟動狀態(tài)機�。其狀態(tài)機如圖2所示,狀態(tài)WAITLUTDATA 完成從索引表中讀取數(shù)據(jù)����。狀態(tài)JUDGEHIT 根據(jù)讀取的數(shù)據(jù)值判斷是否命中。狀態(tài)WAIT1CYCLE 等待一個周期,完成上述處理����。狀態(tài)WrlstWord 完成第一拍數(shù)據(jù)處理。狀態(tài)Wr2ndWord 完成第二拍數(shù)據(jù)處理��。端口過濾時序圖如圖3所示以上實施例僅用以說明本發(fā)明的技術(shù)方案而非對其限制�,盡管參照上述實施例對本發(fā)明進(jìn)行了詳細(xì)的說明��,所述領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解依然可以對本發(fā)明的具體實施方式
進(jìn)行修改或者同等替換���,而未脫離本發(fā)明精神和范圍的任何修改或者等同替換�����, 其均應(yīng)涵蓋在本發(fā)明的權(quán)利要求范圍當(dāng)中�����。
權(quán)利要求
1.一種基于IP報文目的端口過濾策略的系統(tǒng)��,該策略從五元組FIFO模塊中讀取IP報文的五元組數(shù)據(jù)提供給端口過濾模塊��,由端口過濾模塊進(jìn)行目的端口過濾�����,并將命中端口的控制信息存儲在目的結(jié)果Fifo模塊中����,以供后續(xù)模塊處理。
2.權(quán)利要求1的系統(tǒng)���,其特征在于端口過濾模塊用于TCP過濾和UDP過濾兩部分功能���。
3.權(quán)利要求1-2的系統(tǒng),其特征在于端口過濾模塊的TCP過濾和UDP過濾共用一個控制器����。
4.權(quán)利要求1-3的系統(tǒng),其特征在于五元組控制FIFO�����,存儲從原始IP報文中提取出的五元組數(shù)據(jù)���。
5.權(quán)利要求1-4的系統(tǒng)�����,其特征在于目的端口過濾模塊的專用網(wǎng)卡使用查找LUT過濾索引表方式來對IP報文過濾��。
6.權(quán)利要求1-5的系統(tǒng)��,其特征在于�,目的端口過濾模塊的專用網(wǎng)卡芯片內(nèi)部集成一個LUT過濾索引表,并利用專用芯片內(nèi)部的RAM資源實現(xiàn)單端口 RAM來存儲該索引表��。
7.一種基于IP報文目的端口過濾策略的方法�����,該策略從五元組FIFO步驟中讀取IP報文的五元組數(shù)據(jù)提供給端口過濾步驟����,由端口過濾步驟進(jìn)行目的端口過濾�����,并將命中端口的控制信息存儲在目的結(jié)果Fifo步驟中��,以供后續(xù)步驟處理�。
8.權(quán)利要求7的方法,其特征在于端口過濾步驟用于TCP過濾和UDP過濾兩部分功能�����。
9.權(quán)利要求7-8的方法,其特征在于端口過濾步驟的TCP過濾和UDP過濾共用一個控制器����。
10.權(quán)利要求7-9的方法,其特征在于五元組控制FIFO�,存儲從原始IP報文中提取出的五元組數(shù)據(jù)。
11.權(quán)利要求7-10的方法���,其特征在于目的端口過濾步驟的專用網(wǎng)卡使用查找LUT過濾索引表方式來對IP報文過濾��。
12.權(quán)利要求7-11的方法�,其特征在于��,目的端口過濾步驟的專用網(wǎng)卡芯片內(nèi)部集成一個LUT過濾索引表����,并利用專用芯片內(nèi)部的RAM資源實現(xiàn)單端RAM來存儲該索引表。
13.權(quán)利要求7-12的方法��,其特征在于���,在專用網(wǎng)卡的初始化過程中��,上層軟件通過寫操作建立起該LUT索引表�。
14.權(quán)利要求7-13的方法,其特征在于���,在方法運行的過程中��,當(dāng)用戶更改某些規(guī)則的時候����,需要同時更新索引表中對應(yīng)的項��,保持過濾電路的一致性�����。
15.權(quán)利要求7-14的方法�,其特征在于��,LUT寫操作為64位���。
16.權(quán)利要求7-15的方法�,其特征在于�����,該索引表映射到主機的內(nèi)存地址空間,內(nèi)存映射地址被設(shè)計成為只寫方式���,上層軟件可以利用操作方法提供的Memory寫命令來操作它��。
17.權(quán)利要求7-16的方法��,其特征在于�,每一位代表一個端口號����,位值1表示要求上傳;0 表示過濾掉���。
18.權(quán)利要求7-17的方法�,其特征在于�,當(dāng)開啟端口過濾功能,若五元組FIFO不空并且目的結(jié)果Fifo不滿����,則啟動狀態(tài)機。
全文摘要
本發(fā)明提供一種基于IP報文目的端口過濾策略的系統(tǒng)和方法����,該系統(tǒng)從五元組FIFO模塊中讀取IP報文的五元組數(shù)據(jù)提供給端口過濾模塊�,由端口過濾模塊進(jìn)行目的端口過濾��,并將命中端口的控制信息存儲在目的結(jié)果Fifo模塊中�����,以供后續(xù)模塊處理���。所述方法從五元組FIFO步驟中讀取IP報文的五元組數(shù)據(jù)提供給端口過濾步驟�,由端口過濾步驟進(jìn)行目的端口過濾�,并將命中端口的控制信息存儲在目的結(jié)果Fifo步驟中,以供后續(xù)步驟處理���。本發(fā)明提供的基于IP報文目的端口過濾策略的系統(tǒng)和方法�,采用FPGA實現(xiàn)了網(wǎng)絡(luò)協(xié)議中針對IP包負(fù)載為TCP或UDP的目的端口進(jìn)行過濾的方法����,可解放CPU��,從而提高主機的性能�,且將某些有針對性的源目端口號�,將其過濾掉��,提高網(wǎng)絡(luò)的安全性能����。
文檔編號H04L29/12GK102497372SQ201110413608
公開日2012年6月13日 申請日期2011年12月13日 優(yōu)先權(quán)日2011年12月13日
發(fā)明者劉朝輝, 張磊, 李靜, 白宗元, 邵宗有 申請人:曙光信息產(chǎn)業(yè)(北京)有限公司