[发明专利]一种加速防火墙过滤规则匹配的方法及装置

说明书

技术领域

本发明涉及网络安全技术领域，尤其涉及一种加速防火墙过滤规则 匹配的方法及装置。

背景技术

数据包过滤系统是防火墙最基本、最重要、也是最核心的部分。防 火墙过滤规则集是指防火墙进行访问控制时管理员配置的用来限制网 络中的数据包是否可以通过的规则集合。常见的数据包过滤过程一般采 用将数据包从防火墙过滤规则集的第一条规则开始顺序匹配的策略，如 果某条规则匹配成功，则执行该条规则相应的动作，然后匹配下一个数 据包。一个防火墙过滤规则集可能包含几十条或者更多规则，但由于规 则之间存在某种关联关系，所以规则必须按照某种顺序进行排列，这就 是防火墙过滤规则采用顺序匹配的原因。但是过滤规则的顺序匹配算法 效率太低，从而使防火墙吞吐量急剧下降，严重影响了网络的性能。随 着网络的高速发展，防火墙的数据包过滤必须不断地被优化来妥善处理 网络流量的需求和防范攻击。为了缩短点到点的延迟，就要减少数据包 匹配的时间。因此，高效且易于实现的过滤策略的优化主要是加快该策 略中的数据包过滤规则匹配的速度。

在过滤策略里，数据包过滤的主要任务是基于一组规则描绘的过滤 策略来对数据包进行分类。过滤数据包使用的信息常常包含在数据包的 包头里，通常为传输协议、源IP地址、源端口号、目的IP地址和目的 端口号。每一个过滤规则就是数据包包头的一个数组值。如果每一个数 据包的包头匹配相应的某一个规则，那么，我们就说该数据包匹配这个 规则。在防火墙中，如果一个数据包匹配一个规则的话，就要执行一些 相关的动作。这些动作将指示是否去拒绝或是接受数据包到一个特定接 口。如果一个数据包没有和一个过滤策略中的任何一个规则匹配成功， 那么就要按照默认规则将该包丢弃，一般的默认规则(过滤策略中的最 后一个规则)是拒绝。

很多学者和研究人员对防火墙过滤策略的优化问题提出了很多有 用的解决方法，目前普遍使用的过滤规则匹配的方法是数据包按照过滤 规则的优先级顺序进行匹配，以首次匹配到的规则为准。现有技术中使 用的过滤规则匹配方式是轮循方式，例如，一个过滤策略中有1000条 过滤规则时，每一个数据包的包头依次和这1000条规则进行比较直到 找到一条完全匹配的规则。可以发现采用现有技术中的过滤规则匹配的 方法对数据包进行过滤时，随着过滤规则的增多，防火墙中的性能下降 非常明显。

发明内容

本发明提供一种加速防火墙过滤规则匹配的方法及装置，用以解决 现有技术中防火墙对数据包进行过滤规则匹配时，若过滤规则较多，则 防火墙的性能下降明显的问题。

本发明所述技术方案如下：

一种加速防火墙过滤规则匹配的方法，包括步骤：

A、将预先选定的防火墙过滤规则集的属性项的属性信息构建为线 性分布的属性区间，将构建的属性区间与相应属性项的属性信息中包含 该属性区间的过滤规则相关联；

B、进行数据包过滤时，查询所述数据包中所述选定属性项的属性 信息，从构建的属性区间中搜索所述查询到的属性信息归属的属性区 间，利用搜索到的属性区间关联的过滤规则构建与各选定属性项一一对 应的规则集合；

C、获取所述构建出的与各选定属性项一一对应的规则集合的交集， 将其添加到匹配规则集合中；

D、按照所述匹配规则集合中过滤规则的优先级高低依次对所述数 据包进行规则匹配，直到找出完全匹配的规则。

较佳地，所述属性项为源地址或者目的地址或者源端口号或者目的 端口号或者传输协议。

较佳地，所述步骤B与步骤C之间还包括将所述防火墙过滤规则 集中对某一选定属性项无任何要求的过滤规则添加到构建出的与该属 性项一一对应的规则集合中的步骤。

较佳地，所述步骤D中还包括按照所述找出的完全匹配的规则对应 的动作对所述数据包进行相应的处理的步骤。

较佳地，所述属性项对应的线性分布的属性区间按照属性项的属性 信息的大小顺序线性排列，与一个属性项对应的任意两个线性分布的属 性区间之间不存在交集。

一种加速防火墙过滤规则匹配的装置，包括属性区间构建模块、数 据包属性查询模块、属性区间搜索模块、属性项规则集合形成模块、匹 配规则集合形成模块及规则匹配模块，其中，