CN113965367A - 策略对象上限控制方法、系统、计算机及存储介质 - Google Patents

Abstract

本申请涉及一种策略对象上限控制方法、系统、计算机及存储介质，其中，该方法包括：判断当前接收的数据包是否为首包；若是，则新建会话表，并获取当前数据包的携带参数；其中，携带参数为当前数据包的配置条目数y；获取设备的后台参数以及条目上限z；其中，后台参数为设备的当前携带条目数x；判断设备的配置空间z‑x是否满足当前数据包的配置条目数y的安装上限要求；若否，则精简其他策略对象配置。通过本申请，解决相关技术中策略和对象配置达到上限时继续配置出现代码报错或者不易理解的提示发生以及无法进行下一步配置的问题。

Description

策略对象上限控制方法、系统、计算机及存储介质

技术领域

本申请涉及数据处理技术领域，特别是涉及策略对象上限控制方法、系统、计算机及存储介质。

背景技术

防火墙技术的功能作用主要是在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题，其中处理措施包括隔离与保护，同时可对计算机网络安全当中的各项操作实施记录与检测，以确保计算机网络运行的安全性，保障用户资料与信息的完整性，为用户提供更好、更安全的计算机网络使用体验。

早期防火墙进行进行包过滤过程中，采取的是“逐包检测”机制，即对设备收到的所有报文都根据包过滤规则每次都进行检查以决定是否对该报文放行。这种机制严重影响了设备转发效率，使包过滤防火墙成为网络中的转发瓶颈。后续多数防火墙采用“状态检测”机制来进行包过滤。即对一条流量的第一个报文进行包过滤规则检查，并将判断结果作为该条流量的“状态”记录下来。对于该流量的后续报文都直接根据这个“状态”来判断是转发还是丢弃，而不会再次检查报文的数据内容。

然而，随着客户业务量的增加，在防火墙上的策略配置也逐渐增加。在配置策略时有条目限制，策略的应用也需要调用对象。对象和策略的数量条目限制根据设备的不同，具体的参数也不同，这些参数并不会直观的呈现，这使得用户无法得知设备当前的配置空间，使得当配置空间不满足配置需求时，产生报错码且无法进行一下步配置。

发明内容

本申请实施例提供了一种及策略对象上限控制方法、系统、计算机及存储介质，以至少解决相关技术中配置达到上限而不能进行策略和对象配置的问题。

第一方面，本申请实施例提供了一种策略对象上限控制方法，应用于策略对象上限控制系统，所述方法包括：

判断当前接收的数据包是否为首包；

若是，则新建会话表，并获取当前数据包的配置条目数；

获取设备的后台参数以及条目上限；其中，所述后台参数为所述设备的当前携带条目数；

判断所述设备由所述当前携带条目数和所述条目上限确定的配置空间是否满足当前数据包的配置条目数的安装上限要求；

若否，则精简其他策略对象配置；其中，所述其他策略对象为所述设备中除当前数据包的其他数据包的策略对象。

在其中一些实施例中，所述判断当前接收的数据包是否为首包的步骤包括：

获取所述当前数据包中的五元组数据，其中，所述五元组数据包括源IP地址、目的IP地址、源端口号、目的端口号以及协议类型；

判断现有会话表的五元组数据是否与所述当前数据包中的五元组数据相同；

若是，则判定所述当前数据包不是首包，并调用与所述当前数据包中的五元组数据相同的现有会话表作为所述当前数据包的会话表。

在其中一些实施例中，所述精简其他策略对象配置的步骤包括：

调取所述设备的所有配置策略对象，并查询所述配置策略对象中是否存在相同数据；

若是，则将相同的配置策略对象进行合并。

在其中一些实施例中，所述判断现有会话表的五元组数据是否存在与所述当前数据包中的五元组数据相同的步骤包括：

计算所述当前数据包中五元组数据的哈希值；

查询所述设备的处理器预先构建的哈希链表中是否存在与所述当前数据包中五元组数据的哈希值相同的会话表；其中，所述哈希链表中存储有多个会话表地址和与所述现有会话表的五元组数据对应的哈希值；

若否，则新建会话表至所述哈希链表中。

在其中一些实施例中，所述新建会话表至所述哈希链表中的步骤之后包括：

记录所述会话表的创建时间以及调用记录；

当所述会话表产生调用记录时，将所述会话表的创建时间更新为调用时的时间节点；

当所述哈希链表中的会话表数目达到第一预设值时，删除所述哈希链表中当前创建时间最早的会话表。

第二方面，本申请实施例提供了一种策略对象上限控制系统，所述系统包括：

第一判断模块：用于判断当前接收的数据包是否为首包；

建表模块：用于在判定到当前接受的数据包是为首包时，新建会话表；

查询模块：用于获取当前数据包的配置条目数；

自查模块：用于获取设备的后台参数以及条目上限；其中，所述后台参数为所述设备的当前携带条目数；

第二判断模块：用于判断所述设备由所述当前携带条目数和所述条目上限确定的配置空间是否满足当前数据包的配置条目数的安装上限要求；

执行模块：用于当所述设备的配置空间不满足当前数据包的配置条目数的安装上限要求时，精简其他策略对象配置。

在其中一些实施例中，所述系统还包括：

所述第一判断模块具体包括：

数据查询单元：用于获取所述当前数据包中的五元组数据，其中，所述五元组数据包括源IP地址、目的IP地址、源端口号、目的端口号以及协议类型；

比对单元：用于判断现有会话表的五元组数据是否与所述当前数据包中的五元组数据相同；

调用单元：用于当判断现有会话表的五元组数据存在与所述当前数据包中的五元组数据相同时，判定所述当前数据包不是首包，并调用与所述当前数据包中的五元组数据相同的现有会话表作为所述当前数据包的会话表。

自检单元：用于调取所述设备的所有配置策略对象，并查询所述配置策略对象中是否存在相同数据；

合并单元：用于当查询所述配置策略对象存在相同数据时，将相同的配置策略对象进行合并。

第三方面，本申请实施例提供了一种计算机，包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现如上述第一方面所述的策略对象上限控制方法。

第四方面，本申请实施例提供了一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现如上述第一方面所述的策略对象上限控制方法。

相比于相关技术，本申请实施例提供的策略对象上限控制方法，在针对已经大量配置业务策略对象的情况下，通过在判断新增数据包(策略对象业务)是否为首包来避免相同数据包多次建立会话表以占用设备的配置空间，并且，在当前数据包为首包的条件下，获取数据包的配置条目数以及设备的当前携带条目数和条目上限，以判定当前设备的配置空间能否满足当前数据包的相关业务配置。在不满足配置的条件下，使设备进行其他策略对象配置的精简，以达到为当前数据包的相关业务配置提供配置空间。通过上述方法，有效的提升了设备的业务配置空间利用率的同时，还克服了业务配置过程中配置空间已经达到上限时继续配置出现代码报错或者不易理解的提示发生以及无法进行下一步配置的问题。

本申请的一个或多个实施例的细节在以下附图和描述中提出，以使本申请的其他特征、目的和优点更加简明易懂。

附图说明

此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。在附图中：

图1是本发明第一实施例提出的策略对象上限控制方法的流程图；

图2是本发明第一实施例提出的策略对象上限控制方法中判断当前接收的数据包是否为首包的流程图；

图3是本发明第一实施例提出的策略对象上限控制方法中精简其他策略对象配置的流程图；

图4是本发明第一实施例提出的策略对象上限控制方法中判断现有会话表的五元组数据是否存在与当前数据包中的五元组数据相同的流程图；

图5是本发明第一实施例提出的策略对象上限控制方法中新建会话表至哈希链表的流程图；

图6是本发明第二实施例提出的策略对象上限控制系统的结构示意图；

图7是本申请实施例提出的计算机的硬件结构示意图。

具体实施方式

为了使本申请的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本申请进行描述和说明。应当理解，此处所描述的具体实施例仅仅用以解释本申请，并不用于限定本申请。基于本申请提供的实施例，本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例，都属于本申请保护的范围。

显而易见地，下面描述中的附图仅仅是本申请的一些示例或实施例，对于本领域的普通技术人员而言，在不付出创造性劳动的前提下，还可以根据这些附图将本申请应用于其他类似情景。此外，还可以理解的是，虽然这种开发过程中所作出的努力可能是复杂并且冗长的，然而对于与本申请公开的内容相关的本领域的普通技术人员而言，在本申请揭露的技术内容的基础上进行的一些设计，制造或者生产等变更只是常规的技术手段，不应当理解为本申请公开的内容不充分。

在本申请中提及“实施例”意味着，结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例，也不是与其它实施例互斥的独立的或备选的实施例。本领域普通技术人员显式地和隐式地理解的是，本申请所描述的实施例在不冲突的情况下，可以与其它实施例相结合。

除非另作定义，本申请所涉及的技术术语或者科学术语应当为本申请所属技术领域内具有一般技能的人士所理解的通常意义。本申请所涉及的“一”、“一个”、“一种”、“该”等类似词语并不表示数量限制，可表示单数或复数。本申请所涉及的术语“包括”、“包含”、“具有”以及它们任何变形，意图在于覆盖不排他的包含；例如包含了一系列步骤或模块(单元)的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元，而是可以还包括没有列出的步骤或单元，或可以还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。本申请所涉及的“连接”、“相连”、“耦接”等类似的词语并非限定于物理的或者机械的连接，而是可以包括电气的连接，不管是直接的还是间接的。本申请所涉及的“多个”是指两个或两个以上。“和/或”描述关联对象的关联关系，表示可以存在三种关系，例如，“A和/或B”可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。本申请所涉及的术语“第一”、“第二”、“第三”等仅仅是区别类似的对象，不代表针对对象的特定排序。

本申请第一实施例提供了一种策略对象上限控制方法。图1是根据本申请第一实施例的策略对象上限控制方法的流程图，如图1所示，该流程包括如下步骤：

步骤S10，判断当前接收的数据包是否为首包。

本发明实施例中，在防火墙在进行包过滤过程中，采用“状态检测”机制来进行包过滤。“状态检测”机制以流量为单位来对报文进行检测和转发。检测过程中，通过检测当前数据包的一条流量的第一个报文进行包过滤规则检查。以判定当前数据包是否为首包。其中，首包是指第一次通过该防火墙的数据包。

步骤S20，若是，则新建会话表，并获取当前数据包的配置条目数。

本发明实施例中配置条目数设定为y。

在本发明实施例中，包过滤的方式是对一条流量的第一个报文进行包过滤规则检查，并将判断结果作为该条流量的“状态”记录下来。对于该流量的后续报文都直接根据这个“状态”来判断是转发还是丢弃，而不会再次检查报文的数据内容。这个“状态”即为本发明实施例中的会话表。

步骤S30，获取设备的后台参数以及条目上限。

其中，所述条目上限设定为z，所述后台参数为所述设备的当前携带条目数x。

可以理解的，策略配置和对象业务中，在遇到首包的情况下，需要新增会话表来进行报文的转发处理，而新增会话表的会话表项中涵盖了该数据包的配置条目。

步骤S40，判断设备由所述当前携带条目数和所述条目上限确定的配置空间是否满足当前数据包的配置条目数的安装上限要求。

在本发明实施例中，通过获取当前数据包的携带参数(即当前数据包的配置条目数y)、设备的当前携带条目数x以及条目上限z，可知设备当前的配置空间为z-x，当前数据包的配置条目数y不大于设备的配置空间为z-x，则说明所述设备的配置空间是满足该数据包的配置需求；反之，若前数据包的配置条目数y大于设备的配置空间为z-x，则说明所述设备的配置空间不足以支持该数据包的配置需求。

如下例子所述：比如当前数据包为应用控制策略，则获取POLICY_TOTAL参数与当前所配置的条目数，比对后台文件capacity中所写入的数值。所在其他数据包的参数，比如：服务对象规格--SERVICE_OBJ，NAT策略--NAT_RULE，NAT地址池规格--NAT_POOL，每策略最大使用用户数--USER_PER_POLICY，等等。所有对应的后台参数均可在后台配置文件capacity中查询到。根据结果比对值返回。

步骤S50，若否，则精简其他策略对象配置。

其中，所述其他策略对象为所述设备中除当前数据包的其他数据包的策略对象。

可以理解的，在配置策略时有条目限制，策略的应用也需要调用对象，一般情况下，当设备的配置空间不足以支持当前数据包的策略对象配置时，会以出现报错代码的提示方式来提醒用户，基于普遍使用人员的水平限制，多数人员不能立即了解报错代码所指代的含义，也不能有效的去控制调节配置空间，对此，本发明实施例采用精简所述设备中其他策略对象配置的方式来优化提升所述设备的配置空间，以满足当前数据包的配置需求。

综上，通过上述方法，在针对已经大量配置业务策略对象的情况下，通过在判断新增数据包(策略对象业务)是否为首包来避免相同数据包多次建立会话表以占用设备的配置空间，并且，在当前数据包为首包的条件下，获取数据包的配置条目数以及设备的当前携带条目数和条目上限，以判定当前设备的配置空间能否满足当前数据包的相关业务配置。在不满足配置的条件下，使设备进行其他策略对象配置的精简，以达到为当前数据包的相关业务配置提供配置空间。通过上述方法，有效的提升了设备的业务配置空间利用率的同时，还克服了业务配置过程中配置空间已经达到上限时继续配置出现代码报错或者不易理解的提示发生以及无法进行下一步配置的问题。

本发明第一实施例中，关于该策略对象上限控制方法，还提出一种判断当前接收的数据包是否为首包的方法，如图2所示，该流程方法包括：

步骤S11，获取当前数据包中的五元组数据。

其中，所述五元组数据包括源IP地址、目的IP地址、源端口号、目的端口号以及协议类型。

可以理解的，五元组的用于区别不同会话，且对应的会话也是唯一的，例如：192.168.1.1 10000TCP 121.14.88.76 80就构成了一个五元组。其意义是，一个IP地址为192.168.1.1的终端通过端口10000，利用TCP协议，和IP地址为121.14.88.76，端口为80的终端进行连接。

步骤S12，判断现有会话表的五元组数据是否与当前数据包中的五元组数据相同；

本发明实施例中，每个首包进行包过滤时，都会产生会话表，会话表中会存储每个首包对应的五元组数据，以便于后续相同的数据包不会额外产生会话表而占据所述设备的空间，有效的避免了配置空间的资源堆叠浪费。

步骤S13，若是，则判定当前数据包不是首包，并调用与当前数据包中的五元组数据相同的现有会话表作为当前数据包的会话表。

综上，通过上述方法，有效的避免的诊断相同的数据包产生多余的会话表，有效的避免了配置空间的资源堆叠浪费。

本发明第一实施例中，关于该策略对象上限控制方法，还提出一种精简其他策略对象配置的方法，如图3所示，该流程方法包括：

步骤S51，调取设备的所有配置策略对象，并查询配置策略对象中是否存在相同数据。

步骤S52，若是，则将相同的配置策略对象进行合并。

可以理解的，如果当前界面所配置策略对象规格已经到达设备规格上限，需要检查多个所配置策略，找到共同点，在需求允许的范围内进行合并。对象精简也同理，有可能原来在设立对象时没有考虑到后续的数量上限，初始创建时都是单独设定没有合并成小组对象。通过对相同数据进行合并使得所述设备的配置空间得到进一步的提升，以满足当前数据包的配置需求。

示例而非限定的，在本发明的其他实施例中，对于设备精简其他策略对象配置的方法还可以是通过查询设备后台参数中创建时间较早且或调用次数频率较低的一些配置策略及对象。以进一步的提升所述设备的配置空间。

进一步的，请参阅图4，为本发明第一实施例中判断现有会话表的五元组数据是否存在与当前数据包中的五元组数据相同的流程图，该流程方法包括：

步骤S121，计算当前数据包中五元组数据的哈希值。

步骤S122，查询设备的处理器预先构建的哈希链表中是否存在与五元组数据的哈希值相同的会话表。

其中，哈希链表中存储有多个会话表地址和与其对应的哈希值；

本实施例中，通过哈希算法计算五元组数据的哈希值，使得该五元组数据及其哈希值映射至会话表的会话表地址，以便于查询映射数据映射到会话表中的一个会话表地址来访问记录，加快了查询速度。

步骤S123，若否，则新建会话表至哈希链表中。

本实施例中，每个处理器对应一个预先构建的简化会话数组哈希表，对于多核系统，随着处理器的个数增长，防火墙报文转发处理的性能线性增长。

另外，哈希链表中存储有多个会话表地址，每个哈希地址对应其哈希值，提高了查询过程效率，从而可以提高防火墙的报文转发的整体性能。

会话表采用(key，value)的方式存储，其中key值为五元组数据，value值为模板会话地址。

进一步的，请参阅图5，为本发明第一实施例中新建会话表至哈希链表的流程图，该流程方法包括：

步骤124，记录会话表的创建时间以及调用记录。

本实施例中，会话表还包括该表的创建时间以及调用记录，便于后期整理会话表时用作筛选项。

步骤125，当会话表产生调用记录时，将会话表的创建时间更新为调用时的时间节点。

可以理解的，当一个会话表在被调用时，说明该会话表具有一定活跃度，通将该会话表的创建时间更新为调用时的时间节点以区别一些新建的会话表但出于非活跃状态的会话表。

步骤126，当哈希链表中的会话表数目达到第一预设值时，删除哈希链表中当前创建时间最早的会话表。

本实施例中，在会话表数目达到一设定的值后(该值根据处理器的处理性能确定)，处理器的负荷会偏大而影响其处理性能，本发明通过根据创建时间或调用时间的先后关系来筛选出不活跃的会话表并删除，在确保常用会话表的正常调用的同时，还优化了处理器的性能。

综上，本发明提出的策略对象上限控制方法，通过在判断新增数据包(策略对象业务)是否为首包来避免相同数据包多次建立会话表以占用设备的配置空间，并且，在当前数据包为首包的条件下，获取数据包的配置条目数以及设备的当前携带条目数和条目上限，以判定当前设备的配置空间能否满足当前数据包的相关业务配置。在不满足配置的条件下，使设备进行其他策略对象配置的精简，以达到为当前数据包的相关业务配置提供配置空间。通过上述方法，有效的提升了设备的业务配置空间利用率的同时，还克服了业务配置过程中配置空间已经达到上限时继续配置出现代码报错或者不易理解的提示发生以及无法进行下一步配置的问题。

此外，通过针对首包的判断处理方式有效的避免的诊断相同的数据包产生多余的会话表，有效的避免了配置空间的资源堆叠浪费；通过哈希算法将计算五元组数据的哈希值来映射会话表地址加快了查询速度；并通过将会话表按设定的时间节点方式来删除不活跃的哈希表优化了处理器的处理性能。

需要说明的是，在上述流程中或者附图的流程图中示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。

本实施例还提供了一种策略对象上限控制系统，该系统用于实现上述实施例及优选实施方式，已经进行过说明的不再赘述。如以下所使用的，术语“模块”、“单元”、“子单元”等可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的系统较佳地以软件来实现，但是硬件，或者软件和硬件的组合的实现也是可能并被构想的。

图6是根据本申请实施例第二实施例提出的策略对象上限控制系统的结构框图，如图6所示，该系统包括：

第一判断模块10：用于判断当前接收的数据包是否为首包。

建表模块20：用于在判定到当前接受的数据包是为首包时，新建会话表。

查询模块30：用于获取当前数据包的配置条目数。

自查模块40：用于获取设备的后台参数以及条目上限；其中，所述后台参数为所述设备的当前携带条目数。

第二判断模块50：用于判断所述设备由所述当前携带条目数和所述条目上限确定的配置空间是否满足当前数据包的配置条目数的安装上限要求。

执行模块60：用于当所述设备的配置空间不满足当前数据包的配置条目数的安装上限要求时，精简其他策略对象配置。

进一步的，第一判断模块10具体包括：

数据查询单元：用于获取所述当前数据包中的五元组数据，其中，所述五元组数据包括源IP地址、目的IP地址、源端口号、目的端口号以及协议类型。

比对单元：用于判断现有会话表的五元组数据是否存在与所述当前数据包中的五元组数据相同。

调用单元：用于当判断现有会话表的五元组数据存在与所述当前数据包中的五元组数据相同时，调用与所述当前数据包中的五元组数据相同的现有会话表作为所述当前数据包的会话表。

进一步的，执行模块60具体包括：

自检单元：用于调取所述设备的所有配置策略对象，并查询所述配置策略对象中是否存在相同数据。

合并单元：用于当查询所述配置策略对象存在相同数据时，将相同的配置策略对象进行合并。

进一步的，比对单元具体包括：

计算子单元：用于计算所述当前数据包中五元组数据的哈希值。

查重子单元：用于查询所述设备的处理器预先构建的哈希链表中是否存在与所述五元组数据的哈希值相同的会话表。

其中，所述哈希链表中存储有多个会话表地址和与其对应的哈希值；

创建子单元：用于当所述哈希链表中不存在与所述五元组数据的哈希值相同的会话表时，新建会话表至所述哈希链表中。

进一步的，该系统具体还包括：

记录子单元：用于记录所述会话表的创建时间以及调用记录；

更新子单元：用于当所述会话表产生调用记录时，将所述会话表的创建时间更新为调用时的时间节点；

删除子单元：用于当所述哈希链表中的会话表数目达到第一预设值时，删除所述哈希链表中当前创建时间最早的会话表。

通过上述策略对象上限控制系统，用以执行上述的策略对象上限控制方法的相应步骤，在判断新增数据包(策略对象业务)是否为首包来避免相同数据包多次建立会话表以占用设备的配置空间，并且，在当前数据包为首包的条件下，获取数据包的配置条目数以及设备的当前携带条目数和条目上限，以判定当前设备的配置空间能否满足当前数据包的相关业务配置。在不满足配置的条件下，使设备进行其他策略对象配置的精简，以达到为当前数据包的相关业务配置提供配置空间。通过上述方法，有效的提升了设备的业务配置空间利用率的同时，还克服了业务配置过程中配置空间已经达到上限时继续配置出现代码报错或者不易理解的提示发生以及无法进行下一步配置的问题。

需要说明的是，上述各个模块可以是功能模块也可以是程序模块，既可以通过软件来实现，也可以通过硬件来实现。对于通过硬件来实现的模块而言，上述各个模块可以位于同一处理器中；或者上述各个模块还可以按照任意组合的形式分别位于不同的处理器中。

另外，结合图1描述的本申请实施例策略对象上限控制方法可以由计算机来实现。图7为根据本申请实施例的计算机的硬件结构示意图，该计算机可以包括处理器81以及存储有计算机程序指令的存储器82。

具体地，上述处理器81可以包括中央处理器(CPU)，或者特定集成电路(Application Specific Integrated Circuit，简称为ASIC)，或者可以被配置成实施本申请实施例的一个或多个集成电路。

其中，存储器82可以包括用于数据或指令的大容量存储器。举例来说而非限制，存储器82可包括硬盘驱动器(Hard Disk Drive，简称为HDD)、软盘驱动器、固态驱动器(SolidState Drive，简称为SSD)、闪存、光盘、磁光盘、磁带或通用串行总线(Universal SerialBus，简称为USB)驱动器或者两个或更多个以上这些的组合。在合适的情况下，存储器82可包括可移除或不可移除(或固定)的介质。在合适的情况下，存储器82可在数据处理装置的内部或外部。在特定实施例中，存储器82是非易失性(Non-Volatile)存储器。在特定实施例中，存储器82包括只读存储器(Read-Only Memory，简称为ROM)和随机存取存储器(RandomAccess Memory，简称为RAM)。在合适的情况下，该ROM可以是掩模编程的ROM、可编程ROM(Programmable Read-Only Memory，简称为PROM)、可擦除PROM(Erasable ProgrammableRead-Only Memory，简称为EPROM)、电可擦除PROM(Electrically Erasable ProgrammableRead-Only Memory，简称为EEPROM)、电可改写ROM(Electrically Alterable Read-OnlyMemory，简称为EAROM)或闪存(FLASH)或者两个或更多个以上这些的组合。在合适的情况下，该RAM可以是静态随机存取存储器(Static Random-Access Memory，简称为SRAM)或动态随机存取存储器(Dynamic Random Access Memory，简称为DRAM)，其中，DRAM可以是快速页模式动态随机存取存储器(Fast Page Mode Dynamic Random Access Memory，简称为FPMDRAM)、扩展数据输出动态随机存取存储器(Extended Date Out Dynamic RandomAccess Memory，简称为EDODRAM)、同步动态随机存取内存(Synchronous Dynamic Random-Access Memory，简称SDRAM)等。

存储器82可以用来存储或者缓存需要处理和/或通信使用的各种数据文件，以及处理器81所执行的可能的计算机程序指令。

处理器81通过读取并执行存储器82中存储的计算机程序指令，以实现上述实施例中的任意一种策略对象上限控制方法。

在其中一些实施例中，计算机还可包括通信接口83和总线80。其中，如图7所示，处理器81、存储器82、通信接口83通过总线80连接并完成相互间的通信。

通信接口83用于实现本申请实施例中各模块、装置、单元和/或设备之间的通信。通信接口83还可以实现与其他部件例如：外接设备、图像/数据采集设备、数据库、外部存储以及图像/数据处理工作站等之间进行数据通信。

总线80包括硬件、软件或两者，将计算机的部件彼此耦接在一起。总线80包括但不限于以下至少之一：数据总线(Data Bus)、地址总线(Address Bus)、控制总线(ControlBus)、扩展总线(Expansion Bus)、局部总线(Local Bus)。举例来说而非限制，总线80可包括图形加速接口(Accelerated Graphics Port，简称为AGP)或其他图形总线、增强工业标准架构(Extended Industry Standard Architecture，简称为EISA)总线、前端总线(FrontSide Bus，简称为FSB)、超传输(Hyper Transport，简称为HT)互连、工业标准架构(Industry Standard Architecture，简称为ISA)总线、无线带宽(InfiniBand)互连、低引脚数(Low Pin Count，简称为LPC)总线、存储器总线、微信道架构(Micro ChannelArchitecture，简称为MCA)总线、外围组件互连(Peripheral Component Interconnect，简称为PCI)总线、PCI-Express(PCI-X)总线、串行高级技术附件(Serial AdvancedTechnology Attachment，简称为SATA)总线、视频电子标准协会局部(Video ElectronicsStandards Association Local Bus，简称为VLB)总线或其他合适的总线或者两个或更多个以上这些的组合。在合适的情况下，总线80可包括一个或多个总线。尽管本申请实施例描述和示出了特定的总线，但本申请考虑任何合适的总线或互连。

该计算机可以基于获取到的数据信息，执行本申请实施例中的策略对象上限控制方法，从而实现结合图1描述的策略对象上限控制方法。

另外，结合上述实施例中的策略对象上限控制方法，本申请实施例可提供一种计算机可读存储介质来实现。该计算机可读存储介质上存储有计算机程序指令；该计算机程序指令被处理器执行时实现上述实施例中的任意一种策略对象上限控制方法。

以上所述实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。

以上所述实施例仅表达了本申请的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本申请构思的前提下，还可以做出若干变形和改进，这些都属于本申请的保护范围。因此，本申请专利的保护范围应以所附权利要求为准。

Claims (10)

1.一种策略对象上限控制方法，应用于策略对象上限控制系统，其特征在于，所述方法包括：

判断当前接收的数据包是否为首包；

若是，则新建会话表，并获取当前数据包的配置条目数；

获取设备的后台参数以及条目上限；其中，所述后台参数为所述设备的当前携带条目数；

判断所述设备由所述当前携带条目数和所述条目上限确定的配置空间是否满足当前数据包的配置条目数的安装上限要求；

若否，则精简其他策略对象配置；其中，所述其他策略对象为所述设备中除当前数据包的其他数据包的策略对象。

2.根据权利要求1所述的策略对象上限控制方法，其特征在于，所述判断当前接收的数据包是否为首包的步骤包括：

获取所述当前数据包中的五元组数据，其中，所述五元组数据包括源IP地址、目的IP地址、源端口号、目的端口号以及协议类型；

判断现有会话表的五元组数据是否与所述当前数据包中的五元组数据相同；

若是，则判定所述当前数据包不是首包，并调用与所述当前数据包中的五元组数据相同的现有会话表作为所述当前数据包的会话表。

3.根据权利要求1所述的策略对象上限控制方法，其特征在于，所述精简其他策略对象配置的步骤包括：

调取所述设备的所有配置策略对象，并查询所述配置策略对象中是否存在相同数据；

若是，则将相同的配置策略对象进行合并。

4.根据权利要求2所述的策略对象上限控制方法，其特征在于，所述判断现有会话表的五元组数据是否与所述当前数据包中的五元组数据相同的步骤包括：

计算所述当前数据包中五元组数据的哈希值；

查询所述设备的处理器预先构建的哈希链表中是否存在与所述当前数据包中五元组数据的哈希值相同的会话表；其中，所述哈希链表中存储有多个会话表地址和与所述现有会话表的五元组数据对应的哈希值；

若否，则新建会话表至所述哈希链表中。

5.根据权利要求4所述的策略对象上限控制方法，其特征在于，所述新建会话表至所述哈希链表中的步骤之后包括：

记录所述会话表的创建时间以及调用记录；

当所述会话表产生调用记录时，将所述会话表的创建时间更新为调用时的时间节点；

当所述哈希链表中的会话表数目达到第一预设值时，删除所述哈希链表中当前创建时间最早的会话表。

6.一种策略对象上限控制系统，其特征在于，所述系统包括：

第一判断模块：用于判断当前接收的数据包是否为首包；

建表模块：用于在判定到当前接受的数据包是为首包时，新建会话表；

查询模块：用于获取当前数据包的配置条目数；

自查模块：用于获取设备的后台参数以及条目上限；其中，所述后台参数为所述设备的当前携带条目数；

第二判断模块：用于判断所述设备由所述当前携带条目数和所述条目上限确定的配置空间是否满足当前数据包的配置条目数的安装上限要求；

执行模块：用于当所述设备的配置空间不满足当前数据包的配置条目数的安装上限要求时，精简其他策略对象配置，其中，所述其他策略对象为所述设备中除当前数据包的其他数据包的策略对象。

7.根据权利要求6所述的策略对象上限控制系统，其特征在于，所述第一判断模块具体包括：

数据查询单元：用于获取所述当前数据包中的五元组数据，其中，所述五元组数据包括源IP地址、目的IP地址、源端口号、目的端口号以及协议类型；

比对单元：用于判断现有会话表的五元组数据是否与所述当前数据包中的五元组数据相同；

调用单元：用于当判断现有会话表的五元组数据存在与所述当前数据包中的五元组数据相同时，判定所述当前数据包不是首包，并调用与所述当前数据包中的五元组数据相同的现有会话表作为所述当前数据包的会话表。

8.根据权利要求6所述的策略对象上限控制系统，其特征在于，所述执行模块具体包括：

自检单元：用于调取所述设备的所有配置策略对象，并查询所述配置策略对象中是否存在相同数据；

合并单元：用于当查询所述配置策略对象存在相同数据时，将相同的配置策略对象进行合并。

9.一种计算机，包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现如权利要求1至5中任一项所述的策略对象上限控制方法。

10.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，该程序被处理器执行时实现如权利要求1至5中任一项所述的策略对象上限控制方法。

Images