(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111635459.5 (22)申请日 2021.12.2 9 (71)申请人 山石网科通信技 术股份有限公司 地址 215000 江苏省苏州市高新区景润路 181号 (72)发明人 张作涛　刘爽　 (74)专利代理 机构 北京超凡宏宇专利代理事务 所(特殊普通 合伙) 11463 代理人 杨奇松 (51)Int.Cl. H04L 9/40(2022.01) G06F 16/901(2019.01) G06F 16/903(2019.01) (54)发明名称 一种安全策略的匹配方法及装置、 存 储介质 (57)摘要 本申请提供一种安全策略的匹配方法及装 置、 存储介质。 匹配方法包括： 获取待匹配流量； 确定待匹配流量对应的端口服务信息和非端口 服务信息； 将待匹配流量对应的端口服务信息与 预设的多个第一安全策略中的端口服务信息进 行匹配， 判断是否存在匹配第一安全策略； 不同 的第一安全 策略中的端口服务信息不相同， 且不 具有关联关系； 若存在匹配第一安全策略， 判断 待匹配流量对应的非端口服务信息与匹配第一 安全策略的非端口服务信息是否一致； 若待匹配 流量对应的非端口服务信息与匹配第一安全策 略的非端口服务信息一致， 确定匹配第一安全策 略为待匹配流量对应的安全策略。 该匹配方法所 支持的安全策略数量能够达 到百万级别。 权利要求书2页 说明书12页 附图4页 CN 114301686 A 2022.04.08 CN 114301686 A 1.一种安全策略的匹配方法， 其特 征在于， 包括： 获取待匹配流 量； 确定所述待匹配流 量对应的端口服 务信息和非端口服 务信息； 将所述待匹配流量对应的端口服务信息与预设的多个第一安全策略中的端口服务信 息进行匹配， 判断是否存在 匹配第一安全策略； 所述匹配第一安全策略中的端口服务信息 与所述待匹配流量对应的端口服务信息一致， 不同的第一安全策略中的端口服务信息不相 同， 且不具有关联关系； 若存在匹配第 一安全策略， 判断所述待匹配流量对应的非端口服务信 息与所述匹配第 一安全策略的非端口服 务信息是否一 致； 若所述待匹配流量对应的非端口服务信息与所述匹配第一安全策略的非端口服务信 息一致， 确定所述匹配第一 安全策略为所述待匹配流 量对应的安全策略。 2.根据权利要求1所述的匹配方法， 其特 征在于， 所述匹配方法还 包括： 若不存在匹配第 一安全策略， 将所述待匹配流量对应的端口服务信 息和非端口服务信 息与预设的多个第二安全策略进行匹配， 判断是否存在匹配第二安全策略； 所述多个第二 安全策略中包括多 项策略信息， 不同的第二 安全策略中的策略信息之间具有关联关系； 若存在匹配第 二安全策略， 确定所述匹配第 二安全策略为所述待 匹配流量对应的安全 策略。 3.根据权利要求1所述的匹配方法， 其特 征在于， 所述匹配方法还 包括： 若所述待匹配流量对应的非端口服务信息与所述匹配第一安全策略的非端口服务信 息不一致， 将所述待匹配流量对应的端口服务信息和非端口服务信息与预设的多个第二安 全策略进行匹配， 判断是否存在 匹配第二安全策略； 所述多个第二安全策略中包括多项策 略信息， 不同的第二 安全策略中的策略信息之间具有关联关系； 若存在匹配第 二安全策略， 确定所述匹配第 二安全策略为所述待 匹配流量对应的安全 策略。 4.根据权利要求1所述的匹配方法， 其特征在于， 所述端口服务信息包括： 目的IP地址、 目的端口和协议； 所述非端口服 务信息包括： 源安全域、 源IP地址、 目的安全域。 5.根据权利要求1所述的匹配方法， 其特 征在于， 所述匹配方法还 包括： 接收配置请求； 所述配置请求中包括： 待配置第 一安全策略， 所述待配置第 一安全策略 包括： 待配置端口服 务信息和待配置非端口服 务信息； 判断所述待配置端口服 务信息是否为所述多个第一 安全策略中的端口服 务信息； 若所述待配置端口服务信 息不是所述多个第 一安全策略中的端口服务信 息， 根据所述 待配置第一 安全策略更新所述预设的多个第一 安全策略。 6.根据权利要求5所述的匹配方法， 其特 征在于， 所述匹配方法还 包括： 若所述待配置端口服务信 息是所述多个第 一安全策略中的端口服务信 息， 判断所述待 配置非端口服务信息是否与所述待配置端口服务信息在所述多个第一安全策略中对应的 非端口服 务信息一 致； 若所述待配置非端口服务信息与所述待配置端口服务信息在所述多个第一安全策略 中对应的非端口服务信息不一致， 根据所述待配置第一安全策略更新所述预设的多个第一 安全策略。权　利　要　求　书 1/2 页 2 CN 114301686 A 27.根据权利要求5所述的匹配方法， 其特 征在于， 所述匹配方法还 包括： 若所述待配置非端口服务信 息与对应的非端口服务信 息一致， 输出用于指示配置失败 的提示信息。 8.根据权利要求1所述的匹配方法， 其特征在于， 所述预设的多个第 一安全策略中还包 括： 流量的操作方式， 所述操作方式包括： 允许和禁止； 所述待匹配流量对应的安全策略用 于指示对所述待匹配流 量执行允许操作或者禁止操作。 9.一种安全策略的匹配装置， 其特 征在于， 包括： 获取模块， 用于获取待匹配流 量； 处理模块， 用于： 确定所述待匹配流 量对应的端口服 务信息和非端口服 务信息； 将所述待匹配流量对应的端口服务信息与预设的多个第一安全策略中的端口服务信 息进行匹配， 判断是否存在 匹配第一安全策略； 所述匹配第一安全策略中的端口服务信息 与所述待匹配流量对应的端口服务信息一致， 不同的第一安全策略中的端口服务信息不相 同， 且不具有关联关系； 若存在匹配第 一安全策略， 判断所述待匹配流量对应的非端口服务信 息与所述匹配第 一安全策略的非端口服 务信息是否一 致； 若所述待匹配流量对应的非端口服务信息与所述匹配第一安全策略的非端口服务信 息一致， 确定所述匹配第一 安全策略为所述待匹配流 量对应的安全策略。 10.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质上存储有计算机 程序， 所述计算机程序被计算机运行时， 执行如权利要求 1‑8任一项所述的安全 策略的匹配 方法。权　利　要　求　书 2/2 页 3 CN 114301686 A 3