能合并或重新组合。
[0014]实施例3:
在实施例1的基础上,本实施例所述规则添加解析模块当向规则集种添加新的规则的时候,优化算法会根据以下流程来执行添加规则过程:
1)解析待插入的规则,将复杂规则简化,转换成简单规则;
2)解析规则,分析出规则的命令、匹配和目标部分;
3)如果命令是添加新的规则,并且指定的表是filter,则执行步骤4),否则执行默认的过程;
4)根据规则的链名,从规则集中取出此链的所有规则,对每条规则执行5)、6)中的步骤;
5)判断待加入的规则和已有规则的目标部分是否相同,如果相同,则执行执行步骤6)合并过程,否则执行默认的过程;
6)比较待加入规则和已有的规则中的匹配部分,判断这两条规则是否有等价、包含、或交叉关系,如果有,则进行规则合并或替换,否则,执行默认的添加过程。
[0015]实施例4:
在实施例2的基础上,本实施例所述规则匹配判断模块,匹配比较流程如下:
1)判断两个匹配的源/目的ip地址/段是否具有等价、包含或交叉关系,如果有,则继续执行2)中的比较,否则,停止比较;
2)判断两个匹配中的源目的端口是否具有等价、包含或交叉关系,如果有,继续执行
3)中的比较,否则停止比较;
3)判断两个匹配中的协议类型是否具有等价、包含或交叉关系,如果有,继续执行4)中的比较,否则,停止比较;
4)比较匹配中的其他部分是否相同,如果相同就表明两条规则之间能够进行合并或替换,否则,两条规则没有关系,需要执行默认的添加操作。
[0016]—个匹配通常包含很多匹配项;比较两个匹配是否具有包含和交叉关系,需要将2个匹配的所有子项全部一一比较,只有当这些子项都满足相同的关系时,这两个匹配才具有包含或交叉关系。
[0017]实施例5:
如图1所示,在上述实施例的基础上,本实施例采用pc机作为测试机器,初始状态,iptables有5条防火墙规则,向filter链添加5条防火墙规则,新添加的5条规则已经和原有的规则进行相应的合并或替换等;添加的第一条规则因为和原有的第一条规则相同而被丢弃;添加的第二条规则替换掉了原有的第二条规则;添加的第三条规则因为被原第三条规则包含而被丢弃;添加的第四条规则和原有的规则进行端口合并成了新的规则,原规则被替换成新的规则;添加的第五条规则因为被原规则包含而被丢弃。
[0018]以上实施方式仅用于说明本发明,而并非对本发明的限制,有关技术领域的普通技术人员,在不脱离本发明的精神和范围的情况下,还可以做出各种变化和变型,因此所有等同的技术方案也属于本发明的范畴,本发明的专利保护范围应由权利要求限定。
【主权项】
1.一种防火墙规则过滤优化方法,其特征在于:所述优化方法通过在防火墙添加规则时,对新添加的规则和已有的规则进行比较和合并,删除被包含的规则,合并多条相关的规则成一条规则来达到规则之间的冗余排除。2.根据权利要求1所述的一种防火墙规则过滤优化方法,其特征在于,所述优化方法的实现体系包含:I)规则添加解析模块,2)规则匹配判断模块,3)规则合并模块,其中: 规则添加解析模块,负责解析插入的复杂规则,使其简化,分析各条规则的命令,匹配和目标部分,将规则集中的每条规则和待添加的规则比较; 规则匹配判断模块,如果待添加的规则和已有的规则是等价关系,则直接丢弃待添加的规则;如果待添加的规则和已有的规则是包含关系,则删除原规则集中被包含的规则,然后将待添加的规则加入到规则集;如果待添加的规则和已有的规则是被包含关系,则直接丢弃待添加的规则;如果待添加的规则和已有的规则是交叉关系,则根据交叉关系修改已有的规则,待添加的规则丢弃; 规则合并模块,根据匹配判定的结果对待添加的模块,判断两条规则的目标名称是否相同即可,如果两条规则的目标部分相同,则两条规则才有可能被合并; 否则,这两条规则即使匹配部分相同,也不能合并或重新组合。3.根据权利要求2所述的一种防火墙规则过滤优化方法,其特征在于:所述规则添加解析模块当向规则集种添加新的规则的时候,优化算法会根据以下流程来执行添加规则过程: 1)解析待插入的规则,将复杂规则简化,转换成简单规则; 2)解析规则,分析出规则的命令、匹配和目标部分; 3)如果命令是添加新的规则,并且指定的表是filter,则执行步骤4),否则执行默认的过程; 4)根据规则的链名,从规则集中取出此链的所有规则,对每条规则执行5)、6)中的步骤; 5)判断待加入的规则和已有规则的目标部分是否相同,如果相同,则执行执行步骤6)合并过程,否则执行默认的过程; 6)比较待加入规则和已有的规则中的匹配部分,判断这两条规则是否有等价、包含、或交叉关系,如果有,则进行规则合并或替换,否则,执行默认的添加过程。4.根据权利要求2所述的一种防火墙规则过滤优化方法,其特征在于:所述规则匹配判断模块,匹配比较流程如下: 1)判断两个匹配的源/目的ip地址/段是否具有等价、包含或交叉关系,如果有,则继续执行2)中的比较,否则,停止比较; 2)判断两个匹配中的源目的端口是否具有等价、包含或交叉关系,如果有,继续执行3)中的比较,否则停止比较; 3)判断两个匹配中的协议类型是否具有等价、包含或交叉关系,如果有,继续执行4)中的比较,否则,停止比较; 4)比较匹配中的其他部分是否相同,如果相同就表明两条规则之间能够进行合并或替换,否则,两条规则没有关系,需要执行默认的添加操作。
【专利摘要】本发明公开了一种防火墙规则过滤优化方法,所述优化方法通过在防火墙添加规则时,对新添加的规则和已有的规则进行比较和合并,删除被包含的规则,合并多条相关的规则成一条规则来达到规则之间的冗余排除。本发明优化算法能够有效的剔除规则集中重复的规则,这样不仅能够提高?iptables?系统本身运行效率;另外,系统中过滤规则的减少,理论上可以提升系统过滤效率,减少过滤数据包所需的时间,从而提高防火墙系统的网络吞吐量。
【IPC分类】H04L29/06
【公开号】CN105187435
【申请号】CN201510618104
【发明人】刘晶
【申请人】浪潮电子信息产业股份有限公司
【公开日】2015年12月23日
【申请日】2015年9月24日