防火墙过滤方法及系统、电子设备、计算机可读存储介质与流程

本公开涉及网络安全，尤其涉及一种防火墙过滤方法及系统、电子设备、计算机可读存储介质。

背景技术：

1、随着互联网的普及，网络安全问题日益引起人们的关注。为了保障企业网络的安全性能，防火墙技术应运而生。防火墙是一种网络安全设备，支持阻挡或者限制数据包的流量，仅允许合规的数据包通过。防火墙通过分析数据流的目标地址、源地址、协议类型、端口号等信息，来决定是否允许流量通过。然而，该技术在过滤数据包时，往往会出现匹配效率低下、过滤准确率不高等问题。

2、现有技术中公开的方案，在对流经防火墙的网络数据包进行过滤时，会对流经防火墙的网络数据包进行匹配信息字符串逐一比对，计算量大，导致关联计算过程的效率低，浪费的大量资源和时间，这种低效的信息处理方式不仅损害了平台的运行效率，也影响了整个信息安全领域的进步。

技术实现思路

1、有鉴于此，本公开实施例提供了一种防火墙过滤方法及系统、电子设备、计算机可读存储介质，能够解决现有技术中防火墙流量数据过滤效率低、处理周期长的问题。

2、第一方面，本公开实施例提供了一种防火墙过滤方法，该方法包括：根据预配置白名单策略的白名单特征值构建第一位图空间；

3、根据预配置黑名单策略的黑名单特征值构建第二位图空间；

4、接收防火墙流量数据，计算第一数据特征值；

5、提取所述第一数据特征值的第一数据指纹信息；

6、获取所述第一数据指纹信息的第一数据取余信息；

7、基于所述第一数据取余信息和所述第一位图空间，判定所述防火墙流量数据是否属于白名单；

8、若所述防火墙流量数据不属于白名单，基于所述第一数据取余信息和所述第二位图空间，判定所述防火墙流量数据是否属于黑名单。

9、可选的，所述白名单特征值为白名单数据key值；

10、所述黑名单特征值为黑名单数据key值。

11、可选的，所述根据预配置白名单策略的白名单特征值构建第一位图空间，包括：

12、计算预配置白名单策略的白名单特征值；

13、采用第一预设函数提取所述白名单特征值的白名单指纹信息；

14、基于预设内存空间大小对所述白名单指纹信息取余，获得白名单取余信息；

15、构建包括多个第一空间位的第一初始空间，并为每个所述第一空间位设置第一预设值；

16、基于所述白名单取余信息确定所述第一初始空间中的第一空间位，并将对应的所述第一空间位从所述第一预设值修改为第二预设值，获得所述第一位图空间。

17、可选的，所述根据预配置黑名单策略的黑名单特征值构建第二位图空间，包括：

18、计算预配置黑名单策略的黑名单特征值；

19、采用第二预设函数提取所述黑名单特征值的黑名单指纹信息；

20、基于预设内存空间大小对所述黑名单指纹信息取余，获得黑名单取余信息；

21、构建包括多个第二空间位的第二初始空间，并为每个所述第二空间位设置第一预设值；

22、基于所述黑名单取余信息确定所述第二初始空间中的第二空间位，并将对应的所述第二空间位从所述第一预设值修改为第二预设值，获得所述第二位图空间。

23、可选的，所述第一预设函数包括多个哈希函数；所述白名单指纹信息包括多个哈希值；所述白名单取余信息包括多个取余结果；

24、所述第二预设函数包括多个哈希函数；所述黑名单指纹信息包括多个哈希值；所述黑名单取余信息包括多个取余结果；

25、所述第一预设值为0；

26、所述第二预设值为1。

27、可选的，所述基于所述第一数据取余信息和所述第一位图空间，判定所述防火墙流量数据是否属于白名单，包括：

28、基于所述第一数据取余信息，获得在所述第一位图空间中所对应的第一空间位是否为1，若否，判定所述防火墙流量数据不属于白名单；

29、若是，触发白名单二次匹配；

30、所述白名单二次匹配包括：判断所述第一数据特征值在所述预配置白名单策略中是否存在匹配关系，若是，则判定所述防火墙流量数据属于白名单，若否，判定所述防火墙流量数据不属于白名单；

31、若所述防火墙流量数据属于白名单，执行放行操作。

32、可选的，所述基于所述第一数据取余信息在所述第二位图空间中是否存在匹配关系判定所述防火墙流量数据是否属于黑名单，包括：

33、基于所述第一数据取余信息，获得在所述第二位图空间中所对应的第二空间位是否为1，若否，判定所述防火墙流量数据不属于黑名单；

34、若是，触发黑名单二次匹配；

35、所述黑名单二次匹配包括：判断所述第一数据特征值在所述预配置黑名单策略中是否存在匹配关系，若是，则判定所述防火墙流量数据属于黑名单，若否，判定所述防火墙流量数据不属于黑名单。

36、第二方面，本公开实施例还提供了一种防火墙过滤系统，包括：

37、第一构建模块，配置为根据预配置白名单策略的白名单特征值构建第一位图空间；

38、第二构建模块，配置为根据预配置黑名单策略的黑名单特征值构建第二位图空间；

39、计算模块，配置为接收防火墙流量数据，计算第一数据特征值；

40、提取模块，配置为提取所述第一数据特征值的第一数据指纹信息；

41、获取模块，配置为获取所述第一数据指纹信息的第一数据取余信息；

42、判断模块，配置为基于所述第一数据取余信息和所述第一位图空间，判定所述防火墙流量数据是否属于白名单；

43、若所述防火墙流量数据不属于白名单，基于所述第一数据取余信息和所述第二位图空间，判定所述防火墙流量数据是否属于黑名单。

44、第三方面，本公开实施例还提供了一种电子设备，采用如下技术方案：

45、所述电子设备包括：

46、至少一个处理器；以及，

47、与所述至少一个处理器通信连接的存储器；其中，

48、所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行以上任一所述的防火墙过滤方法。

49、第四方面，本公开实施例还提供了一种计算机可读存储介质，该计算机可读存储介质存储计算机指令，该计算机指令用于使计算机执行以上任一所述的防火墙过滤方法。

50、本技术公开的方法，以预配置白名单策略为基础，构建第一位图空间，通过位数组匹配的方式，进行防火墙流量数据的第一次预过滤；然后以预配置黑名单策略为基础，构建第二位图空间，通过位数组匹配的方式，进行防火墙流量数据的第二次预过滤，通过先进行白名单的位图空间匹配，可提升放行流量的转发效率；通过对白名单策略、黑名单策略的嵌套利用，能够有效提高对防火墙流量数据的快速筛查，大大缩短过滤周期，降低计算资源消耗，提高网络安全的保护能力。不同于现有技术中公开的对流经防火墙的网络数据包进行匹配信息字符串逐一比对，通过本技术公开的方法，可以大大降低防火墙流量数据的匹配计算量，提高匹配效率。

51、在本技术中，在对白名单进行预过滤后，引入白名单二次匹配，能够有效降低基于白名单匹配过滤过程中的假阳性；同时，在对黑名单进行预过滤后，引入黑名单二次匹配，能够有效降低基于黑名单匹配过滤过程中的假阳性，过滤出精确的目标防火墙流量数据；通过对白名单策略、黑名单策略的嵌套利用，能够高速的使用黑白名单对流经防火墙的网络数据包进行匹配，有效提高对黑名单策略/白名单策略的使用效率。

52、本技术公开的过滤方法，通过预过滤，可以达到99.7％-99.9％的有效预过滤，仅保留0.1％-0.3％的流量参与索引匹配，然后通过二次过滤，精准确定目标防火墙流量数据，可以在常数时间内实现高效的过滤，同时降低对计算资源的需求，提高对防火墙流量数据的处理速度，从而能够更加快速地检测网络威胁，降低网络安全风险。

53、本技术公开的过滤方法，不需要人工干预，可以实现自动化处理和高效率计算，有效提高流量数据信息处理的精度和效率，在安全领域具有很好的实用价值以及广阔的应用前景。

54、上述说明仅是本公开技术方案的概述，为了能更清楚了解本公开的技术手段，而可依照说明书的内容予以实施，并且为让本公开的上述和其他目的、特征和优点能够更明显易懂，以下特举较佳实施例，并配合附图，详细说明如下。