專利名稱:利用acl對(duì)報(bào)文進(jìn)行業(yè)務(wù)匹配的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及防火墻技術(shù)領(lǐng)域�,特別涉及一種利用ACL對(duì)報(bào)文進(jìn)行業(yè)務(wù)匹配的方法�����。
背景技術(shù):
在防火墻設(shè)備上,使用最基礎(chǔ)也是最頻繁的就是ACL功能���,ACL全稱為AccessControl List,即訪問(wèn)控制列表�����。ACL功能可以配置報(bào)文的五元組����,包括源IP地址��、目的IP地址��、協(xié)議號(hào)�、源端口號(hào)、目的端口號(hào)��。ACL功能與其它功能結(jié)合形成了具體對(duì)報(bào)文執(zhí)行動(dòng)作的方式��。例如���,IPSec隧道使用ACL功能判斷哪些報(bào)文需要被加密����,哪些報(bào)文需要被丟棄,哪些報(bào)文需要被放行���;NAT轉(zhuǎn)換使用ACL功能來(lái)判斷哪些報(bào)文需要被哪些IP地址轉(zhuǎn)換��;三層安全控制使用ACL來(lái)判斷哪些報(bào)文可以被轉(zhuǎn)發(fā)��,哪些需要被丟棄���;策略路由使用ACL來(lái)判斷哪些報(bào)文基于路由查找之上直接將報(bào)文轉(zhuǎn)發(fā)到指定的出接口。當(dāng)以上所有功能被一起使用時(shí)���,每個(gè)業(yè)務(wù)處理模塊都需要配置獨(dú)立的ACL��,然后每個(gè)報(bào)文就會(huì)圍繞著各個(gè)模塊分別進(jìn)行業(yè)務(wù)匹配��,判斷是否需要做此業(yè)務(wù)����。例如��,配置了以上的所有業(yè)務(wù)之后��,每個(gè)報(bào)文的處理流程就變成了分別匹配三層安全控制模塊���、NAT轉(zhuǎn)換模塊��、策略路由模塊�、IPSec隧道加密模塊��,此時(shí)相當(dāng)于要在每個(gè)業(yè)務(wù)處理模塊中都匹配私有的ACL功能�����,共需匹配4次�����。但是���,從以上4個(gè)模塊中可以看出一個(gè)共同點(diǎn)����,就是都使用了 ACL作為是否執(zhí)行本業(yè)務(wù)的判斷方法�。所以,若是將ACL匹配抽取成一個(gè)獨(dú)立的模塊��,當(dāng)配置的時(shí)候?qū)CL匹配后的行為記錄到ACL項(xiàng)中���,那么對(duì)報(bào)文進(jìn)行處理時(shí)就只需匹配一次ACL�����,然后就可以知道該報(bào)文需要做哪些業(yè)務(wù)了�����,通過(guò)這種方法可以大大加快處理報(bào)文的速度�����。
發(fā)明內(nèi)容
(一)所要 解決的技術(shù)問(wèn)題本發(fā)明的目的在于提供一種利用ACL對(duì)報(bào)文進(jìn)行業(yè)務(wù)匹配的方法��,以解決現(xiàn)有的防火墻在對(duì)接收到的報(bào)文進(jìn)行業(yè)務(wù)匹配時(shí)����,需要依次通過(guò)每個(gè)業(yè)務(wù)處理模塊進(jìn)行ACL匹配,從而導(dǎo)致報(bào)文處理速度減慢的問(wèn)題�。(二)技術(shù)方案為了解決上述技術(shù)問(wèn)題,本發(fā)明提出了一種利用ACL對(duì)報(bào)文進(jìn)行業(yè)務(wù)匹配的方法�,所述方法包括以下步驟:S1、防火墻將所有報(bào)文的IP地址進(jìn)行分類����,得到N類IP地址�,并為所述N類IP地址分別配置ACL�����,從而得到N個(gè)ACL����,其中�����,N為正整數(shù)����,所述N個(gè)ACL分別記錄每類IP地址對(duì)應(yīng)的報(bào)文需要執(zhí)行的業(yè)務(wù)類型;S2�、當(dāng)所述防火墻接收到報(bào)文時(shí),根據(jù)所述報(bào)文的IP地址��,在所述N個(gè)ACL中找到對(duì)應(yīng)的ACL進(jìn)行匹配�,從而得到所述報(bào)文需要執(zhí)行的業(yè)務(wù)類型;S3�、所述防火墻根據(jù)所述報(bào)文需要執(zhí)行的業(yè)務(wù)類型將所述報(bào)文發(fā)送給相應(yīng)的業(yè)務(wù)處理模塊進(jìn)行處理。
可選的����,所述IP地址包括源IP地址或目的IP地址�?��?蛇x的�,步驟SI中�,每類IP地址對(duì)應(yīng)的報(bào)文需要執(zhí)行的業(yè)務(wù)類型包括三層安全控制、NAT轉(zhuǎn)換��、策略路由或IPSec加密����;步驟S3中,所述業(yè)務(wù)處理模塊包括三層安全控制模塊���、NAT轉(zhuǎn)換模塊��、策略路由模塊或IPSec加密模塊����?�?蛇x的,步驟SI中�����,當(dāng)某類IP地址對(duì)應(yīng)的報(bào)文需要執(zhí)行的業(yè)務(wù)類型包括IPSec加密時(shí)���,與之相對(duì)應(yīng)的ACL指定一個(gè)固定的IPSec隧道進(jìn)行加密���。(三)有益效果本發(fā)明提出的技術(shù)方案將ACL匹配模塊單獨(dú)抽取出來(lái)����,使其獨(dú)立于各業(yè)務(wù)處理模塊之上,當(dāng)防火墻接收到報(bào)文時(shí)��,僅需根據(jù)報(bào)文的IP地址進(jìn)行一次ACL匹配��,就可以知道該報(bào)文需要做哪些業(yè)務(wù)處理了�。這樣一方面能夠?qū)CL匹配的次數(shù)減少為每個(gè)報(bào)文僅需一次;另一方面�,根據(jù)報(bào)文實(shí)際需要執(zhí)行的業(yè)務(wù)類型將報(bào)文發(fā)送給相應(yīng)的業(yè)務(wù)處理模塊進(jìn)行處理,能夠避免報(bào)文跟不必要的業(yè)務(wù)處理模塊進(jìn)行業(yè)務(wù)匹配�。總之����,本發(fā)明提出的方法可以大大加快防火墻對(duì)報(bào)文的處理速度���。
圖1是本發(fā)明提出的利用ACL對(duì)報(bào)文進(jìn)行業(yè)務(wù)匹配的方法的基本流程圖。
具體實(shí)施例方式下面結(jié)合附圖和實(shí)施例���,對(duì)本發(fā)明的具體實(shí)施方式
作進(jìn)一步詳細(xì)描述����。如圖1所示����,本發(fā)明提出的利用ACL對(duì)報(bào)文進(jìn)行業(yè)務(wù)匹配的方法包括以下步驟:
S1、防火墻將所有報(bào)文的IP地址進(jìn)行分類���,得到N類IP地址����,并為所述N類IP地址分別配置ACL����,從而得到N個(gè)ACL,其中��,N為正整數(shù),所述N個(gè)ACL分別記錄每類IP地址對(duì)應(yīng)的報(bào)文需要執(zhí)行的業(yè)務(wù)類型���;S2�����、當(dāng)所述防火墻接收到報(bào)文時(shí)����,根據(jù)所述報(bào)文的IP地址���,在所述N個(gè)ACL中找到對(duì)應(yīng)的ACL進(jìn)行匹配,從而得到所述報(bào)文需要執(zhí)行的業(yè)務(wù)類型�����;S3�����、所述防火墻根據(jù)所述報(bào)文需要執(zhí)行的業(yè)務(wù)類型將所述報(bào)文發(fā)送給相應(yīng)的業(yè)務(wù)處理模塊進(jìn)行處理���。所述IP地址既可以是報(bào)文的源IP地址��,也可以是報(bào)文的目的IP地址����。下面通過(guò)一個(gè)實(shí)施例對(duì)上述方法的實(shí)現(xiàn)過(guò)程進(jìn)行詳細(xì)說(shuō)明。在本實(shí)施例中��,共將所有報(bào)文的IP地址分為4類�,并對(duì)應(yīng)地配置4個(gè)ACL,每類IP地址對(duì)應(yīng)的報(bào)文需要執(zhí)行的業(yè)務(wù)類型包括三層安全控制��、NAT轉(zhuǎn)換�����、策略路由或IPSec加密�����,涉及的業(yè)務(wù)處理模塊包括三層安全控制模塊����、NAT轉(zhuǎn)換模塊、策略路由模塊和IPSec加密模塊��,具體如下:配置一個(gè)ACLl���,匹配的IP地址為1.1.1.1-1.1.1.10����,執(zhí)行的動(dòng)作是丟棄;配置一個(gè)ACL2����,匹配的IP地址為2.2.2.1-2.2.2.10,執(zhí)行的動(dòng)作是放行并作NAT模塊轉(zhuǎn)換�,轉(zhuǎn)換的IP地址為公網(wǎng)IP地址202.1.1.1 ;配置一個(gè)ACL3��,匹配的IP地址為3.3.3.1-3.3.3.10����,執(zhí)行的動(dòng)作是放行,做NAT模塊轉(zhuǎn)換��,轉(zhuǎn)換的IP地址為公網(wǎng)IP地址202.1.1.2��,并做策略路由����,指定出接口為0/0/1 ��;配置一個(gè)ACL4,匹配的IP地址為4.4.4.1-4.4.4.10���,執(zhí)行的動(dòng)作是放行����,做NAT模塊轉(zhuǎn)換�,轉(zhuǎn)換的IP地址為公網(wǎng)IP地址202.1.1.3,做策略路由����,指定出接口為0/0/1,并做IPSec隧道加密���。當(dāng)有一個(gè)IP地址為1.1.1.1的報(bào)文通過(guò)防火墻時(shí)�����,根據(jù)ACL的匹配��,匹配上了ACLl規(guī)則��,規(guī)則內(nèi)容是丟棄�,則直接丟棄此報(bào)文���。當(dāng)一個(gè)IP地址為4.4.4.1的報(bào)文通過(guò)防火墻時(shí)���,根據(jù)ACL的匹配��,匹配上了 ACL4����,則此報(bào)文需要依次執(zhí)行NAT轉(zhuǎn)換�、策略路由和IPSec隧道加密處理。當(dāng)報(bào)文需要執(zhí)行IPSec隧道匹配時(shí)��,此時(shí)如果配置了多個(gè)IPSec隧道�����,由于每個(gè)IPSec隧道的ACL是獨(dú)有的��,所以ACL4會(huì)指定一個(gè)固定的IPSec隧道進(jìn)行加密�。在上述實(shí)施例中,如果按照現(xiàn)有的方式���,每個(gè)業(yè)務(wù)處理模塊若是需要配置10條ACL,那么4個(gè)模塊就需要配置40個(gè)ACL,但往往在配置中模塊間的ACL配置會(huì)重復(fù)���。但是�����,如果采用本發(fā)明提出的方法���,就會(huì)使一個(gè)報(bào)文在一個(gè)整體的ACL表中匹配到ACL表項(xiàng)���,再根據(jù)表項(xiàng)中所配置的動(dòng)作對(duì)報(bào)文進(jìn)行處理。例如����,ACL4需要全部的4個(gè)模塊進(jìn)行處理,那么就相當(dāng)于一個(gè)報(bào)文原先需要4次ACL匹配���,而現(xiàn)在減少到I次ACL匹配���,這樣就大大提高了防火墻對(duì)報(bào)文的處理速度。需要指出的是��,業(yè)務(wù)處理模塊的類型并不局限于上述實(shí)施例所述的4種模塊���,業(yè)務(wù)處理模塊是根據(jù)每個(gè)防火墻的實(shí)際功能進(jìn)行配置的���。因此���,對(duì)報(bào)文的IP地址進(jìn)行分類以及配置對(duì)應(yīng)的ACL時(shí),也需要根據(jù)防火墻的具體功能以及報(bào)文的類型進(jìn)行靈活設(shè)置�。以上所述僅是本發(fā)明的優(yōu)選實(shí)施方式,應(yīng)當(dāng)指出�����,對(duì)于本領(lǐng)域的普通技術(shù)人員來(lái)說(shuō)�,在不脫離本發(fā)明技術(shù)原理的前提下,還可以做出若干改進(jìn)和替換��,這些改進(jìn)和替換也應(yīng)視為本發(fā)明的保護(hù)范 圍�����。
權(quán)利要求
1.一種利用ACL對(duì)報(bào)文進(jìn)行業(yè)務(wù)匹配的方法���,其特征在于���,所述方法包括以下步驟: 51、防火墻將所有報(bào)文的IP地址進(jìn)行分類,得到N類IP地址�����,并為所述N類IP地址分別配置ACL���,從而得到N個(gè)ACL,其中�����,N為正整數(shù)���,所述N個(gè)ACL分別記錄每類IP地址對(duì)應(yīng)的報(bào)文需要執(zhí)行的業(yè)務(wù)類型���; 52、當(dāng)所述防火墻接收到報(bào)文時(shí)�����,根據(jù)所述報(bào)文的IP地址�,在所述N個(gè)ACL中找到對(duì)應(yīng)的ACL進(jìn)行匹配,從而得到所述報(bào)文需要執(zhí)行的業(yè)務(wù)類型��; 53、所述防火墻根據(jù)所述報(bào)文需要執(zhí)行的業(yè)務(wù)類型將所述報(bào)文發(fā)送給相應(yīng)的業(yè)務(wù)處理模塊進(jìn)行處理�����。
2.根據(jù)權(quán)利要求1所述的方法�����,其特征在于���,所述IP地址包括源IP地址或目的IP地址����。
3.根據(jù)權(quán)利要求1所述的方法�,其特征在于,步驟SI中�,每類IP地址對(duì)應(yīng)的報(bào)文需要執(zhí)行的業(yè)務(wù)類型包括三層安全控制、NAT轉(zhuǎn)換��、策略路由或IPSec加密�����;步驟S3中�,所述業(yè)務(wù)處理模塊包括三層安全控制模塊����、NAT轉(zhuǎn)換模塊���、策略路由模塊或IPSec加密模塊。
4.根據(jù)權(quán)利要求3所述的方法����,其特征在于,步驟SI中���,當(dāng)某類IP地址對(duì)應(yīng)的報(bào)文需要執(zhí)行的業(yè)務(wù)類型包括IPSec加密時(shí)����,與之相對(duì)應(yīng)的ACL指定一個(gè)固定的IPSec隧道進(jìn)行加密�����。 ·
全文摘要
本發(fā)明涉及防火墻技術(shù)����,具體公開了一種利用ACL對(duì)報(bào)文進(jìn)行業(yè)務(wù)匹配的方法。該方法包括防火墻將所有報(bào)文的IP地址進(jìn)行分類�,得到N類IP地址,并為N類IP地址分別配置ACL,得到N個(gè)ACL�,N個(gè)ACL分別記錄每類IP地址對(duì)應(yīng)的報(bào)文需要執(zhí)行的業(yè)務(wù)類型;當(dāng)防火墻接收到報(bào)文時(shí)�����,根據(jù)所述報(bào)文的IP地址����,在N個(gè)ACL中找到對(duì)應(yīng)的ACL進(jìn)行匹配,從而得到所述報(bào)文需要執(zhí)行的業(yè)務(wù)類型���;防火墻根據(jù)所述報(bào)文需要執(zhí)行的業(yè)務(wù)類型將所述報(bào)文發(fā)送給相應(yīng)的業(yè)務(wù)處理模塊進(jìn)行處理��。采用本發(fā)明提出的技術(shù)方案�����,防火墻對(duì)報(bào)文進(jìn)行處理時(shí)只需匹配一次ACL���,就可以知道該報(bào)文需要做哪些業(yè)務(wù)了,通過(guò)這種方法可以大大加快處理報(bào)文的速度�。
文檔編號(hào)H04L29/12GK103220287SQ201310124039
公開日2013年7月24日 申請(qǐng)日期2013年4月11日 優(yōu)先權(quán)日2013年4月11日
發(fā)明者陳海濱 申請(qǐng)人:漢柏科技有限公司