[发明专利]应用策略的匹配方法及系统

说明书

技术领域

本发明涉及网络安全技术领域，更为具体地，涉及一种应用策略的匹配方法及系统。

背景技术

随着计算机技术的飞速发展，信息网络已经成为社会发展的重要保证。然而网络在给人们提供便利的同时，其安全性也成为一个越来越不容忽视的问题。安全网关作为各种技术的有机融合，其过滤范围涵盖协议级过滤及十分复杂的应用级过滤。因而，在网络安全中，安全网关具有重要且独特的保护作用。

防火墙作为安全网关的一个重要组成部分，可以很方便的监视网络的安全性并产生报警。由于面向应用的防火墙能够对网络行为进行更细粒度的控制，因此，当前安全网关正从传统的包过滤防火墙转向面向应用的下一代防火墙，以便有利于更好的保障网络的安全。

防火墙最重要的就是访问策略，对于面向应用的下一代防火墙而言，基于应用的访问策略也就成为衡量防火墙性能的标准之一。

需要说明的是，策略分为匹配项和匹配动作，并且策略具有先后顺序。在APP策略中，匹配项是一组应用，匹配动作是pass/deny。由于在应用匹配中，存在应用组的概念，而应用组可以配置在匹配项中。当有一个应用需要匹配策略的时候，常规的做法需要从上往下逐条进行匹配，因此，如果在应用匹配中有应用组存在时，将会使应用的匹配存在较大的复杂度。

以传统的应用策略的匹配为例，假设在应用匹配中存在应用组ALL MAIL，其中，应用组ALL MAIL包含：126mail、163mail、gmail、neusoft.mail。

将应用策略定义为如表1所示：

匹配项匹配动作Gmaildeny126maildeny163maildenyALL MAILpass

表1

在进行匹配时，假设当前来的一个应用是126mail，首先126mail自己是一个应用组，组里面就一个126mail，另外126mail还属于应用组ALL MAIL。在进行逐条匹配时，首先需要将126mail这个应用与表1所定义的应用策略逐个进行匹配，需要匹配4次。

另外，由于此次应用匹配中还存在应用组ALL MAIL，而应用组ALLMAIL中也有126mail这个应用，因此，在匹配过程中，如果遇到应用组ALLMAIL时，不进行126mail属于应用组ALL MAIL的转换，则无法实现匹配的命中，匹配动作就会出现错误。

因此，还需要把126mail转换成ALL MAIL再去与表1所定义的应用策略再次进行匹配，因此又需要进行4次匹配。

通过上述可以看出，传统的应用策略的匹配，需要将应用转换成各个应用组进行匹配，也就是说，在应用匹配中，应用策略中有几个应用组，就需要转换多少次并重新进行每条策略的匹配，其最坏匹配次数=应用所属组*策略数。如此将会导致策略匹配规模的膨胀和性能的线性下降。如上述例子，由于应用组ALL MAIL的规则存在，导致一个应用过来需要匹配8次，而最坏的情况就是应用没有匹配到匹配项。

为了降低匹配次数，在保持应用策略的同时，可以将一个应用组对应的规则进行分解，以上述应用组ALL MAIL为例，将应用组ALL MAIL的匹配项和其对应的匹配动作这条策略拆分成四条策略，如表2所示：