專利名稱:基于有用連接數(shù)據(jù)完整的安全內(nèi)容過濾分流器的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種網(wǎng)絡(luò)數(shù)據(jù)處理裝置����,具體涉及一種高速網(wǎng)絡(luò)環(huán)境中的數(shù)據(jù)包 過濾分流裝置�����。
背景技術(shù):
最近幾年,我國在寬帶骨干網(wǎng)絡(luò)方面�����,包括城域網(wǎng)方面發(fā)展迅猛�����,目前大部分區(qū)域骨干網(wǎng)的帶寬達(dá)到了 10G (Gigabit,千兆位)�,部分骨干網(wǎng)的帶寬即將升 到40G,而總的出口帶寬在特大型城市已經(jīng)達(dá)到了上百G的容量�����。電子政務(wù)����、電子 商務(wù)、電子娛樂等迅速發(fā)展��,網(wǎng)絡(luò)已經(jīng)逐步滲透到社會日常生活的各個方面��,但隨 之而來的計(jì)算機(jī)病毒、黑客���、信息間諜�、非法內(nèi)容等的泛濫�,對國家政府、企事業(yè) 單位互聯(lián)網(wǎng)的應(yīng)用構(gòu)成了重大安全威脅�,構(gòu)建相應(yīng)的安全設(shè)備成為重中之重,特別 是適應(yīng)高帶寬大流量的過濾分流裝置����。申請?zhí)枮?00410084539. 6的中國發(fā)明專利申請公開了 一種基于網(wǎng)絡(luò)處理器和 CPU陣列的交換架構(gòu)的安全過濾分流器,針對10G以上寬帶網(wǎng)絡(luò)環(huán)境下的數(shù)據(jù)處理 需求�����,根據(jù)網(wǎng)絡(luò)處理器和通用CPU處理器在海量數(shù)據(jù)處理上的特性�����,將對網(wǎng)絡(luò)數(shù)據(jù) 的過濾分流處理工作進(jìn)行合理分解�����,對請求數(shù)據(jù)包在不同的處理器上進(jìn)行分層次的 數(shù)據(jù)轉(zhuǎn)發(fā)處理和安全審查�����,使兩種處理器能夠充分地發(fā)揮各自的優(yōu)勢�,并采用數(shù)據(jù) 分流策略制定與數(shù)據(jù)轉(zhuǎn)發(fā)相分離的架構(gòu),從而減輕了安全過濾分流器的核心處理單 元的工作負(fù)擔(dān)����,在寬帶網(wǎng)絡(luò)環(huán)境下能夠達(dá)到安全高效的數(shù)據(jù)過濾分流處理性能,能 夠?yàn)楦鞣N寬帶網(wǎng)絡(luò)應(yīng)用提供較高的數(shù)據(jù)接入質(zhì)量�����。但該方案存在一定的不足����, 一方面由于板栽CPU內(nèi)存容量承載支持有限,不 能采用大量緩存數(shù)據(jù)包方式�,使得對于特定連接的數(shù)據(jù)內(nèi)容在CPU檢測到命中丟棄 規(guī)則時,相應(yīng)的數(shù)據(jù)頭部已經(jīng)下發(fā)到后端設(shè)備��,增加了無效數(shù)據(jù)處理壓力�,數(shù)據(jù)有 效性不夠;另一方面是由于通用CPU的處理能力有限���,當(dāng)安全特征匹配規(guī)則比較多時�,特別是采用正則表達(dá)式規(guī)則形式且有一定復(fù)雜度時會增大數(shù)據(jù)時延,導(dǎo)致丟包�����,同時隨著要求處理的有效數(shù)據(jù)容量不斷增加��,將導(dǎo)致非常龐大的通用CPU陣列��,這 樣會增加系統(tǒng)故障點(diǎn)����,導(dǎo)致系統(tǒng)的穩(wěn)定性也難以保證。由此可見����,在網(wǎng)絡(luò)帶寬不斷增加的情況下,對分流設(shè)備在數(shù)據(jù)轉(zhuǎn)發(fā)處理上的 安全規(guī)則處理性能����、轉(zhuǎn)發(fā)數(shù)據(jù)有效性和系統(tǒng)穩(wěn)定性等方面都提出了更高的要求,而 現(xiàn)有的技術(shù)和產(chǎn)品還無法完全滿足寬帶網(wǎng)絡(luò)對海量數(shù)據(jù)處理提出的高性能高數(shù)據(jù) 有效高穩(wěn)定的要求���。發(fā)明內(nèi)容本發(fā)明的目的在于解決上述問題����,提供了一種基于有用連接數(shù)據(jù)完整的安全 內(nèi)容過濾分流器,提升了在復(fù)雜正則表達(dá)式規(guī)則匹配情況下的內(nèi)容過濾性能����,減少 了整個系統(tǒng)的復(fù)雜性���,提高了穩(wěn)定性����,同時大大提升了轉(zhuǎn)發(fā)數(shù)據(jù)的有效性���,實(shí)現(xiàn)基 于有用連接數(shù)據(jù)完整的數(shù)據(jù)分流�。本發(fā)明的技術(shù)方案為本發(fā)明提供了 一種基于有用連接數(shù)據(jù)完整的安全內(nèi)容過濾分流器��,包括接入單元����、數(shù)據(jù)接入分配單元、內(nèi)容正則表達(dá)式匹配單元����、數(shù)據(jù)緩存單元和交換輸出單元,其中該接入單元接收來自網(wǎng)絡(luò)中的各種類型的大流量數(shù)據(jù)信號進(jìn)行光電轉(zhuǎn)換和幀 處理�,數(shù)據(jù)流還原為標(biāo)準(zhǔn)封裝格式的數(shù)據(jù)包����,通過一接口傳遞給與之連接的該數(shù)據(jù) 接入分配單元��;該數(shù)據(jù)接入分配單元�,與該接入單元連接,進(jìn)一步包括網(wǎng)絡(luò)處理器和外部內(nèi)存�,其中該網(wǎng)絡(luò)處理器進(jìn)一步包括幀頭信息處理模塊,接收該接入單元的數(shù)據(jù)包��,檢驗(yàn)該些數(shù)據(jù)包的完整 性并對該些數(shù)據(jù)包進(jìn)行封裝處理���;分類查找處理模塊�����,連接該幀頭信息處理模塊���,按照人工預(yù)設(shè)的過濾規(guī) 則或者該內(nèi)容正則表達(dá)式匹配單元動態(tài)設(shè)置的過濾MJ'],對該些數(shù)據(jù)包進(jìn)行匹配并 根據(jù)匹配結(jié)果在該些數(shù)據(jù)包的包頭位置打上相應(yīng)標(biāo)簽,過濾掉標(biāo)簽為"丟棄"的數(shù) 據(jù)包�,將標(biāo)簽為"細(xì)粒度處理"或"轉(zhuǎn)發(fā)處理"的數(shù)據(jù)包發(fā)送至下一個連接的模塊;轉(zhuǎn)發(fā)決策處理模塊����,連接該分類查找處理模塊�,接收該分類查找處理模 塊的數(shù)據(jù)包�,將標(biāo)簽為"轉(zhuǎn)發(fā)處理"的數(shù)據(jù)包發(fā)送至流量控制數(shù)據(jù)封裝模塊,同時接收該數(shù)據(jù)緩存單元發(fā)出的標(biāo)簽為"轉(zhuǎn)發(fā)處理"的數(shù)據(jù)包再發(fā)送至流量控制數(shù)據(jù)封裝模塊�;將標(biāo)簽為"細(xì)粒度處理"的數(shù)據(jù)包發(fā)送給該內(nèi)容正則表達(dá)式匹配單元,同時接收該內(nèi)容正則表達(dá)式匹配單元的反饋信息����,該反饋信息主要是動態(tài)設(shè)置相關(guān)的 連接匹配規(guī)則�,該些連接匹配規(guī)則在連接斷開后立即自動失效刪除力并將消息反饋給該內(nèi)容正則表達(dá)式匹配模塊;流量控制數(shù)據(jù)封裝模塊���,連接該轉(zhuǎn)發(fā)決策處理模塊���,接收來自該轉(zhuǎn)發(fā)決 策處理模塊的標(biāo)簽為"轉(zhuǎn)發(fā)處理"的數(shù)據(jù)包,去掉包頭標(biāo)簽后封裝為標(biāo)準(zhǔn)以太網(wǎng)格 式��,同時進(jìn)行負(fù)載均衡和流量控制��,將該些數(shù)據(jù)包有序發(fā)送至該交換輸出單元����;該內(nèi)容正則表達(dá)式匹配單元連接該數(shù)據(jù)接入分配單元和該數(shù)據(jù)緩存單元,進(jìn) 一步包括數(shù)據(jù)連接表管理及存儲空間管理模塊����,建立數(shù)據(jù)連接表管理數(shù)據(jù)包所在的 連接�����,同時管理整個數(shù)據(jù)緩存單元����,根據(jù)該數(shù)據(jù)緩存單元的反饋信息更新存儲空間 管理信息�;規(guī)則配置和正則表達(dá)式匹配搜索模塊,對數(shù)據(jù)包進(jìn)行細(xì)粒度檢查�,通過設(shè) 置關(guān)鍵字并利用關(guān)鍵字對數(shù)據(jù)包進(jìn)行內(nèi)容審查,篩選出有用連接�;設(shè)備基本運(yùn)行管理模塊,連接該數(shù)據(jù)連接管理及存儲空間管理模塊以及該 規(guī)則配置和正則表達(dá)式匹配搜索模塊�,用以初始化以及管理整個系統(tǒng);該數(shù)據(jù)緩存單元連接該轉(zhuǎn)發(fā)決策處理模塊和設(shè)備基本運(yùn)行管理模塊����,暫存數(shù)據(jù)包;該交換輸出單元連接該流量控制數(shù)據(jù)封裝模塊����,將來自該流量控制數(shù)據(jù)封裝 模塊的數(shù)據(jù)包輸出。上述的基于有用連接數(shù)據(jù)完整的安全內(nèi)容過濾分流器,其中�����,該接入單元由 若干個光電信號轉(zhuǎn)換模塊通過XFI總線連接成幀芯片構(gòu)成�,其中該些光電信號轉(zhuǎn)換 模塊進(jìn)行光電信號的轉(zhuǎn)換,該些成幀芯片按照PPP/HDLC over S0NET/SDH協(xié)議規(guī)范 從S0NET/SDH將數(shù)據(jù)流還原為PPP數(shù)據(jù)包�。上述的基于有用連接數(shù)據(jù)完整的安全內(nèi)容過濾分流器,其中��,該交換輸出單 元主要由千兆交換模塊和千兆光模塊組成�����,該交換輸出單元中的千兆光口通過串行 接口總線和該千兆光模塊相連�,該交換輸出單元根據(jù)制定的分發(fā)策略完成數(shù)據(jù)包分 發(fā)操作����。上述的基于有用連接數(shù)據(jù)完整的安全內(nèi)容過濾分流器,其中��,該些標(biāo)簽用于 傳遞信息��,包括命中規(guī)則相應(yīng)匹配動作的定義���、存儲空間位置的定義以及執(zhí)行命令 的定義�。
上述的基于有用連接數(shù)據(jù)完整的安全內(nèi)容過濾分流器,其中����,該分類查找處
理模塊的匹配是七層線速匹配,主要的過濾項(xiàng)包括規(guī)則號��、源機(jī)器地址���、目的機(jī) 器地址�、源IP地址�����、源IP掩碼�、目的IP地址、目的IP掩碼���、源端口號�����、目的端 口號以及一定長度字符內(nèi)的域名地址�。
上述的基于有用連接數(shù)據(jù)完整的安全內(nèi)容過濾分流器,其中�����,該轉(zhuǎn)發(fā)決策處 理模塊接收到的反饋信息包括指定連接的后續(xù)所有包的直接轉(zhuǎn)發(fā)�����、指定連接的后續(xù) 所有包的轉(zhuǎn)發(fā)緩存或指定連接的后續(xù)所有包的丟棄���。
上述的基于有用連接數(shù)據(jù)完整的安全內(nèi)容過濾分流器�,其中�����,該數(shù)據(jù)緩存單 元包括可編程邏輯門陣列和若干個工業(yè)標(biāo)準(zhǔn)服務(wù)器DDR內(nèi)存插槽陣列�����,其中可編程 邏輯門陣列包括數(shù)據(jù)接收和發(fā)送模塊��、數(shù)據(jù)存儲管理模塊和命令管理控制模塊����,該
匹配單元的數(shù)據(jù)包;該命令管理控制模塊接收配置信息���,進(jìn)行內(nèi)存空間掃描和空間 配置�����,同時對該數(shù)據(jù)接收和發(fā)送模塊接收到的命令進(jìn)行解析���;該數(shù)據(jù)存儲管理模塊 接收到命令后根據(jù)命令的要求對數(shù)據(jù)包進(jìn)行存儲。
上述的基于有用連接數(shù)據(jù)完整的安全內(nèi)容過濾分流器��,其中�����,該內(nèi)容正則表 達(dá)式匹配單元由一主芯片���、 一用于緩存搜索信息的搜索內(nèi)存以及一系統(tǒng)內(nèi)存組成����, 該設(shè)備基本運(yùn)行管理模塊設(shè)置在該主芯片內(nèi)�����,通過本地配置總線對該接入單元、該 數(shù)據(jù)接入分配單元���、該數(shù)據(jù)緩存單元和該交換輸出單元的各芯片進(jìn)行寄存器初始配 置管理和配置信息輸入�,包括存儲空間大小設(shè)置����、粗粒度過濾規(guī)則和細(xì)粒度過濾規(guī) 則配置輸入。
上述的基于有用連接數(shù)據(jù)完整的安全內(nèi)容過濾分流器�,其中,該規(guī)則配置和 正則表達(dá)式匹配搜索模塊進(jìn)行細(xì)粒度規(guī)則比對時�,若沒有命中,則將該連接數(shù)據(jù)包 暫時緩存到該數(shù)據(jù)緩存單元�,直到該連接被刪除后才釋放;若命中���,則配置要求該 連接后續(xù)數(shù)據(jù)包直接轉(zhuǎn)發(fā)的規(guī)則到該轉(zhuǎn)發(fā)決策處理模塊���,同時將當(dāng)前數(shù)據(jù)包緩存到 該數(shù)據(jù)緩存單元,要求該數(shù)據(jù)緩存單元將基于該連接緩存的所有數(shù)據(jù)包發(fā)送到該轉(zhuǎn) 發(fā)決策處理模塊����,以實(shí)現(xiàn)符合要求的數(shù)據(jù)連接分流下發(fā)且該連接數(shù)據(jù)包的內(nèi)容完整�����。
本發(fā)明對比現(xiàn)有技術(shù)有如下的有益效果(1 )本發(fā)明采用多級架構(gòu)設(shè)計(jì),將 海量數(shù)據(jù)處理任務(wù)合理拆解��,分配到不同的處理單元負(fù)責(zé)�,通過對不同處理單元處 理能力的提升,緩解了核心的數(shù)據(jù)分流處理單元的工作壓力����,提高了系統(tǒng)整體的處 理性能;(2 )采用高性能的網(wǎng)絡(luò)處理器技術(shù)實(shí)現(xiàn)數(shù)據(jù)分流處理����,支持20G以上的 數(shù)據(jù)處理性能;(3 )釆用了高性能的內(nèi)容正則表達(dá)式匹配模塊進(jìn)行細(xì)粒度過濾�����, 避免了復(fù)雜低效的CPU陣列�����,使整個系統(tǒng)的穩(wěn)定性和實(shí)時性有了很大提高����,便于設(shè) 備小型化模塊化�;(4)采用了大規(guī)模內(nèi)存存儲陣列���,并與內(nèi)容正則表達(dá)式匹配模 塊實(shí)現(xiàn)了互動��,實(shí)現(xiàn)了未知數(shù)據(jù)的臨時緩存���,大大提升了數(shù)據(jù)轉(zhuǎn)發(fā)的有效性,降低 了后端處理系統(tǒng)的無效處理負(fù)荷���。
圖1是本發(fā)明的基于有用連接數(shù)據(jù)完整的安全內(nèi)容過濾分流器的一個較佳實(shí) 施例的結(jié)構(gòu)圖�����。
圖2是圖1實(shí)施例的接入單元的組成結(jié)構(gòu)圖����。
圖3是圖1實(shí)施例的數(shù)據(jù)接入分配單元的組成結(jié)構(gòu)圖�。
圖4是圖1實(shí)施例的內(nèi)容正則表達(dá)式匹配單元的組成結(jié)構(gòu)圖。
圖5是圖1實(shí)施例的數(shù)據(jù)緩存單元的組成結(jié)構(gòu)圖�����。
圖6是圖1實(shí)施例的交換輸出單元的組成結(jié)構(gòu)圖��。
具體實(shí)施例方式
下面結(jié)合附圖和實(shí)施例對本發(fā)明作進(jìn)一步的描述�����。
圖1示出了本發(fā)明的基于有用連接數(shù)據(jù)完整的安全內(nèi)容過濾分流器的一個較 佳實(shí)施例的結(jié)構(gòu)組成���。請參見圖1�,分流器10由接入單元1����、數(shù)據(jù)接入分配單元2、 內(nèi)容正則表達(dá)式匹配單元3����、數(shù)據(jù)緩存單元4和交換輸出單元5組成。其中接入單 元1主要包括兩個10G (Gigabit,千兆位)接口���,接入單元1與數(shù)據(jù)接入分配單 元2之間通過兩條SPI-4. 2 (System Packet Interface Level 4 Phase 2����,系統(tǒng) 包接口 4.2類型)總線互連�����,單條總線帶寬資源為12Gbps。數(shù)據(jù)接入分配單元2 分別與內(nèi)容正則表達(dá)式匹配單元3及數(shù)據(jù)緩存單元4之間各自通過4個RGMII(Reduced Gigabit Media-Independent Interface,精簡的千兆位々某體獨(dú)立接口 ) 總線互連��,進(jìn)行雙向數(shù)據(jù)通信����,總帶寬為4Gbps。數(shù)據(jù)接入分配單元2與交換輸出 單元5之間通過SPI-4. 2總線互連�。同時內(nèi)容正則表達(dá)式匹配單元3與數(shù)據(jù)緩存單 元4之間通過4個RGMII總線相連,進(jìn)行雙向數(shù)據(jù)通信�。整個系統(tǒng)的管理和初始化 由內(nèi)容正則表達(dá)式匹配單元3承擔(dān)。
請參見圖2,接入單元1由兩組10G光電信號轉(zhuǎn)換模塊lla�����、 lib和成幀芯片 12a���、 12b組成�����,轉(zhuǎn)換模塊與成幀芯片之間分別通過XFI (10 Gigabit Serial Electrical Interface,光電轉(zhuǎn)^t奐器和成幀芯片串^f亍4妾口 )總線連4妄���。兩組成幀芯 片12a、 12b分別通過高速SPI-4. 2總線接口分別與數(shù)據(jù)接入分配單元2連接,數(shù) 據(jù)接入分配單元2支持兩個SPI-4. 2總線接口 �。這兩個10G光電信號轉(zhuǎn)換模塊lla、 11b可兼容10G P0S (Packet Over SDH,基于同步數(shù)位階層光纖網(wǎng)絡(luò)的數(shù)據(jù)包)����、 10G LAN (Local Area Network,局域網(wǎng))����、WAN (Wide Area Networks,廣域網(wǎng))。 芯片和模塊的工作初始配置統(tǒng)一由內(nèi)容正則表達(dá)式匹配單元3所內(nèi)帶的處理器進(jìn) 行配置管理��。
接入單元l中的光電信號轉(zhuǎn)換模塊lla�、 llb對來自網(wǎng)絡(luò)中的數(shù)據(jù)流進(jìn)行光電 轉(zhuǎn)換,然后利用成幀芯片12a�、 12b進(jìn)行數(shù)據(jù)幀處理,并按照PPP/HDLC Over SONET/SDH (基于同步光網(wǎng)絡(luò)協(xié)議/同步數(shù)位階層光纖網(wǎng)絡(luò)的點(diǎn)到點(diǎn)/高級數(shù)據(jù)鏈路 控制)協(xié)議規(guī)范從SONET/SDH (同步光網(wǎng)絡(luò)/同步數(shù)位階層光纖網(wǎng)絡(luò))將數(shù)據(jù)流還 原為PPP (point to point,點(diǎn)到點(diǎn)協(xié)議)數(shù)據(jù)包���,然后通過高速SPI4. 2接口傳 遞給數(shù)據(jù)接入分配單元2處理�。
請參見圖3�,數(shù)據(jù)接入分配單元2由網(wǎng)絡(luò)處理器單元21和外部256MB DDR (Double Date Rate,雙倍數(shù)據(jù)傳輸模式)內(nèi)存22構(gòu)成。內(nèi)存22由芯片DDR256 1 x 4組成�����,通過標(biāo)準(zhǔn)DDR接口相連。網(wǎng)絡(luò)處理器單元22包括幀頭信息處理模塊211��、 分類查找處理模塊212�����、轉(zhuǎn)發(fā)決策處理模塊213和流量控制數(shù)據(jù)封裝模塊214����。幀 頭信息處理模塊211通過兩個SPI4. 2高速接口與接入單元1相連,按照標(biāo)準(zhǔn)協(xié)議 規(guī)范檢驗(yàn)接入單元1發(fā)送過來的數(shù)據(jù)包的完整性����,在收到數(shù)據(jù)包后去掉二層封裝成 為純IP數(shù)據(jù)包并在包頭另外封裝4字節(jié)標(biāo)簽,后續(xù)的各個處理單元包括內(nèi)容正則 表達(dá)式匹配單元3,數(shù)據(jù)緩存單元4及數(shù)據(jù)接入分配單元2之間通過該標(biāo)簽來協(xié)同 處理該數(shù)據(jù)包����。分類查找處理模塊212與幀頭信息處理模塊211相連,分類查找處理模塊212 按照預(yù)先人工設(shè)置的過濾規(guī)則或者是內(nèi)容正則表達(dá)式匹配單元3根據(jù)匹配情況動 態(tài)設(shè)置的過濾規(guī)則(所有規(guī)則累計(jì)最大條數(shù)為100萬條)���,對數(shù)據(jù)包進(jìn)行七層線速 匹配�,����。過濾項(xiàng)主要依據(jù)七層協(xié)議的頭信息進(jìn)行過濾�����,屬于粗粒度過濾�����,主要的過 濾項(xiàng)包括規(guī)則號����、源機(jī)器地址�、目的機(jī)器地址����、源IP地址、源IP掩碼�����、目的 IP地址���、目的IP掩碼����、源端口號、目的端口號�����、60字符以內(nèi)的域名地址���、相應(yīng)過 濾操作��,其中"相應(yīng)過濾操作"選項(xiàng)中包括細(xì)粒度處理����、丟棄���、直接轉(zhuǎn)發(fā)�、轉(zhuǎn)發(fā)至 數(shù)據(jù)緩存單元四種選擇并在包頭位置打上相應(yīng)標(biāo)簽���。分類查找處理模塊212根據(jù)規(guī) 則匹配結(jié)果����,過濾掉標(biāo)簽為"丟棄"的非法數(shù)據(jù)包和異常數(shù)據(jù)包��,將需要進(jìn)一步細(xì) 粒度處理的數(shù)據(jù)包���、直接轉(zhuǎn)發(fā)數(shù)據(jù)包和轉(zhuǎn)發(fā)至數(shù)據(jù)緩存單元4的數(shù)據(jù)包分別打上 "細(xì)粒度處理"標(biāo)簽�����、"轉(zhuǎn)發(fā)處理"標(biāo)簽和"轉(zhuǎn)發(fā)緩存"標(biāo)簽�����,發(fā)送到轉(zhuǎn)發(fā)決策處 理沖莫塊213���。
轉(zhuǎn)發(fā)決策處理模塊213與分類查找處理模塊212相連�����,轉(zhuǎn)發(fā)決策處理模塊213 主要圍繞標(biāo)簽進(jìn)行處理將標(biāo)簽為"細(xì)粒度處理"的數(shù)據(jù)包通過和內(nèi)容正則表達(dá)式 匹配單元3相連的4個RGMII千兆口以簡單輪循方式發(fā)給內(nèi)容正則表達(dá)式匹配單元 3,同時接受內(nèi)容正則表達(dá)式匹配單元3的反饋信息�����。反饋信息主要是動態(tài)設(shè)置相 關(guān)的匹配規(guī)則�,包括指定連接的后續(xù)所有包的直接轉(zhuǎn)發(fā),指定連接的后續(xù)所有包的 轉(zhuǎn)發(fā)緩存或指定連接的后續(xù)所有包的丟棄等�,這些特定的基于連接的動態(tài)設(shè)置規(guī)則 在該連接斷開后10秒內(nèi)自動失效刪除,并將消息反饋給內(nèi)容正則表達(dá)式匹配單元 3;將標(biāo)簽為"轉(zhuǎn)發(fā)處理"的數(shù)據(jù)包發(fā)送給流量控制數(shù)據(jù)封裝模塊214;將標(biāo)簽為 "轉(zhuǎn)發(fā)緩存"的數(shù)據(jù)包通過和數(shù)據(jù)緩存單元4相連的4個RGMII千兆口以簡單輪循 方式發(fā)給數(shù)據(jù)緩存單元4���,同時接收數(shù)據(jù)緩存單元4發(fā)出的帶有"轉(zhuǎn)發(fā)處理"標(biāo)簽 的數(shù)據(jù)包����,并發(fā)送給流量控制數(shù)據(jù)封裝模塊214。
流量控制數(shù)據(jù)封裝模塊214與轉(zhuǎn)發(fā)決策處理模塊213相連����,流量控制數(shù)據(jù)封 裝模塊214通過SPI4. 2接口同交換輸出單元5相連,轉(zhuǎn)發(fā)決策處理模塊213通過 4個RGMII接口同數(shù)據(jù)緩存單元4相連����,同時通過另外4個RGMII接口同內(nèi)容正則 表達(dá)式匹配單元3相連。流量控制數(shù)據(jù)封裝模塊214對數(shù)據(jù)包去掉包頭標(biāo)簽后將數(shù) 據(jù)包封裝為標(biāo)準(zhǔn)以太網(wǎng)格式�����,同時進(jìn)行負(fù)栽均衡實(shí)現(xiàn)���,主要是按通用負(fù)載均衡算法�����, 目前采用最小連接法(由于網(wǎng)絡(luò)處理器具有可編程的特性��,因此可以根據(jù)實(shí)際應(yīng)用的需要靈活選擇適用的負(fù)載均衡算法)����,對數(shù)據(jù)包進(jìn)行分發(fā)策略的計(jì)算,同時采用 源IP,目的IP,協(xié)議三元組合異或哈希方式保證數(shù)據(jù)在任意一條鏈路上保持其內(nèi) 容完整性��。另外對數(shù)據(jù)包進(jìn)行一定的流量QOS (Quality of Service)控制�����,主要 按最高閥值限流控制�,防止單條連接的數(shù)據(jù)流量由于緩存下發(fā)的原因而突然過大導(dǎo) 致數(shù)據(jù)出現(xiàn)丟失,流量控制數(shù)據(jù)封裝模塊最后通過高速接口依據(jù)均衡策略和流控策 略將數(shù)據(jù)包有序地發(fā)送到交換輸出單元5 �。
請參見圖4,內(nèi)容正則表達(dá)式匹配單元3由內(nèi)容正則表達(dá)式匹配主芯片31����、 用于緩存搜索信息的128M DDR搜索內(nèi)存32和2G系統(tǒng)內(nèi)存(標(biāo)準(zhǔn)DI固內(nèi)存條1G 共2條)33組成,主要完成三大功能第一方面是內(nèi)容正則表達(dá)式匹配主芯片31 內(nèi)帶的處理器作為設(shè)備的基本運(yùn)行管理模塊311,通過本地配置總線對接入單元1���、 數(shù)據(jù)接入分配單元2、數(shù)據(jù)緩存單元4和交換輸出單元5的各個芯片模塊進(jìn)行寄存 器初始配置管理�����,簡單配置信息輸入���,包括存儲空間大小設(shè)置�����,粗粒度過濾規(guī)則和 細(xì)粒度過濾規(guī)則配置輸入等���。
第二方面是通過和數(shù)據(jù)接入分配單元2相連的4個RGMII千兆口獲取數(shù)據(jù) 包��,首先是針對該數(shù)據(jù)包所在的連接由數(shù)據(jù)連接表管理及存儲空間管理模塊312 建立連接管理表進(jìn)行簡單管理����,實(shí)現(xiàn)內(nèi)容正則表達(dá)式匹配模塊3在1分鐘內(nèi)若沒有 收到相關(guān)連接的數(shù)據(jù)包����,內(nèi)容正則表達(dá)式匹配模塊3會自動刪除內(nèi)部與該連接相關(guān) 的信息,主要是跨包搜索狀態(tài)信息�,連接表信息等,同時會立刻通知數(shù)據(jù)緩存單元 4清除與該連接相關(guān)的所有緩存內(nèi)容�����。然后對數(shù)據(jù)包進(jìn)行細(xì)粒度檢查�����,主要是針對 不同種類應(yīng)用的審查需要,根據(jù)應(yīng)用層協(xié)議規(guī)范中的定義�,通過設(shè)置要匹配內(nèi)容的 字段偏移范圍、字段長度(不超過400個字符)����、字段內(nèi)容(支持大小寫字母,數(shù) 字和特殊字符�����,可二進(jìn)制輸入)以及過濾操作形成不同的關(guān)鍵字�����,利用關(guān)鍵字在數(shù) 據(jù)包指定字段偏移范圍內(nèi)全文搜索匹配的方法對數(shù)據(jù)包進(jìn)行內(nèi)容審查�����。且這種細(xì)粒 度過濾具有基于連接的數(shù)據(jù)包內(nèi)容審查功能�����,將從一個連接中的多個數(shù)據(jù)包提取出 的信息進(jìn)行拼接�,再進(jìn)行內(nèi)容匹配�����。也就是說字段偏移范圍可以支持任意,這樣可 以發(fā)現(xiàn)分散在多個數(shù)據(jù)包中的異常情況�,對于單條規(guī)則可以由不同的關(guān)鍵字構(gòu)成, 這些關(guān)鍵字之間采用基本正則表達(dá)式的描述形式實(shí)現(xiàn)與�,或,非的組合����,最大支持 20個關(guān)鍵字的組合成單條規(guī)則,但單條規(guī)則只對應(yīng)單個過濾操作動作����,這些動作 包括特定連接后續(xù)所有包丟棄,特定連接后續(xù)所有包直接轉(zhuǎn)發(fā)等�����。若規(guī)則命中要求直接轉(zhuǎn)發(fā)�,則內(nèi)容正則表達(dá)式匹配單元3會給數(shù)據(jù)緩存單元4發(fā)出相應(yīng)發(fā)送消息,
同時會根據(jù)過濾操作動作反饋信息給數(shù)據(jù)接入分配單元2���,數(shù)據(jù)接入分配單元2接 收到后設(shè)置相關(guān)動態(tài)連接規(guī)則到數(shù)據(jù)接入分配單元2的分類查找處理模塊212����,這 樣該連接后續(xù)的所有包都將根據(jù)這條動態(tài)規(guī)則實(shí)現(xiàn)直接轉(zhuǎn)發(fā),等到數(shù)據(jù)緩存單元4 發(fā)送完全部緩存數(shù)據(jù)后發(fā)消息給內(nèi)容正則表達(dá)式匹配單元3,內(nèi)容正則表達(dá)式匹配 單元3清除內(nèi)容正則表達(dá)式匹配模塊與該連接相關(guān)的信息���,主要是跨包搜索狀態(tài)信 息�����,連接表信息等����。若規(guī)則命中要求丟棄�����,則內(nèi)容正則表達(dá)式匹配單元3會給數(shù)據(jù) 緩存單元4發(fā)出相應(yīng)清除消息�,同時會根據(jù)過濾操作動作反饋信息給數(shù)據(jù)接入分配 單元2,數(shù)據(jù)接入分配單元2接收到后設(shè)置相關(guān)動態(tài)連接規(guī)則到數(shù)據(jù)接入分配單元 2的分類查找處理模塊212,這樣該連接后續(xù)的所有包都將根據(jù)這條動態(tài)規(guī)則實(shí)現(xiàn) 全部丟棄��,最后內(nèi)容正則表達(dá)式匹配單元3清除內(nèi)容正則表達(dá)式匹配模塊3與該連 接相關(guān)的信息��,主要是跨包搜索狀態(tài)信息���,連接表信息等�����。若數(shù)據(jù)接入分配單元2 的分類查找處理模塊212檢測到該連接的帶RST或FIN標(biāo)志的數(shù)據(jù)包或一段時間內(nèi) 沒有數(shù)據(jù)包收到�����,則自動刪除該連接規(guī)則����,同時發(fā)送相關(guān)刪除消息給內(nèi)容正則表達(dá) 式匹配模塊3�����, 一旦內(nèi)容正則表達(dá)式匹配模塊3收到刪除消息會立刻清除內(nèi)容正則 表達(dá)式匹配模塊3與該連接相關(guān)的信息�����,主要是跨包搜索狀態(tài)信息���,連接表信息等�����; 三是通過和數(shù)據(jù)緩存單元4相連的4個RGMII千兆接口以簡單輪循方式將還沒有匹 配發(fā)生的有用的數(shù)據(jù)包轉(zhuǎn)發(fā)給數(shù)據(jù)緩存單元4進(jìn)行緩存�,同時也管理連接結(jié)束的信 息, 一旦接收到數(shù)據(jù)接入分配單元2發(fā)出的連接規(guī)則刪除消息����,立刻通知數(shù)據(jù)緩存 單元4清除相關(guān)連接的緩存內(nèi)容并釋放空間。整個數(shù)據(jù)緩存單元4由基于內(nèi)容正則 表達(dá)式匹配模塊3中內(nèi)帶的處理器實(shí)現(xiàn)的數(shù)據(jù)連接表管理及存儲空間管理模塊312 來管理�����,首先是根據(jù)空間大小配置信息劃分固定大小的存儲單元�����,主要管理工作包 括分發(fā)和回收相應(yīng)的存儲單元��,分發(fā)通過對數(shù)據(jù)包源IP��,目的IP�,源端口,目的 端口����,協(xié)議號五元異或方式尋址定位存儲空間,對于異或哈希碰撞采用標(biāo)準(zhǔn)的哈希 碰撞解決方法鏈表方式解決���,回收通過數(shù)據(jù)緩存單元4發(fā)數(shù)據(jù)空消息來通知實(shí)現(xiàn)����。 請參見圖5,數(shù)據(jù)緩存單元4采用FPGA (Field-programmable Gate Array, 可編程邏輯門陣列)41加上兩個工業(yè)標(biāo)準(zhǔn)服務(wù)器DDR內(nèi)存插槽陣列42a���、 42b組成�����。 每個陣列包含16個標(biāo)準(zhǔn)DDR插槽:,最大支持內(nèi)存為64Gbyte,數(shù)據(jù)緩存單元4和 內(nèi)容正則表達(dá)式匹配單元3通過4個RGMII千兆接口相連��,數(shù)據(jù)緩存單元4和數(shù)據(jù)接入分配單元2通過4個RGMII千兆接口片目連���。FPGA 41主要包括8個RGMII數(shù)據(jù) 接收和發(fā)送模塊411�����, 2個DDR控制模塊412a���、 412b,這些主要功能模塊采用標(biāo)準(zhǔn) 商業(yè)化的IP核產(chǎn)品實(shí)現(xiàn)��。命令管理控制模塊414接收配置管理總線過來的配置信 息����,主要就是內(nèi)存空間掃描和空間配置����,同時對數(shù)據(jù)接收和發(fā)送模塊411接收到的 命令進(jìn)行解析��,內(nèi)容正則表達(dá)式匹配模塊3通過數(shù)據(jù)包標(biāo)簽攜帶命令方式和FPGA 41進(jìn)行通信�����,命令包括寫數(shù)據(jù)包到指定連接存儲地址��,F(xiàn)PGA的數(shù)據(jù)存儲管理模塊 413接收到命令后按要求存儲�,按先到先存方式實(shí)現(xiàn),緩存大小可以根據(jù)不同應(yīng)用 配置���。若緩存設(shè)置不足����,則丟棄后續(xù)數(shù)據(jù)包�,不循環(huán)覆蓋,并發(fā)溢出消息告知命令 管理控制模塊414�,再經(jīng)命令管理控制模塊414發(fā)消息給內(nèi)容正則表達(dá)式匹配模塊 單元3內(nèi)帶的處理器;其他命令主要有清除命令�����,指定空間的釋放;設(shè)置命令����,設(shè) 置統(tǒng)一緩存大小�;讀存儲狀態(tài)命令,讀相應(yīng)地址緩存空間狀態(tài)信息���,主要是空還是 非空;發(fā)送命令���,將相應(yīng)地址緩存在一定空間內(nèi)的數(shù)據(jù)包在數(shù)據(jù)存儲管理模塊413 控制下按先存先出的方式通過4個RGMII千兆接口以簡單輪循方式發(fā)送給網(wǎng)絡(luò)處理 器21�����,同時發(fā)送時修改包頭標(biāo)簽信息為"轉(zhuǎn)發(fā)處理"���,由網(wǎng)絡(luò)處理器的轉(zhuǎn)發(fā)決策 處理模塊213將數(shù)據(jù)包經(jīng)過流量控制數(shù)據(jù)封裝模塊214,最后通過交換輸出單元的 相應(yīng)千兆口發(fā)出,數(shù)據(jù)包發(fā)完后FPGA的數(shù)據(jù)存儲管理模塊413發(fā)送完成消息給命 令管理控制模塊"4��,再經(jīng)命令管理控制模塊414發(fā)消息給內(nèi)容正則表達(dá)式匹配模 塊單元3內(nèi)帶的處理器���,只要后續(xù)還有其它數(shù)據(jù)包��,F(xiàn)PGA 41還會繼續(xù)轉(zhuǎn)發(fā)�����,并在 轉(zhuǎn)發(fā)完成后發(fā)消息����,直到內(nèi)容正則表達(dá)式匹配模塊3發(fā)命令清除對應(yīng)空間,內(nèi)容正 則表達(dá)式匹配模塊3最后會根據(jù)數(shù)據(jù)緩存單元4發(fā)送的消息來更新相應(yīng)的存儲空間 管理信息���。
請參見圖6��,交換輸出單元5主要由千兆交換模塊51和若干個千兆光模塊53 組成���。交換輸出單元5共12個千兆光口,通過SerDes接口 (串行接口總線)和千 兆光模塊52相連����。交換輸出單元5根據(jù)主控單元制定的分發(fā)策略完成數(shù)據(jù)包分發(fā) 操作。
下面對本發(fā)明的基于有用連接數(shù)據(jù)完整的安全內(nèi)容過濾分流器的工作流程作 詳細(xì)的描述�。
步驟(1):由接入單元1對來自網(wǎng)絡(luò)中的各種類型的大流量數(shù)據(jù)信號(最高 為20G)進(jìn)行光電轉(zhuǎn)換,幀處理,數(shù)據(jù)流按照PPP/HDLC Over SONET/SDH規(guī)范從S0NET/SDH數(shù)據(jù)流還原為PPP數(shù)據(jù)包�,然后通過高速接口 SPI4. 2傳遞給數(shù)據(jù)接入 分配單元2。
步驟(2 ):數(shù)據(jù)接入分配單元2按照標(biāo)準(zhǔn)協(xié)議規(guī)范檢驗(yàn)接入單元1發(fā)送過來 的數(shù)據(jù)包的完整性�,然后按預(yù)先設(shè)置的過濾規(guī)則或者內(nèi)容正則表達(dá)式匹配單元3 動態(tài)配置的規(guī)則對數(shù)據(jù)包進(jìn)行簡單七層線速過濾,過濾掉非法數(shù)據(jù)包���,異常數(shù)據(jù)包 和指定丟棄的特定連接的后續(xù)數(shù)據(jù)包�����。
步驟(3 ):數(shù)據(jù)接入分配單元2把需要進(jìn)行深度內(nèi)容檢查的數(shù)據(jù)包提交給內(nèi) 容正則表達(dá)式匹配單元3作進(jìn)一步細(xì)粒度的內(nèi)容分析�����,對于不需要進(jìn)行細(xì)粒度內(nèi)容 審查的數(shù)據(jù)包��,主要是直接轉(zhuǎn)發(fā)符合預(yù)先配置規(guī)則的數(shù)據(jù)包或內(nèi)容正則表達(dá)式匹配 單元動態(tài)配置的指定連接的后續(xù)數(shù)據(jù)包,由數(shù)據(jù)接入分配單元2根據(jù)負(fù)載均衡算法 和流量控制運(yùn)算得出該數(shù)據(jù)包的分流分發(fā)策略�����,并依照策略將數(shù)據(jù)發(fā)送給交換輸出 單元5執(zhí)行具體的數(shù)據(jù)轉(zhuǎn)發(fā)操作���。
步驟(4 ):內(nèi)容正則表達(dá)式匹配單元3先對該數(shù)據(jù)所在的連接建立連接表管 理�,然后按照細(xì)粒度過濾規(guī)則對數(shù)據(jù)包的內(nèi)容進(jìn)行深入過濾����,若是命中規(guī)則要求下 發(fā)�,則將過濾結(jié)果反饋給數(shù)據(jù)接入分配單元2��,數(shù)據(jù)接入分配單元2根據(jù)細(xì)粒度過 濾結(jié)果為該數(shù)據(jù)包制定分流策略�����,并依據(jù)分流策略進(jìn)行下發(fā)����,同時內(nèi)容正則表達(dá)式 匹配單元3要求數(shù)據(jù)緩存單元4將該數(shù)據(jù)包所在連接的所有緩存數(shù)據(jù)包依次有序下 發(fā),直到清空后發(fā)消息給內(nèi)容正則表達(dá)式匹配單元3�,由內(nèi)容正則表達(dá)式匹配單元 3清除內(nèi)容正則表達(dá)式匹配模塊3與該連接相關(guān)的所有信息,主要是跨包搜索狀態(tài) 信息�����,連接表信息���;若是命中規(guī)則要求丟棄�����,同樣將過濾結(jié)果反饋給數(shù)據(jù)接入分配 單元2,由數(shù)據(jù)接入分配單元2實(shí)現(xiàn)對該數(shù)據(jù)后續(xù)連接全部丟棄����,同時內(nèi)容正則表 達(dá)式匹配單元3要求數(shù)據(jù)緩存單元4將該數(shù)據(jù)所在連接的所有空間清空釋放,最后 清除內(nèi)容正則表達(dá)式匹配模塊3與該連接相關(guān)的所有信息�,主要是跨包搜索狀態(tài)信 息,連接表信息���。
步驟(5):若是當(dāng)前數(shù)據(jù)包沒有命中規(guī)則���,內(nèi)容正則表達(dá)式匹配單元3則將 數(shù)據(jù)包發(fā)送給數(shù)據(jù)緩存單元4,由數(shù)據(jù)緩存單元4按先進(jìn)先存方式保存�����,直到有命 中規(guī)則發(fā)生�����,若緩存空間溢出���,則丟棄后續(xù)數(shù)據(jù)包,緩存空間由內(nèi)容正則表達(dá)式匹 配單元3進(jìn)行配置管理�����。
步驟(6):對于內(nèi)容正則表達(dá)式匹配單元3動態(tài)設(shè)置的規(guī)則, 一旦數(shù)據(jù)接入分配單元2檢測到該連接的帶RST或FIN (通常一個會話包含多個數(shù)據(jù)包傳送�����,根 據(jù)協(xié)議規(guī)定���,數(shù)據(jù)包中某個字段的賦值為RST或FIN����,則表示該會話終止���。這里的 會話被稱為連接)標(biāo)志的數(shù)據(jù)包或限定時間內(nèi)沒有數(shù)據(jù)包收到�����,則自動刪除該條連 接規(guī)則��,同時發(fā)送相關(guān)消息給內(nèi)容正則表達(dá)式匹配模塊3��, 一旦內(nèi)容正則表達(dá)式匹 配模塊3收到消息會立刻清除內(nèi)容正則表達(dá)式匹配模塊3與該連接相關(guān)的所有信 息��,主要是跨包搜索狀態(tài)信息�����,連接表信息���,同時會立刻通知數(shù)據(jù)緩存單元4清除 與該連接相關(guān)的所有緩存內(nèi)容���,并釋放緩存空間;對于內(nèi)容正則表達(dá)式匹配模塊3 建立的連接表管理�����,同樣在限定時間內(nèi)若沒有收到數(shù)據(jù)接入分配單元2發(fā)送來的該 連接的數(shù)據(jù)包����,則清除內(nèi)容正則表達(dá)式匹配模塊3與該連接相關(guān)的所有信息,主要 是跨包搜索狀態(tài)信息�����,連接表信息����,同時會立刻通知數(shù)據(jù)緩存單元4清除與該連接 相關(guān)的所有緩存內(nèi)容,并釋放緩存空間�。
綜上所迷,上述安全內(nèi)容過濾分流器針對10G以上寬帶網(wǎng)絡(luò)環(huán)境下的數(shù)據(jù)處 理需求����,根據(jù)網(wǎng)絡(luò)處理器的處理特點(diǎn),先對數(shù)據(jù)包內(nèi)容進(jìn)行粗粒度過濾����,過濾后的 數(shù)據(jù)借助內(nèi)容正則表達(dá)式匹配模塊對數(shù)據(jù)包進(jìn)行細(xì)粒度過濾,暫時沒有匹配的有 用數(shù)據(jù)進(jìn)入FPGA組成的緩存系統(tǒng)�����。 一旦后續(xù)數(shù)據(jù)包匹配成功���,則系統(tǒng)將緩存的及 后續(xù)的數(shù)據(jù)包打上相應(yīng)的標(biāo)簽��,然后按先后到達(dá)的順序保持連接地下發(fā)到各個后端 應(yīng)用處理設(shè)備�����。通過這種數(shù)據(jù)粗粒度過濾和細(xì)粒度過濾相對分離的架構(gòu)方式���,有助 于網(wǎng)絡(luò)處理器和內(nèi)容正則表達(dá)式匹配模塊能夠充分地發(fā)揮各自的優(yōu)勢,從而減輕了 安全過濾分流器的核心數(shù)據(jù)接收轉(zhuǎn)發(fā)的工作負(fù)擔(dān)���,在寬帶網(wǎng)絡(luò)環(huán)境下能夠達(dá)到安全 高效的數(shù)據(jù)過濾分流處理性能�,同時安全內(nèi)容過濾分流器針對每一個細(xì)粒度檢索連 接加上了可配置調(diào)節(jié)的緩存使得匹配無效的數(shù)據(jù)暫時不再下發(fā),直到符合相關(guān)下發(fā) 的匹配策略��。這一方式才及大的降^氐了后端系統(tǒng)應(yīng)用i殳備的處理壓力�,又不損壞有用 連接的數(shù)據(jù)完整,大大減少了后端系統(tǒng)應(yīng)用設(shè)備在寬帶網(wǎng)絡(luò)應(yīng)用環(huán)境下相應(yīng)的系統(tǒng) 規(guī)模����。
上述實(shí)施例是提供給本領(lǐng)域普通技術(shù)人員來實(shí)現(xiàn)或使用本發(fā)明的,本領(lǐng)域普 通技術(shù)人員可在不脫離本發(fā)明的發(fā)明思想的情況下�����,對上述實(shí)施例做出種種修改或 變化����,因而本發(fā)明的保護(hù)范圍并不被上述實(shí)施例所限,而應(yīng)該是符合權(quán)利要求書提 到的創(chuàng)新性特征的最大范圍����。
權(quán)利要求
1. 一種基于有用連接數(shù)據(jù)完整的安全內(nèi)容過濾分流器,包括接入單元��、數(shù)據(jù)接入分配單元����、內(nèi)容正則表達(dá)式匹配單元�、數(shù)據(jù)緩存單元和交換輸出單元�,其中該接入單元接收來自網(wǎng)絡(luò)中的各種類型的大流量數(shù)據(jù)信號進(jìn)行光電轉(zhuǎn)換和幀處理���,數(shù)據(jù)流還原為標(biāo)準(zhǔn)封裝格式的數(shù)據(jù)包����,通過一接口傳遞給與之連接的該數(shù)據(jù)接入分配單元�;該數(shù)據(jù)接入分配單元,與該接入單元連接���,進(jìn)一步包括網(wǎng)絡(luò)處理器和外部內(nèi)存�,其中該網(wǎng)絡(luò)處理器進(jìn)一步包括幀頭信息處理模塊��,接收該接入單元的數(shù)據(jù)包����,檢驗(yàn)該些數(shù)據(jù)包的完整性并對該些數(shù)據(jù)包進(jìn)行封裝處理;分類查找處理模塊����,連接該幀頭信息處理模塊���,按照人工預(yù)設(shè)的過濾規(guī)則或者該內(nèi)容正則表達(dá)式匹配單元動態(tài)設(shè)置的過濾規(guī)則,對該些數(shù)據(jù)包進(jìn)行匹配并根據(jù)匹配結(jié)果在該些數(shù)據(jù)包的包頭位置打上相應(yīng)標(biāo)簽�,過濾掉標(biāo)簽為“丟棄”的數(shù)據(jù)包,將標(biāo)簽為“細(xì)粒度處理”或“轉(zhuǎn)發(fā)處理”的數(shù)據(jù)包發(fā)送至下一個連接的模塊��;轉(zhuǎn)發(fā)決策處理模塊���,連接該分類查找處理模塊��,接收該分類查找處理模塊的數(shù)據(jù)包�����,將標(biāo)簽為“轉(zhuǎn)發(fā)處理”的數(shù)據(jù)包發(fā)送至流量控制數(shù)據(jù)封裝模塊����,同時接收該數(shù)據(jù)緩存單元發(fā)出的標(biāo)簽為“轉(zhuǎn)發(fā)處理”的數(shù)據(jù)包再發(fā)送至流量控制數(shù)據(jù)封裝模塊��;將標(biāo)簽為“細(xì)粒度處理”的數(shù)據(jù)包發(fā)送給該內(nèi)容正則表達(dá)式匹配單元�,同時接收該內(nèi)容正則表達(dá)式匹配單元的反饋信息,該反饋信息主要是動態(tài)設(shè)置相關(guān)的連接匹配規(guī)則�,該些連接匹配規(guī)則在連接斷開后立即自動失效刪除,并將消息反饋給該內(nèi)容正則表達(dá)式匹配模塊;流量控制數(shù)據(jù)封裝模塊�����,連接該轉(zhuǎn)發(fā)決策處理模塊�,接收來自該轉(zhuǎn)發(fā)決策處理模塊的標(biāo)簽為“轉(zhuǎn)發(fā)處理”的數(shù)據(jù)包,去掉包頭標(biāo)簽后封裝為標(biāo)準(zhǔn)以太網(wǎng)格式���,同時進(jìn)行負(fù)載均衡和流量控制,將該些數(shù)據(jù)包有序發(fā)送至該交換輸出單元�;該內(nèi)容正則表達(dá)式匹配單元連接該數(shù)據(jù)接入分配單元和該數(shù)據(jù)緩存單元,進(jìn)一步包括數(shù)據(jù)連接表管理及存儲空間管理模塊���,建立數(shù)據(jù)連接表管理數(shù)據(jù)包所在的連接�����,同時管理整個數(shù)據(jù)緩存單元����,根據(jù)該數(shù)據(jù)緩存單元的反饋信息更新存儲空間管理信息�;規(guī)則配置和正則表達(dá)式匹配搜索模塊,對數(shù)據(jù)包進(jìn)行細(xì)粒度檢查��,通過設(shè)置關(guān)鍵字并利用關(guān)鍵字對數(shù)據(jù)包進(jìn)行內(nèi)容審查,篩選出有用連接�����;設(shè)備基本運(yùn)行管理模塊�����,連接該數(shù)據(jù)連接管理及存儲空間管理模塊以及該規(guī)則配置和正則表達(dá)式匹配搜索模塊���,用以初始化以及管理整個系統(tǒng)��;該數(shù)據(jù)緩存單元連接該轉(zhuǎn)發(fā)決策處理模塊和設(shè)備基本運(yùn)行管理模塊�����,暫存數(shù)據(jù)包�;該交換輸出單元連接該流量控制數(shù)據(jù)封裝模塊��,將來自該流量控制數(shù)據(jù)封裝模塊的數(shù)據(jù)包輸出�����。
2.根據(jù)權(quán)利要求1所述的基于有用連接數(shù)據(jù)完整的安全內(nèi)容過濾分流器�,其 特征在于,該接入單元由若干個光電信號轉(zhuǎn)換模塊通過XFI總線連接成幀芯片構(gòu) 成,其中該些光電信號轉(zhuǎn)換模塊進(jìn)行光電信號的轉(zhuǎn)換����,該些成幀芯片按照PPP/HDLC over S0NET/SDH協(xié)議規(guī)范從S0NET/SDH將數(shù)據(jù)流還原為PPP數(shù)據(jù)包。
3.根據(jù)權(quán)利要求1所述的基于有用連接數(shù)據(jù)完整的安全內(nèi)容過濾分流器�����,其 特征在于���,該交換輸出單元主要由千兆交換模塊和千兆光模塊組成��,該交換輸出單 元中的千兆光口通過串行接口總線和該千兆光模塊相連,該交換輸出單元根據(jù)制定 的分發(fā)策略完成數(shù)據(jù)包分發(fā)操作�。
4.根據(jù)權(quán)利要求1所述的基于有用連接數(shù)據(jù)完整的安全內(nèi)容過濾分流器,其 特征在于����,該些標(biāo)簽用于傳遞信息,包括命中規(guī)則相應(yīng)匹配動作的定義����、存儲空間 位置的定義以及執(zhí)行命令的定義。
5.根據(jù)權(quán)利要求1所迷的基于有用連接數(shù)據(jù)完整的安全內(nèi)容過濾分流器�,其 特征在于,該分類查找處理模塊的匹配是七層線速匹配,主要的過濾項(xiàng)包括規(guī)則 號����、源4幾器地址、目的斧幾器地址�、源IPi也址、源IP掩石馬�����、目的IPi也址���、目的IP 掩碼�、源端口號�����、目的端口號以及一定長度字符內(nèi)的域名地址�。
6.根據(jù)權(quán)利要求l所述的基于有用連接數(shù)據(jù)完整的安全內(nèi)容過濾分流器,其 特征在于����,該轉(zhuǎn)發(fā)決策處理模塊接收到的反饋信息包括指定連接的后續(xù)所有包的直 接轉(zhuǎn)發(fā)、指定連接的后續(xù)所有包的轉(zhuǎn)發(fā)緩存或指定連接的后續(xù)所有包的丟棄���。
7.根據(jù)權(quán)利要求l所述的基于有用連接數(shù)據(jù)完整的安全內(nèi)容過濾分流器���,其特征在于�,該數(shù)據(jù)緩存單元包括可編程邏輯門陣列和若干個工業(yè)標(biāo)準(zhǔn)服務(wù)器DDR 內(nèi)存插槽陣列��,其中可編程邏輯門陣列包括數(shù)據(jù)接收和發(fā)送模塊�、數(shù)據(jù)存儲管理模 塊和命令管理控制模塊,該數(shù)據(jù)接收和發(fā)送模塊接收和發(fā)送來自該數(shù)據(jù)接入分配單 元和/或該內(nèi)容正則表達(dá)式匹配單元的數(shù)據(jù)包��;該命令管理控制模塊接收配置信息�����, 進(jìn)行內(nèi)存空間掃描和空間配置�,同時對該數(shù)據(jù)接收和發(fā)送模塊接收到的命令進(jìn)行解 析;該數(shù)據(jù)存儲管理模塊接收到命令后根據(jù)命令的要求對數(shù)據(jù)包進(jìn)行存儲�����。
8.根據(jù)權(quán)利要求1所述的基于有用連接數(shù)據(jù)完整的安全內(nèi)容過濾分流器��,其 特征在于�����,該內(nèi)容正則表達(dá)式匹配單元由一主芯片�、 一用于緩存搜索信息的搜索內(nèi) 存以及一系統(tǒng)內(nèi)存組成,該設(shè)備基本運(yùn)行管理模塊設(shè)置在該主芯片內(nèi)����,通過本地配 置總線對該接入單元、該數(shù)據(jù)接入分配單元�����、該數(shù)據(jù)緩存單元和該交換輸出單元的 各芯片進(jìn)行寄存器初始配置管理和配置信息輸入�,包括存儲空間大小設(shè)置、粗粒度 過濾規(guī)則和細(xì)粒度過濾規(guī)則配置輸入�。
9.根據(jù)權(quán)利要求8所述的基于有用連接數(shù)據(jù)完整的安全內(nèi)容過濾分流器,其 特征在于�����,該規(guī)則配置和正則表達(dá)式匹配搜索模塊進(jìn)行細(xì)粒度規(guī)則比對時�����,若沒有 命中����,則將該連接數(shù)據(jù)包暫時緩存到該數(shù)據(jù)緩存單元��,直到該連接被刪除后才釋放�����; 若命中�,則配置要求該連接后續(xù)數(shù)據(jù)包直接轉(zhuǎn)發(fā)的規(guī)則到該轉(zhuǎn)發(fā)決策處理模塊�,同 時將當(dāng)前數(shù)據(jù)包緩存到該數(shù)據(jù)緩存單元,要求該數(shù)據(jù)緩存單元將基于該連接緩存的 所有數(shù)據(jù)包發(fā)送到該轉(zhuǎn)發(fā)決策處理模塊��,以實(shí)現(xiàn)符合要求的數(shù)據(jù)連接分流下發(fā)且該 連接數(shù)據(jù)包的內(nèi)容完整��。
全文摘要
本發(fā)明公開了一種基于有用連接數(shù)據(jù)完整的安全內(nèi)容過濾分流器�����,提升內(nèi)容過濾性能����,減少系統(tǒng)復(fù)雜性,提高穩(wěn)定性�����、有效性���,實(shí)現(xiàn)完整的數(shù)據(jù)分流����。其技術(shù)方案為本發(fā)明基于高速網(wǎng)絡(luò)處理器��、大容量數(shù)據(jù)緩存和內(nèi)容正則表達(dá)式匹配模塊結(jié)合實(shí)現(xiàn)的安全內(nèi)容過濾分流器由接入單元����、數(shù)據(jù)緩存單元、內(nèi)容正則表達(dá)式匹配單元以及交換輸出單元組成����。本發(fā)明應(yīng)用于網(wǎng)絡(luò)信息技術(shù)領(lǐng)域。
文檔編號H04L12/56GK101217455SQ20071003622
公開日2008年7月9日 申請日期2007年1月5日 優(yōu)先權(quán)日2007年1月5日
發(fā)明者明 嚴(yán), 吳承榮, 張世永, 明 楊 申請人:上海復(fù)旦光華信息科技股份有限公司