[发明专利]芯片内部连接表支持策略路由的方法

说明书

技术领域

本发明属于网络安全和组网技术领域，特别涉及到网络安全设备中芯片内部连接表支持策略路由的方法。

背景技术

随着网络技术的不断发展，网络已经成了社会生活中不可或缺的一种工具，小到soho(家庭办公)，大到上万人的企业，都建立了自己的网络。网络的拓扑结构变得越来越复杂，网络的流量也越来越大，用户的需求也越来越细致多样，对网络安全设备路由的功能和性能要求也日益增高，特别是为实现网络安全策略的路由，如对不同的用户使用不同的路由，不同的时间段使用不同的路由，按防火墙规则使用不同的路由。

路由器也可实现简单的策略路由，如最常见的基于源IP的策略路由。相比较而言，在网络安全设备上，如防火墙上，策略路由的迫切性更大，对灵活性要求更高，具有良好的安全控制功能，但需要消耗的CPU速度相对也更多。为了提高网络设备的安全性，目前对策略路由的应用也变得更为普遍与广泛。对于策略路由的实现，目前市面采用了以下几种方法：

1、普通路由设备的软件实现策略路由的方法

对每个报文，都依次查找策略路由表，匹配后，从表项中设定的出口，转发该报文。基于这种方法，只能实现简单的基于源IP的策略路由，受限于CPU、内存的性能，因而是没有办法达到很高的性能的。

2、普通安全设备实现策略路由的方法

对每个报文，都依次匹配安全策略表，根据策略的设置，如不同的认证用户，或不同的时间段，不同的内容过滤，或其它防火墙规则，使用不同的路由表进行路由查找。匹配后，从表项中设定的出口，转发该报文。基于这种方法，可实现复杂的、灵活多变的策略路由，但其消耗的CPU、内存的性能，比方法1还要大得多。灵活性增强了，但性能下降了。

3、使用硬件芯片查找策略路由表的方法

芯片内部有策略路由表，报文收到后，由芯片查找策略路由表，并进行转发。这种方法也能达到较高的性能，但有两点缺陷：a灵活性比前面两种都差，基本上只能实现源IP类型的策略路由；b芯片内的策略路由表一般不会太大，不能胜任复杂网络中对路由表大小日益增长的需求。采用此方案的系统，架构也不够灵活，需要增加别的功能及芯片的数量时，接口方面就会遇到很大的问题，不能实现复杂的处理逻辑。

综上所述，以上几种方案都有不足，要么本身性能不高，要么无法满足复杂应用下的需求。

本发明就是根据上述情况而重新提出一种新的通过连接表支持策略路由的方法。

所述连接表，主要包括源IP、目的IP、源port、目的port、protocol(即五元组)等TCP、UDP连接的信息。连接表、五元组都是网络安全领域的常用名词。

发明内容

本发明所需要解决的技术问题是，针对已有技术中对策略路由的实现尚存在有性能不高、无法满足复杂应用下的需求等诸多不足之处，为了克服已有技术中的这些不足，就需要重新提出一种创新的方案，本发明的目的，是提供一种芯片内部连接表支持策略路由的方法，该方法能够提高网络设备的系统性能、满足较为复杂应用的需求，又能降低系统成本。

为了实现本发明的目的，是采用以下技术方案来完成的：一种芯片内部连接表支持策略路由的方法，包含基于在现场可编程门阵列芯片的使用及与CPU中央处理单元的连接，其特征在于，该方法继续进行如下步骤操作：

A.芯片接收报文；

B.芯片对收到的报文进行解析，得到输入报文的五元组内容；

C.根据解析的结果，取出五元组，查找连接表；

C₁.如果连接表查找没有命中，则递交CPU；

C₂.如果连接表查找命中，则取出信息并记录转发出口；

D.对于没有命中的查找，递交CPU后，CPU为此报文查找安全策略表，该表是根据安全策略规则使用对应的策略路由表，确定转发出口；

E.把此连接信息写入芯片内部的连接表，再至转发出口；

F.把此报文从指定的转发出口处发送出去。

所述安全策略表，是用户为了保证所保护网络的安全而设定的各种规则的集合，包括防火墙、IDS等安全模块的规则，如：基于IP|端口|协议的规则，基于时间段的规则，基于认证用户的规则等。

本发明方案与现有技术相比，具有以下优点：

1、本发明在芯片上实现安全功能的同时实现灵活多变的策略路由的功能。这样，绝大部分网络信息流量，芯片都可直接处理，大大降低了系统对CPU、PCI总线带宽的需求，节省了CPU资源，在保证网络安全的前提下，提高了整个系统的性能。