CN106657035A - 一种网络报文传输方法及装置 - Google Patents
一种网络报文传输方法及装置 Download PDFInfo
- Publication number
- CN106657035A CN106657035A CN201611109940.XA CN201611109940A CN106657035A CN 106657035 A CN106657035 A CN 106657035A CN 201611109940 A CN201611109940 A CN 201611109940A CN 106657035 A CN106657035 A CN 106657035A
- Authority
- CN
- China
- Prior art keywords
- address information
- network node
- node address
- network
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Technology Law (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明实施例提供了一种网络报文传输方法及装置,应用于网络安全技术领域,所述方法包括:获取第一网络节点发送的第一网络报文;将第一网络节点地址信息转换为虚拟第一网络节点地址信息,将第二网络节点地址信息转换为本地第二网络节点地址信息,在转换后的第一网络报文通过安全分析检测后,将虚拟第一网络节点地址信息转换为本地第一网络节点地址信息,将本地第二网络节点地址信息转换为虚拟第二网络节点地址信息,得到第二网络报文;将本地第一网络节点地址信息转换为第一网络节点地址信息,将虚拟第二网络节点地址信息转换为第二网络节点地址信息,将转换后的第二网络报文发送至第二网络节点。本发明实现了WAF设备的透明化。
Description
技术领域
本发明涉及网络安全技术领域,特别是涉及一种网络报文传输方法及装置。
背景技术
WAF(web Application Firewall,网站应用防火墙),是一种全新的信息安全产品模式,可以对网站实施安全防护。
图1为现有技术中采用WAF设备实现客户端访问网站的示意图,如图1所示,WAF设备一般都采用反向代理的机制实现对网站的安全防护。具体的,当客户端通过域名访问WEB服务器时,DNS(Domain Name Server,域名服务器)将域名解析为WAF设备的地址信息,那么,客户端向对应的WAF设备发送HTTP(Hyper Text Transfer Protocol,超文本传输协议)报文的目的地址信息为WAF设备的地址信息,以使WAF设备可以接收到该HTTP报文并对该HTTP报文进行安全检测。当检测到该HTTP报文安全后,则WAF设备通过反向代理功能将HTTP报文转发至域名对应的WEB服务器上面,以实现客户端对WEB服务器的访问;当检测到该HTTP报文存在安全隐患后,则WAF设备直接将HTTP报文屏蔽。通过上述反向代理方法,客户端无法直接访问真正的WEB服务器,从而避免了非法HTTP报文对WEB服务器的攻击,有效地保护了WEB服务器。
但根据上述方法,客户端访问WEB服务器的过程中,一方面,由于WAF设备工作在反向代理模式下,客户端侧直接访问WAF设备的地址,服务器侧只能看到来自WAF设备的地址的访问,客户端与服务器互相均不可见。当WAF设备不在网时,无法通过WAF设备将客户端的报文通过反向代理功能转发给WEB服务器,从而,导致客户端无法访问WEB服务器。另一方面,在客户端访问WEB服务器中的网站的过程中,对外呈现的为WAF设备的地址信息,易导致黑客通过WAF设备的地址信息对WAF设备进行攻击,降低了WAF设备的安全性。
发明内容
本发明实施例的目的在于提供一种网络报文传输方法及装置,以实现WAF设备的透明化,提高WAF设备的安全性。具体技术方案如下:
本发明实施例公开了一种网络报文传输方法,包括:
获取第一网络节点发送的第一网络报文,其中,所述第一网络报文的目的地址信息为第二网络节点地址信息,所述第一网络报文的源地址信息为第一网络节点地址信息;
将所述第一网络报文中的所述第二网络节点地址信息转换为本地第二网络节点地址信息,得到转换后的第一网络报文;
对所述转换后的第一网络报文进行安全分析检测,在所述转换后的第一网络报文通过安全检测后,将所述转换后的第一网络报文中的第一网络节点地址信息转换为本地第一网络节点地址信息,将所述转换后的第一网络报文中的本地第二网络节点地址信息转换为第二网络节点地址信息,得到第二网络报文;
将所述第二网络报文中的所述本地第一网络节点地址信息转换为所述第一网络节点地址信息,并将转换后的第二网络报文发送至所述第二网络节点,其中,所述转换后的第二网络报文的目的地址信息为第二网络节点地址信息,所述转换后的第二网络报文的源地址信息为第一网络节点地址信息。
本发明实施例还公开了一种网络报文传输方法,包括:
获取第一网络节点发送的第一网络报文,其中,所述第一网络报文的目的地址信息为第二网络节点地址信息,所述第一网络报文的源地址信息为第一网络节点地址信息;
将所述第一网络报文中的所述第一网络节点地址信息转换为虚拟第一网络节点地址信息,将所述第一网络报文中的所述第二网络节点地址信息转换为本地第二网络节点地址信息,得到转换后的第一网络报文,其中,所述本地第二网络节点地址信息与所述虚拟第一网络节点地址信息位于同一个网段;
对所述转换后的第一网络报文进行安全分析检测,在所述转换后的第一网络报文通过安全检测后,将所述转换后的第一网络报文中的虚拟第一网络节点地址信息转换为本地第一网络节点地址信息,将所述转换后的第一网络报文中的本地第二网络节点地址信息转换为虚拟第二网络节点地址信息,得到第二网络报文;
将所述第二网络报文中的所述本地第一网络节点地址信息转换为所述第一网络节点地址信息,将所述第二网络报文中的虚拟第二网络节点地址信息转换为第二网络节点地址信息,并将转换后的第二网络报文发送至所述第二网络节点,其中,所述转换后的第二网络报文的目的地址信息为第二网络节点地址信息,所述转换后的第二网络报文的源地址信息为第一网络节点地址信息。
可选的,所述将所述第一网络报文中的所述第一网络节点地址信息转换为虚拟第一网络节点地址信息,将所述第一网络报文中的所述第二网络节点地址信息转换为本地第二网络节点地址信息,包括:
根据所述第一网络节点地址信息和所述第二网络节点地址信息的对应关系,通过查询地址信息转换关系表,将所述第一网络节点地址信息转换为所述虚拟第一网络节点地址信息,将所述第二网络节点地址信息转换为所述本地第二网络节点地址信息;
所述将所述第二网络报文中的所述本地第一网络节点地址信息转换为所述第一网络节点地址信息,将所述第二网络报文中的虚拟第二网络节点地址信息转换为第二网络节点地址信息,包括:
根据所述本地第一网络节点地址信息和所述虚拟第二网络节点地址信息的对应关系,通过查询所述地址信息转换关系表,将所述本地第一网络节点地址信息转换为所述第一网络节点地址信息,将所述虚拟第二网络节点地址信息转换为所述第二网络节点地址信息;
其中,所述地址信息转换关系表中保存所述第一网络节点地址信息、所述第二网络节点地址信息,以及所述第一网络节点地址信息和第二网络节点地址信息同时对应的所述虚拟第一网络节点地址信息、所述本地第一网络节点地址信息、所述本地第二网络节点地址信息、所述虚拟第二网络节点地址信息。
可选的,在所述获取第一网络节点发送的第一网络报文,之后,所述网络报文传输方法还包括:
当判断所述地址信息转换关系表中不存在所述第一网络节点地址信息和所述第二网络节点地址信息同时对应的所述本地第一网络节点地址信息、所述本地第二网络节点地址信息、所述虚拟第一网络节点地址信息、所述虚拟第二网络节点地址信息时,在预设转换范围内,确定所述第一网络节点地址信息和第二网络节点地址信息同时对应的所述虚拟第一网络节点地址信息、所述本地第一网络节点地址信息、所述本地第二网络节点地址信息、所述虚拟第二网络节点地址信息;
保存所述第一网络节点地址信息、所述第二网络节点地址信息,以及所述第一网络节点地址信息和第二网络节点地址信息同时对应的所述虚拟第一网络节点地址信息、所述本地第一网络节点地址信息、所述本地第二网络节点地址信息、所述虚拟第二网络节点地址信息,以形成所述地址信息转换关系表。
本发明实施例公开了一种转换装置,包括:
获取模块,用于获取第一网络节点发送的第一网络报文,其中,所述第一网络报文的目的地址信息为第二网络节点地址信息,所述第一网络报文的源地址信息为第一网络节点地址信息;
第一转换模块,用于将所述第一网络报文中的所述第一网络节点地址信息转换为虚拟第一网络节点地址信息,将所述第一网络报文中的所述第二网络节点地址信息转换为本地第二网络节点地址信息,得到转换后的第一网络报文,其中,所述本地第二网络节点地址信息与所述虚拟第一网络节点地址信息位于同一个网段;
发送模块,用于将所述转换后的第一网络报文发送给基于反向代理功能的WAF设备;
接收模块,用于接收所述WAF设备发送的第二网络报文;
第二转换模块,用于将所述第二网络报文中的本地第一网络节点地址信息转换为所述第一网络节点地址信息,将所述第二网络报文中的虚拟第二网络节点地址信息转换为所述第二网络节点地址信息;
所述发送模块,还用于将转换后的第二网络报文发送至所述第二网络节点,其中,所述转换后的第二网络报文的目的地址信息为第二网络节点地址信息,所述转换后的第二网络报文的源地址信息为第一网络节点地址信息。
本发明实施例公开了一种网络报文传输装置,包括:
网络报文获取模块,用于获取第一网络节点发送的第一网络报文,其中,所述第一网络报文的目的地址信息为第二网络节点地址信息,所述第一网络报文的源地址信息为第一网络节点地址信息;
第一转换模块,用于将所述第一网络报文中的所述第二网络节点地址信息转换为本地第二网络节点地址信息,得到转换后的第一网络报文;
安全检测及反向代理模块,用于对所述转换后的第一网络报文进行安全分析检测,在所述转换后的第一网络报文通过安全检测后,将所述转换后的第一网络报文中的第一网络节点地址信息转换为本地第一网络节点地址信息,将所述转换后的第一网络报文中的本地第二网络节点地址信息转换为第二网络节点地址信息,得到第二网络报文;
第二转换模块,用于将所述第二网络报文中的所述本地第一网络节点地址信息转换为所述第一网络节点地址信息,其中,所述转换后的第二网络报文的目的地址信息为第二网络节点地址信息,所述转换后的第二网络报文的源地址信息为第一网络节点地址信息;
发送模块,用于将转换后的第二网络报文发送至所述第二网络节点。
本发明实施例还公开了一种网络报文传输装置,包括:
网络报文获取模块,用于获取第一网络节点发送的第一网络报文,其中,所述第一网络报文的目的地址信息为第二网络节点地址信息,所述第一网络报文的源地址信息为第一网络节点地址信息;
第一转换模块,用于将所述第一网络报文中的所述第一网络节点地址信息转换为虚拟第一网络节点地址信息,将所述第一网络报文中的所述第二网络节点地址信息转换为本地第二网络节点地址信息,得到转换后的第一网络报文,其中,所述本地第二网络节点地址信息与所述虚拟第一网络节点地址信息位于同一个网段;
安全检测及反向代理模块,用于对所述转换后的第一网络报文进行安全分析检测,在所述转换后的第一网络报文通过安全检测后,将所述转换后的第一网络报文中的虚拟第一网络节点地址信息转换为本地第一网络节点地址信息,将所述转换后的第一网络报文中的本地第二网络节点地址信息转换为虚拟第二网络节点地址信息,得到第二网络报文;
第二转换模块,用于将所述第二网络报文中的所述本地第一网络节点地址信息转换为所述第一网络节点地址信息,将所述第二网络报文中的虚拟第二网络节点地址信息转换为第二网络节点地址信息,其中,所述转换后的第二网络报文的目的地址信息为第二网络节点地址信息,所述转换后的第二网络报文的源地址信息为第一网络节点地址信息;
发送模块,用于将转换后的第二网络报文发送至所述第二网络节点。
本发明实施例提供的网络报文传输方法及装置,在获取第一网络报文后,将第一网络报文中的第一网络节点地址信息和第二网络节点地址信息分别转换为虚拟第一网络节点地址信息和本地第二网络节点地址信息;在转换后的第一网络报文通过安全分析检测后得到第二网路报文,将第二网络报文中的本地第一网络节点地址信息和虚拟第二网络节点地址信息分别转换为第一网络节点地址信息和第二网络节点地址信息,并将转换后的第二网络报文发送至第二网络节点。可见,通过本地第一网络节点地址信息和本地第二网络节点地址信息来表示WAF设备的地址信息,防止黑客通过WAF设备的地址信息对WAF设备进行攻击,提高了WAF设备的安全性。而且,本发明实施例实现了WAF设备的透明化,使得WAF设备不在网时,不影响第一网络节点与第二网络节点之间的通信。当然,实施本发明的任一产品或方法必不一定需要同时达到以上所述的所有优点。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为现有技术中采用WAF设备实现客户端访问网站的示意图;
图2为本发明实施例的网络报文传输方法的一种流程图;
图3为本发明实施例的网络报文传输方法的另一种流程图;
图4为本发明实施例的地址信息对应关系图;
图5为本发明实施例的终端和WEB之间网络报文传输流程图;
图6为本发明实施例的转换装置的结构图;
图7为本发明实施例的网络报文传输装置的一种结构图;
图8为本发明实施例的网络报文传输装置的另一种结构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例公开了一种网络报文传输方法及装置,能够阻止黑客通过WAF设备的地址信息对WAF设备进行攻击。下面首先对本发明实施例的网络报文传输方法进行详细说明。
其中,云WAF是一种全新的信息安全产品模式,这种模式让用户不需要在自己的网络中安装软件程序或部署硬件设备,就可以对网站实施安全防护。例如:防SQL(StructuredQuery Language,结构化查询语言)注入、防XSS(Cross Site Scripting,跨站脚本)攻击、防DDOS(Distributed Denial of Service,分布式拒绝服务)攻击等,这些传统WAF上存在的功能,云WAF同样具备。之所以称之为云WAF,是因为云WAF所有的WAF功能都是通过云端提供的,而不需要在本地部署产品,实现这点主要利用的就是DNS技术。
可以理解的是,每个网站都有自己的域名,域名与WEB服务器的IP(InternetProtocol,互联网协议)地址相对应。当客户端浏览器通过域名访问网站时,首先会由网站指定的DNS服务器解析出域名所对应的WEB服务器的IP地址,这样客户端才能向服务器发起正常的访问请求,进而完成一次完整的HTTP会话。云WAF正是利用这项机制。通过让网站移交域名解析权的方式,实现对网站的安全防护。然而,基于反向代理实现的云WAF,对外呈现的为WAF设备的地址信息,易导致黑客通过WAF设备的地址信息对WAF设备进行攻击,降低了WAF设备的安全性。
本发明实施例可以提高WAF设备的安全性,并且,本发明实施例各步骤的执行主体可以为基于反向代理实现的WAF设备,当执行主体为基于反向代理实现的WAF设备时,需要在现有基于反向代理实现的WAF设备的基础上添加本发明实施例图6提供的转换装置,该转换装置可实现本发明实施例中S201、S202、S204、S301、S302和S304的功能。
另外,需要说明的是,图2实施例中的S201、S202和S204,以及图3实施例中的S301、S302和S304,也可以由本发明实施例提供的转换装置来执行,图2实施例中的S203和图3实施例中的S303由现有基于反向代理实现的WAF设备来执行。为了描述清楚,图2和图3对应实施例中,各步骤的执行主体为添加有转换装置的基于反向代理实现的WAF设备。
参见图2,图2为本发明实施例的网络报文传输方法的一种流程图,包括以下步骤:
S201,获取第一网络节点发送的第一网络报文,其中,第一网络报文的目的地址信息为第二网络节点地址信息,第一网络报文的源地址信息为第一网络节点地址信息。
本发明实施例中,第一网络节点为网络设备,例如客户端,相应地,第二网络节点则为网站服务器,例如WEB服务器;或者,第一网络节点为网站服务器,相应地,第二网络节点则为网络设备。
举例来说,有一种情况是,第一网络节点是客户端,则第二网络节点是WEB服务器。在这种情况下,WAF设备获取客户端发送的第一网络报文,具体的,客户端通过WEB服务器的域名向DNS服务器查询WEB服务器的IP地址,DNS将域名解析为WEB服务器的IP地址,客户端向WEB服务器发送HTTP请求报文,WAF设备获取客户端向WEB服务器发送的HTTP请求报文。其中,客户端向WEB服务器发送的HTTP请求报文的源地址为客户端的地址,该报文的目的地址为WEB服务器的地址。还有一种情况是,第一网络节点是WEB服务器,则第二网络节点是客户端。在这种情况下,WAF设备获取WEB服务器发送的第一网络报文,具体的,WEB服务器向客户端回复HTTP响应报文,WAF设备获取WEB服务器向客户端回复的HTTP响应报文,该HTTP响应报文中源地址为WEB服务器的地址,目的地址为客户端的地址。实际应用当中还有许多应用场景,在此不再一一赘述。
可以理解的是,网络报文是网络中交换与传输的数据单元,网络报文是在不同的网络节点之间进行传输的。该网络报文包含了将要发送的完整的数据信息,该数据信息包括:源地址信息和目的地址信息。本发明实施例中,第一网络报文的源地址信息为第一网络节点地址信息,目的地址信息为第二网络节点地址信息。其中,第一网络节点地址信息包括:第一网络节点的IP地址、第一网络报文对应的第一网络节点的端口号和第一网络节点的MAC(Media Access Control,介质访问控制)地址;第二网络节点地址信息包括:第二网络节点的IP地址、第一网络报文对应的第二网络节点的端口号和第二网络节点的MAC地址。
需要说明的是,WAF设备从外部获取的报文称为第一网络报文,WAF设备向外发出的报文均称为第二网络报文。下文将会对第二网络报文进行描述,这里不进行详细说明。
S202,将第一网络报文中的第二网络节点地址信息转换为本地第二网络节点地址信息,得到转换后的第一网络报文。
本发明实施例中,WAF设备获取的第一网络报文中目的地址为第二网络节点的地址信息,并不是WAF设备的地址。也就是说,第一网络节点访问的是第二网络节点,为了利用基于反向代理模式的WAF设备的安全检测功能和反向代理功能,先将第一网络报文转换成发送给WAF设备的报文,即,将第一网络报文中的第二网络节点地址信息转换为本地第二网络节点地址信息。需要说明的是,本地第二网络节点地址信息是转换后第一网络报文的WAF设备的地址信息,以使WAF设备接收第一网络报文。其中,本地第二网络节点地址信息包括:本地第二网络节点的IP地址、本地第二网络节点的端口号和本地第二网络节点的MAC地址。
S203,对转换后的第一网络报文进行安全分析检测,在转换后的第一网络报文通过安全检测后,将转换后的第一网络报文中的第一网络节点地址信息转换为本地第一网络节点地址信息,将转换后的第一网络报文中的本地第二网络节点地址信息转换为第二网络节点地址信息,得到第二网络报文。
具体的,在WAF设备接收到该转换后的第一网络后,对该转换后的第一网络报文进行安全分析检测,确定该第一网络报文内容是否存在安全隐患。在确定该第一网络报文内容不存在安全隐患后,需要将通过安全检测后的网络报文发送至第二网络节点。在现有技术中,基于反向代理功能实现的WAF设备对接收到的报文进行安全检测后,采用反向代理功能需要将接收到的报文中源地址转换为自己的地址,目的地址转换为第二网络节点的地址,从而将转换后的第一网络报文发送至第二网络节点。为了减少对现有的WAF设备的改动,本发明实施例利用了现有WAF设备的地址转换过程,将转换后的第一网络报文中的第一网络节点地址信息转换为本地第一网络节点地址信息,即第二网络报文的WAF设备的地址信息,本地第一网络节点地址信息包括:本地第一网络节点的IP地址、本地第一网络节点的端口号和本地第一网络节点的MAC地址。将转换后的第一网络报文中的本地第二网络节点地址信息转换为第二网络节点地址信息。这样,本地第一网络节点地址信息和S202中的本地第二网络节点地址信息,不是真正的WAF设备的地址信息,防止黑客通过WAF设备的地址信息对WAF设备进行攻击。
S204,将第二网络报文中的本地第一网络节点地址信息转换为第一网络节点地址信息,并将转换后的第二网络报文发送至第二网络节点。其中,转换后的第二网络报文的目的地址信息为第二网络节点地址信息,转换后的第二网络报文的源地址信息为第一网络节点地址信息。
通过将第二网络报文中的本地第一网络节点地址信息转换为第一网络节点地址信息,使得WAF设备发送至第二网络节点的转换后的第二网络报文的地址信息,与第一网络节点发送至WAF设备的第一网络报文的地址信息一致,确保了网络报文传输的正确性,达到了第一网络节点直接访问第二网络节点的目的。
另外,需要说明的是,当WAF设备不在网时,第一网络节点发送的第一网络报文的源地址和目的地址分别为第一网络节点的地址和第二网络节点的地址,第一网络报文可不经过WAF设备直接发送至第二网络节点,即,第一网络节点与第二网络节点可以直接通信。
可见,本发明实施例提供的网络报文传输方法,在获取第一网络报文后,将第一网络报文中第二网络节点地址信息转换为本地第二网络节点地址信息;在转换后的第一网络报文通过安全分析检测后得到第二网路报文,将第二网络报文中的本地第一网络节点地址信息转换为第一网络节点地址信息,并将转换后的第二网络报文发送至第二网络节点。可见,通过本地第一网络节点地址信息和本地第二网络节点地址信息表示WAF设备的地址信息,防止黑客通过WAF设备的地址信息对WAF设备进行攻击,提高了WAF设备的安全性。而且,本发明实施例实现了WAF设备的透明化,使得WAF设备不在网时,不影响第一网络节点与第二网络节点之间的通信。
参见图3,图3为本发明实施例的网络报文传输方法的另一种流程图,包括如下步骤:
S301,获取第一网络节点发送的第一网络报文,其中,第一网络报文的目的地址信息为第二网络节点地址信息,第一网络报文的源地址信息为第一网络节点地址信息。
S302,将第一网络报文中的第一网络节点地址信息转换为虚拟第一网络节点地址信息,将第一网络报文中的第二网络节点地址信息转换为本地第二网络节点地址信息,得到转换后的第一网络报文,其中,本地第二网络节点地址信息与虚拟第一网络节点地址信息位于同一个网段。
需要说明的是,第一网络报文的目的地址为第二网络节点,为了使WAF设备接收到该第一网络报文,需要将该第一网络报文的目的地址转换为WAF设备的地址,即,将第一网络报文中的第二网络节点地址信息转换为本地第二网络节点地址信息。同时,将第一网络报文中的第一网络节点地址信息转换为虚拟第一网络节点地址信息,使本地第二网络节点地址信息与虚拟第一网络节点地址信息位于同一个网段,其中,虚拟第一网络节点地址信息包括:虚拟第一网络节点的IP地址、虚拟第一网络节点的端口号和虚拟第一网络节点的MAC地址。当本地第二网络节点地址信息与虚拟第一网络节点地址信息不在同一个网段时,第一网络节点与WAF设备之间的网络报文传输需要经过地址转换的过程,即,需要更复杂的过程寻找目的地址,因此,网络报文传输比较慢。本发明实施例的地址信息转换,使得第一网络节点和WAF设备之间能够快速地传输第一网络报文。
举例而言,当客户端访问WEB时,第一网络节点为客户端,相应的,第二网络节点为WEB服务器。DNS服务器将客户端访问的域名解析为WEB服务器的IP地址,第一网络节点发送的第一网络报文的源地址为客户端的地址,目的地址为WEB服务器的地址。由于WAF设备的反向代理功能,第一网络节点先与WAF设备进行通信,即,客户端发往WEB服务器的第一网络报文由WAF设备接收。因此,将客户端的地址信息转换为虚拟客户端的地址信息,将WEB服务器的地址信息转换为本地WEB服务器的地址信息,该本地WEB服务器地址信息为WAF设备的地址信息。
S303,对转换后的第一网络报文进行安全分析检测,在转换后的第一网络报文通过安全检测后,将转换后的第一网络报文中的虚拟第一网络节点地址信息转换为本地第一网络节点地址信息,将转换后的第一网络报文中的本地第二网络节点地址信息转换为虚拟第二网络节点地址信息,得到第二网络报文。
需要说明的是,在接收到转换后的第一网络报文之后,对转换后的第一网络报文进行安全分析检测。在现有技术中,基于反向代理功能实现的WAF设备对接收到的报文进行安全检测后,,采用反向代理功能将接收到的报文中源地址转换为自己的地址,目的地址转换为第二网络节点的地址,从而将报文发送至第二网络节点。为了减少对现有的WAF设备的改动,本发明实施例利用了现有WAF设备的地址转换过程,对转换后的第一网络报文进行地址信息转换。即,将转换后的第一网络报文中的虚拟第一网络节点地址信息转换为本地第一网络节点地址信息,将转换后的第一网络报文中的本地第二网络节点地址信息转换为虚拟第二网络节点地址信息,得到第二网络报文。其中,虚拟第二网络节点地址信息包括:虚拟第二网络节点的IP地址、虚拟第二网络节点的端口号和虚拟第二网络节点的MAC地址。如果转换后的第一网络报文存在安全隐患,那么,WAF设备将该第一网络报文屏蔽,使第二网络节点处于保护状态。需要强调的是,本地第一网络节点地址信息和S302中的本地第二网络节点地址信息,不是真正的WAF设备的地址信息,防止黑客通过WAF设备的地址信息对WAF设备进行攻击。
以客户端访问WEB为例进行说明,客户端发送的第一网络报文为A网站访问请求报文,WAF设备接收到转换后的A网站访问请求报文之后,对该转换后的A网站访问请求报文进行安全检测,在确定该A网站访问请求报文安全后,需要将该A网站访问请求报文发送至A网站服务器。由于WAF设备接收的网络报文的源地址和目的地址、与WAF设备发送的网络报文的源地址和目的地址是不同的,因此,WAF设备需要将接收到的A网站访问请求报文的地址信息转换为对应的源地址和目的地址,即,将转换后的A网站访问请求报文的虚拟客户端的地址信息转换为本地客户端的地址信息,将转换后的A网站访问请求报文的本地WEB服务器的地址信息转换为虚拟WEB服务器的地址信息,得到第二网络报文。
S304,将第二网络报文中的本地第一网络节点地址信息转换为第一网络节点地址信息,将第二网络报文中的虚拟第二网络节点地址信息转换为第二网络节点地址信息,并将转换后的第二网络报文发送至第二网络节点,转换后的第二网络报文的目的地址信息为第二网络节点地址信息,转换后的第二网络报文的源地址信息为第一网络节点地址信息。
本发明实施例中,WAF设备得到第二网络报文之后,由于第二网络报文中的地址信息并不是第二网络节点可以接收的网络报文,进一步需要对第二网络报文中的地址信息进行转换,即,将第二网络报文中的本地第一网络节点地址信息转换为第一网络节点地址信息,将第二网络报文中的虚拟第二网络节点地址信息转换为第二网络节点地址信息。可以理解的是,WAF设备可以看作一个黑盒子,在WAF设备之外,第一网络节点发送的第一网络报文和第二网络节点接收的转换后的第二网络报文的源地址都是第一网络节点的地址,目的地址都是第二网络节点的地址,这就保证了网络报文的正确传输。
可见,本发明实施例提供的网络报文传输方法,在获取第一网络报文后,将第一网络报文中的第一网络节点地址信息和第二网络节点地址信息分别转换为虚拟第一网络节点地址信息和本地第二网络节点地址信息;在转换后的第一网络报文通过安全分析检测后得到第二网路报文,将第二网络报文中的本地第一网络节点地址信息和虚拟第二网络节点地址信息分别转换为第一网络节点地址信息和第二网络节点地址信息,并将转换后的第二网络报文发送至第二网络节点。通过本地第一网络节点地址信息和本地第二网络节点地址信息来表示WAF设备的地址信息,防止黑客通过WAF设备的地址信息对WAF设备进行攻击,提高了WAF设备的安全性。而且,本发明实施例实现了WAF设备的透明化,使得WAF设备不在网时,不影响第一网络节点与第二网络节点之间的通信。
可选的,本发明实施例提供的网络报文传输方法中,将第一网络报文中的第一网络节点地址信息转换为虚拟第一网络节点地址信息,将第一网络报文中的第二网络节点地址信息转换为本地第二网络节点地址信息,包括:
根据第一网络节点地址信息和第二网络节点地址信息的对应关系,通过查询地址信息转换关系表,将第一网络节点地址信息转换为虚拟第一网络节点地址信息,将第二网络节点地址信息转换为本地第二网络节点地址信息;
将第二网络报文中的本地第一网络节点地址信息转换为第一网络节点地址信息,将第二网络报文中的虚拟第二网络节点地址信息转换为第二网络节点地址信息,包括:
根据本地第一网络节点地址信息和虚拟第二网络节点地址信息的对应关系,通过查询地址信息转换关系表,将本地第一网络节点地址信息转换为第一网络节点地址信息,将虚拟第二网络节点地址信息转换为第二网络节点地址信息;
其中,地址信息转换关系表中保存所述第一网络节点地址信息、所述第二网络节点地址信息,以及所述第一网络节点地址信息和第二网络节点地址信息同时对应的所述虚拟第一网络节点地址信息、所述本地第一网络节点地址信息、所述本地第二网络节点地址信息、所述虚拟第二网络节点地址信息。
本发明实施例中,由于第一网络报文中的源地址和目的地址是对应的,因此,地址信息转换关系表中,保存的是第一网络节点地址信息和第二网络节点地址信息,以及该第一网络节点地址信息和该第二网络节点地址信息同时对应的本地第一网络节点地址信息、本地第二网络节点地址信息、虚拟第一网络节点地址信息和虚拟第二网络节点地址信息之间的对应关系。
需要说明的是,由于每一个地址信息包括:IP地址、端口号和MAC地址,这里的对应关系指的是,每一个地址信息中的全部信息(IP地址、端口号和MAC地址)与其他地址信息的全部信息的对应关系。参见图4,图4为本发明实施例的地址信息对应关系图。
其中,索引值为地址信息转换关系表中存储的对应关系的总数,标志位取值为0或1,在初始态时标志位的值为0,即,当该地址信息转换关系表中还没有建立第一网络节点地址信息、第二网络节点地址信息,以及该第一网络节点地址信息和该第二网络节点地址信息同时对应的虚拟第一网络节点地址信息、本地第一网络节点地址信息、本地第二网络节点地址信息、虚拟第二网络节点地址信息时,标志位的值为0。
在第一网络节点发送第一网络报文之后,根据该第一网络报文中的第一网络节点地址信息和第二网络节点地址信息,建立与该第一网络节点地址信息和该第二网络节点地址信息同时对应的虚拟第一网络节点地址信息、本地第一网络节点地址信息、本地第二网络节点地址信息、虚拟第二网络节点地址信息,即,地址信息转换关系表中已经建立了第一网络节点地址信息、第二网络节点地址信息,以及第一网络节点地址信息和第二网络节点地址信息同时对应的虚拟第一网络节点地址信息、本地第一网络节点地址信息、本地第二网络节点地址信息、虚拟第二网络节点地址信息,那么,将该标志位置1,表示该对应关系已经形成,后续可以直接使用该对应关系。
可选的,在获取第一网络节点发送的第一网络报文,之后,本发明实施例的网络报文传输方法,还包括:
当判断地址信息转换关系表中不存在第一网络节点地址信息和第二网络节点地址信息同时对应的本地第一网络节点地址信息、本地第二网络节点地址信息、虚拟第一网络节点地址信息、虚拟第二网络节点地址信息时,在预设转换范围内,确定第一网络节点地址信息和第二网络节点地址信息同时对应的虚拟第一网络节点地址信息、本地第一网络节点地址信息、本地第二网络节点地址信息、虚拟第二网络节点地址信息;
保存第一网络节点地址信息、第二网络节点地址信息,以及第一网络节点地址信息和第二网络节点地址信息同时对应的虚拟第一网络节点地址信息、本地第一网络节点地址信息、本地第二网络节点地址信息、虚拟第二网络节点地址信息,以形成地址信息转换关系表。
需要说明的是,在第一网络节点发送第一网络报文之前,地址信息转换关系是不存在的,也就是,地址信息转换关系是在第一网络节点初次发送第一网络报文时建立的。因此,需要在第一网络节点发送第一网络报文之后,保存第一网络节点地址信息、第二网络节点地址信息,以及第一网络节点地址信息和第二网络节点地址信息同时对应的虚拟第一网络节点地址信息、本地第一网络节点地址信息、本地第二网络节点地址信息、虚拟第二网络节点地址信息,以形成地址信息转换关系表。从而,使得WAF设备在向第二网络节点发送转换后的第二网络报文时,可直接查找已经建立的地址信息转换关系。或者,在该第一网络节点再次向该第二网络节点发送相同的网络报文时,在进行地址信息转换时,直接查找已经保存的对应关系即可。
需要强调的是,虚拟第一网络节点地址信息、本地第一网络节点地址信息、本地第二网络节点地址信息与虚拟第二网络节点地址信息不是真实的地址信息,上述四个地址信息之间的对应关系可预先建立。上述预设转换范围,指的是使虚拟第一网络节点地址信息和本地第二网络节点地址信息、本地第一网络节点地址信息和虚拟第二网络节点地址信息分别位于同一网段。例如,设置虚拟第一网络节点地址信息为117.176.64.1,那么,本地第二网络节点地址信息可以为117.176.64.2,这样,网络报文可在虚拟第一网络节点和本地第二网络节点之间快速传输。
下面结合具体实施例对网络报文传输方法进行详细说明,参见图5,图5为本发明实施例的终端和WEB之间网络报文传输流程图。一般的,终端通过域名访问WEB,DNS服务器将域名解析为真实WEB的IP地址,其中,真实终端的IP地址为192.168.1.100,端口号为15800,真实WEB的IP地址为192.168.1.2,端口号为8080。需要说明的是,真实终端和真实WEB的IP地址分别对应唯一的MAC地址,这里仅仅标示出IP地址和端口号,不再标示真实终端和真实WEB的MAC地址。
在真实终端访问真实WEB的时候,真实终端发送的网络报文首先被WAF设备接收,其中,该网络报文中的源IP地址为192.168.1.100,目的IP地址为192.168.1.2。WAF设备对该网络报文进行地址信息转换,其中,地址信息转换包括:IP地址转换、端口号转换和MAC地址转换,下面仅仅以IP地址转换为例进行说明。将真实终端的IP地址192.168.1.100转换为虚拟终端的IP地址192.168.64.1,真实WEB的IP地址192.168.1.2转换为本地WEB的IP地址192.168.64.2,同时,将该地址信息对应关系保存以形成地址信息转换关系表。需要说明的是,虚拟终端地址信息、本地终端地址信息、本地WEB地址信息与虚拟WEB地址信息之间的对应关系可以预先设定好,然后根据预先设定好的对应关系再建立与真实终端地址信息、真实WEB地址信息之间的对应关系以形成地址信息转换关系表。
在WAF设备内部,WAF设备提取该网络报文中的内容,并对该内容进行安全过滤处理,安全过滤处理之后的网络报文的源IP地址和目的IP地址分别为192.168.164.1和192.168.164.2,即,本地终端的IP地址和虚拟WEB的IP地址分别为192.168.164.1和192.168.164.2。其中,本地终端的IP地址192.168.164.1和本地WEB的IP地址192.168.64.2代表WAF设备的IP地址,该地址不是真实的IP地址,可防止黑客对WAF设备进行攻击。
根据WAF设备的反向代理功能,需要将该安全过滤处理之后的网络报文发送至真实WEB。由于安全过滤处理之后的网络报文的源IP地址和目的IP地址分别为192.168.164.1和192.168.164.2,需要对该安全过滤处理之后的网络报文进行地址信息转换,以使转换之后的网络报文能正确发送至真实WEB。在进行地址信息转换时,可直接根据已经保存的地址信息转换关系表查找对应关系,即192.168.164.1对应192.168.1.100,192.168.164.2对应192.168.1.2。
具体的,真实终端和真实WEB的IP地址分别为192.168.1.100和192.168.1.2,而虚拟终端的IP地址和本地WEB的IP地址分别为192.168.64.1和192.168.64.2,在WAF设备内部,WAF设备安全过滤处理之后的网络报文的源IP地址和目的IP地址分别为192.168.164.1和192.168.164.2,那么,192.168.64.1、192.168.64.2、192.168.164.1和192.168.164.2四者之间的对应关系是预先建立好的。在WAF设备接收到真实终端发送的网络报文后,将192.168.1.100和192.168.1.2添加到已经建立好的对应关系中,形成192.168.1.100、192.168.1.2、192.168.64.1、192.168.64.2、192.168.164.1和192.168.164.2六者之间的对应关系,也就是地址信息转换关系表。需要强调的是,地址信息转换关系表中不仅包括IP地址的对应关系,还包括MAC地址、端口号的对应关系,具体可参见图4。
由以上可知,在WAF设备向真实WEB发送报文时,根据已经建立好的192.168.1.100、192.168.1.2、192.168.64.1、192.168.64.2、192.168.164.1和192.168.164.2六者之间的对应关系,将本地终端的IP地址192.168.164.1转换为真实终端的IP地址192.168.1.100,将虚拟WEB的IP地址192.168.164.2转换为真实WEB的IP地址192.168.1.2,从而将安全过滤处理之后的网络报文发送给真实WEB。
真实WEB接收到该安全过滤处理之后的网络报文后,返回相应的响应报文给真实终端,也就是真实WEB发送网络报文到真实终端的流程。在真实WEB返回响应报文时,该响应报文的源IP地址为192.168.1.2,目的IP地址为192.168.1.100。WAF接收到该响应报文之后,根据已经存储的192.168.1.100、192.168.1.2、192.168.64.1、192.168.64.2、192.168.164.1和192.168.164.2六者之间的对应关系,将真实WEB的IP地址192.168.1.2转换为虚拟WEB的IP地址192.168.164.2,将真实终端的IP地址192.168.1.100转换为本地终端的IP地址192.168.164.1。
在WAF设备内部,WAF设备的反向代理功能将虚拟WEB的IP地址192.168.164.2转换为本地WEB的IP地址192.168.64.2,将本地终端的IP地址192.168.164.1转换为虚拟终端的IP地址192.168.64.1。同样的,本地终端的IP地址192.168.164.1和本地WEB的IP地址192.168.64.2代表WAF设备的IP地址,该地址不是真实的IP地址,可防止黑客对WAF设备进行攻击。
为使WAF处理之后的响应报文发送至真实终端,需要将本地WEB的IP地址192.168.64.2转换为真实WEB的IP地址192.168.1.2,将虚拟终端的IP地址192.168.64.1转换为真实终端的IP地址192.168.1.100。由此,完成真实终端发送的请求报文从真实终端经过WAF设备达到真实WEB,以及真实WEB发送的响应报文从真实WEB经过WAF设备达到真实终端的完整的网络报文传输过程。
以下各装置实施例的描述,可参见上述方法实施例的描述,在此不再一一赘述。
本发明实施例公开了一种转换装置,参见图6,图6为本发明实施例的转换装置的结构图,包括:
获取模块601,用于获取第一网络节点发送的第一网络报文,其中,第一网络报文的目的地址信息为第二网络节点地址信息,第一网络报文的源地址信息为第一网络节点地址信息。
第一转换模块602,用于将第一网络报文中的第一网络节点地址信息转换为虚拟第一网络节点地址信息,将第一网络报文中的第二网络节点地址信息转换为本地第二网络节点地址信息,得到转换后的第一网络报文,其中,本地第二网络节点地址信息与虚拟第一网络节点地址信息位于同一个网段。
发送模块603,用于将转换后的第一网络报文发送给基于反向代理功能的WAF设备。
接收模块604,用于接收WAF设备发送的第二网络报文。
第二转换模块605,用于将第二网络报文中的本地第一网络节点地址信息转换为第一网络节点地址信息,将第二网络报文中的虚拟第二网络节点地址信息转换为第二网络节点地址信息。
发送模块603,还用于将转换后的第二网络报文发送至第二网络节点,其中,转换后的第二网络报文的目的地址信息为第二网络节点地址信息,转换后的第二网络报文的源地址信息为第一网络节点地址信息。
可见,本发明实施例提供的转换装置,将第一网络节点发送的第一网络报文中的第一网络节点地址信息和第二网络节点地址信息、分别转换为虚拟第一网络节点地址信息和本地第二网络节点地址信息;将转换后的第一网络报文发送至WAF设备,然后接收WAF发送的第二网络报文,将第二网络报文中的本地第一网络节点地址信息和虚拟第二网络节点地址信息分别转换为第一网络节点地址信息和第二网络节点地址信息,并将转换后的第二网络报文发送至第二网络节点。通过上述地址信息转换过程,防止黑客通过WAF设备的地址信息对WAF设备进行攻击,提高了WAF设备的安全性。
可选的,本发明实施例的转换装置中,第一转换模块具体用于,根据第一网络节点地址信息和第二网络节点地址信息的对应关系,通过查询地址信息转换关系表,将第一网络节点地址信息转换为虚拟第一网络节点地址信息,将第二网络节点地址信息转换为本地第二网络节点地址信息。
第二转换模块605具体用于,根据本地第一网络节点地址信息和虚拟第二网络节点地址信息的对应关系,通过查询地址信息转换关系表,将本地第一网络节点地址信息转换为第一网络节点地址信息,将虚拟第二网络节点地址信息转换为第二网络节点地址信息。
其中,地址信息转换关系表中保存所述第一网络节点地址信息、所述第二网络节点地址信息,以及所述第一网络节点地址信息和第二网络节点地址信息同时对应的所述虚拟第一网络节点地址信息、所述本地第一网络节点地址信息、所述本地第二网络节点地址信息、所述虚拟第二网络节点地址信息。
可选的,本发明实施例的转换装置,还包括:
地址信息转换关系表建立模块,用于当判断地址信息转换关系表中不存在第一网络节点地址信息和第二网络节点地址信息同时对应的本地第一网络节点地址信息、本地第二网络节点地址信息、虚拟第一网络节点地址信息、虚拟第二网络节点地址信息时,在预设转换范围内,确定第一网络节点地址信息和第二网络节点地址信息同时对应的虚拟第一网络节点地址信息、本地第一网络节点地址信息、本地第二网络节点地址信息、虚拟第二网络节点地址信息;
保存第一网络节点地址信息、第二网络节点地址信息,以及第一网络节点地址信息和第二网络节点地址信息同时对应的虚拟第一网络节点地址信息、本地第一网络节点地址信息、本地第二网络节点地址信息、虚拟第二网络节点地址信息,以形成地址信息转换关系表。
相应于上述网络报文传输方法实施例,本发明实施例还公开了一种网络报文传输装置,参见图7,图7为本发明实施例的网络报文传输装置的一种结构图,包括:
网络报文获取模块701,用于获取第一网络节点发送的第一网络报文,其中,第一网络报文的目的地址信息为第二网络节点地址信息,第一网络报文的源地址信息为第一网络节点地址信息。
第一转换模块702,用于将第一网络报文中的第二网络节点地址信息转换为本地第二网络节点地址信息,得到转换后的第一网络报文。
安全检测及反向代理模块703,用于对转换后的第一网络报文进行安全分析检测,在转换后的第一网络报文通过安全检测后,将转换后的第一网络报文中的第一网络节点地址信息转换为本地第一网络节点地址信息,将转换后的第一网络报文中的本地第二网络节点地址信息转换为第二网络节点地址信息,得到第二网络报文。
第二转换模块704,用于将第二网络报文中的本地第一网络节点地址信息转换为第一网络节点地址信息,,其中,转换后的第二网络报文的目的地址信息为第二网络节点地址信息,转换后的第二网络报文的源地址信息为第一网络节点地址信息。
发送模块705,用于将转换后的第二网络报文发送至第二网络节点。
可见,本发明实施例提供的网络报文传输装置,在获取第一网络报文后,将第一网络报文中的第二网络节点地址信息转换为本地第二网络节点地址信息;在转换后的第一网络报文通过安全分析检测后得到第二网路报文,将第二网络报文中的本地第一网络节点地址信息转换为第一网络节点地址信息,并将转换后的第二网络报文发送至第二网络节点。通过本地第一网络节点地址信息和本地第二网络节点地址信息来表示WAF设备的地址信息,防止黑客通过WAF设备的地址信息对WAF设备进行攻击,提高了WAF设备的安全性。而且,本发明实施例实现了WAF设备的透明化,使得WAF设备不在网时,不影响第一网络节点与第二网络节点之间的通信。
参见图8,图8为本发明实施例的网络报文传输装置的另一种结构图,包括:
网络报文获取模块801,用于获取第一网络节点发送的第一网络报文,其中,第一网络报文的目的地址信息为第二网络节点地址信息,第一网络报文的源地址信息为第一网络节点地址信息。
第一转换模块802,用于将第一网络报文中的第一网络节点地址信息转换为虚拟第一网络节点地址信息,将第一网络报文中的第二网络节点地址信息转换为本地第二网络节点地址信息,得到转换后的第一网络报文,其中,本地第二网络节点地址信息与虚拟第一网络节点地址信息位于同一个网段。
安全检测及反向代理模块803,用于对转换后的第一网络报文进行安全分析检测,在转换后的第一网络报文通过安全检测后,将转换后的第一网络报文中的虚拟第一网络节点地址信息转换为本地第一网络节点地址信息,将转换后的第一网络报文中的本地第二网络节点地址信息转换为虚拟第二网络节点地址信息,得到第二网络报文。
第二转换模块804,用于将第二网络报文中的本地第一网络节点地址信息转换为第一网络节点地址信息,将第二网络报文中的虚拟第二网络节点地址信息转换为第二网络节点地址信息,其中,转换后的第二网络报文的目的地址信息为第二网络节点地址信息,转换后的第二网络报文的源地址信息为第一网络节点地址信息。
发送模块805,用于将转换后的第二网络报文发送至第二网络节点。
可见,本发明实施例提供的网络报文传输装置,在获取第一网络报文后,将第一网络报文中的第一网络节点地址信息和第二网络节点地址信息分别转换为虚拟第一网络节点地址信息和本地第二网络节点地址信息;在转换后的第一网络报文通过安全分析检测后得到第二网路报文,将第二网络报文中的本地第一网络节点地址信息和虚拟第二网络节点地址信息分别转换为第一网络节点地址信息和第二网络节点地址信息,并将转换后的第二网络报文发送至第二网络节点。通过本地第一网络节点地址信息和本地第二网络节点地址信息来表示WAF设备的地址信息,防止黑客通过WAF设备的地址信息对WAF设备进行攻击,提高了WAF设备的安全性。而且,本发明实施例实现了WAF设备的透明化,使得WAF设备不在网时,不影响第一网络节点与第二网络节点之间的通信。
可选的,本发明实施例的网络报文传输装置中,第一转换模块,具体用于根据第一网络节点地址信息和第二网络节点地址信息的对应关系,通过查询地址信息转换关系表,将第一网络节点地址信息转换为虚拟第一网络节点地址信息,将第二网络节点地址信息转换为本地第二网络节点地址信息。
第二转换模块,具体用于根据本地第一网络节点地址信息和虚拟第二网络节点地址信息的对应关系,通过查询地址信息转换关系表,将本地第一网络节点地址信息转换为第一网络节点地址信息,将虚拟第二网络节点地址信息转换为第二网络节点地址信息。
其中,地址信息转换关系表中保存所述第一网络节点地址信息、所述第二网络节点地址信息,以及所述第一网络节点地址信息和第二网络节点地址信息同时对应的所述虚拟第一网络节点地址信息、所述本地第一网络节点地址信息、所述本地第二网络节点地址信息、所述虚拟第二网络节点地址信息。
可选的,本发明实施例的网络报文传输装置,还包括:
地址信息对应关系建立模块,用于当判断地址信息转换关系表中不存在第一网络节点地址信息和第二网络节点地址信息同时对应的本地第一网络节点地址信息、本地第二网络节点地址信息、虚拟第一网络节点地址信息、虚拟第二网络节点地址信息时,在预设转换范围内,确定第一网络节点地址信息和第二网络节点地址信息同时对应的虚拟第一网络节点地址信息、本地第一网络节点地址信息、本地第二网络节点地址信息、虚拟第二网络节点地址信息;
保存第一网络节点地址信息、第二网络节点地址信息,以及第一网络节点地址信息和第二网络节点地址信息同时对应的虚拟第一网络节点地址信息、本地第一网络节点地址信息、本地第二网络节点地址信息、虚拟第二网络节点地址信息,以形成地址信息转换关系表。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
Claims (10)
1.一种网络报文传输方法,其特征在于,包括:
获取第一网络节点发送的第一网络报文,其中,所述第一网络报文的目的地址信息为第二网络节点地址信息,所述第一网络报文的源地址信息为第一网络节点地址信息;
将所述第一网络报文中的所述第二网络节点地址信息转换为本地第二网络节点地址信息,得到转换后的第一网络报文;
对所述转换后的第一网络报文进行安全分析检测,在所述转换后的第一网络报文通过安全检测后,将所述转换后的第一网络报文中的第一网络节点地址信息转换为本地第一网络节点地址信息,将所述转换后的第一网络报文中的本地第二网络节点地址信息转换为第二网络节点地址信息,得到第二网络报文;
将所述第二网络报文中的所述本地第一网络节点地址信息转换为所述第一网络节点地址信息,并将转换后的第二网络报文发送至所述第二网络节点,其中,所述转换后的第二网络报文的目的地址信息为第二网络节点地址信息,所述转换后的第二网络报文的源地址信息为第一网络节点地址信息。
2.一种网络报文传输方法,其特征在于,包括:
获取第一网络节点发送的第一网络报文,其中,所述第一网络报文的目的地址信息为第二网络节点地址信息,所述第一网络报文的源地址信息为第一网络节点地址信息;
将所述第一网络报文中的所述第一网络节点地址信息转换为虚拟第一网络节点地址信息,将所述第一网络报文中的所述第二网络节点地址信息转换为本地第二网络节点地址信息,得到转换后的第一网络报文,其中,所述本地第二网络节点地址信息与所述虚拟第一网络节点地址信息位于同一个网段;
对所述转换后的第一网络报文进行安全分析检测,在所述转换后的第一网络报文通过安全检测后,将所述转换后的第一网络报文中的虚拟第一网络节点地址信息转换为本地第一网络节点地址信息,将所述转换后的第一网络报文中的本地第二网络节点地址信息转换为虚拟第二网络节点地址信息,得到第二网络报文;
将所述第二网络报文中的所述本地第一网络节点地址信息转换为所述第一网络节点地址信息,将所述第二网络报文中的虚拟第二网络节点地址信息转换为第二网络节点地址信息,并将转换后的第二网络报文发送至所述第二网络节点,其中,所述转换后的第二网络报文的目的地址信息为第二网络节点地址信息,所述转换后的第二网络报文的源地址信息为第一网络节点地址信息。
3.根据权利要求2所述的网络报文传输方法,其特征在于,所述将所述第一网络报文中的所述第一网络节点地址信息转换为虚拟第一网络节点地址信息,将所述第一网络报文中的所述第二网络节点地址信息转换为本地第二网络节点地址信息,包括:
根据所述第一网络节点地址信息和所述第二网络节点地址信息的对应关系,通过查询地址信息转换关系表,将所述第一网络节点地址信息转换为所述虚拟第一网络节点地址信息,将所述第二网络节点地址信息转换为所述本地第二网络节点地址信息;
所述将所述第二网络报文中的所述本地第一网络节点地址信息转换为所述第一网络节点地址信息,将所述第二网络报文中的虚拟第二网络节点地址信息转换为第二网络节点地址信息,包括:
根据所述本地第一网络节点地址信息和所述虚拟第二网络节点地址信息的对应关系,通过查询所述地址信息转换关系表,将所述本地第一网络节点地址信息转换为所述第一网络节点地址信息,将所述虚拟第二网络节点地址信息转换为所述第二网络节点地址信息;
其中,所述地址信息转换关系表中保存所述第一网络节点地址信息、所述第二网络节点地址信息,以及所述第一网络节点地址信息和第二网络节点地址信息同时对应的所述虚拟第一网络节点地址信息、所述本地第一网络节点地址信息、所述本地第二网络节点地址信息、所述虚拟第二网络节点地址信息。
4.根据权利要求3所述的网络报文传输方法,其特征在于,在所述获取第一网络节点发送的第一网络报文,之后,所述方法还包括:
当判断所述地址信息转换关系表中不存在所述第一网络节点地址信息和所述第二网络节点地址信息同时对应的所述本地第一网络节点地址信息、所述本地第二网络节点地址信息、所述虚拟第一网络节点地址信息、所述虚拟第二网络节点地址信息时,在预设转换范围内,确定所述第一网络节点地址信息和第二网络节点地址信息同时对应的所述虚拟第一网络节点地址信息、所述本地第一网络节点地址信息、所述本地第二网络节点地址信息、所述虚拟第二网络节点地址信息;
保存所述第一网络节点地址信息、所述第二网络节点地址信息,以及所述第一网络节点地址信息和第二网络节点地址信息同时对应的所述虚拟第一网络节点地址信息、所述本地第一网络节点地址信息、所述本地第二网络节点地址信息、所述虚拟第二网络节点地址信息,以形成所述地址信息转换关系表。
5.一种转换装置,其特征在于,包括:
获取模块,用于获取第一网络节点发送的第一网络报文,其中,所述第一网络报文的目的地址信息为第二网络节点地址信息,所述第一网络报文的源地址信息为第一网络节点地址信息;
第一转换模块,用于将所述第一网络报文中的所述第一网络节点地址信息转换为虚拟第一网络节点地址信息,将所述第一网络报文中的所述第二网络节点地址信息转换为本地第二网络节点地址信息,得到转换后的第一网络报文,其中,所述本地第二网络节点地址信息与所述虚拟第一网络节点地址信息位于同一个网段;
发送模块,用于将所述转换后的第一网络报文发送给基于反向代理功能的WAF设备;
接收模块,用于接收所述WAF设备发送的第二网络报文;
第二转换模块,用于将所述第二网络报文中的本地第一网络节点地址信息转换为所述第一网络节点地址信息,将所述第二网络报文中的虚拟第二网络节点地址信息转换为所述第二网络节点地址信息;
所述发送模块,还用于将转换后的第二网络报文发送至所述第二网络节点,其中,所述转换后的第二网络报文的目的地址信息为第二网络节点地址信息,所述转换后的第二网络报文的源地址信息为第一网络节点地址信息。
6.根据权利要求5所述的转换装置,其特征在于,所述第一转换模块具体用于,根据所述第一网络节点地址信息和所述第二网络节点地址信息的对应关系,通过查询地址信息转换关系表,将所述第一网络节点地址信息转换为所述虚拟第一网络节点地址信息,将所述第二网络节点地址信息转换为所述本地第二网络节点地址信息;
所述第二转换模块具体用于,根据所述本地第一网络节点地址信息和所述虚拟第二网络节点地址信息的对应关系,通过查询所述地址信息转换关系表,将所述本地第一网络节点地址信息转换为所述第一网络节点地址信息,将所述虚拟第二网络节点地址信息转换为所述第二网络节点地址信息;
其中,所述地址信息转换关系表中保存所述第一网络节点地址信息、所述第二网络节点地址信息,以及所述第一网络节点地址信息和第二网络节点地址信息同时对应的所述虚拟第一网络节点地址信息、所述本地第一网络节点地址信息、所述本地第二网络节点地址信息、所述虚拟第二网络节点地址信息。
7.根据权利要求5所述的转换装置,其特征在于,还包括:
地址信息转换关系表建立模块,用于当判断所述地址信息转换关系表中不存在所述第一网络节点地址信息和所述第二网络节点地址信息同时对应的所述本地第一网络节点地址信息、所述本地第二网络节点地址信息、所述虚拟第一网络节点地址信息、所述虚拟第二网络节点地址信息时,在预设转换范围内,确定所述第一网络节点地址信息和第二网络节点地址信息同时对应的所述虚拟第一网络节点地址信息、所述本地第一网络节点地址信息、所述本地第二网络节点地址信息、所述虚拟第二网络节点地址信息;
保存所述第一网络节点地址信息、所述第二网络节点地址信息,以及所述第一网络节点地址信息和第二网络节点地址信息同时对应的所述虚拟第一网络节点地址信息、所述本地第一网络节点地址信息、所述本地第二网络节点地址信息、所述虚拟第二网络节点地址信息,以形成所述地址信息转换关系表。
8.一种网络报文传输装置,其特征在于,包括:
网络报文获取模块,用于获取第一网络节点发送的第一网络报文,其中,所述第一网络报文的目的地址信息为第二网络节点地址信息,所述第一网络报文的源地址信息为第一网络节点地址信息;
第一转换模块,用于将所述第一网络报文中的所述第二网络节点地址信息转换为本地第二网络节点地址信息,得到转换后的第一网络报文;
安全检测及反向代理模块,用于对所述转换后的第一网络报文进行安全分析检测,在所述转换后的第一网络报文通过安全检测后,将所述转换后的第一网络报文中的第一网络节点地址信息转换为本地第一网络节点地址信息,将所述转换后的第一网络报文中的本地第二网络节点地址信息转换为第二网络节点地址信息,得到第二网络报文;
第二转换模块,用于将所述第二网络报文中的所述本地第一网络节点地址信息转换为所述第一网络节点地址信息,其中,所述转换后的第二网络报文的目的地址信息为第二网络节点地址信息,所述转换后的第二网络报文的源地址信息为第一网络节点地址信息;
发送模块,用于将转换后的第二网络报文发送至所述第二网络节点。
9.一种网络报文传输装置,其特征在于,包括:
网络报文获取模块,用于获取第一网络节点发送的第一网络报文,其中,所述第一网络报文的目的地址信息为第二网络节点地址信息,所述第一网络报文的源地址信息为第一网络节点地址信息;
第一转换模块,用于将所述第一网络报文中的所述第一网络节点地址信息转换为虚拟第一网络节点地址信息,将所述第一网络报文中的所述第二网络节点地址信息转换为本地第二网络节点地址信息,得到转换后的第一网络报文,其中,所述本地第二网络节点地址信息与所述虚拟第一网络节点地址信息位于同一个网段;
安全检测及反向代理模块,用于对所述转换后的第一网络报文进行安全分析检测,在所述转换后的第一网络报文通过安全检测后,将所述转换后的第一网络报文中的虚拟第一网络节点地址信息转换为本地第一网络节点地址信息,将所述转换后的第一网络报文中的本地第二网络节点地址信息转换为虚拟第二网络节点地址信息,得到第二网络报文;
第二转换模块,用于将所述第二网络报文中的所述本地第一网络节点地址信息转换为所述第一网络节点地址信息,将所述第二网络报文中的虚拟第二网络节点地址信息转换为第二网络节点地址信息,其中,所述转换后的第二网络报文的目的地址信息为第二网络节点地址信息,所述转换后的第二网络报文的源地址信息为第一网络节点地址信息;
发送模块,用于将转换后的第二网络报文发送至所述第二网络节点。
10.根据权利要求9所述的网络报文传输装置,其特征在于:
所述第一转换模块,具体用于根据所述第一网络节点地址信息和所述第二网络节点地址信息的对应关系,通过查询地址信息转换关系表,将所述第一网络节点地址信息转换为所述虚拟第一网络节点地址信息,将所述第二网络节点地址信息转换为所述本地第二网络节点地址信息;
所述第二转换模块,具体用于根据所述本地第一网络节点地址信息和所述虚拟第二网络节点地址信息的对应关系,通过查询所述地址信息转换关系表,将所述本地第一网络节点地址信息转换为所述第一网络节点地址信息,将所述虚拟第二网络节点地址信息转换为所述第二网络节点地址信息;
其中,所述地址信息转换关系表中保存所述第一网络节点地址信息、所述第二网络节点地址信息,以及所述第一网络节点地址信息和第二网络节点地址信息同时对应的所述虚拟第一网络节点地址信息、所述本地第一网络节点地址信息、所述本地第二网络节点地址信息、所述虚拟第二网络节点地址信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611109940.XA CN106657035B (zh) | 2016-12-06 | 2016-12-06 | 一种网络报文传输方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611109940.XA CN106657035B (zh) | 2016-12-06 | 2016-12-06 | 一种网络报文传输方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106657035A true CN106657035A (zh) | 2017-05-10 |
| CN106657035B CN106657035B (zh) | 2019-12-03 |
Family
ID=58818921
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201611109940.XA Active CN106657035B (zh) | 2016-12-06 | 2016-12-06 | 一种网络报文传输方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106657035B (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109088878A (zh) * | 2018-09-03 | 2018-12-25 | 中新网络信息安全股份有限公司 | 一种抗拒绝云防护系统的报文处理方法 |
| CN109981457A (zh) * | 2017-12-27 | 2019-07-05 | 华为技术有限公司 | 一种报文处理的方法、网络节点和系统 |
| CN110351233A (zh) * | 2018-04-08 | 2019-10-18 | 蓝盾信息安全技术有限公司 | 一种基于安全隔离网闸的双向透明传输技术 |
| CN113242270A (zh) * | 2021-07-12 | 2021-08-10 | 北京宇创瑞联信息技术有限公司 | 基于虚拟化网络的数据传输方法、装置和系统 |
| CN114285763A (zh) * | 2021-11-26 | 2022-04-05 | 中国联合网络通信集团有限公司 | 数据采集方法、装置和计算机可读存储介质 |
| US11792100B2 (en) | 2018-06-25 | 2023-10-17 | Huawei Technologies Co., Ltd. | Network performance parameter sending method, network performance calculation method, and network node |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030131061A1 (en) * | 2001-11-28 | 2003-07-10 | Active Buddy, Inc. | Transparent proxy server for instant messaging system and methods |
| CN1968227A (zh) * | 2006-06-29 | 2007-05-23 | 华为技术有限公司 | 一种无线接入网关支持透明代理的系统及方法 |
| CN101252524A (zh) * | 2008-04-08 | 2008-08-27 | 华为技术有限公司 | 一种报文传输的方法、系统和装置 |
| CN104079497A (zh) * | 2014-07-21 | 2014-10-01 | 北京信诺瑞得软件系统有限公司 | 透明网桥模式的高可用性负载均衡设备及方法 |
| CN104113527A (zh) * | 2014-06-19 | 2014-10-22 | 上海地面通信息网络有限公司 | 一种应用于云计算网络的waf防火墙配置 |
-
2016
- 2016-12-06 CN CN201611109940.XA patent/CN106657035B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030131061A1 (en) * | 2001-11-28 | 2003-07-10 | Active Buddy, Inc. | Transparent proxy server for instant messaging system and methods |
| CN1968227A (zh) * | 2006-06-29 | 2007-05-23 | 华为技术有限公司 | 一种无线接入网关支持透明代理的系统及方法 |
| CN101252524A (zh) * | 2008-04-08 | 2008-08-27 | 华为技术有限公司 | 一种报文传输的方法、系统和装置 |
| CN104113527A (zh) * | 2014-06-19 | 2014-10-22 | 上海地面通信息网络有限公司 | 一种应用于云计算网络的waf防火墙配置 |
| CN104079497A (zh) * | 2014-07-21 | 2014-10-01 | 北京信诺瑞得软件系统有限公司 | 透明网桥模式的高可用性负载均衡设备及方法 |
Non-Patent Citations (1)
| Title |
|---|
| 陈国伟等: "透明网关与透明代理结合的防火墙的设计与实现", 《计算机应用研究》 * |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109981457A (zh) * | 2017-12-27 | 2019-07-05 | 华为技术有限公司 | 一种报文处理的方法、网络节点和系统 |
| US11570285B2 (en) | 2017-12-27 | 2023-01-31 | Huawei Technologies Co., Ltd. | Packet processing method, network node, and system |
| US11876883B2 (en) | 2017-12-27 | 2024-01-16 | Huawei Technologies Co., Ltd. | Packet processing method, network node, and system |
| CN110351233A (zh) * | 2018-04-08 | 2019-10-18 | 蓝盾信息安全技术有限公司 | 一种基于安全隔离网闸的双向透明传输技术 |
| US11792100B2 (en) | 2018-06-25 | 2023-10-17 | Huawei Technologies Co., Ltd. | Network performance parameter sending method, network performance calculation method, and network node |
| CN109088878A (zh) * | 2018-09-03 | 2018-12-25 | 中新网络信息安全股份有限公司 | 一种抗拒绝云防护系统的报文处理方法 |
| CN113242270A (zh) * | 2021-07-12 | 2021-08-10 | 北京宇创瑞联信息技术有限公司 | 基于虚拟化网络的数据传输方法、装置和系统 |
| CN114285763A (zh) * | 2021-11-26 | 2022-04-05 | 中国联合网络通信集团有限公司 | 数据采集方法、装置和计算机可读存储介质 |
| CN114285763B (zh) * | 2021-11-26 | 2023-05-30 | 中国联合网络通信集团有限公司 | 数据采集方法、装置和计算机可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106657035B (zh) | 2019-12-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106657035A (zh) | 一种网络报文传输方法及装置 | |
| CN103825895B (zh) | 一种信息处理方法及电子设备 | |
| CN105262738B (zh) | 一种路由器及其防arp攻击的方法 | |
| CN103368941B (zh) | 一种基于用户网络访问场景的防护的方法和装置 | |
| CN100566294C (zh) | 单播反向路径转发方法 | |
| Fox et al. | Internet infrastructure: networking, web services, and cloud computing | |
| CN103916490B (zh) | 一种域名系统dns防篡改方法及装置 | |
| CN103179100B (zh) | 一种防止域名系统隧道攻击的方法及设备 | |
| Kotenko et al. | Agent‐based simulation of cooperative defence against botnets | |
| JP2003046533A (ja) | ネットワークシステム、その認証方法及びそのプログラム | |
| CN103825969A (zh) | 一种基于匿名网络的dns查询方法 | |
| CN105721457A (zh) | 基于动态变换的网络安全防御系统和网络安全防御方法 | |
| CN105357212A (zh) | 一种保证安全和隐私的dns端到端解析方法 | |
| CN109495583B (zh) | 一种基于主机特征混淆的数据安全交互方法 | |
| CN103747005B (zh) | Dns缓存投毒的防护方法和设备 | |
| CN107733867A (zh) | 一种发现僵尸网络及防护的方法和系统 | |
| CN106878259A (zh) | 一种报文转发方法及装置 | |
| WO2014206152A1 (zh) | 一种网络安全监控方法和系统 | |
| CN105491179B (zh) | 一种应对dns服务器反射放大攻击的解决方法 | |
| CN106685979B (zh) | 基于STiP模型的安全终端标识及认证方法及系统 | |
| Sharma et al. | Detection of ARP Spoofing: A command line execution method | |
| Kakadiya et al. | Analysis and Prevention of Denial of Service Attacks in Smart Grid Using IoT | |
| Gautam et al. | An approach to analyze the impact of DDOS attack on mobile cloud computing | |
| Rengarajan et al. | Secure verification technique for defending IP spoofing attacks. | |
| CN108418803A (zh) | 防御dns重绑定攻击的方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |