专利名称:网络设备中的会话创建方法及会话创建装置的制作方法
技术领域:
本发明涉及一种网络设备中的会话创建方法及会话创建装置,更详细地说,涉及利用会话模板来创建会话的网络设备中的会话创建方法及会话创建装置。
背景技术:
随着网络应用迅猛发展,对网络设备的网速的需求也是越来越高。网络安全设备部署在网关的边界,在网络中起到阀门的作用,其新建连接的速率直接影响到整个网络拓扑的吞吐量。通常,使用指标新建连接速率(CPS:Connections Per Second)来衡量网络安全设备的性能,该指标主要体现了设备对于连接请求的实时反应能力,当设备可以更快的处理连接请求,而且可以更快传输数据的话,网络中的并发连接数会减小,从而设备压力也会减小,用户感受到的性能也就越好。在当前X86体系的网络安全产品中,基本都采用基于会话连接表的方法处理网络流量,其中,在会话表建立后,后续的数据包将通过查找对应的会话表项,并利用会话表项信息快速处理或转发。图1是表示在网络设备中利用现有的会话创建方法创建会话并转发数据包的流程图。如图1所示,首先,网络设备(例如网卡等)接收要转发的数据包(步骤1010),接着对该数据包进行合法性检查(步骤1020 )。然后,通过提取该数据包中的各种信息,构成用于在会话表中查找对应的会话的会话键值,再根据该会话键值在会话表中查找对应的会话(步骤1030)。然后,判断在该会话表中是否存在与该会话键值对应的会话(步骤1040),如果该会话表中存在对应的会话,则不需要进行会话创建过程;否则,如果该会话表中不存在对应的会话,则进行通常的会话创建工作(步骤1050)来创建会话。通常的会话创建过程如图2所示,包括如下步骤:IP MAC地址邦定(步骤2010),地址黑名单过滤(步骤2010),攻击防御处理(步骤2030),二层或三层转发判断(步骤2050),判断为二层转发时的CAM表查询(步骤2060)及IP包过滤(步骤2070),判断为三层转发时的目的地址转化DNAT (步骤2080)、路由查找(步骤2090)、IP包过滤(步骤2100)以及源头地址转化SNAT (步骤2110),应用控制(步骤2120)和深度检测(步骤2130)等步骤。在此示出的通常的会话创建过程仅是公知技术的一个示例而已,也可以采用其它现有的会话创建方法。接着,检测网络拓扑是否发生变化(步骤1060),再进行NAT转化及QOS控制(步骤1070)等工作之后,通过网络设备发送数据包。在如上所述的会话创建过程中执行的各个步骤的功能逻辑复杂、耗时较长,会极大影响设备的新建连接速率。而且,随着网络安全类产品向应用层延伸,在如图2所示的会话创建过程中还会添加越来越多的功能模块,导致创建会话的时间越来越长,对网络设备的转发性能的影响非常大。因此,需要一种能够极大地缩短创建会话所需的时间,从而提高转发性能的网络设备。
发明内容
本发明是鉴于上述现有技术中存在的问题而做出,其目的在于提供一种基于会话模板的会话创建方法,能够极大地缩短创建会话所需的时间,提高网络设备的数据包转发性能。为了实现上述目的,本发明涉及的一种网络设备中的会话创建方法,其包括以下步骤:基于接收到的数据包,分别构成用于查找会话表中会话的会话键值和与所述会话表对应会话模板集合中会话模板的模板键值;判断是否存在与上述模板键值对应的会话模板;如果存在与上述模板键值对应的会话模板,则利用上述会话模板创建会话;否则,直接利用所述会话键值进行会话查找,如查找不到则进行会话创建,并且依据所创建的上述会话创建新的会话模板。此外,还可以包括以下步骤:在判断是否存在与上述模板键值对应的会话模板之前,根据当前的网络配置条件查找与该网络配置条件对应的会话模板分类,然后在查找出的上述会话模板分类中,判断是否存在与上述模板键值对应的会话模板;在依据上述会话创建新的会话模板之后,根据当前的网络配置条件将上述会话模板分类。此外,还可以包括以下步骤:随时监测上述网络配置条件是否发生变化,如果发生变化且影响与其对应的会话模板的正确性,则删除对应的全部会话模板。此外,还可以是,所述会话模板中至少包括包含模板键值、网络配置条件、模板信息以及模板限制信息。其中,也可以是,上述模板键值包含来源IP地址和端口、目的IP地址和端口、协议信息以及虚拟设备信息中的一种以上;上述网络配置信息包含配置的访问策略、应用控制规则中的一种以上。另外,本发明还提供一种网络设备中的会话创建装置,其包括:键值构成单元,基于接收到的数据包,分别构成用于查找会话表中会话的会话键值和与所述会话表对应会话模板集合中会话模板的模板键值;判断单元,判断是否存在与上述模板键值对应的会话模板;创建会话单元,上述判断单元的判断结果,如果存在与上述键值对应的会话模板,则利用上述会话模板创建会话;否则,进行直接利用所述会话键值进行会话查找,如查找不到则会话创建,并且依据所创建的上述会话创建新的会话模板。根据本发明的上述构成,通过利用会话模板来创建会话,节省了大量的创建会话时间,提高转发性能的网络设备。同时,还能够保障网络设备的安全性。
根据参照附图进行的下述详细描述,本发明的特征和优点将变得更加显而易见。图1是表示在网络设备中利用现有的会话创建方法创建会话并转发数据包的流程图。图2是表示现有的直接会话创建过程的流程图。图3是表示在利用本发明的第一实施例涉及的会话创建方法的网络设备中转发数据包的流程图。图4是表示在利用本发明的第二实施例涉及的会话创建方法的网络设备中转发数据包的流程图。图5是表示监测网络配置条件的变化状况的流程图。图6是表示本发明涉及的网络设备中的会话创建装置的具体结构的框图。
具体实施例方式为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。第一实施例:图3是表示在利用本发明的第一实施例涉及的会话创建方法的网络设备中转发数据包的流程图。如该图所示,本发明涉及的会话创建过程,在利用现有的会话表的基础上,还进一步追加使用会话模板来创建会话。在本发明中,会话模板可以包含以下信息:模板键值,根据需要可以包含例如来源IP地址和端口、目的IP地址和端口、协议信息以及虚拟设备信息等信息中的一种以上;网络配置条件,包含网络配置信息,例如配置的访问策略和应用控制规则中的一种以上;模板信息,可以包含例如是否创建会话的信息、以及可用于后续会话创建的通用信息(例如路由)中的一种以上;模板限制信息,表示对模板使用条件的限制的信息,包含超时时间等。上述模板键值、网络配置条件、模板信息以及模板限制信息中,也可以包含其它信息。如图3所示,本发明涉及的会话创建方法同图1所示的现有会话创建方法的区别之处在于,增加了根据模板键值查找会话模板的步骤和根据会话来创建会话模板的步骤。首先,网络设备接收到要转发的数据包(步骤3010),接着对该数据包进行合法性检查(步骤3020)。然后,通过提取该数据包中的各种信息(例如来源IP地址和端口、目的IP地址和端口、协议等信息),分别构成用于查找会话表中会话的会话键值和与所述会话表对应会话模板集合中会话模板的模板键值,再根据该会话键值查找会话表(步骤3030),并判断在该会话表中是否存在与该会话键值对应的会话(步骤3040)。如果该会话表中存在对应的会话,则不需要进行会话创建过程;否则,如果该会话表中不存在对应的会话,则进一步根据上述模板键值查找与该模板键值对应的会话模板(步骤3047),并判断是否存在对应的会话模板(步骤3050)。如果查找到对应的会话模板,则利用该查找到的会话模板来创建会话(步骤3060),在此,可以直接使用模板中的通用会话信息,例如是否能创建会话、转发的路由、以及转发策略等,并补充当前会话的个性信息,如账号等,来创建会话;如果没找到对应的会话模板,则进行图2所示的直接会话创建工作(步骤3070)。在经过直接会话创建工作创建了会话之后,依据已创建出的会话和获取的当前网络配置条件等,创建对应的新的会话模板并保存到会话模板列表中,用于以后的会话创建工作(步骤3080)。在取得对应的会话之后,可以检测网络拓扑是否发生变化(步骤3090)和进行NAT转化及QOS控制(步骤3100),最后网络设备转发要发送的数据包(步骤3110)。在此,由于在会话表中不存在与会话键值对应的会话的情况下,再进一步查找出与模板键值对应的会话模板,并利用该会话模板来创建会话,因此,不需要每次都执行包括IP MAC地址绑定、地址黑名单过滤、攻击防御、路由查找等复杂逻辑的会话创建工作,可以极大地缩短了创建会话所需的时间。
第二实施例:图4是表示在利用本发明的第二实施例涉及的会话创建方法的网络设备中转发数据包的流程图。该第二实施例涉及的会话创建方法和第一实施例相比不同之处在于,进一步根据网络配置条件将被保存的会话模板进行分类,在利用模板键值查找对应的会话模板之前,先根据获取的网络配置条件查找与该网络配置条件对应的话模板分类中所属的会话模板,如果找到该分类中的会话模板,再利用模板键值去查找对应的会话模板。下面,参照图4说明第二实施例的工作流程,但省略说明与第一实施例的会话创建方法相同的步骤。在步骤4045,获取当前的网络配置条件,并根据该网络配置条件查找与其对应的会话模板分类。如果未找到与该网络配置条件(例如网络拓扑)对应的会话模板分类,则直接转去进行直接会话创建工作,如果找到对应的会话模板分类,则根据之前构成的模板键值,在该会话模板分类中查找与该模板键值对应的会话模板(步骤3047),并判断是否存在对应的会话模板(步骤3050)。另外,在步骤4080,创建出新的会话模板之后,按照网络配置条件将该会话模板分类到相应的会话模板分类中。其它的步骤与第一实施例基本相同,因此不再详细论述。通过进一步设置会话模板分类,并根据获取的当前网络配置条件找出对应的会话模板分类,进一步根据键值在该会话模板分类中查找对应的会话模板,能够更有效地缩短会话创建时间。再者,当网络配置发生变化时,相应的会话模板也要做相应的变更,否则会出现安全问题。所以,在本实施例中,如图5所示,网络设备还可以随时监测网络配置条件的变化情况(步骤4010),当网络配置条件发生变化时,进一步判断该变化是否影响与其对应的会话模板的正确性(步骤4020),如果影响会话模板的正确性,则删除与变化前的该网络配置条件对应的会话模板分类中所属的全部会话模板(步骤4030)。由此,当网络配置条件发生变化时,删除了没必要的会话模板分类,能够缩短查找会话模板的时间,同时还能够保障网络安全。图6是表示本发明涉及的网络设备中的会话创建装置的具体结构的框图。如图6所示,包括键值构成单元601、判断单元602、创建会话单元603、会话模板分类查找单元604以及检测单元605。在此,键值构成单元601基于接收到的数据包,分别构成用于查找会话表中会话的会话键值和与所述会话表对应会话模板集合中会话模板的模板键值。判断单元602判断是否存在与上述模板键值对应的会话模板。创建会话单元603根据上述判断单元的判断结果,如果存在与上述模板键值对应的会话模板,则利用上述会话模板创建会话;否则,直接利用所述会话键值进行会话查找,如查找不到则进行会话创建,并且依据所创建的上述会话创建新的会话模板。此外,会话模板分类查找单元604根据当前的网络配置条件查找与该网络配置条件对应的会话模板分类,然后在查找出的上述会话模板分类中,上述判断单元判断是否存在与上述模板键值对应的会话模板。此外,也可以是,在上述创建会话单元中,依据上述会话创建新的会话模板之后,根据当前的网络配置条件将上述会话模板分类。
再者,监测单元605随时监测上述网络配置条件是否发生变化,如果发生变化且影响与其对应的会话模板的正确性,则删除对应的全部会话模板。综上所述,虽然本发明已以优选实施例披露如上,然而其并非用以限定本发明。本发明所属技术领域的普通技术人员,在不脱离本发明的精神和范围内,可作各种变动与修饰。因此,本发明的保护范围当视所附的权利要求所界定的范围为准。
权利要求
1.一种网络设备中的会话创建方法,其特征在于,包括以下步骤: 基于接收到的数据包,分别构成用于查找会话表中会话的会话键值和与所述会话表对应会话模板集合中会话模板的模板键值; 判断是否存在与上述模板键值对应的会话模板; 如果存在与上述模板键值对应的会话模板,则利用上述会话模板创建会话;否则,直接利用所述会话键值进行会话查找,如查找不到则进行会话创建,并且依据所创建的上述会话创建新的会话模板。
2.根据权利要求1所述的会话创建方法,其特征在于,还包括以下步骤: 在判断是否存在与上述模板键值对应的会话模板之前,根据当前的网络配置条件查找与该网络配置条件对应的会话模板分类,然后在查找出的上述会话模板分类中,判断是否存在与上述模板键值对应的会话模板; 在依据上述会话创建新的会话模板之后,根据当前的网络配置条件将上述会话模板分类。
3.根据权利要求2所述的方法,其特征在于,还包括以下步骤: 随时监测上述网络配置条件是否发生变化,如果发生变化且影响与其对应会话模板分类的会话模板的正确性,则删除对应会话模板分类的全部会话模板。
4.根据权利要求1所述的会话创建方法,其特征在于, 所述会话模板中至少包括模板键值、网络配置条件、模板信息以及模板限制信息。
5.根据权利要求4所述的会话创建方法,其特征在于, 上述模板键值包含来源IP地址和端口、目的IP地址和端口、协议信息以及虚拟设备信息中的一种以上; 上述网络配置条件包含配置的访问策略、应用控制规则中的一种以上。
6.一种网络设备中的会话创建装置,其特征在于,包括: 键值构成单元,基于接收到的数据包,分别构成用于查找会话表中会话的会话键值和与所述会话表对应会话模板集合中会话模板的模板键值; 判断单元,判断是否存在与上述模板键值对应的会话模板; 创建会话单元,上述判断单元的判断结果,如果存在与上述模板键值对应的会话模板,则利用上述会话模板创建会话;否则,进行直接会话创建,并且依据所创建的上述会话创建新的会话模板。
7.根据权利要求6所述的会话创建装置,其特征在于,还包括: 会话模板分类查找单元,根据当前的网络配置条件查找与该网络配置条件对应的会话模板分类,然后在查找出的上述会话模板分类中,上述判断单元判断是否存在与上述模板键值对应的会话模板; 在上述创建会话单元中,依据上述会话创建新的会话模板之后,根据当前的网络配置条件将上述会话模板分类。
8.根据权利要求7所述的会话创建装置,其特征在于,还包括: 监测单元,随时监测上述网络配置条件是否发生变化,如果发生变化且影响与其对应的会话模板的正确性,则删除对应的全 部会话模板。
9.根据权利要求6所述的会话创建装置,其特征在于,所述会话模板中至少包括包含模板键值、网络配置条件、模板信息以及模板限制信息。
10.根据权利要求9所述的会话创建装置,其特征在于, 上述键值包含来源IP地址和端口、目的IP地址和端口、协议信息以及虚拟设备信息中的一种以上; 上述网络配置信息包含 配置的访问策略、应用控制规则中的一种以上。
全文摘要
本发明提供一种网络设备中的会话创建方法,其包括以下步骤基于接收到的数据包,分别构成用于查找会话表中会话的会话键值和与所述会话表对应会话模板集合中会话模板的模板键值;判断是否存在与上述模板键值对应的会话模板;如果存在与上述模板键值对应的会话模板,则利用上述会话模板创建会话;否则,直接利用所述会话键值进行会话查找,如查找不到则进行会话创建,并且依据所创建的上述会话创建新的会话模板。根据上述构成,通过利用会话模板,避免了执行直接会话创建中的复杂逻辑步骤的次数,缩短了创建会话的时间。
文档编号H04L29/06GK103200193SQ201310103840
公开日2013年7月10日 申请日期2013年3月27日 优先权日2013年3月27日
发明者陈静相, 曹斌 申请人:东软集团股份有限公司