[发明专利]一种防火墙规则冲突检测方法

权利要求书

1.一种防火墙规则冲突检测方法，其特征在于，包括以下步骤：

1）判断防火墙规则集中是否存在无用冲突；具体如下：顺序从防火墙规则集中抽取一条规则R_y，如果规则集中的规则已全部检测完毕，则退出；否则，如果R_y中的src字段和dst字段所决定的网络路径不会通过相应的防火墙，那么这个规则根本就没有任何作用，则报告对应的规则R_y 存在无用冲突，退出；

所述src字段由源IP地址和源端口号两个子字段构成，用于标志包的来源；

所述dst字段由目的IP地址和目的端口号两个子字段构成，用于标志包的目的；

2）若规则R_y不存在无用冲突，将这条规则与序号排在其前面的未比较的各条规则顺序比较，根据字段protocol、src、dst的值确定规则之间存在的关系；并根据规则关系和index和action字段的值确定是否存在冲突；具体如下：

2.1）如果R_y前面没有规则，或者其前面的规则已全部比较完毕，则跳转到步骤1）；

否则设待比较的规则为R_x，因为R_x在R_y前面，所以R_x的序号R_x[index]小于R_y的序号R_y[index]，即R_x[index] < R_y[index]；如果R_x的protocol字段R_x[protocol]与R_y的protocol字段R_y[protocol]不同，即R_x[protocol] ≠R_y[protocol]；或者R_x的src字段R_x[src]与R_y的src字段R_y[src]不同，即R_x[src] ≠R_y[src]；或者R_x的dst字段R_x[dst]与R_y的dst字段R_y[dst]不同，即R_x[dst] ≠ R_y[dst]；则确定R_y与R_x无冲突，重复步骤2.1）；否则，进入下一步；

2.2）如果R_x[src] = R_y[src]，且R_x[dst] = R_y[dst]，且R_x的action字段R_x[action]与R_y的action字段R_y[action]，R_x[action] = R_y[action]，则报告“冗余冲突”，退出；否则，如果R_x[src] = R_y[src]，且R_x[dst] = R_y[dst]，且R_x[action] ≠ R_y[action]，则报告R_y与R_x 发生“屏蔽冲突”，退出；

所述action字段用于标志对匹配该规则的包采取的动作，action字段的值为“reject”、“accept”或“drop”；

2.3）如果R_x[src]是R_y[src]的子集，且R_x[dst]是R_y[dst]的子集，且R_x[action] = R_y[action]，则报告R_y与R_x 发生“冗余冲突”，退出；否则，如果R_x[src]是R_y[src]的子集，且R_x[dst]是R_y[dst]的子集，且R_x[action] ≠ R_y[action]，则报告R_y与R_x 发生“泛化冲突”，退出；

2.4）如果R_y[src]是R_x[src]的子集，且R_y[src]是R_x[src]的子集，且R_x[action] = R_y[action]，则报告“冗余冲突”，退出；否则，如果R_y[src]是R_x[src]的子集，且R_y[src]是R_x[src]的子集，且R_x[action] ≠ R_y[action]，则报告R_y与R_x 发生“屏蔽冲突”，退出；

2.5）如果R_x[action] = R_y[action]，则报告R_y与R_x 发生“屏蔽冲突”，退出。