技術領域

本發明涉及通信技術領域，特別涉及一種安全規則的合并方法，同時本申請還特別涉及一種智能設備。

背景技術

網絡防火墻(Firewall)，也稱網絡防護墻，是一種位于內部網絡與外部網絡之間的網絡安全系統。一項信息安全的防護系統，依照特定的安全規則，允許或是限制傳輸的數據通過。

網絡防火墻在做信息包過濾決定時，有一套遵循的安全規則，這些安全規則存儲在專用的信息包過濾表中，而這些表集成在Linux內核中。在信息包過濾表中，安全規則被分組放在信息包過濾表的鏈(chain)中。信息包過濾系統是一款功能強大的工具，可用于添加、編輯和移除安全規則，安全規則可以控制是否允許其他設備連接本設備的端口，允許哪些IP或網段訪問本設備等。

安全規則包含屬性和應對措施。屬性包括地址信息和規則細節。地址信息是指數據包的源地址和目標地址信息，其中，源地址用來描述數據包的來源，其可以是某單個設備的地址，也可以為一系列地址的集合；目標地址，類似于源地址，用來描述數據包的目的地。規則細節是指規則的詳細信息，用以描述數據包的詳細特征。應對措施是指當數據包(報文)的信息和源地址、目標地址、規則細節匹配時，應該實行的應對措施。具體的，包括阻止數據包通過，允許數據包通過，允許但是向用戶發送警告等。

網絡防火墻在進行規則匹配時，是在規則列表中從頭到尾依次進行匹配。此方法的處理效率低下，在規則列表中的規則較多時，難以及時地尋找到匹配的規則。

為了加快網絡防火墻匹配安全規則的速度，現有技術中的方法有以下的兩種：

(1)方法一、基于安全規則沖突的分析與簡化，對無用的規則項自動刪除。當規則之間有包含、被包含、相交、沖突等關系時，對規則進行整理與簡化。(2)方法二、使用多維模型和快速搜索的方法，提高防火墻匹配安全規則的性能。

發明人在實現本申請的過程中，發現現有技術中加快防火墻匹配規則的速度的方法至少存在以下的問題：

(1)對于方法一，大部分安全規則之間不存在包含、被包含、相交、沖突的關系。因此，該方法只能對少數的安全規則進行合并簡化，對規則數目減少的程度有限。

(2)對于方法二，該方法的本質是對查找算法進行改進，提高查找的速度。然而該方法不會減少安全規則的數量，在安全規則的數量較多時，還是存在查找速度慢的問題。

可見，如何有效的減少安全規則的數量，進而加快匹配安全規則的速度，提高防火墻的性能，成為本領域技術人員亟待解決的技術問題。

發明內容

本申請提出一種安全規則的合并方法，用以減少防火墻系統中安全規則的數量，進而加快匹配安全規則的速度，提高防火墻的性能，所述方法應用于包含網絡防火墻的智能設備中，所述方法至少包括：

在預設的時間周期開始時，獲取所述網絡防火墻的待處理安全規則，并根據所述網絡防火墻的待處理安全規則的應對措施對所述網絡防火墻的待處理安全規則進行類別劃分，以使每個所述類別中的待處理安全規則的應對措施相同；

根據所述類別中的待處理安全規則的地址信息對所述類別中的待處理安全規則進行子類別劃分，以使所述子類別中的待處理安全規則的源地址或目標地址連續；

將所述子類別中所有的待處理安全規則合并為一條特征安全規則。

優選地，在所述將所述子類別中的待處理安全規則合并為特征安全規則之后，所述方法還包括：

分別獲取各所述特征安全規則命中的流量的信息；

按照各所述特征安全規則命中的流量的量值由大到小對各所述特征安全規則進行排序；

按照所述排序的順序依次將各所述特征安全規則與所述網絡防火墻接收到的報文相匹配。

優選地，所述根據所述網絡防火墻的待處理安全規則的應對措施對所述網絡防火墻的待處理安全規則進行類別劃分，具體包括：

分別獲取所述網絡防火墻的待處理安全規則的應對措施；

將所述網絡防火墻中具有相同應對措施的待處理安全規則劃分到同一所述類別中。

優選地，所述根據所述類別中的待處理安全規則的地址信息對所述類別中的待處理安全規則進行子類別劃分，具體包括：

分別獲取所述類別中的待處理安全規則的地址信息；

將所述類別中源地址或者目的地址連續的待處理安全規則劃分到同一所述子類別中。

優選地，在所述時間周期開始之前，所述方法還包括：

接收用戶輸入的周期設定信息；

根據所述周期設定信息對所述時間周期進行設定。