技術領域

本發明屬于網絡安全領域，具體涉及一種基于IP報文目的端口過濾策略的系統和方法。

背景技術

專利號CN200810106399.6(一種GPON系統中實現幀過濾的遠程管理裝置)公開了一種GPON系統中實現幀過濾的遠程管理裝置。針對現有的GPON系統只有工作在MAC橋模式下才僅能實現根據目的MAC地址過濾功能的問題而發明。本發明提出的GPON系統中實現幀過濾的遠程管理裝置，增設一幀過濾表數據管理實體，該管理實體內設置有MAC地址過濾表模塊、IP地址過濾表模塊、TCP/UDP端口過濾表模塊、互聯網組管理協議查詢報文過濾模塊、DHCP響應報文過濾模塊之中的一個或幾個模塊，可以針對工作在各種模式下的GPON系統實現對數據幀的過濾。同時，還能夠根據控制端的指令增加/刪除規則條目。

專利號CN200680012308.1(一種橋接轉發方法和裝置)公開了一種橋接轉發方法，將一個或一個以上端口和VLAN標識的組合對應一個虛擬轉發實例(VSI)，完成不同VLAN之間的報文橋接轉發、MAC地址學習以及源端口過濾。該方法包括以下步驟：從輸入端口接收報文，獲取該報文的輸入虛擬局域網標識VLAN標識和目的MAC地址；確定報文的輸出端口和輸出VLAN標識，并根據輸出端口和輸出VLAN標識轉發報文。本發明還公開了一種橋接轉發裝置，包括接收一個以上VLAN的報文的輸入端口、發送報文至一個以上VLAN的輸出端口和轉發單元，該轉發單元獲取輸入端口接收的報文的輸入VLAN標識和目的MAC地址，確定報文的輸出端口和輸出VLAN標識，并將報文輸出至輸出端口。采用本發明的方法和裝置，可以實現以太網報文在多個VLAN之間的橋接轉發。

但上述技術無法檢測網絡數據包的源目端口以及協議，不能將某些有針對性的源目端口號過濾掉，從而無法解放CPU并提高主機的性能，也無法提高網絡的安全性能。

本發明采用FPGA實現了網絡協議中針對IP包負載為TCP或UDP的目的端口進行過濾的方法，可解放CPU，從而提高主機的性能。該方法主要檢測網絡數據包的源目端口以及協議，將某些有針對性的源目端口號，將其過濾掉，提高網絡的安全性能。

發明內容

本發明克服現有技術存在的不足，采用FPGA實現了網絡協議中針對IP包負載為TCP或UDP的目的端口進行過濾的方法，可解放CPU，從而提高主機的性能。該方法主要檢測網絡數據包的源目端口以及協議，將某些有針對性的源目端口號，將其過濾掉，提高網絡的安全性能。

本發明提供了一種基于IP報文目的端口過濾策略的系統，該策略從五元組FIFO模塊中讀取IP報文的五元組數據提供給端口過濾模塊，由端口過濾模塊進行目的端口過濾，并將命中端口的控制信息存儲在目的結果Fifo模塊中，以供后續模塊處理。

本發明提供的基于IP報文目的端口過濾策略的系統，端口過濾模塊用于TCP過濾和UDP過濾兩部分功能。

本發明提供的基于IP報文目的端口過濾策略的系統，端口過濾模塊的TCP過濾和UDP過濾共用一個控制器。

本發明提供的基于IP報文目的端口過濾策略的系統，五元組控制FIFO，存儲從原始IP報文中提取出的五元組數據。

本發明提供的基于IP報文目的端口過濾策略的系統，目的端口過濾模塊的專用網卡使用查找LUT過濾索引表方式來對IP報文過濾。

本發明提供的基于IP報文目的端口過濾策略的系統，目的端口過濾模塊的專用網卡芯片內部集成一個LUT過濾索引表，并利用專用芯片內部的RAM資源實現單端口RAM來存儲該索引表。

本發明還提供了一種基于IP報文目的端口過濾策略的方法，該策略從五元組FIFO步驟中讀取IP報文的五元組數據提供給端口過濾步驟，由端口過濾步驟進行目的端口過濾，并將命中端口的控制信息存儲在目的結果Fifo步驟中，以供后續步驟處理。

本發明提供的基于IP報文目的端口過濾策略的方法，端口過濾步驟用于TCP過濾和UDP過濾兩部分功能。

本發明提供的基于IP報文目的端口過濾策略的方法，端口過濾步驟的TCP過濾和UDP過濾共用一個控制器。

本發明提供的基于IP報文目的端口過濾策略的方法，五元組控制FIFO，存儲從原始IP報文中提取出的五元組數據。

本發明提供的基于IP報文目的端口過濾策略的方法，目的端口過濾步驟的專用網卡使用查找LUT過濾索引表方式來對IP報文過濾。