一种匹配规则的匹配方法和装置的制造方法
【技术领域】
[0001]本发明涉及通信技术领域,尤其涉及一种匹配规则的匹配方法和装置。
【背景技术】
[0002]安全网关设备一般部署在大中型企业的网络出口、企业内部网络、或数据中心的出口,用于对外网访问内网的报文进行检测,以实现保护内部网络安全的目的,对内网访问外网的报文进行检测,以实现企业敏感信息的控制。
[0003]对于经过安全网关设备的报文,则安全网关设备判断报文是否匹配到匹配规则。如果是,则基于匹配规则对应的安全检测业务对报文进行处理。
[0004]匹配规则中通常会包括多个匹配特征,如包括匹配特征1、匹配特征2和匹配特征
3。在判断报文是否匹配到匹配规则时,需要依次判断该报文是否匹配到匹配特征1、匹配特征2和匹配特征3,只有报文能够匹配到匹配特征1、匹配特征2和匹配特征3时,才说明该报文匹配到该匹配规则。
[0005]由于需要依次判断报文是否匹配到匹配规则的各匹配特征,判断过程消耗的时间较长。由于每个匹配特征的判断过程均会耗费大量的CPU (Central Processing Unit,中央处理器)资源,导致安全网关设备的性能消耗。
【发明内容】
[0006]本发明提供一种匹配规则的匹配方法,所述方法包括以下步骤:
[0007]安全网关设备在接收到报文时,确定所述报文对应的安全检测业务;
[0008]所述安全网关设备确定粗略匹配特征与所述报文匹配的匹配规则,并确定所述匹配规则对应的安全检测业务;其中,所述匹配规则包括:粗略匹配特征和精确匹配特征;
[0009]当所述报文对应的安全检测业务中不包括与所述匹配规则对应的安全检测业务相同的安全检测业务时,则所述安全网关设备确定所述报文未匹配到所述匹配规则;
[0010]当所述报文对应的安全检测业务中包括与所述匹配规则对应的安全检测业务相同的安全检测业务时,则所述安全网关设备利用所述匹配规则包括的精确匹配特征,确定所述报文未匹配到所述匹配规则或者匹配到所述匹配规则。
[0011]本发明提供一种匹配规则的匹配装置,所述匹配规则的匹配装置应用在安全网关设备上,且所述匹配规则的匹配装置具体包括:
[0012]查询模块,用于在接收到报文时,确定所述报文对应的安全检测业务;
[0013]粗略特征匹配模块,用于确定粗略匹配特征与所述报文匹配的匹配规则,并确定所述匹配规则对应的安全检测业务;其中,所述匹配规则包括:粗略匹配特征和精确匹配特征;
[0014]精确特征匹配模块,用于当所述报文对应的安全检测业务中不包括与所述匹配规则对应的安全检测业务相同的安全检测业务时,则确定所述报文未匹配到所述匹配规则;当所述报文对应的安全检测业务中包括与所述匹配规则对应的安全检测业务相同的安全检测业务时,则利用所述匹配规则包括的精确匹配特征,确定所述报文未匹配到所述匹配规则或者匹配到所述匹配规则。
[0015]基于上述技术方案,本发明实施例中,通过比较报文对应的安全检测业务和匹配规则对应的安全检测业务,当报文对应的安全检测业务中不包括与匹配规则对应的安全检测业务相同的安全检测业务时,安全网关设备可以直接确定该报文未匹配到该匹配规则,而不再判断该报文是否匹配到每个精确匹配特征。在匹配规则包括多个精确匹配特征时,不需要依次判断报文是否匹配到每个精确匹配特征,即可确定出报文未匹配到匹配规则,尽量减少不必要的匹配过程,判断过程消耗的时间较短,从而缩短匹配时间。而且可以降低安全网关设备的CPU资源的消耗,降低安全网关设备的性能消耗,并提高安全网关设备的处理性能和处理效率。
【附图说明】
[0016]图1是本发明一种实施方式中的匹配规则的匹配方法的流程图;
[0017]图2是本发明一种实施方式中的安全网关设备的硬件结构图;
[0018]图3是本发明一种实施方式中的匹配规则的匹配装置的结构图。
【具体实施方式】
[0019]针对现有技术中存在的问题,本发明实施例中提出了一种匹配规则的匹配方法,该方法可以应用在安全网关设备上。其中,该安全网关设备一般部署在大中型企业的网络出口、企业内部网络、或者数据中心的出口。该安全网关设备可以用于对外网访问内网的报文进行检测,以实现保护内部网络安全的目的,和/或,对内网访问外网的报文进行检测,以实现企业敏感信息的控制。
[0020]如图1所示,该匹配规则的匹配方法具体可以包括以下步骤:
[0021]步骤101,安全网关设备在接收到报文时,确定该报文对应的安全检测业务。
[0022]本发明实施例中,安全网关设备确定报文对应的安全检测业务的过程,具体可以包括但不限于如下方式:方式一、安全网关设备利用本安全网关设备上接收到报文的端口,查询预先配置的端口与安全检测业务之间的对应关系,获得接收该报文的接口对应的安全检测业务,将获得的安全检测业务作为该报文对应的安全检测业务。或者,方式二、安全网关设备利用报文的地址信息,查询预先配置的地址信息与安全检测业务之间的对应关系,获得该地址信息对应的安全检测业务,将获得的安全检测业务作为该报文对应的安全检测业务。或者,方式三、安全网关设备确定报文的地址信息对应的用户信息,并利用该用户信息查询预先配置的用户信息与用户策略信息之间的对应关系,获得该用户信息对应的用户策略信息,并从该用户策略信息中获得报文对应的安全检测业务。其中,用户策略信息中会包含用户信息对应的安全检测业务。
[0023]对于方式三,需要说明的是,安全网关设备在对报文进行安全检测之前,会对用户进行认证。在认证的过程中,安全网关设备便可以通过认证报文的源地址和认证报文携带的用户信息(如,用户名、密码等信息),得到发送该认证报文的用户设备的地址与用户信息的对应关系。因此,在后续安全网关设备接收到其它报文时,便可以根据该对应关系查找到报文的地址信息(如,报文的源地址)对应的用户信息。
[0024]在实际应用中,在预先配置端口与安全检测业务之间的对应关系时,可以配置端口与一个安全检测业务或者多个安全检测业务之间的对应关系,后续以配置端口与多个安全检测业务之间的对应关系为例进行说明。在预先配置地址信息与安全检测业务之间的对应关系时,可以配置地址信息与一个安全检测业务或者多个安全检测业务之间的对应关系,后续以配置地址信息与多个安全检测业务之间的对应关系为例进行说明。在预先配置用户信息与用户策略信息之间的对应关系时,该用户策略信息中可以包含一个安全检测业务或者多个安全检测业务,后续以用户策略信息中包含多个安全检测业务为例进行说明。
[0025]其中,安全检测业务可以包括但不限于:APR(Applicat1n Recognit1n,应用识别)业务,IPS (Intrus1n Prevent1n System,入侵防御系统)业务,AVC (Applicat1nVisualizat1n Control,应用可视化控制)业务,URL (Uniform Resoure Locator,统一资源定位符)过滤业务,内容过滤业务,AV (Anti Virus,防病毒)业务,文件过滤业务等。
[0026]安全网关设备支持的不同安全检测业务可以使用不同的业务标识表示。例如,APR业务使用业务标识0x0001表示,IPS业务使用业务标识0x0002表示,AVC业务使用业务标识0x0004表示,URL过滤业务使用业务标识0x0008表示,内容过滤业务使用业务标识0x0010表示,AV业务使用业务标识0x0020表示,文件过滤业务使用业务标识0x0040表示等。基于此,在安全网关设备上配置端口/地址信息与安全检测业务之间的对应关系时,可以配置端口 /地址信息与业务标识之间的对应关系,如通过配置端口 I/地址信息I与业务标识0x0002之间的对应关系,以表示端口 I/地址信息I与IPS业务之间的对应关系,或者通过配置端口 I/地址信息I与业务标识0x0022 (由标识0x0002与标识0x0020组合得