日韩成人黄色,透逼一级毛片,狠狠躁天天躁中文字幕,久久久久久亚洲精品不卡,在线看国产美女毛片2019,黄片www.www,一级黄色毛a视频直播

單一芯片實(shí)現(xiàn)多項(xiàng)網(wǎng)絡(luò)安全功能的方法

文檔序號(hào):7972812閱讀:509來(lái)源:國(guó)知局

專(zhuān)利名稱(chēng)::?jiǎn)我恍酒瑢?shí)現(xiàn)多項(xiàng)網(wǎng)絡(luò)安全功能的方法
技術(shù)領(lǐng)域
:本發(fā)明涉及網(wǎng)絡(luò)安全和組網(wǎng)
技術(shù)領(lǐng)域
,尤其涉及一種單一芯片實(shí)現(xiàn)多項(xiàng)網(wǎng)絡(luò)安全功能的方法。
背景技術(shù)
:隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展,網(wǎng)絡(luò)已經(jīng)成了社會(huì)生活中不可或缺的一種工具,小到soho(家庭辦公),大到上萬(wàn)人的企業(yè),都建立了自己的網(wǎng)絡(luò),但是隨之而來(lái)的是,網(wǎng)絡(luò)病毒、黑客的危害也越來(lái)越大,一次比一次頻繁,影響范圍一次比一次大,造成的損失一次比一次嚴(yán)重。面對(duì)這種情況,所有擁有網(wǎng)絡(luò)的企業(yè)都不得不認(rèn)真思考自身網(wǎng)絡(luò)的安全問(wèn)題。要解決網(wǎng)絡(luò)安全,當(dāng)然離不開(kāi)網(wǎng)絡(luò)安全設(shè)備。目前市面上的網(wǎng)絡(luò)安全設(shè)備不外乎采用了以下幾種方案1、基于工控機(jī)架構(gòu)的防火墻工控機(jī)的架構(gòu),是CPU+主板+網(wǎng)卡,網(wǎng)卡芯片與CPU通過(guò)主板的PCI總線相連,所有的報(bào)文從網(wǎng)卡芯片收上來(lái),都通過(guò)PCI總線送到CPU,由CPU進(jìn)行全部處理?;谶@種方案的防火墻,性能受限于PCI總線的性能,是沒(méi)有辦法達(dá)到很高的性能的。2、基于NP架構(gòu)的防火墻NP的架構(gòu),是CPU+若干個(gè)微引擎+網(wǎng)卡,一般CPU與微引擎是集成在一個(gè)NPU芯片內(nèi)。報(bào)文從網(wǎng)卡收上來(lái),分派到一個(gè)指定的微引擎去處理,處理完后微引擎直接轉(zhuǎn)發(fā)。由于有若干個(gè)微引擎同時(shí)處理,處理速度較快。但微引擎的代碼需要用微碼編寫(xiě),且直接操作微引擎內(nèi)部的硬件資源,非常復(fù)雜;微引擎可存放的指令空間也非常有限,僅21T4K(后續(xù)升級(jí)版本也在此數(shù)量級(jí)內(nèi)),不能實(shí)現(xiàn)復(fù)雜的處理邏輯?;谶@種方案的防火墻,價(jià)格都比較昂貴,處理簡(jiǎn)單任務(wù)時(shí),能夠達(dá)到線速,但處理深度過(guò)濾等多任務(wù)時(shí),性能急劇下降。3、基于交換、路由芯片架構(gòu)的防火墻此架構(gòu)是CPU+FPGA/ASIC,F(xiàn)PGA/ASIC上直接帶有(或外接)網(wǎng)口,申請(qǐng)?zhí)枮镃N200410040052.8的發(fā)明專(zhuān)利申請(qǐng)就是采用此架構(gòu)的技術(shù)方案。所述方案的FPGA/ASIC是從交換、路由芯片轉(zhuǎn)過(guò)來(lái)的,在交換、路由的基礎(chǔ)上,加入防火墻、NAT(NetworkAddressTranslation,網(wǎng)絡(luò)地址轉(zhuǎn)換)的功能。該方案的缺點(diǎn)是處理每個(gè)報(bào)文,都要重新査找路由表中的路由,匹配N(xiāo)AT表中的地址轉(zhuǎn)換規(guī)則,因此性能會(huì)受到很大的限制;另外,路由表、NAT表的大小不可能太大,也嚴(yán)重限制了其實(shí)際的應(yīng)用范圍。以上幾種方案都有不足,要么本身性能不高,要么在復(fù)雜應(yīng)用下的性能不高,無(wú)法滿足客戶日益增長(zhǎng)的需求。
發(fā)明內(nèi)容因此本發(fā)明所要解決的技術(shù)問(wèn)題是提供一種單一芯片同時(shí)實(shí)現(xiàn)二層交換、防火墻連接表的方法,該方法能夠提高網(wǎng)絡(luò)的系統(tǒng)性能、降低系統(tǒng)成本。本發(fā)明具體是這樣實(shí)現(xiàn)的1、一種單一芯片實(shí)現(xiàn)多項(xiàng)網(wǎng)絡(luò)安全功能的方法,包括如下步驟-1-1、芯片對(duì)收到的報(bào)文進(jìn)行解析,得到輸入報(bào)文的關(guān)鍵域的內(nèi)容;1-2、根據(jù)解析的結(jié)果,進(jìn)行二層處理,查找MACtable;1-3、如果MACtable査找命中,則用解析得到的報(bào)文的源IP、目的IP、源port、目的port、protocol査找防火墻連接表;如果沒(méi)有命中,則送CPU,由CPU作進(jìn)一步處理;l-4、如果防火墻連接表査找命中,則根據(jù)防火墻連接表中的標(biāo)志對(duì)報(bào)文做相應(yīng)的處理;如果沒(méi)有命中,則送CPU,由CPU作進(jìn)一步處理。2、如1所述的單一芯片實(shí)現(xiàn)多項(xiàng)網(wǎng)絡(luò)安全功能的方法,步驟1-2中用解析得到的報(bào)文的源MAC、目的MAC、VLAN號(hào)査找MACtable,判斷在MACtable中是否存在源MAC與VLAN號(hào)的組合和目的MAC與VLAN號(hào)的組合,如果不存在,則送CPU,由CPU更新MACtable。3、如1所述的單一芯片實(shí)現(xiàn)多項(xiàng)網(wǎng)絡(luò)安全功能的方法,步驟1-4中根據(jù)防火墻連接表中的標(biāo)志對(duì)報(bào)文做相應(yīng)的處理包括如下步驟判斷防火墻連接表中是否有送CPU的標(biāo)志,如果有,就將此報(bào)文送CPU處理否則根據(jù)連接表中標(biāo)示的出口,把報(bào)文轉(zhuǎn)發(fā)出去。4、如3所述的單一芯片實(shí)現(xiàn)多項(xiàng)網(wǎng)絡(luò)安全功能的方法,如果防火墻連接表中沒(méi)有送CPU的標(biāo)志,則再判斷防火墻連接表中是否有做網(wǎng)絡(luò)地址轉(zhuǎn)換的標(biāo)志,如果有,則對(duì)報(bào)文做網(wǎng)絡(luò)地址轉(zhuǎn)換,然后根據(jù)連接表中標(biāo)示的出口,把報(bào)文轉(zhuǎn)發(fā)出去;否則直接根據(jù)連接表中標(biāo)示的出口,把報(bào)文轉(zhuǎn)發(fā)出去。5、如1至4中任意一項(xiàng)所述的單一芯片實(shí)現(xiàn)多項(xiàng)網(wǎng)絡(luò)安全功能的方法,所述單一芯片為現(xiàn)場(chǎng)可編程門(mén)陣列或者專(zhuān)用集成電路。由于采用了上述處理過(guò)程,本發(fā)明與現(xiàn)有技術(shù)相比,具有以下優(yōu)點(diǎn)-1、本發(fā)明在單一芯片上實(shí)現(xiàn)了交換、三層轉(zhuǎn)發(fā)、防火墻的功能。這樣,絕大部分流量芯片都可直接處理,大大降低了系統(tǒng)對(duì)CPU、PCI總線帶寬的需求,節(jié)省了CPU資源,提高了整個(gè)系統(tǒng)的性能。2、本發(fā)明克服了基于工控機(jī)架構(gòu)和基于NP架構(gòu)的防火墻處理速度慢的缺陷,提高了整個(gè)系統(tǒng)在網(wǎng)絡(luò)環(huán)境中的高速處理能力。即使在100/1000M的高速網(wǎng)絡(luò)處于擁塞或繁忙時(shí),也能保證進(jìn)行線速交換。3、本發(fā)明在單一芯片上同時(shí)實(shí)現(xiàn)了交換、三層轉(zhuǎn)發(fā)、防火墻的功能,使系統(tǒng)成本大大降低。4、本發(fā)明避免了基于交換、路由芯片架構(gòu)的FPGA/ASIC方案中每個(gè)報(bào)文都要查一遍路由表的缺點(diǎn),其路由只需在建立連接時(shí)査找一次,建立相應(yīng)防火墻連接表,后續(xù)報(bào)文就不用再査,只需依據(jù)防火墻連接表進(jìn)行轉(zhuǎn)發(fā)即可;同時(shí)也避免了在芯片內(nèi)部集成路由表時(shí),路由表大小受限的缺點(diǎn),依據(jù)這種方案,路由的數(shù)目幾乎不受限制。5、本發(fā)明避免了基于交換、路由芯片架構(gòu)的FPGA/ASIC方案中每個(gè)報(bào)文要重新匹配N(xiāo)AT規(guī)則的缺點(diǎn),其N(xiāo)AT只需在建立連接時(shí)査找,依據(jù)NAT規(guī)則,建立好防火墻連接表,后續(xù)的報(bào)文就不用再每次査找NAT規(guī)則表,只需依據(jù)防火墻連接表,就可完成NAT地址轉(zhuǎn)換功能;同時(shí)也避免了在芯片內(nèi)部集成NAT規(guī)則表時(shí),NAT規(guī)則表大小受限的缺點(diǎn),依據(jù)這種方案,NAT規(guī)則數(shù)幾乎不受限制。圖l是本發(fā)明的操作流程圖。具體實(shí)施方式以下結(jié)合附圖對(duì)本發(fā)明的具體實(shí)施作進(jìn)一步的說(shuō)明-本發(fā)明提出了一種單一芯片實(shí)現(xiàn)多項(xiàng)網(wǎng)絡(luò)安全功能的方法,該方法基于FPGA(FieldProgrammableGateArray,現(xiàn)場(chǎng)可編程門(mén)陣列)/ASIC(ApplicationSpecificIntegratedCircuit,專(zhuān)用集成電路)芯片架構(gòu)的防火墻,以克服CPU(CentralProcessingUnit,中央處理單元)、PCI(PeripheralControllerInterface,外圍控制器接口)總線帶寬對(duì)網(wǎng)絡(luò)安全設(shè)備的性能限制,實(shí)現(xiàn)網(wǎng)絡(luò)安全設(shè)備性能上的突破,降低網(wǎng)絡(luò)安全解決方案的代價(jià),降低組網(wǎng)成本。本發(fā)明在一個(gè)芯片上同時(shí)實(shí)現(xiàn)二層交換、防火墻連接表,以單一芯片實(shí)現(xiàn)多項(xiàng)網(wǎng)絡(luò)安全功能。二層交換是根據(jù)芯片內(nèi)部的MAC(MediaAccessControl,媒介接入控制)table進(jìn)行轉(zhuǎn)發(fā),這是網(wǎng)絡(luò)設(shè)備領(lǐng)域的一項(xiàng)常規(guī)技術(shù);防火墻連接表主要包括源IP、目的IP、源port、目的port、protoco1等TCP(TransmissionControlProtocol,傳輸控制協(xié)議)、UDP(UserDatagramProtocol,用戶數(shù)據(jù)報(bào)協(xié)議)連接的信息。如圖1所示,本發(fā)明包括如下處理步驟1、芯片對(duì)收到的報(bào)文進(jìn)行解析,得到輸入報(bào)文的關(guān)鍵域的內(nèi)容;2、根據(jù)解析的結(jié)果,進(jìn)行二層處理,査找MACtable;3、如果MACtable査找命中,則根據(jù)解析的結(jié)果,取出五元組(源IP、目的IP、源port、目的port、protocol),査找防火墻連接表,如果沒(méi)有命中,則送CPU,由CPU作進(jìn)一步處理;4、如果防火墻連接表査找命中,則根據(jù)防火墻連接表中的標(biāo)志對(duì)報(bào)文做相應(yīng)的處理,包括正常轉(zhuǎn)發(fā)報(bào)文、做NAT(NetworkAddressTranslation,網(wǎng)絡(luò)地址轉(zhuǎn)換)之后轉(zhuǎn)發(fā)報(bào)文、送CPU處理,如果沒(méi)有命中,則送CPU,由CPU作進(jìn)一步處理。在第1步中,當(dāng)芯片收到一個(gè)報(bào)文,首先解析出報(bào)文的源MAC、目的MAC、VLAN(VirtualLocalAreaNetwork,虛擬局域網(wǎng))號(hào);然后,在第2步中,在MACtable中查找是否存在源MAC與VLAN號(hào)的組合和目的MAC與VLAN號(hào)的組合,如果不存在,則送CPU,由CPU更新MACtable。在第4步中,如果防火墻連接表中有送CPU的標(biāo)志,就將此報(bào)文送CPU處理,如果防火墻連接表中有做NAT的標(biāo)志,就做NAT,然后根據(jù)連接表中標(biāo)示的出口,把報(bào)文轉(zhuǎn)發(fā)出去,如果沒(méi)有送CPU或者做NAT的標(biāo)志,則直接根據(jù)連接表中標(biāo)示的出口,把報(bào)文轉(zhuǎn)發(fā)出去。以下是根據(jù)上述處理步驟的一個(gè)具體實(shí)施實(shí)例,其具體處理流程如下1.芯片對(duì)收到的報(bào)文進(jìn)行解析,得到源MAC、目的MAC、VLAN號(hào)、源IP、目的IP、源port、目的port、protocol等域的內(nèi)容;2.用解析得到的源MAC、目的MAC、VLAN號(hào)査找MACtable;3.如果MACtable査找命中,則用解析得到的源IP、目的IP、源port、目的port、protocol査找防火墻連接表;4.如果防火墻連接表查找命中,則先判斷連接表中是否有送CPU標(biāo)志,如果有,貝服文送CPU處理,否則再判斷連接表中是否有做NAT標(biāo)志,如果有,則對(duì)報(bào)文做NAT。最后根據(jù)連接表中標(biāo)示的出口,把報(bào)文發(fā)送出去。以上所述僅為本發(fā)明的示意性實(shí)施例而已,并不用于限制本發(fā)明,對(duì)于本領(lǐng)域的技術(shù)人員來(lái)說(shuō),本發(fā)明可以有各種更改和變化。凡在本發(fā)明的精神和原則之內(nèi),所作的任何修改、等同替換、改進(jìn)等,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。權(quán)利要求1.一種單一芯片實(shí)現(xiàn)多項(xiàng)網(wǎng)絡(luò)安全功能的方法,包括如下步驟1-1、芯片對(duì)收到的報(bào)文進(jìn)行解析,得到輸入報(bào)文的關(guān)鍵域的內(nèi)容;1-2、根據(jù)解析的結(jié)果,進(jìn)行二層處理,查找MACtable;1-3、如果MACtable查找命中,則用解析得到的報(bào)文的源IP、目的IP、源port、目的port、protocol查找防火墻連接表;如果沒(méi)有命中,則送CPU,由CPU作進(jìn)一步處理;1-4、如果防火墻連接表查找命中,則根據(jù)防火墻連接表中的標(biāo)志對(duì)報(bào)文做相應(yīng)的處理;如果沒(méi)有命中,則送CPU,由CPU作進(jìn)一步處理。2、如權(quán)利要求l所述的單一芯片實(shí)現(xiàn)多項(xiàng)網(wǎng)絡(luò)安全功能的方法,其特征在于,步驟1-2中用解析得到的報(bào)文的源MAC、目的MAC、VLAN號(hào)查找MACtable,判斷在MACtable中是否存在源MAC與VLAN號(hào)的組合和目的MAC與VLAN號(hào)的組合,如果不存在,則送CPU,由CPU更新MACtable。3、如權(quán)利要求1所述的單一芯片實(shí)現(xiàn)多項(xiàng)網(wǎng)絡(luò)安全功能的方法,其特征在于,步驟l-4中根據(jù)防火墻連接表中的標(biāo)志對(duì)報(bào)文做相應(yīng)的處理包括如下步驟判斷防火墻連接表中是否有送CPU的標(biāo)志,如果有,就將此報(bào)文送CPU處理;否則根據(jù)連接表中標(biāo)示的出口,把報(bào)文轉(zhuǎn)發(fā)出去。4、如權(quán)利要求3所述的單一芯片實(shí)現(xiàn)多項(xiàng)網(wǎng)絡(luò)安全功能的方法,其特征在于,如果防火墻連接表中沒(méi)有送CPU的標(biāo)志,則再判斷防火墻連接表中是否有做網(wǎng)絡(luò)地址轉(zhuǎn)換的標(biāo)志,如果有,則對(duì)報(bào)文做網(wǎng)絡(luò)地址轉(zhuǎn)換,然后根據(jù)連接表中標(biāo)示的出口,把報(bào)文轉(zhuǎn)發(fā)出去;否則直接根據(jù)連接表中標(biāo)示的出口,把報(bào)文轉(zhuǎn)發(fā)出去。5、如權(quán)利要求1至4中任意一項(xiàng)所述的單一芯片實(shí)現(xiàn)多項(xiàng)網(wǎng)絡(luò)安全功能的方法,其特征在于,所述單一芯片為現(xiàn)場(chǎng)可編程門(mén)陣列或者專(zhuān)用集成電路。全文摘要本發(fā)明公開(kāi)了一種單一芯片實(shí)現(xiàn)多項(xiàng)網(wǎng)絡(luò)安全功能的方法,包括如下步驟芯片對(duì)收到的報(bào)文進(jìn)行解析,得到輸入報(bào)文的關(guān)鍵域的內(nèi)容;根據(jù)解析的結(jié)果,進(jìn)行二層處理,查找MACtable;如果MACtable查找命中,則用解析得到的報(bào)文的源IP、目的IP、源port、目的port、protocol查找防火墻連接表;如果沒(méi)有命中,則送CPU,由CPU作進(jìn)一步處理;如果防火墻連接表查找命中,則根據(jù)防火墻連接表中的標(biāo)志對(duì)報(bào)文做相應(yīng)的處理;如果沒(méi)有命中,則送CPU,由CPU作進(jìn)一步處理。本發(fā)明提高了網(wǎng)絡(luò)的系統(tǒng)性能、降低了系統(tǒng)成本。文檔編號(hào)H04L12/04GK101212314SQ20061015616公開(kāi)日2008年7月2日申請(qǐng)日期2006年12月30日優(yōu)先權(quán)日2006年12月30日發(fā)明者萬(wàn)鶴林,濤曾,沈利軍,王萬(wàn)亭,鄒希良申請(qǐng)人:北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司
網(wǎng)友詢問(wèn)留言 已有0條留言
  • 還沒(méi)有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
1