CN110808963A - 安全策略规则匹配方法、装置及防火墙设备 - Google Patents
安全策略规则匹配方法、装置及防火墙设备 Download PDFInfo
- Publication number
- CN110808963A CN110808963A CN201910989831.9A CN201910989831A CN110808963A CN 110808963 A CN110808963 A CN 110808963A CN 201910989831 A CN201910989831 A CN 201910989831A CN 110808963 A CN110808963 A CN 110808963A
- Authority
- CN
- China
- Prior art keywords
- port configuration
- port
- configuration item
- security policy
- binary tree
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开一种安全策略规则匹配方法、装置及防火墙设备,该方法包括:接收数据报文,读取数据报文携带的端口信息;获取预设的服务加速表,服务加速表包括以嵌套二叉树存储的服务端口配置项及其对应的安全策略规则;根据服加速表和端口信息,确定与数据报文相匹配的安全策略规则。本申请中,对于引用的服务对象组中同时包含源端口和目的端口的安全策略规则,构建服务加速表。服务加速表以嵌套二叉树存储服务对象组对应的源端口、目的端口及安全策略规则。在进行报文匹配时,根据报文携带的源端口和目的端口,能够从服务加速表中快速的确定出与报文相匹配的安全策略规则,提高了安全策略规则匹配的速度。
Description
技术领域
本申请涉及网络通讯技术,具体涉及一种安全策略规则匹配方法、装置及防火墙设备。
背景技术
防火墙是一种网络安全系统,它可通过部署安全策略规则来实现数据的访问控制。安全策略规则可引用多种引用项,如源IP(Internet Protocol,网络之间互连的协议)地址对象组、目的IP地址对象组、应用组、源安全域、目的安全域、服务对象组等。防火墙依据安全策略规则,根据报文的不同属性对报文进行转发控制。
其中,防火墙部署的安全策略规则中,有的服务对象组中同时包含源端口和目的端口的配置项。对于这种安全策略规则,防火墙在进行报文匹配时,需要将报文五元组中的源端口与服务对象组的源端口进行匹配,以及将报文五元组中的目的端口与该服务对象组的目的端口进行匹配。
当引用同时包含源端口和目的端口的服务对象组的安全策略规则很多时,按照上述方式进行报文匹配的速度很慢,防火墙的报文转发性能会大大降低。
发明内容
为解决以上问题,本申请提供一种安全策略规则匹配方法、装置及防火墙设备,对于引用的服务对象组中同时包含源端口和目的端口的安全策略规则,构建服务加速表,依据服务加速表进行报文匹配,提高安全策略规则匹配的速度。本申请通过以下几个方面来解决以上问题。
第一方面,本申请实施例提供了一种安全策略规则匹配方法,包括:
接收数据报文,读取所述数据报文携带的端口信息;
获取预设的服务加速表,所述服务加速表包括以嵌套二叉树存储的服务端口配置项及其对应的安全策略规则;
根据所述服加速表和所述端口信息,确定与所述数据报文相匹配的安全策略规则。
在本申请的一些实施例中,所述嵌套二叉树包括外层二叉树和内层二叉树,所述服务端口配置项包括的第一端口配置项记录在所述外层二叉树的外层节点上,所述服务端口配置项包括的第二端口配置项记录在所述内层二叉树的内层节点上,记录所述第一端口配置项的外层节点下嵌套所述第一端口配置项对应的内层二叉树,所述第一端口配置项对应的第二端口配置项记录在所述第一端口配置项对应的内层二叉树的内层节点上,记录所述第二端口配置项的所述内层节点下存储有所述第二端口配置项对应的安全策略规则;所述安全策略规则是以规则链或位图的形式进行存储的。
在本申请的一些实施例中,所述根据所述服加速表和所述端口信息,确定与所述数据报文相匹配的安全策略规则,包括:
遍历所述服务加速表中的所述外层二叉树,按照最长匹配方式查找与所述端口信息包括的第一端口一致的第一端口配置项;
遍历查找到的所述第一端口配置项对应的内层二叉树,按照所述最长匹配方式查找与所述端口信息包括的第二端口一致的第二端口配置项;
获取查到的所述第二端口配置项对应的安全策略规则,将获取的所述安全策略规则确定为与所述数据报文匹配的安全策略规则。
在本申请的一些实施例中,所述获取预设的服务加速表之前,还包括:
根据同时包含第一端口配置项和第二端口配置项的服务端口配置项及其对应的安全策略规则,生成服务加速表。
在本申请的一些实施例中,所述根据同时包含第一端口配置项和第二端口配置项的服务端口配置项及其对应的安全策略规则,生成服务加速表,包括:
初始化外层二叉树,将所有服务端口配置项包括的第一端口配置项添加到所述外层二叉树中;
将每个所述第一端口配置项对应的第二端口配置项和安全策略规则关联到所述第一端口配置项对应的外层节点上;
中序遍历所述外层二叉树,对所述外层节点,继承所述外层节点的祖先节点中存储的第二端口配置项和安全策略规则;
根据每个所述外层节点中存储的所有第二端口配置项和安全策略规则,分别生成每个所述外层节点对应的内层二叉树。
在本申请的一些实施例中,所述将所有服务端口配置项包括的第一端口配置项添加到所述外层二叉树中,包括:
按照预设表示形式,对服务端口配置项包括的第一端口配置项进行形式转换,得到第一端口配置项对应的网段;
根据所述第一端口配置项对应的网段,确定所述外层二叉树中挂接所述第一端口配置项的外层节点。
在本申请的一些实施例中,所述根据每个所述外层节点中存储的所有第二端口配置项和安全策略规则,分别生成每个所述外层节点对应的内层二叉树,包括:
按照预设表示形式,对所有第二端口配置项进行形式转换,得到第二端口配置项对应的网段;
初始化内层二叉树,根据外层节点中存储的所有第二端口配置项的对应的网段,依次确定所述内层二叉树中挂接每个第二端口配置项的内层节点;
中序遍历所述内层二叉树,对所述内层节点,继承所述内层节点的祖先节点中存储的第二端口配置项和安全策略规则。
在本申请的一些实施例中,所述第一端口配置项为源端口,所述第二端口配置项为目的端口;或者,所述第一端口配置项为目的端口,所述第二端口配置项为源端口。
第二方面,本申请实施例提供了一种安全策略规则匹配装置,包括:
接收模块,被配置为接收数据报文,读取所述数据报文携带的端口信息;
获取模块,被配置为获取预设的服务加速表,所述服务加速表包括以嵌套二叉树存储的服务端口配置项及其对应的安全策略规则;
确定模块,被配置为根据所述服加速表和所述端口信息,确定与所述数据报文相匹配的安全策略规则。
第三方面,本申请实施例提供了一种防火墙设备,包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器运行所述计算机程序时执行以实现上述第一方面所述的方法。
第四方面,本申请实施例提供了一种计算机可读存储介质,其上存储有计算机可读指令,所述计算机可读指令可被处理器执行以实现上述第一方面所述的方法。
本申请实施例中提供的技术方案,至少具有如下技术效果或优点:
本申请中对于引用的服务对象组中同时包含源端口和目的端口的安全策略规则,构建服务加速表。服务加速表以嵌套二叉树存储服务对象组对应的源端口、目的端口及安全策略规则。在进行报文匹配时,根据报文携带的源端口和目的端口,能够从服务加速表中快速的确定出与报文相匹配的安全策略规则,提高了安全策略规则匹配的速度。
本申请附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变的明显,或通过本申请的实践了解到。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本申请的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了本申请实施例所提供的生成服务加速表的流程示意图;
图2示出了本申请实施例所提供的外层二叉树的第一示意图;
图3示出了本申请实施例所提供的外层二叉树的第二示意图;
图4示出了本申请实施例所提供的外层二叉树的第三示意图;
图5示出了本申请实施例所提供的嵌套二叉树的示意图;
图6示出了本申请实施例所提供的一种安全策略规则匹配方法的流程图;
图7示出了本申请实施例所提供的一种安全策略规则匹配装置的结构示意图;
图8示出了本申请实施例所提供的一种防火墙设备的结构示意图;
图9示出了本申请实施例所提供的一种计算机可读存储介质的示意图。
具体实施方式
下面将参照附图更详细地描述本申请的示例性实施方式。虽然附图中显示了本申请的示例性实施方式,然而应当理解,可以以各种形式实现本申请而不应被这里阐述的实施方式所限制。相反,提供这些实施方式是为了能够更透彻地理解本申请,并且能够将本申请的范围完整的传达给本领域的技术人员。
本申请实施例提供一种安全策略规则匹配方法及装置、一种防火墙设备以及计算机可读存储介质,下面结合附图进行说明。
本申请实施例提供的安全策略规则匹配方法,可以应用于防火墙设备,防火墙设备部署的安全策略规则所引用的服务对象组中包含源端口和目的端口时,可以通过本申请实施例提供的方法生成服务加速表,并根据服务加速表进行报文匹配,以便于在后续报文与安全策略规则的匹配过程中实现加速匹配。
本申请实施例中,防火墙设备通过如下方式生成服务加速表,具体包括:
根据同时包含第一端口配置项和第二端口配置项的服务端口配置项及其对应的安全策略规则,生成服务加速表。
其中,第一端口配置项为源端口,第二端口配置项为目的端口。或者,第一端口配置项为目的端口,第二端口配置项为源端口。上述服务加速表包括以嵌套二叉树存储的服务端口配置项及其对应的安全策略规则。嵌套二叉树包括外层二叉树和内层二叉树,所述服务端口配置项包括的第一端口配置项记录在所述外层二叉树的外层节点上,所述服务端口配置项包括的第二端口配置项记录在所述内层二叉树的内层节点上,记录所述第一端口配置项的外层节点下嵌套所述第一端口配置项对应的内层二叉树,所述第一端口配置项对应的第二端口配置项记录在所述第一端口配置项对应的内层二叉树的内层节点上,记录所述第二端口配置项的所述内层节点下存储有所述第二端口配置项对应的安全策略规则;所述安全策略规则是以规则链或位图的形式进行存储的。
防火墙设备从当前部署的所有安全策略规则中,获取所引用的服务对象组中同时包含第一端口配置项和第二端口配置项的安全策略规则。然后根据获取的每条安全策略规则及其对应的第一端口配置项和第二端口配置项,通过如下步骤S1-S4的操作来生成服务加速表,如图1所示,具体包括:
S1:初始化外层二叉树,将所有服务端口配置项包括的第一端口配置项添加到所述外层二叉树中。
按照预设表示形式,对所有服务端口配置项包括的第一端口配置项进行形式转换,得到第一端口配置项对应的网段。所述预设表示形式包括十六进制形式和掩码。其中,预设表示形式为形如16位网段的形式,如0X0014/15。
具体地,对于第一端口配置项包含的端口范围,首先将第一端口配置项包括的起始端口转换为二进制数值,从该二进制数值最右侧开始,从右往左遍历每一位的取值,直到遍历到取值为1的位为止,确定该二进制数值从最右侧开始从右往左取值连续为0的位数,根据取值为0的位数确定起始端口对应的掩码,将起始端口转换为十六进制数值,将十六进制数值和掩码组合为起始端口对应的网段。
然后根据起始端口对应的网段,确定该网段的最大数字,比较该最大数字与第一端口配置项的结束端口,若该最大数字大于结束端口,则将上述起始端口对应的掩码加1,以缩小网段表示的范围,得到新的网段。确定该新的网段的最大数字,若该新的最大数字小于或等于结束端口,则将该新的网段作为第一端口配置项对应的一个网段。然后将该新的最大数字加1,作为下一端口范围的起始端口,并按照上述方式确定出下一端口范围对应的网段。
若上述新的最大数字仍大于结束端口,则将该新的网段的掩码加1,继续按照上述方式确定第一端口配置项对应的端口范围的网段。
例如,假设第一端口配置项为20-22,首先将起始端口20以二进制表示000000000001 0100(b),从该二进制最右侧开始,从右往左遍历该二进制数,直至遍历到取值为1的位为止,确定其最右侧连续为0的位数为2个,那么设置掩码为14(16-2=14),表示起始端口20对应的网段为0x0014/14,该网段的最大数字为0000 0000 0001 0111(b),也即十进制23。最大数字23比第一端口配置项的结束端口22大,此时需要将掩码14的位数加1,以缩小网段表示的范围。即尝试使用网段0x0014/15,该网段的最大数字为0000 0000 0001 0101(b),也即十进制21。该新的最大数字21比第一端口配置项的结束端口22小,因此成功拆分出第一端口配置项的第一个网段0x0014/15。以网段0x0014/15表示的最大数字21加1,22为下一端口范围的起始端口,将起始端口22以二进制进行表示0000 0000 0001 0110(b),该二进制数最右侧连续取值为0的位数为1,则设置掩码为15(16-1=15),表示该起始端口22的网段为OX0016/15,该网段表示的最大数字为0000 0000 0001 0111(b),即十进制数23。该最大数字23大于端口范围的结束端口22,因此将掩码15的位数加1,以缩小网段表示的范围。即尝试使用网段0x0016/16,该网段0x0016/16表示的最大数字为0000 0000 0001 0110(b),即十进制数字22,该最大数字22与端口范围的结束端口22相等,因此拆分出第一端口配置项的第二个网段0x0014/15。即最终端口范围20~22被拆分成网段0x0014/15和网段0x0016/16。
再如,假设防火墙设备部署如表1所示的安全策略规则,且安全策略规则中均引用服务对象组,服务对象组中包含源端口与目的端口的配置。按照上述方式对源端口和目的端口的配置进行预处理,将端口范围,表示成如同IP网段(16位网段)的形式,如表2所示。
表1
表2
通过上述方式将所有服务端口配置项包括的第一端口配置项转换为以预设表示形式进行表示的网段后,初始化二叉树,即初始化一颗二叉树的根节点。然后根据第一端口配置项对应的网段,确定外层二叉树中挂接所述第一端口配置项的外层节点。第一端口配置项对应的网段包括第一端口配置项对应的十六进制数值及掩码,根据第一端口配置项对应的掩码,确定在外层二叉树中挂接第一端口配置项的层数。将第一端口配置项对应的十六进制数值转换为二进制数值,根据该二进制数值确定在外层二叉树的上述层数中挂接第一端口配置项的外层节点。
将第一端口配置项对应的网段中包括的十六进制数值转换为二进制数值后,第一端口配置项对应的网段表现为形如16位网段的形式,从第一端口配置项对应的网段中包括的上述二进制数值的最高位(二进制数值最左侧第一位)开始,按照从左到右的顺序,将第一端口配置项展开在外层二叉树上,确定挂接第一端口配置项的外层节点。具体地,从左到右依次确定每一位对应的外层节点。若最高位为0,则对应于根节点的左孩子节点,若最高位为1,则对应于根节点的右孩子节点,以此类推,直到确定出上述二进制数值中位数为掩码的位对应的外层节点,将第一端口配置项挂接在位数为掩码的位对应的外层节点上。
例如,假设第一端口配置项为目的端口,目的端口对应的网段为OX0016/15,该网段对应的二进制表示为0000 0000 0001 0110(b),最左侧第一位,即最高位第16位为0,则对应于根节点的左孩子节点,即外层二叉树的第1层的左孩子节点。次高位第15位为0,则对应于第2层的左孩子节点。第14位至第6位均为0,因此依次对应于第3层至第11层的左孩子节点。第5位为1,则对应于第12层的右孩子节点。第4位为0,则对应于第13层的左孩子节点。第3位为1,则对应于第14层的右孩子节点。第2位为1,则对应于第15层的右孩子节点。第15层为网段OX0016/15的掩码15所表示的层数,因此网段OX0016/15最终挂接在外层二叉树第15层的右孩子节点上。再如,目的端口的网段为OX0000/0,则挂接在外层二叉树第0层的根节点上。目的端口的网段为0x0014/16,则挂接在第16层的右孩子节点上。目的端口的网段为OX0017/16,则挂接在第16层的右孩子节点上,如图2所示。在图2中,L表示层数,如L16表示第16层。
S2:将每个所述第一端口配置项对应的第二端口配置项和安全策略规则关联到所述第一端口配置项对应的外层节点上。
通过步骤S1将所有第一端口配置项添加到外层二叉树中之后,将每个第一端口配置项对应的第二端口配置项和安全策略规则关联到第一端口配置项对应的外层节点上。如此该外层二叉树上不为空的外层节点上记录第一端口配置项,外层节点的内部规则链上同时记录了第一端口配置项对应的第二端口配置项和安全策略规则。
在本申请实施例中,也可以不直接将安全策略规则记录在二叉树中,而是仅将安全策略规则的规则编号记录在二叉树中。
例如,假设第二端口配置项为源端口,图2所示的二叉树中,目的端口OX0000/0对应的源端口为OX0017/16,其对应的安全策略规则的规则编号为Rule1。目的端口OX0016/15对应的源端口为OX0016/15,其对应的安全策略规则的规则编号为Rule3。目的端口OX0017/16对应的源端口为OX0000/0,其对应的安全策略规则的规则编号为Rule1。目的端口OX0014/16对应的源端口为OX0016/16,其对应的安全策略规则的规则编号为Rule2。将各目的端口对应的源端口及规则编号分别记录在各目的端口对应的外层节点的内部规则链中,如图3所示。
S3:中序遍历外层二叉树,对于所述外层节点,继承所述外层节点的祖先节点中存储的第二端口配置项和安全策略规则。
中序遍历外层二叉树,当外层二叉树上某外层节点的内部规则链不为空时,该外层节点需继承祖先节点上记录的安全策略规则的规则编号与第二端口配置项。
例如,图3所示的外层二叉树中,不为空的外层节点继承祖先节点存储的规则编号及源端口之后,形成如图4所示的外层二叉树。
S4:根据每个外层节点中存储的所有第二端口配置项和安全策略规则,分别生成每个所述外层节点对应的内层二叉树。
按照预设表示形式,对所有第二端口配置项进行形式转换,得到第二端口配置项对应的网段;遍历外层二叉树,当遇到内部规则链不为空的外层节点时,初始化内层二叉树,将该外层节点上挂接的所有第二端口配置项展开成一颗内层二叉树。具体地,根据外层节点中存储的第二端口配置项对应的网段,确定所述内层二叉树中挂接第二端口配置项的内层节点;中序遍历内层二叉树,对于所述内层节点,继承内层节点的祖先节点中存储的第二端口配置项和安全策略规则。
其中,第二端口配置项对应的网段包括十六进制数值和掩码,将十六进制数值转换为二进制数值,则二进制数值与掩码所组成的第二端口配置项对应的网段表现为形如16位网段的形式,从第二端口配置项对应的网段包括的二进制数值的最高位(二进制数值最左侧第一位)开始,按照由左到右的顺序,将第二端口配置项展开在内层二叉树上。若最高位为0,则对应于根节点的左孩子节点,若最高位为1,则对应于根节点的右孩子节点,以此类推,直到确定出上述二进制数值中位数为掩码的位对应的内层节点,将第二端口配置项挂接在位数为掩码的位对应的内层节点上。然后将第二端口配置项对应的安全策略规则记录在第二端口配置项对应的内层节点中,并继承该内层节点的祖先节点中存储的安全策略规则。继承祖先节点中存储的安全策略规则后,该内层节点中将存储有一个或多个安全策略规则,本申请实施例中将这一个或多个安全策略规则以规则链的形式存储在该第二端口配置项对应的内层节点中。或者,将这一个或多个安全策略规则以位图的形式存储在该第二端口配置项对应的内层节点中。
本申请实施例中,外层二叉树上存储所有服务对象组的第一端口配置项,内层二叉树上存储所有服务对象组的第二端口配置项与引用该服务对象组的安全策略规则。外层二叉树上挂接有内层二叉树,形成嵌套二叉树。对于内层节点中存储的安全策略规则,以规则链的形式存储,在后续利用该服务加速表进行报文匹配时,能够从服务加速表中快速的确定出与报文匹配的安全策略规则,提高了报文匹配效率。而将规则链压缩为位图,以位图的形式存储安全策略规则,能够减少嵌套二叉树所占用的存储空间,而且进一步加快报文匹配的速度。
同样地,内层节点中也可以不存储安全策略规则,而仅存储安全策略规则对应的规则编号。
例如,对于图4所示的外层二叉树。将不为空的外层节点中存储的源端口展开为内层二叉树,并对挂接源端口的内层节点继承其祖先节点中的安全策略规则,从而形成如图5所示的嵌套二叉树。
通过上述方式,根据引用的服务对象组中包含第一端口配置项和第二端口配置项的所有安全策略规则,生成嵌套二叉树,即得到了服务加速表。然后防火墙设备可依据该服务加速表进行报文加速匹配,如图6所示,具体通过以下步骤进行报文匹配,包括:
步骤101:接收数据报文,读取所述数据报文携带的端口信息。
上述端口信息包括第一端口和第二端口。在本申请实施例中,第一端口为源端口,第二端口为目的端口。或者,第一端口为目的端口,第二端口为源端口。
步骤102:获取预设的服务加速表,该服务加速表包括以嵌套二叉树存储的服务端口配置项及其对应的安全策略规则。
该嵌套二叉树包括外层二叉树和内层二叉树,所述服务端口配置项包括的第一端口配置项记录在所述外层二叉树的外层节点上,所述服务端口配置项包括的第二端口配置项记录在所述内层二叉树的内层节点上,记录所述第一端口配置项的外层节点下嵌套所述第一端口配置项对应的内层二叉树,所述第一端口配置项对应的第二端口配置项记录在所述第一端口配置项对应的内层二叉树的内层节点上,记录所述第二端口配置项的内层节点下存储有所述第二端口配置项对应的安全策略规则;所述安全策略规则是以规则链或位图的形式进行存储的。
其中,第一端口配置项为源端口,第二端口配置项为目的端口。或者第一端口配置项为目的端口、第一端口配置项为源端口。
步骤103:根据所述服加速表和所述端口信息,确定与所述数据报文相匹配的安全策略规则。
遍历所述服务加速表中的所述外层二叉树,按照最长匹配方式查找与所述端口信息包括的第一端口一致的第一端口配置项;遍历查找到的所述第一端口配置项对应的内层二叉树,按照所述最长匹配方式查找与所述端口信息包括的第二端口一致的第二端口配置项;获取查到的所述第二端口配置项对应的安全策略规则,将获取的所述安全策略规则确定为与所述数据报文匹配的安全策略规则。
上述最长匹配方式为最后一次匹配到内层二叉树不为空的节点。遍历服务加速表包括的外层二叉树,比较第一端口是否与当前遍历到的外层节点记录的第一端口配置项一致,如此一直进行匹配操作,直到在外层二叉树中最后一次匹配到内层二叉树不为空的外层节点,确定出第一端口配置项与第一端口一致的所有外层节点。对于这些外层节点,获取存储在该外层节点中的内层二叉树,然后根据第二端口,遍历内层二叉树,比较第二端口与当前遍历到的内层节点记录的第二端口配置项是否一致,如此一直进行匹配操作,直到在该内层二叉树中最后一次匹配到不为空的内层节点,确定出第二端口配置项与第二端口一致的所有内层节点,从确定出的内层节点中获取该内层节点中存储的规则链或位图,将规则链或位图中包括的安全策略规则确定为与该数据报文相匹配的安全策略规则。
其中,当第一端口配置项为目的端口时,第一端口也为目的端口,第二端口配置项和第二端口为源端口。或者,当第一端口配置项为源端口时,第一端口也为源端口,第二端口配置项和第二端口为目的端口。
为了便于理解上述报文匹配过程,下面结合具体实例进行说明。例如,假设第一端口配置项和报文的第一端口均为目的端口,第二端口配置项和报文的第二端口均为源端口。某数据报文的源端口为22,目的端口为23,服务加速表为图5所示的嵌套二叉树。首先根据数据报文的目的端口23(OX0017/16)在外层二叉树上做最长匹配,确定出与目的端口匹配的外层节点为DPORT-L16-OX17,在该外层节点下存储的内层二叉树中,根据源端口22(OX0016/15)在该内层二叉树上做最长匹配,确定出与源端口匹配的内层节点为SPORT-L15-OX16,从该内层节点中获取规则链Rule1→Rule3,因此确定与该数据报文匹配的安全策略规则为Rule1和Rule3。
在安全策略规则中部署大量引用同时含有源端口和目的端口的服务对象组的情况下,采用本申请提供的方法,可以提高安全策略的匹配速度。本申请实施例中,采用在外层二叉树中嵌套内层二叉树,采用形如16位网段的形式存储端口的范围,外层二叉树存储服务对象组的目的端口,内层二叉树存储服务对象组的源端口以及引用该服务对象组的安全策略规则。其中,外层二叉树为目的端口转化成形如16为网段,并按位展开的结果。内层二叉树为源端口转化成形如16为网段,并按位展开的结果。
或者,采用外层二叉树存储服务对象组的源端口,内层二叉树存储服务对象组的目的端口以及引用该服务对象组的安全策略规则。其中,外层二叉树为源端口转化成形如16为网段,并按位展开的结果。内层二叉树为目的端口转化成形如16为网段,并按位展开的结果。
本申请实施例中对于引用的服务对象组中同时包含源端口和目的端口的安全策略规则,构建服务加速表。服务加速表以嵌套二叉树存储服务对象组对应的源端口、目的端口及安全策略规则。在进行报文匹配时,根据报文携带的源端口和目的端口,能够从服务加速表中快速的确定出与报文相匹配的安全策略规则,提高了安全策略规则匹配的速度。
本申请另一实施例提供了一种安全策略规则匹配装置,该装置可以实施上述安全策略规则匹配方法,该安全策略规则匹配装置可以通过软件、硬件或软硬结合的方式来实现。例如,该安全策略规则匹配装置可以包括集成的或分开的功能模块或单元来执行上述各方法中的对应步骤。请参考图7,其示出了本申请的一些实施方式所提供的一种安全策略规则匹配装置的示意图。由于装置实施例基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。下述描述的装置实施例仅仅是示意性的。
如图7所示,该装置包括:
接收模块301,被配置为接收数据报文,读取数据报文携带的端口信息;
获取模块302,被配置为获取预设的服务加速表,服务加速表包括以嵌套二叉树存储的服务端口配置项及其对应的安全策略规则;
确定模块303,被配置为根据服加速表和端口信息,确定与数据报文相匹配的安全策略规则。
在本申请实施例中,嵌套二叉树包括外层二叉树和内层二叉树,服务端口配置项包括的第一端口配置项记录在外层二叉树的外层节点上,所述服务端口配置项包括的第二端口配置项记录在所述内层二叉树的内层节点上,记录第一端口配置项的外层节点下嵌套第一端口配置项对应的内层二叉树,第一端口配置项对应的第二端口配置项记录在第一端口配置项对应的内层二叉树的内层节点上,记录第二端口配置项的内层节点下存储有第二端口配置项对应的安全策略规则;安全策略规则是以规则链或位图的形式进行存储的。
上述确定模块303,用于遍历服务加速表中的外层二叉树,按照最长匹配方式查找与端口信息包括的第一端口一致的第一端口配置项;遍历查找到的第一端口配置项对应的内层二叉树,按照最长匹配方式查找与端口信息包括的第二端口一致的第二端口配置项;获取查到的第二端口配置项对应的安全策略规则,将获取的安全策略规则确定为与数据报文匹配的安全策略规则。
本申请实施例提供的装置还包括:生成模块,用于根据同时包含第一端口配置项和第二端口配置项的服务端口配置项及其对应的安全策略规则,生成服务加速表。
上述生成模块,包括:
添加单元,用于初始化外层二叉树,将所有服务端口配置项包括的第一端口配置项添加到外层二叉树中;
关联单元,用于将每个第一端口配置项对应的第二端口配置项和安全策略规则关联到第一端口配置项对应的外层节点上;
继承单元,用于中序遍历外层二叉树,对外层节点,继承外层节点的祖先节点中存储的第二端口配置项和安全策略规则;
生成单元,用于根据每个外层节点中存储的所有第二端口配置项和安全策略规则,分别生成每个外层节点对应的内层二叉树。
上述添加单元,用于按照预设表示形式,对服务端口配置项包括的第一端口配置项进行形式转换,得到第一端口配置项对应的网段;根据第一端口配置项对应的网段,确定外层二叉树中挂接第一端口配置项的外层节点。
上述生成单元,用于按照预设表示形式,对所有第二端口配置项进行形式转换,得到第二端口配置项对应的网段;初始化内层二叉树,根据外层节点中存储的所有第二端口配置项的对应的网段,依次确定内层二叉树中挂接每个第二端口配置项的内层节点;中序遍历内层二叉树,对内层节点,继承内层节点的祖先节点中存储的第二端口配置项和安全策略规则。
在本申请实施例中,第一端口配置项为源端口,第二端口配置项为目的端口;或者,第一端口配置项为目的端口,第二端口配置项为源端口。
本申请实施例中对于引用的服务对象组中同时包含源端口和目的端口的安全策略规则,构建服务加速表。服务加速表以嵌套二叉树存储服务对象组对应的源端口、目的端口及安全策略规则。在进行报文匹配时,根据报文携带的源端口和目的端口,能够从服务加速表中快速的确定出与报文相匹配的安全策略规则,提高了安全策略规则匹配的速度。
本申请实施方式还提供一种与前述实施方式所提供的安全策略规则匹配方法对应的防火墙设备。请参考图8,其示出了本申请的一些实施方式所提供的一种防火墙设备的示意图。如图8所示,所述防火墙设备20可以包括:处理器200,存储器201,总线202和通信接口203,所述处理器200、通信接口203和存储器201通过总线202连接;所述存储器201中存储有可在所述处理器200上运行的计算机程序,所述处理器200运行所述计算机程序时执行本申请前述任一实施方式所提供的安全策略规则匹配方法。
其中,存储器201可能包含高速随机存取存储器(RAM:Random Access Memory),也可能还包括非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。通过至少一个物理端口203(可以是有线或者无线)实现该系统网元与至少一个其他网元之间的通信连接,可以使用互联网、广域网、本地网、城域网等。
总线202可以是ISA总线、PCI总线或EISA总线等。所述总线可以分为地址总线、数据总线、控制总线等。其中,存储器201用于存储程序,所述处理器200在接收到执行指令后,执行所述程序,前述本申请实施例任一实施方式揭示的所述安全策略规则匹配方法可以应用于处理器200中,或者由处理器200实现。
处理器200可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器200中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器200可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器201,处理器200读取存储器201中的信息,结合其硬件完成上述方法的步骤。
本申请实施例提供的防火墙设备与本申请实施例提供的安全策略规则匹配方法出于相同的发明构思,具有与其采用、运行或实现的方法相同的有益效果。
本申请实施方式还提供一种与前述实施方式所提供的安全策略规则匹配方法对应的计算机可读存储介质,请参考图9,其示出的计算机可读存储介质为光盘30,其上存储有计算机程序(即程序产品),所述计算机程序在被处理器运行时,会执行前述任意实施方式所提供的安全策略规则匹配方法。
需要说明的是,所述计算机可读存储介质的例子还可以包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他光学、磁性存储介质,在此不再一一赘述。
本申请的上述实施例提供的计算机可读存储介质与本申请实施例提供的安全策略规则匹配方法出于相同的发明构思,具有与其存储的应用程序所采用、运行或实现的方法相同的有益效果。
需要说明的是:
在此提供的算法和显示不与任何特定计算机、虚拟装置或者其它设备有固有相关。各种通用装置也可以与基于在此的示教一起使用。根据上面的描述,构造这类装置所要求的结构是显而易见的。此外,本申请也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本申请的内容,并且上面对特定语言所做的描述是为了披露本申请的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本申请的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本申请并帮助理解各个发明方面中的一个或多个,在上面对本申请的示例性实施例的描述中,本申请的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本申请要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本申请的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本申请的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本申请的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本申请实施例的虚拟机的创建装置中的一些或者全部部件的一些或者全部功能。本申请还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本申请的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本申请进行说明而不是对本申请进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本申请可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
以上所述,仅为本申请较佳的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。
Claims (11)
1.一种安全策略规则匹配方法,其特征在于,包括:
接收数据报文,读取所述数据报文携带的端口信息;
获取预设的服务加速表,所述服务加速表包括以嵌套二叉树存储的服务端口配置项及其对应的安全策略规则;
根据所述服加速表和所述端口信息,确定与所述数据报文相匹配的安全策略规则。
2.根据权利要求1所述的方法,其特征在于,所述嵌套二叉树包括外层二叉树和内层二叉树,所述服务端口配置项包括的第一端口配置项记录在所述外层二叉树的外层节点上,所述服务端口配置项包括的第二端口配置项记录在所述内层二叉树的内层节点上,记录所述第一端口配置项的外层节点下嵌套所述第一端口配置项对应的内层二叉树,所述第一端口配置项对应的第二端口配置项记录在所述第一端口配置项对应的内层二叉树的内层节点上,记录所述第二端口配置项的所述内层节点下存储有所述第二端口配置项对应的安全策略规则;所述安全策略规则是以规则链或位图的形式进行存储的。
3.根据权利要求2所述的方法,其特征在于,所述根据所述服加速表和所述端口信息,确定与所述数据报文相匹配的安全策略规则,包括:
遍历所述服务加速表中的所述外层二叉树,按照最长匹配方式查找与所述端口信息包括的第一端口一致的第一端口配置项;
遍历查找到的所述第一端口配置项对应的内层二叉树,按照所述最长匹配方式查找与所述端口信息包括的第二端口一致的第二端口配置项;
获取查到的所述第二端口配置项对应的安全策略规则,将获取的所述安全策略规则确定为与所述数据报文匹配的安全策略规则。
4.根据权利要求1所述的方法,其特征在于,所述获取预设的服务加速表之前,还包括:
根据同时包含第一端口配置项和第二端口配置项的服务端口配置项及其对应的安全策略规则,生成服务加速表。
5.根据权利要求4所述的方法,其特征在于,所述根据同时包含第一端口配置项和第二端口配置项的服务端口配置项及其对应的安全策略规则,生成服务加速表,包括:
初始化外层二叉树,将所有服务端口配置项包括的第一端口配置项添加到所述外层二叉树中;
将每个所述第一端口配置项对应的第二端口配置项和安全策略规则关联到所述第一端口配置项对应的外层节点上;
中序遍历所述外层二叉树,对于所述外层节点,继承所述外层节点的祖先节点中存储的第二端口配置项和安全策略规则;
根据每个所述外层节点中存储的所有第二端口配置项和安全策略规则,分别生成每个所述外层节点对应的内层二叉树。
6.根据权利要求5所述的方法,其特征在于,所述将所有服务端口配置项包括的第一端口配置项添加到所述外层二叉树中,包括:
按照预设表示形式,对服务端口配置项包括的第一端口配置项进行形式转换,得到第一端口配置项对应的网段;
根据所述第一端口配置项对应的网段,确定所述外层二叉树中挂接所述第一端口配置项的外层节点。
7.根据权利要求5所述的方法,其特征在于,所述根据每个所述外层节点中存储的所有第二端口配置项和安全策略规则,分别生成每个所述外层节点对应的内层二叉树,包括:
按照预设表示形式,对所有第二端口配置项进行形式转换,得到第二端口配置项对应的网段;
初始化内层二叉树,根据外层节点中存储的所有第二端口配置项对应的网段,依次确定所述内层二叉树中挂接每个第二端口配置项的内层节点;
中序遍历所述内层二叉树,对于所述内层节点,继承所述内层节点的祖先节点中存储的第二端口配置项和安全策略规则。
8.根据权利要求2-7任一项所述的方法,其特征在于,所述第一端口配置项为源端口,所述第二端口配置项为目的端口;或者,所述第一端口配置项为目的端口,所述第二端口配置项为源端口。
9.一种安全策略规则匹配装置,其特征在于,包括:
接收模块,被配置为接收数据报文,读取所述数据报文携带的端口信息;
获取模块,被配置为获取预设的服务加速表,所述服务加速表包括以嵌套二叉树存储的服务端口配置项及其对应的安全策略规则;
确定模块,被配置为根据所述服加速表和所述端口信息,确定与所述数据报文相匹配的安全策略规则。
10.一种防火墙设备,包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器运行所述计算机程序时执行以实现如权利要求1-8任一项所述的方法。
11.一种计算机可读存储介质,其特征在于,其上存储有计算机可读指令,所述计算机可读指令可被处理器执行以实现如权利要求1-8任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910989831.9A CN110808963B (zh) | 2019-10-17 | 2019-10-17 | 安全策略规则匹配方法、装置及防火墙设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910989831.9A CN110808963B (zh) | 2019-10-17 | 2019-10-17 | 安全策略规则匹配方法、装置及防火墙设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110808963A true CN110808963A (zh) | 2020-02-18 |
| CN110808963B CN110808963B (zh) | 2022-05-24 |
Family
ID=69488606
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910989831.9A Active CN110808963B (zh) | 2019-10-17 | 2019-10-17 | 安全策略规则匹配方法、装置及防火墙设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110808963B (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112910894A (zh) * | 2021-02-01 | 2021-06-04 | 武汉思普崚技术有限公司 | 一种实现策略的快速匹配的方法 |
| CN113709052A (zh) * | 2020-05-21 | 2021-11-26 | 中移(苏州)软件技术有限公司 | 一种网络报文的处理方法、装置、电子设备和存储介质 |
| CN114070615A (zh) * | 2021-11-15 | 2022-02-18 | 四川启睿克科技有限公司 | 一种提升waf规则匹配速度的方法 |
| CN114301686A (zh) * | 2021-12-29 | 2022-04-08 | 山石网科通信技术股份有限公司 | 一种安全策略的匹配方法及装置、存储介质 |
| CN114363257A (zh) * | 2021-12-29 | 2022-04-15 | 杭州迪普信息技术有限公司 | 隧道报文的五元组匹配方法及装置 |
| CN114500000A (zh) * | 2021-12-31 | 2022-05-13 | 奇安信科技集团股份有限公司 | 策略配置合并方法及装置 |
| CN115086056A (zh) * | 2022-06-27 | 2022-09-20 | 北京经纬恒润科技股份有限公司 | 一种车载以太网防火墙分类统计方法、装置和设备 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101035059A (zh) * | 2006-03-08 | 2007-09-12 | 中兴通讯股份有限公司 | 一种提高三重内容可寻址存储器报文分类查找速度的方法 |
| CN101267437A (zh) * | 2008-04-28 | 2008-09-17 | 杭州华三通信技术有限公司 | 网络设备的报文访问控制方法及系统 |
| US20090052337A1 (en) * | 2007-08-21 | 2009-02-26 | Oliver Keren Ban | Responding to change in a data communication network system |
| CN101582900A (zh) * | 2009-06-24 | 2009-11-18 | 成都市华为赛门铁克科技有限公司 | 防火墙安全策略配置方法及管理装置 |
| CN107707477A (zh) * | 2017-09-28 | 2018-02-16 | 杭州迪普科技股份有限公司 | 报文的处理方法及装置、计算机可读存储介质 |
| CN110120942A (zh) * | 2019-04-17 | 2019-08-13 | 新华三信息安全技术有限公司 | 安全策略规则匹配方法及装置、防火墙设备及介质 |
-
2019
- 2019-10-17 CN CN201910989831.9A patent/CN110808963B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101035059A (zh) * | 2006-03-08 | 2007-09-12 | 中兴通讯股份有限公司 | 一种提高三重内容可寻址存储器报文分类查找速度的方法 |
| US20090052337A1 (en) * | 2007-08-21 | 2009-02-26 | Oliver Keren Ban | Responding to change in a data communication network system |
| CN101267437A (zh) * | 2008-04-28 | 2008-09-17 | 杭州华三通信技术有限公司 | 网络设备的报文访问控制方法及系统 |
| CN101582900A (zh) * | 2009-06-24 | 2009-11-18 | 成都市华为赛门铁克科技有限公司 | 防火墙安全策略配置方法及管理装置 |
| CN107707477A (zh) * | 2017-09-28 | 2018-02-16 | 杭州迪普科技股份有限公司 | 报文的处理方法及装置、计算机可读存储介质 |
| CN110120942A (zh) * | 2019-04-17 | 2019-08-13 | 新华三信息安全技术有限公司 | 安全策略规则匹配方法及装置、防火墙设备及介质 |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113709052A (zh) * | 2020-05-21 | 2021-11-26 | 中移(苏州)软件技术有限公司 | 一种网络报文的处理方法、装置、电子设备和存储介质 |
| CN113709052B (zh) * | 2020-05-21 | 2024-02-27 | 中移(苏州)软件技术有限公司 | 一种网络报文的处理方法、装置、电子设备和存储介质 |
| CN112910894A (zh) * | 2021-02-01 | 2021-06-04 | 武汉思普崚技术有限公司 | 一种实现策略的快速匹配的方法 |
| CN114070615A (zh) * | 2021-11-15 | 2022-02-18 | 四川启睿克科技有限公司 | 一种提升waf规则匹配速度的方法 |
| CN114070615B (zh) * | 2021-11-15 | 2023-09-15 | 四川启睿克科技有限公司 | 一种提升waf规则匹配速度的方法 |
| CN114301686A (zh) * | 2021-12-29 | 2022-04-08 | 山石网科通信技术股份有限公司 | 一种安全策略的匹配方法及装置、存储介质 |
| CN114363257A (zh) * | 2021-12-29 | 2022-04-15 | 杭州迪普信息技术有限公司 | 隧道报文的五元组匹配方法及装置 |
| CN114363257B (zh) * | 2021-12-29 | 2023-10-17 | 杭州迪普信息技术有限公司 | 隧道报文的五元组匹配方法及装置 |
| CN114301686B (zh) * | 2021-12-29 | 2024-05-07 | 山石网科通信技术股份有限公司 | 一种安全策略的匹配方法及装置、存储介质 |
| CN114500000A (zh) * | 2021-12-31 | 2022-05-13 | 奇安信科技集团股份有限公司 | 策略配置合并方法及装置 |
| CN115086056A (zh) * | 2022-06-27 | 2022-09-20 | 北京经纬恒润科技股份有限公司 | 一种车载以太网防火墙分类统计方法、装置和设备 |
| CN115086056B (zh) * | 2022-06-27 | 2023-07-14 | 北京经纬恒润科技股份有限公司 | 一种车载以太网防火墙分类统计方法、装置和设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110808963B (zh) | 2022-05-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110808963B (zh) | 安全策略规则匹配方法、装置及防火墙设备 | |
| CN110120942B (zh) | 安全策略规则匹配方法及装置、防火墙设备及介质 | |
| Kumar et al. | Advanced algorithms for fast and scalable deep packet inspection | |
| JP6198939B2 (ja) | ドライバをロードする方法及び組み込みデバイス | |
| US20100114973A1 (en) | Deterministic Finite Automata Graph Traversal with Nodal Bit Mapping | |
| CN107563201B (zh) | 基于机器学习的关联样本查找方法、装置及服务器 | |
| US8972450B2 (en) | Multi-stage parallel multi-character string matching device | |
| US10771386B2 (en) | IP routing search | |
| WO2010065418A1 (en) | Graph-based data search | |
| US20170142013A1 (en) | Search apparatus, search configuration method, and search method | |
| CN110083746B (zh) | 一种基于字符串的快速匹配识别方法和装置 | |
| CN110012124B (zh) | 一种对网络地址范围段进行拆分的方法及装置 | |
| CN107577943B (zh) | 基于机器学习的样本预测方法、装置及服务器 | |
| CN108664518B (zh) | 一种实现查表处理的方法及装置 | |
| CN111523067A (zh) | 一种页面样式处理方法、装置、存储介质及计算机设备 | |
| CN109190367B (zh) | 利用沙箱运行应用程序安装包的方法及装置 | |
| US9201982B2 (en) | Priority search trees | |
| CN106034119B (zh) | 应用安装包的加密混淆方法及装置 | |
| CN114567688B (zh) | 一种基于fpga的协同网络协议解析方法和装置 | |
| CN111198708A (zh) | 一种jar包冲突解决方法和装置 | |
| US8661061B2 (en) | Data structure, data structure generation method, information processing apparatus, information processing system, and computer-readable storage medium having stored therein information processing program | |
| CN116016345A (zh) | 一种基于自定义协议描述语言的网络流量还原方法 | |
| CN110308889B (zh) | 调制处理装置及方法 | |
| US10476785B2 (en) | IP routing search | |
| CN113946332B (zh) | 基于gui界面显示属性的方法及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |