本申請公開一種安全策略規則匹配方法、裝置及防火墻設備，該方法包括：接收數據報文，讀取數據報文攜帶的端口信息；獲取預設的服務加速表，服務加速表包括以嵌套二叉樹存儲的服務端口配置項及其對應的安全策略規則；根據服加速表和端口信息，確定與數據報文相匹配的安全策略規則。本申請中，對于引用的服務對象組中同時包含源端口和目的端口的安全策略規則，構建服務加速表。服務加速表以嵌套二叉樹存儲服務對象組對應的源端口、目的端口及安全策略規則。在進行報文匹配時，根據報文攜帶的源端口和目的端口，能夠從服務加速表中快速的確定出與報文相匹配的安全策略規則，提高了安全策略規則匹配的速度。

技術領域

本申請涉及網絡通訊技術，具體涉及一種安全策略規則匹配方法、裝置及防火墻設備。

背景技術

防火墻是一種網絡安全系統，它可通過部署安全策略規則來實現數據的訪問控制。安全策略規則可引用多種引用項，如源IP(Internet Protocol，網絡之間互連的協議)地址對象組、目的IP地址對象組、應用組、源安全域、目的安全域、服務對象組等。防火墻依據安全策略規則，根據報文的不同屬性對報文進行轉發控制。

其中，防火墻部署的安全策略規則中，有的服務對象組中同時包含源端口和目的端口的配置項。對于這種安全策略規則，防火墻在進行報文匹配時，需要將報文五元組中的源端口與服務對象組的源端口進行匹配，以及將報文五元組中的目的端口與該服務對象組的目的端口進行匹配。

當引用同時包含源端口和目的端口的服務對象組的安全策略規則很多時，按照上述方式進行報文匹配的速度很慢，防火墻的報文轉發性能會大大降低。

發明內容

為解決以上問題，本申請提供一種安全策略規則匹配方法、裝置及防火墻設備，對于引用的服務對象組中同時包含源端口和目的端口的安全策略規則，構建服務加速表，依據服務加速表進行報文匹配，提高安全策略規則匹配的速度。本申請通過以下幾個方面來解決以上問題。

第一方面，本申請實施例提供了一種安全策略規則匹配方法，包括：

接收數據報文，讀取所述數據報文攜帶的端口信息；

獲取預設的服務加速表，所述服務加速表包括以嵌套二叉樹存儲的服務端口配置項及其對應的安全策略規則；

根據所述服加速表和所述端口信息，確定與所述數據報文相匹配的安全策略規則。

在本申請的一些實施例中，所述嵌套二叉樹包括外層二叉樹和內層二叉樹，所述服務端口配置項包括的第一端口配置項記錄在所述外層二叉樹的外層節點上，所述服務端口配置項包括的第二端口配置項記錄在所述內層二叉樹的內層節點上，記錄所述第一端口配置項的外層節點下嵌套所述第一端口配置項對應的內層二叉樹，所述第一端口配置項對應的第二端口配置項記錄在所述第一端口配置項對應的內層二叉樹的內層節點上，記錄所述第二端口配置項的所述內層節點下存儲有所述第二端口配置項對應的安全策略規則；所述安全策略規則是以規則鏈或位圖的形式進行存儲的。

在本申請的一些實施例中，所述根據所述服加速表和所述端口信息，確定與所述數據報文相匹配的安全策略規則，包括：

遍歷所述服務加速表中的所述外層二叉樹，按照最長匹配方式查找與所述端口信息包括的第一端口一致的第一端口配置項；

遍歷查找到的所述第一端口配置項對應的內層二叉樹，按照所述最長匹配方式查找與所述端口信息包括的第二端口一致的第二端口配置項；

獲取查到的所述第二端口配置項對應的安全策略規則，將獲取的所述安全策略規則確定為與所述數據報文匹配的安全策略規則。

在本申請的一些實施例中，所述獲取預設的服務加速表之前，還包括：

根據同時包含第一端口配置項和第二端口配置項的服務端口配置項及其對應的安全策略規則，生成服務加速表。