技術領域

本發明涉及網絡安全技術領域，更為具體地，涉及一種應用策略的匹配方法及系統。

背景技術

隨著計算機技術的飛速發展，信息網絡已經成為社會發展的重要保證。然而網絡在給人們提供便利的同時，其安全性也成為一個越來越不容忽視的問題。安全網關作為各種技術的有機融合，其過濾范圍涵蓋協議級過濾及十分復雜的應用級過濾。因而，在網絡安全中，安全網關具有重要且獨特的保護作用。

防火墻作為安全網關的一個重要組成部分，可以很方便的監視網絡的安全性并產生報警。由于面向應用的防火墻能夠對網絡行為進行更細粒度的控制，因此，當前安全網關正從傳統的包過濾防火墻轉向面向應用的下一代防火墻，以便有利于更好的保障網絡的安全。

防火墻最重要的就是訪問策略，對于面向應用的下一代防火墻而言，基于應用的訪問策略也就成為衡量防火墻性能的標準之一。

需要說明的是，策略分為匹配項和匹配動作，并且策略具有先后順序。在APP策略中，匹配項是一組應用，匹配動作是pass/deny。由于在應用匹配中，存在應用組的概念，而應用組可以配置在匹配項中。當有一個應用需要匹配策略的時候，常規的做法需要從上往下逐條進行匹配，因此，如果在應用匹配中有應用組存在時，將會使應用的匹配存在較大的復雜度。

以傳統的應用策略的匹配為例，假設在應用匹配中存在應用組ALL?MAIL，其中，應用組ALL?MAIL包含：126mail、163mail、gmail、neusoft.mail。

將應用策略定義為如表1所示：

表1

在進行匹配時，假設當前來的一個應用是126mail，首先126mail自己是一個應用組，組里面就一個126mail，另外126mail還屬于應用組ALL?MAIL。在進行逐條匹配時，首先需要將126mail這個應用與表1所定義的應用策略逐個進行匹配，需要匹配4次。

另外，由于此次應用匹配中還存在應用組ALL?MAIL，而應用組ALLMAIL中也有126mail這個應用，因此，在匹配過程中，如果遇到應用組ALLMAIL時，不進行126mail屬于應用組ALL?MAIL的轉換，則無法實現匹配的命中，匹配動作就會出現錯誤。

因此，還需要把126mail轉換成ALL?MAIL再去與表1所定義的應用策略再次進行匹配，因此又需要進行4次匹配。

通過上述可以看出，傳統的應用策略的匹配，需要將應用轉換成各個應用組進行匹配，也就是說，在應用匹配中，應用策略中有幾個應用組，就需要轉換多少次并重新進行每條策略的匹配，其最壞匹配次數=應用所屬組*策略數。如此將會導致策略匹配規模的膨脹和性能的線性下降。如上述例子，由于應用組ALL?MAIL的規則存在，導致一個應用過來需要匹配8次，而最壞的情況就是應用沒有匹配到匹配項。

為了降低匹配次數，在保持應用策略的同時，可以將一個應用組對應的規則進行分解，以上述應用組ALL?MAIL為例，將應用組ALL?MAIL的匹配項和其對應的匹配動作這條策略拆分成四條策略，如表2所示：