[发明专利]安全网关的规则匹配方法和装置

说明书

技术领域

本发明涉及网关领域，具体而言，涉及一种安全网关的规则匹配方法和装置。

背景技术

在相关技术中，传统的安全网关的功能是通过层层匹配多个相互独立的安全规则(如，过滤规则、连接限制规则、重定向规则、用户认证规则、流控规则、流量统计规则等)来实现的。

例如，对于一个数据包而言，如果要通过安全网关，则必须与该安全网关中的每个安全规则集进行一一匹配。这匹配方式，导致匹配效率低，并且容易出错，尤其在修改已有的匹配的情况下，工作效率低且容易出错的缺陷更加明显。

针对相关技术中安全网关在处理数据包时，匹配效率低且容易出错的问题，目前尚未提出有效的解决方案。

发明内容

本发明的主要目的在于提供一种安全网关的规则匹配方法和装置，以解决相关技术中安全网关在处理数据包时，匹配效率低且容易出错的问题。

为了实现上述目的，根据本发明的一个方面，提供了一种安全网关的规则匹配方法。该方法包括：获取安全网关中的安全规则的第一匹配条件，其中，所述安全规则为根据多个网关规则集成的规则集；获取所述安全网关处的数据包的第二匹配条件；将所述第二匹配条件与所述第一匹配条件进行匹配，得到匹配结果；以及根据所述匹配结果对所述数据包执行相应的策略动作。

进一步地，通过以下步骤集成所述安全网关中的所述安全规则：获取所述多个网关规则；根据所述多个网关规则确定所述多个网关规则中每个网关规则的匹配条件；以及根据所述多个网关规则和所述每个网关规则的匹配条件集成所述安全规则，其中，所述安全规则包含所述多个网关规则和所述多个网关规则的匹配条件。

进一步地，在根据所述多个网关规则和所述多个网关规则的匹配条件集成所述安全规则之前，还通过以下步骤集成所述安全网关中的所述安全规则：判断所述多个网关规则中所有的网关规则的匹配条件是否具有共同属性，其中，如果判断出所述多个网关规则中所述所有的网关规则的匹配条件具有所述共同属性，则根据所述多个网关规则和所述多个网关规则的匹配条件集成所述安全规则。

进一步地，根据所述匹配结果对所述数据包执行相应的策略动作包括：根据所述匹配结果确定所述策略动作的对象，所述对象为所述策略动作对象化的结果；引用所述策略动作的所述对象；根据引用的所述策略动作的所述对象对所述数据包执行相应的策略动作。

进一步地，在获取安全网关中的安全规则的第一匹配条件之前，所述规则匹配方法包括：通过查找用于存储所述安全规则的规则表得到所述安全网关中的所述安全规则，其中，在得到所述安全网关中的所述安全规则之后，获取所述安全网关中的所述安全规则的所述第一匹配条件。

为了实现上述目的，根据本发明的另一方面，提供了一种安全网关的规则匹配装置。该装置包括：第一获取单元，用于获取安全网关中的安全规则的第一匹配条件，其中，所述安全规则为根据多个网关规则集成的规则集；第二获取单元，用于获取所述安全网关处的数据包的第二匹配条件；匹配单元，用于将所述第二匹配条件与所述第一匹配条件进行匹配，得到匹配结果；以及执行单元，用于根据所述匹配结果对所述数据包执行相应的策略动作。

进一步地，所述的安全网关的规则匹配装置还包括：第三获取单元，用于获取所述多个网关规则；确定单元，用于根据所述多个网关规则确定所述多个网关规则中每个网关规则的匹配条件；以及集成单元，用于根据所述多个网关规则和所述每个网关规则的匹配条件集成所述安全规则，其中，所述安全规则包含所述多个网关规则和所述多个网关规则的匹配条件。

进一步地，所述的安全网关的规则匹配装置还包括：判断单元，用于在根据所述多个网关规则和所述多个网关规则的匹配条件集成所述安全规则之前，判断所述多个网关规则中所有的网关规则的匹配条件是否具有共同属性，其中，所述集成单元还用于在判断出所述多个网关规则中所述所有的网关规则的匹配条件具有所述共同属性时，根据所述多个网关规则和所述多个网关规则的匹配条件集成所述安全规则。

进一步地，所述执行单元包括：确定模块，用于根据所述匹配结果确定所述策略动作的对象，所述对象为所述策略动作对象化的结果；引用模块，用于引用所述策略动作的所述对象；执行模块，用于根据引用的所述策略动作的所述对象对所述数据包执行相应的策略动作。