CN111181964A - 安全策略匹配方法、装置及网络设备、存储介质 - Google Patents
安全策略匹配方法、装置及网络设备、存储介质 Download PDFInfo
- Publication number
- CN111181964A CN111181964A CN201911400423.1A CN201911400423A CN111181964A CN 111181964 A CN111181964 A CN 111181964A CN 201911400423 A CN201911400423 A CN 201911400423A CN 111181964 A CN111181964 A CN 111181964A
- Authority
- CN
- China
- Prior art keywords
- information
- security policy
- linked list
- matching
- node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开一种安全策略匹配方法、装置及网络设备、存储介质,其中,安全策略匹配方法包括步骤:接收安全策略匹配请求,安全策略匹配请求携带目标报文的特征信息;根据安全策略链表和特征信息确定与目标报文相匹配的目标安全策略信息,安全策略链表包括横向链表及与横向链表级联的纵向链表,横向链表包括至少一个五元组节点,纵向链包括至少一个策略信息节点。本申请能够通过提取安全策略中的关键字,生成多个链表,然后再根据链表之间的相关性,进行关联,最终基于链表选择安全策略,从而能够提高匹配速度,跳过无关策略的匹配流程。另一方面,本申请将匹配到的结果复制至备用链表中,使得备用链表可被再次调用。
Description
技术领域
本申请涉计算机安全防护技术领域,具体而言,涉及一种安全策略匹配方法、装置及网络设备、存储介质。
背景技术
当前,防火墙厂商都会通过安全策略进行报文控制,在此过程中,需要为报文匹配安全策略,而目前,报文的安全策略匹配的主要方式是根据安全策略的设置先后顺序进行匹配,这种匹配方式存在以下缺陷:第一,当顺序在前设置策略内容包含在后设置策略内容时,在后设置策略无法生效;第二,报文的安全策略匹配速度慢且浪费内存资源。
发明内容
本申请目的在于公开一种安全策略匹配方法、装置及网络设备、存储介质,用于至少解决现有安全策略匹配速度慢、在后设置的安全策略不生效这类技术问题。
本申请第一方面公开一种安全策略匹配方法,该方法包括:
接收安全策略匹配请求,安全策略匹配请求携带目标报文的特征信息;
根据安全策略链表和特征信息确定与目标报文相匹配的目标安全策略信息,安全策略链表包括横向链表及与横向链表级联的纵向链表,横向链表包括至少一个五元组节点,纵向链包括至少一个策略信息节点。
在本申请中,通过安全策略链表,可将安全策略中的五元组节点与安全策略中的安全策略信息级联,这样一来,在安全策略匹配过程中,就可以先根据五元组节点匹配报文,再在五元组节点能够匹配报文的安全策略节点中,根据策略信息节点匹配报文。与现有技术相比,本申请的安全策略匹配方法能够避免在五元组节点不能够匹配报文的安全策略中进行策略信息节点匹配,进而可降低匹配计算量而提高安全策略匹配速度。另一方面,本申请的安全策略匹配方法能在五元组节点能够匹配报文的策略中,遍历所有的安全策略信息节点,进而可使得在后设置的策略信息节点生效。
在一些可选的实施方式中,根据安全策略链表和特征信息确定与目标报文相匹配的目标安全策略信息,包括:
根据特征信息在横向链表中确定与目标报文相匹配的五元组节点;
根据与目标报文相匹配的五元组节点,在纵向链中确定出至少一项与目标报文相匹配的策略信息节点;
根据至少一项与目标报文相匹配的策略信息节点关联的安全策略信息确定目标安全策略信息。
在本可选的实施方式中,通过将报文的特征信息可从安全策略链表中查询能够匹配该报文的策略信息节点。
在一些可选的实施方式中,根据至少一项与目标报文相匹配的策略信息节点关联的安全策略信息确定目标安全策略信息,包括:
当有两项以上与目标报文相匹配的策略信息节点时,根据两项以上与目标报文相匹配的策略信息节点的节点顺序确定最优匹配策略信息节点;
将最优匹配策略信息节点关联的安全策略信息确定为目标安全策略信息。
在本可选的实施方式中,通过将报文的特征信息可从安全策略链表中查询能够匹配该报文的策略信息节点,进而能够根据节点的先后顺序从所有能够匹配报文的策略信息节点中确定最优的策略信息节点,这样一来,既能够使得在后设置的策略信息节点不被忽略而无法生效,也能够根据设置的先后顺序确定最优的策略信息节点,与现有技术相比,虽然现有技术能够实现根据设置的先后顺序确定策略信息,但现有技术无法实现后设置的策略信息不被忽略而无法生效。
在一些可选的实施方式中,根据至少一项与目标报文相匹配的策略信息节点关联的安全策略信息确定目标安全策略信息,包括:
当有两项以上与目标报文相匹配的策略信息节点时,判断所有与目标报文相匹配的策略信息节点关联的策略信息是否一致,若是,则根据处理动作的次数确定最优匹配策略信息节点,若否,则根据策略信息的数量确定最优匹配策略信息节点;
将最优匹配策略信息节点关联的安全策略信息确定为目标安全策略信息。
在本可选的实施方式中,当所有能够匹配报文的策略信息节点关联的策略信息一致时,能够根处理动作的次数从所有能够匹配报文的策略信息节点确定最有策略信息节点,而当所有能够匹配报文的策略信息节点关联的策略信息不一致时,能够根据策略信息的数量确定最优匹配策略信息节点。
在一些可选的实施方式中,根据安全策略链表和特征信息确定与目标报文相匹配的目标安全策略信息,还包括:
当在纵向链中确定出至少一项与目标报文相匹配的策略信息节点时,将至少一项与目标报文相匹配的策略信息节点关联的安全策略信息复制至备用链表。
在本可选的实施方式中,将与目标报文相匹配的策略信息节点挂关联的策略信息复制至备用链表中,可便于后续使用该策略信息。
在一些可选的实施方式中,特征信息包括目标报文的源IP信息、目标报文的源端口信息、目标报文的目的IP信息、目标报文的端口和协议信息。在本可选实施方式中,通过目的IP信息、目标报文的源端口信息、源IP信息、目标报文的端口和协议信息能够在安全策略链表中匹配能够命中报文的安全策略。
在一些可选的实施方式中,策略信息节点关联的安全策略信息包括匹配信息和处理信息,匹配信息至少包括策略ID、用户信息、服务信息、时间信息中一项。
在一些可选的实施方式中,在接收安全策略匹配请求之前,方法包括:
获取安全策略配置文件,安全策略配置文件包括至少一项五元组配置信息及至少一项五元组配置信息关联的安全策略配置信息;
根据至少一项五元组配置信息和安全策略配置信息构建安全策略链表。
在本可选的实施方式中,能够根据安全策略配置文件自动构建安全策略链表,这样一来可降低操作人员构建安全策略链表的工作量。
在一些可选的实施方式中,根据至少一项五元组配置信息和安全策略配置信息构建安全策略链表,包括:
根据至少一项五元组配置信息构建横向链表;
根据安全策略配置信息构建纵向链表。
在该可选的实施方式中,可通过五元组配置信息构建横向链表,且可根据安全策略配置信息构建纵向链表。
在一些可选的实施方式中,根据至少一项五元组配置信息构建横向链表,包括:
根据至少一项五元组配置信息确定掩码的最大值和最小值;
根据掩码的最大值和最小值生成至少一个五元组节点。
在本可选的实施方式中,可掩码的最大值和最小值确定五元组节点的划分间隔,进而可避免过度划分。
本申请第二方面公开了一种安全策略匹配装置,该安全策略匹配装置包括:
接收模块,用于接收安全策略匹配请求,安全策略匹配请求携带目标报文的特征信息;
确定模块,用于根据安全策略链表和特征信息确定与目标报文相匹配的目标安全策略信息,安全策略链表包括横向链表及与横向链表级联的纵向链表,横向链表包括至少一个五元组节点,纵向链包括至少一个策略信息节点。
本申请的安全策略匹配装置通过执行安全策略匹配方法,能够通过安全策略链表,可将安全策略中的五元组节点与安全策略中的安全策略信息级联,这样一来,在安全策略匹配过程中,就可以先根据五元组节点匹配报文,再在五元组节点能够匹配报文的安全策略节点中,根据策略信息节点匹配报文。与现有技术相比,本申请的安全策略匹配方法能够避免在五元组节点不能够匹配报文的安全策略中进行策略信息节点匹配,进而可降低匹配计算量而提高安全策略匹配速度。另一方面,本申请的安全策略匹配方法能在五元组节点能够匹配报文的策略中,遍历所有的安全策略信息节点,进而可使得在后设置的策略信息节点生效。
本申请第三方面公开一种网络设备,该网络设备包括:
处理器;以及
存储器,配置用于存储机器可读指令,该指令在由处理器执行时,执行如本申请第一方面公开的安全策略匹配方法。
本申请的网络设备通过执行安全策略匹配方法,能够通过安全策略链表,可将安全策略中的五元组节点与安全策略中的安全策略信息级联,这样一来,在安全策略匹配过程中,就可以先根据五元组节点匹配报文,再在五元组节点能够匹配报文的安全策略节点中,根据策略信息节点匹配报文。与现有技术相比,本申请的安全策略匹配方法能够避免在五元组节点不能够匹配报文的安全策略中进行策略信息节点匹配,进而可降低匹配计算量而提高安全策略匹配速度。另一方面,本申请的安全策略匹配方法能在五元组节点能够匹配报文的策略中,遍历所有的安全策略信息节点,进而可使得在后设置的策略信息节点生效。
本申请第四方面公开一种计算机存储介质,计算机存储介质存储有计算机程序,计算机程序被处理器执行如本申请第一方面公开的安全策略匹配方法。
本申请的一种计算机存储介质通过执行安全策略匹配方法,能够通过安全策略链表,可将安全策略中的五元组节点与安全策略中的安全策略信息级联,这样一来,在安全策略匹配过程中,就可以先根据五元组节点匹配报文,再在五元组节点能够匹配报文的安全策略节点中,根据策略信息节点匹配报文。与现有技术相比,本申请的安全策略匹配方法能够避免在五元组节点不能够匹配报文的安全策略中进行策略信息节点匹配,进而可降低匹配计算量而提高安全策略匹配速度。另一方面,本申请的安全策略匹配方法能在五元组节点能够匹配报文的策略中,遍历所有的安全策略信息节点,进而可使得在后设置的策略信息节点生效。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例公开的一种安全策略匹配方法的流程示意图;
图2为本申请实施例公开的一种安全策略链表的结构示意图;
图3为步骤102的子步骤的流程示意图;
图4为本申请实施例公开的另一种安全策略匹配方法的流程示意图;
图5为步骤202的子步骤的流程示意图;
图6为本申请实施例公开的一种安全策略匹配装置的结构示意图;
图7为本申请实施例公开的一种网络设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
实施例一
请参阅图1,图1是本申请实施例公开的一种安全策略匹配方法的流程示意图。如图1所示,该方法包括步骤:
101、接收安全策略匹配请求,安全策略匹配请求携带目标报文的特征信息;
102、根据安全策略链表和特征信息确定与目标报文相匹配的目标安全策略信息,安全策略链表包括横向链表及与横向链表级联的纵向链表,横向链表包括至少一个五元组节点,纵向链包括至少一个策略信息节点。
在一些可选的实施方式中,特征信息包括目标报文的源IP信息、目标报文的源端口信息、目标报文的目的IP信息、目标报文的端口和协议信息。在本可选实施方式中,通过目的IP信息、目标报文的源端口信息、源IP信息、目标报文的端口和协议信息能够在安全策略链表中匹配能够命中报文的安全策略。
示例性地,图2是本申请实施例公开的一种安全策略链表的结构示意图。如图2所示,安全策略链表包括横向链表和纵向链表,其中,横向链表中的五元组节点用nodeA0至nodeAn表示,而纵向链表中的策略信息节点用nodeB0至nodeBn表示。如图2所示,每个五元组节点可级联一条纵向链表,该纵向链表可以包括n个节点,其中,n为正整数。
在一些可选的实施方式中,策略信息节点关联的安全策略信息包括匹配信息和处理信息,匹配信息至少包括策略ID、用户信息、服务信息、时间信息中一项。
示例性地,假设在横向链表的nodeA0节点记录(关联)五元组和掩码信息,分别是源IP信息,源端口信息,目的IP信息及掩码,目的端口和协议信息,其中,源IP信息为“1.1.1.1”、掩码信息为“31”、源端口信息为“1000”,目的IP信息为“2.1.1.1”、目的端口信息为“2000”、协议信息为“tcp”,而纵向链表nodeB0节点可以记录(关联)节点ID、用户信息、时间信息、服务信息、处理内容信息等信息,其中,处理内容信息可以包括处理动作信息、高级策略信息,处理动作信息可以包括处理次数信息。需要说明的是,五元组节点可以关联码信息。
示例性地,假设有外部机的一个程序需要通过本机防火墙以访问安全区域内的资源(如请求修改注册表)此时,该程序携带自身的IP信息、端口信息、协议信息等信息,进而本机的防火墙接收到为该程序匹配安全策略。
在本申请中,通过安全策略链表,可将安全策略中的五元组节点与安全策略中的安全策略信息级联,这样一来,在安全策略匹配过程中,就可以先根据五元组节点匹配报文,再在五元组节点能够匹配报文的安全策略节点中,根据策略信息节点匹配报文。与现有技术相比,本申请的安全策略匹配方法能够避免在五元组节点不能够匹配报文的安全策略中进行策略信息节点匹配,进而可降低匹配计算量而提高安全策略匹配速度。另一方面,本申请的安全策略匹配方法能在五元组节点能够匹配报文的策略中,遍历所有的安全策略信息节点,进而可使得在后设置的策略信息节点生效。
请参阅图3,图3是步骤102的一种子步骤示意图。在一些可选的实施方式中,如图3所示,步骤102根据安全策略链表和特征信息确定与目标报文相匹配的目标安全策略信息,包括子步骤:
1021、根据特征信息在横向链表中确定与目标报文相匹配的五元组节点;
1022、根据与目标报文相匹配的五元组节点,在纵向链中确定出至少一项与目标报文相匹配的策略信息节点;
1023、根据至少一项与目标报文相匹配的策略信息节点关联的安全策略信息确定目标安全策略信息。
在本可选的实施方式中,通过将报文的特征信息可从安全策略链表中查询能够匹配该报文的策略信息节点。
在一些可选的实施方式中,步骤1023,根据至少一项与目标报文相匹配的策略信息节点关联的安全策略信息确定目标安全策略信息的具方式为:
当有两项以上与目标报文相匹配的策略信息节点时,根据两项以上与目标报文相匹配的策略信息节点的节点顺序确定最优匹配策略信息节点;
将最优匹配策略信息节点关联的安全策略信息确定为目标安全策略信息。
在本可选的实施方式中,通过将报文的特征信息可从安全策略链表中查询能够匹配该报文的策略信息节点,进而能够根据节点的先后顺序从所有能够匹配报文的策略信息节点中确定最优的策略信息节点,这样一来,既能够使得在后设置的策略信息节点不被忽略而无法生效,也能够根据设置的先后顺序确定最优的策略信息节点,与现有技术相比,虽然现有技术能够实现根据设置的先后顺序确定策略信息,但现有技术无法实现后设置的策略信息不被忽略而无法生效。
在一些可选的实施方式中,根据至少一项与目标报文相匹配的策略信息节点关联的安全策略信息确定目标安全策略信息的具体方式为:
当有两项以上与目标报文相匹配的策略信息节点时,判断所有与目标报文相匹配的策略信息节点关联的策略信息是否一致,若是,则根据处理动作的次数确定最优匹配策略信息节点,若否,则根据策略信息的数量确定最优匹配策略信息节点;
将最优匹配策略信息节点关联的安全策略信息确定为目标安全策略信息。
在本可选的实施方式中,当所有能够匹配报文的策略信息节点关联的策略信息一致时,能够根处理动作的次数从所有能够匹配报文的策略信息节点确定最有策略信息节点,而当所有能够匹配报文的策略信息节点关联的策略信息不一致时,能够根据策略信息的数量确定最优匹配策略信息节点。
在一些可选的实施方式中,如图3所示,步骤102:根据安全策略链表和特征信息确定与目标报文相匹配的目标安全策略信息,还包括子步骤:
1024、当在纵向链中确定出至少一项与目标报文相匹配的策略信息节点时,将至少一项与目标报文相匹配的策略信息节点关联的安全策略信息复制至备用链表。
在本可选的实施方式中,将与目标报文相匹配的策略信息节点挂关联的策略信息复制至备用链表中,可便于后续使用该策略信息。
示例性地,当报文进入防火墙时,匹配到的nodeA1节点,发现该节点下有三个nodeB节点,通过匹配用户,时间,服务等,选择出可以命中生效的nodeB节点,并复制nodeB节点关联的策略信息至备用链表中。
再示例性地,当备用链表中存在多个nodeB节点时(如存在node B0、nodeB1),能够根据节点的先后顺序进行选择。
再示例性地,当备用链表中存在多个nodeB节点时且多个nodeB节点的信息不一致时,能够根据最长匹配原则,从多个nodeB节点中选出关联安全策略信息最多的节点。
再示例性地,当备用链表中存在多个nodeB节点且多个nodeB节点的信息一致时,从多个nodeB节点中选出处理动作占比高的节点处理报文。进一步地,若存在处理动作占比高相同的两个nodeB节点,可以根据根据自定义规则从这两个nodeB节点中选出一个nodeB节点。
实施例二
请参阅图4,图4是本申请实施例公开的一种安全策略匹配方法的流程示意图。如图4所示,该方法包括步骤:
201、获取安全策略配置文件,安全策略配置文件包括至少一项五元组配置信息及至少一项五元组配置信息关联的安全策略配置信息;
202、根据至少一项五元组配置信息和安全策略配置信息构建安全策略链表;
203、接收安全策略匹配请求,安全策略匹配请求携带目标报文的特征信息;
204、根据安全策略链表和特征信息确定与目标报文相匹配的目标安全策略信息,安全策略链表包括横向链表及与横向链表级联的纵向链表,横向链表包括至少一个五元组节点,纵向链包括至少一个策略信息节点。
在本申请实施例中,能够根据安全策略配置文件自动构建安全策略链表,这样一来可降低操作人员构建安全策略链表的工作量。
需要说明的是,关于步骤203、步骤204的详细描述可参考本申请实施例一中的步骤101、步骤102的详细描述,在此不作赘述。
请参阅图5,图5是步骤202的一种子流程示意图。在一些可选的实施方式中,如图5所示,步骤202:根据至少一项五元组配置信息和安全策略配置信息构建安全策略链表,包括子步骤:
2021、根据至少一项五元组配置信息构建横向链表;
2022、根据安全策略配置信息构建纵向链表。
在该可选的实施方式中,可通过五元组配置信息构建横向链表,且可根据安全策略配置信息构建纵向链表。
在一些可选的实施方式中,步骤2021:根据至少一项五元组配置信息构建横向链表的具体方式为:
根据至少一项五元组配置信息确定掩码的最大值和最小值;
根据掩码的最大值和最小值生成至少一个五元组节点。
在本可选的实施方式中,可掩码的最大值和最小值确定五元组节点的划分间隔,进而可避免过度划分。
实施例三
请参阅图6,图6是本申请实施例公开的一种安全策略匹配装置的结构示意图。如图6所示,该装置包括:
接收模块301,用于接收安全策略匹配请求,安全策略匹配请求携带目标报文的特征信息;
确定模块302,用于根据安全策略链表和特征信息确定与目标报文相匹配的目标安全策略信息,安全策略链表包括横向链表及与横向链表级联的纵向链表,横向链表包括至少一个五元组节点,纵向链包括至少一个策略信息节点。
在一些可选的实施方式中,特征信息包括目标报文的源IP信息、目标报文的源端口信息、目标报文的目的IP信息、目标报文的端口和协议信息。在本可选实施方式中,通过目的IP信息、目标报文的源端口信息、源IP信息、目标报文的端口和协议信息能够在安全策略链表中匹配能够命中报文的安全策略。
在本可选实施方式中,通过目的IP信息、目标报文的源端口信息、源IP信息、目标报文的端口示例性地,图2是本申请实施例公开的一种安全策略链表的结构示意图。如图2所示,安全策略链表包括横向链表和纵向链表,其中,横向链表中的五元组节点用nodeA0至nodeAn表示,而纵向链表中的策略信息节点用nodeB0至nodeBn表示。如图2所示,每个五元组节点可级联一条纵向链表,该纵向链表可以包括n个节点,其中,n为正整数。
在一些可选的实施方式中,策略信息节点关联的安全策略信息包括匹配信息和处理信息,匹配信息至少包括策略ID、用户信息、服务信息、时间信息中一项。
示例性地,假设在横向链表的nodeA0节点记录(关联)五元组和掩码信息,分别是源IP信息,源端口信息,目的IP信息及掩码,目的端口和协议信息,其中,源IP信息为“1.1.1.1”、掩码信息为“31”、源端口信息为“1000”,目的IP信息为“2.1.1.1”、目的端口信息为“2000”、协议信息为“tcp”,而纵向链表nodeB0节点可以记录(关联)节点ID、用户信息、时间信息、服务信息、处理内容信息等信息,其中,处理内容信息可以包括处理动作信息、高级策略信息,处理动作信息可以包括处理次数信息。需要说明的是,五元组节点可以关联码信息。
示例性地,假设有外部机的一个程序需要通过本机防火墙以访问安全区域内的资源(如请求修改注册表)此时,该程序携带自身的IP信息、端口信息、协议信息等信息,进而本机的防火墙接收到为该程序匹配安全策略。
本申请实施例的安全策略匹配装置通过执行安全策略匹配方法,能够通过安全策略链表,可将安全策略中的五元组节点与安全策略中的安全策略信息级联,这样一来,在安全策略匹配过程中,就可以先根据五元组节点匹配报文,再在五元组节点能够匹配报文的安全策略节点中,根据策略信息节点匹配报文。与现有技术相比,本申请的安全策略匹配方法能够避免在五元组节点不能够匹配报文的安全策略中进行策略信息节点匹配,进而可降低匹配计算量而提高安全策略匹配速度。另一方面,本申请的安全策略匹配方法能在五元组节点能够匹配报文的策略中,遍历所有的安全策略信息节点,进而可使得在后设置的策略信息节点生效。
在一些可选的实施方式中,如图6所示,确定模块302包括子模块:
第一确定子模块3021,用于根据特征信息在横向链表中确定与目标报文相匹配的五元组节点;
匹配子模块3022,用于根据与目标报文相匹配的五元组节点,在纵向链中确定出至少一项与目标报文相匹配的策略信息节点;
第二确定子模块3023,用于根据至少一项与目标报文相匹配的策略信息节点关联的安全策略信息确定目标安全策略信息。
在本可选的实施方式中,通过将报文的特征信息可从安全策略链表中查询能够匹配该报文的策略信息节点。
在一些可选的实施方式中,第二确定子模块3023执行根据至少一项与目标报文相匹配的策略信息节点关联的安全策略信息确定目标安全策略信息的具方式为:
当有两项以上与目标报文相匹配的策略信息节点时,根据两项以上与目标报文相匹配的策略信息节点的节点顺序确定最优匹配策略信息节点;
将最优匹配策略信息节点关联的安全策略信息确定为目标安全策略信息。
在本可选的实施方式中,通过将报文的特征信息可从安全策略链表中查询能够匹配该报文的策略信息节点,进而能够根据节点的先后顺序从所有能够匹配报文的策略信息节点中确定最优的策略信息节点,这样一来,既能够使得在后设置的策略信息节点不被忽略而无法生效,也能够根据设置的先后顺序确定最优的策略信息节点,与现有技术相比,虽然现有技术能够实现根据设置的先后顺序确定策略信息,但现有技术无法实现后设置的策略信息不被忽略而无法生效。
在一些可选的实施方式中,第二确定子模块3023执行根据至少一项与目标报文相匹配的策略信息节点关联的安全策略信息确定目标安全策略信息的具体方式为:
当有两项以上与目标报文相匹配的策略信息节点时,判断所有与目标报文相匹配的策略信息节点关联的策略信息是否一致,若是,则根据处理动作的次数确定最优匹配策略信息节点,若否,则根据策略信息的数量确定最优匹配策略信息节点;
将最优匹配策略信息节点关联的安全策略信息确定为目标安全策略信息。
在本可选的实施方式中,当所有能够匹配报文的策略信息节点关联的策略信息一致时,能够根处理动作的次数从所有能够匹配报文的策略信息节点确定最有策略信息节点,而当所有能够匹配报文的策略信息节点关联的策略信息不一致时,能够根据策略信息的数量确定最优匹配策略信息节点。
在一些可选的实施方式中,如图6所示,确定模块302还包括复制子模块3024,其中:
复制子模块3024,用于当在纵向链中确定出至少一项与目标报文相匹配的策略信息节点时,将至少一项与目标报文相匹配的策略信息节点关联的安全策略信息复制至备用链表。
在本可选的实施方式中,将与目标报文相匹配的策略信息节点挂关联的策略信息复制至备用链表中,可便于后续使用该策略信息。
示例性地,当报文进入防火墙时,匹配到的nodeA1节点,发现该节点下有三个nodeB节点,通过匹配用户,时间,服务等,选择出可以命中生效的nodeB节点,并复制nodeB节点关联的策略信息至备用链表中。
再示例性地,当备用链表中存在多个nodeB节点时(如存在node B0、nodeB1),能够根据节点的先后顺序进行选择。
再示例性地,当备用链表中存在多个nodeB节点时且多个nodeB节点的信息不一致时,能够根据最长匹配原则,从多个nodeB节点中选出关联安全策略信息最多的节点。
再示例性地,当备用链表中存在多个nodeB节点且多个nodeB节点的信息一致时,从多个nodeB节点中选出处理动作占比高的节点处理报文。进一步地,若存在处理动作占比高相同的两个nodeB节点,可以根据根据自定义规则从这两个nodeB节点中选出一个nodeB节点。
在一些可选的实施方式中,如图6所示,本申请实施例的安全策略匹配装置还包括获取模块303、构建模块304,其中:
获取模块303,用于获取安全策略配置文件,安全策略配置文件包括至少一项五元组配置信息及至少一项五元组配置信息关联的安全策略配置信息;
构建模块304,用于根据至少一项五元组配置信息和安全策略配置信息构建安全策略链表。
在一些可选的实施方式中,如图6所示,构建模块304包括第一构建子模块3041、第二构建子模块3042:
第一构建子模块3041,用于根据至少一项五元组配置信息构建横向链表;
第二构建子模块3042,用于根据安全策略配置信息构建纵向链表。
在该可选的实施方式中,可通过五元组配置信息构建横向链表,且可根据安全策略配置信息构建纵向链表。
在一些可选的实施方式中,第一构建子模块3041执行根据至少一项五元组配置信息构建横向链表的具体方式为:
根据至少一项五元组配置信息确定掩码的最大值和最小值;
根据掩码的最大值和最小值生成至少一个五元组节点。
在本可选的实施方式中,可掩码的最大值和最小值确定五元组节点的划分间隔,进而可避免过度划分。
实施例四
请参阅图7,图7是本申请实施例公开的一种网络设备的结构示意图。如图7所示,该网络设备包括:
处理器402;以及
存储器401,配置用于存储机器可读指令,指令在由处理器402执行时,使得处理器402执行如本申请实施例一和实施例二的安全策略匹配方法。
本申请的网络设备通过执行安全策略匹配方法,能够通过安全策略链表,可将安全策略中的五元组节点与安全策略中的安全策略信息级联,这样一来,在安全策略匹配过程中,就可以先根据五元组节点匹配报文,再在五元组节点能够匹配报文的安全策略节点中,根据策略信息节点匹配报文。与现有技术相比,本申请的安全策略匹配方法能够避免在五元组节点不能够匹配报文的安全策略中进行策略信息节点匹配,进而可降低匹配计算量而提高安全策略匹配速度。另一方面,本申请的安全策略匹配方法能在五元组节点能够匹配报文的策略中,遍历所有的安全策略信息节点,进而可使得在后设置的策略信息节点生效。
实施例五
本申请实施例公开一种计算机存储介质,计算机存储介质存储有计算机程序,该计算机程序被处理器执行如本申请实施例一和实施例二的安全策略匹配方法。
本申请实施例的一种计算机存储介质通过执行安全策略匹配方法,能够通过安全策略链表,可将安全策略中的五元组节点与安全策略中的安全策略信息级联,这样一来,在安全策略匹配过程中,就可以先根据五元组节点匹配报文,再在五元组节点能够匹配报文的安全策略节点中,根据策略信息节点匹配报文。与现有技术相比,本申请的安全策略匹配方法能够避免在五元组节点不能够匹配报文的安全策略中进行策略信息节点匹配,进而可降低匹配计算量而提高安全策略匹配速度。另一方面,本申请的安全策略匹配方法能在五元组节点能够匹配报文的策略中,遍历所有的安全策略信息节点,进而可使得在后设置的策略信息节点生效。
在本申请所公开的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,定位基站,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应所述以权利要求的保护范围为准。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (13)
1.一种安全策略匹配方法,其特征在于,所述方法包括:
接收安全策略匹配请求,所述安全策略匹配请求携带目标报文的特征信息;
根据安全策略链表和所述特征信息确定与所述目标报文相匹配的目标安全策略信息,所述安全策略链表包括横向链表及与所述横向链表级联的纵向链表,所述横向链表包括至少一个五元组节点,所述纵向链包括至少一个策略信息节点。
2.如权利要求1所述的安全策略匹配方法,其特征在于,根据安全策略链表和所述特征信息确定与所述目标报文相匹配的目标安全策略信息,包括:
根据所述特征信息在所述横向链表中确定与所述目标报文相匹配的五元组节点;
根据所述与所述目标报文相匹配的五元组节点,在所述纵向链中确定出至少一项与所述目标报文相匹配的策略信息节点;
根据至少一项所述与所述目标报文相匹配的策略信息节点关联的安全策略信息确定所述目标安全策略信息。
3.如权利要求2所述的安全策略匹配方法,其特征在于,根据至少一项所述与所述目标报文相匹配的策略信息节点关联的安全策略信息确定所述目标安全策略信息,包括:
当有两项以上所述与所述目标报文相匹配的策略信息节点时,根据两项以上所述与所述目标报文相匹配的策略信息节点的节点顺序确定最优匹配策略信息节点;
将最优匹配策略信息节点关联的安全策略信息确定为所述目标安全策略信息。
4.如权利要求2所述的安全策略匹配方法,其特征在于,根据至少一项所述与所述目标报文相匹配的策略信息节点关联的安全策略信息确定所述目标安全策略信息,包括:
当有两项以上所述与所述目标报文相匹配的策略信息节点时,判断所有所述与所述目标报文相匹配的策略信息节点关联的策略信息是否一致,若是,则根据处理动作的次数确定最优匹配策略信息节点,若否,则根据策略信息的数量确定最优匹配策略信息节点;
将最优匹配策略信息节点关联的安全策略信息确定为所述目标安全策略信息。
5.如权利要求2所述的安全策略匹配方法,其特征在于,根据安全策略链表和所述特征信息确定与所述目标报文相匹配的目标安全策略信息,还包括:
当在所述纵向链中确定出至少一项所述与所述目标报文相匹配的策略信息节点时,将至少一项所述与所述目标报文相匹配的策略信息节点关联的安全策略信息复制至备用链表。
6.如权利要求1-5任一项所述的安全策略匹配方法,其特征在于,所述特征信息包括所述目标报文的源IP信息、所述目标报文的源端口信息、所述目标报文的目的IP信息、所述目标报文的端口和协议信息。
7.如权利要求1-5任一项所述的安全策略匹配方法,其特征在于,所述策略信息节点关联的安全策略信息包括匹配信息和处理信息,所述匹配信息至少包括策略ID、用户信息、服务信息、时间信息中一项。
8.如权利要求1所述的安全策略匹配方法,其特征在于,在接收安全策略匹配请求之前,所述方法包括:
获取安全策略配置文件,所述安全策略配置文件包括至少一项五元组配置信息及所述至少一项五元组配置信息关联的安全策略配置信息;
根据所述至少一项五元组配置信息和所述安全策略配置信息构建安全策略链表。
9.如权利要求8所述的安全策略匹配方法,其特征在于,所述根据所述至少一项五元组配置信息和所述安全策略配置信息构建安全策略链表,包括:
根据所述至少一项五元组配置信息构建所述横向链表;
根据所述安全策略配置信息构建所述纵向链表。
10.如权利要求9所述的安全策略匹配方法,其特征在于,根据所述至少一项五元组配置信息构建所述横向链表,包括:
根据所述至少一项五元组配置信息确定掩码的最大值和最小值;
根据所述掩码的最大值和最小值生成所述至少一个五元组节点。
11.一种安全策略匹配装置,其特征在于,所述安全策略匹配装置包括:
接收模块,用于接收安全策略匹配请求,所述安全策略匹配请求携带目标报文的特征信息;
确定模块,用于根据安全策略链表和所述特征信息确定与所述目标报文相匹配的目标安全策略信息,所述安全策略链表包括横向链表及与所述横向链表级联的纵向链表,所述横向链表包括至少一个五元组节点,所述纵向链包括至少一个策略信息节点。
12.一种网络设备,其特征在于,所述网络设备包括:
处理器;以及
存储器,配置用于存储机器可读指令,所述指令在由所述处理器执行时,执行如权利要求1-10所述的安全策略匹配方法。
13.一种计算机存储介质,其特征在于,所述计算机存储介质存储有计算机程序,所述计算机程序被处理器执行如权利要求1-10所述的安全策略匹配方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911400423.1A CN111181964A (zh) | 2019-12-30 | 2019-12-30 | 安全策略匹配方法、装置及网络设备、存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911400423.1A CN111181964A (zh) | 2019-12-30 | 2019-12-30 | 安全策略匹配方法、装置及网络设备、存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111181964A true CN111181964A (zh) | 2020-05-19 |
Family
ID=70658471
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911400423.1A Pending CN111181964A (zh) | 2019-12-30 | 2019-12-30 | 安全策略匹配方法、装置及网络设备、存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111181964A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113179252A (zh) * | 2021-03-30 | 2021-07-27 | 新华三信息安全技术有限公司 | 一种安全策略管理方法、装置、设备及机器可读存储介质 |
| CN113794690A (zh) * | 2021-08-20 | 2021-12-14 | 山石网科通信技术股份有限公司 | 数据处理方法、装置、非易失性存储介质及处理器 |
| CN113949661A (zh) * | 2021-09-27 | 2022-01-18 | 网络通信与安全紫金山实验室 | 一种数据转发方法及装置 |
| CN114050942A (zh) * | 2022-01-11 | 2022-02-15 | 浙江国利网安科技有限公司 | 安全策略配置方法、装置、网络设备及介质 |
| CN114553469A (zh) * | 2022-01-04 | 2022-05-27 | 武汉船舶通信研究所(中国船舶重工集团公司第七二二研究所) | 报文处理方法、装置、设备和存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103812860A (zh) * | 2014-01-20 | 2014-05-21 | 北京赛博兴安科技有限公司 | 一种基于fpga的高速网络策略匹配方法 |
| US20180041470A1 (en) * | 2016-08-08 | 2018-02-08 | Talari Networks Incorporated | Applications and integrated firewall design in an adaptive private network (apn) |
| CN108076066A (zh) * | 2017-12-27 | 2018-05-25 | 杭州迪普科技股份有限公司 | 一种防护gre报文的方法及装置 |
| CN109617927A (zh) * | 2019-01-30 | 2019-04-12 | 新华三信息安全技术有限公司 | 一种匹配安全策略的方法及装置 |
| CN110120942A (zh) * | 2019-04-17 | 2019-08-13 | 新华三信息安全技术有限公司 | 安全策略规则匹配方法及装置、防火墙设备及介质 |
-
2019
- 2019-12-30 CN CN201911400423.1A patent/CN111181964A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103812860A (zh) * | 2014-01-20 | 2014-05-21 | 北京赛博兴安科技有限公司 | 一种基于fpga的高速网络策略匹配方法 |
| US20180041470A1 (en) * | 2016-08-08 | 2018-02-08 | Talari Networks Incorporated | Applications and integrated firewall design in an adaptive private network (apn) |
| CN108076066A (zh) * | 2017-12-27 | 2018-05-25 | 杭州迪普科技股份有限公司 | 一种防护gre报文的方法及装置 |
| CN109617927A (zh) * | 2019-01-30 | 2019-04-12 | 新华三信息安全技术有限公司 | 一种匹配安全策略的方法及装置 |
| CN110120942A (zh) * | 2019-04-17 | 2019-08-13 | 新华三信息安全技术有限公司 | 安全策略规则匹配方法及装置、防火墙设备及介质 |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113179252A (zh) * | 2021-03-30 | 2021-07-27 | 新华三信息安全技术有限公司 | 一种安全策略管理方法、装置、设备及机器可读存储介质 |
| CN113179252B (zh) * | 2021-03-30 | 2022-04-01 | 新华三信息安全技术有限公司 | 一种安全策略管理方法、装置、设备及机器可读存储介质 |
| CN113794690A (zh) * | 2021-08-20 | 2021-12-14 | 山石网科通信技术股份有限公司 | 数据处理方法、装置、非易失性存储介质及处理器 |
| CN113794690B (zh) * | 2021-08-20 | 2024-02-09 | 山石网科通信技术股份有限公司 | 数据处理方法、装置、非易失性存储介质及处理器 |
| CN113949661A (zh) * | 2021-09-27 | 2022-01-18 | 网络通信与安全紫金山实验室 | 一种数据转发方法及装置 |
| CN113949661B (zh) * | 2021-09-27 | 2024-04-02 | 网络通信与安全紫金山实验室 | 一种数据转发方法及装置 |
| CN114553469A (zh) * | 2022-01-04 | 2022-05-27 | 武汉船舶通信研究所(中国船舶重工集团公司第七二二研究所) | 报文处理方法、装置、设备和存储介质 |
| CN114553469B (zh) * | 2022-01-04 | 2024-04-19 | 武汉船舶通信研究所(中国船舶重工集团公司第七二二研究所) | 报文处理方法、装置、设备和存储介质 |
| CN114050942A (zh) * | 2022-01-11 | 2022-02-15 | 浙江国利网安科技有限公司 | 安全策略配置方法、装置、网络设备及介质 |
| CN114050942B (zh) * | 2022-01-11 | 2022-04-26 | 浙江国利网安科技有限公司 | 安全策略配置方法、装置、网络设备及介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111181964A (zh) | 安全策略匹配方法、装置及网络设备、存储介质 | |
| US11748506B2 (en) | Access controlled graph query spanning | |
| WO2014000485A1 (zh) | 内容过滤方法和装置 | |
| US8321528B2 (en) | Method of processing event notifications and event subscriptions | |
| US20170288952A1 (en) | Network policy conflict detection and resolution | |
| US10505964B2 (en) | Context aware threat protection | |
| US20060155778A1 (en) | Updateable fan-out replication with reconfigurable master association | |
| Nahir et al. | Replication-based load balancing | |
| CN108683617B (zh) | 报文分流方法、装置及分流交换机 | |
| US9479479B1 (en) | Detector tree for detecting rule anomalies in a firewall policy | |
| CN109688126B (zh) | 一种数据处理方法、网络设备及计算机可读存储介质 | |
| CN108777662A (zh) | 表项管理方法及装置 | |
| WO2021017907A1 (zh) | 一种优化的微服务间通信的方法及装置 | |
| CN108696418B (zh) | 一种社交网络中隐私保护方法及装置 | |
| WO2017219982A1 (zh) | 清除缓存的方法及装置 | |
| CN112437012A (zh) | 流量调度方法、vnf集群缩扩容方法以及相关装置 | |
| CN111224890A (zh) | 一种云平台的流量分类方法、系统及相关设备 | |
| CN112698783A (zh) | 对象存储方法、装置及系统 | |
| CN116015796A (zh) | 一种流表更新方法、装置、防火墙设备及存储介质 | |
| JP2006146615A (ja) | オブジェクト関連情報管理プログラム、管理方法、および管理装置。 | |
| US9912615B2 (en) | Dynamic removal of MAC table entries based on a MAC table fullness level | |
| US7159019B2 (en) | Information collection apparatus and method | |
| CN111106982B (zh) | 一种信息过滤方法、装置、电子设备及存储介质 | |
| CN110109957B (zh) | 流式事件关联匹配方法及装置 | |
| US11797486B2 (en) | File de-duplication for a distributed database |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200519 |