| 发明名称 | 报文过滤方法、装置及网络设备 | ||
| 摘要 | 本发明提供一种报文过滤方法、装置及网络设备,其中方法包括:获取接收报文的源IP地址、目的IP地址和协议类型;通过哈希运算生成的流表索引值将报文映射到数据流表中;在目标流记录中,根据所述报文的IP地址信息和所述目标流记录中的IP地址信息生成目标地址信息,并将所述报文的IP地址信息与所述目标地址信息进行匹配;当未匹配成功时,为该报文创建与所述流表索引值对应的新的流记录;当匹配成功时,根据匹配到的流记录中的连接状态信息对所述报文进行合法性判断,并对所述报文进行过滤处理。本发明提供的报文过滤方法、装置及网络设备,解决了现有防火墙技术不支持定向广播应用的问题,实现对定向广播应答报文的过滤处理。 | ||
| 申请公布号 | CN101707619B | 申请公布日期 | 2012.11.21 |
| 申请号 | CN200910253420.X | 申请日期 | 2009.12.10 |
| 申请人 | 福建星网锐捷网络有限公司 | 发明人 | 黄凯明 |
| 分类号 | H04L29/06(2006.01)I;H04L29/12(2006.01)I;H04L12/56(2006.01)I | 主分类号 | H04L29/06(2006.01)I |
| 代理机构 | 北京同立钧成知识产权代理有限公司 11205 | 代理人 | 刘芳 |
| 主权项 | 一种报文过滤方法,其特征在于,包括:获取接收到的报文的地址信息和所述报文的协议类型,所述报文的地址信息包括所述报文的源IP地址和目的IP地址,并根据所述报文的源IP地址和目的IP地址,以及所述报文的源IP地址和目的IP地址各自对应网络的子网掩码和所述报文的协议类型,生成流表索引值;在目标流记录中,根据所述报文的地址信息和所述目标流记录中的第一地址信息生成目标地址信息,并将所述报文的地址信息与所述目标地址信息进行匹配;所述目标流记录为在数据流表中与所述流表索引值对应的各流记录中获取的、与所述报文的协议类型相同的流记录;所述第一地址信息包括所述流记录中的源IP地址和目的IP地址;当未匹配到与所述报文的地址信息一致的目标地址信息时,创建与所述流表索引值对应的用于记录连接状态信息的、新的流记录,将所述报文的地址信息和所述报文的协议类型记录到所述新的流记录中,并对所述报文放行;当匹配到与所述报文的地址信息一致的目标地址信息时,根据匹配到的目标地址信息对应的目标流记录中的连接状态信息对所述报文进行合法性判断,并对所述报文进行过滤处理;根据所述报文的源IP地址和目的IP地址,以及所述报文的源IP地址和目的IP地址各自对应网络的子网掩码和所述报文的协议类型,生成流表索引值,具体为:将所述报文的源IP地址与所述报文的源IP地址对应网络的子网掩码做与运算,生成第一结果;将所述报文的目的IP地址与所述报文的目的IP地址对应网络的子网掩码做与运算,生成第二结果;通过哈希运算对所述第一结果、所述第二结果和所述报文的协议类型进 行离散化处理,生成所述流表索引值;在目标流记录中,根据所述报文的地址信息和所述目标流记录中的第一地址信息生成目标地址信息,并将所述报文的地址信息与所述目标地址信息进行匹配,具体为:将所述目标流记录中的源IP地址和目的IP地址对应与所述报文的源IP地址和目的IP地址做与运算,生成第一目标地址信息,并将所述报文的地址信息与所述第一目标地址信息进行匹配;当所述报文的地址信息与所述第一目标地址信息不匹配时,将所述目标流记录中的源IP地址和目的IP地址对应与所述报文的目的IP地址和源IP地址做与运算,生成第二目标地址信息,并将所述报文的地址信息与所述第二目标地址信息进行匹配。 | ||
| 地址 | 350002 福建省福州市仓山区金山大道618号桔园州工业园19#楼 | ||