[发明专利]一种安全规则的合并方法以及智能设备

说明书

技术领域

本发明涉及通信技术领域，特别涉及一种安全规则的合并方法，同时本申请还特别涉及一种智能设备。

背景技术

网络防火墙(Firewall)，也称网络防护墙，是一种位于内部网络与外部网络之间的网络安全系统。一项信息安全的防护系统，依照特定的安全规则，允许或是限制传输的数据通过。

网络防火墙在做信息包过滤决定时，有一套遵循的安全规则，这些安全规则存储在专用的信息包过滤表中，而这些表集成在Linux内核中。在信息包过滤表中，安全规则被分组放在信息包过滤表的链(chain)中。信息包过滤系统是一款功能强大的工具，可用于添加、编辑和移除安全规则，安全规则可以控制是否允许其他设备连接本设备的端口，允许哪些IP或网段访问本设备等。

安全规则包含属性和应对措施。属性包括地址信息和规则细节。地址信息是指数据包的源地址和目标地址信息，其中，源地址用来描述数据包的来源，其可以是某单个设备的地址，也可以为一系列地址的集合；目标地址，类似于源地址，用来描述数据包的目的地。规则细节是指规则的详细信息，用以描述数据包的详细特征。应对措施是指当数据包(报文)的信息和源地址、目标地址、规则细节匹配时，应该实行的应对措施。具体的，包括阻止数据包通过，允许数据包通过，允许但是向用户发送警告等。

网络防火墙在进行规则匹配时，是在规则列表中从头到尾依次进行匹配。此方法的处理效率低下，在规则列表中的规则较多时，难以及时地寻找到匹配的规则。

为了加快网络防火墙匹配安全规则的速度，现有技术中的方法有以下的两种：

(1)方法一、基于安全规则冲突的分析与简化，对无用的规则项自动删除。当规则之间有包含、被包含、相交、冲突等关系时，对规则进行整理与简化。(2)方法二、使用多维模型和快速搜索的方法，提高防火墙匹配安全规则的性能。

发明人在实现本申请的过程中，发现现有技术中加快防火墙匹配规则的速度的方法至少存在以下的问题：

(1)对于方法一，大部分安全规则之间不存在包含、被包含、相交、冲突的关系。因此，该方法只能对少数的安全规则进行合并简化，对规则数目减少的程度有限。

(2)对于方法二，该方法的本质是对查找算法进行改进，提高查找的速度。然而该方法不会减少安全规则的数量，在安全规则的数量较多时，还是存在查找速度慢的问题。

可见，如何有效的减少安全规则的数量，进而加快匹配安全规则的速度，提高防火墙的性能，成为本领域技术人员亟待解决的技术问题。

发明内容

本申请提出一种安全规则的合并方法，用以减少防火墙系统中安全规则的数量，进而加快匹配安全规则的速度，提高防火墙的性能，所述方法应用于包含网络防火墙的智能设备中，所述方法至少包括：

在预设的时间周期开始时，获取所述网络防火墙的待处理安全规则，并根据所述网络防火墙的待处理安全规则的应对措施对所述网络防火墙的待处理安全规则进行类别划分，以使每个所述类别中的待处理安全规则的应对措施相同；

根据所述类别中的待处理安全规则的地址信息对所述类别中的待处理安全规则进行子类别划分，以使所述子类别中的待处理安全规则的源地址或目标地址连续；

将所述子类别中所有的待处理安全规则合并为一条特征安全规则。

优选地，在所述将所述子类别中的待处理安全规则合并为特征安全规则之后，所述方法还包括：

分别获取各所述特征安全规则命中的流量的信息；

按照各所述特征安全规则命中的流量的量值由大到小对各所述特征安全规则进行排序；

按照所述排序的顺序依次将各所述特征安全规则与所述网络防火墙接收到的报文相匹配。

优选地，所述根据所述网络防火墙的待处理安全规则的应对措施对所述网络防火墙的待处理安全规则进行类别划分，具体包括：

分别获取所述网络防火墙的待处理安全规则的应对措施；

将所述网络防火墙中具有相同应对措施的待处理安全规则划分到同一所述类别中。

优选地，所述根据所述类别中的待处理安全规则的地址信息对所述类别中的待处理安全规则进行子类别划分，具体包括：

分别获取所述类别中的待处理安全规则的地址信息；

将所述类别中源地址或者目的地址连续的待处理安全规则划分到同一所述子类别中。

优选地，在所述时间周期开始之前，所述方法还包括：

接收用户输入的周期设定信息；

根据所述周期设定信息对所述时间周期进行设定。