本申请实施例提供了一种安全策略加速表构建方法及装置。方案包括:存储具有多个地址缓存表项的地址缓存表;每个地址缓存表项为不同域名的IP地址集合,每个IP地址集合用于存储M个IP地址且每个IP地址的老化时间大于M+1个域名地址切换周期;接收第一域名系统协议报文;查找到与第一域名系统协议报文携带的域名匹配的第一地址缓存表项;确定第一地址缓存表项的IP地址集合包含第一域名系统协议报文携带的IP地址,则不生成触发刷新安全策略加速表的事件;刷新第一地址缓存表项的IP地址集合中第一域名系统协议报文携带的IP地址的存储时间。应用本申请实施例提供的技术方案,能够降低内存和CPU资源的消耗,降低安全策略检查失败的概率。
A construction method and device of security policy speedup table
【技术实现步骤摘要】
一种安全策略加速表构建方法及装置
本申请涉及网络安全
,特别是涉及一种安全策略加速表构建方法及装置。
技术介绍
为了提高报文安全处理的效率,网络设备将用户指定网站的域名对应的IP(InternetProtocol,网络协议)地址作为Key(键),将该IP地址对应的安全策略规则作为Value(值),构建安全策略加速表,根据域名的IP地址计算hash值,快速找到域名的IP地址对应的域名的安全策略,避免了在策略表中根据域名的IP地址逐一匹配查找域名的安全策略。在负载均衡组网中,多个服务器提供同一种服务,这使得一个域名对应多个IP地址,但是某个时刻每个域名只能被解析为一个IP地址。因而,域名在对应的多个IP地址之间反复切换时,每次都会产生域名变化事件。当网络设备的安全策略加速表到达刷新周期时,根据每个域名变化事件将域名的安全策略以及当前使用的IP地址写入安全策略加速表。如果网络设备的安全策略加速表刷新周期未到,每个发生地址切换的域名在当前时刻IP地址与安全策略的对应关系无法写入安全策略加速表,会导致安全策略检查失败。另外,加速表构建过程会大量消耗内存和CPU,且持续时间长。网络设备例如网关需要访问大量域名,每个域名在多个IP地址之间切换会导致网络设备有大量的域名变化事件需要处理,在一个安全策略加速表刷新周期内完成不了全部的需要处理的域名变化事件,也会在当前时刻IP地址与安全策略的对应关系无法写入安全策略加速表,导致安全策略检查失败。
技术实现思路
本申请实施例的目的在于提供一种安全策略加速表构建方法及装置,以降低内存和CPU资源的消耗,降低安全策略检查失败的概率。具体技术方案如下:第一方面,本申请实施例提供了一种安全策略加速表构建方法,所述方法包括:存储具有多个地址缓存表项的地址缓存表;其中,每个所述地址缓存表项为不同域名的IP地址集合,每个IP地址集合用于存储M个IP地址且每个IP地址的老化时间大于M+1个域名地址切换周期,M为大于等于2的整数;接收第一域名系统协议报文;查找到与所述第一域名系统协议报文携带的域名匹配的第一地址缓存表项;确定所述第一地址缓存表项的IP地址集合包含所述第一域名系统协议报文携带的IP地址,则不生成触发刷新安全策略加速表的事件;刷新所述第一地址缓存表项的IP地址集合中所述第一域名系统协议报文携带的IP地址的存储时间。第二方面,本申请实施例提供了一种安全策略加速表构建装置,所述装置包括:存储单元,用于存储具有多个地址缓存表项的地址缓存表;其中,每个所述地址缓存表项为不同域名的IP地址集合,每个IP地址集合用于存储M个IP地址且每个IP地址的老化时间大于M+1个域名地址切换周期,M为大于等于2的整数;接收单元,用于接收第一域名系统协议报文;查找单元,用于查找到与所述第一域名系统协议报文携带的域名匹配的第一地址缓存表项;确定单元,用于确定所述第一地址缓存表项的IP地址集合包含所述第一域名系统协议报文携带的IP地址,则不生成触发刷新安全策略加速表的事件;刷新单元,用于刷新所述第一地址缓存表项的IP地址集合中所述第一域名系统协议报文携带的IP地址的存储时间。第三方面,本申请实施例提供了一种网络设备,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现上述任一所述的方法步骤。第四方面,本申请实施例提供了一种机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现上述任一所述的方法步骤。本申请实施例提供的一种安全策略加速表构建方法及装置中,地址缓存表项中包含的各IP地址的老化时间足够大,域名在多个IP地址之间切换时,缓存表项中各IP地址不会被老化。当网络设备需要访问大量域名而域名在已经获取的全部IP地址之间切换时,不会生成触发刷新安全策略加速表的事件,也就是,加快了安全策略加速表构建,避免了域名切换后的IP地址与域名安全策略无法及时更新到安全策略加速表,降低了内存和CPU资源的消耗,降低了安全策略检查失败的概率。当然,实施本申请的任一产品或方法必不一定需要同时达到以上所述的所有优点。附图说明为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1本申请实施例提供的负载均衡组网的一种示意图;图2为本申请实施例提供的安全策略加速表构建方法的第一种流程示意图;图3为本申请实施例提供的预设缓存表的一种示意图;图4为本申请实施例提供的安全策略加速表构建方法的第二种流程示意图;图5为本申请实施例提供的安全策略加速表构建方法的第三种流程示意图;图6为本申请实施例提供的安全策略加速表构建方法的第四种流程示意图;图7为本申请实施例提供的安全策略加速表构建装置的一种结构示意图;图8为本申请实施例提供的网络设备的一种结构示意图。具体实施方式下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。下面对本申请实施例中出现的词语进行解释说明。安全策略规则:包括匹配项和动作项。网络设备接收到数据报文后,将数据报文与匹配项进行匹配,确定与数据报文匹配的匹配项,并按照该匹配项对应的动作项处理数据报文。域名变化事件:网络设备确定域名原使用的IP地址与DNS(DomainNameSystem,域名系统)协议报文携带的IP地址不同,则生成域名变化事件。在负载均衡组网中,多个服务器提供同一种服务,这使得一个域名对应多个IP地址。如图1所示负载均衡组网,包括用户设备100、防火墙设备101和服务器102-104。其中,服务器102-104对外提供同一种服务,服务器102-104采用一个域名,如域名1。此时,域名1分别与服务器102的IP地址IP1、服务器103的IP地址IP2和服务器104的IP地址IP3这3个IP地址。域名1对应的IP地址在IP地址IP1-IP3之间反复切换。而域名1在对应的多个IP地址之间反复切换时,防火墙设备101每次都会产生域名变化事件。当安全策略加速表到达刷新周期时,防火墙设备101根据每个域名变化事件将域名1的安全策略以及当前使用的IP地址写入安全策略加速表。如果安全策略加速表刷新周期未到,域名1在当前时刻IP地址与安全策略的对应关系无法写入安全策略加速表,会导致安全策略检查失败。另外,防火墙设备101需要访问大量域名,每个域名在多个IP地址之间切换会导致网络设备有大量的域名变化事件需要处理,在一个安全策略加速表刷新周期内完成不了全部的需要处理的域名变化事件,也会在当前时刻IP地址与安全策略的对应关系无法写入安全策略加速表,导致安全策略检查失败。为了解决上述问题,本申请实施例提供了一种安全策略加速表构建方法。该方法可以应用于防火墙设备、路由器和交换本文档来自技高网...
【技术保护点】
1.一种安全策略加速表构建方法,其特征在于,所述方法包括:存储具有多个地址缓存表项的地址缓存表;其中,每个所述地址缓存表项为不同域名的网络协议IP地址集合,每个IP地址集合用于存储M个IP地址且每个IP地址的老化时间大于M+1个域名地址切换周期,M为大于等于2的整数;接收第一域名系统协议报文;查找到与所述第一域名系统协议报文携带的域名匹配的第一地址缓存表项;确定所述第一地址缓存表项的IP地址集合包含所述第一域名系统协议报文携带的IP地址,则不生成触发刷新安全策略加速表的事件;刷新所述第一地址缓存表项的IP地址集合中所述第一域名系统协议报文携带的IP地址的存储时间。
【技术特征摘要】
1.一种安全策略加速表构建方法,其特征在于,所述方法包括:存储具有多个地址缓存表项的地址缓存表;其中,每个所述地址缓存表项为不同域名的网络协议IP地址集合,每个IP地址集合用于存储M个IP地址且每个IP地址的老化时间大于M+1个域名地址切换周期,M为大于等于2的整数;接收第一域名系统协议报文;查找到与所述第一域名系统协议报文携带的域名匹配的第一地址缓存表项;确定所述第一地址缓存表项的IP地址集合包含所述第一域名系统协议报文携带的IP地址,则不生成触发刷新安全策略加速表的事件;刷新所述第一地址缓存表项的IP地址集合中所述第一域名系统协议报文携带的IP地址的存储时间。2.根据权利要求1所述的方法,其特征在于,所述方法还包括:接收第二域名系统协议报文;查找到与所述第二域名系统协议报文携带的域名匹配的第二地址缓存表项;确定所述第二地址缓存表项的IP地址集合未包含所述第二域名系统协议报文携带的IP地址且所述第二地址缓存表项的IP地址集合的地址数目小于所述M;在所述第二地址缓存表项的IP地址集合中记录所述第二域名系统协议报文携带的IP地址以及存储时间;生成所述触发刷新安全策略加速表的事件。3.根据权利要求1所述的方法,其特征在于,所述方法还包括:接收第三域名系统协议报文;查找到与所述第三域名系统协议报文携带的域名匹配的第三地址缓存表项;确定所述第三地址缓存表项的IP地址集合未包含所述第三域名系统协议报文携带的IP地址且所述第三地址缓存表项的IP地址集合的地址数目等于所述M;将所述第三地址缓存表项的IP地址集合中存储时间最早的IP地址删除;在所述第三地址缓存表项的IP地址集合中记录所述第三域名系统协议报文携带的IP地址和存储时间;生成所述触发刷新安全策略加速表的事件。4.根据权利要求1所述的方法,其特征在于,所述方法还包括:将所述地址缓存表中各地址缓存表项的IP地址集合中到达老化时间的IP地址删除;生成所述触发刷新安全策略加速表的事件。5.一种安全策略加速表构建装置,其特征在于,所述装置包括:存储单元,用于存储具有多个地址缓存表项的地址缓存表;其中,每个所述地址缓存表项为不同域名的网络协议IP地址集合,每个IP地址集合用于存储M个IP地址且每个IP地址的老化时间大于M+1个域名地址切换周期,M为大于等于2的整数;接收单元,用于接收第一域名系统协议报文;查找单元,用...
【专利技术属性】
技术研发人员:岳伟国,
申请(专利权)人:新华三信息安全技术有限公司,
类型:发明
国别省市:安徽,34
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。