【技术实现步骤摘要】
规则匹配方法、装置、防火墙设备及机器可读存储介质
本专利技术涉及安全防御
,特别是涉及一种规则匹配方法、装置、防火墙设备及机器可读存储介质。
技术介绍
防火墙设备指的是一个由软件和硬件组合而成、在内部网和外部网之间、专用网和公共网之间构造的保护屏障,使网络之间建立起一个安全网关,从而保护内部网免受非法用户的入侵。防火墙设备上可以配置安全策略规则,安全策略规则可以支持例如地址对象组的过滤条件,地址对象组中可以配置地址范围段等匹配项。例如,对于企业而言,为了便于企业员工正常访问企业网,在安全策略规则中配置支持地址对象组的过滤条件,并在地址对象组中配置地址范围段,该地址范围段可以覆盖所有员工的地址。防火墙设备利用安全策略规则进行网络防护的过程包括:在接收到报文后,将报文与安全策略规则的过滤条件中的匹配项进行匹配,如果报文与该安全策略规则的过滤条件中的匹配项相匹配,则确定报文匹配成功。例如,在基于地址对象组进行网络防护时,如果接收到的报文地址包含于地址对象组中配置的地址范围段,则认为报文匹配成功。然而,在实际应用中,尤其是企业中,由于员工职位的不同,员工有不同的企业网访问权限,如果安全策略规则的过滤条件中的地址范围段覆盖所有员工的地址,则在进行报文匹配时,所有员工的报文都会匹配成功,导致异常访问的情况发生,即安全策略规则的匹配性能较差。
技术实现思路
本专利技术实施例的目的在于提供一种规则匹配方法、装置、防火墙设备及机器可读存储介质,以提高安全策略规则的匹配性能。具体技术方案如下:第一方面,本专利技术实施例提供了一种规则匹配方法,所述方法包括:当接收到报文时,获 ...
【技术保护点】
1.一种规则匹配方法,其特征在于,所述方法包括:当接收到报文时,获取安全策略规则;若确定所述安全策略规则的过滤条件中的地址范围段中包含至少一个排除地址,则根据各排除地址,对所述地址范围段进行分段,得到多个不包含排除地址的第一地址范围段;基于各第一地址范围段,对接收到的报文进行匹配。
【技术特征摘要】
1.一种规则匹配方法,其特征在于,所述方法包括:当接收到报文时,获取安全策略规则;若确定所述安全策略规则的过滤条件中的地址范围段中包含至少一个排除地址,则根据各排除地址,对所述地址范围段进行分段,得到多个不包含排除地址的第一地址范围段;基于各第一地址范围段,对接收到的报文进行匹配。2.根据权利要求1所述的方法,其特征在于,所述根据各排除地址,对所述地址范围段进行分段,得到多个不包含排除地址的第一地址范围段,包括:从各排除地址中,提取最小的排除地址作为第一排除地址;判断所述第一排除地址是否等于所述地址范围段的最小地址;若所述第一排除地址等于所述地址范围段的最小地址,则更新所述地址范围段,其中,更新后的所述地址范围段的最小地址为所述第一排除地址加1、最大地址保持不变;按照排除地址从小到大的顺序,从各排除地址中,提取下一个排除地址作为第一排除地址,并返回执行所述判断所述第一排除地址是否等于所述地址范围段的最小地址的步骤;若所述第一排除地址大于所述地址范围段的最小地址,且所述第一排除地址小于所述地址范围段的最大地址,则确定第一地址范围段,其中,所述第一地址范围段的最小地址为所述地址范围段的最小地址、最大地址为所述第一排除地址减1;更新所述地址范围段,其中,更新后的所述地址范围段的最小地址为所述第一排除地址加1、最大地址保持不变;按照排除地址从小到大的顺序,从各排除地址中,提取下一个排除地址作为第一排除地址,并返回执行所述判断所述第一排除地址是否等于所述地址范围段的最小地址的步骤;若所述第一排除地址为各排除地址中最大的排除地址,则确定第一地址范围段,其中,所述第一地址范围段的最小地址为所述第一排除地址加1、最大地址为所述地址范围段的最大地址。3.根据权利要求1所述的方法,其特征在于,所述根据各排除地址,对所述地址范围段进行分段,得到多个不包含排除地址的第一地址范围段,包括:从各排除地址中,提取最大的排除地址作为第二排除地址;判断所述第二排除地址是否等于所述地址范围段的最大地址;若所述第二排除地址等于所述地址范围段的最大地址,则更新所述地址范围段,其中,更新后的所述地址范围段的最小地址保持不变、最大地址为所述第二排除地址减1;按照排除地址从大到小的顺序,从各排除地址中,提取下一个排除地址作为第二排除地址,并返回执行所述判断所述第二排除地址是否等于所述地址范围段的最大地址的步骤;若所述第二排除地址大于所述地址范围段的最小地址,且所述第二排除地址小于所述地址范围段的最大地址,则确定第一地址范围段,其中,所述第一地址范围段的最小地址为所述第二排除地址加1、最大地址为所述地址范围段的最大地址;更新所述地址范围段,其中,更新后的所述地址范围段的最小地址保持不变、最大地址为所述第二排除地址减1;按照排除地址从大到小的顺序,从各排除地址中,提取下一个排除地址作为第二排除地址,并返回执行所述判断所述第二排除地址是否等于所述地址范围段的最大地址的步骤;若所述第二排除地址为各排除地址中最小的排除地址,则确定第一地址范围段,其中,所述第一地址范围段的最小地址为所述地址范围段的最小地址、最大地址为所述第二排除地址减1。4.根据权利要求1所述的方法,其特征在于,所述根据各排除地址,对所述地址范围段进行分段,得到多个不包含排除地址的第一地址范围段,包括:判断所述地址范围段是否包含排除地址;若不包含,则确定所述地址范围段为第一地址范围段;若包含,则从包含于所述地址范围段的各排除地址中,提取任一排除地址作为第三排除地址;划分所述地址范围段,得到两个划分后的地址范围段,其中,所述两个划分后的地址范围段中一个地址范围段的最小地址为所述地址范围段的最小地址、最大地址为所述第三排除地址减1,另一个地址范围段的最小地址为所述第三排除地址加1、最大地址为所述地址范围段的最大地址;将各所述划分后的地址范围段分别更新为地址范围段,并返回执行所述判断所述地址范围段是否包含排除地址的步骤。5.一种规则匹配装置,其特征在于,所述装置包括:获取模块,用于当接收到报文时,获取安全策略规则;...
【专利技术属性】
技术研发人员:岳伟国,
申请(专利权)人:新华三信息安全技术有限公司,
类型:发明
国别省市:安徽,34
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。