高端防火墙中包分类的实现研究
包分类在防火墙中扮演着非常重要的角色,通过用户配置一些包分类的规则,防火墙可以针对每个包进行不同的控制策略.所以,包分类是防火墙的所有功能的基础.在高端防火墙中,包分类既要实现高容量,还要实现高速度.当前为了实现包分类,可以使用一些算法,如RFC算法”1”、HiCuts算法”2”、ABV算法”3”、EGT-PC算法”4”,还可以使用TCAM芯片.其中,使用TCAM实现包分类,虽然可以达到非常高的速度(250Msps),但是容量有限,且价格不菲.而使用算法实现包分类,则会需要多次访问内存,导致速度较低不能满足高带宽的需求.本文从兼顾容量与性能的角度出发,提出一种结合了算法与TCAM两者优势的包分类实现方法,能达到防火墙高速包分类的容量与性能的要求.
防火墙 包分类 RFC TCAM HASH
金丽娜 赵会敏 苏智睿
公安部第一研究所,北京 100048
国内会议
云南丽江
中文
169-174
2009-09-04(万方平台首次上网日期,不代表论文的发表时间)