CN107770193A - 一种规则匹配方法、装置、防火墙设备及存储介质 - Google Patents

一种规则匹配方法、装置、防火墙设备及存储介质 Download PDF

Info

Publication number
CN107770193A
CN107770193A CN201711143331.0A CN201711143331A CN107770193A CN 107770193 A CN107770193 A CN 107770193A CN 201711143331 A CN201711143331 A CN 201711143331A CN 107770193 A CN107770193 A CN 107770193A
Authority
CN
China
Prior art keywords
domain name
address
message
occurrence
dns server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201711143331.0A
Other languages
English (en)
Inventor
赵文鹏
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
New H3C Security Technologies Co Ltd
New H3C Information Technologies Co Ltd
Original Assignee
New H3C Security Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by New H3C Security Technologies Co Ltd filed Critical New H3C Security Technologies Co Ltd
Priority to CN201711143331.0A priority Critical patent/CN107770193A/zh
Publication of CN107770193A publication Critical patent/CN107770193A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明实施例提供了一种规则匹配方法、装置、防火墙设备及存储介质,其中,规则匹配方法包括:获取安全策略规则,该安全策略规则的过滤条件中的匹配项包括域名;向DNS服务器发送多个针对域名的域名解析请求;接收DNS服务器针对每个域名解析请求反馈的响应报文,该响应报文携带与域名对应的IP地址;当接收到报文时,若报文的目的IP地址与域名对应的IP地址中的任一IP地址相同,确定报文与匹配项匹配。通过本方案可以降低处理报文时发生错误的概率。

Description

一种规则匹配方法、装置、防火墙设备及存储介质
技术领域
本发明涉及安全防御技术领域,特别是涉及一种规则匹配方法、装置、防火墙设备及存储介质。
背景技术
防火墙设备指的是一个由软件和硬件组合而成、在内部网和外部网之间、专用网与公共网之间构造的保护屏障,使网络之间建立起一个安全网关,从而保护内部网免受非法用户的入侵。防火墙设备上可以配置安全策略规则,每个安全策略规则可以包括过滤条件及处理报文的动作,其中,过滤条件可以包括:源安全域、目的安全域、源地址、目的地址、用户、应用、服务等,每种过滤条件可以配置多个匹配项,比如源安全域过滤条件中可以指定多个源安全域等,如图1所示。
防火墙设备利用安全策略规则进行防护的过程包括:在接收到报文后,将报文与安全策略规则包括的过滤条件中的匹配项进行匹配;如果报文与该安全策略规则的每一个过滤条件中的任一匹配项匹配,则确定该报文与该安全策略规则匹配成功,对该报文执行该安全策略规则中配置的处理动作;如果没有安全策略规则与报文匹配成功,则会丢弃该报文。
通常,一条安全策略规则中会配置目的IP(Internet Protocal,互联网协议)地址过滤条件。如果安全策略规则是控制用户访问某些网站,为了便于配置,可以将目的IP地址过滤条件的匹配项配置为域名。基于此,当目的IP地址过滤条件的匹配项包括域名时,若防火墙接收到的报文的目的IP地址与匹配项中各IP地址均不相同,则防火墙设备需要向DNS(Domain Name System,域名系统)服务器请求域名对应的IP地址,以判断接收到的报文的目的IP地址是否与域名相对应。DNS服务器会反馈一个IP地址,如果防火墙设备获取到的IP地址与报文的目的IP地址不相同,防火墙设备会认为匹配不成功,则丢弃该报文。但是,由于同一域名可能存在多个对应的IP地址,目的IP地址可能是这些IP地址中的某一个,而DNS服务器并没有将该IP地址反馈给防火墙设备,这样,就会导致报文处理发生错误。
发明内容
本发明实施例的目的在于提供一种规则匹配方法、装置、防火墙设备及存储介质,以降低处理报文时发生错误的概率。具体技术方案如下:
第一方面,本发明实施例提供了一种规则匹配方法,应用于防火墙设备,所述方法包括:
获取安全策略规则,所述安全策略规则的过滤条件中的匹配项包括域名;
向DNS服务器发送多个针对所述域名的域名解析请求;
接收所述DNS服务器针对每个所述域名解析请求反馈的响应报文,所述响应报文携带与所述域名对应的IP地址;
当接收到报文时,若所述报文的目的IP地址与所述域名对应的IP地址中的任一IP地址相同,确定所述报文与所述匹配项匹配。
第二方面,本发明实施例提供了一种报规则匹配装置,应用于防火墙设备,所述装置包括:
获取模块,用于获取安全策略规则,所述安全策略规则的过滤条件中的匹配项包括域名;
发送模块,用于向DNS服务器发送多个针对所述域名的域名解析请求;
接收模块,用于接收所述DNS服务器针对每个所述域名解析请求反馈的响应报文,所述响应报文携带与所述域名对应的IP地址;
确定模块,用于当接收到报文时,若所述报文的目的IP地址与所述域名对应的IP地址中的任一IP地址相同,确定所述报文与所述匹配项匹配。
第三方面,本发明实施例提供了一种防火墙设备,包括处理器和存储介质,所述存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现如第一方面所述的方法步骤。
第四方面,本发明实施例提供了一种存储介质,所述存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现如第一方面所述的方法步骤。
本发明实施例提供的一种规则匹配方法、装置、防火墙设备及存储介质,防火墙设备在获取到过滤条件中的匹配项包括域名的安全策略规则时,向DNS服务器发送多个针对匹配项包含的域名的域名解析请求,可以接收到DNS服务器针对每个域名解析请求反馈的携带有域名对应IP地址的响应报文,当接收到报文时,若报文的目的IP地址与域名对应的IP地址中的任一IP地址相同,则确定该报文与匹配项匹配。由于防火墙设备通过向DNS服务器发送多个针对匹配项包含的域名的域名解析请求,接收到多个响应报文,且每个响应报文中携带了该域名对应的IP地址,这样防火墙设备可以尽可能获得该域名对应的多个不同的IP地址。如果客户端所发送的报文的目的IP地址为得到的该域名对应的任一IP地址,则可确定报文与匹配项匹配,增加了在防火墙设备中找到对应匹配项的概率,从而降低处理报文的发生错误的概率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为现有技术的防火墙设备中安全策略对报文的处理过程示意图;
图2为现有技术的网络结构示意图;
图3为本发明一实施例的规则匹配方法的流程示意图;
图4为本发明另一实施例的规则匹配方法的流程示意图;
图5为本发明一实施例的规则匹配装置的结构示意图;
图6为本发明另一实施例的规则匹配装置的结构示意图;
图7为本发明再一实施例的规则匹配装置的结构示意图;
图8为本发明实施例的防火墙设备的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为了提高报文访问的成功率,本发明实施例提供了一种规则匹配方法、装置、防火墙设备及存储介质。
下面首先对本发明实施例所提供的一种规则匹配方法进行介绍。
本发明实施例所提供的一种规则匹配方法的执行主体可以为一种防火墙设备。实现本发明实施例所提供的一种规则匹配方法的方式可以为设置于执行主体中的软件、硬件电路和逻辑电路中的至少一种。
如图3所示,本发明实施例所提供的一种规则匹配方法,该规则匹配方法可以包括如下步骤:
S301,获取安全策略规则,该安全策略规则的过滤条件中的匹配项包括域名。
域名为因特网上某一台计算机或计算机组的名称,一个域名可以对应一个IP地址或者多个IP地址。安全策略规则可以是在防火墙设备上预先部署的,安全策略规则中还可以包括针对符合过滤条件的报文的处理动作。
S302,向DNS服务器发送多个针对该匹配项包括的域名的域名解析请求。
其中,域名解析请求中携带了该域名的相关信息,例如,域名的完整信息www.abc.com,或者给域名分配的唯一标识。
对于一些大型的网站,大多存在多个服务器进行负载分担,那么在DNS服务器上会存储一个域名对应的多个IP地址,防火墙设备每次向DNS服务器发送域名解析请求可能得到不同的IP地址,例如,域名www.abc.com存在对应的多个IP地址,如,IP1、IP2和IP3,DNS服务器每接收到一个域名解析请求都会反馈一个响应报文,该响应报文中携带域名对应的一个IP地址,DNS每次反馈的响应报文中携带的IP地址可能相同,也可能不同。或者,DNS服务器在接收到域名解析请求后可能返回多个IP地址,但是,往往无法返回所有的IP地址,因此,为了尽可能的获取到域名对应的所有IP地址,防火墙设备向DNS服务器发送多个针对域名的域名解析请求,从而可以尽可能多的接收到域名对应的不同的IP地址。
由于不同链路接口所能接收到的IP地址不同,为了更为完整的获取到域名对应的所有IP地址,可以通过多个链路接口,分别向DNS服务器发送针对域名的域名解析请求。同样,为了保证获取到域名对应的所有IP地址,通过每一个链路接口向DNS服务器发送多个域名解析请求。
S303,接收DNS服务器针对每个域名解析请求反馈的响应报文。
DNS服务器所反馈的响应报文中携带有与域名对应的IP地址。DNS服务器每接收到一个域名解析请求,就会反馈一个响应报文,该响应报文中携带域名对应的IP地址,每一个响应报文中携带的IP地址可以是一个,也可以是多个。
S304,当接收到报文时,若报文的目的IP地址与域名对应的IP地址中的任一IP地址相同,则确定该报文与匹配项匹配。
基于上述步骤,可以得到域名对应的多个IP地址,如果接收到客户端发送的报文,报文的目的地址为上述多个IP地址中的任一个,则说明该报文与安全策略规则的过滤条件中匹配项为域名的匹配项匹配;如果在上述多个IP地址中查找不到接收到客户端发送的报文的目的地址,则说明该报文与安全策略规则的过滤条件中匹配项为域名的匹配项不匹配。如果报文与安全策略规则的每一个过滤条件中所有匹配项均匹配,则确定该报文与该安全策略规则匹配成功,可以根据安全策略规则中配置的处理动作,对报文进行处理,例如,安全策略规则中设置的过滤条件包括源安全域、目的安全域、源IP地址和目的IP地址,目的IP地址对应匹配项包括域名www.abc.com,且安全策略规则中设置了对匹配成功的报文执行放行操作,另一安全策略规则中设置的过滤条件包括源安全域、目的安全域、源IP地址和目的IP地址,目的IP地址对应匹配项包括域名www.123.com,且安全策略规则中设置了对匹配成功的报文执行丢弃操作。如果防火墙设备通过上述步骤确定域名www.abc.com与192.168.1.25、192.168.1.27和192.168.1.31相对应,域名www.123.com与61.135.1.123、61.135.1.125和61.135.1.127相对应,如果客户端发送报文的目的地址为192.168.1.31,在报文到达防火墙设备后,防火墙设备从域名为www.abc.com对应的多个IP地址中查找到192.168.1.31,且该报文的源安全域、目的安全域和源IP地址均在源安全域、目的安全域和源IP地址分别对应的匹配项中可以查找到,则对该报文执行放行操作;如果客户端发送报文的目的地址为61.135.1.123,在报文到达防火墙设备后,防火墙设备从域名www.123.com对应的多个IP地址中查找到61.135.1.123,且该报文的源安全域、目的安全域和源IP地址均在源安全域、目的安全域和源IP地址对应的匹配项中可以查找到,则对该报文执行丢弃操作。
应用本实施例,防火墙设备在获取到过滤条件中的匹配项包括域名的安全策略规则时,向DNS服务器发送多个针对匹配项包含的域名的域名解析请求,可以接收到DNS服务器针对每个域名解析请求反馈的携带有域名对应IP地址的响应报文,当接收到报文时,若报文的目的IP地址与域名对应的IP地址中的任一IP地址相同,则确定该报文与匹配项匹配。由于防火墙设备通过向DNS服务器发送多个针对匹配项包含的域名的域名解析请求,接收到多个响应报文,且每个响应报文中携带了该域名对应的IP地址,这样防火墙设备可以尽可能获得该域名的多个不同的IP地址。如果客户端所发送的报文的目的IP地址为得到的该域名对应的任一IP地址,则可确定报文与匹配项匹配,增加了在防火墙设备中找到对应匹配项的概率,从而降低处理报文的发生错误的概率。
基于图3所示实施例,如图4所示,本发明实施例还提供了一种报文访问控制方法,该报文访问控制方法包括如下步骤:
S401,获取安全策略规则,该安全策略规则的过滤条件中的匹配项包括域名。
S402,向DNS服务器发送多个针对该匹配项包括的域名的域名解析请求。
S403,接收DNS服务器针对每个域名解析请求反馈的响应报文,该响应报文携带与域名对应的IP地址。
S404,缓存与域名对应的IP地址。
由于域名与IP地址的对应关系有可能会发生变化,即DNS服务器中的安全策略规则可以任意配置,为了保证对报文的正确访问控制,需要缓存与域名对应的IP地址。
S405,当接收到报文时,提取报文的目的IP地址。
S406,判断已缓存的与域名对应的IP地址中是否存在与目的IP地址相同的IP地址。
S407,若存在,则确定报文与匹配项匹配。
在缓存与域名对应的IP地址时,还可以从开始缓存IP地址起统计缓存时间,用户或者技术人员可以根据实际网络情况,在防火墙设备上预先配置一个更新时间。如果统计的缓存时间达到了预先配置的更新时间,则可以重新向DNS服务器发送多个针对域名的域名解析请求,根据反馈的响应报文更新缓存的IP地址;如果没有达到更新时间,则可以按照图3所示实施例对报文进行规则匹配。
应用本实施例,防火墙设备在获取到过滤条件中的匹配项包括域名的安全策略规则时,向DNS服务器发送多个针对匹配项包含的域名的域名解析请求,可以接收到DNS服务器针对每个域名解析请求反馈的携带有域名对应IP地址的响应报文,当接收到报文时,若报文的目的IP地址与域名对应的IP地址中的任一IP地址相同,则确定该报文与匹配项匹配。由于防火墙设备通过向DNS服务器发送多个针对匹配项包含的域名的域名解析请求,接收到多个响应报文,且每个响应报文中携带了该域名对应的IP地址,且该报文的源安全域、目的安全域和源IP地址均在匹配项中可以查找到,如果客户端所发送的报文的目的IP地址为得到的该域名对应的任一IP地址,则可确定报文与匹配项匹配,增加了在防火墙设备中找到对应匹配项的概率,从而降低处理报文的发生错误的概率。并且,为了应对域名与IP地址的对应关系有可能会发生变化的情况,缓存与域名对应的IP地址,并记录缓存时间,在缓存时间达到预先配置的更新时间后,更新缓存的IP地址,进一步保证报文访问的成功率。
基于上述方法实施例,如图5所示,本发明实施例还提供了一种规则匹配装置,该规则匹配装置可以包括:
获取模块510,用于获取安全策略规则,所述安全策略规则的过滤条件中的匹配项包括域名;
发送模块520,用于向DNS服务器发送多个针对所述域名的域名解析请求;
接收模块530,用于接收所述DNS服务器针对每个所述域名解析请求反馈的响应报文,所述响应报文携带与所述域名对应的IP地址;
确定模块540,用于当接收到报文时,若所述报文的目的IP地址与所述域名对应的IP地址中的任一IP地址相同,确定所述报文与所述匹配项匹配。
可选的,所述发送模块520,具体可以用于:
通过多个链路接口,分别向DNS服务器发送针对所述域名的域名解析请求。
基于图5所示实施例,如图6所示,本发明实施例还提供了一种规则匹配装置,该规则匹配装置可以包括:
获取模块610,用于获取安全策略规则,所述安全策略规则的过滤条件中的匹配项包括域名;
发送模块620,用于向DNS服务器发送多个针对所述域名的域名解析请求;
接收模块630,用于接收所述DNS服务器针对每个所述域名解析请求反馈的响应报文,所述响应报文携带与所述域名对应的IP地址;
缓存模块640,用于缓存与所述域名对应的IP地址;
确定模块650,用于当接收到报文时,提取所述报文的目的IP地址;判断已缓存的与所述域名对应的IP地址中是否存在与所述目的IP地址相同的IP地址;若存在,则确定所述报文与所述匹配项匹配。
基于图6所示实施例,如图7所示,本发明实施例还提供了一种规则匹配装置,该规则匹配装置可以包括:
获取模块710,用于获取安全策略规则,所述安全策略规则的过滤条件中的匹配项包括域名;获取预先配置的更新时间;
发送模块720,用于向DNS服务器发送多个针对所述域名的域名解析请求;
接收模块730,用于接收所述DNS服务器针对每个所述域名解析请求反馈的响应报文,所述响应报文携带与所述域名对应的IP地址;
缓存模块740,用于缓存与所述域名对应的IP地址;
统计模块750,用于从缓存与所述域名对应的IP地址时起,统计缓存时间;
所述发送模块720,还用于在所述缓存时间达到所述更新时间后,重新执行所述向DNS服务器发送多个针对所述域名的域名解析请求;
确定模块760,用于当接收到报文时,提取所述报文的目的IP地址;判断已缓存的与所述域名对应的IP地址中是否存在与所述目的IP地址相同的IP地址;若存在,则确定所述报文与所述匹配项匹配。
应用本实施例,防火墙设备在获取到过滤条件中的匹配项包括域名的安全策略规则时,向DNS服务器发送多个针对匹配项包含的域名的域名解析请求,可以接收到DNS服务器针对每个域名解析请求反馈的携带有域名对应IP地址的响应报文,当接收到报文时,若报文的目的IP地址与域名对应的IP地址中的任一IP地址相同,则确定该报文与匹配项匹配。由于防火墙设备通过向DNS服务器发送多个针对匹配项包含的域名的域名解析请求,接收到多个响应报文,且每个响应报文中携带了该域名对应的IP地址,这样防火墙设备可以尽可能获得该域名对应的多个不同的IP地址。如果客户端所发送的报文的目的IP地址为得到的该域名对应的任一IP地址,则可确定报文与匹配项匹配,增加了在防火墙设备中找到对应匹配项的概率,从而降低处理报文的发生错误的概率。并且,为了应对域名与IP地址的对应关系有可能会发生变化的情况,缓存与域名对应的IP地址,并记录缓存时间,在缓存时间达到预先配置的更新时间后,更新缓存的IP地址,进一步保证报文访问的成功率。
本发明实施例还提供了一种防火墙设备,如图8所示,防火墙设备800,包括处理器801和存储介质802,所述存储介质802存储有能够被所述处理器801执行的机器可执行指令,所述处理器801被所述机器可执行指令促使实现本发明实施例提供的规则匹配方法。
上述存储介质可以包括RAM(Random Access Memory,随机存取存储器),也可以包括NVM(Non-volatile Memory,非易失性存储器),例如至少一个磁盘存储器。可选的,存储介质还可以是至少一个位于远离前述处理器的存储装置。
上述处理器可以是通用处理器,包括CPU(Central Processing Unit,中央处理器)、NP(Network Processor,网络处理器)等;还可以是DSP(Digital Signal Processor,数字信号处理器)、ASIC(Application Specific Integrated Circuit,专用集成电路)、FPGA(Field-Programmable Gate Array,现场可编程门阵列)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
本实施例中,该防火墙设备的处理器通过读取存储介质中存储的计算机程序,并通过运行该计算机程序,能够实现:由于防火墙设备通过向DNS服务器发送多个针对匹配项包含的域名的域名解析请求,接收到多个响应报文,且每个响应报文中携带了该域名对应的IP地址,这样防火墙设备可以尽可能获得该域名对应的多个不同的IP地址。如果客户端所发送的报文的目的IP地址为得到的该域名对应的任一IP地址,则可确定报文与匹配项匹配,增加了在防火墙设备中找到对应匹配项的概率,从而降低处理报文的发生错误的概率。
另外,相应于上述实施例所提供的规则匹配方法,本发明实施例提供了一种存储介质,用于存储计算机程序,所述计算机程序被处理器执行时,实现本发明实施例提供的规则匹配方法。
本实施例中,存储介质存储有在运行时执行本发明实施例所提供的规则匹配方法的应用程序,因此能够实现:由于防火墙设备通过向DNS服务器发送多个针对匹配项包含的域名的域名解析请求,接收到多个响应报文,且每个响应报文中携带了该域名对应的IP地址,这样防火墙设备可以尽可能获得该域名对应的多个不同的IP地址。如果客户端所发送的报文的目的IP地址为得到的该域名对应的任一IP地址,则可确定报文与匹配项匹配,增加了在防火墙设备中找到对应匹配项的概率,从而降低处理报文的发生错误的概率。
对于防火墙设备以及存储介质实施例而言,由于其所涉及的方法内容基本相似于前述的方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。

Claims (10)

1.一种规则匹配方法,其特征在于,应用于防火墙设备,所述方法包括:
获取安全策略规则,所述安全策略规则的过滤条件中的匹配项包括域名;
向DNS服务器发送多个针对所述域名的域名解析请求;
接收所述DNS服务器针对每个所述域名解析请求反馈的响应报文,所述响应报文携带与所述域名对应的IP地址;
当接收到报文时,若所述报文的目的IP地址与所述域名对应的IP地址中的任一IP地址相同,确定所述报文与所述匹配项匹配。
2.根据权利要求1所述的方法,其特征在于,所述向DNS服务器发送多个针对所述域名的域名解析请求,包括:
通过多个链路接口,分别向DNS服务器发送针对所述域名的域名解析请求。
3.根据权利要求1所述的方法,其特征在于,在所述接收所述DNS服务器针对每个所述域名解析请求反馈的响应报文之后,所述方法还包括:
缓存与所述域名对应的IP地址;
所述当接收到报文时,若所述报文的目的IP地址与所述域名对应的IP地址中的任一IP地址相同,确定所述报文与所述匹配项匹配,包括:
当接收到报文时,提取所述报文的目的IP地址;
判断已缓存的与所述域名对应的IP地址中是否存在与所述目的IP地址相同的IP地址;
若存在,则确定所述报文与所述匹配项匹配。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
从缓存与所述域名对应的IP地址时起,统计缓存时间;
获取预先配置的更新时间;
在所述缓存时间达到所述更新时间后,重新执行所述向DNS服务器发送多个针对所述域名的域名解析请求。
5.一种规则匹配装置,其特征在于,应用于防火墙设备,所述装置包括:
获取模块,用于获取安全策略规则,所述安全策略规则的过滤条件中的匹配项包括域名;
发送模块,用于向DNS服务器发送多个针对所述域名的域名解析请求;
接收模块,用于接收所述DNS服务器针对每个所述域名解析请求反馈的响应报文,所述响应报文携带与所述域名对应的IP地址;
确定模块,用于当接收到报文时,若所述报文的目的IP地址与所述域名对应的IP地址中的任一IP地址相同,确定所述报文与所述匹配项匹配。
6.根据权利要求5所述的装置,其特征在于,所述发送模块,具体用于:
通过多个链路接口,分别向DNS服务器发送针对所述域名的域名解析请求。
7.根据权利要求5所述的装置,其特征在于,所述装置还包括:
缓存模块,用于缓存与所述域名对应的IP地址;
所述确定模块,具体用于:
当接收到报文时,提取所述报文的目的IP地址;
判断已缓存的与所述域名对应的IP地址中是否存在与所述目的IP地址相同的IP地址;
若存在,则确定所述报文与所述匹配项匹配。
8.根据权利要求7所述的装置,其特征在于,所述装置还包括:
统计模块,用于从缓存与所述域名对应的IP地址时起,统计缓存时间;
所述获取模块,还用于获取预先配置的更新时间;
所述发送模块,还用于在所述缓存时间达到所述更新时间后,重新执行所述向DNS服务器发送多个针对所述域名的域名解析请求。
9.一种防火墙设备,其特征在于,包括处理器和存储介质,所述存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现权利要求1-4任一所述的方法步骤。
10.一种存储介质,其特征在于,所述存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1-4任一所述的方法步骤。
CN201711143331.0A 2017-11-17 2017-11-17 一种规则匹配方法、装置、防火墙设备及存储介质 Pending CN107770193A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201711143331.0A CN107770193A (zh) 2017-11-17 2017-11-17 一种规则匹配方法、装置、防火墙设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201711143331.0A CN107770193A (zh) 2017-11-17 2017-11-17 一种规则匹配方法、装置、防火墙设备及存储介质

Publications (1)

Publication Number Publication Date
CN107770193A true CN107770193A (zh) 2018-03-06

Family

ID=61279716

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201711143331.0A Pending CN107770193A (zh) 2017-11-17 2017-11-17 一种规则匹配方法、装置、防火墙设备及存储介质

Country Status (1)

Country Link
CN (1) CN107770193A (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110572415A (zh) * 2019-10-14 2019-12-13 迈普通信技术股份有限公司 一种安全防护的方法、设备及系统
CN110768983A (zh) * 2019-10-24 2020-02-07 新华三信息安全技术有限公司 一种报文处理方法和装置
CN112165447A (zh) * 2020-08-21 2021-01-01 杭州安恒信息技术股份有限公司 基于waf设备的网络安全监测方法、系统和电子装置
CN112491721A (zh) * 2020-11-13 2021-03-12 游密科技(深圳)有限公司 数据路由方法、装置、电子设备及存储介质
CN113810510A (zh) * 2021-07-30 2021-12-17 绿盟科技集团股份有限公司 一种域名访问方法、装置及电子设备

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101827136A (zh) * 2010-03-30 2010-09-08 联想网御科技(北京)有限公司 域名系统服务器缓存感染的防御方法和网络出口设备
CN104754066A (zh) * 2013-12-26 2015-07-01 华为技术有限公司 一种报文处理方法和报文处理设备
US20150195245A1 (en) * 2009-11-18 2015-07-09 Cisco Technology, Inc. System and method for inspecting domain name system flows in a network environment
CN104969515A (zh) * 2012-11-05 2015-10-07 柏思科技有限公司 处理dns请求的方法和网关

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150195245A1 (en) * 2009-11-18 2015-07-09 Cisco Technology, Inc. System and method for inspecting domain name system flows in a network environment
CN101827136A (zh) * 2010-03-30 2010-09-08 联想网御科技(北京)有限公司 域名系统服务器缓存感染的防御方法和网络出口设备
CN104969515A (zh) * 2012-11-05 2015-10-07 柏思科技有限公司 处理dns请求的方法和网关
CN104754066A (zh) * 2013-12-26 2015-07-01 华为技术有限公司 一种报文处理方法和报文处理设备

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
LGH: "《详解负载均衡实现一个域名对应多个IP地址》", 《HTTPS://M.JB51.NET/ARTICLE/113438.HTM》 *

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110572415A (zh) * 2019-10-14 2019-12-13 迈普通信技术股份有限公司 一种安全防护的方法、设备及系统
CN110768983A (zh) * 2019-10-24 2020-02-07 新华三信息安全技术有限公司 一种报文处理方法和装置
CN110768983B (zh) * 2019-10-24 2022-04-22 新华三信息安全技术有限公司 一种报文处理方法和装置
CN112165447A (zh) * 2020-08-21 2021-01-01 杭州安恒信息技术股份有限公司 基于waf设备的网络安全监测方法、系统和电子装置
CN112165447B (zh) * 2020-08-21 2023-12-19 杭州安恒信息技术股份有限公司 基于waf设备的网络安全监测方法、系统和电子装置
CN112491721A (zh) * 2020-11-13 2021-03-12 游密科技(深圳)有限公司 数据路由方法、装置、电子设备及存储介质
CN113810510A (zh) * 2021-07-30 2021-12-17 绿盟科技集团股份有限公司 一种域名访问方法、装置及电子设备

Similar Documents

Publication Publication Date Title
CN107770193A (zh) 一种规则匹配方法、装置、防火墙设备及存储介质
CA2738295C (en) A method for allowing and blocking a user pc which can use internet at the same time in a private network thereof a method for analyzing and detecting a judgement about whether nat(network address translation) can be used or not using a traffic data, and the number of terminals sharing nat
JP5499183B2 (ja) Dnsキャッシュポイズニングを防止するための方法およびシステム
CN111953673B (zh) 一种dns隐蔽隧道检测方法及系统
CN108259425A (zh) 攻击请求的确定方法、装置及服务器
US20080184357A1 (en) Firewall based on domain names
CN103095676A (zh) 过滤系统以及过滤方法
CN104980478B (zh) 内容分发网络中缓存共享方法、设备及系统
CN108881211A (zh) 一种违规外联检测方法及装置
CN107707683B (zh) 一种减小dns报文长度的方法和装置
US10225105B2 (en) Network address translation
CN106412063A (zh) 教育网内cdn节点检测与资源调度系统及方法
CN105939337A (zh) Dns缓存投毒的防护方法及装置
CN101611608A (zh) 用于限制ip(因特网协议)网络的广播域中一个节点与其他节点进行通信的方法和系统
CN103685584B (zh) 一种基于隧道技术的反域名劫持方法和系统
CN105939399A (zh) 一种域名解析方法和装置
CN107689965A (zh) 网络设备的防护方法、装置及系统
CN109660552A (zh) 一种将地址跳变和WAF技术相结合的Web防御方法
US10536425B2 (en) Cross-domain HTTP requests using DNS rebinding
CN110062064A (zh) 一种地址解析协议arp请求报文响应方法及装置
CN108418806A (zh) 一种报文的处理方法及装置
CN106470251A (zh) 域名解析方法及虚拟dns权威服务器
CN107959576A (zh) 流量计费方法和系统以及缓存装置
CN112311722B (zh) 一种访问控制方法、装置、设备及计算机可读存储介质
US20190005100A1 (en) Centralized state database storing state information

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20180306

RJ01 Rejection of invention patent application after publication