本申請涉及網(wǎng)絡(luò)通信技術(shù)領(lǐng)域,特別涉及一種報文過濾的方法和裝置。
背景技術(shù):
隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展,接入網(wǎng)絡(luò)的設(shè)備數(shù)量以及設(shè)備的種類越來越多,從而使得在一些特定的使用場景中報文的流量過大,且在這大量的報文中,含有大量雜包,甚至含有大量攻擊報文以及竊取網(wǎng)絡(luò)資源的非法報文等。
在現(xiàn)有技術(shù)中,通過帶有包過濾功能的設(shè)備將這些非法報文進行過濾。在實現(xiàn)時,設(shè)備接收到報文時,可以將報文上送至cpu,cpu可以從所述報文中獲取該報文的五元組,然后基于所述五元組對該報文進行認(rèn)證,如果認(rèn)證通過就可以將該報文正常轉(zhuǎn)發(fā);如果認(rèn)證失敗,可以將該報文丟棄。
然而,現(xiàn)有技術(shù)無法徹底對非法報文完全過濾,且現(xiàn)有技術(shù)的會話策略是在ip層實現(xiàn)的,需要獲取報文的五元組信息,而獲得五元組信息需要逐層解析報文,從而使得設(shè)備性能較差。
技術(shù)實現(xiàn)要素:
有鑒于此,本申請?zhí)峁┮环N報文過濾的方法和裝置,應(yīng)用于寬帶遠程接入服務(wù)器,提高網(wǎng)絡(luò)資源的安全性。
具體地,本申請是通過如下技術(shù)方案實現(xiàn)的:
一種報文過濾的方法,應(yīng)用于寬帶遠程接入服務(wù)器,所述寬帶遠程接入服務(wù)器包括cpu和轉(zhuǎn)發(fā)芯片,包括:
轉(zhuǎn)發(fā)芯片將接收到的報文與會話表項進行匹配;其中,所述會話表項包括mac地址,以及與所述mac地址對應(yīng)的報文處理標(biāo)簽;
如果所述報文未命中會話表項,轉(zhuǎn)發(fā)芯片將所述報文上送至cpu,由cpu基于源mac地址對發(fā)送所述報文的目標(biāo)設(shè)備進行安全認(rèn)證,并基于安全認(rèn)證的結(jié)果為所述報文生成會話表項,以及將所述會話表項下發(fā)至轉(zhuǎn)發(fā)芯片;
如果所述報文命中會話表項,轉(zhuǎn)發(fā)芯片基于所述會話表項中的報文處理標(biāo)簽對所述報文進行過濾處理。
一種報文過濾的裝置,應(yīng)用于寬帶遠程接入服務(wù)器,所述寬帶遠程接入服務(wù)器包括cpu和轉(zhuǎn)發(fā)芯片,包括:
匹配單元,用于轉(zhuǎn)發(fā)芯片將接收到的報文與會話表項進行匹配;其中,所述會話表項包括mac地址,以及與所述mac地址對應(yīng)的報文處理標(biāo)簽;
生成單元,用于如果所述報文未命中會話表項,轉(zhuǎn)發(fā)芯片將所述報文上送至cpu,由cpu基于源mac地址對發(fā)送所述報文的目標(biāo)設(shè)備進行安全認(rèn)證,并基于安全認(rèn)證的結(jié)果為所述報文生成會話表項,以及將所述會話表項下發(fā)至轉(zhuǎn)發(fā)芯片;
過濾單元,用于如果所述報文命中會話表項,轉(zhuǎn)發(fā)芯片基于所述會話表項中的報文處理標(biāo)簽對所述報文進行過濾處理。
在本申請示出的實施例中,寬帶遠程接入服務(wù)器可以將接收到的報文上送至cpu,cpu可以通過該報文的源mac地址對該報文進行安全認(rèn)證,然后根據(jù)認(rèn)證結(jié)果,針對該mac地址創(chuàng)建會話表項,并將所述會話表項下發(fā)至轉(zhuǎn)發(fā)芯片,從而,轉(zhuǎn)發(fā)芯片可以根據(jù)會話表項對接收到報文進行匹配,并根據(jù)匹配結(jié)果對報文進行相應(yīng)的過濾處理。由于本實施的會話策略是在轉(zhuǎn)發(fā)芯片上實現(xiàn),從而可以提高寬帶遠程接入服務(wù)器的報文過濾的性能。
附圖說明
圖1為本申請一示例性實施例示出的一種報文過濾的方法流程圖;
圖2為本申請一種報文過濾的裝置所在寬帶遠程接入服務(wù)器的一種硬件結(jié)構(gòu)圖;
圖3為本申請一示例性實施例示出的一種報文過濾的裝置。
具體實施方式
這里將詳細地對示例性實施例進行說明,其示例表示在附圖中。下面的描述涉及附圖時,除非另有表示,不同附圖中的相同數(shù)字表示相同或相似的要素。以下示例性實施例中所描述的實施方式并不代表與本申請相一致的所有實施方式。相反,它們僅是與如所附權(quán)利要求書中所詳述的、本申請的一些方面相一致的裝置和方法的例子。
在本申請使用的術(shù)語是僅僅出于描述特定實施例的目的,而非旨在限制本申請。在本申請和所附權(quán)利要求書中所使用的單數(shù)形式的“一種”、“所述”和“該”也旨在包括多數(shù)形式,除非上下文清楚地表示其他含義。還應(yīng)當(dāng)理解,本文中使用的術(shù)語“和/或”是指并包含一個或多個相關(guān)聯(lián)的列出項目的任何或所有可能組合。
應(yīng)當(dāng)理解,盡管在本申請可能采用術(shù)語第一、第二、第三等來描述各種信息,但這些信息不應(yīng)限于這些術(shù)語。這些術(shù)語僅用來將同一類型的信息彼此區(qū)分開。例如,在不脫離本申請范圍的情況下,第一信息也可以被稱為第二信息,類似地,第二信息也可以被稱為第一信息。取決于語境,如在此所使用的詞語“如果”可以被解釋成為“在……時”或“當(dāng)……時”或“響應(yīng)于確定”。
在網(wǎng)絡(luò)中,各網(wǎng)絡(luò)設(shè)備通過報文的傳輸,實現(xiàn)各網(wǎng)絡(luò)設(shè)備之間的通信。其中,所述報文可以分為合法報文和非法報文。
為了將非法報文進行過濾,改善網(wǎng)絡(luò)環(huán)境,在相關(guān)技術(shù)中,可以采用具有包過濾功能的設(shè)備對非法報文進行過濾。具體地,可以在設(shè)備的cpu上預(yù)配置報文過濾規(guī)則,然后將接收到的報文與報文過濾規(guī)則進行安全認(rèn)證,認(rèn)證成功則允許將該報文進行轉(zhuǎn)發(fā),否則將該報文進行丟棄。
其中,將接收到的報文與報文過濾規(guī)則進行安全認(rèn)證時,設(shè)備可以將接收到的報文上傳至cpu,然后可以通過獲取報文的五元組,所述五元組為源ip地址、目的ip地址、協(xié)議類型(tcp包、udp包)、源端口、目的端口,然后將所述五元組與報文過濾規(guī)則進行匹配,其中,所述報文過濾規(guī)則為針對報文的五元組制定的規(guī)則。從上述匹配過程可以看出該匹配過程在網(wǎng)絡(luò)協(xié)議中的第三層實施的。
然而,一方面,相關(guān)技術(shù)中,帶包過濾功能的設(shè)備每接收到報文,就需要將報文上送至cpu,由cpu對報文進行認(rèn)證處理,這樣會導(dǎo)致占用大量的cpu資源。
另一方面,設(shè)備接收到的報文中,大量報文的源mac地址相同,那么采用上述技術(shù)方案對報文進行過濾時,均需要將這些報文上送cpu,由cpu對這些報文進行解析,并從中獲取五元組,最后基于所述五元組對所述報文進行安全認(rèn)證,這樣的認(rèn)證速率比較慢。
此外,認(rèn)證設(shè)備上的過濾規(guī)則為預(yù)先配置的,在網(wǎng)絡(luò)中傳輸?shù)膱笪暮头N類數(shù)量龐大,且網(wǎng)絡(luò)黑客可以采用相應(yīng)的技術(shù),將傳輸?shù)膱笪囊?guī)避掉過濾規(guī)則,因此,上述技術(shù)方案無法將所有的非法報文進行過濾,從而降低了認(rèn)證設(shè)備的認(rèn)證效率,使得網(wǎng)絡(luò)資源的安全性降低。
綜上所述,可以看出現(xiàn)有技術(shù)提出的方法中,設(shè)備的報文過濾的性能比較差。
為了解決相關(guān)技術(shù)中的問題,本申請?zhí)峁┝艘环N報文過濾的方法,應(yīng)用于寬帶遠程接入服務(wù)器,所述寬帶遠程接入服務(wù)器包括cpu和轉(zhuǎn)發(fā)芯片,通過轉(zhuǎn)發(fā)芯片將接收到的報文與會話表項進行匹配;其中,所述會話表項包括mac地址,以及與所述mac地址對應(yīng)的報文處理標(biāo)簽;如果所述報文未命中會話表項,轉(zhuǎn)發(fā)芯片將所述報文上送至cpu,由cpu基于源mac地址對發(fā)送所述報文的目標(biāo)設(shè)備進行安全認(rèn)證,并基于安全認(rèn)證的結(jié)果為所述報文生成會話表項,以及將所述會話表項下發(fā)至轉(zhuǎn)發(fā)芯片;如果所述報文命中會話表項,轉(zhuǎn)發(fā)芯片基于所述會話表項中的報文處理標(biāo)簽對所述報文進行過濾處理。
在本申請示出的實施例中,寬帶遠程接入服務(wù)器可以將接收到的報文上送至cpu,cpu可以通過該報文的源mac地址對該報文進行安全認(rèn)證,然后根據(jù)認(rèn)證結(jié)果,針對該mac地址創(chuàng)建會話表項,并將所述會話表項下發(fā)至轉(zhuǎn)發(fā)芯片,從而,轉(zhuǎn)發(fā)芯片可以根據(jù)會話表項對接收到報文進行匹配,并根據(jù)匹配結(jié)果對報文進行相應(yīng)的過濾處理。由于本實施的會話策略是在轉(zhuǎn)發(fā)芯片上實現(xiàn),從而可以提高寬帶遠程接入服務(wù)器的報文過濾的性能。
請參見圖1,圖1為本申請一示例性實施例示出的一種報文過濾的方法流程圖,應(yīng)用于寬帶遠程接入服務(wù)器,具體執(zhí)行以下步驟:
步驟101:轉(zhuǎn)發(fā)芯片將接收到的報文與會話表項進行匹配;其中,所述會話表項包括mac地址,以及與所述mac地址對應(yīng)的報文處理標(biāo)簽;
步驟102:如果所述報文未命中會話表項,轉(zhuǎn)發(fā)芯片將所述報文上送至cpu,由cpu基于源mac地址對發(fā)送所述報文的目標(biāo)設(shè)備進行安全認(rèn)證,并基于安全認(rèn)證的結(jié)果為所述報文生成會話表項,以及將所述會話表項下發(fā)至轉(zhuǎn)發(fā)芯片;
步驟103:如果所述報文命中會話表項,轉(zhuǎn)發(fā)芯片基于所述會話表項中的報文處理標(biāo)簽對所述報文進行過濾處理。
其中,上述寬帶遠程接入服務(wù)器包括cpu和轉(zhuǎn)發(fā)芯片。
上述cpu中預(yù)先配置了mac地址名單,用于對上送至cpu的報文進行mac認(rèn)證,并基于所述mac地址創(chuàng)建對應(yīng)的會話表項,然后將所述會話表項下發(fā)至轉(zhuǎn)發(fā)芯片。這里只是對cpu上的配置以及cpu的mac認(rèn)證功能進行示例性說明,至于cpu的其它配置和功能在此不進行限定。
上述轉(zhuǎn)發(fā)芯片的緩存空間中緩存了由若干會話表項組成的會話表,所述轉(zhuǎn)發(fā)芯片用于將接收到的報文進行安全認(rèn)證,然后將認(rèn)證成功的報文進行轉(zhuǎn)發(fā),以及將認(rèn)證失敗的報文按照預(yù)設(shè)的處理策略進行處理。這里只是對轉(zhuǎn)發(fā)芯片的配置和報文認(rèn)證功能進行示例性說明,至于轉(zhuǎn)發(fā)芯片的其它配置和功能在此不進行限定。
上述會話表項包括mac地址,以及按照預(yù)設(shè)策略為mac地址添加的報文處理標(biāo)簽。其中,所述報文處理標(biāo)簽用于將匹配中的報文,基于所述報文處理標(biāo)簽進行相應(yīng)的處理。這里只是對會話表項的內(nèi)容以及功能進行示例性說明,至于會話表項中的其它內(nèi)容以及功能、會話表項的格式等在此不進行限定。
在本申請中,轉(zhuǎn)發(fā)芯片將接收到的報文的mac地址與緩存空間中的會話表項進行匹配。如果沒有匹配成功,將所述報文上傳至cpu。cpu對轉(zhuǎn)發(fā)芯片上傳的報文進行安全認(rèn)證,并基于認(rèn)證結(jié)果針對所述報文的mac地址創(chuàng)建會話表項,然后將會話表項下發(fā)至轉(zhuǎn)發(fā)芯片;如果匹配成功,將所述報文按照與匹配中的會話表項對應(yīng)的報文處理標(biāo)簽進行處理。
在實現(xiàn)時,cpu上可以預(yù)先配置mac地址白名單。
需要說明的是,在cpu上可以配置mac地址黑名單。在實際中,需要根據(jù)具體的實際情況來考慮,比如,如果網(wǎng)絡(luò)實際應(yīng)用場景中限定了接入設(shè)備的數(shù)量,那么通??梢栽赾pu上配置mac地址白名單,也可是黑名單。如果網(wǎng)絡(luò)應(yīng)用場景為整個英特網(wǎng),那么接入網(wǎng)絡(luò)的設(shè)備數(shù)量龐大,在cpu上配置mac地址黑名單工程量比較龐大,一般配置mac地址白名單比較實際、可行。
以下以cpu上預(yù)先配置了mac地址白名單,對本申請?zhí)峁┑募夹g(shù)方案進行描述。
在示出的一種實施方式中,當(dāng)轉(zhuǎn)發(fā)芯片接收到報文時,可以解析該報文,并可以從該報文中獲取該報文的源mac地址。然后,轉(zhuǎn)發(fā)芯片可以將該源mac地址與緩存空間中緩存的若干會話表項進行匹配。
需要注意的是,在轉(zhuǎn)發(fā)芯片解析該報文時,只需要解析到該報文的報頭中的第二層,相比于相關(guān)技術(shù)中,在解析報文時,需要解析到報文的報頭中的第三層,在本申請的技術(shù)方案中,轉(zhuǎn)發(fā)芯片所需要付出的工作量更少。
一方面,如果該源mac地址未匹配中會話表中的任何會話表項,轉(zhuǎn)發(fā)芯片可以將該報文上送至cpu,由cpu對該報文進行安全認(rèn)證。
當(dāng)cpu接收到轉(zhuǎn)發(fā)芯片上送的報文時,cpu可以解析該報文,并從該報文中獲取該報文源mac地址。然后,cpu可以將該源mac地址與cpu上配置的mac地址白名單進行匹配。
在一種可能發(fā)生的情況中,如果該源mac地址匹配中mac地址白名單中的任一mac地址,表明發(fā)送該報文的目標(biāo)設(shè)備為合法用戶的設(shè)備,此時,cpu可以針對該源mac地址創(chuàng)建對應(yīng)的會話表項,并針對所述源mac地址在所述會話表項中添加報文處理標(biāo)簽。
需要說明的是,cpu可以針對上述mac地址添加報文處理標(biāo)簽,也可以不添加報文處理標(biāo)簽,這兩種方式均可以,在本申請中對于選擇何種方式不作限定。
在另一種可能發(fā)生的情況中,如果該源mac地址與mac地址白名單中的mac地址均不匹配,表明發(fā)送該報文的目標(biāo)設(shè)備為非法用戶的設(shè)備,此時,cpu可以針對該源mac地址創(chuàng)建對應(yīng)的會話表項,并基于用戶預(yù)配置的過濾策略,在所述會話表項中添加對應(yīng)的報文處理標(biāo)簽。
需要說明的是,上述用戶預(yù)配置的過濾策略可以基于需求進行更新,且所述過濾策略可以是多條過濾策略組成的集合,其中各過濾策略之間可以存在優(yōu)先級。這里只是對過濾策略的構(gòu)成形式進行示例性的說明,至于過濾策略的其它構(gòu)成形式在此不進行限定。
當(dāng)cpu創(chuàng)建完會話表項后,cpu可以將該會話表項下發(fā)至轉(zhuǎn)發(fā)芯片。轉(zhuǎn)發(fā)芯片接收到cpu下發(fā)的會話表項后,可以將該會話表項緩存至緩存空間。
另一方面,如果該源mac地址匹配中會話表中的任一會話表項,轉(zhuǎn)發(fā)芯片可以按照匹配中的會話表項中的報文處理標(biāo)簽,對報文進行相應(yīng)的處理。
在可選的一種實施方式中,如果在針對mac地址白名單中的mac地址創(chuàng)建的會話表項中,也添加了報文處理標(biāo)簽,在這樣的情況下,當(dāng)報文的mac地址匹配中會話表中的會話表項時,轉(zhuǎn)發(fā)芯片可以將該報文按照匹配中的會話表項中的報文處理標(biāo)簽進行相應(yīng)的處理。
其中,所述報文處理標(biāo)簽包括放行標(biāo)簽、告警標(biāo)簽、阻斷標(biāo)簽。
在該實施方式中,轉(zhuǎn)發(fā)芯片可以判斷該報文匹配中的會話表項中報文處理標(biāo)簽為何種報文處理標(biāo)簽。如果匹配中的會話表項中的報文處理標(biāo)簽為放行標(biāo)簽,轉(zhuǎn)發(fā)芯片可以將該報文進行轉(zhuǎn)發(fā)。
如果匹配中的會話表項中的報文處理標(biāo)簽為阻斷標(biāo)簽,轉(zhuǎn)發(fā)芯片可以將該報文進行丟棄。
如果匹配中的會話表項中的報文處理標(biāo)簽為告警標(biāo)簽,轉(zhuǎn)發(fā)芯片可以針對該報文生成告警日志,然后將所述告警日志發(fā)送至告警日志服務(wù)器。
需要說明的是,為了報文寬帶遠程接入服務(wù)器能夠?qū)⑺龈婢罩景l(fā)送至告警服務(wù)器,在寬帶遠程接入服務(wù)器上預(yù)先配置了告警日志服務(wù)器的ip地址及端口等信息。
在可選的另一種實施方式中,如果在針對mac地址白名單中的mac地址創(chuàng)建的會話表項中,不添加報文處理標(biāo)簽,在這樣的情況下,當(dāng)報文的mac地址匹配中會話表中的會話表項時,轉(zhuǎn)發(fā)芯片可以判斷匹配中的會話表項是否存在報文處理標(biāo)簽。
當(dāng)該匹配中的會話表項不存在報文處理標(biāo)簽時,轉(zhuǎn)發(fā)芯片可以將該報文直接進行轉(zhuǎn)發(fā)。
當(dāng)該匹配中的會話表項中存在報文處理標(biāo)簽時,則轉(zhuǎn)發(fā)芯片可以進一步判斷該報文處理標(biāo)簽為何種報文處理標(biāo)簽。
如果該匹配中的會話表項中存在報文處理標(biāo)簽,轉(zhuǎn)發(fā)芯片可以按照報文處理標(biāo)簽對該報文進行相應(yīng)的處理。
如果匹配中的會話表項中的報文處理標(biāo)簽為阻斷標(biāo)簽,轉(zhuǎn)發(fā)芯片可以將該報文進行丟棄。
如果匹配中的會話表項中的報文處理標(biāo)簽為告警標(biāo)簽,轉(zhuǎn)發(fā)芯片可以針對該報文生成告警日志,然后將所述告警日志發(fā)送至告警日志服務(wù)器。
在本申請中,cpu上的mac地址白名單是用戶預(yù)先配置的,用戶可以對該mac地址白名單進行更新,用戶可以添加、刪除或者修改白名單中的mac地址。
當(dāng)cpu上的mac地址白名單發(fā)生更新時,cpu可以通知轉(zhuǎn)發(fā)芯片清空緩存空間中緩存的會話表項。轉(zhuǎn)發(fā)芯片接收到cpu發(fā)送的通知后,可以將緩存空間中緩存的若干會話表項進行清空,然后cpu可以對轉(zhuǎn)發(fā)芯片上送的報文,基于更新后的mac地址白名單,重新進行安全認(rèn)證,以及重新創(chuàng)建對應(yīng)的會話表項。
由以上本申請?zhí)峁┑募夹g(shù)方案可見,通過轉(zhuǎn)發(fā)芯片將接收到的報文與會話表項進行匹配;其中,所述會話表項包括mac地址,以及與所述mac地址對應(yīng)的報文處理標(biāo)簽;如果所述報文未命中會話表項,轉(zhuǎn)發(fā)芯片將所述報文上送至cpu,由cpu基于源mac地址對發(fā)送所述報文的目標(biāo)設(shè)備進行安全認(rèn)證,并基于安全認(rèn)證的結(jié)果為所述報文生成會話表項,以及將所述會話表項下發(fā)至轉(zhuǎn)發(fā)芯片;如果所述報文命中會話表項,轉(zhuǎn)發(fā)芯片基于所述會話表項中的報文處理標(biāo)簽對所述報文進行過濾處理。
在本申請示出的實施例中,寬帶遠程接入服務(wù)器可以將接收到的報文上送至cpu,cpu可以通過該報文的源mac地址對該報文進行安全認(rèn)證,然后根據(jù)認(rèn)證結(jié)果,針對該mac地址創(chuàng)建會話表項,并將所述會話表項下發(fā)至轉(zhuǎn)發(fā)芯片,從而,轉(zhuǎn)發(fā)芯片可以根據(jù)會話表項對接收到報文進行匹配,并根據(jù)匹配結(jié)果對報文進行相應(yīng)的過濾處理。由于本實施的會話策略是在轉(zhuǎn)發(fā)芯片上實現(xiàn),從而可以提高寬帶遠程接入服務(wù)器的報文過濾的性能。
與前述一種報文過濾的方法的實施例相對應(yīng),本申請還提供了一種報文過濾的裝置的實施例。
本申請一種報文過濾的裝置的實施例可以應(yīng)用在寬帶遠程接入服務(wù)器上。裝置實施例可以通過軟件實現(xiàn),也可以通過硬件或者軟硬件結(jié)合的方式實現(xiàn)。以軟件實現(xiàn)為例,作為一個邏輯意義上的裝置,是通過其所在寬帶遠程接入服務(wù)器的處理器將非易失性存儲器中對應(yīng)的計算機程序指令讀取到內(nèi)存中運行形成的。從硬件層面而言,如圖2所示,為本申請一種報文過濾的裝置所在寬帶遠程接入服務(wù)器的一種硬件結(jié)構(gòu)圖,除了圖2所示的處理器、內(nèi)存、網(wǎng)絡(luò)接口、以及非易失性存儲器之外,實施例中裝置所在的寬帶遠程接入服務(wù)器通常根據(jù)該報文過濾的實際功能,還可以包括其他硬件,對此不再贅述。
請參考圖3,圖3為本申請一示例性實施例示出的一種報文過濾的裝置,應(yīng)用于寬帶遠程接入服務(wù)器,所述寬帶遠程接入服務(wù)器包括cpu和轉(zhuǎn)發(fā)芯片,所述裝置包括:匹配單元310,生成單元320,過濾單元330。
其中,匹配單元310,用于轉(zhuǎn)發(fā)芯片將接收到的報文與會話表項進行匹配;其中,所述會話表項包括mac地址,以及與所述mac地址對應(yīng)的報文處理標(biāo)簽;
生成單元320,用于如果所述報文未命中會話表項,轉(zhuǎn)發(fā)芯片將所述報文上送至cpu,由cpu基于源mac地址對發(fā)送所述報文的目標(biāo)設(shè)備進行安全認(rèn)證,并基于安全認(rèn)證的結(jié)果為所述報文生成會話表項,以及將所述會話表項下發(fā)至轉(zhuǎn)發(fā)芯片;
過濾單元330,用于如果所述報文命中會話表項,轉(zhuǎn)發(fā)芯片基于所述會話表項中的報文處理標(biāo)簽對所述報文進行過濾處理。
在本申請的實施例中,所述生成單元320具體用于:
獲取所述報文的源mac地址;
將所述源mac地址與預(yù)設(shè)的mac地址白名單進行匹配;
如果所述源mac地址未命中所述mac地址白名單,基于所述源mac地址創(chuàng)建會話表項,并基于用戶預(yù)配置的過濾策略在所述會話表項中添加對應(yīng)的報文處理標(biāo)簽。
此外,所述生成單元320進一步用于:
如果所述源mac地址命中所述mac地址白名單,基于所述源mac地址創(chuàng)建會話表項;其中,所述會話表項未攜帶報文處理標(biāo)簽。
在本申請中,所述報文處理標(biāo)簽包括阻擋標(biāo)簽以及告警標(biāo)簽,所述過濾單元330具體用于:
判斷所述會話表項是否攜帶報文處理標(biāo)簽;
如果所述會話表項未攜帶報文處理標(biāo)簽,正常轉(zhuǎn)發(fā)所述報文;
如果所述會話表項攜帶報文處理標(biāo)簽,則進一步識別所述處理標(biāo)簽的類型;
如果所述報文處理標(biāo)簽為阻斷標(biāo)簽,將所述報文進行丟棄;
如果所述報文處理標(biāo)簽為告警標(biāo)簽,生成告警日志,并將所述生成的告警日志下發(fā)至告警日志服務(wù)器。
另外,本申請示出的所述裝置中還包括:
清空單元,用于當(dāng)所述預(yù)設(shè)的mac地址白名單發(fā)生更新時,cpu通知所述轉(zhuǎn)發(fā)芯片清空所述會話表中的會話表項。
上述裝置中各個單元的功能和作用的實現(xiàn)過程具體詳見上述方法中對應(yīng)步驟的實現(xiàn)過程,在此不再贅述。
對于裝置實施例而言,由于其基本對應(yīng)于方法實施例,所以相關(guān)之處參見方法實施例的部分說明即可。以上所描述的裝置實施例僅僅是示意性的,其中所述作為分離部件說明的單元可以是或者也可以不是物理上分開的,作為單元顯示的部件可以是或者也可以不是物理單元,即可以位于一個地方,或者也可以分布到多個網(wǎng)絡(luò)單元上??梢愿鶕?jù)實際的需要選擇其中的部分或者全部模塊來實現(xiàn)本申請方案的目的。本領(lǐng)域普通技術(shù)人員在不付出創(chuàng)造性勞動的情況下,即可以理解并實施。
以上所述僅為本申請的較佳實施例而已,并不用以限制本申請,凡在本申請的精神和原則之內(nèi),所做的任何修改、等同替換、改進等,均應(yīng)包含在本申請保護的范圍之內(nèi)。