(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111525156.8 (22)申请日 2021.12.14 (71)申请人 北京威努特技 术有限公司 地址 100085 北京市海淀区上地 三街9号F 座9层907 (72)发明人 吴辉　冯全宝　 (51)Int.Cl. H04L 9/40(2022.01) H04L 41/0803(2022.01) (54)发明名称 一种基于DPDK的工控防火墙业务配置和过 滤方法 (57)摘要 本发明公开一种基于DPDK的工控防火墙业 务配置和过滤方法， 包括： 程序正常启动， 配置各 个业务的五元组信息； 分析配置的五元组信息， 构造业务对象， 业务对象包括五元组信息、 业务 对象标识和分类属性； 将所有业务对象的五元组 信息和分类属性配置至DPDK的ACL接口， 构造一 张ACL表， 定义匹配成功的输出结果为业务对象 标识； 工控防火墙接收监控的所有网络报文， 进 行基础报文分析处理， 分析接收的网络报文， 解 析出报文的五元组信息； 将报文的五元组信息与 ACL表进行匹配， 匹配成功后输出ACL表项的业务 对象； 依次针对匹配成功的业务对象执行输出业 务对象标识关联的业务。 本发明能够有效降低防 火墙的内存消耗， 提高防火墙的处 理性能。 权利要求书1页 说明书4页 附图2页 CN 114465754 A 2022.05.10 CN 114465754 A 1.一种基于D PDK的工控防火墙业 务配置和过 滤方法， 其特 征在于， 包括： 步骤1、 程序正常启动， 配置各个业 务的五元组信息； 步骤2、 分析配置的五元组信息， 构造业务对象， 业务对象包括五元组信息、 业务对象标 识和分类属性； 步骤3、 将所有业务对象的五元组信息和分类属性配置至DPDK的ACL接口， 构造一张ACL 表， 定义匹配成功的输出 结果为业务对象标识； 步骤4、 工控 防火墙接收监控的所有网络报文， 进行基础报文分析处理， 分析接收的网 络报文， 解析 出报文的五元组信息； 步骤5、 将 报文的五元组信息与ACL表进行匹配， 匹配成功后输出ACL表项的业 务对象； 步骤6、 依次针对匹配成功的业 务对象执 行输出业 务对象标识关联的业 务。 2.如权利要求1所述的基于DPDK的工控防火墙业务配置和过滤方法， 其特征在于， 五元 组信息包括： 源IP、 目的IP、 源端口、 目的端口和网络协议； 当两个业务的配置完全相同时， 共用一个业 务对象， 该业 务对象包 含一个业 务配置的五元组信息 。 3.如权利要求1所述的基于DPDK的工控防火墙业务配置和过滤方法， 其特征在于， 业务 对象具体结构包括： ①业务对象包含一条或者多条五元组信 息， 这些五元组信 息全部来自于同一个业务的 配置； ②业务对象包 含一个业 务对象标识， 用以区分不同的业 务对象。 ③业务对象包含分类属性， 将有重叠五元组信息的两个业务对象分属于不同的分类， 将没有重 叠的多个业 务对象的五元组信息分属于同一个分类。 4.如权利要求3所述的基于DPDK的工控防火墙业务配置和过滤方法， 其特征在于， 五元 组重叠具体为： 若一个数据报文能够同时匹配成功两个业务对 象， 则这两个业务对 象的五 元组内容 就有重叠。 5.如权利要求1所述的基于DPDK的工控防火墙业务配置和过滤方法， 其特征在于， 当报 文的五元组信息符合多个业 务的配置要求时， 一次ACL匹配输出多个业 务对象。 6.如权利要求1所述的基于DPDK的工控防火墙业务配置和过滤方法， 其特征在于， 若报 文的五元 组信息与 ACL表未匹配成功， 则说明报文没有匹配成功的任何业务， 不执行任何业 务， 处理结束。 7.一种计算机存 储介质， 其特 征在于， 包括： 至少一个存 储器和至少一个处 理器； 存储器用于存 储一个或多个程序指令； 处理器， 用于运行一个或多个程序指令， 用以执行如权利要求1 ‑6任一项所述的一种基 于DPDK的工控防火墙业 务配置和过 滤方法。权　利　要　求　书 1/1 页 2 CN 114465754 A 2一种基于DPDK的工控防火墙业务配置和过滤方 法 技术领域 [0001]本发明涉及工控安全技术领域， 尤其涉及一种基于DPDK的工控防火墙业务配置和 过滤方法。 背景技术 [0002]随着工控安全领域技术的不断发展， 工控防火墙需要支持的业务越来越多， 精细 化的业务配置要求对网络流量进行过滤， 只有符合业务配置要求的流量才执行该业务。 目 前的防火墙主要是通过访问控制(Access  Control List， ACL)技术对数据报文的五元 组信 息进行过滤(参考专利CN1 12769748A， CN1 12068974A)。 [0003]由于每个业务的配置要求不 同， 现有的过滤方法当防火墙支持的业务较多时， 需 要对每个业务的五元 组配置构 造一张ACL表， 因此内存资源会造成大量的消耗， 同时防火墙 处理网络报文需要依次对每个业务进 行ACL算法的匹配， 消耗大量的时间， 降低了工控防火 墙的性能。 发明内容 [0004]本发明提供了一种一种基于D PDK的工控防火墙业 务配置和过 滤方法， 包括： [0005]步骤1、 程序正常启动， 配置各个业 务的五元组信息； [0006]步骤2、 分析配置的五元组信息， 构造业务对象， 业务对象包括五元组信息、 业务对 象标识和分类属性； [0007]步骤3、 将所有业务对象的五元组信息和分类属性配置至DPDK的ACL接口， 构造一 张ACL表， 定义匹配成功的输出 结果为业务对象标识； [0008]步骤4、 工控防火墙接收监控的所有网络报文， 进行基础报文分析处理， 分析接收 的网络报文， 解析 出报文的五元组信息； [0009]步骤5、 将报文的五元组信息与ACL表进行匹配， 匹配成功后输出ACL表项的业务对 象； [0010]步骤6、 依次针对匹配成功的业 务对象执 行输出业 务对象标识关联的业 务。 [0011]如上所述 的一种基于DPDK的工控防火墙业务配置和过滤方法， 其中， 五元组信息 包括： 源IP、 目的IP、 源端口、 目的端口和网络协议； 当两个业务的配置完全相同时， 共用一 个业务对象， 该业 务对象包 含一个业 务配置的五元组信息 。 [0012]如上所述 的一种基于DPDK的工控防火墙业务配置和过滤方法， 其中， 业务对象具 体结构包括： [0013]①业务对象包含一条或者多条五元组信息， 这些五元组信息全部来自于同一个业 务的配置； [0014]②业务对象包 含一个业 务对象标识， 用以区分不同的业 务对象。 [0015]③业务对象包含分类属性， 将有重叠五元组信息的两个业务对象分属于不同的分 类， 将没有重 叠的多个业 务对象的五元组信息分属于同一个分类。说　明　书 1/4 页 3 CN 114465754 A 3