CN114301680B - 一种安全策略的匹配方法及装置、存储介质 - Google Patents
一种安全策略的匹配方法及装置、存储介质 Download PDFInfo
- Publication number
- CN114301680B CN114301680B CN202111630750.3A CN202111630750A CN114301680B CN 114301680 B CN114301680 B CN 114301680B CN 202111630750 A CN202111630750 A CN 202111630750A CN 114301680 B CN114301680 B CN 114301680B
- Authority
- CN
- China
- Prior art keywords
- security policy
- matching
- address
- matched
- search tree
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 45
- 238000006243 chemical reaction Methods 0.000 claims abstract description 41
- 230000007717 exclusion Effects 0.000 claims description 13
- 238000012545 processing Methods 0.000 claims description 12
- 238000004590 computer program Methods 0.000 claims description 3
- 230000008569 process Effects 0.000 description 11
- 230000009471 action Effects 0.000 description 6
- 238000004891 communication Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 6
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000000873 masking effect Effects 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000009467 reduction Effects 0.000 description 2
- 230000000903 blocking effect Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000012827 research and development Methods 0.000 description 1
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种安全策略的匹配方法及装置、存储介质。安全策略的匹配方法,包括:获取待匹配流量;基于预设的第一搜索树,确定所述待匹配流量对应的第一匹配安全策略集合;所述第一搜索树为对正向维度地址进行配置转换后所生成的搜索树;基于预设的第二搜索树,确定所述待匹配流量对应的第二匹配安全策略集合;所述第二搜索树为对反向维度地址进行配置转换后所生成的搜索树;根据所述第一匹配安全策略集合和所述第二匹配安全策略集合确定所述待匹配流量对应的最终匹配安全策略。该匹配方法用以减少安全策略的匹配所导致的内存消耗,并提高安全策略的匹配效率。
Description
技术领域
本申请涉及网络安全技术领域,具体而言,涉及一种安全策略的匹配方法及装置、存储介质。
背景技术
安全策略是网络安全设备的基本功能,控制安全域间/不同地址段间的流量转发。安全策略可以决定从一个(多个)安全域到另一个(多个)安全域/从一个地址段到另一个地址段的哪些流量该被允许,哪些流量该被拒绝。
在应用时,安全设备能够识别出流量的源地址、目的地址、源安全域、目的安全域等属性,并将这些属性与安全策略中配置的条件进行匹配。如果所有条件都匹配,则此流量成功匹配安全策略。流量匹配安全策略后,设备将会执行安全策略的动作:允许或拒绝。如果动作为“允许”,则放行流量,如果动作为“拒绝”,则禁止流量通过。
现有技术中,安全策略中配置的地址通常包括正向维度地址和反向维度地址,在进行安全策略的匹配时,结合正向维度地址和反向维度地址生成搜索树。在生成搜索树的过程中,将反向维度地址转换为正向维度地址,进而,导致地址的膨胀(即地址数量增加),内存消耗较大;并且,还会进一步导致搜索树的膨胀,查询搜索树需要较大计算量,匹配效率较低。
发明内容
本申请实施例的目的在于提供一种安全策略的匹配方法及装置、存储介质,用以减少安全策略的匹配所导致的内存消耗,并提高安全策略的匹配效率。
第一方面,本申请实施例提供一种安全策略的匹配方法,包括:获取待匹配流量;基于预设的第一搜索树,确定所述待匹配流量对应的第一匹配安全策略集合;所述第一搜索树为对正向维度地址进行配置转换后所生成的搜索树;基于预设的第二搜索树,确定所述待匹配流量对应的第二匹配安全策略集合;所述第二搜索树为对反向维度地址进行配置转换后所生成的搜索树;根据所述第一匹配安全策略集合和所述第二匹配安全策略集合确定所述待匹配流量对应的最终匹配安全策略。
在本申请实施例中,与现有技术相比,对正向维度地址进行配置转换后生成第一搜索树,以及对反向维度地址进行配置转换后生成第二搜索树,基于各自的维度分别生成搜索树,不再需要将反向维度地址转换为正向维度地址,使得反向维度地址仍然可以采用反向维度地址的表现形式,避免地址转换所导致的地址膨胀问题,减少内存消耗。进而,在确定匹配的安全策略时,分别基于第一搜索树和第二搜索树确定对应的匹配安全策略集合,再结合分别对应的匹配安全策略结合确定最终的匹配安全策略,由于搜索树的复杂度降低,能够实现高效的策略匹配。
作为一种可能的实现方式,所述正向维度地址包括:IP(Internet Protocol,网际互连协议)掩码、IP范围和通配符掩码。
在本申请实施例中,通过上述的正向维度地址,实现第一搜索树的有效生成。
作为一种可能的实现方式,所述匹配方法还包括:对所述IP掩码、所述IP范围和所述通配符掩码进行配置转换,获得配置转换后的地址;基于所述配置转换后的地址生成所述第一搜索树。
在本申请实施例中,通过对上述的正向维度地址进行配置转换,实现基于配置转换后的地址有效生成第一搜索树。
作为一种可能的实现方式,所述反向维度地址为排除地址,所述排除地址用于指示指定的IP掩码和所述指定的IP掩码对应的地址范围内的被排除地址。
在本申请实施例中,通过上述的反向维度地址,实现第二搜索树的有效且快速的生成。
作为一种可能的实现方式,所述匹配方法还包括:对所述指定的IP掩码和所述被排除地址进行配置转换,获得配置转换后的地址;基于所述配置转换后的地址生成所述第二搜索树。
在本申请实施例中,通过对反向维度地址进行单独的配置转换,避免地址的膨胀,在减少内存消耗的同时,实现第二搜索树的高效生成。
作为一种可能的实现方式,所述根据所述第一匹配安全策略集合和所述第二匹配安全策略集合确定所述待匹配流量对应的最终匹配安全策略,包括:根据所述第一匹配安全策略集合和所述第二匹配安全策略集合确定最终匹配安全策略集合;将所述最终匹配安全策略集合中的第一个安全策略确定为所述最终匹配安全策略。
在本申请实施例中,通过第一匹配安全策略集合和第二匹配安全策略集合,确定最终匹配安全策略集合,然后将其中的第一安全策略确定为最终匹配安全策略,实现最终匹配安全策略的有效确定。
作为一种可能的实现方式,所述最终匹配安全策略集合表示为:Result=ResultA&~ResultB,其中,ResultA为所述第一匹配安全策略集合,ResultB为所述第二匹配安全策略集合。
在本申请实施例中,通过上述的第一匹配安全策略集合和第二匹配安全策略集合的结合方式,实现最终匹配安全策略集合的有效确定。
作为一种可能的实现方式,在所述基于预设的第二搜索树,确定所述待匹配流量对应的第二匹配安全策略集合之前,所述匹配方法还包括:确定所述第一匹配安全策略集合不为空。
在本申请实施例中,如果第一匹配安全策略集合为空,则说明不会有匹配的安全策略,因此,在确定第一匹配安全策略集合不为空的情况下,再进行第二搜索树的查找,可以避免不必要的数据匹配过程,提高安全策略的匹配效率。
第二方面,本申请实施例提供一种安全策略的匹配装置,包括:用于实现第一方面以及第一方面的任意一种可能的实现方式中所述的安全策略的匹配方法的各个功能模块。
第三方面,本申请实施例提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被计算机运行时,执行如第一方面以及第一方面的任意一种可能的实现方式中所述的安全策略的匹配方法。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的网络部署结构的示意图;
图2为本申请实施例提供的安全策略的匹配方法的流程图;
图3为本申请实施例提供的搜索树生成过程示意图;
图4为本申请实施例提供的策略匹配过程示意图;
图5为本申请实施例提供的安全策略的匹配装置的结构示意图。
图标:500-安全策略的匹配装置;510-获取模块;520-处理模块。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
请参照图1,为本申请实施例提供的网络部署结构示意图,该网络部署可作为本申请实施例提供的技术方案的应用场景,该部署结构为公司的常规部署场景。
在图1所示的网络部署中,分为服务器区、员工办公区和公网。在服务器区中,包括用于实现不同的服务的服务器。在员工办公区中,包括不同的员工所在的员工端(这里指员工所使用的终端设备)。在公网中,包括:公网和公网主机。
为了实现服务器区、员工办公区和公网的安全监测,在该网络部署中,还包括:安全网关。安全网关与服务器区的服务器通过交换机通信连接,以及与员工办公区的员工端通过交换机通信连接,以及还与公网通信连接。
作为安全网关来说,相当于网络安全设备。在安全网关上,预先制定有安全策略,通过安全策略,安全网关可以控制安全域间/不同地址段间的流量转发。安全策略可以决定从一个(多个)安全域到另一个(多个)安全域/从一个地址段到另一个地址段的哪些流量该被允许,哪些流量该被拒绝。
对于预先制定的安全策略,可以根据访问权限的控制需求进行制定,例如:允许员工办公区的员工端访问服务器区的服务器,但除了研发人员外,都不允许访问代码服务器。该访问权限的控制需求可以转换为针对特定服务的安全策略。
基于该网络部署的介绍,本申请实施例所提供的技术方案可以应用于其中的安全网关。安全网关,在获取到需要处理(例如转发)的流量之后,基于流量的各项信息进行安全策略的匹配,在匹配到对应的安全策略之后,按照对应的安全策略中所限定的处理方式对流量进行处理。
接下来请参照图2,为本申请实施例提供的安全策略的匹配方法的流程图,该匹配方法包括:
步骤210:获取待匹配流量。
步骤220:基于预设的第一搜索树,确定待匹配流量对应的第一匹配安全策略集合。第一搜索树为对正向维度地址进行配置转换后所生成的搜索树。
步骤230:基于预设的第二搜索树,确定待匹配流量对应的第二匹配安全策略集合。第二搜索树为对反向维度地址进行配置转换后所生成的搜索树。
步骤240:根据第一匹配安全策略集合和第二匹配安全策略集合确定待匹配流量对应的最终匹配安全策略。
在本申请实施例中,与现有技术相比,对正向维度地址进行配置转换后生成第一搜索树,以及对反向维度地址进行配置转换后生成第二搜索树,基于各自的维度分别生成搜索树,不再需要将反向维度地址转换为正向维度地址,使得反向维度地址仍然可以采用反向维度地址的表现形式,避免地址转换所导致的地址膨胀问题,减少内存消耗。进而,在确定匹配的安全策略时,分别基于第一搜索树和第二搜索树确定对应的匹配安全策略集合,再结合分别对应的匹配安全策略结合确定最终的匹配安全策略,由于搜索树的复杂度降低,能够实现高效的策略匹配。
接下来对该安全策略的匹配方法的详细实施方式进行介绍。
在步骤210中,待匹配流量可以理解为当前需要进行安全策略匹配的流量,例如:从一个(多个)安全域到另一个(多个)安全域的流量;或者,从一个地址段到另一个地址段的流量。
从上述网络部署可以看出,安全网关位于各个网络设备之间,因此,安全网关可以实时抓取这些网络设备之间传输的流量,实现待匹配流量的获取。
在步骤220中,基于预设的第一搜索树,确定待匹配流量对应的第一匹配安全策略集合。其中,第一搜索树为对正向维度地址进行配置转换后所生成的搜索树。
在步骤230中,基于预设的第二搜索树,确定待匹配流量对应的第二匹配安全策略集合。其中,第二搜索树为对反向维度地址进行配置转换后所生成的搜索树。
正向维度地址和反向维度地址,可结合实际的应用场景中的配置进行划分。
作为举例,请参照表1,为本申请实施例提供的一种地址的配置方式,在表1中,包括五种配置地址:IP、IP掩码、IP范围、通配符掩码和排除地址。
IP,指定一个特定的IP,只有待匹配流量的地址与该特定的IP相同时,该IP对应的安全策略才可被判断为匹配的安全策略。
IP掩码,指定一个特定的IP即对应的掩码(可理解为IP范围的限定方式),当待匹配流量的地址在该掩码对应的子网下,该IP掩码对应的安全策略便可被判断为匹配的安全策略。
IP范围,与IP掩码类似,都是限定一个IP范围,但是,采用的是IP最大值和IP最小值的限定方式。同样的,当待匹配流量的地址在该IP范围内,该IP范围对应的安全策略便可被判断为匹配的安全策略。
通配符掩码,与IP掩码类似,都是限定一个IP范围,但是,采用的不是掩码形式,而是IP掩码的更一般的通配符表现形式,可以指定任意位来匹配。同样的,当待匹配流量的地址符合该通配符掩码所限定的范围,该通配符掩码对应的安全策略便可被判断为匹配的安全策略。
排除地址,指定一个特定的IP掩码,和在该特定的IP掩码下的排除地址。当待匹配流量的地址在该特定的IP掩码的范围内,且与排除地址一致,该排除地址对应的安全策略便可被判断为匹配的安全策略。
通过排除地址,可以针对IP掩码范围内的一些特例的安全策略进行配置。例如:通常来说,在一个IP掩码范围内的IP地址都应当被允许通过,但是,其中的某个地址不能被允许通过,此时,便可通过排除地址实现对应的安全策略的配置。
表1
基于表1所示的地址配置方式,作为一种可选的实施方式,步骤220中的正向维度地址包括:IP掩码、IP范围和通配符掩码。以及,步骤230中的反向维度地址为排除地址。
基于配置的地址,可以定义出相应的安全策略,作为举例,请参照表2,为2种安全策略的示例,安全策略1,允许在源IP地址的范围内的地址访问目的IP地址。安全策略2,禁止任意的地址访问目的IP地址。
表2
基于表2所配置的安全策略,如果公司网络变更,在公司研发区增设访客临时网络,其接入IP也位于研发的网段,但是公司规定,访客未授权的情况下是不允许访问代码服务器的,此时如果使用排除地址的方式进行处理,仅需要增加一条配置如表3所示,可以看出,在表2的基础上,将安全策略1的地址配置方式变更为排除地址配置方式,便可实现该权限访问控制的配置。在实际应用时,还可以结合用户的具体的权限访问控制需求实现更多的安全策略的配置,在本申请实施例中不作一一举例。本申请实施例的重点是,基于已配置好的这些安全策略,如何实现更高效的安全策略的匹配。
表3
基于上述正向维度地址、反向维度地址以及对应的安全策略的实施方式的介绍,作为一种可选的实施方式,第一搜索树的生成过程包括:对IP掩码、IP范围和通配符掩码进行配置转换,获得配置转换后的地址;基于配置转换后的地址生成第一搜索树。
在这种实施方式中,将IP掩码、IP范围和通配符掩码进行配置转换,可转换为通用的IP掩码的形式。举例来说,对于IP掩码:192.168.1.0/24,配置转换后仍然表示为:192.168.1.0/24,膨胀系数为1。对于IP范围和通配符掩码的配置转换,也是同理,在此不作详细介绍。
在配置转换之后,再基于这些配置转换后的地址之间的关联关系(层级关系)便可生成第一搜索树,第一搜索树可以理解为这些地址对应的树形结构。基于关联关系生成第一搜索树的方式,可参照本领域成熟的技术,在此不作具体介绍。
在本申请实施例中,通过对上述的正向维度地址进行配置转换,实现基于配置转换后的地址有效生成第一搜索树。
在排除地址的配置中,包括:指定的IP掩码和指定的IP掩码对应的地址范围内的被排除地址。作为一种可选的实施方式,第二搜索树的生成过程包括:对指定的IP掩码和被排除地址进行配置转换,获得配置转换后的地址;基于配置转换后的地址生成第二搜索树。
在这种实施方式中,由于指定的IP掩码和被排除地址均为IP掩码形式,因此,参照上述IP掩码的转换方式,举例来说,假设排除地址为:192.168.1.0/24排除192.168.1.100/32,则配置转换后的地址为:192.168.1.0/24排除192.168.1.100/32,膨胀系数为1。
进而,针对一个或者多个排除地址的关联关系,便可生成在反向维度下的第二搜索树。基于关联关系生成第二搜索树的方式,可参照本领域成熟的技术,在此不作具体介绍。可以看出,在这个过程中,由于不需要将反向维度地址增加到正向维度地址的搜索树中,因此,也不需要再将反向维度地址转换为正向维度地址,即,不需要对反向维度地址进行地址的膨胀。
在本申请实施例中,通过对反向维度地址进行单独的配置转换,避免地址的膨胀,在减少内存消耗的同时,实现第二搜索树的高效生成。
基于上述第一搜索树和第二搜索树的生成方式的介绍,在步骤220中和步骤230中,均可以先对待匹配流量进行识别,确定待匹配流量对应的源地址、目的地址、源安全域、目的安全域等属性与第一搜索树和第二搜索树进行匹配,以查找符合条件的第一匹配安全策略,获得第一匹配安全策略集合;以及查找符合条件的第二匹配安全策略,获得第二匹配安全策略集合。
在本申请实施例中,如果第一匹配安全策略集合为空,则说明不会存在匹配的安全策略,为了提高匹配效率,步骤230可以具备相应的执行条件,该执行条件取决于步骤220的执行结果。
因此,作为一种可选的实施方式,在步骤230之前,该匹配方法还包括:确定第一匹配安全策略集合是否为空;对应的,若确定第一匹配安全策略集合为空,则确定没有匹配的安全策略;若确定第一匹配安全策略集合不为空,则执行步骤230。
在本申请实施例中,如果第一匹配安全策略集合为空,则说明不会有匹配的安全策略,因此,在确定第一匹配安全策略集合不为空的情况下,再进行第二搜索树的查找,可以避免不必要的数据匹配过程,提高安全策略的匹配效率。
在步骤220和步骤230中分别确定第一匹配安全策略集合和第二匹配安全策略集合之后,在步骤240中,根据第一匹配安全策略集合和第二匹配安全策略集合确定待匹配流量对应的最终匹配安全策略。
作为一种可选的实施方式,步骤240包括:根据第一匹配安全策略集合和第二匹配安全策略集合确定最终匹配安全策略集合;将最终匹配安全策略集合中的第一个安全策略确定为最终匹配安全策略。
在这种实施方式中,先将第一匹配安全策略集合和第二匹配安全策略集合进行整合,获得最终匹配安全策略集合,然后将其中排序最前的安全策略确定为最终的匹配安全策略。
在一些实施例中,也可以将最终匹配安全策略集合中的其他安全策略确定为最终的匹配安全策略,在此不作限定。
在本申请实施例中,通过第一匹配安全策略集合和第二匹配安全策略集合,确定最终匹配安全策略集合,然后将其中的第一安全策略确定为最终匹配安全策略,实现最终匹配安全策略的有效确定。
作为一种可选的实施方式,最终匹配安全策略集合表示为:Result=ResultA&~ResultB,其中,ResultA为第一匹配安全策略集合,ResultB为第二匹配安全策略集合。
在这种实施方式中,先对第二匹配安全策略集合进行取反操作,然后再与第一匹配安全策略集合进行与操作,获得最终匹配安全策略集合。
在本申请实施例中,通过上述的第一匹配安全策略集合和第二匹配安全策略集合的结合方式,实现最终匹配安全策略集合的有效确定。
在一些实施例中,也可以结合实际的应用场景,采用其他的策略集合的整合方式,在此不作限定。
在步骤240中确定最终匹配安全策略之后,按照最终匹配安全策略中的处理方式对待匹配流量进行处理即可,例如:如果安全策略中的处理方式为允许通过,则对待匹配流量作允许通过处理;如果处理方式为禁止通过,则对待匹配流量进行阻挡处理。
在上述的实施方式的举例中,以IPv4作为应用场景举例,在实际应用时,在IPv6应用场景下,所能达到的技术效果更明显。可以理解,IPv6的IP掩码相较于Ipv4更复杂,采用现有技术的方式,排除地址的膨胀倍数更多,因此,当本申请实施例的技术方案应用于IPv6应用场景下时,所能达到的技术效果更明显。
为了便于理解,请参照图3,为本申请实施例提供的在实际应用时的策略加载的示意图,在图3中,基于正向维度地址和反向维度地址,分别进行配置转换,以生成对应的搜索树1和搜索树2。
进而,基于图3所生成的搜索树1和搜索树2,请参照图4,为本申请实施例提供的策略匹配的过程示意图,图4所示的过程可以包括:查询流量在常规地址维度(使用搜索树1)上匹配了哪些策略。
查询结果为一个满足要求的策略列表,记为ResultA={rule1,rule2,…,rulem}。如果ResultA为一个空的集合,则可跳过后续逻辑,认为流量无法匹配任何策略。
查询流量在排除地址维度(使用搜索树2)上匹配了哪些策略。
查询结果为一个满足要求的策略列表,记为ResultB={rule1,rule2,…,rulen}。
最终的匹配结果为Result=ResultA&~ResultB。
取Result集合中的第一个元素即为实际命中的策略。
进而,采用本申请实施例提供的技术方案,无论针对于IPv4还是IPv6的应用场景都具备适应性,且在IPv6的场景下优势更加明显。采用本方案,安全网关设备配置安全策略可以更加灵活,对策略的复杂程度的限制更为宽泛。
此外,在配置了排除地址的场景中,使用本发明可以使得策略配置占用的内存更小,且对策略匹配速度影响很小。
基于同一发明构思,请参照图5,本申请实施例中还提供一种安全策略的匹配装置500,包括:获取模块510和处理模块520。
获取模块510用于:获取待匹配流量。处理模块520用于:基于预设的第一搜索树,确定所述待匹配流量对应的第一匹配安全策略集合;所述第一搜索树为对正向维度地址进行配置转换后所生成的搜索树;基于预设的第二搜索树,确定所述待匹配流量对应的第二匹配安全策略集合;所述第二搜索树为对反向维度地址进行配置转换后所生成的搜索树;根据所述第一匹配安全策略集合和所述第二匹配安全策略集合确定所述待匹配流量对应的最终匹配安全策略。
在本申请实施例中,处理模块520还用于:对所述IP掩码、所述IP范围和所述通配符掩码进行配置转换,获得配置转换后的地址;基于所述配置转换后的地址生成所述第一搜索树。
在本申请实施例中,处理模块520还用于:对所述指定的IP掩码和所述被排除地址进行配置转换,获得配置转换后的地址;基于所述配置转换后的地址生成所述第二搜索树。
在本申请实施例中,处理模块520具体用于:根据所述第一匹配安全策略集合和所述第二匹配安全策略集合确定最终匹配安全策略集合;将所述最终匹配安全策略集合中的第一个安全策略确定为所述最终匹配安全策略。
在本申请实施例中,处理模块520还用于:确定所述第一匹配安全策略集合不为空。
安全策略的匹配装置500与前述的安全策略的匹配方法对应,各个功能模块与安全策略的匹配方法的各个步骤对应,因此,各个功能模块参照各个步骤的实施方式,在此不再重复介绍。
基于同一发明构思,本申请实施例还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被计算机运行时,执行前述实施例中所述的安全策略的匹配方法。
在本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
再者,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (8)
1.一种安全策略的匹配方法,其特征在于,包括:
获取待匹配流量;
基于预设的第一搜索树,确定所述待匹配流量对应的第一匹配安全策略集合;所述第一搜索树为对正向维度地址进行配置转换后所生成的搜索树;所述正向维度地址包括:IP掩码、IP范围和通配符掩码;
基于预设的第二搜索树,确定所述待匹配流量对应的第二匹配安全策略集合;所述第二搜索树为对反向维度地址进行配置转换后所生成的搜索树;所述反向维度地址为排除地址,所述排除地址用于指示指定的IP掩码和所述指定的IP掩码对应的地址范围内的被排除地址;
根据所述第一匹配安全策略集合和所述第二匹配安全策略集合确定所述待匹配流量对应的最终匹配安全策略。
2.根据权利要求1所述的匹配方法,其特征在于,所述匹配方法还包括:
对所述IP掩码、所述IP范围和所述通配符掩码进行配置转换,获得配置转换后的地址;
基于所述配置转换后的地址生成所述第一搜索树。
3.根据权利要求1所述的匹配方法,其特征在于,所述匹配方法还包括:
对所述指定的IP掩码和所述被排除地址进行配置转换,获得配置转换后的地址;
基于所述配置转换后的地址生成所述第二搜索树。
4.根据权利要求1所述的匹配方法,其特征在于,所述根据所述第一匹配安全策略集合和所述第二匹配安全策略集合确定所述待匹配流量对应的最终匹配安全策略,包括:
根据所述第一匹配安全策略集合和所述第二匹配安全策略集合确定最终匹配安全策略集合;
将所述最终匹配安全策略集合中的第一个安全策略确定为所述最终匹配安全策略。
5.根据权利要求4所述的匹配方法,其特征在于,所述根据所述第一匹配安全策略集合和所述第二匹配安全策略集合确定最终匹配安全策略集合,包括:
先对所述第二匹配安全策略集合进行取反操作,然后再与所述第一匹配安全策略集合进行与操作,获得所述最终匹配安全策略集合。
6.根据权利要求1所述的匹配方法,其特征在于,在所述基于预设的第二搜索树,确定所述待匹配流量对应的第二匹配安全策略集合之前,所述匹配方法还包括:
确定所述第一匹配安全策略集合不为空。
7.一种安全策略的匹配装置,其特征在于,包括:
获取模块,用于获取待匹配流量;
处理模块,用于:
基于预设的第一搜索树,确定所述待匹配流量对应的第一匹配安全策略集合;所述第一搜索树为对正向维度地址进行配置转换后所生成的搜索树;所述正向维度地址包括:IP掩码、IP范围和通配符掩码;
基于预设的第二搜索树,确定所述待匹配流量对应的第二匹配安全策略集合;所述第二搜索树为对反向维度地址进行配置转换后所生成的搜索树;所述反向维度地址为排除地址,所述排除地址用于指示指定的IP掩码和所述指定的IP掩码对应的地址范围内的被排除地址;
根据所述第一匹配安全策略集合和所述第二匹配安全策略集合确定所述待匹配流量对应的最终匹配安全策略。
8.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被计算机运行时,执行如权利要求1-6任一项所述的安全策略的匹配方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111630750.3A CN114301680B (zh) | 2021-12-29 | 2021-12-29 | 一种安全策略的匹配方法及装置、存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111630750.3A CN114301680B (zh) | 2021-12-29 | 2021-12-29 | 一种安全策略的匹配方法及装置、存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114301680A CN114301680A (zh) | 2022-04-08 |
| CN114301680B true CN114301680B (zh) | 2024-05-07 |
Family
ID=80971648
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111630750.3A Active CN114301680B (zh) | 2021-12-29 | 2021-12-29 | 一种安全策略的匹配方法及装置、存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114301680B (zh) |
Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002290447A (ja) * | 2001-03-27 | 2002-10-04 | Mitsubishi Electric Corp | アドレス検索方法、アドレス検索回路、およびアドレス検索プログラム |
| US6587466B1 (en) * | 1999-05-27 | 2003-07-01 | International Business Machines Corporation | Search tree for policy based packet classification in communication networks |
| CN101594303A (zh) * | 2009-07-10 | 2009-12-02 | 清华大学 | 基于网络流量统计信息的快速网包分类方法 |
| FR3011705A1 (fr) * | 2013-10-08 | 2015-04-10 | Cynapsys Technologies | Filtre ip a double masques |
| CN105978868A (zh) * | 2016-05-05 | 2016-09-28 | 杭州迪普科技有限公司 | Ip地址权限的查找方法及装置 |
| CN107508929A (zh) * | 2017-09-11 | 2017-12-22 | 杭州迪普科技股份有限公司 | 一种配置ip地址的方法及装置 |
| CN108965337A (zh) * | 2018-09-17 | 2018-12-07 | 新华三信息安全技术有限公司 | 规则匹配方法、装置、防火墙设备及机器可读存储介质 |
| CN109194536A (zh) * | 2018-07-27 | 2019-01-11 | 北京奇虎科技有限公司 | 一种网络流量过滤方法、装置及终端 |
| CN109617927A (zh) * | 2019-01-30 | 2019-04-12 | 新华三信息安全技术有限公司 | 一种匹配安全策略的方法及装置 |
| CN110071871A (zh) * | 2019-03-13 | 2019-07-30 | 国家计算机网络与信息安全管理中心 | 一种大模式集ip地址匹配方法 |
| CN110120942A (zh) * | 2019-04-17 | 2019-08-13 | 新华三信息安全技术有限公司 | 安全策略规则匹配方法及装置、防火墙设备及介质 |
| CN110290117A (zh) * | 2019-06-06 | 2019-09-27 | 新华三信息安全技术有限公司 | 一种匹配ip地址的方法及装置 |
| CN111193746A (zh) * | 2019-12-31 | 2020-05-22 | 奇安信科技集团股份有限公司 | 安全策略的匹配方法、装置、电子设备和介质 |
| CN111510478A (zh) * | 2020-04-07 | 2020-08-07 | 支付宝(杭州)信息技术有限公司 | 请求处理方法、装置、系统及电子设备 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3813136B2 (ja) * | 2003-04-25 | 2006-08-23 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 通信制御装置、通信制御方法、通信制御プログラム、通信制御用データ構造 |
| US8539547B2 (en) * | 2010-08-18 | 2013-09-17 | Certes Networks, Inc. | Policy selector representation for fast retrieval |
| US9692727B2 (en) * | 2014-12-02 | 2017-06-27 | Nicira, Inc. | Context-aware distributed firewall |
-
2021
- 2021-12-29 CN CN202111630750.3A patent/CN114301680B/zh active Active
Patent Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6587466B1 (en) * | 1999-05-27 | 2003-07-01 | International Business Machines Corporation | Search tree for policy based packet classification in communication networks |
| JP2002290447A (ja) * | 2001-03-27 | 2002-10-04 | Mitsubishi Electric Corp | アドレス検索方法、アドレス検索回路、およびアドレス検索プログラム |
| CN101594303A (zh) * | 2009-07-10 | 2009-12-02 | 清华大学 | 基于网络流量统计信息的快速网包分类方法 |
| FR3011705A1 (fr) * | 2013-10-08 | 2015-04-10 | Cynapsys Technologies | Filtre ip a double masques |
| CN105978868A (zh) * | 2016-05-05 | 2016-09-28 | 杭州迪普科技有限公司 | Ip地址权限的查找方法及装置 |
| CN107508929A (zh) * | 2017-09-11 | 2017-12-22 | 杭州迪普科技股份有限公司 | 一种配置ip地址的方法及装置 |
| CN109194536A (zh) * | 2018-07-27 | 2019-01-11 | 北京奇虎科技有限公司 | 一种网络流量过滤方法、装置及终端 |
| CN108965337A (zh) * | 2018-09-17 | 2018-12-07 | 新华三信息安全技术有限公司 | 规则匹配方法、装置、防火墙设备及机器可读存储介质 |
| CN109617927A (zh) * | 2019-01-30 | 2019-04-12 | 新华三信息安全技术有限公司 | 一种匹配安全策略的方法及装置 |
| CN110071871A (zh) * | 2019-03-13 | 2019-07-30 | 国家计算机网络与信息安全管理中心 | 一种大模式集ip地址匹配方法 |
| CN110120942A (zh) * | 2019-04-17 | 2019-08-13 | 新华三信息安全技术有限公司 | 安全策略规则匹配方法及装置、防火墙设备及介质 |
| CN110290117A (zh) * | 2019-06-06 | 2019-09-27 | 新华三信息安全技术有限公司 | 一种匹配ip地址的方法及装置 |
| CN111193746A (zh) * | 2019-12-31 | 2020-05-22 | 奇安信科技集团股份有限公司 | 安全策略的匹配方法、装置、电子设备和介质 |
| CN111510478A (zh) * | 2020-04-07 | 2020-08-07 | 支付宝(杭州)信息技术有限公司 | 请求处理方法、装置、系统及电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114301680A (zh) | 2022-04-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10764320B2 (en) | Structuring data and pre-compiled exception list engines and internet protocol threat prevention | |
| CN107733670B (zh) | 一种转发策略配置方法和装置 | |
| US7603474B2 (en) | Efficient endpoint matching using a header-to-bit conversion table | |
| EP1250791B1 (en) | System and method for using an ip address as a wireless unit identifier | |
| CN108768866B (zh) | 组播报文跨卡转发方法、装置、网络设备及可读存储介质 | |
| US9009782B2 (en) | Steering traffic among multiple network services using a centralized dispatcher | |
| CN112468416B (zh) | 网络流量镜像方法、装置、计算机设备和存储介质 | |
| US11671405B2 (en) | Dynamic filter generation and distribution within computer networks | |
| CN114205191B (zh) | 一种api网关系统及运行方法 | |
| CN113056895A (zh) | 用于将现有访问控制列表策略迁移到基于意图的策略且反之亦然的系统和方法 | |
| CN111585956A (zh) | 一种网址防刷验证方法与装置 | |
| CN110868446A (zh) | 一种后ip的主权网体系架构 | |
| CN114301680B (zh) | 一种安全策略的匹配方法及装置、存储介质 | |
| AU2021231671B2 (en) | Systems and methods for implementing universal targets in network traffic classification | |
| CN111988446B (zh) | 一种报文处理方法、装置、电子设备及存储介质 | |
| US11546235B2 (en) | Action based on advertisement indicator in network packet | |
| JP2006013732A (ja) | ルーティング装置および情報処理装置の認証方法 | |
| CN113691650A (zh) | IPv4/IPv6无状态分段安全映射方法及控制系统 | |
| CN114374637A (zh) | 一种路由处理方法及装置 | |
| US9712541B1 (en) | Host-to-host communication in a multilevel secure network | |
| CN114301686B (zh) | 一种安全策略的匹配方法及装置、存储介质 | |
| CN110519169A (zh) | 一种应用层复用网络报文头部的方法 | |
| CN117353958A (zh) | 一种安全策略的处理方法及相关装置 | |
| CN116032592A (zh) | 服务器的网络安全检测方法、装置及存储介质 | |
| CN115987948A (zh) | 基于asic芯片实现vmac的方法及应用 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |