本发明专利技术提供了一种应用策略的匹配方法及系统,其中的方法包括:建立辅助表和权限表,并对辅助表中的与应用相对应的动作标识和权限表中的与应用相对应的权限进行初始化,其中,权限表包括应用及与应用相对应的权限,辅助表包括应用及与应用相对应的动作标识;根据动作标识,将应用策略依次逐条转换到权限表中,并更改辅助表中的与权限表的应用相对应的动作标识,其中,当动作标识不是初始值时,则不对应用策略进行转换;在匹配应用策略时,根据权限表中的应用及与应用相对应的权限,完成应用与应用策略的匹配。通过本发明专利技术能够减少应用策略的转换次数,避免匹配出现错误,提高匹配性能和存储性能。
【技术实现步骤摘要】
应用策略的匹配方法及系统
本专利技术涉及网络安全
,更为具体地,涉及一种应用策略的匹配方法及系统。
技术介绍
随着计算机技术的飞速发展,信息网络已经成为社会发展的重要保证。然而网络在给人们提供便利的同时,其安全性也成为一个越来越不容忽视的问题。安全网关作为各种技术的有机融合,其过滤范围涵盖协议级过滤及十分复杂的应用级过滤。因而,在网络安全中,安全网关具有重要且独特的保护作用。防火墙作为安全网关的一个重要组成部分,可以很方便的监视网络的安全性并产生报警。由于面向应用的防火墙能够对网络行为进行更细粒度的控制,因此,当前安全网关正从传统的包过滤防火墙转向面向应用的下一代防火墙,以便有利于更好的保障网络的安全。防火墙最重要的就是访问策略,对于面向应用的下一代防火墙而言,基于应用的访问策略也就成为衡量防火墙性能的标准之一。需要说明的是,策略分为匹配项和匹配动作,并且策略具有先后顺序。在APP策略中,匹配项是一组应用,匹配动作是pass/deny。由于在应用匹配中,存在应用组的概念,而应用组可以配置在匹配项中。当有一个应用需要匹配策略的时候,常规的做法需要从上往下逐条进行匹配,因此,如果在应用匹配中有应用组存在时,将会使应用的匹配存在较大的复杂度。以传统的应用策略的匹配为例,假设在应用匹配中存在应用组ALLMAIL,其中,应用组ALLMAIL包含:126mail、163mail、gmail、neusoft.mail。将应用策略定义为如表1所示:匹配项匹配动作Gmaildeny126maildeny163maildenyALLMAILpass表1在进行匹配时,假设当前来的一个应用是126mail,首先126mail自己是一个应用组,组里面就一个126mail,另外126mail还属于应用组ALLMAIL。在进行逐条匹配时,首先需要将126mail这个应用与表1所定义的应用策略逐个进行匹配,需要匹配4次。另外,由于此次应用匹配中还存在应用组ALLMAIL,而应用组ALLMAIL中也有126mail这个应用,因此,在匹配过程中,如果遇到应用组ALLMAIL时,不进行126mail属于应用组ALLMAIL的转换,则无法实现匹配的命中,匹配动作就会出现错误。因此,还需要把126mail转换成ALLMAIL再去与表1所定义的应用策略再次进行匹配,因此又需要进行4次匹配。通过上述可以看出,传统的应用策略的匹配,需要将应用转换成各个应用组进行匹配,也就是说,在应用匹配中,应用策略中有几个应用组,就需要转换多少次并重新进行每条策略的匹配,其最坏匹配次数=应用所属组*策略数。如此将会导致策略匹配规模的膨胀和性能的线性下降。如上述例子,由于应用组ALLMAIL的规则存在,导致一个应用过来需要匹配8次,而最坏的情况就是应用没有匹配到匹配项。为了降低匹配次数,在保持应用策略的同时,可以将一个应用组对应的规则进行分解,以上述应用组ALLMAIL为例,将应用组ALLMAIL的匹配项和其对应的匹配动作这条策略拆分成四条策略,如表2所示:匹配项匹配动作126mailpass163mailpassgmailpassneusoft.mailpass表2虽然这种方式能够降低少数的匹配次数,在特定情况下能够加快匹配性能,但此种方式需要以空间上的牺牲作为换取代价,同样使得应用匹配的性能不佳。
技术实现思路
鉴于上述问题,本专利技术的目的是提供一种应用策略的匹配方法及系统,以实现应用策略匹配时的匹配性能和存储性能的提升。根据本专利技术的一个方面,提供一种应用策略的匹配方法,包括:建立辅助表和权限表,并对辅助表中的与应用相对应的动作标识和权限表中的与应用相对应的权限进行初始化,其中,权限表包括应用及与应用相对应的权限,辅助表包括应用及与应用相对应的动作标识;根据动作标识,将应用策略依次逐条转换到权限表中,并更改辅助表中的与权限表的应用相对应的动作标识,其中,当动作标识不是初始值时,则不对应用策略进行转换;以及,在匹配应用策略时,根据权限表中的应用及与应用相对应的权限,完成应用与应用策略的匹配。其中,在将应用策略依次逐条转换到权限表中的过程中,根据应用策略中的应用出现的顺序依次对应用策略进行转换。其中,在将应用策略依次逐条转换到权限表中的过程中,通过辅助表对应用策略的转换优先级进行约束。其中,在将应用策略依次逐条转换到权限表的过程中,当动作标识为初始值时,视为在应用策略中,与动作标识相对应的应用未被转换。另一方面,本专利技术提供一种应用策略的匹配系统,包括:初始化单元,用于建立辅助表和权限表,并对辅助表中的与应用相对应的动作标识和权限表中的与应用相对应的权限进行初始化,其中,所述权限表包括应用及与所述应用相对应的权限,所述辅助表包括应用及与所述应用相对应的动作标识;应用策略转换单元,用于根据动作标识,将应用策略依次逐条转换到权限表中,并更改辅助表中的与权限表的应用相对应的动作标识,其中,当动作标识不是初始值时,则不对应用策略进行转换;应用策略匹配单元,用于在匹配应用策略时,根据权限表中的应用及与应用相对应的权限,完成应用与应用策略的匹配。利用上述根据本专利技术的应用策略的匹配方法及系统,在进行应用策略匹配时,通过根据辅助表的动作标识,将应用策略转换为权限表,其中只有在辅助表的动作标识为初始值时,才对应用策略进行转换,从而减少应用策略的转换次数,达到提升匹配性能和存储性能的目的。为了实现上述以及相关目的,本专利技术的一个或多个方面包括后面将详细说明并在权利要求中特别指出的特征。下面的说明以及附图详细说明了本专利技术的某些示例性方面。然而,这些方面指示的仅仅是可使用本专利技术的原理的各种方式中的一些方式。此外,本专利技术旨在包括所有这些方面以及它们的等同物。附图说明通过参考以下结合附图的说明及权利要求书的内容,并且随着对本专利技术的更全面理解,本专利技术的其它目的及结果将更加明白及易于理解。在附图中:图1为根据本专利技术实施例的应用策略的匹配方法流程示意图;图2为根据本专利技术实施例的应用策略的匹配系统逻辑结构框图。在所有附图中相同的标号指示相似或相应的特征或功能。具体实施方式以下将结合附图对本专利技术的具体实施例进行详细描述。针对前述现有的应用策略的匹配方式存在匹配性能和存储性能不佳的问题,本专利技术通过根据辅助表的动作标识,将应用策略转换为权限表,其中只有在辅助表的动作标识为初始值时,才对应用策略进行转换。通过此种方法能够减少应用策略的转换次数,避免匹配出现错误。在进行应用策略匹配时,只需通过应用找到应用相对应的权限,即可得到最终的匹配结果,进而简化应用策略的匹配过程。为了说明本专利技术提供的应用策略的匹配方法,图1示出了根据本专利技术实施例的应用策略的匹配方法流程。如图1所示,本专利技术提供的应用策略的匹配方法包括:S110:建立辅助表和权限表,并对辅助表中的与应用相对应的动作标识和权限表中的与应用相对应的权限进行初始化,其中,权限表包括应用及与应用相对应的权限,辅助表包括应用及与应用相对应的动作标识。具体地,在还没有开始对应用策略进行转换之前,首先对辅助表和权限表进行初始化,其中,在对辅助表中的与应用相对应的动作标识和权限表中的与应用相对应的权限进行初始化的过程中,通过0/1或者是/否初始化辅助表的动作标识和权限本文档来自技高网...
【技术保护点】
一种应用策略的匹配方法,包括:建立辅助表和权限表,并对辅助表中的与应用相对应的动作标识和权限表中的与应用相对应的权限进行初始化,其中,所述权限表包括应用及与所述应用相对应的权限,所述辅助表包括应用及与所述应用相对应的动作标识;根据所述动作标识,将应用策略依次逐条转换到所述权限表中,并更改所述辅助表中的与所述权限表的应用相对应的动作标识,其中,当所述动作标识不是初始值时,则不对所述应用策略进行转换;以及,在匹配应用策略时,根据所述权限表中的应用及与所述应用相对应的权限,完成应用与所述应用策略的匹配。
【技术特征摘要】
1.一种应用策略的匹配方法,包括:建立辅助表和权限表,并对辅助表中的与应用相对应的动作标识和权限表中的与应用相对应的权限进行初始化,其中,所述权限表包括应用及与所述应用相对应的权限,所述辅助表包括应用及与所述应用相对应的动作标识,所述辅助表和权限表均以位图表的形式呈现;根据所述动作标识,将应用策略依次逐条转换到所述权限表中,并更改所述辅助表中的与所述权限表的应用相对应的动作标识,其中,当所述动作标识不是初始值时,则不对所述应用策略进行转换;以及,在匹配应用策略时,根据所述权限表中的应用及与所述应用相对应的权限,完成应用与所述应用策略的匹配。2.如权利要求1所述的应用策略的匹配方法,其中,在将应用策略依次逐条转换到所述权限表中的过程中,根据所述应用策略中的应用出现的顺序依次对所述应用策略进行转换。3.如权利要求1所述的应用策略的匹配方法,其中,在将应用策略依次逐条转换到所述权限表中的过程中,通过所述辅助表对所述应用策略的转换优先级进行约束。4.如权利要求1所述的应用策略的匹配方法,其中,在对辅助表中的与应用相对应的动作标识和权限表中的与应用相对应的权限进行初始化的过程中,通过0/1或者是/否初始化所述动作标识或者所述权限。5.如权利要求1所述的应用策略的匹配方法,其中,在将所述应用策略依次逐条转换到所述权限表的过程中,当所述动作标识为初始值时,视为在所述应用策略中,与所述动作标识相...
【专利技术属性】
技术研发人员:陈静相,冉力楠,
申请(专利权)人:东软集团股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。