CN108540492A - 一种报文处理方法 - Google Patents
一种报文处理方法 Download PDFInfo
- Publication number
- CN108540492A CN108540492A CN201810395162.8A CN201810395162A CN108540492A CN 108540492 A CN108540492 A CN 108540492A CN 201810395162 A CN201810395162 A CN 201810395162A CN 108540492 A CN108540492 A CN 108540492A
- Authority
- CN
- China
- Prior art keywords
- message
- session
- equipment
- characteristic information
- list
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例提供了一种报文处理方法,应用于网闸,网闸包括的两个设备中存储有相同会话列表,会话列表中包括至少一个会话,每一会话包括报文特征信息。网闸包括的第一设备接收到第一报文后,在会话列表中存在与第一报文的第一报文特征信息匹配的第一会话时,将第一报文的第一载荷发送给网闸包括的第二设备。第二设备中存在与第一会话相同的第二会话,依据第二会话包括的第二报文特征信息,封装第一载荷,进而得到第二报文,转发第二报文。应用本申请实施例,实现了网闸的透明部署,解决了在网络中部署网闸的情况下网络的IP地址以及路由拓扑均被修改的问题,提高了网络的易用性和可扩展性。
Description
技术领域
本申请涉及通信技术领域,特别是涉及一种报文处理方法。
背景技术
为了提高网络的安全性,通常会在网络中部署网闸,由网闸对网络中传输的报文进行安全检测。网闸包括外端机、内端机和隔离硬件。前端机与外网的客户端连接,内端机与内网的服务器连接,隔离硬件连接外端机和内端机。
目前,在网络中部署网闸的情况下,网闸需要对接收的报文地址转换。例如,内端机负责对外端机接收的客户端发送的报文进行地址转换,包括:将报文的源IP(InternetProtocol,网络协议)地址转换为内端机的IP地址,将报文的目的IP地址转换为服务器的IP地址。内端机将地址转换的报文发送给服务器。
外端机负责对内端机接收的服务器回应的报文进行地址转换,包括:将报文的源IP地址转换为外端机的IP地址,将报文的目的IP地址转换为客户端的IP地址。外端机将地址转换的报文发送给客户端。
由上可见,在网络中部署网闸的情况下,需要为网闸的外端机和内端机配置IP地址,这使得网络的IP地址以及路由拓扑均需要被修改,网络的易用性和可扩展性低。
发明内容
本申请实施例的目的在于提供一种报文处理方法,以解决在网络中部署网闸的情况下网络的IP地址以及路由拓扑均被修改的问题,提高网络的易用性和可扩展性。具体技术方案如下:
在第一方面,本申请实施例提供了一种报文处理方法,应用于网闸,所述网闸包括第一设备、第二设备和隔离硬件,所述隔离硬件连接所述第一设备和所述第二设备,所述第一设备和所述第二设备中存储有相同的会话列表,所述会话列表中包括至少一个会话,每一会话包括报文特征信息;所述方法包括:
所述第一设备接收第一报文;
所述第一设备判断自身存储的会话列表中是否存在与所述第一报文的第一报文特征信息匹配的第一会话;
所述第一设备若判定存在所述第一会话,则在判定所述第一报文为合法报文的情况下,将所述第一会话的第一会话标识和所述第一报文的第一载荷发送给所述第二设备;
所述第二设备从自身存储的会话列表中,确定所述第一会话标识对应的第二会话,并从所述第二会话中获取第二报文特征信息;
所述第二设备利用获取的所述第二报文特征信息封装所述第一载荷,得到第二报文。
在第二方面,本申请实施例提供了一种网闸,所述网闸包括第一设备、第二设备和隔离硬件,所述第一设备和所述第二设备中存储有相同的会话列表,所述会话列表中包括至少一个会话,每一会话包括报文特征信息;
所述隔离硬件连接所述第一设备和所述第二设备;
所述第一设备用于:所述第一设备接收第一报文;判断自身存储的会话列表中是否存在与所述第一报文的第一报文特征信息匹配的第一会话;若判定存在所述第一会话,则在判定所述第一报文为合法报文的情况下,将所述第一会话的第一会话标识和所述第一报文的第一载荷发送给所述第二设备;
所述第二设备用于:从自身存储的会话列表中,确定所述第一会话标识对应的第二会话,并从所述第二会话中获取第二报文特征信息;利用获取的所述第二报文特征信息封装所述第一载荷,得到第二报文。
在第三方面,本申请实施例提供了一种报文处理方法,应用于网闸第一设备,所述网闸还包括第二设备和隔离硬件,所述隔离硬件连接所述第一设备和所述第二设备,所述第一设备和所述第二设备中存储有相同的会话列表,所述会话列表中包括至少一个会话,每一会话包括报文特征信息;所述方法包括:
接收第一报文;
判断自身存储的会话列表中是否存在与所述第一报文的第一报文特征信息匹配的第一会话;
若判定存在所述第一会话,则在判定所述第一报文为合法报文的情况下,将所述第一会话的第一会话标识和所述第一报文的第一载荷发送给所述第二设备,以使所述第二设备从所述第一会话标识对应的第二会话中获取第二报文特征信息,利用所述第二报文特征信息封装所述第一载荷,得到第二报文。
在第四方面,本申请实施例提供了一种网络设备,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:实现上述第三方面提供的报文处理方法步骤。
本申请实施例中,网闸包括的两个设备中存储有相同会话列表,会话列表中包括至少一个会话,每一会话包括报文特征信息。网闸包括的第一设备接收到第一报文后,在自身存储的会话列表中存在与第一报文的第一报文特征信息匹配的第一会话时,将第一报文的第一载荷发送给网闸包括的第二设备。第二设备中存在与第一会话相同的会话,即第二会话,依据第二会话中包括的与第一报文特征信息相同的第二报文特征信息,封装第一载荷,进而得到与第一报文相同的第二报文,然后再转发第二报文。
可见,本申请实施例中,利用在网闸包括的两个设备中存储有相同会话列表,采用相同的报文特征信息封装同一载荷,得到第二报文和原有的第一报文相同,不需要转换报文的目的IP地址和源IP地址,也就不需要为网闸包括的两个设备分配IP地址,实现了网闸的透明部署,解决了在网络中部署网闸的情况下网络的IP地址以及路由拓扑均被修改的问题,提高了网络的易用性和可扩展性。
当然,实施本申请的任一产品或方法必不一定需要同时达到以上所述的所有优点。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的网闸的一种结构示意图;
图2为本申请实施例提供的报文处理方法的第一种流程示意图;
图3为本申请实施例提供的报文处理方法的第二种流程示意图;
图4为本申请实施例提供的报文处理方法的第三种流程示意图;
图5为本申请实施例提供的网络设备的一种结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
目前,在网络中部署网闸的情况下,为保证报文传输,需要为网闸的外端机和内端机配置IP地址。这使得在网络中部署网闸的情况下,网络的IP地址以及路由拓扑均需要被修改,网络的易用性和可扩展性低。
为了解决在网络中部署网闸的情况下网络的IP地址以及路由拓扑均被修改的问题,提高网络的易用性和可扩展性,本申请实施例提供了一种应用于网闸的报文处理方法。
该报文处理方法中,网闸包括的两个设备中存储有相同会话列表,会话列表中包括至少一个会话,每一会话包括报文特征信息。网闸包括的第一设备接收到第一报文后,在自身存储的会话列表中存在与第一报文的第一报文特征信息匹配的第一会话时,将第一报文的第一载荷发送给网闸包括的第二设备。第二设备中存在与第一会话相同的会话,即第二会话,依据第二会话中包括的与第一报文特征信息相同的第二报文特征信息,封装第一载荷,进而得到与第一报文相同的第二报文,然后再转发第二报文。
可见,本申请实施例中,利用在网闸包括的两个设备中存储有相同会话列表,采用相同的报文特征信息封装同一载荷,得到第二报文和原有的第一报文相同,不需要转换报文的目的IP地址和源IP地址,也就不需要为网闸包括的两个设备分配IP地址,实现了网闸的透明部署,解决了在网络中部署网闸的情况下网络的IP地址以及路由拓扑均被修改的问题,提高了网络的易用性和可扩展性。
下面结合具体实施例,对本申请进行详细说明。
参考图1,图1为本申请实施例提供的网闸的一种结构示意图。该网闸中包括第一设备100、第二设备110和隔离硬件120。隔离硬件120连接第一设备100和第二设备110。本申请实施例中,可以将第一设备100作为内端机,将第二设备110作为外端机。也可以将第一设备100作为外端机,将第二设备110作为内端机。第一设备100和第二设备110可以为物理机,也可以为虚拟机,本申请实施例不进行限定。
第一设备100和第二设备110中存储有相同的会话列表,会话列表中包括至少一个会话,每一会话包括报文特征信息。其中,报文特征信息可以为报文的五元组或七元组等。
本申请实施例中,每一会话包括的信息可参考表1所示。
表1
ID | Type | In_port | Out_port | Vid | SMAC | DMAC | SIP | DIP | Sport | Dport | Prop | TunnelId | State |
表1中,ID:Identity,为会话的标识。
Type:类型,表示会话所表示的报文的方向。例如,Type为0,表示报文的方向为:第一设备到第二设备;Type为1,表示报文的方向为:第二设备到第一设备。
In_port:表示入端口,也就是设备上接收报文的端口。在报文回应方向,为出端口,也就是设备上发送报文的端口。
Out_port:表示出端口,也就是设备上发送报文的端口。在报文回应方向,为入端口,也就是设备上接收报文的端口。
Vid:Virtual Local Area Network Identity,表示In_port和Out_port所属的虚拟局域网的标识。
SMAC:Source Media Access Control,表示报文的源媒体访问控制地址。
DMAC:Destination Media Access Control,表示报文的目的媒体访问控制地址。
SIP:Source IP,表示报文的源IP地址。
DIP:Destination IP,表示报文的目的IP地址。
Sport:Source port,表示报文的源端口。
Dport:Destination port,表示报文的目的端口。
Prop:Protocol,表示报文的协议类型。
TunnelID:表示会话对应的通道表项的标识。通过该TunnelID可以获取到通道表项,通道表项中包括安全策略。
State:表示会话的当前状态。
本申请实施例中,每一通道表项包括的信息可参考表2所示。
表2
ID | Type | In_port | Out_port | SIP | Sport | DIP | Dport | SecPolicyList |
表2中,ID:为通道表项的标识。
Type:会话所表示的报文的方向。例如,Type为0,表示报文的方向为第一设备到第二设备;Type为1表示报文的方向为第二设备到第一设备。
In_port:表示入端口。在报文回应方向,为出端口。
Out_port:表示出端口。在报文回应方向,为入端口。
SMAC:表示源媒体访问控制地址。
DMAC:表示目的媒体访问控制地址。
SIP:表示报文的源IP地址。
DIP:表示报文的目的IP地址。
Sport:表示报文的源端口。
Dport:表示报文的目的端口。
SecPolicyList:表示安全策略列表。
本申请实施例中,对于表2中SIP、DIP、Sport和Dport的信息,可以选择部分设置为空。例如,将SIP、Sport和Dport设置为空,这样,通道表项只需要检测报文的目的IP,对报文的目的IP进行安全检测。
本申请实施例中,第一设备100用于接收第一报文。
若第一设备100为外端机,则第一报文为客户端发送的报文。若第一设备100为内端机,则第一报文为服务器发送的报文。
第一设备100还用于判断自身存储的会话列表中是否存在与第一报文的第一报文特征信息匹配的第一会话。
第一设备100接收到第一报文后,对第一报文进行解封装,得到第一报文的第一报文特征信息和第一载荷。本申请实施例中,第一载荷包括第一报文的报文内容和TCP/UDP(Transmission Control Protocol/User Datagram Protocol,传输控制协议/用户数据报协议)头。
第一设备100从自身存储的会话列表中查找与第一报文特征信息匹配的第一会话。若查找到与第一报文特征信息匹配的第一会话,则判定存在第一会话。
以表1所示会话为例,若第一会话H1的Type为0,则
将第一报文特征信息中源IP地址与第一会话H1的SIP匹配;
将第一报文特征信息中源MAC地址与第一会话H1的SMC匹配;
将第一报文特征信息中源端口与第一会话H1的Sport匹配;
将第一报文特征信息中目的IP地址与第一会话H1的DIP匹配;
将第一报文特征信息中目的MAC地址与第一会话H1的DMC匹配;
将第一报文特征信息中目的端口与第一会话H1的Dport匹配;
将第一报文特征信息中协议与第一会话H1的Prop匹配。
若上述第一报文特征信息中的各个信息均匹配,则确定第一会话H1与第一报文特征信息匹配。
若第一会话H2的Type为1,则
将第一报文特征信息中源IP地址与第一会话H2的DIP匹配;
将第一报文特征信息中源MAC地址与第一会话H2的DMC匹配;
将第一报文特征信息中源端口与第一会话H2的Dport匹配;
将第一报文特征信息中目的IP地址与第一会话H2的SIP匹配;
将第一报文特征信息中目的MAC地址与第一会话H2的SMC匹配;
将第一报文特征信息中目的端口与第一会话H2的Sport匹配;
将第一报文特征信息中协议与第一会话H2的Prop匹配。
若上述第一报文特征信息中的各个信息均匹配,则确定第一会话H2与第一报文特征信息匹配。
在本申请的一个实施例中,对于需要转发的协议报文,例如二层广播报文和ICMP(Internet Control Message Protocol,网络控制报文协议)报文等,为避免根据安全策略进行安全检测时丢弃这类协议报文,预先设定需要转发的协议报文。
第一设备100在接收到第一报文后,先判断第一报文是否为预设协议报文。
若第一报文是预设协议报文,第一设备100确定第一报文为需要转发的协议报文,将第一报文发送给第二设备110。第二设备110直接转发第一报文。
若第一报文不是预设协议报文,第一设备100判断自身存储的会话列表中是否存在与第一报文特征信息匹配的第一会话。
第一设备100还用于若判定存在第一会话,则利用第一会话对应的第一安全策略,判断第一报文是否为合法报文。
其中,安全策略包括包过滤、内容扫描和认证审查等策略。第一设备100确定第一会话后,获取第一会话对应的第一安全策略。例如,如上述表1所示的会话中配置TunnelID,第一设备100通过第一会话中的TunnelID获取到第一会话对应的第一安全策略。
第一设备100利用第一安全策略,对第一报文进行安全检测。当第一报文通过安全检测后,第一设备100确定第一报文为合法报文。否则,第一设备100确定第一报文为非法报文。
在本申请的一个实施例中,若第一设备100确定第一报文为非法报文,则丢弃第一报文。一种实施方式中,第一设备100在丢弃第一报文时,可以生成告警信息。该告警信息用于告知用户网闸可能受到了网络攻击,以便于用户根据告警信息及时排除网络中的不安全因素。
第一设备100还用于若判定第一报文为合法报文,则将第一会话的第一会话标识和第一报文的第一载荷发送给第二设备110。
在本申请的一个实施例中,第一设备100若判定第一报文为合法报文,则按照与第二设备110间的预先协商的私有协议报文格式,封装第一会话标识和第一载荷,得到私有协议报文。第一设备100将得到的私有协议报文发送给第二设备110。这样,第二设备110可以按照与第一设备100间预先协商的私有协议报文格式,从私有协议报文中获取到第一会话标识和第一载荷。
一种实施方式中,私有协议报文格式可参看表3所示。
表3
Session ID | Type | 载荷 |
表3中的Session ID:表示会话的标识。
表3中的Type:表示私有协议报文的类型。例如,若Type为0,则表示需要安全防护报文的载荷;若Type为1,则表示需要同步会话;若Type为2,则表示需要转发预设协议报文。
表3中的载荷:表示私有协议报文的内容。例如,若Type为0,则载荷为报文的载荷;若Type为1,则载荷为需要同步的会话内容;若Type为2,则载荷为需要转发的预设协议报文。
第二设备110用于从自身存储的会话列表中,确定第一会话标识对应的第二会话。实质上,第一设备存储的第一会话与第二设备存储的第二会话,实际上为相同的会话。在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
第二设备110从第一设备100发送的私有协议报文中,获取到所述第一会话标识和第一载荷,进而从自身存储的会话列表中查找到包括该第一会话标识对应的第二会话。
第二设备110还用于从第二会话中获取第二报文特征信息。实质上,第二报文特征信息、第一报文特征信息为相同的报文特征信息。
由于第二设备110与第一设备100中的会话列表相同,因此,第一设备100确定的第一会话与第二设备110确定的第二会话相同。第二设备110从第二会话中获取的第二报文特征信息与第一报文的第一报文特征信息相同。
例如,以表1所示会话为例,若第二会话H3的Type为0,则
将第二会话H3的SIP作为第二报文特征信息中的源IP地址;
将第二会话H3的SMAC作为第二报文特征信息中的源MAC地址;
将第二会话H3的Sport作为第二报文特征信息中的源端口;
将第二会话H3的DIP作为第二报文特征信息中的目的IP地址;
将第二会话H3的DMAC作为第二报文特征信息中的目的MAC地址;
将第二会话H3的Dport作为第二报文特征信息中的目的端口;
将第二会话H3的Prop作为第二报文特征信息中的协议。
若第二会话H4的Type为1,则
将第二会话H4的DIP作为第二报文特征信息中的源IP地址;
将第二会话H4的DMAC作为第二报文特征信息中的源MAC地址;
将第二会话H4的Dport作为第二报文特征信息中的源端口;
将第二会话H4的SIP作为第二报文特征信息中的目的IP地址;
将第二会话H4的SMAC作为第二报文特征信息中的目的MAC地址;
将第二会话H4的Sport作为第二报文特征信息中的目的端口;
将第二会话H4的Prop作为第二报文特征信息中的协议。
第二设备110还用于利用获取的第二报文特征信息封装第一载荷,得到第二报文。
第二报文特征信息与第一报文的报文特征信息相同,第二设备110利用第二报文特征信息封装第一载荷,就可以获取到与第一报文相同的第二报文。
第二设备110还用于转发第二报文。
若第二设备110为内端机,则第二设备110通过第二会话中指定的出端口,将第二报文转发给服务器。若第二设备110为外端机,则第二设备110通过第二会话中指定的出端口,将第二报文转发给客户端。
可见,本申请实施例中,利用在网闸包括的两个设备中存储有相同会话列表,采用相同的报文特征信息封装同一载荷,得到第二报文和原有的第一报文相同,不需要转换报文的目的IP地址和源IP地址,也就不需要为网闸包括的两个设备分配IP地址,实现了网闸的透明部署,解决了在网络中部署网闸的情况下网络的IP地址以及路由拓扑均被修改的问题,提高了网络的易用性和可扩展性。
另外,本申请实施例中,不需要为网闸的内端机和外端机配置IP地址,服务器和客户端感知不到网络中部署了网闸,实现了网闸的透明部署。网闸透明部署,不需要对现有网络进行改变,增加了整个网络的稳定性和健壮性。
再次,本申请实施例中,不需要为网闸的内端机和外端机配置IP地址,也就不需要重新规划IP地址和路由,减少了部署和维护成本,以及降低了网络变动可能带来的未知风险。
在本申请的一个实施例中,第一设备100在判断自身存储的会话列表中是否存在与第一报文的第一报文特征信息匹配的第一会话之后,若判定会话列表中不存在第一会话,则从预先存储的报文特征信息与安全策略的多个对应关系中,获取第一报文特征信息对应的第一安全策略,这里,预先存储的报文特征信息与安全策略的对应关系可以参考表2所示的通道表项。
第一设备100若从预先存储的报文特征信息与安全策略的对应关系中,未获取到第一安全策略,则丢弃第一报文。
第一设备100若从预先存储的报文特征信息与安全策略的对应关系中,获取到第一安全策略,则利用第一安全策略,判断第一报文是否为合法报文。第一设备100若判定第一报文为合法报文,则生成包括第一报文特征信息的第一会话,并建立第一会话与第一安全策略的对应关系。
以上述表1和表2为例,第一设备100若判定第一报文为合法报文,则生成第一会话H5,并建立第一会话H5与第一安全策略的对应关系。
具体的,第一会话H5中的Type为0。第一会话H5中的SMAC为第一报文特征信息中的源MAC地址。第一会话H5中的DMAC为第一报文特征信息中的目的MAC地址。第一会话H5中的SIP为第一报文特征信息中的源IP地址。第一会话H5中的DIP为第一报文特征信息中的目的IP地址。第一会话H5中的Sport为第一报文特征信息中的源端口。第一会话H5中的Dport为第一报文特征信息中的目的端口。第一会话H5中的Prop为第一报文特征信息中的协议类型。第一会话H5中的TunnelID为第一安全策略所在通道表项的标识。这里,利用在第一会话H5将添加TunnelID,建立了第一会话H5与第一安全策略的对应关系。
第一设备100在生成第一会话后,向第二设备110发送第一会话、第一会话的第一会话标识和第一报文的载荷。
第二设备110将第一会话存入会话列表。为便于区分,将第二设备中存储的第一会话以第二会话说明。第二设备确定第一会话标识对应的第二会话;从第二会话中获取第二报文特征信息;利用获取的第二报文特征信息封装第一载荷,得到第二报文,进而转发第二报文。
在本申请的一个实施例中,可以根据各个端口的类型进行配置,为第一设备100和第二设备110的各个端口配置所属的VLAN(Virtual Local Area Network,虚拟局域网)。具体的,第一设备100和第二设备110的端口,以第一端口为例,配置第一端所属的VLAN方式如下。
若第一端口为access端口,也就是第一端口与路由器连接,由于路由器的端口不配置所属的VALN,因此第一端口所属的VLAN可以任意指定一个。
若第一端口为truck端口,也就是第一端口与交换机连接,由于交换机的端口配置有所属的VALN,为了保证报文的传输,配置的第一端口所属的VLAN与交换机的端口所属的VALN一致。
按照各个端口配置所属的VLAN,建立各个VLAN的会话列表和通道列表,也就是,一个VLAN对应一个会话列表和一个通道列表。一个通道列表中包括至少一个通道表项,通道表项包括报文特征信息与安全策略的对应关系。
此时,第一设备100若接收到第一报文,可以确定接收第一报文的端口所属的VLAN,为第一VLAN。
第一设备100确定第一VLAN对应的会话列表,判断自身存储的第一VLAN对应的会话列表中是否存在与第一报文特征信息匹配的第一会话。
第一设备100若判定存在第一会话,从第一VLAN对应的通道列表中查找第一会话对应的通道表项,进而获取第一会话对应的第一安全策略。也就是,第一设备100从第一VLAN对应的安全策略中,获取第一会话对应的第一安全策略。
如上述表1表2所示,第一设备100在确定第一VLAN后,从第一VLAN对应的会话列表中确定第一会话,并从第一会话中获取到TunnelID1。之后,第一设备100从第一VLAN对应的通道列表中查找TunnelID1的通道表项,进而获取到第一会话对应的第一安全策略。
第一设备100利用第一会话对应的第一安全策略,判断第一报文是否为合法报文;若判定第一报文为合法报文,则第一设备100将第一VLAN的VLAN标识、第一会话的第一会话标识和第一报文的第一载荷发送给第二设备110。
此时,第一设备100与第二设备110间预先协商的私有协议报文格式可参考表4所示。
表4
Session ID | VLAN ID | Type | 载荷 |
表4中的Session ID:表示会话的标识。
表4中的VLAN ID:表示会话对应的虚拟局域网的标识。
表4中的Type:表示私有协议报文的类型。
表4中的载荷:表示私有协议报文的内容。
第二设备110确定VLAN标识对应的第二VLAN,从自身存储的第二VLAN对应的会话列表中查找所述第一会话标识对应的第二会话。第二设备110从第二会话中获取第二报文特征信息;利用获取的第二报文特征信息封装第一载荷,得到第二报文,进而转发第二报文。在这里,第一VLAN与第二VLAN实际上是相同的VLAN,本实施例只是用第一、第二区分而已。
按照各个端口配置所属的VLAN,将总的会话列表拆分为多个小的会话列表。第一设备100和第二设备110在VLAN对应的会话列表中查找对应的会话,提高了处理报文的效率。
基于相同的发明构思,本申请实施例还提供了一种报文处理方法。参考图2所示的本申请实施例提供的报文处理方法的第一种流程示意图,应用于网闸,网闸包括第一设备、第二设备和隔离硬件,隔离硬件连接第一设备和第二设备,第一设备和第二设备中存储有相同的会话列表,会话列表中包括至少一个会话,每一会话包括报文特征信息。该报文处理方法包括如下步骤。
步骤201:第一设备接收第一报文。
若第一设备为外端机,则第一报文为客户端发送的报文。若第一设备为内端机,则第一报文为服务器发送的报文。
步骤202:第一设备判断自身存储的会话列表中是否存在与第一报文的第一报文特征信息匹配的第一会话。若是,则执行步骤203。
第一设备接收到第一报文后,对第一报文进行解封装,得到第一报文的第一报文特征信息和第一载荷。这里,报文特征信息可以为报文的五元组,也可以为报文的七元组等。
在本申请的一个实施例中,为避免根据安全策略进行安全检测时丢弃需要转发的协议报文,预先设定需要转发的协议报文。
第一设备在接收到第一报文后,先判断第一报文是否为预设协议报文。
第一设备若判定第一报文为预设协议报文,则将第一报文发送给第二设备。第二设备直接转发第一报文。
第一设备若判定第一报文不是预设协议报文,则判断自身存储的会话列表中是否存在与第一报文的第一报文特征信息匹配的第一会话。
步骤203:第一设备利用第一会话对应的第一安全策略,判断第一报文是否为合法报文。若是,则执行步骤204。
其中,安全策略包括包过滤、内容扫描和认证审查等策略。
在本申请的一个实施例中,第一设备若判定第一报文不是合法报文,则丢弃第一报文。一种实施方式中,第一设备在丢弃第一报文时,可以生成告警信息。该告警信息用于告知用户网闸可能受到了网络攻击,以便于用户根据告警信息及时排除网络中的不安全因素。
步骤204:第一设备将第一会话的第一会话标识和第一报文的第一载荷发送给第二设备。
在本申请的一个实施例中,第一设备若判定第一报文为合法报文,则按照与第二设备间预先协商的私有协议报文格式,封装第一会话的第一会话标识和第一载荷,得到私有协议报文。第一设备将得到的私有协议报文发送给第二设备。这样,第二设备可以按照与第一设备间预先协商的私有协议报文格式,从私有协议报文中获取到第一会话标识和第一载荷。其中,私有协议报文格式可参看表3所示。
步骤205:第二设备从自身存储的会话列表中,确定第一会话标识对应的第二会话。
第二设备从第一设备发送的私有协议报文中,获取到第一会话标识,进而从自身存储的会话列表中查找到包括该第一会话标识的第二会话。
步骤206:第二设备从第二会话中获取第二报文特征信息。
由于第二设备与第一设备中的会话列表相同,因此第一设备确定的第一会话与第二设备确定的第二会话相同。第二设备从第二会话中获取的第二报文特征信息与第一报文的第一报文特征信息相同。
步骤207:第二设备利用获取的第二报文特征信息封装第一载荷,得到第二报文。
第二报文特征信息与第一报文特征信息相同,第二设备110利用获取的第二报文特征信息封装第一载荷,就可以获取到与第一报文相同的第二报文。
之后,第二设备转发第二报文。
具体的,若第二设备为内端机,则第二设备通过第二会话中指定的出端口,将第二报文转发给服务器。若第二设备为外端机,则第二设备通过第二会话中指定的出端口,将第二报文转发给客户端。
可见,本申请实施例中,利用在网闸包括的两个设备中存储有相同会话列表,采用相同的报文特征信息封装同一载荷,得到第二报文和原有的第一报文相同,不需要转换报文的目的IP地址和源IP地址,也就不需要为网闸包括的两个设备分配IP地址,实现了网闸的透明部署,解决了在网络中部署网闸的情况下网络的IP地址以及路由拓扑均被修改的问题,提高了网络的易用性和可扩展性。
另外,本申请实施例中,不需要为网闸的内端机和外端机配置IP地址,服务器和客户端感知不到网络中部署了网闸,实现了网闸的透明部署。网闸透明部署,不需要对现有网络进行改变,增加了整个网络的稳定性和健壮性。
再次,本申请实施例中,不需要为网闸的内端机和外端机配置IP地址,也就不需要重新规划IP地址和路由,减少了部署和维护成本,以及降低了网络变动可能带来的未知风险。
在本申请的一个实施例中,第一设备若判定自身存储的会话列表中不存在第一会话,则从预先存储的报文特征信息与安全策略的对应关系中,获取第一报文特征信息对应的第一安全策略。这里,预先存储的报文特征信息与安全策略的对应关系可以参考表2所示的通道表项。
第一设备若从预先存储的报文特征信息与安全策略的对应关系中,未获取到第一安全策略,则丢弃第一报文。
第一设备若从预先存储的报文特征信息与安全策略的对应关系中,获取到第一安全策略,则利用第一安全策略,判断第一报文是否为合法报文。第一设备若判定第一报文为合法报文,则生成包括第一报文特征信息的第一会话,并建立第一会话与第一安全策略的对应关系。第一设备向第二设备发送第一会话、第一会话的第一会话标识和第一报文的第一载荷。
第二设备将第一会话存入会话列表。为便于区分,第二设备存储的第一会话以第二会话说明。第二设备确定第一会话标识对应的第二会话;从自身存储的第二会话中获取第二报文特征信息;利用获取的第二报文特征信息封装第一载荷,得到第二报文,进而转发第二报文。
在本申请的一个实施例中,可以根据各个端口的类型进行配置,为第一设备和第二设备的各个端口配置所属的VLAN。以第一端口为例,配置第一端所属的VLAN方式如下。
若第一端口为access端口,也就是第一端口与路由器连接,由于路由器的端口不配置所属的VALN,因此第一端口所属的VLAN可以任意指定一个。
若第一端口为truck端口,也就是第一端口与交换机连接,由于交换机的端口配置有所属的VALN,为了保证报文的传输,配置的第一端口所属的VLAN与交换机的端口所属的VALN一致。
按照各个端口配置所属的VLAN,建立各个VLAN的会话列表和通道列表,也就是,一个VLAN对应一个会话列表和一个通道列表。一个通道列表中包括至少一个通道表项,通道表项包括报文特征信息与安全策略的对应关系。
此时,上述第一设备判断自身存储的会话列表中是否存在与第一报文的第一报文特征信息匹配的第一会话的步骤,可以包括:
第一设备确定第一报文所属的第一VLAN,判断第一VLAN对应的会话列表中是否存在与第一报文的第一报文特征信息匹配的第一会话。这里,第一报文所属的第一VLAN即为接收第一报文的端口所属的VLAN。
上述第一设备利用第一会话对应的第一安全策略,判断第一报文是否为合法报文的步骤,可以包括:第一设备从第一VLAN对应的安全策略中,获取第一会话对应的第一安全策略,利用第一安全策略,判断第一报文是否为合法报文。
上述第一设备将第一会话标识和第一载荷发送给第二设备的步骤,可以包括:第一设备将第一VLAN的VLAN标识、第一会话标识和第一载荷发送给第二设备。此时,第一设备100与第二设备110间预先协商的私有协议报文格式可参考表4所示。
上述第二设备确定第一会话标识对应的第二会话的步骤,可以包括:第二设备确定VLAN标识对应的第二VLAN,从自身存储的第二VLAN对应的会话列表中查找第一会话标识对应的第二会话。
按照各个端口配置所属的VLAN,将总的会话列表拆分为多个小的会话列表。第一设备100和第二设备110在VLAN对应的会话列表中查找对应的会话,提高了处理报文的效率。
下面结合图3所示的报文处理的流程示意图,对本申请实施例提供的报文处理方法进行详细说明。其中,网闸包括第一设备、第二设备和隔离硬件,第一设备和第二设备中存储有相同的会话列表,会话列表中包括至少一个会话,每一会话包括报文特征信息。
步骤301:第一设备通过第一端口接收报文X。
步骤302:第一设备将第一端口所属的VLAN,确定为报文X所属VLAN。例如,确定报文X所属VLAN为VLAN 100。
步骤303:第一设备判断报文X是否为预设协议报文。其中,预设协议报文包括二层广播报文和ICMP报文等。
若确定报文X为预设协议报文,则执行步骤304。若确定报文X不是预设协议报文,则执行步骤306。
步骤304:第一设备将报文X封装在私有协议报文1中发送给第二设备。
步骤305:第二设备从私有协议报文1中获取到报文X,转发报文X。
步骤306:第一设备从报文X中提取报文特征信息T和载荷Z,判断VLAN100对应的会话列表中是否存在与报文特征信息T匹配的会话H6。
若不存在会话H6,则执行步骤307。若存在会话H6,则执行步骤315。
步骤307:第一设备从VLAN 100对应的通道列表中查找与报文特征信息T的通道表项1。若未查找到,则执行步骤308。若查找到,则执行步骤309。
步骤308:第一设备丢弃报文X。
步骤309:第一设备从通道表项1中获取到安全策略CL,利用安全策略CL,对报文X进行安全检测,判断报文X是否为合法报文。
若报文X是非法报文,则执行步骤310。若报文X是合法报文,则执行步骤311。
步骤310:第一设备丢弃报文X。
步骤311:第一设备生成会话H6,将会话H6存储在VLAN 100对应的列表中。会话H6中Type为0。TunnelID为通道表项1的标识。
步骤312:第一设备将会话H6、VLAN 100的标识、会话H6的标识和载荷Z发送给第二设备。
步骤313:第二设备将会话H6存储在VLAN 100对应的列表中,并依据VLAN 100的标识和会话H6的标识,获取到会话H6,从会话H6中获取到报文特征信息T,利用报文特征信息T封装载荷Z,得到报文X。
步骤314:第二设备通过会话H6中指定的出端口转发报文X。
步骤315:若步骤306中判定存在会话H6,则第一设备根据会话H6中的TunnelID,查找到通道表项1,从通道表项1中获取到会话H6对应的安全策略CL。
步骤316:第一设备利用安全策略CL,对报文X进行安全检测,判断报文X是否为合法报文。
若报文X是非法报文,则执行步骤317。若报文X是合法报文,则执行步骤318。
步骤317:第一设备丢弃报文X。
步骤318:第一设备将VLAN 100的标识、会话H6的标识和载荷Z发送给第二设备。
步骤319:第二设备依据VLAN 100的标识和会话H6的标识,获取到会话H6,从会话H6中获取到报文特征信息T,利用报文特征信息T封装载荷Z,得到报文X。
步骤320:第二设备通过会话H6中指定的出端口转发报文X。
基于相同的发明构思,本申请实施例还提供了一种报文处理方法。参考图4所示的本申请实施例提供的报文处理方法的第三种流程示意图,应用于网闸的第一设备,网闸还包括第二设备和隔离硬件,隔离硬件连接第一设备和第二设备,第一设备和第二设备中存储有相同的会话列表,会话列表中包括至少一个会话,每一会话包括报文特征信息。该报文处理方法包括如下步骤。
步骤401:接收第一报文。
若第一设备为外端机,则第一报文为客户端发送的报文。若第一设备为内端机,则第一报文为服务器发送的报文。
步骤402:判断自身存储的会话列表中是否存在与第一报文的第一报文特征信息匹配的第一会话。若是,则执行步骤403。
第一设备接收到第一报文后,对第一报文进行解封装,得到第一报文的第一报文特征信息和第一载荷。这里,报文特征信息可以为报文的五元组,也可以为报文的七元组等。
在本申请的一个实施例中,为避免根据安全策略进行安全检测时丢弃需要转发的协议报文,预先设定需要转发的协议报文。
第一设备在接收到第一报文后,先判断第一报文是否为预设协议报文。
第一设备若判定第一报文为预设协议报文,则将第一报文发送给第二设备。第二设备直接转发第一报文。
第一设备若判定第一报文不是预设协议报文,则判断自身存储的会话列表中是否存在与第一报文特征信息匹配的第一会话。
步骤403:利用第一会话对应的第一安全策略,判断第一报文是否为合法报文。若是,则执行步骤404。
其中,安全策略包括包过滤、内容扫描和认证审查等策略。
在本申请的一个实施例中,第一设备若判定第一报文不是合法报文,则丢弃第一报文。一种实施方式中,第一设备在丢弃第一报文时,可以生成告警信息。该告警信息用于告知用户网闸可能受到了网络攻击,以便于用户根据告警信息及时排除网络中的不安全因素。
步骤404:将第一会话的第一会话标识和第一报文的第一载荷发送给第二设备。
在本申请的一个实施例中,第一设备若判定第一报文为合法报文,则按照与第二设备间预先协商的私有协议报文格式,封装第一会话的第一会话标识和第一载荷,得到私有协议报文。第一设备将得到的私有协议报文发送给第二设备。这样,第二设备可以按照与第一设备间预先协商的私有协议报文格式,从私有协议报文中获取到第一会话标识和第一载荷。其中,私有协议报文格式可参看表3所示。
第二设备在接收到第一会话标识和第一载荷之后,从自身存储的会话列表中,确定第一会话标识对应的第二会话,从第二会话中获取第二报文特征信息,然后,利用获取的第二报文特征信息封装第一载荷,得到第二报文,进而转发第二报文。
可见,本申请实施例中,利用在网闸包括的两个设备中存储有相同会话列表,采用相同的报文特征信息封装同一载荷,得到第二报文和原有的第一报文相同,不需要转换报文的目的IP地址和源IP地址,也就不需要为网闸包括的两个设备分配IP地址,实现了网闸的透明部署,解决了在网络中部署网闸的情况下网络的IP地址以及路由拓扑均被修改的问题,提高了网络的易用性和可扩展性。
另外,本申请实施例中,不需要为网闸的内端机和外端机配置IP地址,服务器和客户端感知不到网络中部署了网闸,实现了网闸的透明部署。网闸透明部署,不需要对现有网络进行改变,增加了整个网络的稳定性和健壮性。
再次,本申请实施例中,不需要为网闸的内端机和外端机配置IP地址,也就不需要重新规划IP地址和路由,减少了部署和维护成本,以及降低了网络变动可能带来的未知风险。
在本申请的一个实施例中,第一设备若判定会话列表中不存在第一会话,则从预先存储的报文特征信息与安全策略的对应关系中,获取第一报文特征信息对应的第一安全策略。这里,预先存储的报文特征信息与安全策略的对应关系可以参考表2所示的通道表项。
第一设备若从预先存储的报文特征信息与安全策略的对应关系中,未获取到第一安全策略,则丢弃第一报文。
第一设备若从预先存储的报文特征信息与安全策略的对应关系中,获取到第一安全策略,则利用第一安全策略,判断第一报文是否为合法报文。第一设备若判定第一报文为合法报文,则生成包括第一报文特征信息的第一会话,并建立第一会话与第一安全策略的对应关系。第一设备向第二设备发送第一会话、第一会话标识和第一载荷。
第二设备将第一会话存入会话列表,确定第一会话标识对应的第二会话;从第二会话中获取第二报文特征信息;利用获取的第二报文特征信息封装第一载荷,得到第二报文,进而转发第二报文。第一设备存储的第一会话与第二设备存储的第二会话,实际上为相同的会话。
在本申请的一个实施例中,可以根据各个端口的类型进行配置,为第一设备和第二设备的各个端口配置所属的VLAN。以第一端口为例,配置第一端所属的VLAN方式如下。
若第一端口为access端口,也就是第一端口与路由器连接,由于路由器的端口不配置所属的VALN,因此第一端口所属的VLAN可以任意指定一个。
若第一端口为truck端口,也就是第一端口与交换机连接,由于交换机的端口配置有所属的VALN,为了保证报文的传输,配置的第一端口所属的VLAN与交换机的端口所属的VALN一致。
按照各个端口配置所属的VLAN,建立各个VLAN的会话列表和通道列表,也就是,一个VLAN对应一个会话列表和一个通道列表。一个通道列表中包括至少一个通道表项,通道表项包括报文特征信息与安全策略的对应关系。
此时,上述步骤402判断自身存储的会话列表中是否存在与第一报文的第一报文特征信息匹配的第一会话,可以包括:确定第一报文所属的第一VLAN,判断自身存储的第一VLAN对应的会话列表中是否存在与第一报文特征信息匹配的第一会话。
上述步骤403利用第一会话对应的第一安全策略,判断第一报文是否为合法报文,可以包括:从VLAN对应的安全策略中,获取第一会话对应的第一安全策略,利用第一安全策略,判断第一报文是否为合法报文。
上述步骤404将第一会话标识和第一载荷发送给第二设备,可以包括:将第一VLAN的VLAN标识、第一会话标识和第一载荷发送给第二设备。这样,第二设备确定VLAN标识对应的第二VLAN,从第二VLAN对应的会话列表中确定第一会话标识对应的第二会话。第一VLAN与第二VLAN实际上是相同的VLAN。
在本申请的一个实施例中,第一设备接收第二设备发送的第二会话标识和第二载荷。第一设备确定第二会话标识对应的第三会话,从第三会话中获取第三报文特征信息,利用获取的第三报文特征信息封装第二载荷,得到第三报文,进而转发第三报文。
基于相同的发明构思,本申请实施例还提供了一种网络设备,如图5所示,包括处理器501和机器可读存储介质502,机器可读存储介质502存储有能够被处理器501执行的机器可执行指令。处理器501被机器可执行指令促使实现上述图4所示的报文处理方法实施例。其中报文处理方法包括如下步骤。
接收第一报文;
判断自身存储的会话列表中是否存在与第一报文的第一报文特征信息匹配的第一会话;
若判定存在第一会话,则利用第一会话对应的第一安全策略,判断第一报文是否为合法报文;
若判定第一报文为合法报文,则将第一会话的第一会话标识和第一报文的第一载荷发送给第二设备,以使第二设备从第一会话标识对应的第二会话中获取第二报文特征信息,利用获取的第二报文特征信息封装第一载荷,得到第二报文。
可见,本申请实施例中,利用在网闸包括的两个设备中存储有相同会话列表,采用相同的报文特征信息封装同一载荷,得到第二报文和原有的第一报文相同,不需要转换报文的目的IP地址和源IP地址,也就不需要为网闸包括的两个设备分配IP地址,实现了网闸的透明部署,解决了在网络中部署网闸的情况下网络的IP地址以及路由拓扑均被修改的问题,提高了网络的易用性和可扩展性。
另外,本申请实施例中,不需要为网闸的内端机和外端机配置IP地址,服务器和客户端感知不到网络中部署了网闸,实现了网闸的透明部署。网闸透明部署,不需要对现有网络进行改变,增加了整个网络的稳定性和健壮性。
再次,本申请实施例中,不需要为网闸的内端机和外端机配置IP地址,也就不需要重新规划IP地址和路由,减少了部署和维护成本,以及降低了网络变动可能带来的未知风险。
机器可读存储介质502可以包括RAM(Random Access Memory,随机存取存储器),也可以包括NVM(Non-Volatile Memory,非易失性存储器),例如至少一个磁盘存储器。另外,机器可读存储介质502还可以是至少一个位于远离前述处理器的存储装置。
处理器501可以是通用处理器,包括CPU(Central Processing Unit,中央处理器)、NP(Network Processor,网络处理器)等;还可以是DSP(Digital Signal Processing,数字信号处理器)、ASIC(Application Specific Integrated Circuit,专用集成电路)、FPGA(Field-Programmable Gate Array,现场可编程门阵列)或其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于报文处理方法和网络设备实施例而言,由于其基本相似于网闸实施例,所以描述的比较简单,相关之处参见网闸实施例的部分说明即可。
以上所述仅为本申请的较佳实施例而已,并非用于限定本申请的保护范围。凡在本申请的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本申请的保护范围内。
Claims (11)
1.一种报文处理方法,其特征在于,应用于网闸,所述网闸包括第一设备、第二设备和隔离硬件,所述隔离硬件连接所述第一设备和所述第二设备,所述第一设备和所述第二设备中存储有相同的会话列表,所述会话列表中包括至少一个会话,每一会话包括报文特征信息;所述方法包括:
所述第一设备接收第一报文;
所述第一设备判断自身存储的会话列表中是否存在与所述第一报文的第一报文特征信息匹配的第一会话;
所述第一设备若判定存在所述第一会话,则在判定所述第一报文为合法报文的情况下,将所述第一会话的第一会话标识和所述第一报文的第一载荷发送给所述第二设备;
所述第二设备从自身存储的会话列表中,确定所述第一会话标识对应的第二会话,并从所述第二会话中获取第二报文特征信息;
所述第二设备利用获取的所述第二报文特征信息封装所述第一载荷,得到第二报文。
2.根据权利要求1所述的方法,其特征在于,所述第一设备判断自身存储的会话列表中是否存在与所述第一报文的第一报文特征信息匹配的第一会话的步骤,包括:
所述第一设备判断所述第一报文是否为预设协议报文;若否,则判断自身存储的会话列表中是否存在与所述第一报文的第一报文特征信息匹配的第一会话。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
所述第一设备若判定所述第一报文为预设协议报文,则将所述第一报文发送给所述第二设备;
所述第二设备转发所述第一报文。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
所述第一设备若判定自身存储的会话列表中不存在所述第一会话,则从预先存储的报文特征信息与安全策略的对应关系中,获取所述第一报文特征信息对应的第一安全策略;
所述第一设备利用所述第一安全策略,若判定所述第一报文为合法报文,则生成包括所述第一报文特征信息的所述第一会话,并建立所述第一会话与所述第一安全策略的对应关系;
所述第一设备向所述第二设备发送所述第一会话、所述第一会话标识和所述第一载荷。
5.根据权利要求1-4任一项所述的方法,其特征在于,
所述第一设备判断自身存储的会话列表中是否存在与所述第一报文的第一报文特征信息匹配的第一会话的步骤,包括:
所述第一设备确定所述第一报文所属的第一虚拟局域网VLAN,判断自身存储的所述第一VLAN对应的会话列表中是否存在与所述第一报文的第一报文特征信息匹配的第一会话;
所述第一设备将所述第一会话的第一会话标识和所述第一报文的第一载荷发送给所述第二设备的步骤,包括:
所述第一设备将所述第一VLAN的VLAN标识、所述第一会话的第一会话标识和所述第一报文的第一载荷发送给所述第二设备;
所述第二设备从自身存储的会话列表中,确定所述第一会话标识对应的第二会话的步骤,包括:
所述第二设备确定所述VLAN标识对应的第二VLAN,从自身存储的所述第二VLAN对应的会话列表中查找所述第一会话标识对应的第二会话。
6.一种报文处理方法,其特征在于,应用于网闸第一设备,所述网闸还包括第二设备和隔离硬件,所述隔离硬件连接所述第一设备和所述第二设备,所述第一设备和所述第二设备中存储有相同的会话列表,所述会话列表中包括至少一个会话,每一会话包括报文特征信息;所述方法包括:
接收第一报文;
判断自身存储的会话列表中是否存在与所述第一报文的第一报文特征信息匹配的第一会话;
若判定存在所述第一会话,则在判定所述第一报文为合法报文的情况下,将所述第一会话的第一会话标识和所述第一报文的第一载荷发送给所述第二设备,以使所述第二设备从所述第一会话标识对应的第二会话中获取第二报文特征信息,利用所述第二报文特征信息封装所述第一载荷,得到第二报文。
7.根据权利要求6所述的方法,其特征在于,所述方法还包括:
接收所述第二设备发送的第二会话标识和第二载荷;
从自身存储的会话列表中确定所述第二会话标识对应的所述第三会话;
从所述第三会话中获取第三报文特征信息;
利用所述第三报文特征信息封装所述第二载荷,得到第三报文。
8.根据权利要求6或7所述的方法,其特征在于,所述判断自身存储的会话列表中是否存在与所述第一报文的第一报文特征信息匹配的第一会话的步骤,包括:
判断所述第一报文是否为预设协议报文;若否,则判断自身存储的会话列表中是否存在与所述第一报文的第一报文特征信息匹配的第一会话。
9.根据权利要求8所述的方法,其特征在于,所述方法还包括:
若判定所述第一报文为预设协议报文,则将所述第一报文发送给所述第二设备,以使所述第二设备转发所述第一报文。
10.根据权利要求6或7所述的方法,其特征在于,所述方法还包括:
若判定自身存储的会话列表中不存在所述第一会话,则从预先存储的报文特征信息与安全策略的对应关系中,获取所述第一报文特征信息对应的所述第一安全策略;
利用所述第一安全策略,若判定所述第一报文为合法报文,则生成包括所述第一报文特征信息的所述第一会话,并建立所述第一会话与所述第一安全策略的对应关系;
向所述第二设备发送所述第一会话、所述第一会话标识和所述第一载荷。
11.根据权利要求6或7所述的方法,其特征在于,
所述判断自身存储的会话列表中是否存在与所述第一报文的第一报文特征信息匹配的第一会话的步骤,包括:
确定所述第一报文所属的第一虚拟局域网VLAN,判断自身存储的所述第一VLAN对应的会话列表中是否存在与所述第一报文特征信息匹配的第一会话;
所述将所述第一会话的第一会话标识和所述第一报文的第一载荷发送给所述第二设备的步骤,包括:
将所述第一VLAN的VLAN标识、所述第一会话的第一会话标识和所述第一报文的第一载荷发送给所述第二设备,以使所述第二设备确定所述VLAN标识对应的第二VLAN,从自身存储的所述第二VLAN对应的会话列表中确定所述第一会话标识对应的第二会话。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810395162.8A CN108540492A (zh) | 2018-04-27 | 2018-04-27 | 一种报文处理方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810395162.8A CN108540492A (zh) | 2018-04-27 | 2018-04-27 | 一种报文处理方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN108540492A true CN108540492A (zh) | 2018-09-14 |
Family
ID=63479585
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810395162.8A Pending CN108540492A (zh) | 2018-04-27 | 2018-04-27 | 一种报文处理方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108540492A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109639707A (zh) * | 2018-12-27 | 2019-04-16 | 北京奇安信科技有限公司 | 基于网闸的数据传输方法、设备、系统和介质 |
CN115065735A (zh) * | 2022-03-08 | 2022-09-16 | 阿里巴巴(中国)有限公司 | 报文处理方法及电子设备 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102624584A (zh) * | 2012-03-01 | 2012-08-01 | 中兴通讯股份有限公司 | 链路检测方法及装置 |
CN103746920A (zh) * | 2014-01-24 | 2014-04-23 | 成都卫士通信息产业股份有限公司 | 一种基于网闸实现数据传输的方法 |
US20140298008A1 (en) * | 2013-03-27 | 2014-10-02 | National Oilwell Varco, L.P. | Control System Security Appliance |
CN106789894A (zh) * | 2016-11-18 | 2017-05-31 | 天津光电聚能专用通信设备有限公司 | 基于三cpu架构的跨网安全数据传输设备及其实现方法 |
CN106998287A (zh) * | 2016-01-22 | 2017-08-01 | 北京北信源软件股份有限公司 | 一种针对隔离网络环境的即时通信群消息合并转发方法 |
-
2018
- 2018-04-27 CN CN201810395162.8A patent/CN108540492A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102624584A (zh) * | 2012-03-01 | 2012-08-01 | 中兴通讯股份有限公司 | 链路检测方法及装置 |
US20140298008A1 (en) * | 2013-03-27 | 2014-10-02 | National Oilwell Varco, L.P. | Control System Security Appliance |
CN103746920A (zh) * | 2014-01-24 | 2014-04-23 | 成都卫士通信息产业股份有限公司 | 一种基于网闸实现数据传输的方法 |
CN106998287A (zh) * | 2016-01-22 | 2017-08-01 | 北京北信源软件股份有限公司 | 一种针对隔离网络环境的即时通信群消息合并转发方法 |
CN106789894A (zh) * | 2016-11-18 | 2017-05-31 | 天津光电聚能专用通信设备有限公司 | 基于三cpu架构的跨网安全数据传输设备及其实现方法 |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109639707A (zh) * | 2018-12-27 | 2019-04-16 | 北京奇安信科技有限公司 | 基于网闸的数据传输方法、设备、系统和介质 |
CN109639707B (zh) * | 2018-12-27 | 2021-07-09 | 奇安信科技集团股份有限公司 | 基于网闸的数据传输方法、设备、系统和介质 |
CN115065735A (zh) * | 2022-03-08 | 2022-09-16 | 阿里巴巴(中国)有限公司 | 报文处理方法及电子设备 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107911258B (zh) | 一种基于sdn网络的安全资源池的实现方法及系统 | |
US7855955B2 (en) | Method for managing frames in a global-area communications network, corresponding computer-readable storage medium and tunnel endpoint | |
US6640251B1 (en) | Multicast-enabled address resolution protocol (ME-ARP) | |
CN104869042B (zh) | 报文转发方法和装置 | |
EP2057796B1 (en) | Point-to-multipoint functionality in a bridged network | |
US9461868B2 (en) | System and apparatus for router advertisement options for configuring networks to support IPv6 to IPv4 multicast translation | |
US9900238B2 (en) | Overlay network-based original packet flow mapping apparatus and method therefor | |
CN106559302A (zh) | 单播隧道建立方法、装置和系统 | |
CN102970227A (zh) | 在asic中实现vxlan报文转发的方法和装置 | |
EP3245768B1 (en) | Bidirectional forwarding detection over network virtualization using generic routing encapsulation | |
CN101816168A (zh) | Vrrp和学习网桥cpe | |
US20070071012A1 (en) | Home network connection management system using UPnP and VLAN multicast | |
EP3448001B1 (en) | Communication security apparatus, control method, and storage medium storing a program | |
Pignataro et al. | Seamless Bidirectional Forwarding Detection (S-BFD) for IPv4, IPv6, and MPLS | |
CN108540492A (zh) | 一种报文处理方法 | |
US20180167231A1 (en) | Managing multiple virtual network memberships | |
CN107426346B (zh) | 一种二层报文安全穿越三层网络的方法及系统 | |
CN107547691B (zh) | 地址解析协议报文代理方法和装置 | |
CN103036761A (zh) | 一种隧道服务器和客户端装置 | |
CN102611603B (zh) | 静态mpls隧道转发表的建立、数据的传输方法及装置 | |
CN103152255B (zh) | 一种数据转发的方法和装置 | |
CN106411732B (zh) | 一种报文转发方法及装置 | |
KR101002811B1 (ko) | Ip 멀티캐스팅 패킷 터널링 제공 방법 및 장치 | |
KR101712922B1 (ko) | 동적 터널엔드 방식의 가상 사설 네트워크 시스템과 그를 위한 가상 라우터 및 매니저 장치 | |
EP3556055B1 (en) | System and method for enabling coexisting hotspot and dmz |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180914 |
|
RJ01 | Rejection of invention patent application after publication |