快速匹配之对象(附C++代码)

已于 2024-07-11 21:53:31 修改
阅读量1.5k 收藏 32
点赞数 36
分类专栏: 对象加速 文章标签: 安全 算法
于 2024-05-02 12:16:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yuewguo/article/details/138388987
版权
本文探讨了现代防火墙中如何通过快速匹配算法提高安全策略的性能,包括正确性、高效性和实时性。作者构建了用户-策略映射表,并提供了C源代码示例。实测显示,即使面对大量策略,映射表构建时间也在1秒内,且能处理配置变化。
摘要由CSDN通过智能技术生成

一、背景介绍

在现代防火墙中,可能存在着海量的安全策略,传统逐个策略检查不再能满足高性能方面的需求。本文提出一种快速匹配算法提升安全策略之匹配性能,这种算法需要解决如下问题:

  • 正确性:功能与逐个策略检查结果一致;
  • 高效性:匹配性能不能随配置量增加而明显降低;
  • 实时性:配置变更后需要立刻生效;

安全策略之过滤条件大体分为 地址类、端口类、对象类,我们分别进行探讨,给出快速匹配机制,并尝试完成代码实现(CentOS C++)。理论上,同等 C 代码实现能做到更优性能,但由于业时间有限而选用 C/C++混合编码则是一种折中。另外,受个人水平所限,文章观点未必是此问题之最优解,思路和代码也难免存在错误或纰漏,如有可供参考之处不胜荣幸。本文先从对象类快速匹配机制开始探讨。

二、问题描述

讨论对象快速匹配之前,以用户为例,假设我们的防火墙上存在如下配置:

策略名称优先级IP 端口用户动作
POLICY1 1192.168.1.0/2480USER1permit
POLICY22192.168.1.0/2422USER2,USER3deny
POLICY33192.168.1.0/2423USER2,USER5permit
...
POLICY999999192.168.1.0/24443USER1,USER999permit
POLICY10001000192.168.1.0/248080ANYdeny

说明:每个USER有唯一ID,本文需要解决的问题就是:如何根据 ID 快速找到所有匹配指定USER的安全策略。关于用户身份如何识别,地址、端口快速匹配以及多种匹配条件如何协作,我们会在后面单独探讨,不在本文之讨论范围。

针对上述配置,我们设法得到如下的“用户-策略“映射表:

策略匹配列表代号
USER-1POLICY1 ,POLICY999,POLICY1000USER-1-MATCH-LIST
USER-2POLICY2,POLICY3,POLICY1000USER-2-MATCH-LIST
USER-3POLICY2,POLICY1000USER-3-MATCH-LIST
...
USER-999POLICY999,POLICY1000USER-999-MATCH-LIST
USER-1000POLICY1000USER-1000-MATCH-LIST

三、构建“用户-策略“映射表

我们对策略的用户配置情况做如下三种分类:

策略的用户配置情况策略别名
1策略中未配置用户NONE-USER-POLICY
2策略中配置ANY用户ANY-USER-POLICY
3策略中配置正常用户XXX-USER-POLICY

我们很容易想到建立一个哈希来表示,以用户ID为KEY,以策略匹配列表为VALUE。我们只需要遍历所有配置便很容易构建出如下的“用户-策略”映射表:

用户策略匹配列表
NONE-USERNONE-USER-MATCH-LIST
ANY-USERANY-USER-MATCH-LIST
USER-1USER-1-MATCH-LIST
USER-2USER-2-MATCH-LIST
USER-3USER-3-MATCH-LIST
...
USER-999USER-999-MATCH-LIST
USER-1000USER-1000-MATCH-LIST

由于ANY-USER包含了任意用户,对于USER-1来说,我们将ANY-USER-MATCH-LIST和USER-1-MATCH-LIST之和,即为USER-1最终的策略匹配结果。

四、用户匹配过程

用户匹配过程,如下图所示:

ANY-MATCH和USERX-MATCH的规则按优先级从高到低排序,分别取第一个策略比较优先级即为最终结果。

五、配置变化

从100万策略实测情况来看,构建映射表时间在1秒以内,暂时还不需要引入增量加速。

六、C源代码

链接:https://pan.baidu.com/s/1XTaaLUxQMrPGTvfamff4Ug 
提取码:pzzf

漫跑者也
关注
专栏目录
串的模式匹配BF算法C/C++代码实现
Ycy的博客
06-05 5498
串: 串是一种内容受限的线性表。 与线性表基本操作不同的是,串是以“串的整体”作为操作对象的。 考虑到存储效率和算法的方便性, 串多采用顺序存储结构。 BF算法算法思想简明,从始位置开始逐一匹配匹配成功继续下一个,若失败则回溯: 主串的指针i总是回溯到 i-j+2 位置, 模式串的指针总是恢复到首字符位置 j= 1 代码如下: ( 为了方便说明问题,算法描述当中所用到的顺序存储的字符串都是从下标为1的数组分量开始存储的, 下标为0的分量闲置不用) #include<stdio.h> #
SIFT 算法 C++ 代码实现(非常实用)
01-07
本工程提供的C++代码实现了SIFT算法,具备以下关键步骤: 1. **尺度空间极值检测**:SIFT算法首先通过高斯差分金字塔来构建尺度空间,寻找不同尺度下的局部极值点,这些点在不同尺度下都保持稳定,被认为是潜在的...
C++——函数匹配机制
JAN6055的博客
02-09 1474
C++函数匹配机制和一些演示
C++面向对象程序设计》✍千处细节、万字总结(建议收藏)
热门推荐
像写诗一样优雅地写代码~
06-04 67万+
C++面向对象程序设计》✍千处细节、万字总结 文章目录《C++面向对象程序设计》✍千处细节、万字总结一、面向对象程序设计二、C++基础2.1 C++的产生和特点2.2 一个简单的C++示例程序2.3 C++在非面向对象方面对C语言的扩充输入和输出cinconst修饰符void型指针内联函数带有默认参数值的函数函数重载作用域标识符"::"强制类型转换new和delete运算符引用三、类和对象(一)3.1 类的构成3.2 成员函数的定义3.3 对象的定义和使用3.4 构造函数与析构函数构造函数成员初始化列表
C++ 代码整洁之道
汉阳Hann's Home
03-11 2360
整洁的代码在团队中无疑是很受欢迎的,可以高效的被其它成员理解和维护,本文参考《C++代码整洁之道》和《Google C++编码规范》,结合自己的一些想法整理如下: C++本身作为面向对象语言,首先介绍下面向对象一般涉及到的开发原则。 一、面向对象开发原则 1、依赖倒置原则: 针对接口编程,依赖于抽象而不依赖于具体,抽象(稳定)不应依赖于实现细节(变化),实现细节应该依赖于抽象,因为稳定态如果依赖于变化态则会变成不稳定态。 2、开放封闭原则: 对扩展开放,对修改关闭,业务需求是不...
C++继承大全(代码
m0_46217142的博客
08-12 2421
C++的继承关系 专业术语: 父类(基类) 子类(派生类) 实验1: 定义一个父类, 子类用pubilc继承父类;外部(如main函数),外部实例化子类对象时只能访问里面的public的成员 如果是private或者protected方式去继承父类,那么父类里面的成员的不能访问; class father//父类 { public: int a; private: int b;在这里插入代码片 protected: int c; father(); }; class son:public fa.
C++11 正则表达式匹配
小立仔
07-27 1721
C++11 正则表达式匹配的用法
面向对象程序(C++)设计基础
铁路十六宿舍的博客
02-12 1819
本文由浅入深的对面向对象语言涉及的概念进行了详解,以C++给读者针对重要的概念举例,帮助读者能够快速实现从过程语言(c)到面向对象语言的编程思路转换。
C++对象指针
m0_74786185的博客
10-28 1652
每个对象中的数据成员都分别占有存储空间,如果对同一个类定义了n个对象,则有n组同样大小的空间以存放n个对象中的数据成员。那么,当不同对象的成员函数引用数据成员时,怎么能保证引用的是所指定的对象的成员呢?注意:成员函数不是存放在对象的空间中的,而是存放在对象外的空间中的。对象有地址,存放对象的起始地址的指针变量就是指向对象的指针变量。对象中的成员也有地址,存放对象成员地址的指针变量就是指向对象成员的指针变量。定义指向对象成员函数的指针变量的方法和定义指向普通函数的指针变量方法有所不同。
从C语言快速过渡到C++
CMtotoe的博客
01-22 4561
帮助学会C语言的同学快速过渡到C++
C++“超级玛丽”游戏的源代码c++代码
05-29
1. **面向对象编程**:C++的核心特性之一是支持面向对象编程(OOP)。在这个项目中,可以创建不同的类来代表游戏中的角色(如马里奥、怪物、砖块等),每个类包含相关的属性(如位置、速度、生命值)和行为(如移动...
匹配图像C++代码
08-14
总的来说,匹配图像的C++代码实现涉及图像读取、特征检测与匹配、图像变换和增强等多个环节,都需要深入理解和熟练掌握OpenCV库的相关函数。通过实践和优化,我们可以构建出高效稳定的图像处理系统。
Android应用源码之代码调用C++代码C++代码调用代码-IT计算机-毕业设计.zip
04-06
本项目“Android应用源码之代码调用C++代码C++代码调用代码”是针对这种需求的一个学习示例,适合计算机科学与技术专业的学生进行毕业设计或论文研究。下面将详细讲解这个主题涉及的知识点。 1. **JNI(Java ...
禁用微软的windos安全中心
最新发布
qq_54523516的博客
10-12 671
描述:下载第三方软件常常会收到病毒防护秒杀,第2---提前下载在U盘解压会被干掉程序文件。第3---运行的时候报错,被干掉运行文件。选择禁用windows defender。打开WDControl 1.5.0软件。打开windows安全中心。第1---直接无法下载。
域1:安全与风险管理 第2章-人员安全与风险管理
rm -rf /*
10-12 930
风险管理过程包括识别可能造成数据损坏或泄漏的因素,根据数据价值和控制措施的成本评估这些因素,并实施具有成本效益的解决方案来减轻或者降低风险。通过执行风险管理,为全面降低风险奠定基础。
如何选择安全的谷歌浏览器插件
2403_86768603的博客
10-12 535
在数字时代,浏览器插件为我们提供了极大的便利,增强了我们的浏览体验。然而,随着便利性的增加,安全性问题也日益凸显。以下是详细的教程,帮助你选择和使用安全的谷歌浏览器插件。在安装任何插件之前,查看其开发者信息,包括开发者的名称、网站以及其他用户的评价。一个仅仅提供网页高亮功能的插件请求访问你的联系人列表显然是不合理的。记住,保护个人信息的安全是一场持久战,需要我们持续的关注和努力。最后,安装可靠的安全软件可以帮助防止恶意软件和病毒的入侵。确保这些密码的安全性,避免使用简单或重复的密码。
探索光耦:光耦助力高速电吹风安全与性能的革命性提升
forvevr的博客
10-10 485
一旦电吹风内部温度过高或电路出现故障,光耦能够迅速传递故障信号至控制器,触发自动保护机制,切断电源,从而防止元器件损坏,延长电吹风的使用寿命。综上所述,选择搭载光耦技术的高速电吹风,不仅意味着为头发护理带来了更健康、智能的解决方案,更是对安全性和耐用性的有力保障。这一利用光信号实现电气隔离的电子元件,通过独特的非接触式传输方式,有效隔绝了电路的电气联系,从而显著提高了设备的安全性,避免了高压电路可能带来的风险。其中,光耦(光电耦合器)的引入,无疑为电吹风的性能优化与安全保障开辟了新路径。
企业内部文档安全外发如何挑选合适的外发系统?
镭速的博客
10-12 612
镭速技术已成功帮助多家企业实现文档安全外发管理,如在B2B模式下,通过镭速技术,企业可以构建一个安全、高效、可控的文档外发管理体系,从而在激烈的市场竞争中占据优势。然而,如何在保证信息安全的同时实现高效、便捷的文档外发,成为了一个不小的挑战。:镭速技术已成功帮助多家企业实现文档安全外发管理,如在B2B模式下,通过镭速技术,企业可以构建一个安全、高效、可控的文档外发管理体系,从而在激烈的市场竞争中占据优势。:通过多层次的安全机制,如数据传输全程加密、审批流程、传输日志记录等,确保文档在传输过程中的安全性。
网络安全的全面指南
qq_42568323的博客
10-09 1165
网络安全是指保护计算机网络及其数据免受未经授权访问、攻击或破坏的过程。其目标是确保信息的机密性、完整性和可用性。
立体匹配算法c++代码
06-07
以下是一个基于 OpenCV 的 C++ 代码示例,用于实现基于 BM 算法的立体匹配: ```c++ #include using namespace cv; int main() { // 读取左右两幅图像 Mat imgL = imread("left.png", IMREAD_GRAYSCALE); Mat...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值