规则匹配方法、装置、防火墙设备及机器可读存储介质制造方法及图纸

本发明专利技术实施例提供了一种规则匹配方法、装置、防火墙设备及机器可读存储介质，其中，规则匹配方法包括：当接收到报文时，获取安全策略规则，若确定安全策略规则的过滤条件中的地址范围段中包含至少一个排除地址，则根据各排除地址，对地址范围段进行分段，得到多个不包含排除地址的第一地址范围段；基于各第一地址范围段，对接收到的报文进行匹配。通过本方案，可以提高安全策略规则的匹配性能。

【技术实现步骤摘要】
规则匹配方法、装置、防火墙设备及机器可读存储介质
本专利技术涉及安全防御
，特别是涉及一种规则匹配方法、装置、防火墙设备及机器可读存储介质。
技术介绍
防火墙设备指的是一个由软件和硬件组合而成、在内部网和外部网之间、专用网和公共网之间构造的保护屏障，使网络之间建立起一个安全网关，从而保护内部网免受非法用户的入侵。防火墙设备上可以配置安全策略规则，安全策略规则可以支持例如地址对象组的过滤条件，地址对象组中可以配置地址范围段等匹配项。例如，对于企业而言，为了便于企业员工正常访问企业网，在安全策略规则中配置支持地址对象组的过滤条件，并在地址对象组中配置地址范围段，该地址范围段可以覆盖所有员工的地址。防火墙设备利用安全策略规则进行网络防护的过程包括：在接收到报文后，将报文与安全策略规则的过滤条件中的匹配项进行匹配，如果报文与该安全策略规则的过滤条件中的匹配项相匹配，则确定报文匹配成功。例如，在基于地址对象组进行网络防护时，如果接收到的报文地址包含于地址对象组中配置的地址范围段，则认为报文匹配成功。然而，在实际应用中，尤其是企业中，由于员工职位的不同，员工有不同的企业网访问权限，如果安全策略规则的过滤条件中的地址范围段覆盖所有员工的地址，则在进行报文匹配时，所有员工的报文都会匹配成功，导致异常访问的情况发生，即安全策略规则的匹配性能较差。
技术实现思路
本专利技术实施例的目的在于提供一种规则匹配方法、装置、防火墙设备及机器可读存储介质，以提高安全策略规则的匹配性能。具体技术方案如下：第一方面，本专利技术实施例提供了一种规则匹配方法，所述方法包括：当接收到报文时，获取安全策略规则；若确定所述安全策略规则的过滤条件中的地址范围段中包含至少一个排除地址，则根据各排除地址，对所述地址范围段进行分段，得到多个不包含排除地址的第一地址范围段；基于各第一地址范围段，对接收到的报文进行匹配。第二方面，本专利技术实施例提供了一种规则匹配装置，所述装置包括：获取模块，用于当接收到报文时，获取安全策略规则；分段模块，用于若确定所述安全策略规则的过滤条件中的地址范围段中包含至少一个排除地址，则根据各排除地址，对所述地址范围段进行分段，得到多个不包含排除地址的第一地址范围段；匹配模块，用于基于各第一地址范围段，对接收到的报文进行匹配。第三方面，本专利技术实施例提供了一种防火墙设备，包括处理器和机器可读存储介质，所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令，所述处理器被所述机器可执行指令促使：实现本专利技术实施例第一方面所述的方法步骤。第四方面，本专利技术实施例提供了一种机器可读存储介质，所述机器可读存储介质内存储有机器可执行指令，所述机器可执行指令被处理器执行时，实现本专利技术实施例第一方面所述的方法步骤。本专利技术实施例提供的一种规则匹配方法、装置、防火墙设备及机器可读存储介质，当接收到报文时，获取安全策略规则，若确定安全策略规则的过滤条件中的地址范围段中包含至少一个排除地址，则根据各排除地址，对地址范围段进行分段，得到多个不包含排除地址的第一地址范围段，基于各第一地址范围段，对接收到的报文进行匹配。对地址范围段的重新分段，使得分段后的第一地址范围段中不包含排除地址，由于排除地址是包含于地址范围段的表示需排除的指定地址，这样，在进行网络防护时，基于第一地址范围段对接收到的报文进行匹配，保证排除地址被排除在安全策略规则的过滤条件中的匹配项之外，能够有效避免将排除地址的报文匹配成功的误匹配操作，从而提高了安全策略规则的匹配性能。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为本专利技术实施例的规则匹配方法的流程示意图；图2为本专利技术一实施例的对地址范围段进行分段的流程示意图；图3为本专利技术另一实施例的对地址范围段进行分段的流程示意图；图4为本专利技术再一实施例的对地址范围段进行分段的流程示意图；图5为本专利技术实施例的规则匹配装置的结构示意图；图6为本专利技术实施例的防火墙设备的结构示意图。具体实施方式下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。为了提高安全策略规则的匹配性能，本专利技术实施例提供了一种规则匹配方法、装置、防火墙设备及机器可读存储介质。下面，首先对本专利技术实施例所提供的一种规则匹配方法进行介绍。本专利技术实施例所提供的一种规则匹配方法的执行主体可以为一种防火墙设备。实现本专利技术实施例所提供的一种规则匹配方法的方式可以为设置于执行主体中的软件、硬件电路和逻辑电路中的至少一种。如图1所示，本专利技术实施例所提供的一种规则匹配方法，可以包括如下步骤：S101，当接收到报文时，获取安全策略规则。安全策略规则可以是在防火墙设备上预先部署的，安全策略规则中还可以包括针对符合过滤条件的报文的处理动作，例如，对符合过滤条件的报文进行放行、丢弃等处理动作。在防火墙设备接收到报文时，需要进行网络防护操作，而网络防护操作是基于安全策略规则实现的，因此，在接收到报文时，需要获取安全策略规则。S102，若确定安全策略规则的过滤条件中的地址范围段中包含至少一个排除地址，则根据各排除地址，对地址范围段进行分段，得到多个不包含排除地址的第一地址范围段。地址范围段为安全策略规则的过滤条件中的匹配项。地址范围段是一个具体的地址范围，可以为IP地址范围、MAC地址范围、端口地址范围等等，网段可以看作是特殊的地址范围段。地址范围段可以包括源设备的地址范围和/或目的设备的地址范围，防火墙设备在接收到报文后，提取报文中携带的地址信息(例如源IP地址、源MAC地址、目的IP地址、目的MAC地址等)，通过判断报文中携带的地址信息是否满足安全策略规则的过滤条件中的地址范围段，来进行报文匹配。排除地址可以是管理人员根据实际需求输入的地址，也可以是在配置过滤条件时设置的地址。排除地址是配置在地址范围段下的、表示排除地址范围段中的一个或多个指定地址，例如，配置的地址范围段为Range1～Range2，排除地址为IP1、IP2和IP3，则在进行报文匹配时，需要排除IP1、IP2和IP3三个排除地址。防火墙设备在接收到排除地址后，可以判断安全策略规则的过滤条件中的地址范围段中是否包含排除地址，以进行将排除地址从地址范围段排除的操作。由于各排除地址均包含于地址范围段，可以基于这些排除地址对地址范围段进行重新分段，重新分段的原则是将各排除地址从地址范围段中排除掉，通过将各排除地址从地址范围段中排除，可以得到多个不包含排除地址的第一地址范围段。重新分段得到多个第一地址范围段的方式，可以按照排除地址从小到大的升序进行排序、重新分段(详见图2所示实施例)，也可以按照排除地址从大到小的降序进行排序、重新分段(详见图3所示实施例)，还可以以递归的方式进行重新分段(详见图4所示实施例)。S103，基于各第本文档来自技高网...

【技术保护点】
1.一种规则匹配方法，其特征在于，所述方法包括：当接收到报文时，获取安全策略规则；若确定所述安全策略规则的过滤条件中的地址范围段中包含至少一个排除地址，则根据各排除地址，对所述地址范围段进行分段，得到多个不包含排除地址的第一地址范围段；基于各第一地址范围段，对接收到的报文进行匹配。

【技术特征摘要】
1.一种规则匹配方法，其特征在于，所述方法包括：当接收到报文时，获取安全策略规则；若确定所述安全策略规则的过滤条件中的地址范围段中包含至少一个排除地址，则根据各排除地址，对所述地址范围段进行分段，得到多个不包含排除地址的第一地址范围段；基于各第一地址范围段，对接收到的报文进行匹配。2.根据权利要求1所述的方法，其特征在于，所述根据各排除地址，对所述地址范围段进行分段，得到多个不包含排除地址的第一地址范围段，包括：从各排除地址中，提取最小的排除地址作为第一排除地址；判断所述第一排除地址是否等于所述地址范围段的最小地址；若所述第一排除地址等于所述地址范围段的最小地址，则更新所述地址范围段，其中，更新后的所述地址范围段的最小地址为所述第一排除地址加1、最大地址保持不变；按照排除地址从小到大的顺序，从各排除地址中，提取下一个排除地址作为第一排除地址，并返回执行所述判断所述第一排除地址是否等于所述地址范围段的最小地址的步骤；若所述第一排除地址大于所述地址范围段的最小地址，且所述第一排除地址小于所述地址范围段的最大地址，则确定第一地址范围段，其中，所述第一地址范围段的最小地址为所述地址范围段的最小地址、最大地址为所述第一排除地址减1；更新所述地址范围段，其中，更新后的所述地址范围段的最小地址为所述第一排除地址加1、最大地址保持不变；按照排除地址从小到大的顺序，从各排除地址中，提取下一个排除地址作为第一排除地址，并返回执行所述判断所述第一排除地址是否等于所述地址范围段的最小地址的步骤；若所述第一排除地址为各排除地址中最大的排除地址，则确定第一地址范围段，其中，所述第一地址范围段的最小地址为所述第一排除地址加1、最大地址为所述地址范围段的最大地址。3.根据权利要求1所述的方法，其特征在于，所述根据各排除地址，对所述地址范围段进行分段，得到多个不包含排除地址的第一地址范围段，包括：从各排除地址中，提取最大的排除地址作为第二排除地址；判断所述第二排除地址是否等于所述地址范围段的最大地址；若所述第二排除地址等于所述地址范围段的最大地址，则更新所述地址范围段，其中，更新后的所述地址范围段的最小地址保持不变、最大地址为所述第二排除地址减1；按照排除地址从大到小的顺序，从各排除地址中，提取下一个排除地址作为第二排除地址，并返回执行所述判断所述第二排除地址是否等于所述地址范围段的最大地址的步骤；若所述第二排除地址大于所述地址范围段的最小地址，且所述第二排除地址小于所述地址范围段的最大地址，则确定第一地址范围段，其中，所述第一地址范围段的最小地址为所述第二排除地址加1、最大地址为所述地址范围段的最大地址；更新所述地址范围段，其中，更新后的所述地址范围段的最小地址保持不变、最大地址为所述第二排除地址减1；按照排除地址从大到小的顺序，从各排除地址中，提取下一个排除地址作为第二排除地址，并返回执行所述判断所述第二排除地址是否等于所述地址范围段的最大地址的步骤；若所述第二排除地址为各排除地址中最小的排除地址，则确定第一地址范围段，其中，所述第一地址范围段的最小地址为所述地址范围段的最小地址、最大地址为所述第二排除地址减1。4.根据权利要求1所述的方法，其特征在于，所述根据各排除地址，对所述地址范围段进行分段，得到多个不包含排除地址的第一地址范围段，包括：判断所述地址范围段是否包含排除地址；若不包含，则确定所述地址范围段为第一地址范围段；若包含，则从包含于所述地址范围段的各排除地址中，提取任一排除地址作为第三排除地址；划分所述地址范围段，得到两个划分后的地址范围段，其中，所述两个划分后的地址范围段中一个地址范围段的最小地址为所述地址范围段的最小地址、最大地址为所述第三排除地址减1，另一个地址范围段的最小地址为所述第三排除地址加1、最大地址为所述地址范围段的最大地址；将各所述划分后的地址范围段分别更新为地址范围段，并返回执行所述判断所述地址范围段是否包含排除地址的步骤。5.一种规则匹配装置，其特征在于，所述装置包括：获取模块，用于当接收到报文时，获取安全策略规则；...

【专利技术属性】
技术研发人员：岳伟国，
申请(专利权)人：新华三信息安全技术有限公司，
类型：发明
国别省市：安徽,34