CN104243487A - 安全网关的规则匹配方法和装置 - Google Patents
安全网关的规则匹配方法和装置 Download PDFInfo
- Publication number
- CN104243487A CN104243487A CN201410510385.6A CN201410510385A CN104243487A CN 104243487 A CN104243487 A CN 104243487A CN 201410510385 A CN201410510385 A CN 201410510385A CN 104243487 A CN104243487 A CN 104243487A
- Authority
- CN
- China
- Prior art keywords
- rule
- gateway
- matching condition
- matching
- safety regulation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
本发明公开了一种安全网关的规则匹配方法和装置。其中,安全网关的规则匹配方法包括:获取安全网关中的安全规则的第一匹配条件,其中,安全规则为根据多个网关规则集成的规则集;获取安全网关处的数据包的第二匹配条件;将第二匹配条件与第一匹配条件进行匹配,得到匹配结果;以及根据匹配结果对数据包执行相应的策略动作。通过本发明,解决了相关技术中安全网关在处理数据包时,匹配效率低且容易出错的问题。
Description
技术领域
本发明涉及网关领域,具体而言,涉及一种安全网关的规则匹配方法和装置。
背景技术
在相关技术中,传统的安全网关的功能是通过层层匹配多个相互独立的安全规则(如,过滤规则、连接限制规则、重定向规则、用户认证规则、流控规则、流量统计规则等)来实现的。
例如,对于一个数据包而言,如果要通过安全网关,则必须与该安全网关中的每个安全规则集进行一一匹配。这匹配方式,导致匹配效率低,并且容易出错,尤其在修改已有的匹配的情况下,工作效率低且容易出错的缺陷更加明显。
针对相关技术中安全网关在处理数据包时,匹配效率低且容易出错的问题,目前尚未提出有效的解决方案。
发明内容
本发明的主要目的在于提供一种安全网关的规则匹配方法和装置,以解决相关技术中安全网关在处理数据包时,匹配效率低且容易出错的问题。
为了实现上述目的,根据本发明的一个方面,提供了一种安全网关的规则匹配方法。该方法包括:获取安全网关中的安全规则的第一匹配条件,其中,所述安全规则为根据多个网关规则集成的规则集;获取所述安全网关处的数据包的第二匹配条件;将所述第二匹配条件与所述第一匹配条件进行匹配,得到匹配结果;以及根据所述匹配结果对所述数据包执行相应的策略动作。
进一步地,通过以下步骤集成所述安全网关中的所述安全规则:获取所述多个网关规则;根据所述多个网关规则确定所述多个网关规则中每个网关规则的匹配条件;以及根据所述多个网关规则和所述每个网关规则的匹配条件集成所述安全规则,其中,所述安全规则包含所述多个网关规则和所述多个网关规则的匹配条件。
进一步地,在根据所述多个网关规则和所述多个网关规则的匹配条件集成所述安全规则之前,还通过以下步骤集成所述安全网关中的所述安全规则:判断所述多个网关规则中所有的网关规则的匹配条件是否具有共同属性,其中,如果判断出所述多个网关规则中所述所有的网关规则的匹配条件具有所述共同属性,则根据所述多个网关规则和所述多个网关规则的匹配条件集成所述安全规则。
进一步地,根据所述匹配结果对所述数据包执行相应的策略动作包括:根据所述匹配结果确定所述策略动作的对象,所述对象为所述策略动作对象化的结果;引用所述策略动作的所述对象;根据引用的所述策略动作的所述对象对所述数据包执行相应的策略动作。
进一步地,在获取安全网关中的安全规则的第一匹配条件之前,所述规则匹配方法包括:通过查找用于存储所述安全规则的规则表得到所述安全网关中的所述安全规则,其中,在得到所述安全网关中的所述安全规则之后,获取所述安全网关中的所述安全规则的所述第一匹配条件。
为了实现上述目的,根据本发明的另一方面,提供了一种安全网关的规则匹配装置。该装置包括:第一获取单元,用于获取安全网关中的安全规则的第一匹配条件,其中,所述安全规则为根据多个网关规则集成的规则集;第二获取单元,用于获取所述安全网关处的数据包的第二匹配条件;匹配单元,用于将所述第二匹配条件与所述第一匹配条件进行匹配,得到匹配结果;以及执行单元,用于根据所述匹配结果对所述数据包执行相应的策略动作。
进一步地,所述的安全网关的规则匹配装置还包括:第三获取单元,用于获取所述多个网关规则;确定单元,用于根据所述多个网关规则确定所述多个网关规则中每个网关规则的匹配条件;以及集成单元,用于根据所述多个网关规则和所述每个网关规则的匹配条件集成所述安全规则,其中,所述安全规则包含所述多个网关规则和所述多个网关规则的匹配条件。
进一步地,所述的安全网关的规则匹配装置还包括:判断单元,用于在根据所述多个网关规则和所述多个网关规则的匹配条件集成所述安全规则之前,判断所述多个网关规则中所有的网关规则的匹配条件是否具有共同属性,其中,所述集成单元还用于在判断出所述多个网关规则中所述所有的网关规则的匹配条件具有所述共同属性时,根据所述多个网关规则和所述多个网关规则的匹配条件集成所述安全规则。
进一步地,所述执行单元包括:确定模块,用于根据所述匹配结果确定所述策略动作的对象,所述对象为所述策略动作对象化的结果;引用模块,用于引用所述策略动作的所述对象;执行模块,用于根据引用的所述策略动作的所述对象对所述数据包执行相应的策略动作。
进一步地,所述的安全网关的规则匹配装置还包括:查找单元,用于在获取安全网关中的安全规则的第一匹配条件之前,通过查找用于存储所述安全规则的规则表得到所述安全网关中的所述安全规则,其中,所述第一获取单元还用于在得到所述安全网关中的所述安全规则之后,获取所述安全网关中的所述安全规则的所述第一匹配条件。
通过本发明,采用获取安全网关中的安全规则的第一匹配条件,其中,安全规则为根据多个网关规则集成的规则集;获取安全网关处的数据包的第二匹配条件;将第二匹配条件与第一匹配条件进行匹配,得到匹配结果;以及根据匹配结果对数据包执行相应的策略动作,解决了相关技术中安全网关在处理数据包时,匹配效率低且容易出错的问题,进而达到了提高匹配效率的效果。
附图说明
构成本申请的一部分的附图用来提供对本发明的进一步理解,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本发明实施例的安全网关的规则匹配方法的流程图;以及
图2是根据本发明实施例的安全网关的规则匹配装置的示意图。
具体实施方式
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本发明。
为了使本领域的技术人员更好的理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,在本领域普通技术人员没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明的保护范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含。
根据本发明的实施例,提供了一种安全网关的规则匹配方法,该安全网关的规则匹配方法用于将全部或者部分安全网关的安全规则集成为一个安全规则以提高安全网关在对数据包进行处理时的匹配效率。
图1是根据本发明实施例的安全网关的规则匹配方法的流程图。
如图1所示,该方法包括如下的步骤S102至步骤S108:
步骤S102,获取安全网关中的安全规则的第一匹配条件。
其中,安全规则为根据多个网关规则集成的规则集。在安全网关中,安全规则用于实现安全网关的功能。需要说明的是,在本发明实施例中,网关规则可以包括:过滤规则(即,安全规则)、连接限制规则、重定向规则、用户认证规则、流控规则、流量统计规则等。在根据网关规则集成安全规则时,至少需要由两个网关规则来集成一个安全规则。
例如,可以将过滤规则(即,安全规则)、连接限制规则各自的规则内容和匹配条件均集成至过滤规则中;或者,可以将过滤规则(即,安全规则)、连接限制规则、重定向规则、用户认证规则、流控规则、流量统计规则各自的规则内容和匹配条件全部集成至过滤规则中。由于将多个网关规则集成为一个安全规则,可以减少查找安全规则的次数,并且在安全网关进行数据包处理时,可以减少规则的匹配次数,因此,可以提高匹配效率,减少出错率。
需要说明的是,在本发明实施例中,第一匹配条件可以为五元组(源IP,目的IP,源端口,目的端口,协议)匹配条件中的任意一个或者多个。
由于安全规则为多个网关规则集成的,因此第一匹配条件相应地为多个网关规则各自的匹配条件的集合。这样,在获取安全网关中的安全规则的第一匹配条件之后,可以对安全规则中所述涉及的所有网关规则进行一次性匹配,达到了提高匹配效率的效果。
步骤S104,获取安全网关处的数据包的第二匹配条件。
安全网关处的数据包可以为用户发出请求的数据包,或者其可以为网络响应用户的请求的数据包。数据包的第二匹配条件可以为五元组(源IP,目的IP,源端口,目的端口,协议)匹配条件中的任意一个或者多个。需要说明的是,第一匹配条件为所有第二匹配条件的总和。
步骤S106,将第二匹配条件与第一匹配条件进行匹配,得到匹配结果。
例如,可以将每一个数据包的第二匹配条件的五元组中的匹配条件分别与第一匹配条件的五元组中的匹配条件进行匹配,得到匹配结果,其中,匹配结果中包括每个匹配条件被匹配成功的结果或者被匹配失败的结果。但是,针对每个数据包,可以通过执行一次匹配实现全部匹配的目的。
需要说明的是,在将第二匹配条件与第一匹配条件进行匹配时,第二匹配条件所对应的安全规则需要处于启动模式中。
步骤S108,根据匹配结果对数据包执行相应的策略动作。
例如,在集成的安全规则中的过滤规则匹配成功之后,可以获取相应的策略动作,允许或者禁止数据包通过安全网关;在集成的安全规则中的限制规则匹配成功之后,可以取相应的策略动作,对数据包进行限制处理;在集成的安全规则中的重定向规则匹配成功之后,可以取相应的策略动作,对数据包进行重定向处理。
由于将具有公共匹配条件的网关规则进行了整合、集成,因此,可以将原本分散的网关规则的匹配过程统一集成到安全规则中,例如,连接限制规则、重定向规则、流量控制规则等的公共匹配条件为五元组形式的匹配条件。并且所有的五元组形式的匹配条件的网关规则都可以集成到安全规则中。
通过本发明实施例,采用获取安全网关中的安全规则的第一匹配条件,其中,安全规则为根据多个网关规则集成的规则集;获取安全网关处的数据包的第二匹配条件;将第二匹配条件与第一匹配条件进行匹配,得到匹配结果;以及根据匹配结果对数据包执行相应的策略动作,解决了相关技术中安全网关在处理数据包时,匹配效率低且容易出错的问题,进而达到了提高匹配效率的效果。
优选地,在本发明实施例中,可以通过以下步骤集成安全网关中的安全规则:
S2,获取多个网关规则。具体地,可以从安全网关的存储器或者数据库中获取多个网关规则。例如,在从数据库中获取多个网关规则时,可以通过查询数据库列表的方式获取该安全网关的多个网关规则。并且,进一步地,在查询数据库列表中的多个网关规则时,可以首先判断该安全规则是否处于启用模式中,如果判断出该安全规则处于启用模式中,则根据获取网关规则的其他条件获取该网关规则;如果判断出该安全规则处于非启用模式中,则无需获取该网关规则。
需要说明的是,由于前述获取的多个网关规则是用于集成安全网关的,因此,在获取前述的多个网关规则时,还需要确定这些网关规则是否具有公共的匹配条件,只有确定出这些网关规则具有公共的匹配条件时,才获取,否则,不获取。
S4,根据多个网关规则确定多个网关规则中每个网关规则的匹配条件。
需要说明的是,根据多个网关规则确定多个网关规则中每个网关规则的匹配条件之后,不但可以确定该多个网关规则是否具有公共的匹配条件,而且还可以确定安全网关的第一匹配条件,其中,第一匹配条件为所有用于集成安全规则的网关规则的匹配条件的总和。
S6,根据多个网关规则和每个网关规则的匹配条件集成安全规则,其中,安全规则包含多个网关规则和多个网关规则的匹配条件。
也即,安全规则的规则内容为所有集成该安全规则的网关规则的内容的集合,但对每个网关规则本身而言,其规则的内容本身没有发生变化;并且,安全规则的第一匹配条件为所有集成该安全规则的网关规则的匹配条件的总和,但对每个网关规则本身而言,其匹配条件本身也没有发生变化。
通过本发明实施例,将多个具有公共匹配条件的网关规则集成为一个安全网关,这样,在对数据包进行处理时,可以一次性的匹配多个的网关规则,提高了安全规则的匹配效率。并且,通过集成安全规则,可以防止在对数据包进行处理时,某个或者某几个网关规则因为被遗漏而无法匹配,进行可以防止出现匹配错误。
优选地,在本发明实施例中,在根据多个网关规则和多个网关规则的匹配条件集成安全规则之前,还可以通过以下步骤集成安全网关中的安全规则:
S5,判断多个网关规则中所有的网关规则的匹配条件是否具有共同属性。
其中,如果判断出多个网关规则中所有的网关规则的匹配条件具有共同属性,则根据多个网关规则和多个网关规则的匹配条件集成安全规则。
需要说明的是,在本发明实施例中,共同属性可以为前述的公共的匹配条件,详细内容请参考前述部分,在此不再赘述。
优选地,在本发明实施例中,根据匹配结果对数据包执行相应的策略动作可以包括:
S8,根据匹配结果确定策略动作的对象,对象为策略动作对象化的结果。
在根据匹配结果确定策略动作的对象之前,可以先将策略动作对象化,这样,在集成安全规则时,可以不用将与各个网关规则对应的策略动作都集成到安全规则中,而仅仅将各个策略动作的对象的引用关系集成到安全规则中,不仅简化了安全规则,而且可以实现对象的复用,同时,还可以节省策略动作所占用的资源,例如,可以节省策略动作所占用的内存空间。
具体地,可以将连接限制规则、重定向规则、流控规则等功能的控制或动作对象化。例如,可以通过以下程序代码对重定向的控制动作对象:
需要说明的是,其他类似功能的控制动作都可以用同样的方法进行对象化处理。在本发明实施例中,在改进后,例如先将重定向规则的控制动作创建成一个对象(test1),然后就可以在安全规则中引用。
S10,引用策略动作的对象。在将策略动作对象化之后,可以创建并存储策略动作与对象以及网关规则的对应的关系,这样,可以通过该对应关系引用策略动作的对象。
S12,根据引用的策略动作的对象对数据包执行相应的策略动作。
优选地,在本发明实施例中,在获取安全网关中的安全规则的第一匹配条件之前,该规则匹配方法可以包括:
S14,通过查找用于存储安全规则的规则表得到安全网关中的安全规则。其中,在得到安全网关中的安全规则之后,获取安全网关中的安全规则的第一匹配条件。
需要说明的是,在通过查找用于存储安全规则的规则表得到安全网关中的安全规则之前,可以先创建安全规则的规则表,这样,可以将各个安全网关的安全规则存储在该规则表中。
通过本发明实施例,与将各个网关规则存储在规则表中相比,在查表时,只需要查一次表,就可以得到安全规则中各个网关规则的相关信息,因此,减少了查表次数,提高了工作效率,并且,可以防止多次查表而造成重复查表和漏查表等。
需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
根据本发明的实施例,提供了一种安全网关的规则匹配装置,该安全网关的规则匹配装置用于将全部或者部分安全网关的安全规则集成为一个安全规则以提高安全网关在对数据包进行处理时的匹配效率。该安全网关的规则匹配方法可以运行在计算机处理设备上。需要说明的是,本发明实施例所提供的安全网关的规则匹配方法可以通过本发明实施例的安全网关的规则匹配装置来执行,本发明实施例的安全网关的规则匹配装置也可以用于执行本发明实施例的安全网关的规则匹配方法。
图2是根据本发明实施例的安全网关的规则匹配装置的示意图。
如图2所示,该装置包括:第一获取单元202、第二获取单元204、匹配单元206和执行单元208。
第一获取单元202用于获取安全网关中的安全规则的第一匹配条件,其中,安全规则为根据多个网关规则集成的规则集。
其中,安全规则为根据多个网关规则集成的规则集。在安全网关中,安全规则用于实现安全网关的功能。需要说明的是,在本发明实施例中,网关规则可以包括:过滤规则(即,安全规则)、连接限制规则、重定向规则、用户认证规则、流控规则、流量统计规则等。在根据网关规则集成安全规则时,至少需要由两个网关规则来集成一个安全规则。
例如,可以将过滤规则(即,安全规则)、连接限制规则各自的规则内容和匹配条件均集成至过滤规则中;或者,可以将过滤规则(即,安全规则)、连接限制规则、重定向规则、用户认证规则、流控规则、流量统计规则各自的规则内容和匹配条件全部集成至过滤规则中。由于将多个网关规则集成为一个安全规则,可以减少查找安全规则的次数,并且在安全网关进行数据包处理时,可以减少规则的匹配次数,因此,可以提高匹配效率,减少出错率。
需要说明的是,在本发明实施例中,第一匹配条件可以为五元组(源IP,目的IP,源端口,目的端口,协议)匹配条件中的任意一个或者多个。
由于安全规则为多个网关规则集成的,因此第一匹配条件相应地为多个网关规则各自的匹配条件的集合。这样,在获取安全网关中的安全规则的第一匹配条件之后,可以对安全规则中所述涉及的所有网关规则进行一次性匹配,达到了提高匹配效率的效果。
第二获取单元204用于获取安全网关处的数据包的第二匹配条件。
安全网关处的数据包可以为用户发出请求的数据包,或者其可以为网络响应用户的请求的数据包。数据包的第二匹配条件可以为五元组(源IP,目的IP,源端口,目的端口,协议)匹配条件中的任意一个或者多个。需要说明的是,第一匹配条件为所有第二匹配条件的总和。
匹配单元206用于将第二匹配条件与第一匹配条件进行匹配,得到匹配结果。
例如,可以将每一个数据包的第二匹配条件的五元组中的匹配条件分别与第一匹配条件的五元组中的匹配条件进行匹配,得到匹配结果,其中,匹配结果中包括每个匹配条件被匹配成功的结果或者被匹配失败的结果。但是,针对每个数据包,可以通过执行一次匹配实现全部匹配的目的。
需要说明的是,在将第二匹配条件与第一匹配条件进行匹配时,第二匹配条件所对应的安全规则需要处于启动模式中。
执行单元208用于根据匹配结果对数据包执行相应的策略动作。
例如,在集成的安全规则中的过滤规则匹配成功之后,可以获取相应的策略动作,允许或者禁止数据包通过安全网关;在集成的安全规则中的限制规则匹配成功之后,可以取相应的策略动作,对数据包进行限制处理;在集成的安全规则中的重定向规则匹配成功之后,可以取相应的策略动作,对数据包进行重定向处理。
由于将具有公共匹配条件的网关规则进行了整合、集成,因此,可以将原本分散的网关规则的匹配过程统一集成到安全规则中,例如,连接限制规则、重定向规则、流量控制规则等的公共匹配条件为五元组形式的匹配条件。并且所有的五元组形式的匹配条件的网关规则都可以集成到安全规则中。
通过本发明实施例,采用获取安全网关中的安全规则的第一匹配条件,其中,安全规则为根据多个网关规则集成的规则集;获取安全网关处的数据包的第二匹配条件;将第二匹配条件与第一匹配条件进行匹配,得到匹配结果;以及根据匹配结果对数据包执行相应的策略动作,解决了相关技术中安全网关在处理数据包时,匹配效率低且容易出错的问题,进而达到了提高匹配效率的效果。
优选地,在本发明实施例中,该安全网关的规则匹配装置还可以包括:第三获取单元、确定单元和集成单元。
第三获取单元用于获取多个网关规则。具体地,可以从安全网关的存储器或者数据库中获取多个网关规则。例如,在从数据库中获取多个网关规则时,可以通过查询数据库列表的方式获取该安全网关的多个网关规则。并且,进一步地,在查询数据库列表中的多个网关规则时,可以首先判断该安全规则是否处于启用模式中,如果判断出该安全规则处于启用模式中,则根据获取网关规则的其他条件获取该网关规则;如果判断出该安全规则处于非启用模式中,则无需获取该网关规则。
需要说明的是,由于前述获取的多个网关规则是用于集成安全网关的,因此,在获取前述的多个网关规则时,还需要确定这些网关规则是否具有公共的匹配条件,只有确定出这些网关规则具有公共的匹配条件时,才获取;否则,不获取。
确定单元用于根据多个网关规则确定多个网关规则中每个网关规则的匹配条件。需要说明的是,根据多个网关规则确定多个网关规则中每个网关规则的匹配条件之后,不但可以确定该多个网关规则是否具有公共的匹配条件,而且还可以确定安全网关的第一匹配条件,其中,第一匹配条件为所有用于集成安全规则的网关规则的匹配条件的总和。
集成单元用于根据多个网关规则和每个网关规则的匹配条件集成安全规则,其中,安全规则包含多个网关规则和多个网关规则的匹配条件。也即,安全规则的规则内容为所有集成该安全规则的网关规则的内容的集合,但对每个网关规则本身而言,其规则的内容本身没有发生变化;并且,安全规则的第一匹配条件为所有集成该安全规则的网关规则的匹配条件的总和,但对每个网关规则本身而言,其匹配条件本身也没有发生变化。
通过本发明实施例,将多个具有公共匹配条件的网关规则集成为一个安全网关,这样,在对数据包进行处理时,可以一次性的匹配多个的网关规则,提高了安全规则的匹配效率。并且,通过集成安全规则,可以防止在对数据包进行处理时,某个或者某几个网关规则因为被遗漏而无法匹配,进行可以防止出现匹配错误。
优选地,在本发明实施例中,该安全网关的规则匹配装置还可以包括:判断单元。
判断单元用于在根据多个网关规则和多个网关规则的匹配条件集成安全规则之前,判断多个网关规则中所有的网关规则的匹配条件是否具有共同属性,其中,集成单元还用于在判断出多个网关规则中所有的网关规则的匹配条件具有共同属性时,根据多个网关规则和多个网关规则的匹配条件集成安全规则。
需要说明的是,在本发明实施例中,共同属性可以为前述的公共的匹配条件,详细内容请参考前述部分,在此不再赘述。
优选地,在本发明实施例中,执行单元可以包括:确定模块、引用模块和执行模块。
确定模块用于根据匹配结果确定策略动作的对象,对象为策略动作对象化的结果。在根据匹配结果确定策略动作的对象之前,可以先将策略动作对象化,这样,在集成安全规则时,可以不用将与各个网关规则对应的策略动作都集成到安全规则中,而仅仅将各个策略动作的对象的引用关系集成到安全规则中,不仅简化了安全规则,而且可以实现对象的复用,同时,还可以节省策略动作所占用的资源,例如,可以节省策略动作所占用的内存空间。
具体地,可以将连接限制规则、重定向规则、流控规则等功能的控制或动作对象化。例如,可以通过以下程序代码对重定向的控制动作对象:
需要说明的是,其他类似功能的控制动作都可以用同样的方法进行对象化处理。在本发明实施例中,在改进后,例如先将重定向规则的控制动作创建成一个对象(test1),然后就可以在安全规则中引用。
引用模块用于引用策略动作的对象。在将策略动作对象化之后,可以创建并存储策略动作与对象以及网关规则的对应的关系,这样,可以通过该对应关系引用策略动作的对象。
执行模块用于根据引用的策略动作的对象对数据包执行相应的策略动作。
优选地,在本发明实施例中,该安全网关的规则匹配装置还可以包括:查找单元。
查找单元用于在获取安全网关中的安全规则的第一匹配条件之前,通过查找用于存储安全规则的规则表得到安全网关中的安全规则,其中,第一获取单元还用于在得到安全网关中的安全规则之后,获取安全网关中的安全规则的第一匹配条件。需要说明的是,在通过查找用于存储安全规则的规则表得到安全网关中的安全规则之前,可以先创建安全规则的规则表,这样,可以将各个安全网关的安全规则存储在该规则表中。
通过本发明实施例,与将各个网关规则存储在规则表中相比,在查表时,只需要查一次表,就可以得到安全规则中各个网关规则的相关信息,因此,减少了查表次数,提高了工作效率,并且,可以防止多次查表而造成重复查表和漏查表等。
从以上的描述中,可以看出,本发明实现了如下技术效果:
通过本发明,采用安全网关及其策略动作一体化配置,将所有控制功能都集成到过滤规则(即,安全规则)中,在规则匹配时,只需要查一次规则表,即可使用对应的规则定义的多种控制功能,并且,在修改配置时,也不容易出现遗漏的情况,因为所有的配置都集成在一起了。
通过本发明,实现了一次匹配,全程控制的目的,解决了策略控制过多,导致遗漏、管理不便等安全性问题,采用将安全控制聚焦在统一的策略控制上进行检测,提高了网络的安全性与可操作性。
另外,本发明中的安全规则集成了如防火墙、UTM(Unified Thread Management,简称为安全网关)等中用到的所有策略,这样,既能优化配置,又可以提高效率,并且可以减小配置错误出现的概率。
并且,通过本发明,在对指定的网关规则更改配置,或调整顺序时,可以一次性完成所有控制功能的修改或者调整,而无需对每个控制功能进行反复修改。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种安全网关的规则匹配方法,其特征在于,包括:
获取安全网关中的安全规则的第一匹配条件,其中,所述安全规则为根据多个网关规则集成的规则集;
获取所述安全网关处的数据包的第二匹配条件;
将所述第二匹配条件与所述第一匹配条件进行匹配,得到匹配结果;以及
根据所述匹配结果对所述数据包执行相应的策略动作。
2.根据权利要求1所述的安全网关的规则匹配方法,其特征在于,通过以下步骤集成所述安全网关中的所述安全规则:
获取所述多个网关规则;
根据所述多个网关规则确定所述多个网关规则中每个网关规则的匹配条件;以及
根据所述多个网关规则和所述每个网关规则的匹配条件集成所述安全规则,其中,所述安全规则包含所述多个网关规则和所述多个网关规则的匹配条件。
3.根据权利要求2所述的安全网关的规则匹配方法,其特征在于,在根据所述多个网关规则和所述多个网关规则的匹配条件集成所述安全规则之前,还通过以下步骤集成所述安全网关中的所述安全规则:
判断所述多个网关规则中所有的网关规则的匹配条件是否具有共同属性,
其中,如果判断出所述多个网关规则中所述所有的网关规则的匹配条件具有所述共同属性,则根据所述多个网关规则和所述多个网关规则的匹配条件集成所述安全规则。
4.根据权利要求1所述的安全网关的规则匹配方法,其特征在于,根据所述匹配结果对所述数据包执行相应的策略动作包括:
根据所述匹配结果确定所述策略动作的对象,所述对象为所述策略动作对象化的结果;
引用所述策略动作的所述对象;
根据引用的所述策略动作的所述对象对所述数据包执行相应的策略动作。
5.根据权利要求1所述的安全网关的规则匹配方法,其特征在于,在获取安全网关中的安全规则的第一匹配条件之前,所述规则匹配方法包括:
通过查找用于存储所述安全规则的规则表得到所述安全网关中的所述安全规则,
其中,在得到所述安全网关中的所述安全规则之后,获取所述安全网关中的所述安全规则的所述第一匹配条件。
6.一种安全网关的规则匹配装置,其特征在于,包括:
第一获取单元,用于获取安全网关中的安全规则的第一匹配条件,其中,所述安全规则为根据多个网关规则集成的规则集;
第二获取单元,用于获取所述安全网关处的数据包的第二匹配条件;
匹配单元,用于将所述第二匹配条件与所述第一匹配条件进行匹配,得到匹配结果;以及
执行单元,用于根据所述匹配结果对所述数据包执行相应的策略动作。
7.根据权利要求6所述的安全网关的规则匹配装置,其特征在于,还包括:
第三获取单元,用于获取所述多个网关规则;
确定单元,用于根据所述多个网关规则确定所述多个网关规则中每个网关规则的匹配条件;以及
集成单元,用于根据所述多个网关规则和所述每个网关规则的匹配条件集成所述安全规则,其中,所述安全规则包含所述多个网关规则和所述多个网关规则的匹配条件。
8.根据权利要求7所述的安全网关的规则匹配装置,其特征在于,还包括:
判断单元,用于在根据所述多个网关规则和所述多个网关规则的匹配条件集成所述安全规则之前,判断所述多个网关规则中所有的网关规则的匹配条件是否具有共同属性,
其中,所述集成单元还用于在判断出所述多个网关规则中所述所有的网关规则的匹配条件具有所述共同属性时,根据所述多个网关规则和所述多个网关规则的匹配条件集成所述安全规则。
9.根据权利要求6所述的安全网关的规则匹配装置,其特征在于,所述执行单元包括:
确定模块,用于根据所述匹配结果确定所述策略动作的对象,所述对象为所述策略动作对象化的结果;
引用模块,用于引用所述策略动作的所述对象;
执行模块,用于根据引用的所述策略动作的所述对象对所述数据包执行相应的策略动作。
10.根据权利要求6所述的安全网关的规则匹配装置,其特征在于,还包括:
查找单元,用于在获取安全网关中的安全规则的第一匹配条件之前,通过查找用于存储所述安全规则的规则表得到所述安全网关中的所述安全规则,
其中,所述第一获取单元还用于在得到所述安全网关中的所述安全规则之后,获取所述安全网关中的所述安全规则的所述第一匹配条件。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410510385.6A CN104243487A (zh) | 2014-09-28 | 2014-09-28 | 安全网关的规则匹配方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410510385.6A CN104243487A (zh) | 2014-09-28 | 2014-09-28 | 安全网关的规则匹配方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104243487A true CN104243487A (zh) | 2014-12-24 |
Family
ID=52230836
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410510385.6A Pending CN104243487A (zh) | 2014-09-28 | 2014-09-28 | 安全网关的规则匹配方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104243487A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104618403A (zh) * | 2015-03-10 | 2015-05-13 | 网神信息技术(北京)股份有限公司 | 安全网关的访问控制方法和装置 |
| CN106470206A (zh) * | 2015-08-14 | 2017-03-01 | 纬创资通股份有限公司 | 适用于异质网络架构的异常预测方法及系统 |
| CN107547432A (zh) * | 2017-08-28 | 2018-01-05 | 新华三信息安全技术有限公司 | 一种流量控制方法及装置 |
| CN108667776A (zh) * | 2017-03-31 | 2018-10-16 | 中兴通讯股份有限公司 | 一种网络业务诊断方法 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101026576A (zh) * | 2007-01-19 | 2007-08-29 | 杭州华为三康技术有限公司 | 兼顾匹配策略的处理分段报文串模式匹配的方法及装置 |
| CN101409623A (zh) * | 2008-11-26 | 2009-04-15 | 湖南大学 | 一种面向高速网络的模式匹配方法 |
| CN101753542A (zh) * | 2008-12-03 | 2010-06-23 | 北京天融信网络安全技术有限公司 | 一种加速防火墙过滤规则匹配的方法及装置 |
| CN101909067A (zh) * | 2010-08-26 | 2010-12-08 | 北京天融信科技有限公司 | 安全网关集群防病毒的方法及系统 |
| US20100333165A1 (en) * | 2009-06-24 | 2010-12-30 | Vmware, Inc. | Firewall configured with dynamic membership sets representing machine attributes |
| CN102291440A (zh) * | 2011-07-28 | 2011-12-21 | 清华大学 | 一种云环境下规则优化方法及装置 |
| CN103688489A (zh) * | 2012-12-03 | 2014-03-26 | 华为技术有限公司 | 一种策略处理的方法及网络设备 |
-
2014
- 2014-09-28 CN CN201410510385.6A patent/CN104243487A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101026576A (zh) * | 2007-01-19 | 2007-08-29 | 杭州华为三康技术有限公司 | 兼顾匹配策略的处理分段报文串模式匹配的方法及装置 |
| CN101409623A (zh) * | 2008-11-26 | 2009-04-15 | 湖南大学 | 一种面向高速网络的模式匹配方法 |
| CN101753542A (zh) * | 2008-12-03 | 2010-06-23 | 北京天融信网络安全技术有限公司 | 一种加速防火墙过滤规则匹配的方法及装置 |
| US20100333165A1 (en) * | 2009-06-24 | 2010-12-30 | Vmware, Inc. | Firewall configured with dynamic membership sets representing machine attributes |
| CN101909067A (zh) * | 2010-08-26 | 2010-12-08 | 北京天融信科技有限公司 | 安全网关集群防病毒的方法及系统 |
| CN102291440A (zh) * | 2011-07-28 | 2011-12-21 | 清华大学 | 一种云环境下规则优化方法及装置 |
| CN103688489A (zh) * | 2012-12-03 | 2014-03-26 | 华为技术有限公司 | 一种策略处理的方法及网络设备 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104618403A (zh) * | 2015-03-10 | 2015-05-13 | 网神信息技术(北京)股份有限公司 | 安全网关的访问控制方法和装置 |
| CN106470206A (zh) * | 2015-08-14 | 2017-03-01 | 纬创资通股份有限公司 | 适用于异质网络架构的异常预测方法及系统 |
| CN106470206B (zh) * | 2015-08-14 | 2019-08-09 | 纬创资通股份有限公司 | 适用于异质网络架构的异常预测方法及系统 |
| CN108667776A (zh) * | 2017-03-31 | 2018-10-16 | 中兴通讯股份有限公司 | 一种网络业务诊断方法 |
| CN107547432A (zh) * | 2017-08-28 | 2018-01-05 | 新华三信息安全技术有限公司 | 一种流量控制方法及装置 |
| CN107547432B (zh) * | 2017-08-28 | 2019-09-06 | 新华三信息安全技术有限公司 | 一种流量控制方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11050713B2 (en) | Firewall configured with dynamic membership sets representing machine attributes | |
| US11916735B2 (en) | System and method for observing and controlling a programmable network using cross network learning | |
| US10341389B2 (en) | Policy based on a requested behavior | |
| Cuppens et al. | A formal approach to specify and deploy a network security policy | |
| US9210193B2 (en) | System and method for flexible network access control policies in a network environment | |
| CN100419752C (zh) | 关联存储器中的因特网协议安全性匹配值 | |
| CN100594690C (zh) | 一种安全网关中进行安全策略统一处理的方法及装置 | |
| CN101286850B (zh) | 路由器安全防御装置及防御系统和方法 | |
| US10298600B2 (en) | Method, apparatus, and system for cooperative defense on network | |
| CN109565500A (zh) | 按需安全性架构 | |
| CN104243487A (zh) | 安全网关的规则匹配方法和装置 | |
| US8856911B2 (en) | Methods, network services, and computer program products for recommending security policies to firewalls | |
| US20130247169A1 (en) | Method and system for management of security rule set | |
| CN109040037A (zh) | 一种基于策略和规则的安全审计系统 | |
| EP1682985A2 (en) | Distributed intrusion response system | |
| Cuppens et al. | Handling stateful firewall anomalies | |
| JP2016028501A (ja) | ファイアウォールクラスターにおけるアプリケーション状態共有 | |
| US20130152191A1 (en) | Timing management in a large firewall cluster | |
| CN104158767A (zh) | 一种网络准入装置及方法 | |
| TWI547822B (zh) | 資料處理方法及系統 | |
| CN106302371A (zh) | 一种基于用户业务系统的防火墙控制方法和系统 | |
| US20160294848A1 (en) | Method for protection of automotive components in intravehicle communication system | |
| CN105704093B (zh) | 一种防火墙访问控制策略查错方法、装置及系统 | |
| WO2020114230A1 (zh) | 维护端点mep的查找方法及装置、存储介质 | |
| Rajkhowa et al. | An application of defeasible logic programming for firewall verification and reconfiguration |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20141224 |