本申请提供一种安全策略的匹配方法及装置、存储介质。匹配方法包括:获取待匹配流量;确定待匹配流量对应的端口服务信息和非端口服务信息;将待匹配流量对应的端口服务信息与预设的多个第一安全策略中的端口服务信息进行匹配,判断是否存在匹配第一安全策略;不同的第一安全策略中的端口服务信息不相同,且不具有关联关系;若存在匹配第一安全策略,判断待匹配流量对应的非端口服务信息与匹配第一安全策略的非端口服务信息是否一致;若待匹配流量对应的非端口服务信息与匹配第一安全策略的非端口服务信息一致,确定匹配第一安全策略为待匹配流量对应的安全策略。该匹配方法所支持的安全策略数量能够达到百万级别。支持的安全策略数量能够达到百万级别。支持的安全策略数量能够达到百万级别。
【技术实现步骤摘要】
一种安全策略的匹配方法及装置、存储介质
[0001]本申请涉及网络安全
,具体而言,涉及一种安全策略的匹配方法及装置、存储介质。
技术介绍
[0002]安全策略是网络安全设备的基本功能,控制安全域间/不同地址段间的流量转发。安全策略可以决定从一个(多个)安全域到另一个(多个)安全域/从一个地址段到另一个地址段的哪些流量该被允许,哪些流量该被拒绝。
[0003]在应用时,安全设备能够识别出流量的源地址、目的地址、源安全域、目的安全域等属性,并将这些属性与安全策略中配置的条件进行匹配。如果所有条件都匹配,则此流量成功匹配安全策略。
[0004]现有技术中,采用基于搜索树实现从上到下的安全策略匹配,流量从上到下匹配策略,命中一条策略后,停止匹配,也就是说,安全策略表中的策略,优先级是从上到下排序的,越上面的策略的优先级越高,越下面的策略的优先级越低。为了实现从上到下的匹配顺序,并支持策略匹配条件范围的包含、交叉等关系,安全网关通常采用基于搜索树的实现方法,记录搜索树节点与策略之间的关系。
[0005]这种匹配方式,构建搜索树、搜索树节点与策略之间的关系,会占用大量的内存;查询搜索树,从树节点推导出命中的策略,需要较大计算量。因此,现有的安全策略的匹配方式内存消耗较大,且匹配效率较低。
技术实现思路
[0006]本申请实施例的目的在于提供一种安全策略的匹配方法及装置、存储介质,用以使安全网关设备支持的安全策略数量可以达到百万级别,能够很好地满足自动化运维场景下,对于最小化授权的需求。
[0007]第一方面,本申请实施例提供一种安全策略的匹配方法,包括:获取待匹配流量;确定所述待匹配流量对应的端口服务信息和非端口服务信息;将所述待匹配流量对应的端口服务信息与预设的多个第一安全策略中的端口服务信息进行匹配,判断是否存在匹配第一安全策略;所述匹配第一安全策略中的端口服务信息与所述待匹配流量对应的端口服务信息一致,不同的第一安全策略中的端口服务信息不相同,且不具有关联关系;若存在匹配第一安全策略,判断所述待匹配流量对应的非端口服务信息与所述匹配第一安全策略的非端口服务信息是否一致;若所述待匹配流量对应的非端口服务信息与所述匹配第一安全策略的非端口服务信息一致,确定所述匹配第一安全策略为所述待匹配流量对应的安全策略。
[0008]在本申请实施例中,与现有技术相比,预设多个第一安全策略。多个第一安全策略的端口服务信息均不相同,且不具有关联关系,则,每条第一安全策略内容与其他第一安全策略不重复。那么,在进行安全策略的匹配时,可以确保每个数据包唯一匹配一条第一安全
策略或者不匹配任何一条第一安全策略,从而使得第一安全策略之间互不相关。由于第一安全策略的不同策略条目之间是相互独立的,无关的,所以不需要使用额外的内存,例如bitmap,来记录策略之间的关系,也不需要通过搜索树组织,从而大大节省内存,且实现快速匹配,以及快速增加、删除和修改。在相同内存大小的情况下,可以支持更多第一安全策略。因此,该匹配方法可以实现减少安全策略的匹配的内存消耗,以及提高安全策略的匹配效率。
[0009]并且,该匹配方法能够使安全网关设备支持的安全策略数量可以达到百万级别,能够很好地满足自动化运维场景下,对于最小化授权的需求。
[0010]作为一种可能的实现方式,所述匹配方法还包括:若不存在匹配第一安全策略,将所述待匹配流量对应的端口服务信息和非端口服务信息与预设的多个第二安全策略进行匹配,判断是否存在匹配第二安全策略;所述多个第二安全策略中包括多项策略信息,不同的第二安全策略中的策略信息之间具有关联关系;若存在匹配第二安全策略,确定所述匹配第二安全策略为所述待匹配流量对应的安全策略。
[0011]在本申请实施例中,除了预设第一安全策略,还可以预设第二安全策略,第二安全策略之间可以具有关联关系,通过第一安全策略和第二安全策略结合使用的方式,既能满足最小化授权的安全策略需求(即第一安全策略对应较为精准的策略匹配需求),又能满足宽泛的安全策略控制需求(即第二安全策略对应较为宽泛的策略匹配需求)。
[0012]作为一种可能的实现方式,所述匹配方法还包括:若所述待匹配流量对应的非端口服务信息与所述匹配第一安全策略的非端口服务信息不一致,将所述待匹配流量对应的端口服务信息和非端口服务信息与预设的多个第二安全策略进行匹配,判断是否存在匹配第二安全策略;所述多个第二安全策略中包括多项策略信息,不同的第二安全策略中的策略信息之间具有关联关系;若存在匹配第二安全策略,确定所述匹配第二安全策略为所述待匹配流量对应的安全策略。
[0013]在本申请实施例中,除了预设第一安全策略,还可以预设第二安全策略,第二安全策略之间可以具有关联关系,通过第一安全策略和第二安全策略结合使用的方式,既能满足最小化授权的安全策略需求(即第一安全策略对应较为精准的策略匹配需求),又能满足宽泛的安全策略控制需求(即第二安全策略对应较为宽泛的策略匹配需求)。
[0014]作为一种可能的实现方式,所述端口服务信息包括:目的IP地址、目的端口和协议;所述非端口服务信息包括:源安全域、源IP地址、目的安全域。
[0015]在本申请实施例中,通过上述的端口服务信息和非端口服务信息,实现第一安全策略的有效配置。
[0016]作为一种可能的实现方式,所述匹配方法还包括:接收配置请求;所述配置请求中包括:待配置第一安全策略,所述待配置第一安全策略包括:待配置端口服务信息和待配置非端口服务信息;判断所述待配置端口服务信息是否为所述多个第一安全策略中的端口服务信息;若所述待配置端口服务信息不是所述多个第一安全策略中的端口服务信息,根据所述待配置第一安全策略更新所述预设的多个第一安全策略。
[0017]在本申请实施例中,在配置第一安全策略时,将待配置安全策略与已有的安全策略的端口服务信息进行比较,根据比较结果对待配置安全策略进行配置,实现第一安全策略的有效配置。
[0018]作为一种可能的实现方式,所述匹配方法还包括:若所述待配置端口服务信息是所述多个第一安全策略中的端口服务信息,判断所述待配置非端口服务信息是否与所述待配置端口服务信息在所述多个第一安全策略中对应的非端口服务信息一致;若所述待配置非端口服务信息与所述待配置端口服务信息在所述多个第一安全策略中对应的非端口服务信息不一致,根据所述待配置第一安全策略更新所述预设的多个第一安全策略。
[0019]在本申请实施例中,在配置第一安全策略时,如果待配置安全策略的端口服务信息已存在,则进一步判断其非端口服务信息是否已存在,并根据判断结果对其进行配置,实现第一安全策略的有效配置。
[0020]作为一种可能的实现方式,所述匹配方法还包括:若所述待配置非端口服务信息与对应的非端口服务信息一致,输出用于指示配置失败的提示信息。
[0021]在本申请实施例中,如果待配置安全策略的端口服务信息和非端口服务信息均已存在,则提示配置失败,以便于进行后续的配置本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种安全策略的匹配方法,其特征在于,包括:获取待匹配流量;确定所述待匹配流量对应的端口服务信息和非端口服务信息;将所述待匹配流量对应的端口服务信息与预设的多个第一安全策略中的端口服务信息进行匹配,判断是否存在匹配第一安全策略;所述匹配第一安全策略中的端口服务信息与所述待匹配流量对应的端口服务信息一致,不同的第一安全策略中的端口服务信息不相同,且不具有关联关系;若存在匹配第一安全策略,判断所述待匹配流量对应的非端口服务信息与所述匹配第一安全策略的非端口服务信息是否一致;若所述待匹配流量对应的非端口服务信息与所述匹配第一安全策略的非端口服务信息一致,确定所述匹配第一安全策略为所述待匹配流量对应的安全策略。2.根据权利要求1所述的匹配方法,其特征在于,所述匹配方法还包括:若不存在匹配第一安全策略,将所述待匹配流量对应的端口服务信息和非端口服务信息与预设的多个第二安全策略进行匹配,判断是否存在匹配第二安全策略;所述多个第二安全策略中包括多项策略信息,不同的第二安全策略中的策略信息之间具有关联关系;若存在匹配第二安全策略,确定所述匹配第二安全策略为所述待匹配流量对应的安全策略。3.根据权利要求1所述的匹配方法,其特征在于,所述匹配方法还包括:若所述待匹配流量对应的非端口服务信息与所述匹配第一安全策略的非端口服务信息不一致,将所述待匹配流量对应的端口服务信息和非端口服务信息与预设的多个第二安全策略进行匹配,判断是否存在匹配第二安全策略;所述多个第二安全策略中包括多项策略信息,不同的第二安全策略中的策略信息之间具有关联关系;若存在匹配第二安全策略,确定所述匹配第二安全策略为所述待匹配流量对应的安全策略。4.根据权利要求1所述的匹配方法,其特征在于,所述端口服务信息包括:目的IP地址、目的端口和协议;所述非端口服务信息包括:源安全域、源IP地址、目的安全域。5.根据权利要求1所述的匹配方法,其特征在于,所述匹配方法还包括:接收配置请求;所述配置请求中包括:待配置第一安全策略,所述待配置第一安全策略包括:待配置端口服务信息和待配置非端口服务信息;判断所述待配置端口服务信...
【专利技术属性】
技术研发人员:张作涛,刘爽,
申请(专利权)人:山石网科通信技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。