CN111756686A

CN111756686A - 防火墙设备正则匹配方法、装置及计算机可读存储介质

Info

Publication number: CN111756686A
Application number: CN202010417260.4A
Authority: CN
Inventors: 李登云
Original assignee: Wuhan Sipuling Technology Co Ltd
Current assignee: Wuhan Sipuling Technology Co Ltd
Priority date: 2020-05-18
Filing date: 2020-05-18
Publication date: 2020-10-09
Anticipated expiration: 2040-05-18
Also published as: CN111756686B

Abstract

本发明公开一种防火墙设备正则匹配方法、装置及计算机可读存储介质，属于防火墙设备审计及安全防护技术领域，解决了现有技术中的协议段使用正则时的协议配置较多、正则匹配的延展性差问题。一种防火墙设备正则匹配方法，包括以下步骤：确定包含协议位置修饰符的正则表达式，将所述正则表达式配置至防火墙引擎；确定正则表达式的协议段，对正则表达式的协议段匹配标志位进行置位；防火墙收到网络报文后，提取网络报文中对应的协议段，将网络报文对应的协议段与所述正则表达式的协议段进行匹配，获取匹配结果，根据匹配结果确定是否进行相应的动作处理和日志发送。本发明所述方法，减少协议段使用正则时的协议配置，提高了正则匹配的延展性。

Description

防火墙设备正则匹配方法、装置及计算机可读存储介质

技术领域

本发明涉及防火墙设备审计及安全防护技术领域，尤其是涉及一种防火墙设备正则匹配方法、装置及计算机可读存储介质。

背景技术

目前各厂商防火墙设备中常见的审计功能及安全防护功能软件实现，最底层的匹配基本都会用到正则匹配，这是因为正则匹配相对于字符串匹配来说，正则可以更快速的完成工作，还有在捕获字符串方面，比如截取url的域名或者其他的内容等等，正则也可以很好的完成工作。

但是目前各厂商使用正则基本都是固定字段使用，即只有在策略或者规则下配置某个协议字段使用正则匹配，加载完规则后，在引擎匹配过程中才能进行正则匹配，这种使用方式有缺点，想要哪个协议段使用正则需要增加对应协议的配置，如果字段特别多的话，配置也会特别多。

由于现有方案多是按协议字段增加策略或者规则配置，来确定是否进行正则匹配及如何进行匹配，这些方案会使得配置会特别多，设备重启配置恢复时间会长，灵活性差，假如想使用正则匹配HTTP协议POST方法请求报文体和对应响应报文体中是否都有”abc”字段，需要增加两条配置，如果需要查看某一个字符串在更多的字段中是否存在的话，需要增加更多的配置，用户使用不太方便，正则匹配的扩展性差，照目前的实现方案，假如开发初期只考虑到HTTP协议的规则匹配，前端和防火墙后台也都只进行了HTTP协议相关的匹配流程开发，后续需要开发DNS协议的，需要重新投入人力开发和测试前端和后台。

发明内容

本发明的目的在于至少克服上述一种技术不足，提出一种防火墙设备正则匹配方法、装置及计算机可读存储介质。

一方面，本发明提供了一种防火墙设备正则匹配方法，包括以下步骤：

根据防火墙实际需求确定包含协议位置修饰符的正则表达式，将所述正则表达式配置至防火墙引擎；

解析配置在防火墙引擎中正则表达式的协议位置修饰符确定正则表达式的协议段，对所述正则表达式的协议段匹配标志位进行置位；

防火墙收到网络报文后，提取网络报文中对应的协议段，将所述网络报文对应的协议段与所述正则表达式的协议段进行匹配，获取匹配结果，根据匹配结果确定是否进行相应的动作处理和日志发送。

进一步地，所述根据防火墙实际需求确定包含协议位置修饰符的正则表达式，具体包括，根据防火墙实际需求确定模式串表达式、模式匹配修饰符及协议段，以所述模式串表达式、模式匹配修饰符及协议位置修饰符形成正则表达式。

进一步地，所述防火墙设备正则匹配方法还包括，在解析正则表达式中协议位置修饰符前，根据正则表达式中模式匹配修饰符编译模式串表达式。

进一步地，所述提取网络报文中对应的协议段，具体包括，对所述网络报文进行协议解码，提取网络报文中对应的协议段。

进一步地，所述将所述网络报文对应的协议段与所述正则表达式的协议段进行匹配，具体包括，对网络报文进行引擎匹配，判断引擎规则中是否存在对应协议的PCRE配置，若存在，则将所述网络报文对应的协议段与所述正则表达式的协议段进行匹配。

进一步地，所述根据匹配结果确定是否进行相应的动作处理和日志发送，具体包括，

若匹配结果为匹配中，且防火墙规则配置动作为未阻断，防火墙规则配置日志动作为记录，则丢弃网络报文，发送日志；

若匹配结果为匹配中，且防火墙规则配置动作为允许，防火墙规则配置日志动作为记录，则放行报文，发送日志；

若匹配结果为匹配不中，不进行相应的动作处理和日志发送。

另一方面，本发明还提供了一种防火墙设备正则匹配装置，包括处理器以及存储器，所述存储器上存储有计算机程序，所述计算机程序被所述处理器执行时，实现如上述任一技术方案所述的防火墙设备正则匹配方法。

另一发明，本发明还提供了一种计算机可读存储介质，所述计算机该程序被处理器执行时，实现如上述任一技术方案所述的防火墙设备正则匹配方法。

与现有技术相比，本发明的有益效果包括：根据防火墙实际需求确定包含协议位置修饰符的正则表达式，将所述正则表达式配置至防火墙引擎；解析配置在防火墙引擎中正则表达式的协议位置修饰符确定正则表达式的协议段，对所述正则表达式的协议段匹配标志位进行置位；防火墙收到网络报文后，提取网络报文中对应的协议段，将所述网络报文对应的协议段与所述正则表达式的协议段进行匹配，获取匹配结果，根据匹配结果确定是否进行相应的动作处理和日志发送；减少协议段使用正则时的协议配置，提高了正则匹配的延展性。

附图说明

图1是本发明实施例1所述的防火墙设备正则匹配方法的流程示意图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

实施例1

本发明实施例提供了一种防火墙设备正则匹配方法，其流程示意图，如图1所示，所述防火墙设备正则匹配方法，包括以下步骤：

需要说明是，本发明实施例所述正则表达式的格式为，/模式串表达式/模式匹配修饰符#协议位置修饰符#协议位置修饰符；

本发明实施例设有协议位置修饰符，所述协议位置修饰符和模式匹配修饰符使用”#”隔开，不同协议的协议位置修饰符使用#隔开；协议位置修饰符可以指明，是将对应的模式串表达式及模式匹配修饰符去匹配哪个协议的哪个字段，可以有多个协议位置修饰符；

在防火墙诸多功能中，如IPS、WEB防护或者审计等需要检查报文中是否有特定关键字功能的配置中，使用协议位置修饰符，就可以在单条正则配置中指明要匹配哪个协议的哪个字段或者匹配多个协议的多个字段；

一个具体实施例中，以HTTP和TCP协议举例，协议位置修饰符名称与作用对应关系，如表1所示；

表1

HU	匹配解码过的HTTP Url
		HI	匹配未解码的HTTP Url
HP	匹配未解码的HTTP请求体
		HPC	匹配解码过的HTTP请求体
HR	匹配未解码的HTTP响应体
		HRC	匹配解码过的HTTP响应体
HH	匹配解码的HTTP请求头或响应头
		HD	匹配未解码的HTTP请求头或响应头
HM	匹配HTTP方法
		HC	匹配解码的HTTP Cookie
HK	匹配未解码的HTTP Cookie
		HS	匹配HTTP响应状态码
HY	匹配HTTP响应状态信息
		TP	匹配未解码的TCP负载
TPC	匹配解码的TCP负载
		TH	匹配解码的TCP数据包头
TD	匹配未解码的TCP数据包头

一个具体实施例中，正则表达式可为/Android.；.(Build|MIUI)/i#HPC#TPC，该正则表达式的含义是以不区分大小写的方式匹配解码过的HTTP请求体或者解码过的TCP负载部分，查看是否有/Android.；.(Build|MIUI)/正则串对应的字符串；

优选的，所述根据防火墙实际需求确定包含协议位置修饰符的正则表达式，具体包括，根据防火墙实际需求确定模式串表达式、模式匹配修饰符及协议段，以所述模式串表达式、模式匹配修饰符及协议位置修饰符形成正则表达式；

具体实施时，根据防火墙实际使用需求，明确需要使用正则匹配的协议段，针对协议段设置正则表达式，例如，需求为以不区分大小写的方式匹配解码过的HTTP请求体是否有“abc”，则编写的正则为/abc/i#HPC，协议位置修饰符为HPC，代表匹配HTTP请求体；之后，为防火墙引擎配置正则表达式；

优选的，所述防火墙设备正则匹配方法还包括，在解析正则表达式中协议位置修饰符前，根据正则表达式中模式匹配修饰符编译模式串表达式；

一个具体实施例中，根据正则表达式中模式匹配修饰符编译模式串表达式，部分代码如下，

switch(*opts){

case'i':

compile_flags|＝PCRE_CASELESS；

break；

case's':

compile_flags|＝PCRE_DOTALL；

break；

case'm':

compile_flags|＝PCRE_MULTILINE；break；

case'x':

compile_flags|＝PCRE_EXTENDED；

break；

default:

ParseError("unknown/extra pcre option encountered\n")；

goto syntax；

}

pcre_data->re＝pcre_compile(re,compile_flags,&error,&erroffset,NULL)；

if(pcre_data->re＝＝NULL){

ParseError("pcre compile of\"％s\"failed at offset％d:％s\n",re,erroffset,error)；

goto syntax；

}

具体实施时，若配置到防火墙引擎的正则表达式是/abc/i#HPC，则模式匹配修饰符为i，从代码可以看到，i的含义是正则匹配的时候需要忽略大小写，执行行“compile_flags|＝PCRE_CASELESS；”,给正则编译标志compile_flags置位；调用标准的pcre编译函数“pcre_compile”进行正则编译；

一个具体实施例中，配置正则表达式到防火墙设备，解析配置的正则表达式，将模式串表达式及模式匹配修饰符进行编译存储，留待解码阶段匹配使用，然后解析模式匹配修饰符段，查看正则用于匹配哪些协议字段，并进行存储；

若配置到防火墙引擎的正则表达式是/abc/i#HPC，则需要提取位置修饰符中的协议段，该正则表达式的协议段为HPC；

对于已经获取的协议段，将协议段送入switch匹配，置位对应的protocol_options位，置位以后，后续正则匹配开始会先判断是那个协议段需要做正则匹配，然后使用对应端的数据去和正则进行匹配，本实施例中置位的是HPC，即协议段为HTTP请求体；

一个具体实施例中，进行正则解析的部分代码如下，

switch(*protocol){

case'HU':

pcre->protocol_options|＝PROTOCOL_HTTP_URL；

http++；

break；

case'HI':

pcre->protocol_options|＝PROTOCOL_HTTP_RAW_URL；

http++；

break；

case'HP':

pcre->protocol_options|＝PROTOCOL_HTTP_RAW_BODY；

http++；

break；

case'HPC':

pcre->protocol_options|＝PROTOCOL_HTTP_BODY；

http++；

break；

case'HR':

pcre->protocol_options|＝PROTOCOL_HTTP_RSP_RAW_BODY；

http++；

break；

case'HRC':

pcre->protocol_options|＝PROTOCOL_HTTP_RSP_BODY；

http++；

break；

case'HH':

pcre->protocol_options|＝PROTOCOL_HTTP_RAW_HEADER；

http++；

break；

case'HD':

pcre->protocol_options|＝PROTOCOL_HTTP_HEADER；

http++；

break；

}

优选的，所述提取网络报文中对应的协议段，具体包括，对所述网络报文进行协议解码，提取网络报文中对应的协议段；

需要说明的是，防火墙设备将收到网络报文，所述网络报文有很多种，例如TCP报文、UDP报文；TCP报文根据高层协议又可以分为HTTP报文、FTP报文、TELNET报文等等，各协议根据报文发起的方向，又可以分为请求报文和响应报文；

一个具体实施例中，防火墙收到的报文是HTTP请求报文，且该报文有请求体；防火墙收到设备后，对报文进行协议解码，获取报文中的HTTP协议段，有HTTP请求头、HTTP URL、HTTP方法、HTTP请求体等，即提取网络报文对应的协议段；

优选的，所述将所述网络报文对应的协议段与所述正则表达式的协议段进行匹配，具体包括，对网络报文进行引擎匹配，判断引擎规则中是否存在对应协议的PCRE配置，若存在，则将所述网络报文对应的协议段与所述正则表达式的协议段进行匹配；

具体实施时，网络报文进入引擎后，进行协议解码，各协议字段解出来的内容会分别进行存储，进行审计终端识别功能时，查找正则配置及编译阶段保存的模式修饰符配置记录，查看需要进行哪些协议段(协议字段)匹配，例如匹配TCP负载，如果协议字段需要进行匹配，则将协议解码存储的协议段内容同配置阶段已编译好的正则表达式中的协议段进行正则匹配，如果匹配中，则保存结果，未匹配中，则需要查找是否还需要匹配其它字段执行同样的匹配流程；将所述网络报文对应的协议段与所述正则表达式的协议段进行匹配，其部分实现代码如下，

#define PROTOCOL_HTTP_URL 0x00001

#define PROTOCOL_HTTP_HEADER 0x00002

#define PROTOCOL_HTTP_BODY 0x00003

#define PROTOCOL_HTTP_METHOD 0x00004

#define PROTOCOL_HTTP_COOKIE 0x00005

#define PROTOCOL_HTTP_STAT_CODE 0x00006

#define PROTOCOL_HTTP_STAT_MSG 0x00007

#define PROTOCOL_HTTP_RAW_URI 0x00008

#define PROTOCOL_HTTP_RAW_HEADER 0x00009

#define PROTOCOL_HTTP_RAW_COOKIE 0x0000A

#define PROTOCOL_HTTP_RAW_BODY 0x0000B

#define PROTOCOL_HTTP_RSP_RAW_BODY 0x0000C

#define PROTOCOL_HTTP_RSP_BODY 0x0000D

#define PROTOCOL_HTTP_BUFS 0x0000F

if((hb_type＝pcre->protocol_options&PROTOCOL_HTTP_BUFS)){

GetHttpBuffer(hb_type,&hb)；

if(hb.length){

matched＝pcre_search(

pcre,(const char*)hb.buf,hb.length,0,&found_offset)；

if(matched){

return OPTION_MATCH；

}

return OPTION_NO_MATCH；

}

报文经过引擎匹配时，判断引擎规则中是否有对应协议的PCRE配置，本实施例中配置的是HTTP请求体，可以进入流程匹配，使用GetHttpBuffer(hb_type,&hb)获取解析出来的HTTP数据，因为在之前的步骤中对其进行了配置，所以HTTP数据存在，可以进行PCRE的正则匹配，如果报文中有abc或者ABC字符串，正则匹配成功，则返回命中(匹配中)；

优选的，所述根据匹配结果确定是否进行相应的动作处理和日志发送，具体包括，

需要说明的是，匹配结果有匹配中和匹配不中两种情况，若返回匹配中，则证明PCRE在HTTP请求体协议段匹配成功；如果防火墙配置规则动作未阻断，则会丢弃报文，如果配置动作是允许，做继续放行报文进行防火墙功能的其它任务；如果防火墙规则配置日志动作是记录，则发送日志，否则不发送日志；若匹配结果为匹配不中，不进行相应的动作处理和日志发送。

实施例2

本发明还提供了一种防火墙设备正则匹配装置，包括处理器以及存储器，所述存储器上存储有计算机程序，所述计算机程序被所述处理器执行时，实现如上述任一实施例所述的防火墙设备正则匹配方法。

实施例3

本发明还提供了一种计算机可读存储介质，其上存储有计算机程序，所述计算机该程序被处理器执行时，实现如任一实施例所述的防火墙设备正则匹配方法。

需要说明的是，实施例1-3未重复描述之处可互相借鉴。

本发明公开了防火墙设备正则匹配方法、装置及计算机可读存储介质，根据防火墙实际需求确定包含协议位置修饰符的正则表达式，将所述正则表达式配置至防火墙引擎；解析配置在防火墙引擎中正则表达式的协议位置修饰符确定正则表达式的协议段，对所述正则表达式的协议段匹配标志位进行置位；防火墙收到网络报文后，提取网络报文中对应的协议段，将所述网络报文对应的协议段与所述正则表达式的协议段进行匹配，获取匹配结果，根据匹配结果确定是否进行相应的动作处理和日志发送；在单条配置的情况下即可实现多协议段配置，减少协议段使用正则时的协议配置，提高了正则匹配的延展性；

防火墙审计识别内网上网设备类型时，一般会在HTTP头部或者TCP负载部分查找有无标明终端类型的字符串，传统模式中，防火墙安全防护或者审计等需要使用正则匹配的功能时，只有在策略或者规则下配置某个协议字段使用正则匹配，加载完规则后，在引擎匹配过程中才能进行正则匹配，需要针对两个不同的协议写两条同样的正则表达式，用于匹配引擎协议解码后不同的协议字段，通过本发明技术方案只需要写一条表达式即可实现；

本发明技术方案通过修改正则表达式格式，增加协议位置修饰符字段，功能模块可以根据配置的协议位置修饰符来决定将正则表达式与协议解码后的哪些协议字段进行匹配；通过更改正则表达式格式，增加协议位置修饰符，使单条正则配置中可以配置多个匹配协议字段，减少配置条数，相应的缩短设备配置恢复时长；提高了用户体验度，针对同样的正则配置，不需要人工的增加多条配置；减少了系统维护成本，后续需要支持其它协议字段匹配，只要增加增长协议位置修饰符即可，而不需要重新投入人力开发和测试前端和后台。

本领域技术人员可以理解，实现上述实施例方法的全部或部分流程，可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于计算机可读存储介质中。其中，所述计算机可读存储介质为磁盘、光盘、只读存储记忆体或随机存储记忆体等。

以上所述本发明的具体实施方式，并不构成对本发明保护范围的限定。任何根据本发明的技术构思所做出的各种其他相应的改变与变形，均应包含在本发明权利要求的保护范围内。

Claims

1.一种防火墙设备正则匹配方法，其特征在于，包括以下步骤：

解析配置在防火墙引擎中正则表达式的协议位置修饰符，确定正则表达式的协议段，对所述正则表达式的协议段匹配标志位进行置位；

2.根据权利要求1所述的防火墙设备正则匹配方法，其特征在于，所述根据防火墙实际需求确定包含协议位置修饰符的正则表达式，具体包括，根据防火墙实际需求确定模式串表达式、模式匹配修饰符及协议段，以所述模式串表达式、模式匹配修饰符及协议位置修饰符形成正则表达式。

3.根据权利要求2所述的防火墙设备正则匹配方法，其特征在于，还包括，在解析正则表达式中协议位置修饰符前，根据正则表达式中模式匹配修饰符编译模式串表达式。

4.根据权利要求1所述的防火墙设备正则匹配方法，其特征在于，所述提取网络报文中对应的协议段，具体包括，对所述网络报文进行协议解码，提取网络报文中对应的协议段。

5.根据权利要求1所述的防火墙设备正则匹配方法，其特征在于，所述将所述网络报文对应的协议段与所述正则表达式的协议段进行匹配，具体包括，对网络报文进行引擎匹配，判断引擎规则中是否存在对应协议的PCRE配置，若存在，则将所述网络报文对应的协议段与所述正则表达式的协议段进行匹配。

6.根据权利要求1所述的防火墙设备正则匹配方法，其特征在于，所述根据匹配结果确定是否进行相应的动作处理和日志发送，具体包括，

7.一种防火墙设备正则匹配装置，其特征在于，包括处理器以及存储器，所述存储器上存储有计算机程序，所述计算机程序被所述处理器执行时，实现如权利要求1-6任一所述的防火墙设备正则匹配方法。

8.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机该程序被处理器执行时，实现如权利要求1-6任一所述的防火墙设备正则匹配方法。