一种防火墙规则集的配置方法、装置及防火墙

摘要

本发明实施例提供一种防火墙规则集的配置方法、装置及防火墙。所述方法包括：获取防火墙在设定时间间隔内根据配置的第一规则集对网络流量进行规则匹配的过程中，所述第一规则集中每条规则对应的匹配顺序调整参数值，其中，所述第一规则集为经过规则间制约关系的消除处理的防火墙规则集；根据所有所述每条规则对应的匹配顺序调整参数值，对所述第一规则集进行规则匹配顺序的调整，得到调整后的所述第一规则集；将所述调整后的第一规则集载入所述防火墙的配置，使得所述防火墙能够根据所述调整后的第一规则集，对数据包进行过滤处理。本发明实施例实现了防火墙规则集的重新配置。

说明书

技术领域

本发明涉及网络安全及服务质量领域，尤其涉及一种防火墙规则集的配置 方法、装置及防火墙。

背景技术

防火墙作为内网防御的常用手段之一，依照其规则集，按序检测其通过的 数据包，防止非法数据入侵机构的内部网络（Intranet）。伴随着信息科技的发 展，网络服务质量（QoS）越来越倍受关注，尽管高性能路由和交换技术，可 以提升用户体验，但是防火墙作为第一道网络安全屏障，通常采用串联或者旁 挂的方式部署在机构网络的边界位置，整个网络系统中的流量大部分均需经过 防火墙（若采用串联的方式，所有流量均需经过防火墙），故其处理性能对整 个网络系统的QoS将起到至关重要的作用。防火墙部署图1和图2所示，其 中，图1为串联的方式，图2为旁挂的方式。

发明内容

有鉴于此，本发明实施例的目的是提供一种防火墙规则集的配置方法、装 置及防火墙，以实现防火墙规则集的重新配置。

为解决上述技术问题，本发明实施例提供方案如下：

本发明实施例提供一种防火墙规则集的配置方法，包括：

获取防火墙在设定时间间隔内根据配置的第一规则集对网络流量进行规 则匹配的过程中，所述第一规则集中每条规则对应的匹配顺序调整参数值，其 中，所述第一规则集为经过规则间制约关系的消除处理的防火墙规则集；

根据所有所述每条规则对应的匹配顺序调整参数值，对所述第一规则集进 行规则匹配顺序的调整，得到调整后的所述第一规则集；

将所述调整后的第一规则集载入所述防火墙的配置，使得所述防火墙能够 根据所述调整后的第一规则集，对数据包进行过滤处理。

优选地，所述调整后的第一规则集中的两两规则之间，排序较前的规则对 应的匹配顺序调整参数值大于排序较后的规则对应的匹配顺序调整参数值。

优选地，所述每条规则对应的匹配顺序调整参数值为所述每条规则对应的 匹配频率；

所述获取防火墙在设定时间间隔内根据配置的第一规则集对网络流量进 行规则匹配的过程中，所述第一规则集中每条规则对应的匹配顺序调整参数值 包括：

采集所述防火墙在所述设定时间间隔内根据所述第一规则集对网络流量 进行规则匹配的过程中，所述第一规则集中每条规则对应的匹配次数；

将所述每条规则对应的匹配次数与所有所述每条规则对应的匹配次数和 的比值，作为所述每条规则对应的匹配频率。

优选地，所述获取防火墙在设定时间间隔内根据配置的第一规则集对网络 流量进行规则匹配的过程中，所述第一规则集中每条规则对应的匹配顺序调整 参数值包括：

采集所述防火墙在所述设定时间间隔内根据所述第一规则集对网络流量 进行规则匹配的过程中，所述第一规则集中每条规则对应的匹配次数和最新一 次匹配时间；

将所述每条规则对应的匹配次数与所有所述每条规则对应的匹配次数和 的比值，作为所述每条规则对应的匹配频率；

将所述每条规则对应的最新一次匹配时间与所述设定时间间隔的比值，作 为所述每条规则对应的匹配近因；

对所述每条规则对应的匹配频率和匹配近因求加权和，得到所述每条规则 对应的匹配顺序调整参数值。

优选地，还包括：

根据所有所述每条规则对应的匹配频率和预设的函数，确定一规则匹配顺 序调整判断参数值；

根据所述规则匹配顺序调整判断参数值和一预设的门限值，判断是否需要 对所述第一规则集进行规则匹配顺序的调整，获取一判断结果；

当所述判断结果为是时，进入所述将所述调整后的第一规则集载入所述防 火墙的配置的步骤；

当所述判断结果为否时，不进入所述将所述调整后的第一规则集载入所述 防火墙的配置的步骤。

优选地，设所述第一规则集中的规则数目为n个，所述第一规则集中的第 i条规则对应的匹配频率为f_i，所述规则匹配顺序调整判断参数值为S，则所述 函数为$S=1-\frac{\underset{i=1}{\overset{n}{\Sigma }}{f}_{i}1g{f}_i}{1\mathrm{gn}};$

所述根据所述规则匹配顺序调整判断参数值和一预设的门限值，判断是否 需要对所述第一规则集进行规则匹配顺序的调整，获取一判断结果包括：

判断所述规则匹配顺序调整判断参数值是否大于所述门限值，如果是，所 述判断结果为是，否则，所述判断结果为否。

优选地，设所述第一规则集中的规则数目为n个，所述第一规则集中的第 i条规则对应的匹配频率为f_i，所述规则匹配顺序调整判断参数值为S，则所述 函数为$S=\frac{\underset{i=1}{\overset{n}{\Sigma }}{f}_{i}1g{f}_i}{1\mathrm{gn}};$

所述根据所述规则匹配顺序调整判断参数值和一预设的门限值，判断是否 需要对所述第一规则集进行规则匹配顺序的调整，获取一判断结果包括：

判断所述规则匹配顺序调整判断参数值是否小于所述门限值，如果是，所 述判断结果为是，否则，所述判断结果为否。

本发明实施例还提供一种防火墙规则集的配置装置，包括：

获取模块，用于获取防火墙在设定时间间隔内根据配置的第一规则集对网 络流量进行规则匹配的过程中，所述第一规则集中每条规则对应的匹配顺序调 整参数值，其中，所述第一规则集为经过规则间制约关系的消除处理的防火墙 规则集；

调整模块，用于根据所有所述每条规则对应的匹配顺序调整参数值，对所 述第一规则集进行规则匹配顺序的调整，得到调整后的所述第一规则集；

载入模块，用于将所述调整后的第一规则集载入所述防火墙的配置，使得 所述防火墙能够根据所述调整后的第一规则集，对数据包进行过滤处理。

优选地，所述调整后的第一规则集中的两两规则之间，排序较前的规则对 应的匹配顺序调整参数值大于排序较后的规则对应的匹配顺序调整参数值。

优选地，所述每条规则对应的匹配顺序调整参数值为所述每条规则对应的 匹配频率；

所述获取模块包括：

第一采集单元，用于采集所述防火墙在所述设定时间间隔内根据所述第一 规则集对网络流量进行规则匹配的过程中，所述第一规则集中每条规则对应的 匹配次数；

第一确定单元，用于将所述每条规则对应的匹配次数与所有所述每条规则 对应的匹配次数和的比值，作为所述每条规则对应的匹配频率。

优选地，所述获取模块包括：

第二采集单元，用于采集所述防火墙在所述设定时间间隔内根据所述第一 规则集对网络流量进行规则匹配的过程中，所述第一规则集中每条规则对应的 匹配次数和最新一次匹配时间；

第二确定单元，用于将所述每条规则对应的匹配次数与所有所述每条规则 对应的匹配次数和的比值，作为所述每条规则对应的匹配频率；

第三确定单元，用于将所述每条规则对应的最新一次匹配时间与所述设定 时间间隔的比值，作为所述每条规则对应的匹配近因；

求加权和单元，用于对所述每条规则对应的匹配频率和匹配近因求加权 和，得到所述每条规则对应的匹配顺序调整参数值。

优选地，还包括：

确定模块，用于根据所有所述每条规则对应的匹配频率和预设的函数，确 定一规则匹配顺序调整判断参数值；

判断模块，用于根据所述规则匹配顺序调整判断参数值和一预设的门限 值，判断是否需要对所述第一规则集进行规则匹配顺序的调整，获取一判断结 果；当所述判断结果为是时，进入所述载入模块；当所述判断结果为否时，不 进入所述载入模块。

优选地，设所述第一规则集中的规则数目为n个，所述第一规则集中的第 i条规则对应的匹配频率为f_i，所述规则匹配顺序调整判断参数值为S，则所述 函数为$S=1-\frac{\underset{i=1}{\overset{n}{\Sigma }}{f}_{i}1g{f}_i}{1\mathrm{gn}};$

所述判断模块包括：

第一判断单元，用于判断所述规则匹配顺序调整判断参数值是否大于所述 门限值，如果是，所述判断结果为是，否则，所述判断结果为否。

优选地，设所述第一规则集中的规则数目为n个，所述第一规则集中的第 i条规则对应的匹配频率为f_i，所述规则匹配顺序调整判断参数值为S，则所述 函数为$S=\frac{\underset{i=1}{\overset{n}{\Sigma }}{f}_{i}1g{f}_i}{1\mathrm{gn}};$

所述判断模块包括：

第二判断单元，用于判断所述规则匹配顺序调整判断参数值是否小于所述 门限值，如果是，所述判断结果为是，否则，所述判断结果为否。

本发明实施例还提供一种包括以上所述的防火墙规则集的配置装置的防 火墙。

从以上所述可以看出，本发明实施例至少具有如下有益效果：

使得防火墙规则集的规则匹配顺序能够基于网络流量的实际规则匹配状 况而得到调整，从而实现了防火墙规则集的重新配置。

附图说明

图1表示采用串联方式的防火墙部署示意图；

图2表示采用旁挂方式的防火墙部署示意图；

图3表示本发明实施例提供的一种防火墙规则集的配置方法的步骤流程 图；

图4表示本发明实施例的较佳实施方式的网元架构图；

图5表示本发明实施例的较佳实施方式的时间间隔T内模型处理步骤的 流程图；

图6表示本发明实施例的较佳实施方式的规则决策树构造算法示意图；

图7表示本发明实施例提供的一种防火墙规则集的配置装置的结构图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合附图及 具体实施例对本发明实施例进行详细描述。

图3表示本发明实施例提供的一种防火墙规则集的配置方法的步骤流程 图，参照图3，本发明实施例提供一种防火墙规则集的配置方法，包括如下步 骤：

步骤301，获取防火墙在设定时间间隔内根据配置的第一规则集对网络流 量进行规则匹配的过程中，所述第一规则集中每条规则对应的匹配顺序调整参 数值，其中，所述第一规则集为经过规则间制约关系的消除处理的防火墙规则 集；

步骤302，根据所有所述每条规则对应的匹配顺序调整参数值，对所述第 一规则集进行规则匹配顺序的调整，得到调整后的所述第一规则集；

步骤303，将所述调整后的第一规则集载入所述防火墙的配置，使得所述 防火墙能够根据所述调整后的第一规则集，对数据包进行过滤处理。

可见，通过上述方式，使得防火墙规则集的规则匹配顺序能够基于网络流 量的实际规则匹配状况而得到调整，从而实现了防火墙规则集的重新配置。

其中，规则间制约关系是指防火墙对同一数据包可能存在不同匹配规则， 如果要调整其中某条规则，就不可避免地要连同调整位于该条规则之前的规 则。规则间制约关系的消除处理就是通过一定的处理，消除规则之间的这种制 约关系，从而使得防火墙规则集中的规则顺序能够被任意调整而不会对防火墙 基本的数据包过滤功能造成影响。

在本发明实施例中，可以有：

所述调整后的第一规则集中的两两规则之间，排序较前的规则对应的匹配 顺序调整参数值大于排序较后的规则对应的匹配顺序调整参数值。

匹配顺序调整参数可以与匹配次数相关，或者也可以与匹配次数和匹配时 间相关。

对于匹配顺序调整参数与匹配次数相关的情况，可以有：

所述每条规则对应的匹配顺序调整参数值为所述每条规则对应的匹配频 率；

所述获取防火墙在设定时间间隔内根据配置的第一规则集对网络流量进 行规则匹配的过程中，所述第一规则集中每条规则对应的匹配顺序调整参数值 包括：

采集所述防火墙在所述设定时间间隔内根据所述第一规则集对网络流量 进行规则匹配的过程中，所述第一规则集中每条规则对应的匹配次数；

将所述每条规则对应的匹配次数与所有所述每条规则对应的匹配次数和 的比值，作为所述每条规则对应的匹配频率。

对于匹配顺序调整参数与匹配次数和匹配时间相关的情况，可以有：

所述获取防火墙在设定时间间隔内根据配置的第一规则集对网络流量进 行规则匹配的过程中，所述第一规则集中每条规则对应的匹配顺序调整参数值 包括：

采集所述防火墙在所述设定时间间隔内根据所述第一规则集对网络流量 进行规则匹配的过程中，所述第一规则集中每条规则对应的匹配次数和最新一 次匹配时间；

将所述每条规则对应的匹配次数与所有所述每条规则对应的匹配次数和 的比值，作为所述每条规则对应的匹配频率；

将所述每条规则对应的最新一次匹配时间与所述设定时间间隔的比值，作 为所述每条规则对应的匹配近因；

对所述每条规则对应的匹配频率和匹配近因求加权和，得到所述每条规则 对应的匹配顺序调整参数值。

考虑到在各规则的匹配较为均匀时，对规则进行调整也不会带来太明显的 效果，甚至可能反而增加了计算成本，有鉴于此，无论对于上述哪种情况，所 述方法还可以包括：

根据所有所述每条规则对应的匹配频率和预设的函数，确定一规则匹配顺 序调整判断参数值；

根据所述规则匹配顺序调整判断参数值和一预设的门限值，判断是否需要 对所述第一规则集进行规则匹配顺序的调整，获取一判断结果；

当所述判断结果为是时，进入所述将所述调整后的第一规则集载入所述防 火墙的配置的步骤；

当所述判断结果为否时，不进入所述将所述调整后的第一规则集载入所述 防火墙的配置的步骤。

具体地，可以从各规则的匹配频率接近于服从均匀分布的程度的角度来进 行函数的设计及具体判断方式的构思，于是可以有：

设所述第一规则集中的规则数目为n个，所述第一规则集中的第i条规则 对应的匹配频率为f_i，所述规则匹配顺序调整判断参数值为S，则所述函数为 $S=1-\frac{\underset{i=1}{\overset{n}{\Sigma }}{f}_{i}1g{f}_i}{1\mathrm{gn}};$

所述根据所述规则匹配顺序调整判断参数值和一预设的门限值，判断是否 需要对所述第一规则集进行规则匹配顺序的调整，获取一判断结果包括：

判断所述规则匹配顺序调整判断参数值是否大于所述门限值，如果是，所 述判断结果为是，否则，所述判断结果为否。

这里，当S为0，规则的匹配频率服务均匀分布，如果采用调整规则顺序 来优化防火墙性能，效果不大，反而增加计算成本。当S趋于1，规则的匹配 集中体现在更小比例的规则，采用调整规则顺序来优化防火墙性能明显。

或者，可以有：

设所述第一规则集中的规则数目为n个，所述第一规则集中的第i条规则 对应的匹配频率为f_i，所述规则匹配顺序调整判断参数值为S，则所述函数为 $S=\frac{\underset{i=1}{\overset{n}{\Sigma }}{f}_{i}1g{f}_i}{1\mathrm{gn}};$

所述根据所述规则匹配顺序调整判断参数值和一预设的门限值，判断是否 需要对所述第一规则集进行规则匹配顺序的调整，获取一判断结果包括：

判断所述规则匹配顺序调整判断参数值是否小于所述门限值，如果是，所 述判断结果为是，否则，所述判断结果为否。

这里，当S为1，规则的匹配频率服务均匀分布，如果采用调整规则顺序 来优化防火墙性能，效果不大，反而增加计算成本。当S趋于0，规则的匹配 集中体现在更小比例的规则，采用调整规则顺序来优化防火墙性能明显。

为将本发明实施例阐述得更加清楚明白，下面提供本发明实施例的较佳实 施方式。

本较佳实施方式所提出的网元架构模型，包含预处理模块、采集模块、调 序模块和重载模块4个核心模块，通过4个模块的相互作用从而实现防火墙依 据流量特征的在线性能优化。网元架构图4所示。

1、预处理模块：该模块对防火墙规则集做预先处理，用于消除规则之间 的相互关系，具体用于上文中所述的规则间制约关系的消除处理。由于对同一 数据包，防火墙可能有多条匹配规则，为此防火墙采取按序匹配的原则，依照 优先匹配的规则采取相应的行为如丢弃或者接收数据包。因为这一限制，若要 调整其中一条规则不可避免的要连同调整位于其前的规则。

考虑到由于规则间制约关系的存在，使得防火墙的规则顺序调整问题变成 一个NP问题，其调整后的规则集也往往是次优化的。为此，预处理模块将消 除规则之间的制约关系，使经过调序模块处理后得到的规则集是最优化的，从 而使防火墙性能最优。有鉴于此，规则间制约关系的消除处理可以通过如下方 式进行：

数据包P具有d个项，分别为(F₁,...,F_d)，则数据包P可以被定义为一个d 维的元组(P₁,...,P_d)，其中p_i∈D(F_i)，D(F_i)是域F_i的值域，是一个非负整数段或 者集合。设具有d个判定域(F₁,...,F_d)的防火墙f包含了n条规则r₁,r₂,...,r_n，表示 为f=＜r₁,r₂,...,r_n＞，规则r_i(1≤i≤n)可定义为：＜i＞^(F₁∈S₁)^...^(F_d∈S_d)→＜action＞其 中S_j(1≤j≤d)是D(F_j)的非空子集，action（行动）是规则所定义的行为，如： deny（拒绝）和accept（接受）。

对于规则r_i定义以下2个集合：

匹配集（Matching Set）R_i，表示规则r_i所定义的数据包集合。

判定集（Evaluating Set）E_i，表示依照防火墙按序匹配的原则，规则r_i所 匹配的数据包集合，则这里将通过基于规则决策树的方式来获取规则 的判定集并将获取到的判定集代替规则的匹配集。对任意数据包P，只匹配一 条规则的判定集，并不存在匹配多条规则的判定集，判定集用于消除规则之间 的依赖。

规则决策树（Rule Decision Tree，RDT）定义:具有d个判定项F₁,...,F_d的 防火墙f，其决策树t是一棵有向无环树，且t需满足如下5个特征：

1）t有且只有一个没有入边的根节点（root），其中没有出边的节点被称 为叶子节点（leaf）。

2）t中任意节点v，具有一个标签F(v)，且 $F\left(v\right)\in \left(\begin{array}{ccccc}\{F_{1,}...,F_d\}& \mathrm{if}& v& \mathrm{is}& \mathrm{nonleaf}\\ \{\mathrm{accept},\mathrm{deny}\}& \mathrm{if}& v& \mathrm{is}& \mathrm{leaf}\end{array}\right),$其中，if v is nonleaf是指如果 v是非叶子节点；if v is leaf是指如果v是叶子节点。

3）t中任意一条边e:u，具有一个标签I(e)。其中，I(e)是节点u的标签的 值域的一个非空子集。

4）t中从根节点（root）到叶子节点（leaf）的路径构成一条规则（rule）。

5）t中任意节点v的出边的集合E(v)满足条件E(v)中任意2条不同的边e 和e'，有I(e)∩I(e')。

规则决策树的构造算法如图6所示，该算法将当前规则、该规则的第一个 判定项和根结点（第一条规则的第一个判定项）作为输入，实现构造当前规则 所对应的规则决策树以及求解当前规则所对应的判定集。

2、采集模块：该模块用于在系统配置的时间间隔T内（如30秒）采集 防火墙相关统计数据，该统计数据为调序模块提供调序参数。统计的数据包括： 每条规则的匹配次数f_i和规则最新一次匹配时间t_i。

3、调序模块：该模块通过获取采集模块的相关数据，调整防火墙规则顺 序，生成最优规则集。

4、重载模块：该模块将调序模块得到的最优规则集载入防火墙配置中， 防火墙依照最优规则集对数据包做过滤处理。

参照图5，在一个时间间隔T内，给定一个优选规则集，经预处理模块处 理后包含n条规则1，2，……i，i+1，……，n。经采集模块统计获取n条规 则的匹配次数f_i和规则最新一次匹配时间t_i。定义如下参数：

匹配频率（Matching Frequency）F_i，该参数表征规则i的匹配频率，

匹配近因（Matching Recency）T_i，该参数表征规则i最近匹配比率，其中t_last是时间间隔T的终止时间，若依靠第0时刻统计，则第一个时间间隔 的t_last=T；

经采集模块处理后，获取规则的匹配频率和匹配近因。定义均匀因子和调 整门限判断是否选择调整规则顺序来优化防火墙性能。

均匀因子S，该参数表征规则集中n条规则匹配频率的均匀程度，0≤S≤ 1。当S为0，规则的匹配频率服从均匀分布，该情况下采用 调整规则顺序来优化防火墙性能，其效果不大，反而增加计算成本。当S趋于 1，规则的匹配集中体现在更小比例的规则，采用调整规则顺序来优化防火墙 性能明显；

调整门限Ts，该参数表征选择调整的门限值，默认可将Ts设置为0.4。

当S>Ts，调用调序模块，优化防火墙规则顺序；否则，则不加规则改变 的情况下防火墙做包过滤处理。

这里，门限主要用于选择是否采用调序的方法来获取最优规则集，主要是 看当前规则的匹配均匀程度。如果匹配较为均为，则采用调序的方法，优化结 果不明显。只有匹配不均匀，采用调序优化，结果明显。

通过门限选择，调序模块为获取最优规则集，定义防火墙优化问题为最小 化规则平均匹配次数，即权重w_i，该参数表征规则i在时间间隔T 内，当前流量特征下所占用的权重。w_i=ρF_i+(1-ρ)T_i，0<ρ≤1。当ρ趋于1，表 示流量前后时间不具有相似性，其设置与当前流量特征相关。ρ的取值趋向于 1，适用于突发性网络特征。ρ的取值趋向于0，适用于大流量网络特征。可 以通过调整ρ的取值，实现多种网络环境下性能优化，ρ的经验值为0.8。

防火墙优化问题其最优解为按权重降序排列规则，经过排列后 的规则集即为最优化规则集。

重载模块，将最优规则集载入防火墙配置中，防火墙依照最优集对数据包 做过滤处理。

以前提高防火墙性能的技术方案主要是通过硬件（如采用三态内容可寻址 存储器TCAMs等）或软件的方式（如采用二叉树等）来提高防火墙的匹配算 法，使其能够快速响应数据包，从而提高防火墙的性能。但这具有一定的限制：

若采用硬件实现的方式，成本较高；采用软件实现的方式，其效果不够明 显；

不能体现网络中的流量特点，经统计防火墙规则的匹配频率服从Zipf分 配，其中较少的规则（约为20%左右）具有较高的匹配次数，大部分规则的匹 配次数较低。对于这些大部分规则来讲，需要遍历将近大多数的规则（约为 80%左右），导致其性能下降。

本较佳实施方式基于防火墙规则的匹配频率服从Zipf分布这一事实，提 出一种基于动态调整防火墙规则顺序的网元架构模型。该模型实时监控当前网 络流量特征，将活跃规则（活跃规则即匹配次数较高的规则）提前，将沉闷规 则（沉闷规则即匹配次数较低的规则）挪后，从而降低规则的平均匹配次数， 从而提高防火墙的性能。

本较佳实施方式实现相对简单，成本低；能够适应于突发性、大流量等多 种流量环境；能够依据当前网络流量对应的规则匹配特征，实现防火墙性能实 时、动态优化。

图7表示本发明实施例提供的一种防火墙规则集的配置装置的结构图，参 照图7，本发明实施例还提供一种防火墙规则集的配置装置，包括：

获取模块701，用于获取防火墙在设定时间间隔内根据配置的第一规则集 对网络流量进行规则匹配的过程中，所述第一规则集中每条规则对应的匹配顺 序调整参数值，其中，所述第一规则集为经过规则间制约关系的消除处理的防 火墙规则集；

调整模块702，用于根据所有所述每条规则对应的匹配顺序调整参数值， 对所述第一规则集进行规则匹配顺序的调整，得到调整后的所述第一规则集；

载入模块703，用于将所述调整后的第一规则集载入所述防火墙的配置， 使得所述防火墙能够根据所述调整后的第一规则集，对数据包进行过滤处理。

可见，通过上述方式，使得防火墙规则集的规则匹配顺序能够基于网络流 量的实际规则匹配状况而得到调整，从而实现了防火墙规则集的重新配置。

其中，具体可以有：

所述调整后的第一规则集中的两两规则之间，排序较前的规则对应的匹配 顺序调整参数值大于排序较后的规则对应的匹配顺序调整参数值。

进一步地，可以有：

所述每条规则对应的匹配顺序调整参数值为所述每条规则对应的匹配频 率；

所述获取模块包括：

第一采集单元，用于采集所述防火墙在所述设定时间间隔内根据所述第一 规则集对网络流量进行规则匹配的过程中，所述第一规则集中每条规则对应的 匹配次数；

第一确定单元，用于将所述每条规则对应的匹配次数与所有所述每条规则 对应的匹配次数和的比值，作为所述每条规则对应的匹配频率。

或者，可以有：

所述获取模块包括：

第二采集单元，用于采集所述防火墙在所述设定时间间隔内根据所述第一 规则集对网络流量进行规则匹配的过程中，所述第一规则集中每条规则对应的 匹配次数和最新一次匹配时间；

第二确定单元，用于将所述每条规则对应的匹配次数与所有所述每条规则 对应的匹配次数和的比值，作为所述每条规则对应的匹配频率；

第三确定单元，用于将所述每条规则对应的最新一次匹配时间与所述设定 时间间隔的比值，作为所述每条规则对应的匹配近因；

求加权和单元，用于对所述每条规则对应的匹配频率和匹配近因求加权 和，得到所述每条规则对应的匹配顺序调整参数值。

进一步地，所述装置还可以包括：

确定模块，用于根据所有所述每条规则对应的匹配频率和预设的函数，确 定一规则匹配顺序调整判断参数值；

判断模块，用于根据所述规则匹配顺序调整判断参数值和一预设的门限 值，判断是否需要对所述第一规则集进行规则匹配顺序的调整，获取一判断结 果；当所述判断结果为是时，进入所述载入模块；当所述判断结果为否时，不 进入所述载入模块。

具体可以有：

设所述第一规则集中的规则数目为n个，所述第一规则集中的第i条规则 对应的匹配频率为f_i，所述规则匹配顺序调整判断参数值为S，则所述函数为 $S=1-\frac{\underset{i=1}{\overset{n}{\Sigma }}{f}_{i}1g{f}_i}{1\mathrm{gn}};$

所述判断模块包括：

第一判断单元，用于判断所述规则匹配顺序调整判断参数值是否大于所述 门限值，如果是，所述判断结果为是，否则，所述判断结果为否。

或者，具体可以有：

设所述第一规则集中的规则数目为n个，所述第一规则集中的第i条规则 对应的匹配频率为f_i，所述规则匹配顺序调整判断参数值为S，则所述函数为 $S=\frac{\underset{i=1}{\overset{n}{\Sigma }}{f}_{i}1g{f}_i}{1\mathrm{gn}};$

所述判断模块包括：

第二判断单元，用于判断所述规则匹配顺序调整判断参数值是否小于所述 门限值，如果是，所述判断结果为是，否则，所述判断结果为否。

本发明实施例还提供一种防火墙，所述防火墙包括以上所述的防火墙规则 集的配置装置。

以上所述仅是本发明实施例的实施方式，应当指出，对于本技术领域的普 通技术人员来说，在不脱离本发明实施例原理的前提下，还可以作出若干改进 和润饰，这些改进和润饰也应视为本发明实施例的保护范围。