策略管理方法、电子设备、可读介质、程序产品与流程

本公开涉及网络安全，特别涉及一种策略管理方法、一种电子设备、一种计算机可读介质、一种计算机程序产品。

背景技术：

1、反向代理是指以代理服务器来接受来自互联网中客户端的连接请求，然后将连接请求转发给内部网络中的服务器，并将来自服务器的结果通过互联网返回给请求连接的客户端，此时代理服务器对外就表现为一个反向代理服务器。

2、基于反向代理技术的网络安全设备须为服务器提供安全保障，同时，为了提升适用性，需要网络安全设备支持基于范围ip的反向代理。范围ip通常是指ip地址范围，由网络中一系列连续的ip地址组成。基于范围ip进行反向代理时，网络安全设备的访问控制功能需要将数据包的ip地址与反向代理策略对应的范围ip进行匹配，若匹配成功则允许数据包继续传输，若匹配失败则阻断数据包传输。

3、但是，基于范围ip进行反向代理匹配时，可能导致网络安全检查的性能下降。

技术实现思路

1、本公开实施例提供一种策略管理方法、一种电子设备、一种计算机可读介质、一种计算机程序产品。

2、第一方面，本公开实施例提供一种策略管理方法，包括：计算反向代理策略的策略id的哈希值，以所述策略id的哈希值为关键字将所述反向代理策略的策略信息存储在id哈希表的id策略节点中；计算所述反向代理策略对应的ip的哈希值，以所述ip的哈希值为关键字将所述id策略节点的指针存储在ip哈希表的ip策略节点中；当接收到数据包时，计算所述数据包的ip的哈希值，以所述数据包的ip的哈希值为关键字，在所述ip哈希表中匹配ip策略节点；根据匹配到的ip策略节点中存储的id策略节点的指针，在所述id哈希表中匹配id策略节点。

3、在一些实施例中，计算所述反向代理策略对应的ip的哈希值，以所述ip的哈希值为关键字将所述id策略节点的指针存储在ip哈希表的ip策略节点中，包括：在所述反向代理策略对应的ip为非范围ip的情况下，计算所述非范围ip的哈希值，以所述非范围ip的哈希值为关键字将所述id策略节点的指针存储在ip哈希表的ip策略节点中；在所述反向代理策略对应的ip为范围ip的情况下，计算所述范围ip内各个ip的哈希值，分别以所述范围ip内的各个ip的哈希值为关键字将所述id策略节点的指针存储在ip哈希表的ip策略节点中。

4、在一些实施例中，以所述ip的哈希值为关键字将所述id策略节点的指针存储在ip哈希表的ip策略节点中，包括：在所述反向代理策略对应的ip为非范围ip的情况下，为所述ip策略节点添加单一策略标识；在所述反向代理策略对应的ip为范围ip的情况下，为所述范围ip内的首个ip对应的ip策略节点添加主策略标识，为所述范围ip内的非首个ip对应的ip策略节点添加辅策略标识。

5、在一些实施例中，在以所述ip的哈希值为关键字将所述id策略节点的指针存储在ip哈希表的ip策略节点中之后，还包括：将所述ip策略节点的指针链接到对应的所述id策略节点。

6、在一些实施例中，将所述ip策略节点的指针链接到对应的所述id策略节点，包括：在所述反向代理策略对应的ip为范围ip的情况下，使用链表存储所述范围ip内各个ip对应的ip策略节点的指针。

7、在一些实施例中，所述策略管理方法还包括：响应于删除反向代理策略的指令，根据待删除的反向代理策略的策略id在所述id哈希表中查找待删除的反向代理策略对应的id策略节点；根据待删除的反向代理策略对应的id策略节点中存储的ip策略节点的指针，删除所述ip哈希表中待删除的反向代理策略对应的ip策略节点；删除所述id哈希表中待删除的反向代理策略对应的id策略节点。

8、在一些实施例中，所述策略管理方法还包括：响应于修改反向代理策略的指令，根据待修改的反向代理策略的策略id在所述id哈希表中查找待修改的反向代理策略对应的id策略节点；根据待修改的反向代理策略对应的id策略节点中存储的ip策略节点的指针，删除所述ip哈希表中待修改的反向代理策略对应的ip策略节点；删除所述id哈希表中待修改的反向代理策略对应的id策略节点；添加修改后的反向代理策略。

9、在一些实施例中，根据匹配到的ip策略节点中存储的id策略节点的指针，在所述id哈希表中匹配id策略节点，包括：根据匹配到的ip策略节点中存储的id策略节点的指针，在所述id哈希表中匹配id策略节点；将所述数据包的ip和端口与匹配到的id策略节点中存储的策略信息进行匹配；在所述数据包的ip和端口与匹配到的策略信息均匹配成功的情况下，根据匹配到的策略信息执行反向代理；在所述数据包的ip和端口至少一者与匹配到的策略信息匹配失败的情况下，阻断所述数据包。

10、在一些实施例中，所述策略管理方法还包括：以所述数据包的ip的哈希值为关键字，在所述ip哈希表中匹配ip策略节点；在未匹配到ip策略节点的情况下，阻断所述数据包。

11、第二方面，本公开实施例提供一种电子设备，包括：一个或多个处理器；存储器，其上存储有一个或多个程序，当所述一个或多个程序被所述一个或多个处理器执行，使得所述一个或多个处理器实现本公开实施例第一方面所述的策略管理方法。

12、第三方面，本公开实施例提供一种计算机可读介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现本公开实施例第一方面所述的策略管理方法。

13、第四方面，本公开实施例提供一种计算机程序产品，包括计算机程序或指令，所述计算机程序或指令被处理器执行时实现本公开实施例第一方面所述的策略管理方法。

14、在本公开实施例中，将反向代理策略存储在id哈希表和ip哈希表中，对非范围ip策略和范围ip策略进行统一管理，在哈希表中基于哈希值进行匹配，能够提高匹配效率，有利于提升基于反向代理的网络安全设备的访问控制性能和网络安全检查的性能。

技术特征：

1.一种策略管理方法，包括：

2.根据权利要求1所述的策略管理方法，其中，计算所述反向代理策略对应的ip的哈希值，以所述ip的哈希值为关键字将所述id策略节点的指针存储在ip哈希表的ip策略节点中，包括：

3.根据权利要求2所述的策略管理方法，其中，以所述ip的哈希值为关键字将所述id策略节点的指针存储在ip哈希表的ip策略节点中，包括：

4.根据权利要求3所述的策略管理方法，其中，在以所述ip的哈希值为关键字将所述id策略节点的指针存储在ip哈希表的ip策略节点中之后，还包括：

5.根据权利要求4所述的策略管理方法，其中，将所述ip策略节点的指针链接到对应的所述id策略节点，包括：

6.根据权利要求4所述的策略管理方法，其中，所述策略管理方法还包括：

7.根据权利要求4所述的策略管理方法，其中，所述策略管理方法还包括：

8.根据权利要求1至7中任意一项所述的策略管理方法，其中，根据匹配到的ip策略节点中存储的id策略节点的指针，在所述id哈希表中匹配id策略节点，包括：

9.根据权利要求1至7中任意一项所述的策略管理方法，其中，所述策略管理方法还包括：

10.一种电子设备，包括：

11.一种计算机可读介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现根据权利要求1至9中任意一项所述的策略管理方法。

12.一种计算机程序产品，包括计算机程序或指令，所述计算机程序或指令被处理器执行时实现根据权利要求1至9中任意一项所述的策略管理方法。

技术总结本公开提供一种策略管理方法，包括：计算反向代理策略的策略ID的哈希值，以策略ID的哈希值为关键字将反向代理策略的策略信息存储在ID哈希表的ID策略节点中；计算反向代理策略对应的IP的哈希值，以IP的哈希值为关键字将ID策略节点的指针存储在IP哈希表的IP策略节点中；当接收到数据包时，计算数据包的IP的哈希值，以数据包的IP的哈希值为关键字，在IP哈希表中匹配IP策略节点；根据匹配到的IP策略节点中存储的ID策略节点的指针，在ID哈希表中匹配ID策略节点。本公开还提供一种电子设备、一种计算机可读介质、一种计算机程序产品。本公开提高了反向代理策略匹配的效率，有利于提升基于反向代理技术的访问控制性能。技术研发人员：董俊韦,李仁江受保护的技术使用者：北京天融信网络安全技术有限公司技术研发日：技术公布日：2024/12/2