一种防火墙规则集的配置方法、装置及防火墙的制作方法
【专利摘要】本发明实施例提供一种防火墙规则集的配置方法、装置及防火墙。所述方法包括:获取防火墙在设定时间间隔内根据配置的第一规则集对网络流量进行规则匹配的过程中,所述第一规则集中每条规则对应的匹配顺序调整参数值,其中,所述第一规则集为经过规则间制约关系的消除处理的防火墙规则集;根据所有所述每条规则对应的匹配顺序调整参数值,对所述第一规则集进行规则匹配顺序的调整,得到调整后的所述第一规则集;将所述调整后的第一规则集载入所述防火墙的配置,使得所述防火墙能够根据所述调整后的第一规则集,对数据包进行过滤处理。本发明实施例实现了防火墙规则集的重新配置。
【专利说明】一种防火墙规则集的配置方法、装置及防火墙
【技术领域】
[0001] 本发明涉及网络安全及服务质量领域,尤其涉及一种防火墙规则集的配置方法、 装置及防火墙。
【背景技术】
[0002] 防火墙作为内网防御的常用手段之一,依照其规则集,按序检测其通过的数据包, 防止非法数据入侵机构的内部网络(Intranet)。伴随着信息科技的发展,网络服务质量 (QoS)越来越倍受关注,尽管高性能路由和交换技术,可以提升用户体验,但是防火墙作为 第一道网络安全屏障,通常采用串联或者旁挂的方式部署在机构网络的边界位置,整个网 络系统中的流量大部分均需经过防火墙(若采用串联的方式,所有流量均需经过防火墙), 故其处理性能对整个网络系统的QoS将起到至关重要的作用。防火墙部署图1和图2所示, 其中,图1为串联的方式,图2为旁挂的方式。
【发明内容】
[0003] 有鉴于此,本发明实施例的目的是提供一种防火墙规则集的配置方法、装置及防 火墙,以实现防火墙规则集的重新配置。
[0004] 为解决上述技术问题,本发明实施例提供方案如下:
[0005] 本发明实施例提供一种防火墙规则集的配置方法,包括:
[0006] 获取防火墙在设定时间间隔内根据配置的第一规则集对网络流量进行规则匹配 的过程中,所述第一规则集中每条规则对应的匹配顺序调整参数值,其中,所述第一规则集 为经过规则间制约关系的消除处理的防火墙规则集;
[0007] 根据所有所述每条规则对应的匹配顺序调整参数值,对所述第一规则集进行规则 匹配顺序的调整,得到调整后的所述第一规则集;
[0008] 将所述调整后的第一规则集载入所述防火墙的配置,使得所述防火墙能够根据所 述调整后的第一规则集,对数据包进行过滤处理。
[0009] 优选地,所述调整后的第一规则集中的两两规则之间,排序较前的规则对应的匹 配顺序调整参数值大于排序较后的规则对应的匹配顺序调整参数值。
[0010] 优选地,所述每条规则对应的匹配顺序调整参数值为所述每条规则对应的匹配频 率;
[0011] 所述获取防火墙在设定时间间隔内根据配置的第一规则集对网络流量进行规则 匹配的过程中,所述第一规则集中每条规则对应的匹配顺序调整参数值包括:
[0012] 采集所述防火墙在所述设定时间间隔内根据所述第一规则集对网络流量进行规 则匹配的过程中,所述第一规则集中每条规则对应的匹配次数;
[0013] 将所述每条规则对应的匹配次数与所有所述每条规则对应的匹配次数和的比值, 作为所述每条规则对应的匹配频率。
[0014] 优选地,所述获取防火墙在设定时间间隔内根据配置的第一规则集对网络流量进 行规则匹配的过程中,所述第一规则集中每条规则对应的匹配顺序调整参数值包括:
[0015] 采集所述防火墙在所述设定时间间隔内根据所述第一规则集对网络流量进行规 则匹配的过程中,所述第一规则集中每条规则对应的匹配次数和最新一次匹配时间;
[0016] 将所述每条规则对应的匹配次数与所有所述每条规则对应的匹配次数和的比值, 作为所述每条规则对应的匹配频率;
[0017] 将所述每条规则对应的最新一次匹配时间与所述设定时间间隔的比值,作为所述 每条规则对应的匹配近因;
[0018] 对所述每条规则对应的匹配频率和匹配近因求加权和,得到所述每条规则对应的 匹配顺序调整参数值。
[0019] 优选地,还包括:
[0020] 根据所有所述每条规则对应的匹配频率和预设的函数,确定一规则匹配顺序调整 判断参数值;
[0021] 根据所述规则匹配顺序调整判断参数值和一预设的门限值,判断是否需要对所述 第一规则集进行规则匹配顺序的调整,获取一判断结果;
[0022] 当所述判断结果为是时,进入所述将所述调整后的第一规则集载入所述防火墙的 配置的步骤;
[0023] 当所述判断结果为否时,不进入所述将所述调整后的第一规则集载入所述防火墙 的配置的步骤。
[0024] 优选地,设所述第一规则集中的规则数目为n个,所述第一规则集中的第i 条规则对应的匹配频率为fi,所述规则匹配顺序调整判断参数值为S,则所述函数为
【权利要求】
1. 一种防火墙规则集的配置方法,其特征在于,包括: 获取防火墙在设定时间间隔内根据配置的第一规则集对网络流量进行规则匹配的过 程中,所述第一规则集中每条规则对应的匹配顺序调整参数值,其中,所述第一规则集为经 过规则间制约关系的消除处理的防火墙规则集; 根据所有所述每条规则对应的匹配顺序调整参数值,对所述第一规则集进行规则匹配 顺序的调整,得到调整后的所述第一规则集; 将所述调整后的第一规则集载入所述防火墙的配置,使得所述防火墙能够根据所述调 整后的第一规则集,对数据包进行过滤处理。
2. 如权利要求1所述的方法,其特征在于,所述调整后的第一规则集中的两两规则之 间,排序较前的规则对应的匹配顺序调整参数值大于排序较后的规则对应的匹配顺序调整 参数值。
3. 如权利要求2所述的方法,其特征在于,所述每条规则对应的匹配顺序调整参数值 为所述每条规则对应的匹配频率; 所述获取防火墙在设定时间间隔内根据配置的第一规则集对网络流量进行规则匹配 的过程中,所述第一规则集中每条规则对应的匹配顺序调整参数值包括: 采集所述防火墙在所述设定时间间隔内根据所述第一规则集对网络流量进行规则匹 配的过程中,所述第一规则集中每条规则对应的匹配次数; 将所述每条规则对应的匹配次数与所有所述每条规则对应的匹配次数和的比值,作为 所述每条规则对应的匹配频率。
4. 如权利要求2所述的方法,其特征在于,所述获取防火墙在设定时间间隔内根据配 置的第一规则集对网络流量进行规则匹配的过程中,所述第一规则集中每条规则对应的匹 配顺序调整参数值包括: 采集所述防火墙在所述设定时间间隔内根据所述第一规则集对网络流量进行规则匹 配的过程中,所述第一规则集中每条规则对应的匹配次数和最新一次匹配时间; 将所述每条规则对应的匹配次数与所有所述每条规则对应的匹配次数和的比值,作为 所述每条规则对应的匹配频率; 将所述每条规则对应的最新一次匹配时间与所述设定时间间隔的比值,作为所述每条 规则对应的匹配近因; 对所述每条规则对应的匹配频率和匹配近因求加权和,得到所述每条规则对应的匹配 顺序调整参数值。
5. 如权利要求3或4所述的方法,其特征在于,还包括: 根据所有所述每条规则对应的匹配频率和预设的函数,确定一规则匹配顺序调整判断 参数值; 根据所述规则匹配顺序调整判断参数值和一预设的门限值,判断是否需要对所述第一 规则集进行规则匹配顺序的调整,获取一判断结果; 当所述判断结果为是时,进入所述将所述调整后的第一规则集载入所述防火墙的配置 的步骤; 当所述判断结果为否时,不进入所述将所述调整后的第一规则集载入所述防火墙的配 置的步骤。
6. 如权利要求5所述的方法,其特征在于,设所述第一规则集中的规则数目为η个,所 述第一规则集中的第i条规则对应的匹配频率为A,所述规则匹配顺序调整判断参数值为 H V/Icr/ . S,则所述函数为g= 1 _......^........I.....:.......1................1..... IgW· 所述根据所述规则匹配顺序调整判断参数值和一预设的门限值,判断是否需要对所述 第一规则集进行规则匹配顺序的调整,获取一判断结果包括: 判断所述规则匹配顺序调整判断参数值是否大于所述门限值,如果是,所述判断结果 为是,否则,所述判断结果为否。
7. 如权利要求5所述的方法,其特征在于,设所述第一规则集中的规则数目为η个,所 述第一规则集中的第i条规则对应的匹配频率为,所述规则匹配顺序调整判断参数值为 η 'YIiigf, S,则所述函数为S_ Ig? · 5 所述根据所述规则匹配顺序调整判断参数值和一预设的门限值,判断是否需要对所述 第一规则集进行规则匹配顺序的调整,获取一判断结果包括: 判断所述规则匹配顺序调整判断参数值是否小于所述门限值,如果是,所述判断结果 为是,否则,所述判断结果为否。
8. -种防火墙规则集的配置装置,其特征在于,包括: 获取模块,用于获取防火墙在设定时间间隔内根据配置的第一规则集对网络流量进行 规则匹配的过程中,所述第一规则集中每条规则对应的匹配顺序调整参数值,其中,所述第 一规则集为经过规则间制约关系的消除处理的防火墙规则集; 调整模块,用于根据所有所述每条规则对应的匹配顺序调整参数值,对所述第一规则 集进行规则匹配顺序的调整,得到调整后的所述第一规则集; 载入模块,用于将所述调整后的第一规则集载入所述防火墙的配置,使得所述防火墙 能够根据所述调整后的第一规则集,对数据包进行过滤处理。
9. 如权利要求8所述的装置,其特征在于,所述调整后的第一规则集中的两两规则之 间,排序较前的规则对应的匹配顺序调整参数值大于排序较后的规则对应的匹配顺序调整 参数值。
10. 如权利要求9所述的装置,其特征在于,所述每条规则对应的匹配顺序调整参数值 为所述每条规则对应的匹配频率; 所述获取模块包括: 第一采集单元,用于采集所述防火墙在所述设定时间间隔内根据所述第一规则集对网 络流量进行规则匹配的过程中,所述第一规则集中每条规则对应的匹配次数; 第一确定单元,用于将所述每条规则对应的匹配次数与所有所述每条规则对应的匹配 次数和的比值,作为所述每条规则对应的匹配频率。
11. 如权利要求9所述的装置,其特征在于,所述获取模块包括: 第二采集单元,用于采集所述防火墙在所述设定时间间隔内根据所述第一规则集对网 络流量进行规则匹配的过程中,所述第一规则集中每条规则对应的匹配次数和最新一次匹 配时间; 第二确定单元,用于将所述每条规则对应的匹配次数与所有所述每条规则对应的匹配 次数和的比值,作为所述每条规则对应的匹配频率; 第三确定单元,用于将所述每条规则对应的最新一次匹配时间与所述设定时间间隔的 比值,作为所述每条规则对应的匹配近因; 求加权和单元,用于对所述每条规则对应的匹配频率和匹配近因求加权和,得到所述 每条规则对应的匹配顺序调整参数值。
12. 如权利要求10或11所述的装置,其特征在于,还包括: 确定模块,用于根据所有所述每条规则对应的匹配频率和预设的函数,确定一规则匹 配顺序调整判断参数值; 判断模块,用于根据所述规则匹配顺序调整判断参数值和一预设的门限值,判断是否 需要对所述第一规则集进行规则匹配顺序的调整,获取一判断结果;当所述判断结果为是 时,进入所述载入模块;当所述判断结果为否时,不进入所述载入模块。
13. 如权利要求12所述的装置,其特征在于,设所述第一规则集中的规则数目为η个, 所述第一规则集中的第i条规则对应的匹配频率为所述规则匹配顺序调整判断参数值 为S,则所述函数为
所述判断模块包括: 第一判断单元,用于判断所述规则匹配顺序调整判断参数值是否大于所述门限值,如 果是,所述判断结果为是,否则,所述判断结果为否。
14. 如权利要求12所述的装置,其特征在于,设所述第一规则集中的规则数目为η个, 所述第一规则集中的第i条规则对应的匹配频率为f\,所述规则匹配顺序调整判断参数值 为S,则所述函数:
所述判断模块包括: 第二判断单元,用于判断所述规则匹配顺序调整判断参数值是否小于所述门限值,如 果是,所述判断结果为是,否则,所述判断结果为否。
15. -种防火墙,其特征在于,包括如权利要求8至14中任一项所述的防火墙规则集的 配置装置。
【文档编号】H04L29/06GK104468161SQ201310424860
【公开日】2015年3月25日 申请日期:2013年9月17日 优先权日:2013年9月17日
【发明者】王毅 申请人:中国移动通信集团设计院有限公司