專利名稱:一種實(shí)現(xiàn)網(wǎng)絡(luò)內(nèi)容特征搜索/分流及訪問(wèn)控制的處理裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域,尤其是涉及一種對(duì)網(wǎng)絡(luò)內(nèi)容特征搜索/分流及訪問(wèn)控制的處理裝置����。
本發(fā)明應(yīng)用于以太網(wǎng)網(wǎng)絡(luò)中�,尤其是千兆及多千兆的線速的處理敏感數(shù)據(jù)的傳輸系統(tǒng) 中�,在不影響原來(lái)以太網(wǎng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的前提下,實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)L2—L7層內(nèi)容特征搜索�、網(wǎng) 絡(luò)內(nèi)容分流、訪問(wèn)控制及其處理等功能��。
背景技術(shù):
以太網(wǎng)技術(shù)已經(jīng)成為當(dāng)今網(wǎng)絡(luò)發(fā)展的主流�����,人們對(duì)網(wǎng)絡(luò)通訊設(shè)備的需求已經(jīng)不僅限于連 接的實(shí)現(xiàn)����,在要求網(wǎng)絡(luò)高性能的同時(shí)��,也逐漸開(kāi)始注重網(wǎng)絡(luò)的安全性��。網(wǎng)絡(luò)流的病毒過(guò)濾���、 內(nèi)容特征搜索����、入侵檢査技術(shù)、入侵防御技術(shù)��、針對(duì)網(wǎng)絡(luò)特殊應(yīng)用流的訪問(wèn)控制����、統(tǒng)計(jì)等技 術(shù)都應(yīng)用到網(wǎng)絡(luò)安全技術(shù)領(lǐng)域。這些應(yīng)用����,從網(wǎng)絡(luò)數(shù)據(jù)流開(kāi)始,都必不可少的完成如下功能 從傳輸?shù)臄?shù)據(jù)流進(jìn)行內(nèi)容還原�����、特征搜索����、分流和訪問(wèn)控制及其處理等。
現(xiàn)有網(wǎng)絡(luò)設(shè)備對(duì)網(wǎng)絡(luò)數(shù)據(jù)流內(nèi)容的處理能力非常低��,所有的任務(wù)全部依賴CPU完成����。在 進(jìn)行內(nèi)容處理時(shí),從包的流重組����、碎片重組到數(shù)據(jù)還原����,到數(shù)據(jù)流特征搜索�,數(shù)據(jù)轉(zhuǎn)發(fā)等所 有工作全部由CPU承擔(dān),資源消耗全部集中到CPU�����,在面臨網(wǎng)絡(luò)上大流量以及大規(guī)模的規(guī)則
查找比對(duì)時(shí)�,會(huì)造成整個(gè)系統(tǒng)處理速度緩慢,從而導(dǎo)致網(wǎng)絡(luò)性能嚴(yán)重下降甚至癱瘓���。
發(fā)明內(nèi)容
為了克服現(xiàn)有技術(shù)中存在的問(wèn)題��,本發(fā)明提出一種處理裝置�����,通過(guò)所述裝置對(duì)網(wǎng)絡(luò)數(shù)據(jù)
流內(nèi)容進(jìn)行特征搜索、分流和訪問(wèn)控制及其處理等操作�,減少了對(duì)CPU的資源消耗,且所述
裝置的高速處理能力提高了系統(tǒng)的處理速度和性能��。
本發(fā)明具體是這樣實(shí)現(xiàn)的
一種實(shí)現(xiàn)網(wǎng)絡(luò)內(nèi)容特征搜索/分流及訪問(wèn)控制的處理裝置,包括
本地CPU�����,
交換模塊���,
搜索引擎模塊��,
連接模塊�����, 至少一個(gè)千兆接口���;
所述本地CPU,通過(guò)PCI接口與交換模塊相連��,通過(guò)對(duì)數(shù)據(jù)的收發(fā)管理����,完成本地管理; 所述交換模塊��,負(fù)責(zé)與其直接連接的搜索引擎模塊和連接模塊之間的數(shù)據(jù)交換���; 所述連接模塊��,對(duì)來(lái)自交換模塊的數(shù)據(jù)流進(jìn)行維護(hù)與處理��;
所述搜索引擎模塊���,對(duì)連接模塊處理后的數(shù)據(jù)流進(jìn)行內(nèi)容特征搜索���,將搜索結(jié)果發(fā)送給 交換模塊;
所述千兆接口�����,完成數(shù)據(jù)的接收��、發(fā)送功能�����。
所述交換模塊���,對(duì)經(jīng)過(guò)連接模塊和搜索引擎模塊處理后的數(shù)據(jù)�����,至少進(jìn)行如下一種的處 理方式 丟棄��;
重定向到CPU; 復(fù)制到CPU; 透?jìng)鳌?br>
所述連接模塊����,對(duì)以太網(wǎng)數(shù)據(jù)流中的TCP數(shù)據(jù)流進(jìn)行基于五元組為特征的連接表項(xiàng)維護(hù)�����,
基于同一條TCP數(shù)據(jù)流的五元組是相同的�,而相同五元組的TCP數(shù)據(jù)包都會(huì)命中同一條連 接表項(xiàng),從而實(shí)現(xiàn)對(duì)整條TCP數(shù)據(jù)流進(jìn)行相同的處理��。 所述搜索引擎模塊的內(nèi)容特征搜索具體實(shí)現(xiàn)步驟�,
以字節(jié)為比較單元,搜索引擎模塊將數(shù)據(jù)流分解為以字節(jié)為單位的字節(jié)流與規(guī)則庫(kù)中的 字節(jié)進(jìn)行逐一比對(duì)���,實(shí)現(xiàn)內(nèi)容特征搜索����。 所述千兆接口為三個(gè)��;
所述千兆接口,以lOOObaseT接口方式完成對(duì)以太網(wǎng)數(shù)據(jù)包的接收和發(fā)送�����。 所述千兆接口���,可以與遠(yuǎn)端的CPU進(jìn)行以太網(wǎng)網(wǎng)絡(luò)連接通訊���,接收管理指令,完成遠(yuǎn)程管理����。
本發(fā)明所述裝置只把需要送CPU的數(shù)據(jù)或日志發(fā)送到CPU進(jìn)行處理,不需要交付CPU 處理的數(shù)據(jù)���,利用所述裝置對(duì)網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行內(nèi)容還原����,網(wǎng)絡(luò)內(nèi)容特征搜索�,基于網(wǎng)絡(luò)內(nèi)容 的分流訪問(wèn)控制及其處理等操作。這樣的處理模式����,減輕了CPU的處理負(fù)擔(dān),CPU需要處理 的數(shù)據(jù)只是以前的5%-10%,大大降低其處理負(fù)荷��,提高系統(tǒng)性能�����。通過(guò)本地CPU與其他模 塊的協(xié)作�����,極大的提高了系統(tǒng)對(duì)網(wǎng)絡(luò)數(shù)據(jù)流的處理性能的同時(shí)���,又保留其靈活性。
搜索引擎模塊����,
圖1為本發(fā)明所述裝置的結(jié)構(gòu)圖2為利用千兆接口實(shí)現(xiàn)遠(yuǎn)程管理的示意圖3為使用單CPU進(jìn)行多臺(tái)接口裝置串聯(lián)管理的示意圖。
具體實(shí)施例方式
下面結(jié)合附圖對(duì)本發(fā)明所述裝置進(jìn)行詳細(xì)描述��。
如附圖1所示��,本發(fā)明所述裝置由三個(gè)千兆接口����、交換模塊、連接模塊、搜索引擎模塊 和本地CPU組成���。網(wǎng)絡(luò)數(shù)據(jù)流從三個(gè)千兆接口輸入��,經(jīng)過(guò)交換邏輯送向連接模塊��,在連接模
塊中對(duì)網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行維護(hù)與處理��,處理后的數(shù)據(jù)流再傳送到搜索引擎模塊中進(jìn)行基于特征 內(nèi)容的搜索����,兩級(jí)處理完成后���,再把連接處理結(jié)果和搜索處理結(jié)果傳送回交換模塊中���,交換 模塊根據(jù)兩級(jí)模塊的處理結(jié)果對(duì)數(shù)據(jù)流進(jìn)行綜合處理。
上述裝置中的各個(gè)模塊的功能如下
1���、 千兆接口千兆接口以lOOObaseT接口方式對(duì)以太網(wǎng)數(shù)據(jù)包進(jìn)行收發(fā)��。
2����、 交換模塊進(jìn)行以以太網(wǎng)數(shù)據(jù)包為單位的數(shù)據(jù)交換,按照數(shù)據(jù)包傳送的目的模塊分組
儲(chǔ)存到相應(yīng)模塊的發(fā)送隊(duì)列中��,然后再發(fā)送到目的模塊����,以完成與其直接相連接各模塊間的
數(shù)據(jù)交互。
3���、 連接模塊對(duì)以太網(wǎng)數(shù)據(jù)流中的TCP數(shù)據(jù)流進(jìn)行基于五元組(協(xié)議、目的網(wǎng)絡(luò)地址��、 目的端口�����、源網(wǎng)絡(luò)地址���、源端口)為特征的連接表項(xiàng)維護(hù)�����,同一條TCP流的五元組是相同的�����, 而相同五元組的TCP數(shù)據(jù)包都會(huì)命中同一條連接表項(xiàng)�����,從而實(shí)現(xiàn)對(duì)整條TCP數(shù)據(jù)流進(jìn)行相 同的處理�。
4、 搜索引擎采用以字節(jié)為比較單元的搜索模式�,將網(wǎng)絡(luò)數(shù)據(jù)流分解為以字節(jié)為單位的 字節(jié)流,然后將分解后每個(gè)的網(wǎng)絡(luò)字節(jié)與規(guī)則庫(kù)中的字節(jié)逐一比較����,以實(shí)現(xiàn)搜索功能。
5����、 本地CPU通過(guò)PCI接口與交換模塊相連,通過(guò)收發(fā)系統(tǒng)管理數(shù)據(jù)包�,來(lái)改變系統(tǒng)內(nèi) 部設(shè)置,以實(shí)現(xiàn)系統(tǒng)的本地管理功能��。
本地CPU作為管理中心進(jìn)行整個(gè)設(shè)備的管理��,可實(shí)現(xiàn)本地管理模式�。 也可通過(guò)遠(yuǎn)端CPU與三個(gè)千兆接口中的任意一個(gè)進(jìn)行以太網(wǎng)網(wǎng)絡(luò)連接通訊,使用遠(yuǎn)程管 理指令對(duì)該處理裝置進(jìn)行管理����,從而實(shí)現(xiàn)遠(yuǎn)程管理模式��,且不會(huì)影響千兆接口正常數(shù)據(jù)流的 處理�。如附圖2所示���,利用千兆接口 l進(jìn)行遠(yuǎn)程管理����,其它千兆接口也可實(shí)現(xiàn)同樣的管理模 式�����。
如附圖3所示��,還可通過(guò)單一的遠(yuǎn)端CPU實(shí)現(xiàn)串聯(lián)管理多個(gè)本發(fā)明所述裝置�����。每臺(tái)設(shè)備
被分配一個(gè)特定的網(wǎng)絡(luò)地址���,當(dāng)數(shù)據(jù)包的目的網(wǎng)絡(luò)地址為設(shè)備網(wǎng)絡(luò)地址時(shí),設(shè)備就會(huì)對(duì)該數(shù) 據(jù)包作合法性檢査��,若數(shù)據(jù)包合法,則遠(yuǎn)程管理指令生效�;若數(shù)據(jù)包不合法,可選擇丟棄或 上傳CPU����。當(dāng)網(wǎng)絡(luò)上存在多臺(tái)設(shè)備串連時(shí),給它們分配不同的網(wǎng)絡(luò)地址����,同時(shí)讓前面的設(shè)備 能夠透?jìng)鲗儆诤竺嬖O(shè)備的管理報(bào)文,從而實(shí)現(xiàn)遠(yuǎn)端單CPU串聯(lián)管理多臺(tái)設(shè)備的功能���。
上述這些管理模式可以實(shí)現(xiàn)靈活管理設(shè)備的目的�����,打破了傳統(tǒng)管理接口一旦固定就無(wú)法 改變的局面�,增強(qiáng)了本發(fā)明所述裝置在網(wǎng)絡(luò)中的適用性��。
前述搜索引擎模塊��,釆用以字節(jié)為比較單元的搜索模式�����,將網(wǎng)絡(luò)數(shù)據(jù)流分解為以字節(jié)為 單位的字節(jié)流,然后將分解后的每個(gè)網(wǎng)絡(luò)字節(jié)與規(guī)則庫(kù)中的字節(jié)逐一比較的方法�����,實(shí)現(xiàn)在千 兆及多千兆線速下網(wǎng)絡(luò)內(nèi)容特征搜索�����。
前述交換模塊��,在千兆及多千兆線速下將搜索引擎模塊檢測(cè)到的含有特征內(nèi)容的數(shù)據(jù)做 相應(yīng)的操作處理
(1) 根據(jù)規(guī)則判斷�����,需要丟棄的數(shù)據(jù)包�,交換模塊不再轉(zhuǎn)發(fā)�����,完成丟棄操作���;
(2) 根據(jù)規(guī)則判斷���,需要重定向到CPU的數(shù)據(jù)包�����,交換模塊將該數(shù)據(jù)包放入送向CPU 的隊(duì)列中����,然后能過(guò)PCI總線發(fā)送到CPU;
(3) 根據(jù)規(guī)則判斷����,需要復(fù)制到CPU的數(shù)據(jù)包,交換模塊將該數(shù)據(jù)包復(fù)制一份放入送
向CPU的隊(duì)列中��,然后能過(guò)PCI總線發(fā)送到CPU;
(4) 根據(jù)規(guī)則判斷�,需要透?jìng)鞯臄?shù)據(jù)包,交換模塊按照數(shù)據(jù)包傳送的目的進(jìn)行正常轉(zhuǎn)發(fā)��。
前述交換模塊根據(jù)經(jīng)過(guò)連接模塊和搜索引擎模塊兩級(jí)模塊的處理結(jié)果對(duì)數(shù)據(jù)進(jìn)行綜合處
理�����,包括�,丟棄、重定向到CPU�����、復(fù)制到CPU和透?jìng)鳎纱藖?lái)實(shí)現(xiàn)
基于不同的數(shù)據(jù)流的處理方式�����,是基于每條數(shù)據(jù)流的不同進(jìn)行的處理方式����,包括丟棄、 重定向到CPU�、復(fù)制到CPU和透?jìng)鳎?br>
基于不同內(nèi)容的特征搜索結(jié)果的處理方式,基于特征搜索結(jié)果的不同(被搜索數(shù)據(jù)流中 是否帶有特征信息)進(jìn)行的處理方式�,包括丟棄、重定向到CPU����、復(fù)制到CPU和透?jìng)鳌?br>
前述兩種處理方式的靈活組合,基于數(shù)據(jù)流的特征搜索結(jié)果的不同進(jìn)行處理方式�,包括: 丟棄、重定向到CPU�����、復(fù)制到CPU和透?jìng)鳌?br>
權(quán)利要求
1�����、一種實(shí)現(xiàn)網(wǎng)絡(luò)內(nèi)容特征搜索/分流及訪問(wèn)控制的處理裝置����,其特征在于,包括本地CPU����,交換模塊,搜索引擎模塊��,連接模塊��,至少一個(gè)千兆接口���;所述本地CPU�,通過(guò)PCI接口與交換模塊相連�,通過(guò)對(duì)數(shù)據(jù)的收發(fā)管理,完成本地管理����;所述交換模塊,負(fù)責(zé)與其直接連接的搜索引擎模塊和連接模塊之間的數(shù)據(jù)交換�;所述連接模塊,對(duì)來(lái)自交換模塊的以太網(wǎng)數(shù)據(jù)流進(jìn)行維護(hù)與處理;所述搜索引擎模塊�����,對(duì)連接模塊處理后的數(shù)據(jù)流進(jìn)行內(nèi)容特征搜索���,將搜索結(jié)果發(fā)送給交換模塊�����;所述千兆接口����,完成數(shù)據(jù)的接收���、發(fā)送功能��。
2�、 如權(quán)利要求1所述的實(shí)現(xiàn)網(wǎng)絡(luò)內(nèi)容特征搜索/分流及訪問(wèn)控制的處理裝置���,其特征在于所述交換模塊���,對(duì)經(jīng)過(guò)連接模塊和搜索引擎模塊處理后的數(shù)據(jù)�����,至少進(jìn)行如下一種的處 理方式-丟棄;重定向到CPU; 復(fù)制到CPU; 透?jìng)鳌?br>
3��、 如權(quán)利要求1所述的實(shí)現(xiàn)網(wǎng)絡(luò)內(nèi)容特征搜索/分流及訪問(wèn)控制的處理裝置���,其特征在于所述連接模塊�,對(duì)以太網(wǎng)數(shù)據(jù)流中的TCP數(shù)據(jù)流進(jìn)行基于五元組為特征的連接表項(xiàng)維護(hù)���, 基于同一條TCP數(shù)據(jù)流的五元組是相同的�����,而相同五元組的TCP數(shù)據(jù)包都會(huì)命中同一條連 接表項(xiàng)����,從而實(shí)現(xiàn)對(duì)整條TCP數(shù)據(jù)流進(jìn)行相同的處理�����。
4�、 如權(quán)利要求1所述的實(shí)現(xiàn)網(wǎng)絡(luò)內(nèi)容特征搜索/分流及訪問(wèn)控制的處理裝置��,其特征在于所述搜索弓I擎模塊的內(nèi)容特征搜索具體實(shí)現(xiàn)以字節(jié)為比較單元����,搜索引擎模塊將數(shù)據(jù)流分解為以字節(jié)為單位的字節(jié)流與規(guī)則庫(kù)中的 字節(jié)進(jìn)行逐一比對(duì)��,實(shí)現(xiàn)內(nèi)容特征搜索���。
5���、 如權(quán)利要求1所述的實(shí)現(xiàn)網(wǎng)絡(luò)內(nèi)容特征搜索/分流及訪問(wèn)控制的處理裝置,其特征在于所述千兆接口為三個(gè)�����;所述千兆接口����,以lOOObaseT接口方式完成對(duì)以太網(wǎng)數(shù)據(jù)包的接收和發(fā)送。
6���、 如權(quán)利要求1或5所述的實(shí)現(xiàn)網(wǎng)絡(luò)內(nèi)容特征搜索/分流及訪問(wèn)控制的處理裝置���,其特 征在于-所述千兆接口���,可以與遠(yuǎn)端的CPU進(jìn)行以太網(wǎng)網(wǎng)絡(luò)連接通訊,接收管理指令�����,完成遠(yuǎn)程管理����。
全文摘要
本發(fā)明公開(kāi)了一種實(shí)現(xiàn)網(wǎng)絡(luò)內(nèi)容特征搜索/分流及訪問(wèn)控制的處理裝置���,包括本地CPU���,交換模塊,搜索引擎模塊��,連接模塊����,至少一個(gè)千兆接口;所述本地CPU��,通過(guò)PCI接口與交換模塊相連���,完成本地管理��;所述交換模塊�����,負(fù)責(zé)與其直接連接的搜索引擎模塊和連接模塊之間的數(shù)據(jù)交換��;所述連接模塊���,對(duì)來(lái)自交換模塊的數(shù)據(jù)流進(jìn)行維護(hù)與處理����;所述搜索引擎模塊���,對(duì)連接模塊處理后的數(shù)據(jù)流進(jìn)行內(nèi)容特征搜索���,將搜索結(jié)果發(fā)送給交換模塊;所述千兆接口��,完成數(shù)據(jù)的接收��、發(fā)送功能。本發(fā)明減輕了CPU的處理負(fù)擔(dān)�,CPU需要處理的數(shù)據(jù)只是以前的5%-10%,提高了系統(tǒng)對(duì)網(wǎng)絡(luò)數(shù)據(jù)流的處理性能的同時(shí)��,又保留了處理方式靈活性���。
文檔編號(hào)H04L12/56GK101114911SQ20061010362
公開(kāi)日2008年1月30日 申請(qǐng)日期2006年7月26日 優(yōu)先權(quán)日2006年7月26日
發(fā)明者包雅林, 華海宏, 杰 孫, 屈仁杰, 聿 張, 李為民, 楊成勇, 游 游, 趙承志, 卓 陳 申請(qǐng)人:北京南山之橋微電子有限公司