一種匹配規則的匹配方法和裝置的制造方法
【技術領域】
[0001]本發明涉及通信技術領域,尤其涉及一種匹配規則的匹配方法和裝置。
【背景技術】
[0002]安全網關設備一般部署在大中型企業的網絡出口、企業內部網絡、或數據中心的出口,用于對外網訪問內網的報文進行檢測,以實現保護內部網絡安全的目的,對內網訪問外網的報文進行檢測,以實現企業敏感信息的控制。
[0003]對于經過安全網關設備的報文,則安全網關設備判斷報文是否匹配到匹配規則。如果是,則基于匹配規則對應的安全檢測業務對報文進行處理。
[0004]匹配規則中通常會包括多個匹配特征,如包括匹配特征1、匹配特征2和匹配特征
3。在判斷報文是否匹配到匹配規則時,需要依次判斷該報文是否匹配到匹配特征1、匹配特征2和匹配特征3,只有報文能夠匹配到匹配特征1、匹配特征2和匹配特征3時,才說明該報文匹配到該匹配規則。
[0005]由于需要依次判斷報文是否匹配到匹配規則的各匹配特征,判斷過程消耗的時間較長。由于每個匹配特征的判斷過程均會耗費大量的CPU (Central Processing Unit,中央處理器)資源,導致安全網關設備的性能消耗。
【發明內容】
[0006]本發明提供一種匹配規則的匹配方法,所述方法包括以下步驟:
[0007]安全網關設備在接收到報文時,確定所述報文對應的安全檢測業務;
[0008]所述安全網關設備確定粗略匹配特征與所述報文匹配的匹配規則,并確定所述匹配規則對應的安全檢測業務;其中,所述匹配規則包括:粗略匹配特征和精確匹配特征;
[0009]當所述報文對應的安全檢測業務中不包括與所述匹配規則對應的安全檢測業務相同的安全檢測業務時,則所述安全網關設備確定所述報文未匹配到所述匹配規則;
[0010]當所述報文對應的安全檢測業務中包括與所述匹配規則對應的安全檢測業務相同的安全檢測業務時,則所述安全網關設備利用所述匹配規則包括的精確匹配特征,確定所述報文未匹配到所述匹配規則或者匹配到所述匹配規則。
[0011]本發明提供一種匹配規則的匹配裝置,所述匹配規則的匹配裝置應用在安全網關設備上,且所述匹配規則的匹配裝置具體包括:
[0012]查詢模塊,用于在接收到報文時,確定所述報文對應的安全檢測業務;
[0013]粗略特征匹配模塊,用于確定粗略匹配特征與所述報文匹配的匹配規則,并確定所述匹配規則對應的安全檢測業務;其中,所述匹配規則包括:粗略匹配特征和精確匹配特征;
[0014]精確特征匹配模塊,用于當所述報文對應的安全檢測業務中不包括與所述匹配規則對應的安全檢測業務相同的安全檢測業務時,則確定所述報文未匹配到所述匹配規則;當所述報文對應的安全檢測業務中包括與所述匹配規則對應的安全檢測業務相同的安全檢測業務時,則利用所述匹配規則包括的精確匹配特征,確定所述報文未匹配到所述匹配規則或者匹配到所述匹配規則。
[0015]基于上述技術方案,本發明實施例中,通過比較報文對應的安全檢測業務和匹配規則對應的安全檢測業務,當報文對應的安全檢測業務中不包括與匹配規則對應的安全檢測業務相同的安全檢測業務時,安全網關設備可以直接確定該報文未匹配到該匹配規則,而不再判斷該報文是否匹配到每個精確匹配特征。在匹配規則包括多個精確匹配特征時,不需要依次判斷報文是否匹配到每個精確匹配特征,即可確定出報文未匹配到匹配規則,盡量減少不必要的匹配過程,判斷過程消耗的時間較短,從而縮短匹配時間。而且可以降低安全網關設備的CPU資源的消耗,降低安全網關設備的性能消耗,并提高安全網關設備的處理性能和處理效率。
【附圖說明】
[0016]圖1是本發明一種實施方式中的匹配規則的匹配方法的流程圖;
[0017]圖2是本發明一種實施方式中的安全網關設備的硬件結構圖;
[0018]圖3是本發明一種實施方式中的匹配規則的匹配裝置的結構圖。
【具體實施方式】
[0019]針對現有技術中存在的問題,本發明實施例中提出了一種匹配規則的匹配方法,該方法可以應用在安全網關設備上。其中,該安全網關設備一般部署在大中型企業的網絡出口、企業內部網絡、或者數據中心的出口。該安全網關設備可以用于對外網訪問內網的報文進行檢測,以實現保護內部網絡安全的目的,和/或,對內網訪問外網的報文進行檢測,以實現企業敏感信息的控制。
[0020]如圖1所示,該匹配規則的匹配方法具體可以包括以下步驟:
[0021]步驟101,安全網關設備在接收到報文時,確定該報文對應的安全檢測業務。
[0022]本發明實施例中,安全網關設備確定報文對應的安全檢測業務的過程,具體可以包括但不限于如下方式:方式一、安全網關設備利用本安全網關設備上接收到報文的端口,查詢預先配置的端口與安全檢測業務之間的對應關系,獲得接收該報文的接口對應的安全檢測業務,將獲得的安全檢測業務作為該報文對應的安全檢測業務。或者,方式二、安全網關設備利用報文的地址信息,查詢預先配置的地址信息與安全檢測業務之間的對應關系,獲得該地址信息對應的安全檢測業務,將獲得的安全檢測業務作為該報文對應的安全檢測業務。或者,方式三、安全網關設備確定報文的地址信息對應的用戶信息,并利用該用戶信息查詢預先配置的用戶信息與用戶策略信息之間的對應關系,獲得該用戶信息對應的用戶策略信息,并從該用戶策略信息中獲得報文對應的安全檢測業務。其中,用戶策略信息中會包含用戶信息對應的安全檢測業務。
[0023]對于方式三,需要說明的是,安全網關設備在對報文進行安全檢測之前,會對用戶進行認證。在認證的過程中,安全網關設備便可以通過認證報文的源地址和認證報文攜帶的用戶信息(如,用戶名、密碼等信息),得到發送該認證報文的用戶設備的地址與用戶信息的對應關系。因此,在后續安全網關設備接收到其它報文時,便可以根據該對應關系查找到報文的地址信息(如,報文的源地址)對應的用戶信息。
[0024]在實際應用中,在預先配置端口與安全檢測業務之間的對應關系時,可以配置端口與一個安全檢測業務或者多個安全檢測業務之間的對應關系,后續以配置端口與多個安全檢測業務之間的對應關系為例進行說明。在預先配置地址信息與安全檢測業務之間的對應關系時,可以配置地址信息與一個安全檢測業務或者多個安全檢測業務之間的對應關系,后續以配置地址信息與多個安全檢測業務之間的對應關系為例進行說明。在預先配置用戶信息與用戶策略信息之間的對應關系時,該用戶策略信息中可以包含一個安全檢測業務或者多個安全檢測業務,后續以用戶策略信息中包含多個安全檢測業務為例進行說明。
[0025]其中,安全檢測業務可以包括但不限于:APR(Applicat1n Recognit1n,應用識別)業務,IPS (Intrus1n Prevent1n System,入侵防御系統)業務,AVC (Applicat1nVisualizat1n Control,應用可視化控制)業務,URL (Uniform Resoure Locator,統一資源定位符)過濾業務,內容過濾業務,AV (Anti Virus,防病毒)業務,文件過濾業務等。
[0026]安全網關設備支持的不同安全檢測業務可以使用不同的業務標識表示。例如,APR業務使用業務標識0x0001表示,IPS業務使用業務標識0x0002表示,AVC業務使用業務標識0x0004表示,URL過濾業務使用業務標識0x0008表示,內容過濾業務使用業務標識0x0010表示,AV業務使用業務標識0x0020表示,文件過濾業務使用業務標識0x0040表示等。基于此,在安全網關設備上配置端口/地址信息與安全檢測業務之間的對應關系時,可以配置端口 /地址信息與業務標識之間的對應關系,如通過配置端口 I/地址信息I與業務標識0x0002之間的對應關系,以表示端口 I/地址信息I與IPS業務之間的對應關系,或者通過配置端口 I/地址信息I與業務標識0x0022 (由標識0x0002與標識0x0020組合得