基于默认规则的防火墙优化方法.pdf

第37卷 第20期 计 算 机 工 程 2011年 10月 Vb1．37 NO．20 ComputerEngineering 0ctober2011 · 安全技术 · · 文章缩号：lo0I卜428(2ol1)2o—01o3—02 文献标识码：A 中圈分类号：TP3930·8 基于默认规则的防火墙优化方法 傅鹤岗，张 李 (重庆大学计算机学院，重庆 400044) 摘 要：提出一种基于默认规则的防火墙优化方法，根据规则的匹配概率及防火墙日志，从默认规则中分离出简单规则，分析这些规则与 原规则的关系，并合并成新的规则。评价规则对防火墙性能的影响，并选择性地加入防火墙规则库，实现防火墙线性匹配优化。实验结果 表明，该方法在一般情况下能有效降低规则的平均匹配次数 ，提高防火墙性能。 关健词：默认规则；平均规则匹配次数；规则的无冲突区域；规则合并；统计分析 FirewallOptimizationM ethodBased0nDeI．aultRule FU He-gang．ZHANG Li (CollegeofComputerScience，ChongqingUniversity,Chongqing400044，China) IAbstraet]Thispaperproposesafirewall—optimizationmethodbasedondefault—rules．Thismethodbeginsbythematchingprobabilityoffirewall urles，extractingsomesimpleurlesfrom thedefault-urlesbasedonthefirewalllogs．Afteranalyzinghterelationshipbetweenhtesimpleurlesand theexistingurles，thesesimpleurlesareemergedintothenewrules．Theimpactsofthesenewurlesareevaluatedonthefirewallandsomenewurles raeaddedtotheurleslibrary selectively,toimplementhteoptimizationforthelinearmatchofthefirewal1．Experimentalresultsshow that，this mehtodcanreducetheaveragenumberofurlesmatches，elevatingtheperformanceoffirewal1． [Keywords|defaulturle；averagenumberofrulematching；conflict—rfeeregionofurle；urlemerging；statisticanalysis D0I：10．39691j．issn．1000—3428．2011．20．036 1 概述 做规则匹配时每条规则的匹配速率近似相等，那么防火墙的 防火墙是被普遍采用的一种安全策略，通常设置在内外 平均规则匹配次数w可以表示为： Ⅳ 部网络之间，控制着进出网络的数据包。防火墙按其实现形 W =Zix i=1 式可以分为软件防火墙和硬件防火墙 2大类，其中软件防火 其中，P表示第 f条规则的匹配概率，通过统计历史记录里 墙主要通过大量严格且具有针对性的过滤规则实现。 的规则匹配情况获得 J。显