CN114301686A - 一种安全策略的匹配方法及装置、存储介质 - Google Patents
一种安全策略的匹配方法及装置、存储介质 Download PDFInfo
- Publication number
- CN114301686A CN114301686A CN202111635459.5A CN202111635459A CN114301686A CN 114301686 A CN114301686 A CN 114301686A CN 202111635459 A CN202111635459 A CN 202111635459A CN 114301686 A CN114301686 A CN 114301686A
- Authority
- CN
- China
- Prior art keywords
- service information
- matched
- port service
- security
- security policy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 55
- 238000012545 processing Methods 0.000 claims description 11
- 238000004590 computer program Methods 0.000 claims description 5
- 238000013475 authorization Methods 0.000 description 12
- 238000012986 modification Methods 0.000 description 7
- 230000004048 modification Effects 0.000 description 7
- 230000009471 action Effects 0.000 description 6
- 238000004891 communication Methods 0.000 description 6
- 238000012423 maintenance Methods 0.000 description 6
- 238000007792 addition Methods 0.000 description 5
- 238000012217 deletion Methods 0.000 description 5
- 230000037430 deletion Effects 0.000 description 5
- 238000010586 diagram Methods 0.000 description 5
- 230000008569 process Effects 0.000 description 4
- 238000011217 control strategy Methods 0.000 description 3
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 238000011161 development Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000007547 defect Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000033001 locomotion Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种安全策略的匹配方法及装置、存储介质。匹配方法包括:获取待匹配流量;确定待匹配流量对应的端口服务信息和非端口服务信息;将待匹配流量对应的端口服务信息与预设的多个第一安全策略中的端口服务信息进行匹配,判断是否存在匹配第一安全策略;不同的第一安全策略中的端口服务信息不相同,且不具有关联关系;若存在匹配第一安全策略,判断待匹配流量对应的非端口服务信息与匹配第一安全策略的非端口服务信息是否一致;若待匹配流量对应的非端口服务信息与匹配第一安全策略的非端口服务信息一致,确定匹配第一安全策略为待匹配流量对应的安全策略。该匹配方法所支持的安全策略数量能够达到百万级别。
Description
技术领域
本申请涉及网络安全技术领域,具体而言,涉及一种安全策略的匹配方法及装置、存储介质。
背景技术
安全策略是网络安全设备的基本功能,控制安全域间/不同地址段间的流量转发。安全策略可以决定从一个(多个)安全域到另一个(多个)安全域/从一个地址段到另一个地址段的哪些流量该被允许,哪些流量该被拒绝。
在应用时,安全设备能够识别出流量的源地址、目的地址、源安全域、目的安全域等属性,并将这些属性与安全策略中配置的条件进行匹配。如果所有条件都匹配,则此流量成功匹配安全策略。
现有技术中,采用基于搜索树实现从上到下的安全策略匹配,流量从上到下匹配策略,命中一条策略后,停止匹配,也就是说,安全策略表中的策略,优先级是从上到下排序的,越上面的策略的优先级越高,越下面的策略的优先级越低。为了实现从上到下的匹配顺序,并支持策略匹配条件范围的包含、交叉等关系,安全网关通常采用基于搜索树的实现方法,记录搜索树节点与策略之间的关系。
这种匹配方式,构建搜索树、搜索树节点与策略之间的关系,会占用大量的内存;查询搜索树,从树节点推导出命中的策略,需要较大计算量。因此,现有的安全策略的匹配方式内存消耗较大,且匹配效率较低。
发明内容
本申请实施例的目的在于提供一种安全策略的匹配方法及装置、存储介质,用以使安全网关设备支持的安全策略数量可以达到百万级别,能够很好地满足自动化运维场景下,对于最小化授权的需求。
第一方面,本申请实施例提供一种安全策略的匹配方法,包括:获取待匹配流量;确定所述待匹配流量对应的端口服务信息和非端口服务信息;将所述待匹配流量对应的端口服务信息与预设的多个第一安全策略中的端口服务信息进行匹配,判断是否存在匹配第一安全策略;所述匹配第一安全策略中的端口服务信息与所述待匹配流量对应的端口服务信息一致,不同的第一安全策略中的端口服务信息不相同,且不具有关联关系;若存在匹配第一安全策略,判断所述待匹配流量对应的非端口服务信息与所述匹配第一安全策略的非端口服务信息是否一致;若所述待匹配流量对应的非端口服务信息与所述匹配第一安全策略的非端口服务信息一致,确定所述匹配第一安全策略为所述待匹配流量对应的安全策略。
在本申请实施例中,与现有技术相比,预设多个第一安全策略。多个第一安全策略的端口服务信息均不相同,且不具有关联关系,则,每条第一安全策略内容与其他第一安全策略不重复。那么,在进行安全策略的匹配时,可以确保每个数据包唯一匹配一条第一安全策略或者不匹配任何一条第一安全策略,从而使得第一安全策略之间互不相关。由于第一安全策略的不同策略条目之间是相互独立的,无关的,所以不需要使用额外的内存,例如bitmap,来记录策略之间的关系,也不需要通过搜索树组织,从而大大节省内存,且实现快速匹配,以及快速增加、删除和修改。在相同内存大小的情况下,可以支持更多第一安全策略。因此,该匹配方法可以实现减少安全策略的匹配的内存消耗,以及提高安全策略的匹配效率。
并且,该匹配方法能够使安全网关设备支持的安全策略数量可以达到百万级别,能够很好地满足自动化运维场景下,对于最小化授权的需求。
作为一种可能的实现方式,所述匹配方法还包括:若不存在匹配第一安全策略,将所述待匹配流量对应的端口服务信息和非端口服务信息与预设的多个第二安全策略进行匹配,判断是否存在匹配第二安全策略;所述多个第二安全策略中包括多项策略信息,不同的第二安全策略中的策略信息之间具有关联关系;若存在匹配第二安全策略,确定所述匹配第二安全策略为所述待匹配流量对应的安全策略。
在本申请实施例中,除了预设第一安全策略,还可以预设第二安全策略,第二安全策略之间可以具有关联关系,通过第一安全策略和第二安全策略结合使用的方式,既能满足最小化授权的安全策略需求(即第一安全策略对应较为精准的策略匹配需求),又能满足宽泛的安全策略控制需求(即第二安全策略对应较为宽泛的策略匹配需求)。
作为一种可能的实现方式,所述匹配方法还包括:若所述待匹配流量对应的非端口服务信息与所述匹配第一安全策略的非端口服务信息不一致,将所述待匹配流量对应的端口服务信息和非端口服务信息与预设的多个第二安全策略进行匹配,判断是否存在匹配第二安全策略;所述多个第二安全策略中包括多项策略信息,不同的第二安全策略中的策略信息之间具有关联关系;若存在匹配第二安全策略,确定所述匹配第二安全策略为所述待匹配流量对应的安全策略。
在本申请实施例中,除了预设第一安全策略,还可以预设第二安全策略,第二安全策略之间可以具有关联关系,通过第一安全策略和第二安全策略结合使用的方式,既能满足最小化授权的安全策略需求(即第一安全策略对应较为精准的策略匹配需求),又能满足宽泛的安全策略控制需求(即第二安全策略对应较为宽泛的策略匹配需求)。
作为一种可能的实现方式,所述端口服务信息包括:目的IP地址、目的端口和协议;所述非端口服务信息包括:源安全域、源IP地址、目的安全域。
在本申请实施例中,通过上述的端口服务信息和非端口服务信息,实现第一安全策略的有效配置。
作为一种可能的实现方式,所述匹配方法还包括:接收配置请求;所述配置请求中包括:待配置第一安全策略,所述待配置第一安全策略包括:待配置端口服务信息和待配置非端口服务信息;判断所述待配置端口服务信息是否为所述多个第一安全策略中的端口服务信息;若所述待配置端口服务信息不是所述多个第一安全策略中的端口服务信息,根据所述待配置第一安全策略更新所述预设的多个第一安全策略。
在本申请实施例中,在配置第一安全策略时,将待配置安全策略与已有的安全策略的端口服务信息进行比较,根据比较结果对待配置安全策略进行配置,实现第一安全策略的有效配置。
作为一种可能的实现方式,所述匹配方法还包括:若所述待配置端口服务信息是所述多个第一安全策略中的端口服务信息,判断所述待配置非端口服务信息是否与所述待配置端口服务信息在所述多个第一安全策略中对应的非端口服务信息一致;若所述待配置非端口服务信息与所述待配置端口服务信息在所述多个第一安全策略中对应的非端口服务信息不一致,根据所述待配置第一安全策略更新所述预设的多个第一安全策略。
在本申请实施例中,在配置第一安全策略时,如果待配置安全策略的端口服务信息已存在,则进一步判断其非端口服务信息是否已存在,并根据判断结果对其进行配置,实现第一安全策略的有效配置。
作为一种可能的实现方式,所述匹配方法还包括:若所述待配置非端口服务信息与对应的非端口服务信息一致,输出用于指示配置失败的提示信息。
在本申请实施例中,如果待配置安全策略的端口服务信息和非端口服务信息均已存在,则提示配置失败,以便于进行后续的配置。
作为一种可能的实现方式,所述预设的多个第一安全策略中还包括:流量的操作方式,所述操作方式包括:允许和禁止;所述待匹配流量对应的安全策略用于指示对所述待匹配流量执行允许操作或者禁止操作。
在本申请实施例中,通过第一安全策略中配置的流量操作方式,可以基于安全策略的匹配结果对待匹配流量进行有效的处理,提高网络设备的安全性。
第二方面,本申请实施例提供一种安全策略的匹配装置,包括:用于实现第一方面以及第一方面的任意一种可能的实现方式中所述的安全策略的匹配方法的各个功能模块。
第三方面,本申请实施例提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被计算机运行时,执行如第一方面以及第一方面的任意一种可能的实现方式中所述的安全策略的匹配方法。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的网络部署的结构示意图;
图2为本申请实施例提供的安全策略的匹配方法的流程图;
图3为本申请实施例提供的策略之间的关联关系的示意图;
图4为本申请实施例提供的策略配置的流程图;
图5为本申请实施例提供的策略匹配的流程图;
图6为本申请实施例提供的安全策略的匹配装置的结构示意图。
图标:600-安全策略的匹配装置;610-获取模块;620-处理模块。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
请参照图1,为本申请实施例提供的网络部署结构示意图,该网络部署可作为本申请实施例提供的技术方案的应用场景,该部署结构为公司的常规部署场景。
在图1所示的网络部署中,分为服务器区、员工办公区和公网。在服务器区中,包括用于实现不同的服务的服务器。在员工办公区中,包括不同的员工所在的员工端(这里指员工所使用的终端设备)。在公网中,包括:公网和公网主机。
为了实现服务器区、员工办公区和公网的安全监测,在该网络部署中,还包括:安全网关。安全网关与服务器区的服务器通过交换机通信连接,以及与员工办公区的员工端通过交换机通信连接,以及还与公网通信连接。
作为安全网关来说,相当于网络安全设备。在安全网关上,预先制定有安全策略,通过安全策略,安全网关可以控制安全域间/不同地址段间的流量转发。安全策略可以决定从一个(多个)安全域到另一个(多个)安全域/从一个地址段到另一个地址段的哪些流量该被允许,哪些流量该被拒绝。
对于预先制定的安全策略,可以根据访问权限的控制需求进行制定,例如:允许员工办公区的员工端访问服务器区的服务器,但除了研发人员外,都不允许访问代码服务器。该访问权限的控制需求可以转换为针对特定服务的安全策略。
基于该网络部署的介绍,本申请实施例所提供的技术方案可以应用于其中的安全网关。安全网关,在获取到需要处理(例如转发)的流量之后,基于流量的各项信息进行安全策略的匹配,在匹配到对应的安全策略之后,按照对应的安全策略中所限定的处理方式对流量进行处理。
接下来请参照图2,为本申请实施例提供的安全策略的匹配方法的流程图,该匹配方法包括:
步骤210:获取待匹配流量。
步骤220:确定待匹配流量对应的端口服务信息和非端口服务信息。
步骤230:将待匹配流量对应的端口服务信息与预设的多个第一安全策略中的端口服务信息进行匹配,判断是否存在匹配第一安全策略。匹配第一安全策略中的端口服务信息与待匹配流量对应的端口服务信息一致,不同的第一安全策略中的端口服务信息不相同,且不具有关联关系。
步骤240:若存在匹配第一安全策略,判断待匹配流量对应的非端口服务信息与匹配第一安全策略的非端口服务信息是否一致。
步骤250:若待匹配流量对应的非端口服务信息与匹配第一安全策略的非端口服务信息一致,确定匹配第一安全策略为待匹配流量对应的安全策略。
在本申请实施例中,与现有技术相比,预设多个第一安全策略。多个第一安全策略的端口服务信息均不相同,且不具有关联关系,则,每条第一安全策略内容与其他第一安全策略不重复。那么,在进行安全策略的匹配时,可以确保每个数据包唯一匹配一条第一安全策略或者不匹配任何一条第一安全策略,从而实现第一安全策略之间互不相关。由于第一安全策略的不同策略条目之间是相互独立的,无关的,所以不需要使用额外的内存,例如bitmap,来记录策略之间的关系,也不需要通过搜索树组织,从而大大节省内存,且实现快速匹配,以及快速增加、删除和修改。在相同内存大小的情况下,可以支持更多第一安全策略。因此,该匹配方法可以实现减少安全策略的匹配的内存消耗,以及提高安全策略的匹配效率。
并且,该匹配方法能够使安全网关设备支持的安全策略数量可以达到百万级别,能够很好地满足自动化运维场景下,对于最小化授权的需求。
接下来对该匹配方法的详细实施方式进行介绍。
在步骤210中,待匹配流量可以理解为当前需要进行安全策略匹配的流量,例如:从一个(多个)安全域到另一个(多个)安全域的流量;或者,从一个地址段到另一个地址段的流量。
从上述网络部署可以看出,安全网关位于各个网络设备之间,因此,安全网关可以实时抓取这些网络设备之间传输的流量,实现待匹配流量的获取。
在步骤220中,确定待匹配流量对应的端口服务信息和非端口服务信息。可以理解,安全网关设备能够识别出流量的源地址、目的地址、源安全域、目的安全域等属性,因此,通过对待匹配流量按照常规的解析方式进行解析,便能获得端口服务信息和非端口服务信息。
作为一种可选的实施方式,端口服务信息包括:目的IP地址、目的端口和协议;非端口服务信息包括:源安全域、源IP地址、目的安全域。
在这种实施方式中,目的IP地址、目的端口和协议可定义为与端口服务相关的信息,而源安全域、源IP地址和目的安全域可定义为与端口服务不相关的信息。
在一些实施例中,非端口服务信息还可以包括更多的信息,例如:应用程序(如QQ)、地理位置等信息,在本申请实施例中不作限定。
基于端口服务信息和非端口服务信息,可预设两种不同的安全策略,为了便于理解本申请实施例所提供的技术方案,接下来先对本申请实施例中所涉及的两种安全策略进行介绍。
在本申请实施例中,可以预设两种安全策略,第一安全策略和第二安全策略。对于第一安全策略来说,其中的端口服务信息是唯一的,各不相同,并且不具有关联关系;而对于第二安全策略来说,其中的策略信息并不严格的划分端口服务信息和非端口服务信息,并且,策略信息之间具有关联性。
第一安全策略可以看作一种精准安全策略,能够实现最小化授权的安全策略控制需求,而第二安全策略可以看作一种普通安全策略,实现较为宽泛的安全策略控制需求。
此外,不管是第一安全策略,还是第二安全策略,其中除了包括上述的策略信息,还包括:流量的操作方式,操作方式包括:允许和禁止。通过流量的操作方式,匹配成功的安全策略可以指示对流量执行允许操作或者禁止操作。
在本申请实施例中,通过安全策略中配置的流量操作方式,可以基于安全策略的匹配结果对流量进行有效的处理,提高网络设备的安全性。
因此,在实际应用中,可以结合具体的应用场景中的控制需求预设第一安全策略和第二安全策略,接下来以实例介绍第一安全策略和第二安全策略的配置方式。
假设某公司的网络拓扑和IP地址分配如图1所示,分为服务器区(DMZ zone)、员工办公区(trust zone)和连接Internet的Untrust zone,并有如下访问权限控制的需求:1)允许公司内网访问Internet。2)禁止从Internet访问公司内网。3)允许员工办公区访问服务器区,但除了研发人员外,都不允许访问代码服务器。
如果按照现有技术的配置方式进行配置,将全部配置普通安全策略,因而,最终配置的安全策略可以如表1所示,这种配置方式,安全策略之间具有关联关系,具体的,策略6允许员工办公区访问服务器区,策略5禁止员工办公区访问代码服务器,策略4允许研发员工范围代码服务器。
则,4,5,6三条策略匹配条件包含的流量范围逐步放大,如图3所示,它们从上到下排列,4优先于5匹配,5优先于6,从而组合起来实现了需求“3)允许员工办公区访问服务器区,但除了研发人员外,都不允许访问代码服务器”。
因此,在进行策略匹配时,为了实现从上到下的匹配顺序,并支持策略匹配条件范围的包含、交叉等关系,安全网关通常采用基于搜索树的实现方法,记录搜索树节点与策略之间的关系,导致内存的大量占用,和匹配速度慢等问题。
表1
在本申请实施例中,通过精准安全策略(即第一安全策略,后同)和普通安全策略(即第二安全策略,后同)相结合的方式实现访问控制功能,首先配置精准安全策略,如表2所示,其中10.100.1.10、10.100.1.11是两台服务器的IP地址。
表2
其次配置普通安全策略,如表3,相当于将原来的策略4转换为精准策略表中多条策略,减少了普通安全策略的数量,也不再需要维护策略4与5、6两条策略的关系,降低了维护难度。
表3
假设因研发人员数量扩充,新增研发网络192.168.10.0/24,需要允许该网段访问研发服务器,则直接新增精准控制策略即可,如表4中的策略3和策略4,且不必关心精准控制策略之间的关系,不必调整普通安全策略。
表4
通过上述结合应用场景的实例的介绍,在进行安全策略的匹配,优先进行第一安全策略的匹配,然后再进行第二安全策略的匹配。
因此,在步骤230中,将待匹配流量对应的端口服务信息与预设的多个第一安全策略中的端口服务信息进行匹配,判断是否存在匹配第一安全策略。
即,将待匹配流量的上述各项端口服务信息与各个第一安全策略中的端口服务信息进行匹配,如果查找到一致的端口服务信息,则该相同的端口服务信息对应的第一安全策略便为匹配第一安全策略。如果没有查找到一致的端口服务信息,则不存在匹配第一安全策略。
进而,如果存在匹配第一安全策略,在步骤240中,判断待匹配流量对应的非端口服务信息与匹配第一安全策略的非端口服务信息是否一致。即,将待匹配流量的非端口服务信息与匹配第一安全策略的非端口服务信息进行比较,如果一致,则说明待匹配流量对应的安全策略为该匹配第一安全策略;如果不一致,则说明待匹配流量对应的安全策略不是该匹配第一安全策略。
进而,在步骤250中,若待匹配流量对应的非端口服务信息与匹配第一安全策略的非端口服务信息一致,确定匹配第一安全策略为待匹配流量对应的安全策略。
在上述步骤中,由于不同的第一安全策略的策略信息之间没有相关性,可以直接将待匹配流量的各项信息与策略信息进行一一匹配即可,无需构建搜索树。
作为一种可选的实施方式,该匹配方法还包括:若不存在匹配第一安全策略,将待匹配流量对应的端口服务信息和非端口服务信息与预设的多个第二安全策略进行匹配,判断是否存在匹配第二安全策略;若存在匹配第二安全策略,确定匹配第二安全策略为待匹配流量对应的安全策略。
在这种实施方式中,如果不存在匹配的第一安全策略,则说明第一安全策略匹配失败,此时可以进行第二安全策略的匹配。在进行第二安全策略的匹配时,由于第二安全策略的策略信息之间具有相关性,因此,需要基于第二安全策略构建搜索树,然后基于构建的搜索树进行匹配。
其中,基于第二安全策略构建搜索树的实施方式,参照本领域成熟的技术,在此不进行详细介绍。
进一步的,如果存在匹配的第二安全策略,则匹配的第二安全策略为待匹配流量对应的安全策略。
在上述匹配过程中,除了不存在匹配第一安全策略的情况下,需要进行第二安全策略的匹配,在匹配第一安全策略的非端口服务信息与待匹配流量的非端口服务信息不一致的情况下,也需要进行第二安全策略的匹配。
因此,作为一种可选的实施方式,该匹配方法还包括:若待匹配流量对应的非端口服务信息与匹配第一安全策略的非端口服务信息不一致,将待匹配流量对应的端口服务信息和非端口服务信息与预设的多个第二安全策略进行匹配,判断是否存在匹配第二安全策略;若存在匹配第二安全策略,确定匹配第二安全策略为待匹配流量对应的安全策略。
在这种实施方式中,第二安全策略的匹配方式参照前述实施例中的介绍,在此不再重复介绍。
在本申请实施例中,除了预设第一安全策略,还可以预设第二安全策略,第二安全策略之间可以具有关联关系,通过第一安全策略和第二安全策略结合使用的方式,既能满足最小化授权的安全策略需求(即第一安全策略对应较为精准的策略匹配需求),又能满足宽泛的安全策略控制需求(即第二安全策略对应较为宽泛的策略匹配需求)。
在本申请实施例中,在安全网关的运行过程中,还可以随时对第一安全策略进行配置更新,以不断优化第一安全策略,提高策略匹配的成功率。
因此,作为一种可选的实施方式,该匹配方法还包括:接收配置请求;配置请求中包括:待配置第一安全策略,待配置第一安全策略包括:待配置端口服务信息和待配置非端口服务信息;判断待配置端口服务信息是否为多个第一安全策略中的端口服务信息;若待配置端口服务信息不是多个第一安全策略中的端口服务信息,根据待配置第一安全策略更新预设的多个第一安全策略。
在这种实施方式,针对待配置的安全策略,将其与已配置的安全策略的策略信息进行比较,先比较端口服务信息,再比较非端口服务信息。如果端口服务信息不一致,则可直接将待配置的安全策略更新到预设的多个第一安全策略中,作为新的第一安全策略。
在本申请实施例中,在配置第一安全策略时,将待配置安全策略与已有的安全策略的端口服务信息进行比较,根据比较结果对待配置安全策略进行配置,实现第一安全策略的有效配置。
进一步地,若待配置端口服务信息是多个第一安全策略中的端口服务信息,判断待配置非端口服务信息是否与待配置端口服务信息在多个第一安全策略中对应的非端口服务信息一致;若待配置非端口服务信息与待配置端口服务信息在多个第一安全策略中对应的非端口服务信息不一致,根据待配置第一安全策略更新预设的多个第一安全策略。
在这种实施方式中,在待配置端口服务信息是已有的端口服务信息的情况下,则进一步判断待配置非端口服务信息是否为已有的非端口服务信息,如果不是,则可以将待配置的安全策略更新到预设的多个第一安全策略中,作为新的第一安全策略。
在本申请实施例中,在配置第一安全策略时,如果待配置安全策略的端口服务信息已存在,则进一步判断其非端口服务信息是否已存在,并根据判断结果对其进行配置,实现第一安全策略的有效配置。
作为一种可选的实施方式,若待配置非端口服务信息与对应的非端口服务信息一致,输出用于指示配置失败的提示信息。
在这种实施方式中,如果待配置端口服务信息和待配置非端口服务信息均是已有的信息,则代表该待配置的安全策略是重复的安全策略,无需进行配置。因此,可以输出用于指示配置失败的提示信息。
进而,配置人员可以根据提示信息进行相应的处理,例如:重新输出待配置的安全策略等。
在本申请实施例中,如果待配置安全策略的端口服务信息和非端口服务信息均已存在,则提示配置失败,以便于进行后续的配置。
在前述实施例中提到,在安全策略中还包括流量操作方式,因此,在通过前述的实施方式确定出待匹配流量对应的安全策略之后,可直接按照安全策略中限定的操作方式对流量进行对应的操作。
结合前述实施例的介绍,接下来请参照图4,为本申请实施例提供的配置第一安全策略(即图中的精准安全策略)的流程图,从图4可以看出,在配置精准安全策略时,先比较目的IP、目的端口、协议这些端口服务信息,再比较源IP、源安全域、目的安全域这些非端口服务信息,结合两种信息的比较结果,进行对应的配置。
进而,请参照图5,为本申请实施例提供的策略匹配的流程图,从图5可以看出,在进行策略匹配时,先基于精准安全策略进行匹配,如果精准安全策略匹配失败,再基于普通安全策略进行匹配,直至最终实现安全策略的成功匹配。
采用本申请实施例提供的技术方案,相较于现有技术,具有以下特点:
1)精准安全策略的内容与安全策略内容类似,包括精准安全策略ID、源安全域、源IP地址、目的安全域、目的IP地址、协议、目的端口和动作,动作有允许和禁止两种。目的IP、目的端口和协议只能配置唯一值。
2)每条精准安全策略内容与其他精准安全策略不重复,确保每个数据包唯一匹配一条精准安全策略或者不匹配任何一条精准安全策略,从而实现精准安全策略之间是互不相关的,即无关性。
3)由于精准安全策略的不同策略条目之间是相互独立的,无关的,所以不需要使用额外的内存,例如bitmap来记录策略之间的关系,也不需要通过搜索树组织,从而大大节省内存,且实现快速匹配,以及增加、删除和修改。在相同内存大小的情况下,可以支持更多精准安全策略。
4)配置管理层面,确保不同精准策略的内容不同。当增加精准策略时,首先查询是否与已有策略内容重复。
5)转发层面,基于目的IP、目的端口、协议构建hash表,实现快速匹配,以及增加、删除和修改。
6)精准安全策略先于普通安全策略匹配,当匹配到精准安全策略之后,停止策略匹配过程,根据精准安全策略的动作允许流量通过或者禁止转发。
7)区别对待访问授权需求,需要最小化授权的,通过精准安全策略实现,需要宽泛授权的,通过普通安全策略实现。
进而,精准安全策略很好的克服了普通安全策略的内存消耗多,匹配速度慢,增加、删除、修改、移动等操作慢,设备启动慢,维护困难等缺点。
在实际应用时,安全网关通过基于服务的精准控制策略,可以实现百万量级的策略数量,大大扩展安全网关的访问控制能力。安全网关支持策略的数量,主要取决于内存,策略数量增大,基本不影响配置管理速度和策略匹配速度,从而实现随着设备内存容量增大,平滑扩大策略数量。当安全网关部署于自动化运维场景时,能以最低的设备成本,满足最小化授权对策略数量的需要。主要体现在当设备的CPU、内存大小固定时,本申请实施例的技术方案可以做到支持的精准策略数量是普通策略的10倍以上。精准安全策略与普通安全策略结合使用,可以有效节省普通安全策略的容量、降低管理复杂度。
基于同一发明构思,请参照图6,本申请实施例中还提供一种安全策略的匹配装置600,包括:获取模块610和处理模块620。
获取模块610用于:获取待匹配流量。处理模块620用于:确定所述待匹配流量对应的端口服务信息和非端口服务信息;将所述待匹配流量对应的端口服务信息与预设的多个第一安全策略中的端口服务信息进行匹配,判断是否存在匹配第一安全策略;所述匹配第一安全策略中的端口服务信息与所述待匹配流量对应的端口服务信息一致,不同的第一安全策略中的端口服务信息不相同,且不具有关联关系;若存在匹配第一安全策略,判断所述待匹配流量对应的非端口服务信息与所述匹配第一安全策略的非端口服务信息是否一致;若所述待匹配流量对应的非端口服务信息与所述匹配第一安全策略的非端口服务信息一致,确定所述匹配第一安全策略为所述待匹配流量对应的安全策略。
在本申请实施例中,处理模块620还用于:若不存在匹配第一安全策略,将所述待匹配流量对应的端口服务信息和非端口服务信息与预设的多个第二安全策略进行匹配,判断是否存在匹配第二安全策略;所述多个第二安全策略中包括多项策略信息,不同的第二安全策略中的策略信息之间具有关联关系;若存在匹配第二安全策略,确定所述匹配第二安全策略为所述待匹配流量对应的安全策略。
在本申请实施例中,处理模块620还用于:若所述待匹配流量对应的非端口服务信息与所述匹配第一安全策略的非端口服务信息不一致,将所述待匹配流量对应的端口服务信息和非端口服务信息与预设的多个第二安全策略进行匹配,判断是否存在匹配第二安全策略;所述多个第二安全策略中包括多项策略信息,不同的第二安全策略中的策略信息之间具有关联关系;若存在匹配第二安全策略,确定所述匹配第二安全策略为所述待匹配流量对应的安全策略。
在本申请实施例中,获取模块610还用于:接收配置请求;所述配置请求中包括:待配置第一安全策略,所述待配置第一安全策略包括:待配置端口服务信息和待配置非端口服务信息。处理模块620还用于:判断所述待配置端口服务信息是否为所述多个第一安全策略中的端口服务信息;若所述待配置端口服务信息不是所述多个第一安全策略中的端口服务信息,根据所述待配置第一安全策略更新所述预设的多个第一安全策略。
在本申请实施例中,处理模块620还用于:若所述待配置端口服务信息是所述多个第一安全策略中的端口服务信息,判断所述待配置非端口服务信息是否与所述待配置端口服务信息在所述多个第一安全策略中对应的非端口服务信息一致;若所述待配置非端口服务信息与所述待配置端口服务信息在所述多个第一安全策略中对应的非端口服务信息不一致,根据所述待配置第一安全策略更新所述预设的多个第一安全策略。
在本申请实施例中,处理模块620还用于:若所述待配置非端口服务信息与对应的非端口服务信息一致,输出用于指示配置失败的提示信息。
安全策略的匹配装置600与前述的安全策略的匹配方法对应,各个功能模块与安全策略的匹配方法的各个步骤对应,因此,各个功能模块参照各个步骤的实施方式,在此不再重复介绍。
基于同一发明构思,本申请实施例还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被计算机运行时,执行前述实施例中所述的安全策略的匹配方法。
在本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
再者,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (10)
1.一种安全策略的匹配方法,其特征在于,包括:
获取待匹配流量;
确定所述待匹配流量对应的端口服务信息和非端口服务信息;
将所述待匹配流量对应的端口服务信息与预设的多个第一安全策略中的端口服务信息进行匹配,判断是否存在匹配第一安全策略;所述匹配第一安全策略中的端口服务信息与所述待匹配流量对应的端口服务信息一致,不同的第一安全策略中的端口服务信息不相同,且不具有关联关系;
若存在匹配第一安全策略,判断所述待匹配流量对应的非端口服务信息与所述匹配第一安全策略的非端口服务信息是否一致;
若所述待匹配流量对应的非端口服务信息与所述匹配第一安全策略的非端口服务信息一致,确定所述匹配第一安全策略为所述待匹配流量对应的安全策略。
2.根据权利要求1所述的匹配方法,其特征在于,所述匹配方法还包括:
若不存在匹配第一安全策略,将所述待匹配流量对应的端口服务信息和非端口服务信息与预设的多个第二安全策略进行匹配,判断是否存在匹配第二安全策略;所述多个第二安全策略中包括多项策略信息,不同的第二安全策略中的策略信息之间具有关联关系;
若存在匹配第二安全策略,确定所述匹配第二安全策略为所述待匹配流量对应的安全策略。
3.根据权利要求1所述的匹配方法,其特征在于,所述匹配方法还包括:
若所述待匹配流量对应的非端口服务信息与所述匹配第一安全策略的非端口服务信息不一致,将所述待匹配流量对应的端口服务信息和非端口服务信息与预设的多个第二安全策略进行匹配,判断是否存在匹配第二安全策略;所述多个第二安全策略中包括多项策略信息,不同的第二安全策略中的策略信息之间具有关联关系;
若存在匹配第二安全策略,确定所述匹配第二安全策略为所述待匹配流量对应的安全策略。
4.根据权利要求1所述的匹配方法,其特征在于,所述端口服务信息包括:目的IP地址、目的端口和协议;所述非端口服务信息包括:源安全域、源IP地址、目的安全域。
5.根据权利要求1所述的匹配方法,其特征在于,所述匹配方法还包括:
接收配置请求;所述配置请求中包括:待配置第一安全策略,所述待配置第一安全策略包括:待配置端口服务信息和待配置非端口服务信息;
判断所述待配置端口服务信息是否为所述多个第一安全策略中的端口服务信息;
若所述待配置端口服务信息不是所述多个第一安全策略中的端口服务信息,根据所述待配置第一安全策略更新所述预设的多个第一安全策略。
6.根据权利要求5所述的匹配方法,其特征在于,所述匹配方法还包括:
若所述待配置端口服务信息是所述多个第一安全策略中的端口服务信息,判断所述待配置非端口服务信息是否与所述待配置端口服务信息在所述多个第一安全策略中对应的非端口服务信息一致;
若所述待配置非端口服务信息与所述待配置端口服务信息在所述多个第一安全策略中对应的非端口服务信息不一致,根据所述待配置第一安全策略更新所述预设的多个第一安全策略。
7.根据权利要求5所述的匹配方法,其特征在于,所述匹配方法还包括:
若所述待配置非端口服务信息与对应的非端口服务信息一致,输出用于指示配置失败的提示信息。
8.根据权利要求1所述的匹配方法,其特征在于,所述预设的多个第一安全策略中还包括:流量的操作方式,所述操作方式包括:允许和禁止;所述待匹配流量对应的安全策略用于指示对所述待匹配流量执行允许操作或者禁止操作。
9.一种安全策略的匹配装置,其特征在于,包括:
获取模块,用于获取待匹配流量;
处理模块,用于:
确定所述待匹配流量对应的端口服务信息和非端口服务信息;
将所述待匹配流量对应的端口服务信息与预设的多个第一安全策略中的端口服务信息进行匹配,判断是否存在匹配第一安全策略;所述匹配第一安全策略中的端口服务信息与所述待匹配流量对应的端口服务信息一致,不同的第一安全策略中的端口服务信息不相同,且不具有关联关系;
若存在匹配第一安全策略,判断所述待匹配流量对应的非端口服务信息与所述匹配第一安全策略的非端口服务信息是否一致;
若所述待匹配流量对应的非端口服务信息与所述匹配第一安全策略的非端口服务信息一致,确定所述匹配第一安全策略为所述待匹配流量对应的安全策略。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被计算机运行时,执行如权利要求1-8任一项所述的安全策略的匹配方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111635459.5A CN114301686B (zh) | 2021-12-29 | 2021-12-29 | 一种安全策略的匹配方法及装置、存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111635459.5A CN114301686B (zh) | 2021-12-29 | 2021-12-29 | 一种安全策略的匹配方法及装置、存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114301686A true CN114301686A (zh) | 2022-04-08 |
| CN114301686B CN114301686B (zh) | 2024-05-07 |
Family
ID=80970699
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111635459.5A Active CN114301686B (zh) | 2021-12-29 | 2021-12-29 | 一种安全策略的匹配方法及装置、存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114301686B (zh) |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6104696A (en) * | 1998-07-08 | 2000-08-15 | Broadcom Corporation | Method for sending packets between trunk ports of network switches |
| US20020124089A1 (en) * | 2000-08-17 | 2002-09-05 | Aiken John Andrew | Methods, systems and computer program products for cluster workload distribution without preconfigured port identification |
| CN102523152A (zh) * | 2011-12-05 | 2012-06-27 | 北京星网锐捷网络技术有限公司 | 一种实现出口控制的方法及装置 |
| US20180219800A1 (en) * | 2017-01-30 | 2018-08-02 | Cavium, Inc. | Apparatus and method for scalable and flexible access control list lookup in a network switch |
| CN110808963A (zh) * | 2019-10-17 | 2020-02-18 | 新华三信息安全技术有限公司 | 安全策略规则匹配方法、装置及防火墙设备 |
| CN112910894A (zh) * | 2021-02-01 | 2021-06-04 | 武汉思普崚技术有限公司 | 一种实现策略的快速匹配的方法 |
| CN113452615A (zh) * | 2021-06-28 | 2021-09-28 | 烽火通信科技股份有限公司 | 一种提高大规格acl匹配效率的方法和装置 |
-
2021
- 2021-12-29 CN CN202111635459.5A patent/CN114301686B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6104696A (en) * | 1998-07-08 | 2000-08-15 | Broadcom Corporation | Method for sending packets between trunk ports of network switches |
| US20020124089A1 (en) * | 2000-08-17 | 2002-09-05 | Aiken John Andrew | Methods, systems and computer program products for cluster workload distribution without preconfigured port identification |
| CN102523152A (zh) * | 2011-12-05 | 2012-06-27 | 北京星网锐捷网络技术有限公司 | 一种实现出口控制的方法及装置 |
| US20180219800A1 (en) * | 2017-01-30 | 2018-08-02 | Cavium, Inc. | Apparatus and method for scalable and flexible access control list lookup in a network switch |
| CN110808963A (zh) * | 2019-10-17 | 2020-02-18 | 新华三信息安全技术有限公司 | 安全策略规则匹配方法、装置及防火墙设备 |
| CN112910894A (zh) * | 2021-02-01 | 2021-06-04 | 武汉思普崚技术有限公司 | 一种实现策略的快速匹配的方法 |
| CN113452615A (zh) * | 2021-06-28 | 2021-09-28 | 烽火通信科技股份有限公司 | 一种提高大规格acl匹配效率的方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114301686B (zh) | 2024-05-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10397273B1 (en) | Threat intelligence system | |
| US6553368B2 (en) | Network directory access mechanism | |
| JP5497178B2 (ja) | アクセス制御リストの変更 | |
| US8620926B2 (en) | Using a hashing mechanism to select data entries in a directory for use with requested operations | |
| CN107733863B (zh) | 一种分布式hadoop环境下的日志调试方法和装置 | |
| CN112261172B (zh) | 服务寻址访问方法、装置、系统、设备及介质 | |
| CN103581363A (zh) | 对恶意域名和非法访问的控制方法及装置 | |
| KR20000054538A (ko) | 네트워크 침입탐지 시스템 및 방법 그리고 그 방법을기록한 컴퓨터로 읽을 수 있는 기록매체 | |
| US20150269186A1 (en) | Database Virtualization | |
| US11012417B2 (en) | Methods and systems for efficient packet filtering | |
| CN113542292A (zh) | 基于dns和ip信誉数据的内网安全防护方法及系统 | |
| CN113596033A (zh) | 访问控制方法及装置、设备、存储介质 | |
| CN112073387A (zh) | 一种微服务分布式权限认证系统 | |
| CN114745145B (zh) | 业务数据访问方法、装置和设备及计算机存储介质 | |
| EP1981242A2 (en) | Method and system for securing a commercial grid network | |
| US20220385596A1 (en) | Protecting integration between resources of different services using service-generated dependency tags | |
| CN114301686A (zh) | 一种安全策略的匹配方法及装置、存储介质 | |
| CN113507415B (zh) | 一种表项处理方法及装置 | |
| US20050240609A1 (en) | Method and apparatus for setting storage groups | |
| CN112217770B (zh) | 一种安全检测方法、装置、计算机设备及存储介质 | |
| CN114244555A (zh) | 一种安全策略的调整方法 | |
| CN115913583A (zh) | 业务数据访问方法、装置和设备及计算机存储介质 | |
| US8955096B1 (en) | Systems and methods for filtering internet access | |
| CN115550076B (zh) | 一种使用域日志进行认证的方法和系统 | |
| CN115150170B (zh) | 安全策略配置方法、装置、电子设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |