The embodiment of the invention provides a rule matching method and device, firewall device and storage medium, wherein the rule matching method includes: obtaining security policy rules, filtering conditions of the security policy rules in the match include domain name; requests to the DNS server to send multiple needle DNS of the domain name server for receiving DNS; each DNS request response message feedback, the response message with the domain name corresponding to the IP address; when receiving the message, if any IP address corresponding to the destination IP address and domain name message IP address in the same message, determining and matching matching. This scheme can reduce the probability of error when processing a message.
【技术实现步骤摘要】
一种规则匹配方法、装置、防火墙设备及存储介质
本专利技术涉及安全防御
,特别是涉及一种规则匹配方法、装置、防火墙设备及存储介质。
技术介绍
防火墙设备指的是一个由软件和硬件组合而成、在内部网和外部网之间、专用网与公共网之间构造的保护屏障,使网络之间建立起一个安全网关,从而保护内部网免受非法用户的入侵。防火墙设备上可以配置安全策略规则,每个安全策略规则可以包括过滤条件及处理报文的动作,其中,过滤条件可以包括:源安全域、目的安全域、源地址、目的地址、用户、应用、服务等,每种过滤条件可以配置多个匹配项,比如源安全域过滤条件中可以指定多个源安全域等,如图1所示。防火墙设备利用安全策略规则进行防护的过程包括:在接收到报文后,将报文与安全策略规则包括的过滤条件中的匹配项进行匹配;如果报文与该安全策略规则的每一个过滤条件中的任一匹配项匹配,则确定该报文与该安全策略规则匹配成功,对该报文执行该安全策略规则中配置的处理动作;如果没有安全策略规则与报文匹配成功,则会丢弃该报文。通常,一条安全策略规则中会配置目的IP(InternetProtocal,互联网协议)地址过滤条件。如果安全策略规则是控制用户访问某些网站,为了便于配置,可以将目的IP地址过滤条件的匹配项配置为域名。基于此,当目的IP地址过滤条件的匹配项包括域名时,若防火墙接收到的报文的目的IP地址与匹配项中各IP地址均不相同,则防火墙设备需要向DNS(DomainNameSystem,域名系统)服务器请求域名对应的IP地址,以判断接收到的报文的目的IP地址是否与域名相对应。DNS服务器会反馈一个IP地址,如果防 ...
【技术保护点】
一种规则匹配方法,其特征在于,应用于防火墙设备,所述方法包括:获取安全策略规则,所述安全策略规则的过滤条件中的匹配项包括域名;向DNS服务器发送多个针对所述域名的域名解析请求;接收所述DNS服务器针对每个所述域名解析请求反馈的响应报文,所述响应报文携带与所述域名对应的IP地址;当接收到报文时,若所述报文的目的IP地址与所述域名对应的IP地址中的任一IP地址相同,确定所述报文与所述匹配项匹配。
【技术特征摘要】
1.一种规则匹配方法,其特征在于,应用于防火墙设备,所述方法包括:获取安全策略规则,所述安全策略规则的过滤条件中的匹配项包括域名;向DNS服务器发送多个针对所述域名的域名解析请求;接收所述DNS服务器针对每个所述域名解析请求反馈的响应报文,所述响应报文携带与所述域名对应的IP地址;当接收到报文时,若所述报文的目的IP地址与所述域名对应的IP地址中的任一IP地址相同,确定所述报文与所述匹配项匹配。2.根据权利要求1所述的方法,其特征在于,所述向DNS服务器发送多个针对所述域名的域名解析请求,包括:通过多个链路接口,分别向DNS服务器发送针对所述域名的域名解析请求。3.根据权利要求1所述的方法,其特征在于,在所述接收所述DNS服务器针对每个所述域名解析请求反馈的响应报文之后,所述方法还包括:缓存与所述域名对应的IP地址;所述当接收到报文时,若所述报文的目的IP地址与所述域名对应的IP地址中的任一IP地址相同,确定所述报文与所述匹配项匹配,包括:当接收到报文时,提取所述报文的目的IP地址;判断已缓存的与所述域名对应的IP地址中是否存在与所述目的IP地址相同的IP地址;若存在,则确定所述报文与所述匹配项匹配。4.根据权利要求3所述的方法,其特征在于,所述方法还包括:从缓存与所述域名对应的IP地址时起,统计缓存时间;获取预先配置的更新时间;在所述缓存时间达到所述更新时间后,重新执行所述向DNS服务器发送多个针对所述域名的域名解析请求。5.一种规则匹配装置,其特征在于,应用于防火墙设备,所述装置包括:获取模块,用于获取安全策略规则,所述安全策略规则...
【专利技术属性】
技术研发人员:赵文鹏,
申请(专利权)人:新华三信息安全技术有限公司,
类型:发明
国别省市:安徽,34
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。