技術(shù)領(lǐng)域

本發(fā)明屬于網(wǎng)絡(luò)安全領(lǐng)域，具體涉及一種基于IP報文目的端口過濾策略的系統(tǒng)和方法。

背景技術(shù)

專利號CN200810106399.6(一種GPON系統(tǒng)中實現(xiàn)幀過濾的遠程管理裝置)公開了一種GPON系統(tǒng)中實現(xiàn)幀過濾的遠程管理裝置。針對現(xiàn)有的GPON系統(tǒng)只有工作在MAC橋模式下才僅能實現(xiàn)根據(jù)目的MAC地址過濾功能的問題而發(fā)明。本發(fā)明提出的GPON系統(tǒng)中實現(xiàn)幀過濾的遠程管理裝置，增設(shè)一幀過濾表數(shù)據(jù)管理實體，該管理實體內(nèi)設(shè)置有MAC地址過濾表模塊、IP地址過濾表模塊、TCP/UDP端口過濾表模塊、互聯(lián)網(wǎng)組管理協(xié)議查詢報文過濾模塊、DHCP響應(yīng)報文過濾模塊之中的一個或幾個模塊，可以針對工作在各種模式下的GPON系統(tǒng)實現(xiàn)對數(shù)據(jù)幀的過濾。同時，還能夠根據(jù)控制端的指令增加/刪除規(guī)則條目。

專利號CN200680012308.1(一種橋接轉(zhuǎn)發(fā)方法和裝置)公開了一種橋接轉(zhuǎn)發(fā)方法，將一個或一個以上端口和VLAN標識的組合對應(yīng)一個虛擬轉(zhuǎn)發(fā)實例(VSI)，完成不同VLAN之間的報文橋接轉(zhuǎn)發(fā)、MAC地址學習以及源端口過濾。該方法包括以下步驟：從輸入端口接收報文，獲取該報文的輸入虛擬局域網(wǎng)標識VLAN標識和目的MAC地址；確定報文的輸出端口和輸出VLAN標識，并根據(jù)輸出端口和輸出VLAN標識轉(zhuǎn)發(fā)報文。本發(fā)明還公開了一種橋接轉(zhuǎn)發(fā)裝置，包括接收一個以上VLAN的報文的輸入端口、發(fā)送報文至一個以上VLAN的輸出端口和轉(zhuǎn)發(fā)單元，該轉(zhuǎn)發(fā)單元獲取輸入端口接收的報文的輸入VLAN標識和目的MAC地址，確定報文的輸出端口和輸出VLAN標識，并將報文輸出至輸出端口。采用本發(fā)明的方法和裝置，可以實現(xiàn)以太網(wǎng)報文在多個VLAN之間的橋接轉(zhuǎn)發(fā)。

但上述技術(shù)無法檢測網(wǎng)絡(luò)數(shù)據(jù)包的源目端口以及協(xié)議，不能將某些有針對性的源目端口號過濾掉，從而無法解放CPU并提高主機的性能，也無法提高網(wǎng)絡(luò)的安全性能。

本發(fā)明采用FPGA實現(xiàn)了網(wǎng)絡(luò)協(xié)議中針對IP包負載為TCP或UDP的目的端口進行過濾的方法，可解放CPU，從而提高主機的性能。該方法主要檢測網(wǎng)絡(luò)數(shù)據(jù)包的源目端口以及協(xié)議，將某些有針對性的源目端口號，將其過濾掉，提高網(wǎng)絡(luò)的安全性能。

發(fā)明內(nèi)容

本發(fā)明克服現(xiàn)有技術(shù)存在的不足，采用FPGA實現(xiàn)了網(wǎng)絡(luò)協(xié)議中針對IP包負載為TCP或UDP的目的端口進行過濾的方法，可解放CPU，從而提高主機的性能。該方法主要檢測網(wǎng)絡(luò)數(shù)據(jù)包的源目端口以及協(xié)議，將某些有針對性的源目端口號，將其過濾掉，提高網(wǎng)絡(luò)的安全性能。

本發(fā)明提供了一種基于IP報文目的端口過濾策略的系統(tǒng)，該策略從五元組FIFO模塊中讀取IP報文的五元組數(shù)據(jù)提供給端口過濾模塊，由端口過濾模塊進行目的端口過濾，并將命中端口的控制信息存儲在目的結(jié)果Fifo模塊中，以供后續(xù)模塊處理。

本發(fā)明提供的基于IP報文目的端口過濾策略的系統(tǒng)，端口過濾模塊用于TCP過濾和UDP過濾兩部分功能。

本發(fā)明提供的基于IP報文目的端口過濾策略的系統(tǒng)，端口過濾模塊的TCP過濾和UDP過濾共用一個控制器。

本發(fā)明提供的基于IP報文目的端口過濾策略的系統(tǒng)，五元組控制FIFO，存儲從原始IP報文中提取出的五元組數(shù)據(jù)。

本發(fā)明提供的基于IP報文目的端口過濾策略的系統(tǒng)，目的端口過濾模塊的專用網(wǎng)卡使用查找LUT過濾索引表方式來對IP報文過濾。

本發(fā)明提供的基于IP報文目的端口過濾策略的系統(tǒng)，目的端口過濾模塊的專用網(wǎng)卡芯片內(nèi)部集成一個LUT過濾索引表，并利用專用芯片內(nèi)部的RAM資源實現(xiàn)單端口RAM來存儲該索引表。

本發(fā)明還提供了一種基于IP報文目的端口過濾策略的方法，該策略從五元組FIFO步驟中讀取IP報文的五元組數(shù)據(jù)提供給端口過濾步驟，由端口過濾步驟進行目的端口過濾，并將命中端口的控制信息存儲在目的結(jié)果Fifo步驟中，以供后續(xù)步驟處理。

本發(fā)明提供的基于IP報文目的端口過濾策略的方法，端口過濾步驟用于TCP過濾和UDP過濾兩部分功能。

本發(fā)明提供的基于IP報文目的端口過濾策略的方法，端口過濾步驟的TCP過濾和UDP過濾共用一個控制器。

本發(fā)明提供的基于IP報文目的端口過濾策略的方法，五元組控制FIFO，存儲從原始IP報文中提取出的五元組數(shù)據(jù)。

本發(fā)明提供的基于IP報文目的端口過濾策略的方法，目的端口過濾步驟的專用網(wǎng)卡使用查找LUT過濾索引表方式來對IP報文過濾。