一种规则匹配方法、装置、防火墙设备及存储介质制造方法及图纸

本发明专利技术实施例提供了一种规则匹配方法、装置、防火墙设备及存储介质，其中，规则匹配方法包括：获取安全策略规则，该安全策略规则的过滤条件中的匹配项包括域名；向DNS服务器发送多个针对域名的域名解析请求；接收DNS服务器针对每个域名解析请求反馈的响应报文，该响应报文携带与域名对应的IP地址；当接收到报文时，若报文的目的IP地址与域名对应的IP地址中的任一IP地址相同，确定报文与匹配项匹配。通过本方案可以降低处理报文时发生错误的概率。

A rule matching method, device, firewall device and storage medium

The embodiment of the invention provides a rule matching method and device, firewall device and storage medium, wherein the rule matching method includes: obtaining security policy rules, filtering conditions of the security policy rules in the match include domain name; requests to the DNS server to send multiple needle DNS of the domain name server for receiving DNS; each DNS request response message feedback, the response message with the domain name corresponding to the IP address; when receiving the message, if any IP address corresponding to the destination IP address and domain name message IP address in the same message, determining and matching matching. This scheme can reduce the probability of error when processing a message.

【技术实现步骤摘要】
一种规则匹配方法、装置、防火墙设备及存储介质
本专利技术涉及安全防御
，特别是涉及一种规则匹配方法、装置、防火墙设备及存储介质。
技术介绍
防火墙设备指的是一个由软件和硬件组合而成、在内部网和外部网之间、专用网与公共网之间构造的保护屏障，使网络之间建立起一个安全网关，从而保护内部网免受非法用户的入侵。防火墙设备上可以配置安全策略规则，每个安全策略规则可以包括过滤条件及处理报文的动作，其中，过滤条件可以包括：源安全域、目的安全域、源地址、目的地址、用户、应用、服务等，每种过滤条件可以配置多个匹配项，比如源安全域过滤条件中可以指定多个源安全域等，如图1所示。防火墙设备利用安全策略规则进行防护的过程包括：在接收到报文后，将报文与安全策略规则包括的过滤条件中的匹配项进行匹配；如果报文与该安全策略规则的每一个过滤条件中的任一匹配项匹配，则确定该报文与该安全策略规则匹配成功，对该报文执行该安全策略规则中配置的处理动作；如果没有安全策略规则与报文匹配成功，则会丢弃该报文。通常，一条安全策略规则中会配置目的IP(InternetProtocal，互联网协议)地址过滤条件。如果安全策略规则是控制用户访问某些网站，为了便于配置，可以将目的IP地址过滤条件的匹配项配置为域名。基于此，当目的IP地址过滤条件的匹配项包括域名时，若防火墙接收到的报文的目的IP地址与匹配项中各IP地址均不相同，则防火墙设备需要向DNS(DomainNameSystem，域名系统)服务器请求域名对应的IP地址，以判断接收到的报文的目的IP地址是否与域名相对应。DNS服务器会反馈一个IP地址，如果防火墙设备获取到的IP地址与报文的目的IP地址不相同，防火墙设备会认为匹配不成功，则丢弃该报文。但是，由于同一域名可能存在多个对应的IP地址，目的IP地址可能是这些IP地址中的某一个，而DNS服务器并没有将该IP地址反馈给防火墙设备，这样，就会导致报文处理发生错误。
技术实现思路
本专利技术实施例的目的在于提供一种规则匹配方法、装置、防火墙设备及存储介质，以降低处理报文时发生错误的概率。具体技术方案如下：第一方面，本专利技术实施例提供了一种规则匹配方法，应用于防火墙设备，所述方法包括：获取安全策略规则，所述安全策略规则的过滤条件中的匹配项包括域名；向DNS服务器发送多个针对所述域名的域名解析请求；接收所述DNS服务器针对每个所述域名解析请求反馈的响应报文，所述响应报文携带与所述域名对应的IP地址；当接收到报文时，若所述报文的目的IP地址与所述域名对应的IP地址中的任一IP地址相同，确定所述报文与所述匹配项匹配。第二方面，本专利技术实施例提供了一种报规则匹配装置，应用于防火墙设备，所述装置包括：获取模块，用于获取安全策略规则，所述安全策略规则的过滤条件中的匹配项包括域名；发送模块，用于向DNS服务器发送多个针对所述域名的域名解析请求；接收模块，用于接收所述DNS服务器针对每个所述域名解析请求反馈的响应报文，所述响应报文携带与所述域名对应的IP地址；确定模块，用于当接收到报文时，若所述报文的目的IP地址与所述域名对应的IP地址中的任一IP地址相同，确定所述报文与所述匹配项匹配。第三方面，本专利技术实施例提供了一种防火墙设备，包括处理器和存储介质，所述存储介质存储有能够被所述处理器执行的机器可执行指令，所述处理器被所述机器可执行指令促使：实现如第一方面所述的方法步骤。第四方面，本专利技术实施例提供了一种存储介质，所述存储介质内存储有计算机程序，所述计算机程序被处理器执行时实现如第一方面所述的方法步骤。本专利技术实施例提供的一种规则匹配方法、装置、防火墙设备及存储介质，防火墙设备在获取到过滤条件中的匹配项包括域名的安全策略规则时，向DNS服务器发送多个针对匹配项包含的域名的域名解析请求，可以接收到DNS服务器针对每个域名解析请求反馈的携带有域名对应IP地址的响应报文，当接收到报文时，若报文的目的IP地址与域名对应的IP地址中的任一IP地址相同，则确定该报文与匹配项匹配。由于防火墙设备通过向DNS服务器发送多个针对匹配项包含的域名的域名解析请求，接收到多个响应报文，且每个响应报文中携带了该域名对应的IP地址，这样防火墙设备可以尽可能获得该域名对应的多个不同的IP地址。如果客户端所发送的报文的目的IP地址为得到的该域名对应的任一IP地址，则可确定报文与匹配项匹配，增加了在防火墙设备中找到对应匹配项的概率，从而降低处理报文的发生错误的概率。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为现有技术的防火墙设备中安全策略对报文的处理过程示意图；图2为现有技术的网络结构示意图；图3为本专利技术一实施例的规则匹配方法的流程示意图；图4为本专利技术另一实施例的规则匹配方法的流程示意图；图5为本专利技术一实施例的规则匹配装置的结构示意图；图6为本专利技术另一实施例的规则匹配装置的结构示意图；图7为本专利技术再一实施例的规则匹配装置的结构示意图；图8为本专利技术实施例的防火墙设备的结构示意图。具体实施方式下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。为了提高报文访问的成功率，本专利技术实施例提供了一种规则匹配方法、装置、防火墙设备及存储介质。下面首先对本专利技术实施例所提供的一种规则匹配方法进行介绍。本专利技术实施例所提供的一种规则匹配方法的执行主体可以为一种防火墙设备。实现本专利技术实施例所提供的一种规则匹配方法的方式可以为设置于执行主体中的软件、硬件电路和逻辑电路中的至少一种。如图3所示，本专利技术实施例所提供的一种规则匹配方法，该规则匹配方法可以包括如下步骤：S301，获取安全策略规则，该安全策略规则的过滤条件中的匹配项包括域名。域名为因特网上某一台计算机或计算机组的名称，一个域名可以对应一个IP地址或者多个IP地址。安全策略规则可以是在防火墙设备上预先部署的，安全策略规则中还可以包括针对符合过滤条件的报文的处理动作。S302，向DNS服务器发送多个针对该匹配项包括的域名的域名解析请求。其中，域名解析请求中携带了该域名的相关信息，例如，域名的完整信息www.abc.com，或者给域名分配的唯一标识。对于一些大型的网站，大多存在多个服务器进行负载分担，那么在DNS服务器上会存储一个域名对应的多个IP地址，防火墙设备每次向DNS服务器发送域名解析请求可能得到不同的IP地址，例如，域名www.abc.com存在对应的多个IP地址，如，IP1、IP2和IP3，DNS服务器每接收到一个域名解析请求都会反馈一个响应报文，该响应报文中携带域名对应的一个IP地址，DNS每次反馈的响应报文中携带的IP地址可能相同，也可能不同。或者，DNS服务器在接收到域名解析请求后可能返回多个IP地址，但是，往往无法返回所有的IP地址，因此本文档来自技高网...

【技术保护点】
一种规则匹配方法，其特征在于，应用于防火墙设备，所述方法包括：获取安全策略规则，所述安全策略规则的过滤条件中的匹配项包括域名；向DNS服务器发送多个针对所述域名的域名解析请求；接收所述DNS服务器针对每个所述域名解析请求反馈的响应报文，所述响应报文携带与所述域名对应的IP地址；当接收到报文时，若所述报文的目的IP地址与所述域名对应的IP地址中的任一IP地址相同，确定所述报文与所述匹配项匹配。

【技术特征摘要】
1.一种规则匹配方法，其特征在于，应用于防火墙设备，所述方法包括：获取安全策略规则，所述安全策略规则的过滤条件中的匹配项包括域名；向DNS服务器发送多个针对所述域名的域名解析请求；接收所述DNS服务器针对每个所述域名解析请求反馈的响应报文，所述响应报文携带与所述域名对应的IP地址；当接收到报文时，若所述报文的目的IP地址与所述域名对应的IP地址中的任一IP地址相同，确定所述报文与所述匹配项匹配。2.根据权利要求1所述的方法，其特征在于，所述向DNS服务器发送多个针对所述域名的域名解析请求，包括：通过多个链路接口，分别向DNS服务器发送针对所述域名的域名解析请求。3.根据权利要求1所述的方法，其特征在于，在所述接收所述DNS服务器针对每个所述域名解析请求反馈的响应报文之后，所述方法还包括：缓存与所述域名对应的IP地址；所述当接收到报文时，若所述报文的目的IP地址与所述域名对应的IP地址中的任一IP地址相同，确定所述报文与所述匹配项匹配，包括：当接收到报文时，提取所述报文的目的IP地址；判断已缓存的与所述域名对应的IP地址中是否存在与所述目的IP地址相同的IP地址；若存在，则确定所述报文与所述匹配项匹配。4.根据权利要求3所述的方法，其特征在于，所述方法还包括：从缓存与所述域名对应的IP地址时起，统计缓存时间；获取预先配置的更新时间；在所述缓存时间达到所述更新时间后，重新执行所述向DNS服务器发送多个针对所述域名的域名解析请求。5.一种规则匹配装置，其特征在于，应用于防火墙设备，所述装置包括：获取模块，用于获取安全策略规则，所述安全策略规则...

【专利技术属性】
技术研发人员：赵文鹏，
申请(专利权)人：新华三信息安全技术有限公司，
类型：发明
国别省市：安徽,34