一種防火墻規(guī)則過濾優(yōu)化方法
【技術領域】
[0001]本發(fā)明涉及信息安全技術領域,具體涉及一種防火墻規(guī)則過濾優(yōu)化方法。
【背景技術】
[0002]隨著互聯(lián)網的發(fā)展,信息安全問題引起了學術界和工業(yè)界的廣泛重視。來自網絡的攻擊持續(xù)不斷的增長,防火墻已經成為信息安全領域的一種核心設備,并廣泛應用于企業(yè)網絡和小型的家庭網絡。防火墻是指隔離在本地網絡與外界網絡之間的一道防御系統(tǒng),它在網絡之間執(zhí)行訪問控制策略。防火墻可以是非常簡單的過濾器,也可能是精心配置的網關,但它們的原理是一樣的,都是監(jiān)測并過濾所有內部網和外部網之間的信息交換,防火墻保護著內部網絡敏感的數(shù)據(jù)不被偷竊和破壞,并記錄內外通訊的有關狀態(tài)信息日志,如通訊發(fā)生的時間和進行的操作等等,通常是運行在一臺單獨計算機之上的一個特別的服務軟件,它可以識別并屏蔽非法的請求。在計算機網絡日益擴展和普及的今天,計算機安全的要求更高,涉及面更廣。不但要求防治病毒,還要提高系統(tǒng)抵抗外來非法黑客入侵的能力,還要提高對遠程數(shù)據(jù)傳輸?shù)谋C苄?,避免在傳輸途中遭受非法竊取。此時,對防火墻性能進行優(yōu)化顯得尤為重要。
[0003]由于防火墻系統(tǒng)的不斷運行,越來越多的過濾規(guī)則會不斷加入,進而系統(tǒng)對每個數(shù)據(jù)包的處理時間會變得越來越長。
【發(fā)明內容】
[0004]本發(fā)明要解決的技術問題是:針對現(xiàn)有防火墻規(guī)則越來越多,數(shù)據(jù)包處理時間越來越長,系統(tǒng)過濾效率越越低的現(xiàn)狀,為了能迅速有效的解析、驗證和過濾所寫的防火墻規(guī)則,本發(fā)明提出了一種防火墻規(guī)則過濾的優(yōu)化方法。
[0005]本發(fā)明所采用的技術方案為:
一種防火墻規(guī)則過濾優(yōu)化方法,所述優(yōu)化方法通過在防火墻添加規(guī)則時,對新添加的規(guī)則和已有的規(guī)則進行比較和合并,刪除被包含的規(guī)則,合并多條相關的規(guī)則成一條規(guī)則來達到規(guī)則之間的冗余排除。
[0006]所述優(yōu)化方法的實現(xiàn)體系包含:1)規(guī)則添加解析模塊,2)規(guī)則匹配判斷模塊,3)規(guī)則合并模塊,其中:
規(guī)則添加解析模塊,負責解析插入的復雜規(guī)則,使其簡化,分析各條規(guī)則的命令,匹配和目標部分,將規(guī)則集中的每條規(guī)則和待添加的規(guī)則比較;
規(guī)則匹配判斷模塊,如果待添加的規(guī)則和已有的規(guī)則是等價關系,則直接丟棄待添加的規(guī)則;如果待添加的規(guī)則和已有的規(guī)則是包含關系,則刪除原規(guī)則集中被包含的規(guī)則,然后將待添加的規(guī)則加入到規(guī)則集;如果待添加的規(guī)則和已有的規(guī)則是被包含關系,則直接丟棄待添加的規(guī)則;如果待添加的規(guī)則和已有的規(guī)則是交叉關系,則根據(jù)交叉關系修改已有的規(guī)則,待添加的規(guī)則丟棄;
規(guī)則合并模塊,根據(jù)匹配判定的結果對待添加的模塊,判斷兩條規(guī)則的目標名稱是否相同即可,如果兩條規(guī)則的目標部分相同,則兩條規(guī)則才有可能被合并。否則,這兩條規(guī)則即使匹配部分相同,也不能合并或重新組合。
[0007]所述規(guī)則添加解析模塊當向規(guī)則集種添加新的規(guī)則的時候,優(yōu)化算法會根據(jù)以下流程來執(zhí)行添加規(guī)則過程:
1)解析待插入的規(guī)則,將復雜規(guī)則簡化,轉換成簡單規(guī)則;
2)解析規(guī)則,分析出規(guī)則的命令、匹配和目標部分;
3)如果命令是添加新的規(guī)則,并且指定的表是filter,則執(zhí)行步驟4),否則執(zhí)行默認的過程;
4)根據(jù)規(guī)則的鏈名,從規(guī)則集中取出此鏈的所有規(guī)則,對每條規(guī)則執(zhí)行5)、6)中的步驟;
5)判斷待加入的規(guī)則和已有規(guī)則的目標部分是否相同,如果相同,則執(zhí)行執(zhí)行步驟6)合并過程,否則執(zhí)行默認的過程;
6)比較待加入規(guī)則和已有的規(guī)則中的匹配部分,判斷這兩條規(guī)則是否有等價、包含、或交叉關系,如果有,則進行規(guī)則合并或替換,否則,執(zhí)行默認的添加過程。
[0008]所述規(guī)則匹配判斷模塊,匹配比較流程如下:
1)判斷兩個匹配的源/目的ip地址/段是否具有等價、包含或交叉關系,如果有,則繼續(xù)執(zhí)行2)中的比較,否則,停止比較;
2)判斷兩個匹配中的源目的端口是否具有等價、包含或交叉關系,如果有,繼續(xù)執(zhí)行
3)中的比較,否則停止比較;
3)判斷兩個匹配中的協(xié)議類型是否具有等價、包含或交叉關系,如果有,繼續(xù)執(zhí)行4)中的比較,否則,停止比較;
4)比較匹配中的其他部分是否相同,如果相同就表明兩條規(guī)則之間能夠進行合并或替換,否則,兩條規(guī)則沒有關系,需要執(zhí)行默認的添加操作。
[0009]—個匹配通常包含很多匹配項;比較兩個匹配是否具有包含和交叉關系,需要將2個匹配的所有子項全部一一比較,只有當這些子項都滿足相同的關系時,這兩個匹配才具有包含或交叉關系。
[0010]本發(fā)明的有益效果為:
本發(fā)明優(yōu)化算法能夠有效的剔除規(guī)則集中重復的規(guī)則,這樣不僅能夠提高i P t ab I e s系統(tǒng)本身運行效率;另外,系統(tǒng)中過濾規(guī)則的減少,理論上可以提升系統(tǒng)過濾效率,減少過濾數(shù)據(jù)包所需的時間,從而提高防火墻系統(tǒng)的網絡吞吐量。
【附圖說明】
[0011 ] 圖1為本發(fā)明方法流程圖。
【具體實施方式】
[0012]下面根據(jù)說明書附圖,結合【具體實施方式】對本發(fā)明進一步說明:
實施例1:
一種防火墻規(guī)則過濾優(yōu)化方法,所述優(yōu)化方法通過在防火墻添加規(guī)則時,對新添加的規(guī)則和已有的規(guī)則進行比較和合并,刪除被包含的規(guī)則,合并多條相關的規(guī)則成一條規(guī)則來達到規(guī)則之間的冗余排除。
[0013]實施例2:
在實施例1的基礎上,本實施例所述優(yōu)化方法的實現(xiàn)體系包含:1)規(guī)則添加解析模塊,2)規(guī)則匹配判斷模塊,3)規(guī)則合并模塊,其中:
規(guī)則添加解析模塊,負責解析插入的復雜規(guī)則,使其簡化,分析各條規(guī)則的命令,匹配和目標部分,將規(guī)則集中的每條規(guī)則和待添加的規(guī)則比較;
規(guī)則匹配判斷模塊,如果待添加的規(guī)則和已有的規(guī)則是等價關系,則直接丟棄待添加的規(guī)則;如果待添加的規(guī)則和已有的規(guī)則是包含關系,則刪除原規(guī)則集中被包含的規(guī)則,然后將待添加的規(guī)則加入到規(guī)則集;如果待添加的規(guī)則和已有的規(guī)則是被包含關系,則直接丟棄待添加的規(guī)則;如果待添加的規(guī)則和已有的規(guī)則是交叉關系,則根據(jù)交叉關系修改已有的規(guī)則,待添加的規(guī)則丟棄;
規(guī)則合并模塊,根據(jù)匹配判定的結果對待添加的模塊,判斷兩條規(guī)則的目標名稱是否相同即可,如果兩條規(guī)則的目標部分相同,則兩條規(guī)則才有可能被合并。否則,這兩條規(guī)則即使匹配部分相同,也不