技術(shù)領(lǐng)域

本發(fā)明屬于網(wǎng)絡(luò)通信領(lǐng)域，具體涉及一種根據(jù)協(xié)議、端口和IP地過濾挑選流量的智能加速網(wǎng)卡。

背景技術(shù)

隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，互聯(lián)網(wǎng)上的應(yīng)用種類日益繁多，網(wǎng)絡(luò)流量總帶寬增長迅猛，網(wǎng)絡(luò)流量的組成也日趨復(fù)雜，以使用最廣泛的以太網(wǎng)為例，傳統(tǒng)以太網(wǎng)絡(luò)中大多只有IPv4、ARP等少數(shù)幾種協(xié)議的流量，而目前的以太網(wǎng)絡(luò)中包含了IPv4、IPv6、PPPoE、帶VLAN標(biāo)簽的IPv4和IPv6報(bào)文、帶多層MPLS標(biāo)簽的IPv4和IPv6報(bào)文、IPv4?in?IPv6隧道報(bào)文、IPv6?in?IPv4隧道報(bào)文、Teredo隧道報(bào)文等多種協(xié)議格式的報(bào)文，相關(guān)網(wǎng)絡(luò)技術(shù)的發(fā)展推動(dòng)了互聯(lián)網(wǎng)的繁榮的同時(shí)，也給網(wǎng)絡(luò)流量監(jiān)管帶來了極大的難度，對(duì)國家安全、網(wǎng)民安全帶來了極大的挑戰(zhàn)。

為了保障網(wǎng)絡(luò)的和諧穩(wěn)定，保護(hù)國家網(wǎng)絡(luò)的利益，通常需要在網(wǎng)絡(luò)出入口部署類IDS(入侵檢測和防御系統(tǒng))檢測、阻止?jié)撛诘奈C(jī)，并上報(bào)網(wǎng)絡(luò)安全部門。類IDS系統(tǒng)是整個(gè)系統(tǒng)的核心，它承擔(dān)著檢測和阻斷非法流量的重要功能，而高效快速有針對(duì)性的捕獲數(shù)據(jù)包是核心的基礎(chǔ)，傳統(tǒng)的類IDS系統(tǒng)通常采用通用網(wǎng)卡基于Linux系統(tǒng)上的libpacp接口捕獲所有數(shù)據(jù)包方式實(shí)現(xiàn)。一個(gè)數(shù)據(jù)包到達(dá)網(wǎng)卡后，要經(jīng)過接口層-＞數(shù)據(jù)鏈路層-＞IP層-＞TCP層-＞應(yīng)用層最后到達(dá)應(yīng)用程序。以太網(wǎng)的設(shè)計(jì)中主要關(guān)注的是傳輸可靠性，因此數(shù)據(jù)包在這一過程中要經(jīng)過大量的檢查和內(nèi)存的拷貝，此外由于linux內(nèi)存管理的要求，再從網(wǎng)絡(luò)協(xié)議棧所處的內(nèi)核空間，拷貝到應(yīng)用程序所處的用戶空間。在此過程中數(shù)據(jù)包的大量檢查及由內(nèi)核空間向用戶空間的拷貝開銷是巨大的。

為了提高捕包效率，一部分廠商采用零拷貝技術(shù)，在用戶空間開辟一個(gè)共享內(nèi)存區(qū)，通過內(nèi)存映射這一機(jī)制，將網(wǎng)卡得到的數(shù)據(jù)直接放入用戶空間里去。這樣即避免了層層協(xié)議檢測同時(shí)又避免了數(shù)據(jù)包從內(nèi)核空間向用戶空間的拷貝，但其仍舊將全部的網(wǎng)絡(luò)報(bào)文都上傳給了應(yīng)用程序。

而且網(wǎng)絡(luò)行為特征日趨復(fù)雜，攻擊和種類也越來多，所以需要多個(gè)不同功能的類IDS系統(tǒng)才能實(shí)現(xiàn)預(yù)期的監(jiān)管，而傳統(tǒng)的類IDS系統(tǒng)都是通過網(wǎng)絡(luò)設(shè)備捕獲所有數(shù)據(jù)包然后進(jìn)行分析，即基于全流量的處理，由于總帶寬巨大所以單一的類IDS系統(tǒng)就很龐大，由多個(gè)類IDS系統(tǒng)組成的大系統(tǒng)更是巨大和復(fù)雜，這即需要增加采購設(shè)備的成本，增加機(jī)房和供電等方面的消耗，同時(shí)還不便于管理。

現(xiàn)有的類IDS系統(tǒng)大多基于通用libpacp接口或經(jīng)過優(yōu)化的零拷貝接口進(jìn)行捕包分析，其優(yōu)化著眼于提高捕獲數(shù)據(jù)包的效率和優(yōu)化業(yè)務(wù)處理流程，這在一定程度上提高了系統(tǒng)的吞吐量，但當(dāng)前互聯(lián)網(wǎng)上的業(yè)務(wù)日新月異，攻擊流量數(shù)量和攻擊種類日益復(fù)雜，網(wǎng)絡(luò)流量增加迅猛，僅靠優(yōu)化捕包效率和處理效率仍舊滿足不了大流量下全面監(jiān)管的需求，因此急需一種流量選擇技術(shù)，使業(yè)務(wù)系統(tǒng)可只處理相關(guān)的網(wǎng)絡(luò)數(shù)據(jù)包，降低真實(shí)處理總帶寬。

發(fā)明內(nèi)容

為克服上述缺陷，本發(fā)明提供了一種根據(jù)協(xié)議、端口和IP地過濾挑選流量的智能加速網(wǎng)卡，使業(yè)務(wù)系統(tǒng)可只處理相關(guān)的網(wǎng)絡(luò)數(shù)據(jù)包，降低了真實(shí)處理總帶寬。

為實(shí)現(xiàn)上述目的，本發(fā)明提供一種根據(jù)協(xié)議、端口和IP地過濾挑選流量的智能加速網(wǎng)卡，其改進(jìn)之處在于，所述網(wǎng)卡包括業(yè)務(wù)單元和與其連接的存儲(chǔ)單元。

本發(fā)明提供的優(yōu)選技術(shù)方案中，所述業(yè)務(wù)單元，接收網(wǎng)絡(luò)報(bào)文，將報(bào)文中的源IP、目的IP、源端口、目的端口和協(xié)議與存儲(chǔ)單元中存儲(chǔ)的報(bào)文規(guī)則進(jìn)行匹配，如果匹配則按照匹配的規(guī)則對(duì)報(bào)文進(jìn)行操作，否則丟棄。

本發(fā)明提供的第二優(yōu)選技術(shù)方案中，網(wǎng)卡規(guī)則是對(duì)源IP、目的IP、源端口、目的端口和協(xié)議進(jìn)行設(shè)定。

本發(fā)明提供的第三優(yōu)選技術(shù)方案中，源IP、目的IP、源端口、目的端口和協(xié)議分別是指定的IP地址、端口和協(xié)議。

本發(fā)明提供的第四優(yōu)選技術(shù)方案中，源IP、目的IP、源端口、目的端口和協(xié)議設(shè)置的數(shù)值為0時(shí)，表示選擇的IP地址、端口和協(xié)議是任意的。

本發(fā)明提供的第五優(yōu)選技術(shù)方案中，對(duì)報(bào)文進(jìn)行操作包括：上傳給主機(jī)、丟棄、轉(zhuǎn)發(fā)和打標(biāo)簽。

本發(fā)明提供的第六優(yōu)選技術(shù)方案中，所述業(yè)務(wù)單元采用FPGA芯片。

本發(fā)明提供的第七優(yōu)選技術(shù)方案中，所述FPGA芯片的型號(hào)為XC5VLX110T。

本發(fā)明提供的第八優(yōu)選技術(shù)方案中，所述存儲(chǔ)單元，用于緩沖數(shù)據(jù)包和存放網(wǎng)卡規(guī)則。

本發(fā)明提供的第九優(yōu)選技術(shù)方案中，所述存儲(chǔ)單元采用容量為4G的DDR3存儲(chǔ)器。