[发明专利]一种安全策略的匹配方法及装置、存储介质

说明书

本申请提供一种安全策略的匹配方法及装置、存储介质。匹配方法包括：获取待匹配流量；确定待匹配流量对应的端口服务信息和非端口服务信息；将待匹配流量对应的端口服务信息与预设的多个第一安全策略中的端口服务信息进行匹配，判断是否存在匹配第一安全策略；不同的第一安全策略中的端口服务信息不相同，且不具有关联关系；若存在匹配第一安全策略，判断待匹配流量对应的非端口服务信息与匹配第一安全策略的非端口服务信息是否一致；若待匹配流量对应的非端口服务信息与匹配第一安全策略的非端口服务信息一致，确定匹配第一安全策略为待匹配流量对应的安全策略。该匹配方法所支持的安全策略数量能够达到百万级别。

技术领域

本申请涉及网络安全技术领域，具体而言，涉及一种安全策略的匹配方法及装置、存储介质。

背景技术

安全策略是网络安全设备的基本功能，控制安全域间/不同地址段间的流量转发。安全策略可以决定从一个(多个)安全域到另一个(多个)安全域/从一个地址段到另一个地址段的哪些流量该被允许，哪些流量该被拒绝。

在应用时，安全设备能够识别出流量的源地址、目的地址、源安全域、目的安全域等属性，并将这些属性与安全策略中配置的条件进行匹配。如果所有条件都匹配，则此流量成功匹配安全策略。

现有技术中，采用基于搜索树实现从上到下的安全策略匹配，流量从上到下匹配策略，命中一条策略后，停止匹配，也就是说，安全策略表中的策略，优先级是从上到下排序的，越上面的策略的优先级越高，越下面的策略的优先级越低。为了实现从上到下的匹配顺序，并支持策略匹配条件范围的包含、交叉等关系，安全网关通常采用基于搜索树的实现方法，记录搜索树节点与策略之间的关系。

这种匹配方式，构建搜索树、搜索树节点与策略之间的关系，会占用大量的内存；查询搜索树，从树节点推导出命中的策略，需要较大计算量。因此，现有的安全策略的匹配方式内存消耗较大，且匹配效率较低。

发明内容

本申请实施例的目的在于提供一种安全策略的匹配方法及装置、存储介质，用以使安全网关设备支持的安全策略数量可以达到百万级别，能够很好地满足自动化运维场景下，对于最小化授权的需求。

第一方面，本申请实施例提供一种安全策略的匹配方法，包括：获取待匹配流量；确定所述待匹配流量对应的端口服务信息和非端口服务信息；将所述待匹配流量对应的端口服务信息与预设的多个第一安全策略中的端口服务信息进行匹配，判断是否存在匹配第一安全策略；所述匹配第一安全策略中的端口服务信息与所述待匹配流量对应的端口服务信息一致，不同的第一安全策略中的端口服务信息不相同，且不具有关联关系；若存在匹配第一安全策略，判断所述待匹配流量对应的非端口服务信息与所述匹配第一安全策略的非端口服务信息是否一致；若所述待匹配流量对应的非端口服务信息与所述匹配第一安全策略的非端口服务信息一致，确定所述匹配第一安全策略为所述待匹配流量对应的安全策略。

在本申请实施例中，与现有技术相比，预设多个第一安全策略。多个第一安全策略的端口服务信息均不相同，且不具有关联关系，则，每条第一安全策略内容与其他第一安全策略不重复。那么，在进行安全策略的匹配时，可以确保每个数据包唯一匹配一条第一安全策略或者不匹配任何一条第一安全策略，从而使得第一安全策略之间互不相关。由于第一安全策略的不同策略条目之间是相互独立的，无关的，所以不需要使用额外的内存，例如bitmap，来记录策略之间的关系，也不需要通过搜索树组织，从而大大节省内存，且实现快速匹配，以及快速增加、删除和修改。在相同内存大小的情况下，可以支持更多第一安全策略。因此，该匹配方法可以实现减少安全策略的匹配的内存消耗，以及提高安全策略的匹配效率。

并且，该匹配方法能够使安全网关设备支持的安全策略数量可以达到百万级别，能够很好地满足自动化运维场景下，对于最小化授权的需求。