防火墙扩展match模块匹配算法优化

为提高大规则集防火墙中规则匹配效率,研究了Iptables规则中扩展match模块的匹配特点,将匹配过程分为数据包解码和参数比较两个步骤,对不同规则中的相同扩展match模块,提出了一种"一次解码,多次匹配"(decoding-once-techno-logy,DOT)的优化算法。通过对规则匹配时间建模分析,证明改进算法可以减少规则匹配时数据包解码次数,从而降低规则中扩展match模块的匹配时间。实验结果表明,改进后的算法可以有效提高防火墙吞吐量,降低时延。