CN105187435A - 一种防火墙规则过滤优化方法 - Google Patents

一种防火墙规则过滤优化方法 Download PDF

Info

Publication number
CN105187435A
CN105187435A CN201510618104.3A CN201510618104A CN105187435A CN 105187435 A CN105187435 A CN 105187435A CN 201510618104 A CN201510618104 A CN 201510618104A CN 105187435 A CN105187435 A CN 105187435A
Authority
CN
China
Prior art keywords
rule
added
rules
optimization method
judge
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201510618104.3A
Other languages
English (en)
Inventor
刘晶
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Inspur Electronic Information Industry Co Ltd
Original Assignee
Inspur Electronic Information Industry Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Inspur Electronic Information Industry Co Ltd filed Critical Inspur Electronic Information Industry Co Ltd
Priority to CN201510618104.3A priority Critical patent/CN105187435A/zh
Publication of CN105187435A publication Critical patent/CN105187435A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种防火墙规则过滤优化方法,所述优化方法通过在防火墙添加规则时,对新添加的规则和已有的规则进行比较和合并,删除被包含的规则,合并多条相关的规则成一条规则来达到规则之间的冗余排除。本发明优化算法能够有效的剔除规则集中重复的规则,这样不仅能够提高?iptables?系统本身运行效率;另外,系统中过滤规则的减少,理论上可以提升系统过滤效率,减少过滤数据包所需的时间,从而提高防火墙系统的网络吞吐量。

Description

一种防火墙规则过滤优化方法
技术领域
本发明涉及信息安全技术领域,具体涉及一种防火墙规则过滤优化方法。
背景技术
随着互联网的发展,信息安全问题引起了学术界和工业界的广泛重视。来自网络的攻击持续不断的增长,防火墙已经成为信息安全领域的一种核心设备,并广泛应用于企业网络和小型的家庭网络。防火墙是指隔离在本地网络与外界网络之间的一道防御系统,它在网络之间执行访问控制策略。防火墙可以是非常简单的过滤器,也可能是精心配置的网关,但它们的原理是一样的,都是监测并过滤所有内部网和外部网之间的信息交换,防火墙保护着内部网络敏感的数据不被偷窃和破坏,并记录内外通讯的有关状态信息日志,如通讯发生的时间和进行的操作等等,通常是运行在一台单独计算机之上的一个特别的服务软件,它可以识别并屏蔽非法的请求。在计算机网络日益扩展和普及的今天,计算机安全的要求更高,涉及面更广。不但要求防治病毒,还要提高系统抵抗外来非法黑客入侵的能力,还要提高对远程数据传输的保密性,避免在传输途中遭受非法窃取。此时,对防火墙性能进行优化显得尤为重要。
由于防火墙系统的不断运行,越来越多的过滤规则会不断加入,进而系统对每个数据包的处理时间会变得越来越长。
发明内容
本发明要解决的技术问题是:针对现有防火墙规则越来越多,数据包处理时间越来越长,系统过滤效率越越低的现状,为了能迅速有效的解析、验证和过滤所写的防火墙规则,本发明提出了一种防火墙规则过滤的优化方法。
本发明所采用的技术方案为:
一种防火墙规则过滤优化方法,所述优化方法通过在防火墙添加规则时,对新添加的规则和已有的规则进行比较和合并,删除被包含的规则,合并多条相关的规则成一条规则来达到规则之间的冗余排除。
所述优化方法的实现体系包含:1)规则添加解析模块,2)规则匹配判断模块,3)规则合并模块,其中:
规则添加解析模块,负责解析插入的复杂规则,使其简化,分析各条规则的命令,匹配和目标部分,将规则集中的每条规则和待添加的规则比较;
规则匹配判断模块,如果待添加的规则和已有的规则是等价关系,则直接丢弃待添加的规则;如果待添加的规则和已有的规则是包含关系,则删除原规则集中被包含的规则,然后将待添加的规则加入到规则集;如果待添加的规则和已有的规则是被包含关系,则直接丢弃待添加的规则;如果待添加的规则和已有的规则是交叉关系,则根据交叉关系修改已有的规则,待添加的规则丢弃;
规则合并模块,根据匹配判定的结果对待添加的模块,判断两条规则的目标名称是否相同即可,如果两条规则的目标部分相同,则两条规则才有可能被合并。否则,这两条规则即使匹配部分相同,也不能合并或重新组合。
所述规则添加解析模块当向规则集种添加新的规则的时候,优化算法会根据以下流程来执行添加规则过程:
1)解析待插入的规则,将复杂规则简化,转换成简单规则;
2)解析规则,分析出规则的命令、匹配和目标部分;
3)如果命令是添加新的规则,并且指定的表是filter,则执行步骤4),否则执行默认的过程;
4)根据规则的链名,从规则集中取出此链的所有规则,对每条规则执行5)、6)中的步骤;
5)判断待加入的规则和已有规则的目标部分是否相同,如果相同,则执行执行步骤6)合并过程,否则执行默认的过程;
6)比较待加入规则和已有的规则中的匹配部分,判断这两条规则是否有等价、包含、或交叉关系,如果有,则进行规则合并或替换,否则,执行默认的添加过程。
所述规则匹配判断模块,匹配比较流程如下:
1)判断两个匹配的源/目的ip地址/段是否具有等价、包含或交叉关系,如果有,则继续执行2)中的比较,否则,停止比较;
2)判断两个匹配中的源目的端口是否具有等价、包含或交叉关系,如果有,继续执行3)中的比较,否则停止比较;
3)判断两个匹配中的协议类型是否具有等价、包含或交叉关系,如果有,继续执行4)中的比较,否则,停止比较;
4)比较匹配中的其他部分是否相同,如果相同就表明两条规则之间能够进行合并或替换,否则,两条规则没有关系,需要执行默认的添加操作。
一个匹配通常包含很多匹配项;比较两个匹配是否具有包含和交叉关系,需要将2个匹配的所有子项全部一一比较,只有当这些子项都满足相同的关系时,这两个匹配才具有包含或交叉关系。
本发明的有益效果为:
本发明优化算法能够有效的剔除规则集中重复的规则,这样不仅能够提高iptables系统本身运行效率;另外,系统中过滤规则的减少,理论上可以提升系统过滤效率,减少过滤数据包所需的时间,从而提高防火墙系统的网络吞吐量。
附图说明
图1为本发明方法流程图。
具体实施方式
下面根据说明书附图,结合具体实施方式对本发明进一步说明:
实施例1:
一种防火墙规则过滤优化方法,所述优化方法通过在防火墙添加规则时,对新添加的规则和已有的规则进行比较和合并,删除被包含的规则,合并多条相关的规则成一条规则来达到规则之间的冗余排除。
实施例2:
在实施例1的基础上,本实施例所述优化方法的实现体系包含:1)规则添加解析模块,2)规则匹配判断模块,3)规则合并模块,其中:
规则添加解析模块,负责解析插入的复杂规则,使其简化,分析各条规则的命令,匹配和目标部分,将规则集中的每条规则和待添加的规则比较;
规则匹配判断模块,如果待添加的规则和已有的规则是等价关系,则直接丢弃待添加的规则;如果待添加的规则和已有的规则是包含关系,则删除原规则集中被包含的规则,然后将待添加的规则加入到规则集;如果待添加的规则和已有的规则是被包含关系,则直接丢弃待添加的规则;如果待添加的规则和已有的规则是交叉关系,则根据交叉关系修改已有的规则,待添加的规则丢弃;
规则合并模块,根据匹配判定的结果对待添加的模块,判断两条规则的目标名称是否相同即可,如果两条规则的目标部分相同,则两条规则才有可能被合并。否则,这两条规则即使匹配部分相同,也不能合并或重新组合。
实施例3:
在实施例1的基础上,本实施例所述规则添加解析模块当向规则集种添加新的规则的时候,优化算法会根据以下流程来执行添加规则过程:
1)解析待插入的规则,将复杂规则简化,转换成简单规则;
2)解析规则,分析出规则的命令、匹配和目标部分;
3)如果命令是添加新的规则,并且指定的表是filter,则执行步骤4),否则执行默认的过程;
4)根据规则的链名,从规则集中取出此链的所有规则,对每条规则执行5)、6)中的步骤;
5)判断待加入的规则和已有规则的目标部分是否相同,如果相同,则执行执行步骤6)合并过程,否则执行默认的过程;
6)比较待加入规则和已有的规则中的匹配部分,判断这两条规则是否有等价、包含、或交叉关系,如果有,则进行规则合并或替换,否则,执行默认的添加过程。
实施例4:
在实施例2的基础上,本实施例所述规则匹配判断模块,匹配比较流程如下:
1)判断两个匹配的源/目的ip地址/段是否具有等价、包含或交叉关系,如果有,则继续执行2)中的比较,否则,停止比较;
2)判断两个匹配中的源目的端口是否具有等价、包含或交叉关系,如果有,继续执行3)中的比较,否则停止比较;
3)判断两个匹配中的协议类型是否具有等价、包含或交叉关系,如果有,继续执行4)中的比较,否则,停止比较;
4)比较匹配中的其他部分是否相同,如果相同就表明两条规则之间能够进行合并或替换,否则,两条规则没有关系,需要执行默认的添加操作。
一个匹配通常包含很多匹配项;比较两个匹配是否具有包含和交叉关系,需要将2个匹配的所有子项全部一一比较,只有当这些子项都满足相同的关系时,这两个匹配才具有包含或交叉关系。
实施例5:
如图1所示,在上述实施例的基础上,本实施例采用pc机作为测试机器,初始状态,iptables有5条防火墙规则,向filter链添加5条防火墙规则,新添加的5条规则已经和原有的规则进行相应的合并或替换等;添加的第一条规则因为和原有的第一条规则相同而被丢弃;添加的第二条规则替换掉了原有的第二条规则;添加的第三条规则因为被原第三条规则包含而被丢弃;添加的第四条规则和原有的规则进行端口合并成了新的规则,原规则被替换成新的规则;添加的第五条规则因为被原规则包含而被丢弃。
以上实施方式仅用于说明本发明,而并非对本发明的限制,有关技术领域的普通技术人员,在不脱离本发明的精神和范围的情况下,还可以做出各种变化和变型,因此所有等同的技术方案也属于本发明的范畴,本发明的专利保护范围应由权利要求限定。

Claims (4)

1.一种防火墙规则过滤优化方法,其特征在于:所述优化方法通过在防火墙添加规则时,对新添加的规则和已有的规则进行比较和合并,删除被包含的规则,合并多条相关的规则成一条规则来达到规则之间的冗余排除。
2.根据权利要求1所述的一种防火墙规则过滤优化方法,其特征在于,所述优化方法的实现体系包含:1)规则添加解析模块,2)规则匹配判断模块,3)规则合并模块,其中:
规则添加解析模块,负责解析插入的复杂规则,使其简化,分析各条规则的命令,匹配和目标部分,将规则集中的每条规则和待添加的规则比较;
规则匹配判断模块,如果待添加的规则和已有的规则是等价关系,则直接丢弃待添加的规则;如果待添加的规则和已有的规则是包含关系,则删除原规则集中被包含的规则,然后将待添加的规则加入到规则集;如果待添加的规则和已有的规则是被包含关系,则直接丢弃待添加的规则;如果待添加的规则和已有的规则是交叉关系,则根据交叉关系修改已有的规则,待添加的规则丢弃;
规则合并模块,根据匹配判定的结果对待添加的模块,判断两条规则的目标名称是否相同即可,如果两条规则的目标部分相同,则两条规则才有可能被合并;
否则,这两条规则即使匹配部分相同,也不能合并或重新组合。
3.根据权利要求2所述的一种防火墙规则过滤优化方法,其特征在于:所述规则添加解析模块当向规则集种添加新的规则的时候,优化算法会根据以下流程来执行添加规则过程:
1)解析待插入的规则,将复杂规则简化,转换成简单规则;
2)解析规则,分析出规则的命令、匹配和目标部分;
3)如果命令是添加新的规则,并且指定的表是filter,则执行步骤4),否则执行默认的过程;
4)根据规则的链名,从规则集中取出此链的所有规则,对每条规则执行5)、6)中的步骤;
5)判断待加入的规则和已有规则的目标部分是否相同,如果相同,则执行执行步骤6)合并过程,否则执行默认的过程;
6)比较待加入规则和已有的规则中的匹配部分,判断这两条规则是否有等价、包含、或交叉关系,如果有,则进行规则合并或替换,否则,执行默认的添加过程。
4.根据权利要求2所述的一种防火墙规则过滤优化方法,其特征在于:所述规则匹配判断模块,匹配比较流程如下:
1)判断两个匹配的源/目的ip地址/段是否具有等价、包含或交叉关系,如果有,则继续执行2)中的比较,否则,停止比较;
2)判断两个匹配中的源目的端口是否具有等价、包含或交叉关系,如果有,继续执行3)中的比较,否则停止比较;
3)判断两个匹配中的协议类型是否具有等价、包含或交叉关系,如果有,继续执行4)中的比较,否则,停止比较;
4)比较匹配中的其他部分是否相同,如果相同就表明两条规则之间能够进行合并或替换,否则,两条规则没有关系,需要执行默认的添加操作。
CN201510618104.3A 2015-09-24 2015-09-24 一种防火墙规则过滤优化方法 Pending CN105187435A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510618104.3A CN105187435A (zh) 2015-09-24 2015-09-24 一种防火墙规则过滤优化方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510618104.3A CN105187435A (zh) 2015-09-24 2015-09-24 一种防火墙规则过滤优化方法

Publications (1)

Publication Number Publication Date
CN105187435A true CN105187435A (zh) 2015-12-23

Family

ID=54909279

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510618104.3A Pending CN105187435A (zh) 2015-09-24 2015-09-24 一种防火墙规则过滤优化方法

Country Status (1)

Country Link
CN (1) CN105187435A (zh)

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105871856A (zh) * 2016-04-12 2016-08-17 桂林电子科技大学 批处理包过滤防火墙的实现方法
CN106817376A (zh) * 2017-02-21 2017-06-09 南通大学 一种基于遗传算法的包匹配方法
CN106850657A (zh) * 2017-02-27 2017-06-13 郑州云海信息技术有限公司 一种高效的ip地址匹配方法
CN108566382A (zh) * 2018-03-21 2018-09-21 北京理工大学 基于规则生命周期检测的防火墙自适应能力提升方法
CN109067779A (zh) * 2018-09-17 2018-12-21 平安科技(深圳)有限公司 基于安全防护的优化防火墙的方法、装置及计算机设备
CN109413019A (zh) * 2018-04-28 2019-03-01 武汉思普崚技术有限公司 一种防火墙策略优化检查方法及装置
CN110113356A (zh) * 2019-05-22 2019-08-09 北京明朝万达科技股份有限公司 一种数据监测方法及装置
CN110291764A (zh) * 2016-12-22 2019-09-27 Nicira股份有限公司 识别和调整无效的防火墙规则
CN110336841A (zh) * 2019-08-09 2019-10-15 深圳证券交易所 防火墙规则的检测方法、检测装置及可读存储介质
CN110365655A (zh) * 2019-06-20 2019-10-22 苏州浪潮智能科技有限公司 一种防火墙规则添加方法及装置
CN110430159A (zh) * 2019-06-20 2019-11-08 国网辽宁省电力有限公司信息通信分公司 一种平台服务器防火墙策略开放范围过大预警方法
CN110505190A (zh) * 2018-05-18 2019-11-26 深信服科技股份有限公司 微分段的部署方法、安全设备、存储介质及装置
CN114499948A (zh) * 2021-12-23 2022-05-13 麒麟软件有限公司 一种Linux防火墙动态策略处理方法、装置及存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1863255A1 (en) * 2005-03-22 2007-12-05 Huawei Technologies Co., Ltd. An implementing method for traversing the firewall by the mobile ipv6 massage and the firewall
CN102271053A (zh) * 2010-06-03 2011-12-07 国际商业机器公司 自动化迁移中的网络重配置的方法和系统
CN103841095A (zh) * 2013-05-10 2014-06-04 湖南大学 一种基于二部图的防火墙规则更新方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1863255A1 (en) * 2005-03-22 2007-12-05 Huawei Technologies Co., Ltd. An implementing method for traversing the firewall by the mobile ipv6 massage and the firewall
CN102271053A (zh) * 2010-06-03 2011-12-07 国际商业机器公司 自动化迁移中的网络重配置的方法和系统
CN103841095A (zh) * 2013-05-10 2014-06-04 湖南大学 一种基于二部图的防火墙规则更新方法

Cited By (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105871856B (zh) * 2016-04-12 2018-11-06 桂林电子科技大学 批处理包过滤防火墙的实现方法
CN105871856A (zh) * 2016-04-12 2016-08-17 桂林电子科技大学 批处理包过滤防火墙的实现方法
CN110291764A (zh) * 2016-12-22 2019-09-27 Nicira股份有限公司 识别和调整无效的防火墙规则
CN110291764B (zh) * 2016-12-22 2022-05-03 Nicira股份有限公司 一种减少网络防火墙所采用的多个规则中的规则的数量的方法、系统及存储介质
CN106817376A (zh) * 2017-02-21 2017-06-09 南通大学 一种基于遗传算法的包匹配方法
CN106817376B (zh) * 2017-02-21 2020-07-07 南通大学 一种基于遗传算法的包匹配方法
CN106850657A (zh) * 2017-02-27 2017-06-13 郑州云海信息技术有限公司 一种高效的ip地址匹配方法
CN108566382A (zh) * 2018-03-21 2018-09-21 北京理工大学 基于规则生命周期检测的防火墙自适应能力提升方法
CN108566382B (zh) * 2018-03-21 2020-12-08 北京理工大学 基于规则生命周期检测的防火墙自适应能力提升方法
CN109413019A (zh) * 2018-04-28 2019-03-01 武汉思普崚技术有限公司 一种防火墙策略优化检查方法及装置
CN110505190A (zh) * 2018-05-18 2019-11-26 深信服科技股份有限公司 微分段的部署方法、安全设备、存储介质及装置
CN109067779A (zh) * 2018-09-17 2018-12-21 平安科技(深圳)有限公司 基于安全防护的优化防火墙的方法、装置及计算机设备
CN110113356A (zh) * 2019-05-22 2019-08-09 北京明朝万达科技股份有限公司 一种数据监测方法及装置
CN110430159A (zh) * 2019-06-20 2019-11-08 国网辽宁省电力有限公司信息通信分公司 一种平台服务器防火墙策略开放范围过大预警方法
CN110365655A (zh) * 2019-06-20 2019-10-22 苏州浪潮智能科技有限公司 一种防火墙规则添加方法及装置
CN110336841A (zh) * 2019-08-09 2019-10-15 深圳证券交易所 防火墙规则的检测方法、检测装置及可读存储介质
CN114499948A (zh) * 2021-12-23 2022-05-13 麒麟软件有限公司 一种Linux防火墙动态策略处理方法、装置及存储介质

Similar Documents

Publication Publication Date Title
CN105187435A (zh) 一种防火墙规则过滤优化方法
US10595215B2 (en) Reducing redundant operations performed by members of a cooperative security fabric
US11706246B2 (en) IOT device risk assessment and scoring
US11671328B2 (en) Systems and methods for network device management using device clustering
US20160119253A1 (en) Method and system of performing service function chaining
CN103609070B (zh) 网络流量检测方法、系统、设备及控制器
JP2007129707A (ja) 自動化ネットワークのブロッキングの方法およびシステム
US8892733B2 (en) Network adapter based zoning enforcement
US20130298220A1 (en) System and method for managing filtering information of attack traffic
Cuppens et al. Handling stateful firewall anomalies
CN107959715A (zh) 基于无线通讯的远程终端信息识别软件系统及识别方法
CN104158767A (zh) 一种网络准入装置及方法
CN113300801B (zh) 基于安全gPTP的时间同步方法及系统
KR20010079361A (ko) 네트워크 상태 기반의 방화벽 장치 및 그 방법
EP3767913B1 (en) Systems and methods for correlating events to detect an information security incident
JP4398316B2 (ja) ネットワーク管理装置、ネットワーク管理方法、およびプログラム
Katic et al. Optimization of firewall rules
US20210185534A1 (en) Method for securing accesses to a network, system and associated device
WO2019123523A1 (ja) 通信装置、通信システム、通信制御方法、プログラム
KR101074198B1 (ko) 유해 트래픽 발생 호스트 격리 방법 및 시스템
CN103986600A (zh) 一种基于多协议企业级网络自动发现和过滤方法、系统
CN106060068A (zh) 一种信息过滤方法和装置
CN104135492A (zh) 一种基于信息交换总线内外网信息交换的方法
CN105376167A (zh) 分布式分组流检查和处理
US20190173843A1 (en) Network security system and method thereof

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20151223