应用策略的匹配方法及系统的制作方法
【专利摘要】本发明提供了一种应用策略的匹配方法及系统,其中的方法包括:建立辅助表和权限表,并对辅助表中的与应用相对应的动作标识和权限表中的与应用相对应的权限进行初始化,其中,权限表包括应用及与应用相对应的权限,辅助表包括应用及与应用相对应的动作标识;根据动作标识,将应用策略依次逐条转换到权限表中,并更改辅助表中的与权限表的应用相对应的动作标识,其中,当动作标识不是初始值时,则不对应用策略进行转换;在匹配应用策略时,根据权限表中的应用及与应用相对应的权限,完成应用与应用策略的匹配。通过本发明能够减少应用策略的转换次数,避免匹配出现错误,提高匹配性能和存储性能。
【专利说明】应用策略的匹配方法及系统
【技术领域】
[0001]本发明涉及网络安全【技术领域】,更为具体地,涉及一种应用策略的匹配方法及系统。
【背景技术】
[0002]随着计算机技术的飞速发展,信息网络已经成为社会发展的重要保证。然而网络在给人们提供便利的同时,其安全性也成为一个越来越不容忽视的问题。安全网关作为各种技术的有机融合,其过滤范围涵盖协议级过滤及十分复杂的应用级过滤。因而,在网络安全中,安全网关具有重要且独特的保护作用。
[0003]防火墙作为安全网关的一个重要组成部分,可以很方便的监视网络的安全性并产生报警。由于面向应用的防火墙能够对网络行为进行更细粒度的控制,因此,当前安全网关正从传统的包过滤防火墙转向面向应用的下一代防火墙,以便有利于更好的保障网络的安全。
[0004]防火墙最重要的就是访问策略,对于面向应用的下一代防火墙而言,基于应用的访问策略也就成为衡量防火墙性能的标准之一。
[0005]需要说明的是,策略分为匹配项和匹配动作,并且策略具有先后顺序。在APP策略中,匹配项是一组应用,匹配动作是pass/deny。由于在应用匹配中,存在应用组的概念,而应用组可以配置在匹配项中。当有一个应用需要匹配策略的时候,常规的做法需要从上往下逐条进行匹配,因此,如果 在应用匹配中有应用组存在时,将会使应用的匹配存在较大的复杂度。
[0006]以传统的应用策略的匹配为例,假设在应用匹配中存在应用组ALL MAIL,其中,应用组 ALL MAIL 包含:126mail、163mail、gmail、neusoft.mail。
[0007]将应用策略定义为如表1所示:
[0008]
【权利要求】
1.一种应用策略的匹配方法,包括: 建立辅助表和权限表,并对辅助表中的与应用相对应的动作标识和权限表中的与应用相对应的权限进行初始化,其中,所述权限表包括应用及与所述应用相对应的权限,所述辅助表包括应用及与所述应用相对应的动作标识; 根据所述动作标识,将应用策略依次逐条转换到所述权限表中,并更改所述辅助表中的与所述权限表的应用相对应的动作标识,其中,当所述动作标识不是初始值时,则不对所述应用策略进行转换;以及, 在匹配应用策略时,根据所述权限表中的应用及与所述应用相对应的权限,完成应用与所述应用策略的匹配。
2.如权利要求1所述的应用策略的匹配方法,其中,在将应用策略依次逐条转换到所述权限表中的过程中, 根据所述应用策略中的应用出现的顺序依次对所述应用策略进行转换。
3.如权利要求1所述的应用策略的匹配方法,其中,在将应用策略依次逐条转换到所述权限表中的过程中,通过所述辅助表对所述应用策略的转换优先级进行约束。
4.如权利要求1所述的应用策略的匹配方法,其中,在对辅助表中的与应用相对应的动作标识和权限表中的与应用相对应的权限进行初始化的过程中, 通过0/1或者是/否初始化所述动作标识或者所述权限。
5.如权利要求1所述的应用策略的匹配方法,其中,在将所述应用策略依次逐条转换到所述权限表的过程中, 当所述动作标识为初始值时,视为在所述应用策略中,与所述动作标识相对应的应用未被转换。
6.—种应用策略的匹配系统,包括: 初始化单兀,用于建立辅助表和权限表,并对辅助表中的与应用相对应的动作标识和权限表中的与应用相对应的权限进行初始化,其中,所述权限表包括应用及与所述应用相对应的权限,所述辅助表包括应用及与所述应用相对应的动作标识; 应用策略转换单元,用于根据所述动作标识,将应用策略依次逐条转换到所述权限表中,并更改所述辅助表中的与所述权限表的应用相对应的动作标识,其中,当所述动作标识不是初始值时,则不对所述应用策略进行转换; 应用策略匹配单元,用于在匹配应用策略时,根据所述权限表中的应用及与所述应用相对应的权限,完成应用与所述应用策略的匹配。
7.如权利要求6所述的应用策略的匹配系统,其中,所述应用策略转换单元在将应用策略依次逐条转换到所述权限表中的过程中,根据所述应用策略中的应用出现的顺序依次对所述应用策略进行转换。
8.如权利要求6所述的应用策略的匹配系统,其中,所述初始化单元在对辅助表中的与应用相对应的动作标识和权限表中的与应用相对应的权限进行初始化的过程中, 通过0/1或者是/否初始化所述动作标识或者所述权限。
9.如权利要求6所述的应用策略的匹配系统,其中,所述应用策略转换单元在将所述应用策略依次逐条转换到所述权限表的过程中, 当所述动作标识为初始值时,视为在所述应用策略中,与所述动作标识相对应的应用未被转换。`
【文档编号】H04L12/66GK103581189SQ201310545720
【公开日】2014年2月12日 申请日期:2013年11月6日 优先权日:2013年11月6日
【发明者】陈静相, 冉力楠 申请人:东软集团股份有限公司