本申請(qǐng)?zhí)峁┮环N數(shù)據(jù)包過(guò)濾方法及裝置，所述方法包括：網(wǎng)絡(luò)設(shè)備將預(yù)配置的若干條包過(guò)濾規(guī)則劃分為若干條分組規(guī)則；其中，各分組規(guī)則分別對(duì)應(yīng)不同的預(yù)設(shè)字段，各分組規(guī)則由與其對(duì)應(yīng)的預(yù)設(shè)字段在所述若干條包過(guò)濾規(guī)則中對(duì)應(yīng)的字段取值構(gòu)成；網(wǎng)絡(luò)設(shè)備提取接收到的目標(biāo)數(shù)據(jù)包對(duì)應(yīng)于各預(yù)設(shè)字段的字段取值，并將提取到的各字段取值分別與其對(duì)應(yīng)的分組規(guī)則進(jìn)行并行匹配；然后計(jì)算各字段取值與其對(duì)應(yīng)的分組規(guī)則的匹配結(jié)果的交集，基于該交集確定該目標(biāo)數(shù)據(jù)包匹配到的包過(guò)濾規(guī)則，并基于該包過(guò)濾規(guī)則對(duì)應(yīng)的包過(guò)濾策略對(duì)該目標(biāo)數(shù)據(jù)包執(zhí)行包過(guò)濾處理。本申請(qǐng)解決了現(xiàn)有技術(shù)在對(duì)包過(guò)濾規(guī)則預(yù)處理時(shí)因?yàn)榘^(guò)濾規(guī)則的數(shù)量增加，導(dǎo)致匹配效率下降的問(wèn)題。

技術(shù)領(lǐng)域

本申請(qǐng)涉及網(wǎng)絡(luò)安全領(lǐng)域，特別涉及一種數(shù)據(jù)包過(guò)濾方法及裝置。

背景技術(shù)

在網(wǎng)絡(luò)安全領(lǐng)域，包過(guò)濾規(guī)則是用戶(hù)配置的對(duì)進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包進(jìn)行過(guò)濾的規(guī)則，通常由源IP地址、目的IP地址、端口號(hào)、協(xié)議等字段組成。網(wǎng)絡(luò)設(shè)備根據(jù)配置的不同的包過(guò)濾規(guī)則而采取不同的過(guò)濾策略。為了使網(wǎng)絡(luò)設(shè)備能夠快速地根據(jù)包過(guò)濾規(guī)則匹配數(shù)據(jù)包，通常需要將包過(guò)濾規(guī)則進(jìn)行預(yù)處理。網(wǎng)絡(luò)設(shè)備根據(jù)預(yù)處理后的包過(guò)濾規(guī)則匹配接收到的數(shù)據(jù)包。

由于包過(guò)濾規(guī)則是多個(gè)字段組成的一個(gè)多維數(shù)據(jù)，在預(yù)處理的過(guò)程中可能會(huì)拆分其中的一些字段，從而導(dǎo)致包過(guò)濾規(guī)則數(shù)量的增加，在這種情況下，網(wǎng)絡(luò)設(shè)備在接收到數(shù)據(jù)包后，會(huì)根據(jù)每一條包過(guò)濾規(guī)則依次去匹配數(shù)據(jù)包，直到匹配成功。可見(jiàn)，包過(guò)濾規(guī)則的數(shù)量增加后，會(huì)導(dǎo)致網(wǎng)絡(luò)設(shè)備在根據(jù)包過(guò)濾規(guī)則匹配數(shù)據(jù)包的工作量增加，整個(gè)過(guò)程的匹配效率下降。

發(fā)明內(nèi)容

有鑒于此，本申請(qǐng)?zhí)峁┮环N數(shù)據(jù)包過(guò)濾方法及裝置，用以解決現(xiàn)有技術(shù)在對(duì)包過(guò)濾規(guī)則預(yù)處理的過(guò)程中因?yàn)榘^(guò)濾規(guī)則的數(shù)量增加，導(dǎo)致匹配效率下降的問(wèn)題。

具體地，本申請(qǐng)是通過(guò)如下技術(shù)方案實(shí)現(xiàn)的：

一種數(shù)據(jù)包過(guò)濾方法，應(yīng)用于網(wǎng)絡(luò)設(shè)備，所述網(wǎng)絡(luò)設(shè)備預(yù)配置了由若干個(gè)預(yù)設(shè)字段構(gòu)成的若干條包過(guò)濾規(guī)則，包括：

將所述若干條包過(guò)濾規(guī)則劃分為對(duì)應(yīng)于各預(yù)設(shè)字段的若干條分組規(guī)則；其中，各分組規(guī)則分別對(duì)應(yīng)不同的預(yù)設(shè)字段；各分組規(guī)則由與其對(duì)應(yīng)的預(yù)設(shè)字段在所述若干條包過(guò)濾規(guī)則中對(duì)應(yīng)的字段取值構(gòu)成；

提取接收到的目標(biāo)數(shù)據(jù)包對(duì)應(yīng)于各預(yù)設(shè)字段的字段取值；

將提取到的各字段取值分別與其對(duì)應(yīng)的分組規(guī)則進(jìn)行并行匹配；

計(jì)算各字段取值與其對(duì)應(yīng)的分組規(guī)則的匹配結(jié)果的交集，基于計(jì)算出的所述交集確定該目標(biāo)數(shù)據(jù)包匹配到的包過(guò)濾規(guī)則，并基于匹配到的該包過(guò)濾規(guī)則對(duì)應(yīng)的包過(guò)濾策略針對(duì)該目標(biāo)數(shù)據(jù)包執(zhí)行包過(guò)濾處理。

在所述數(shù)據(jù)包過(guò)濾方法中，所述將所述若干條包過(guò)濾規(guī)則劃分為對(duì)應(yīng)于各預(yù)設(shè)字段的若干條分組規(guī)則，包括：

將各預(yù)設(shè)字段依次選定為目標(biāo)字段；

分別提取各包過(guò)濾規(guī)則對(duì)應(yīng)于所述目標(biāo)字段的字段取值；

基于提取出的各包過(guò)濾規(guī)則對(duì)應(yīng)于所述目標(biāo)字段的字段取值，以及與該字段取值對(duì)應(yīng)的包過(guò)濾規(guī)則標(biāo)識(shí)，創(chuàng)建對(duì)應(yīng)于該目標(biāo)字段的分組規(guī)則。

在所述數(shù)據(jù)包過(guò)濾方法中，還包括：

基于預(yù)設(shè)的算法分別對(duì)各分組規(guī)則進(jìn)行處理，使得處理后的分組規(guī)則更適合與提取到的各字段取值進(jìn)行匹配。

在所述數(shù)據(jù)包過(guò)濾方法中，還包括：

當(dāng)各預(yù)設(shè)字段中存在相關(guān)的多個(gè)預(yù)設(shè)字段，將為該多個(gè)預(yù)設(shè)字段分別創(chuàng)建的分組規(guī)則進(jìn)行合并；以及，

當(dāng)創(chuàng)建的任一分組規(guī)則中包括多個(gè)相同的字段取值，則將該多個(gè)字段取值所對(duì)應(yīng)的包過(guò)濾規(guī)則標(biāo)識(shí)進(jìn)行合并。

在所述數(shù)據(jù)包過(guò)濾方法中，各分組規(guī)則分別預(yù)配置了不同的匹配線(xiàn)程；