专利名称:流分类策略压缩方法及系统的制作方法
技术领域:
本发明涉及一种流分类策略压缩方法及系统。背景技术:
随着网络规模,网络应用协议复杂度不断提高,防火墙中对于流分类策略的数量,复杂度也随之提升,导致系统响应用户配置策略的时间变长,此问题即为策略下发的性能问题;策略下发性能问题,有时甚至是致命的,例如由于策略数量较多,严重消耗CPU资源,被系统Watchdog监测到致使系统重启,严重影响了用户的使用。
发明内容
为了解决上述问题,本发明的目的是提供一种流分类策略压缩方法。 本发明的另一目的是提供一种流分类策略压缩系统。其中,本发明一实施方式的流分类策略压缩方法包括以下步骤
利用IP地址可区间的特征以及区间树算法结构完成IP地址压缩;以及 基于应用协议ID压缩应用协议类别。作为本发明的进一步改进,所述“利用IP地址可区间的特征以及区间树算法结构完成IP地址压缩”步骤具体包括
SI I、初始化IP地址的区间树;
512、读取属于该流分类策略的IP地址,转成区间方式表示,把该区间插入区间树;
513、重复S12步骤,直至读取完IP地址;
514、扫描该区间树,得到最终的IP区间。作为本发明的进一步改进,所述“基于应用协议ID压缩应用协议类别”具体包括
521、分配并初始化应用协议ID存储空间;
522、记录该流分类策略包含的应用协ID到存储空间;
523、重复S22步骤,直至读取流分类策略内所有的应用协议ID;
524、扫描该存储空间,得到连续的应用协议ID区间。相应地,本发明一实施方式的流分类策略压缩系统包括
IP地址压缩单元,用于利用IP地址可区间的特征以及区间树算法结构完成IP地址压缩;以及
应用协议类别压缩单元,用于基于应用协议ID压缩应用协议类别。作为本发明的进一步改进,所述IP地址压缩单元具体用于
初始化IP地址的区间树;
读取属于该流分类策略的IP地址,转成区间方式表示,把该区间插入区间树;
重复读取属于该流分类策略的IP地址,转成区间方式表示,把该区间插入区间树,直至读取完IP地址;
扫描该区间树,得到最终的IP区间。作为本发明的进一步改进,所述应用协议类别压缩单元具体用于
分配并初始化应用协议ID存储空间;记录该流分类策略包含的应用协ID到存储空间;
重复记录该流分类策略包含的应用协ID到存储空间,直至读取流分类策略内所有的应用协议ID ;
扫描该存储空间,得到连续的应用协议ID区间。相比于现有技术,本发明提供了实际应用中流分类策略优化的有效途径,可在很大程度上减少流分类策略数量,从而提高流分类策略下发性能。
图I是本发明一实施例的流分类策略压缩方法的流程 图2是本发明一实施例的流分类策略压缩系统的模块图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面结合附图和具体实施例对本发明进行详细描述。防火墙流分类策略必须基于流的特征,比如源MAC地址,源IP地址,目的IP地址,DSCP,端口号,应用协议类别等等,其中非常常用且规模数量较多的有IP地址和应用协议类别;
本发明通过压缩IP地址和应用协议类别这两种流分类策略特征,大大减少流分类策略数量,从而达到流分类策略压缩的目标。如图I所示,在本发明一实施方式中,所述流分类策略压缩方法,包括以下步骤
SI、利用IP地址可区间的特征以及区间树算法结构完成IP地址压缩;IP地址配置内
容包括主机/网段/网络号,此压缩方式利用IP地址可区间的特征以及区间树算法结构完成压缩;具体做法如下
SI I、初始化IP地址的区间树;
512、读取属于该流分类策略的IP地址,转成区间方式表示,把该区间插入区间树;
513、重复S12步骤,直至读取完IP地址;
514、扫描该区间树,得到最终的IP区间,即为压缩后的IP地址。S2、基于应用协议ID压缩应用协议类别;应用协议类别在流分类策略内部可用应用协议ID来标识,每种应用协议都分配唯一的应用协议ID,其应用协议ID可能是连续的,也可能是跳跃的;应用协议类别压缩基于应用协议ID,压缩的目的是把不连续的应用协议ID,尽可能的合并成连续的应用协议ID,减少流分类策略包含的应用协议数量;目前常见防火墙所能识别的应用协议数量在数千个,为了满足可扩展需要,可定义应用协议ID空间为L··· 65535,具体做法如下
521、分配并初始化应用协议ID存储空间,该空间内的每一个bit对应一个应用协议
ID ;
522、记录该流分类策略包含的应用协ID到存储空间;
523、重复S22步骤,直至读取流分类策略内所有的应用协议ID;
524、扫描该存储空间,得到连续的应用协议ID区间,即为压缩后的应用协议ID。如图2所示,在本发明一实施方式中,所述流分类策略压缩系统,包括
IP地址压缩单元,用于利用IP地址可区间的特征以及区间树算法结构完成IP地址压缩;IP地址配置内容包括主机/网段/网络号,此压缩方式利用IP地址可区间的特征以及区间树算法结构完成压缩。具体地,该IP地址压缩单元用于
初始化IP地址的区间树;
读取属于该流分类策略的IP地址,转成区间方式表示,把该区间插入区间树;
重复读取属于该流分类策略的IP地址,转成区间方式表示,把该区间插入区间树,直至读取完IP地址;
扫描该区间树,得到最终的IP区间,即为压缩后的IP地址。应用协议类别压缩单元,用于基于应用协议ID压缩应用协议类别;应用协议类别在流分类策略内部可用应用协议ID来标识,每种协议都分配唯一的应用协议ID,其应用协议ID可能是连续的,也可能是跳跃的;应用协议类别压缩基于应用协议ID,压缩的目的是把不连续的应用协议ID,尽可能的合并成连续的应用协议ID,减少流分类策略包含的应用协议数量;目前常见防火墙所能识别的应用协议数量在数千个,为了满足可扩展需要,可定 义应用协议ID空间为I…65535,具体做法如下
分配并初始化应用协议ID存储空间,该空间内的每一个bit对应一个应用协议ID ; 记录该流分类策略包含的应用协ID到存储空间;
重复记录该流分类策略包含的应用协ID到存储空间,直至读取流分类策略内所有的应用协议ID ;
扫描该存储空间,得到连续的应用协议ID区间,即为压缩后的应用协议ID。通过上述压缩算法,在某一实际流分类策略压缩中,流分类策略数量的前后对比压缩前,流分类策略数量为65390,下发时间就超过6分钟;压缩后,流分类策略数量为1830,下发时间仅不到30秒。同时,由于数量的减少,对于流分类策略匹配性能,及系统稳定性也有一定的提升。综上所述,本发明提供了实际应用中流分类策略优化的有效途径,可在很大程度上减少流分类策略数量,从而提高流分类策略下发性能。应当理解,虽然本说明书按照实施方式加以描述,但并非每个实施方式仅包含一个独立的技术方案,说明书的这种叙述方式仅仅是为清楚起见,本领域技术人员应当将说明书作为一个整体,各实施方式中的技术方案也可以经适当组合,形成本领域技术人员可以理解的其他实施方式。上文所列出的一系列的详细说明仅仅是针对本发明的可行性实施方式的具体说明,它们并非用以限制本发明的保护范围,凡未脱离本发明技艺精神所作的等效实施方式或变更均应包含在本发明的保护范围之内。
权利要求
1.一种流分类策略压缩方法,其特征在于,所述方法包括 利用IP地址可区间的特征以及区间树算法结构完成IP地址压缩;以及 基于应用协议ID压缩应用协议类别。
2.根据权利要求I所述的流分类策略压缩方法,其特征在于,所述“利用IP地址可区间的特征以及区间树算法结构完成IP地址压缩”步骤具体包括 SII、初始化IP地址的区间树; 512、读取属于该流分类策略的IP地址,转成区间方式表示,把该区间插入区间树; 513、重复S12步骤,直至读取完IP地址; 514、扫描该区间树,得到最终的IP区间。
3.根据权利要求I所述的流分类策略压缩方法,其特征在于,所述“基于应用协议ID压缩应用协议类别”具体包括 521、分配并初始化应用协议ID存储空间; 522、记录该流分类策略包含的应用协ID到存储空间; 523、重复S22步骤,直至读取流分类策略内所有的应用协议ID; 524、扫描该存储空间,得到连续的应用协议ID区间。
4.一种流分类策略压缩系统,其特征在于,所述系统包括 IP地址压缩单元,用于利用IP地址可区间的特征以及区间树算法结构完成IP地址压缩;以及 应用协议类别压缩单元,用于基于应用协议ID压缩应用协议类别。
5.根据权利要求4所述的流分类策略压缩系统,其特征在于,所述IP地址压缩单元具体用于 初始化IP地址的区间树; 读取属于该流分类策略的IP地址,转成区间方式表示,把该区间插入区间树; 重复读取属于该流分类策略的IP地址,转成区间方式表示,把该区间插入区间树,直至读取完IP地址; 扫描该区间树,得到最终的IP区间。
6.根据权利要求4所述的流分类策略压缩系统,其特征在于,所述应用协议类别压缩单元具体用于 分配并初始化应用协议ID存储空间; 记录该流分类策略包含的应用协ID到存储空间; 重复记录该流分类策略包含的应用协ID到存储空间,直至读取流分类策略内所有的应用协议ID ; 扫描该存储空间,得到连续的应用协议ID区间。
全文摘要
本发明提供了一种流分类策略压缩方法及系统,其中,所述方法包括利用IP地址可区间的特征以及区间树算法结构完成IP地址压缩;以及基于应用协议ID压缩应用协议类别。相比于现有技术,本发明提供了实际应用中流分类策略优化的有效途径,可在很大程度上减少流分类策略数量,从而提高流分类策略下发性能。
文档编号H04L29/12GK102868692SQ20121034348
公开日2013年1月9日 申请日期2012年9月17日 优先权日2012年9月17日
发明者陈伟, 王俊华 申请人:苏州迈科网络安全技术股份有限公司