技術領域

本發明涉及網絡通信技術領域，特別涉報文快速轉發的方法。

背景技術

現有的網絡安全設備，尤其是多核架構網絡安全設備大多數采用連接表的方式轉發報文，對接收到的報文連接表中的每一項匹配，若匹配成功則轉發報文，否則丟棄報文，若連接表中沒有相同的表項，則與session規則逐一匹配，若匹配成功，則轉發報文，若匹配失敗，則丟棄報文，再將匹配結果放入連接表中。此過程中最耗費時間的就是新建連接表項，如果能提高新建連接表項的效率，則可以提高設備的報文轉發效率。

發明內容

（一）要解決的技術問題

本發明要解決的是解決網絡安全設備轉發報文時，新建連接表項耗費時間較多，導致轉發效率較低的問題。

（二）技術方案

為解決上述技術問題，本發明提供了一種報文快速轉發的方法，其特征在于

包括以下步驟：

報文快速轉發的方法，其特征在于包括：

S1：將防火墻設備配置為IP地址變換模式，所述防火墻設備接收到N條報文后，N為正整數，將每條報文與session規則逐一匹配，若匹配成功，則轉發報文，若匹配失敗，則丟棄該報文，再將報文的五元組信息放入連接表中；

S2：所述防火墻設備根據第N條報文的特征，根據IP地址遞增的規律創建新報文，并將新建報文與session規則逐一匹配，再將所述新建報文的五元組信息放入連接表中；

S3：根據IP地址遞增的規則以及上一條新創建的報文繼續創建新報文，并將所述新建報文與所述session規則逐一匹配，再將所述新建報文與匹配結果放入連接表中，所述防火墻設備接收到的報文與連接表項逐一比對，若存在相同的表項，則對報文執行相同的操作，否則，將報文與所述session規則逐一比對；直至所述防火墻設備改變IP地址變換模式。

所述IP地址變換模式是原IP地址變換或者目的IP地址。

步驟S1中所述防火墻設備設置為端口號變換模式。

如權利要求1所述報文快速轉發方法，其特征在于，所述N等于10或者20。

（三）有益效果

本發明通過網絡安全設備對接收到的報文進行采樣，采集一定數量報文后，根據接收到的報文以及變換模式創建新報文，再將新報文與session規則逐一匹配，將匹配結果放入連接表中，這樣網絡安全設備便可以將新接收到的報文與連接表匹配，大大節約了接收到的報文逐一與session規則逐一匹配的時間，提高了設備的報文轉發效率。

具體實施方式

下面對本發明的具體實施方式作進一步詳細描述。以下實施例用于說明本發明，但不用來限制本發明的范圍。

本實施方式的方法包括以下步驟：

S1：將防火墻設備配置為IP地址變換模式，防火墻設備接收到N條報文后，N為正整數，將每條報文與session規則逐一匹配，若匹配成功，則轉發報文，若匹配失敗，則丟棄該報文，再將報文的五元組信息放入連接表中；

S2：防火墻設備根據第N條報文的特征，根據IP地址遞增的規律創建新報文，并將新建報文與session規則逐一匹配，再將新建報文的五元組信息放入連接表中；

S3：根據IP地址遞增的規則以及上一條新創建的報文繼續創建新報文，并將新建報文與session規則逐一匹配，再將新建報文與匹配結果放入連接表中，防火墻設備接收到的報文與連接表項逐一比對，若存在相同的表項，則對報文執行相同的操作，否則，將報文與session規則逐一比對；直至防火墻設備改變IP地址變換模式。

進一步地，步驟S1中所述IP地址變換模式是原IP地址或者目的IP地址。

進一步地，由于報文的IP五元組包括原IP地址、目的IP地址、協議號、原端口號和目的端口號，因此步驟S1中防火墻設備還可以設置為端口號變換模式，即采集N條報文后，按照端口號遞增的模式新建報文。

進一步地，防火墻設備采集N條報文樣本，N等于10或者20，N的數值可以根據用戶需求設定，本發明對此不作限定。

本發明通過網絡安全設備對接收到的報文進行采樣，采集一定數量報文后，根據接收到的報文以及變換模式創建新報文，再將新報文與session規則逐一匹配，將匹配結果放入連接表中，這樣網絡安全設備便可以將新接收到的報文與連接表匹配，大大節約了接收到的報文逐一與session規則逐一匹配的時間，提高了設備的報文轉發效率。

以上實施方式僅用于說明本發明，而并非對本發明的限制，有關技術領域的普通技術人員，在不脫離本發明的精神和范圍的情況下，還可以做出各種變化和變型，因此所有等同的技術方案也屬于本發明的范疇，本發明的專利保護范圍應由權利要求限定。