一种基于流策略的安全网关实现方法及装置

摘要

本发明涉及数据通信领域，尤其涉及一种基于流策略的一体化多功能安全网关实现方法及装置。提供一种基于流策略的一体化多功能安全网关实现方法，旨在解决现有技术中数据报文的处理效率和处理器特别是多核处理器的利用效率都非常低的问题。本发明通过按照五元组并结合地址掩码和端口范围对数据流进行统一的策略设置，对数据报文进行一次性的流策略匹配并根据匹配结果按需调度相关的安全功能模块，提升多安全功能模块并存时流策略的查询效率。本发明主要应用于数据通信领域。

主权项

一种基于流策略的安全网关实现方法，其特征在于包括步骤1：处理器根据五元组、地址掩码与端口范围定义数据流，并对数据流配置多个安全功能标志位，形成流策略，所述多个流策略形成流策略列表；步骤2：处理器启动多个安全功能检测线程，各个安全功能检测线程分别实现安全功能检测；步骤3：处理器对网卡接收到数据报文与所述流策略列表进行流策略匹配，根据匹配结果，采用位图方式为每个数据报文加载位图标签；步骤4：处理器根据数据报文加载的位图标签调度安全功能检测线程，实现对数据报文不同的安全功能检测处理，根据安全功能检测结果处理数据报文；所述步骤1中所述流策略列表包括多个流策略，所述流策略是不同五元组信息、不同地址掩码、不同端口范围及多个安全功能标志位的流策略；所述步骤3中对网卡接收到的数据报文与所述流策略列表进行流策略匹配的具体过程是：步骤31：将网卡接收的数据报文的源IP地址与数据报文的目的IP地址分别与流策略的地址掩码进行与运算，若与运算结果与流策略中的源IP地址与流策略目的IP地址相同，则数据报文的源IP地址与数据报文目的IP地址符合条件，否则该数据报文视为不匹配该策略；步骤32：通过判断网卡接收的数据报文的源端口地址与网卡接收的数据报文的目的端口地址是否分别对应属于流策略的源端口范围与流策略的目的端口范围，如果分别对应，则数据报文的源端口地址与数据报文的目的端口地址符合条件，否则该数据报文视为不匹配该策略；步骤33：通过将网卡接收的数据报文的协议号与流策略列表中传输层协议号进行比较，如果相同，则数据报文的协议号符合条件，否则该数据报文视为不匹配该策略；步骤34：将所述的流策略包括的安全功能标志位形成位图标签加载到所述数据报文中；所述步骤3中位图标签为由多个“0”或“1”组成的数组，所述位图标签中“1”表示需要进行安全功能检测的处理，所述位图标签中“0”表示该数据报文无需进行安全功能检测的处理；所述步骤4中调度的安全功能检测线程是并行处理同一数据报文或者不同数据报文；所述步骤4中安全功能检测结果包括通过、报警或丢弃，若是安全功能检测结果其中一个为“丢弃”，则该数据报文将被丢弃；若安全功能检测结果均为“通过”，则该数据报文通过网卡转发;若安全功能检测结果为“报警”，则只是记录报警日志并通过邮件、短信方式通知管理员，对该数据报文仍可进行“通过”或“丢弃”处理。