一种防火墙规则过滤优化方法
【技术领域】
[0001]本发明涉及信息安全技术领域,具体涉及一种防火墙规则过滤优化方法。
【背景技术】
[0002]随着互联网的发展,信息安全问题引起了学术界和工业界的广泛重视。来自网络的攻击持续不断的增长,防火墙已经成为信息安全领域的一种核心设备,并广泛应用于企业网络和小型的家庭网络。防火墙是指隔离在本地网络与外界网络之间的一道防御系统,它在网络之间执行访问控制策略。防火墙可以是非常简单的过滤器,也可能是精心配置的网关,但它们的原理是一样的,都是监测并过滤所有内部网和外部网之间的信息交换,防火墙保护着内部网络敏感的数据不被偷窃和破坏,并记录内外通讯的有关状态信息日志,如通讯发生的时间和进行的操作等等,通常是运行在一台单独计算机之上的一个特别的服务软件,它可以识别并屏蔽非法的请求。在计算机网络日益扩展和普及的今天,计算机安全的要求更高,涉及面更广。不但要求防治病毒,还要提高系统抵抗外来非法黑客入侵的能力,还要提高对远程数据传输的保密性,避免在传输途中遭受非法窃取。此时,对防火墙性能进行优化显得尤为重要。
[0003]由于防火墙系统的不断运行,越来越多的过滤规则会不断加入,进而系统对每个数据包的处理时间会变得越来越长。
【发明内容】
[0004]本发明要解决的技术问题是:针对现有防火墙规则越来越多,数据包处理时间越来越长,系统过滤效率越越低的现状,为了能迅速有效的解析、验证和过滤所写的防火墙规则,本发明提出了一种防火墙规则过滤的优化方法。
[0005]本发明所采用的技术方案为:
一种防火墙规则过滤优化方法,所述优化方法通过在防火墙添加规则时,对新添加的规则和已有的规则进行比较和合并,删除被包含的规则,合并多条相关的规则成一条规则来达到规则之间的冗余排除。
[0006]所述优化方法的实现体系包含:1)规则添加解析模块,2)规则匹配判断模块,3)规则合并模块,其中:
规则添加解析模块,负责解析插入的复杂规则,使其简化,分析各条规则的命令,匹配和目标部分,将规则集中的每条规则和待添加的规则比较;
规则匹配判断模块,如果待添加的规则和已有的规则是等价关系,则直接丢弃待添加的规则;如果待添加的规则和已有的规则是包含关系,则删除原规则集中被包含的规则,然后将待添加的规则加入到规则集;如果待添加的规则和已有的规则是被包含关系,则直接丢弃待添加的规则;如果待添加的规则和已有的规则是交叉关系,则根据交叉关系修改已有的规则,待添加的规则丢弃;
规则合并模块,根据匹配判定的结果对待添加的模块,判断两条规则的目标名称是否相同即可,如果两条规则的目标部分相同,则两条规则才有可能被合并。否则,这两条规则即使匹配部分相同,也不能合并或重新组合。
[0007]所述规则添加解析模块当向规则集种添加新的规则的时候,优化算法会根据以下流程来执行添加规则过程:
1)解析待插入的规则,将复杂规则简化,转换成简单规则;
2)解析规则,分析出规则的命令、匹配和目标部分;
3)如果命令是添加新的规则,并且指定的表是filter,则执行步骤4),否则执行默认的过程;
4)根据规则的链名,从规则集中取出此链的所有规则,对每条规则执行5)、6)中的步骤;
5)判断待加入的规则和已有规则的目标部分是否相同,如果相同,则执行执行步骤6)合并过程,否则执行默认的过程;
6)比较待加入规则和已有的规则中的匹配部分,判断这两条规则是否有等价、包含、或交叉关系,如果有,则进行规则合并或替换,否则,执行默认的添加过程。
[0008]所述规则匹配判断模块,匹配比较流程如下:
1)判断两个匹配的源/目的ip地址/段是否具有等价、包含或交叉关系,如果有,则继续执行2)中的比较,否则,停止比较;
2)判断两个匹配中的源目的端口是否具有等价、包含或交叉关系,如果有,继续执行
3)中的比较,否则停止比较;
3)判断两个匹配中的协议类型是否具有等价、包含或交叉关系,如果有,继续执行4)中的比较,否则,停止比较;
4)比较匹配中的其他部分是否相同,如果相同就表明两条规则之间能够进行合并或替换,否则,两条规则没有关系,需要执行默认的添加操作。
[0009]—个匹配通常包含很多匹配项;比较两个匹配是否具有包含和交叉关系,需要将2个匹配的所有子项全部一一比较,只有当这些子项都满足相同的关系时,这两个匹配才具有包含或交叉关系。
[0010]本发明的有益效果为:
本发明优化算法能够有效的剔除规则集中重复的规则,这样不仅能够提高i P t ab I e s系统本身运行效率;另外,系统中过滤规则的减少,理论上可以提升系统过滤效率,减少过滤数据包所需的时间,从而提高防火墙系统的网络吞吐量。
【附图说明】
[0011 ] 图1为本发明方法流程图。
【具体实施方式】
[0012]下面根据说明书附图,结合【具体实施方式】对本发明进一步说明:
实施例1:
一种防火墙规则过滤优化方法,所述优化方法通过在防火墙添加规则时,对新添加的规则和已有的规则进行比较和合并,删除被包含的规则,合并多条相关的规则成一条规则来达到规则之间的冗余排除。
[0013]实施例2:
在实施例1的基础上,本实施例所述优化方法的实现体系包含:1)规则添加解析模块,2)规则匹配判断模块,3)规则合并模块,其中:
规则添加解析模块,负责解析插入的复杂规则,使其简化,分析各条规则的命令,匹配和目标部分,将规则集中的每条规则和待添加的规则比较;
规则匹配判断模块,如果待添加的规则和已有的规则是等价关系,则直接丢弃待添加的规则;如果待添加的规则和已有的规则是包含关系,则删除原规则集中被包含的规则,然后将待添加的规则加入到规则集;如果待添加的规则和已有的规则是被包含关系,则直接丢弃待添加的规则;如果待添加的规则和已有的规则是交叉关系,则根据交叉关系修改已有的规则,待添加的规则丢弃;
规则合并模块,根据匹配判定的结果对待添加的模块,判断两条规则的目标名称是否相同即可,如果两条规则的目标部分相同,则两条规则才有可能被合并。否则,这两条规则即使匹配部分相同,也不