本申請提供了一種網絡流量過濾方法、裝置以及網絡設備，用于為如防火墻等類型的網絡設備，通過細顆粒度的網絡流量劃分處理，由此可以滿足細顆粒度的網絡流量過濾需求。本申請提供的網絡流量過濾方法，方法包括：獲取當前要通過網絡設備的目標網絡流量；確定目標網絡流量的五元組信息；判斷五元組信息是否匹配以預設應用的預設五元組信息為基礎配置的網絡流量過濾策略；若匹配，則通過目標網絡流量；若不匹配，則拒絕通過目標網絡流量。

技術領域

本申請涉及網絡安全領域，具體涉及一種網絡流量過濾方法、裝置以及網絡設備。

背景技術

隨著以Web2.0為代表的社區化網絡時代的到來，互聯網進入了以論壇、博客、社交、視頻還有P2P分享等應用為代表的下一代互聯網時代，用戶不再是單向的信息接受者，更是以Web應用為媒介的內容發布者和參與者，在這種趨勢下，越來越多的應用呈現出Web化。

然而，由于傳統的防火墻的基本原理是根據IP地址/端口號、協議標識符識別網絡流量，并執行相關的策略，所以對于WebB2.0應用來說，傳統防火墻看到的所有基于瀏覽器傳輸的網絡流量是完全一樣的，難以進行細顆粒度的網絡流量的劃分，而如果通過這些端口屏蔽相關的流量或者協議，會導致阻止所有來著Web應用的網絡流量(其中包括合法商業用途的內容和服務)。

顯然，現有技術中防火墻的網絡流量過濾策略，存在僵化的問題，無法滿足細顆粒度的網絡流量劃分需求。

發明內容

本申請提供了一種網絡流量過濾方法、裝置以及網絡設備，用于為如防火墻等類型的網絡設備，通過細顆粒度的網絡流量劃分處理，由此可以滿足細顆粒度的網絡流量過濾需求。

第一方面，本申請提供了一種網絡流量過濾方法，方法包括：

獲取當前要通過網絡設備的目標網絡流量；

確定目標網絡流量的五元組信息；

判斷五元組信息是否匹配以預設應用的預設五元組信息為基礎配置的網絡流量過濾策略；

若匹配，則通過目標網絡流量；

若不匹配，則拒絕通過目標網絡流量。

結合本申請第一方面，在本申請第一方面第一種可能的實現方式中，預設應用的預設五元組信息具體包括預設應用的應用名、協議和端口。

結合本申請第一方面，在本申請第一方面第二種可能的實現方式中，方法還包括：

確定基線應用庫，其中，基線應用庫包括多個父應用，父應用底下設置有對應的子應用；

將當前允許通過網絡流量的待處理應用歸納至基線應用庫中，形成對應父應用底下的子應用，或者，將未對應有父應用的待處理應用作為新的父應用加入至基線應用庫；

在基線應用庫中，以父應用和子應用的架構關系為基礎，獲取各應用的五元組信息，形成預設五元組信息。

結合本申請第一方面第二種可能的實現方式，在本申請第一方面第三種可能的實現方式中，方法還包括：

獲取工單五元組，其中，工單五元組包括當前待加入到基線應用庫中的不同應用的五元組信息；

在當前待加入到基線應用庫中的不同應用中，將當前待加入到基線應用庫中的不同應用的五元組信息，與基線應用庫中各應用的五元組信息進行對比，并確定未存在交集的五元組信息的待處理應用。

結合本申請第一方面第二種可能的實現方式，在本申請第一方面第四種可能的實現方式中，子應用的應用名以對應父應用的名稱為前綴。

結合本申請第一方面，在本申請第一方面第五種可能的實現方式中，方法還包括：

確定不同的預設應用；