CN112866245B - 报文路由方法及装置 - Google Patents
报文路由方法及装置 Download PDFInfo
- Publication number
- CN112866245B CN112866245B CN202110061188.0A CN202110061188A CN112866245B CN 112866245 B CN112866245 B CN 112866245B CN 202110061188 A CN202110061188 A CN 202110061188A CN 112866245 B CN112866245 B CN 112866245B
- Authority
- CN
- China
- Prior art keywords
- message
- mark
- firewall
- initial
- connection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种报文路由方法及装置,属于信息安全技术领域。该报文路由方法包括:接收来自防火墙的请求报文,在请求报文中加入初始报文标记和请求报文对应的防火墙连接标记;将加入初始报文标记和防火墙连接标记的请求报文发送至请求报文中的目的地址对应的服务器,以使服务器根据该请求报文生成回复报文;接收来自服务器的回复报文,根据回复报文中的防火墙连接标记与预设连接标记的匹配结果和回复报文中的初始报文标记与预设报文标记的匹配结果,修改初始报文标记;将回复报文发送至修改后的初始报文标记对应的防火墙。本发明可以保证报文的进出口防火墙一致,消除非对称路由带来的影响,避免服务访问失败。
Description
技术领域
本发明涉及信息安全技术领域,具体地,涉及一种报文路由方法及装置。
背景技术
网络报文从源到目的地时,如果源地址和目标地址不在一个网段,报文在传输过程中需要经过多个具有报文转发功能的节点,这种转发被称为路由,专门负责转发的设备被称为路由器。路由器根据收到数据包中的网络层地址以及路由器内部维护的路由表决定输出端口以及下一跳地址,并且重写链路层数据包头实现转发数据包。
静态路由是最简单的一种路由方式,即网络管理员根据规则在转发设备上设定静态的路由表项,路由器在转发时在该表项中根据目的地地址搜索对应报文的下一跳地址,然后将报文发送至该下一跳地址。
动态路由是与静态路由相对的一个概念,指路由器能够根据路由器之间的交换的特定路由信息自动地建立自己的路由表,并且能够根据链路和节点的变化适时地进行自动调整。当网络中节点或节点间的链路发生故障,或存在其它可用路由时,动态路由可以自行选择最佳的可用路由并继续转发报文。在多运营商的网络环境下,动态路由的实现时很有必要的,可以根据不同运营商的目的地址,选择不同的路由路径,实现更快速的网络访问。
在通常配置的静态路由网络环境中,一般来说,节点A访问节点B和节点B访问节点A的网络路径是一致的,这种路由称为对称路由,但是在动态路由的网络环境中,经常会存在节点A访问节点B和节点B访问节点A的网络路径不一致,这种路由被称为非对称路由。
图1是现有技术中的报文转发示意图。如图1所示,一个网络站点对外提供WEB服务,一组服务器为X运营商的用户提供服务,从X运营商的出口路由映射到一个X运营商的公网IP,一组服务器为Y运营商的用户提供服务,从Y运营商的出口路由映射到一个Y运营商的公网IP,在环境内部配置动态路由,服务器传输数据到公网用户时,如果公网用户为X运营商的用户,通过X运营商的出口路由发送到网上,如果公网用户为Y运营商的用户时,通过Y运营商的出口路由发送到网上。当用户为Y运营商的用户,直接访问X运营商的服务器映射到公网的IP请求服务,X运营商的服务器接受到请求后,回包时判断目标地址为Y运营商的地址,所以从Y运营商的出口路由转发、经过Y运营商的防火墙到公网,此时同一个连接的进流量和出流量通过不同的路由,出现非对称路由的情况。
非对称路由本身在网络传输上没有问题,但是在一些网络环境中,每个出口都会配有出口防火墙,出口防火墙一般会限制报文进出必须走同一个防火墙,这就导致了出现非对称路由的访问时,回复报文会被防火墙阻拦,致使服务访问失败。
业内通常避免非对称路由的方法为在每个节点配置源地址转换,以上场景为例,Y运营商的用户通过X运营商的路由器访问X运营商的服务器的时候,X运营商的路由器会将报文的源地址转换为X运营商的路由器的对内地址,X运营商的服务器在回复请求的时候就会直接回复给X运营商的路由器,X运营商的路由器再转发该请求报文给Y运营商的用户。这种方法会导致服务器接受到的所有请求都是由路由器发起的,在配有审计的网络环境中,来自X运营商的路由器的报文就会被判定为攻击源而被阻拦,导致服务不可访问。
发明内容
本发明实施例的主要目的在于提供一种报文路由方法及装置,以保证报文的进出口防火墙一致,消除非对称路由带来的影响,避免服务访问失败。
为了实现上述目的,本发明实施例提供一种报文路由方法,包括:
接收来自防火墙的请求报文,在请求报文中加入初始报文标记和请求报文对应的防火墙连接标记;
将加入初始报文标记和防火墙连接标记的请求报文发送至请求报文中的目的地址对应的服务器,以使服务器根据该请求报文生成回复报文;
接收来自服务器的回复报文,根据回复报文中的防火墙连接标记与预设连接标记的匹配结果和回复报文中的初始报文标记与预设报文标记的匹配结果,修改初始报文标记;
将回复报文发送至修改后的初始报文标记对应的防火墙。
本发明实施例还提供一种报文路由装置。包括:
标记加入模块,用于接收来自防火墙的请求报文,在请求报文中加入初始报文标记和所述请求报文对应的防火墙连接标记;
第一报文发送模块,用于将加入初始报文标记和防火墙连接标记的请求报文发送至请求报文中的目的地址对应的服务器,以使服务器根据该请求报文生成回复报文;
标记修改模块,用于接收来自服务器的回复报文,根据回复报文中的防火墙连接标记与预设连接标记的匹配结果和回复报文中的初始报文标记与预设报文标记的匹配结果,修改初始报文标记;
第二报文发送模块,用于将回复报文发送修改后的初始报文标记对应的防火墙。
本发明实施例还提供一种计算机设备,包括存储器、处理器及存储在存储器上并在处理器上运行的计算机程序,处理器执行计算机程序时实现所述的报文路由方法的步骤。
本发明实施例还提供一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现所述的报文路由方法的步骤。
本发明实施例的报文路由方法及装置先在请求报文中加入初始报文标记和请求报文对应的防火墙连接标记,然后根据请求报文对应的回复报文中的防火墙连接标记和初始报文标记对初始报文标记进行修改,最后将回复报文发送至修改后的初始报文标记对应的防火墙,以保证报文的进出口防火墙一致,消除非对称路由带来的影响,避免服务访问失败。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是现有技术中的报文转发示意图;
图2是本发明实施例中报文路由方法的流程图;
图3是本发明实施例中的报文转发示意图;
图4是本发明实施例中S101的流程图;
图5是本发明实施例中S202的流程图;
图6是本发明实施例中S103的流程图;
图7是本发明实施例中报文路由装置的结构框图;
图8是本发明实施例中计算机设备的结构框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本领域技术人员知道,本发明的实施方式可以实现为一种系统、装置、设备、方法或计算机程序产品。因此,本公开可以具体实现为以下形式,即:完全的硬件、完全的软件(包括固件、驻留软件、微代码等),或者硬件和软件结合的形式。
鉴于在现有技术中,非对称路由的访问时的回复报文会被防火墙阻拦,致使服务访问失败,本发明实施例提供一种报文路由方法,以保证报文的进出口防火墙一致,消除非对称路由带来的影响,避免服务访问失败。以下结合附图对本发明进行详细说明。
图2是本发明实施例中报文路由方法的流程图。图3是本发明实施例中的报文转发示意图。如图2-图3所示,报文路由方法包括:
S101:接收来自防火墙的请求报文,在请求报文中加入初始报文标记和请求报文对应的防火墙连接标记。
图4是本发明实施例中S101的流程图。如图4所示,S101包括:
S201:接收请求报文,在请求报文中加入初始报文标记和初始连接标记。
具体实施时,在接收到报文后判断报文中是否有标记。当报文中没有标记时,判断该报文为请求报文,在请求报文中加入初始报文标记和初始连接标记。其中,初始报文标记为0x0,初始连接标记为0x0。
S202:根据初始连接标记与预设连接标记的匹配结果将初始连接标记修改为请求报文对应的防火墙连接标记。
图5是本发明实施例中S202的流程图。如图5所示,S202包括:
S301:根据初始连接标记与预设连接标记的匹配结果将初始报文标记修改为请求报文对应的防火墙报文标记。
具体实施时,S301包括:
1、加入初始报文标记和初始连接标记的请求报文进入前置路由规则(PREROUTING),在前置路由规则中判断报文标记是否为0x0。由于报文标记为0x0,请求报文跳转至控制路由规则(PROUTE)。
2、本发明将连接状态(CONNTRACK)拆分为正向请求状态(ESTABLISHED_ORIG)和反向回复状态(ESTABLISHED_REPLY),可以更细致地追踪连接的状态,达到精确追踪网络连接状态的功能。在控制路由规则(PROUTE)中,由于初始连接标记0x0可以匹配预设连接标记0x0,所以报文对应的连接状态为正向请求状态,请求报文跳转至低位控制路由规则(PROUTE_LOW)。
3、在低位控制路由规则(PROUTE_LOW)中,当初始连接标记0x0可以与预设连接标记0x0匹配时,请求报文先跳转至低位匹配控制路由规则(PROUTE_MATCH_LOW),再跳转至匹配控制路由规则(PROUTE_MATCH)。
4、在匹配控制路由规则(PROUTE_MATCH)中,判断请求报文中的目的地址是否为后端服务器、请求报文是否从eth0端口进入。当请求报文中的目的地址为后端服务器且请求报文从eth0端口进入时,将初始报文标记0x0修改为请求报文对应的防火墙报文标记0x8880888。此时请求报文中包括防火墙报文标记0x8880888和初始连接标记0x0。
S302:根据防火墙报文标记与预设报文标记的匹配结果,按照防火墙报文标记将初始连接标记修改为请求报文对应的防火墙连接标记,并将防火墙报文标记初始化为初始报文标记。
具体实施时,请求报文返回至低位匹配控制路由规则(PROUTE_MATCH_LOW)中,此时的防火墙报文标记0x8880888与预设报文标记0x0不匹配,因此将防火墙报文标记的低4位转储至初始连接标记,得到防火墙连接标记0x0888,然后将防火墙报文标记进行初始化(清零),此时请求报文中包括初始报文标记0x0和防火墙连接标记0x0888。
S102:将加入初始报文标记和防火墙连接标记的请求报文发送至请求报文中的目的地址对应的服务器,以使服务器根据该请求报文生成回复报文。
具体实施时,按照低位匹配控制路由规则(PROUTE_MATCH_LOW)→低位控制路由规则(PROUTE_LOW)→控制路由规则(PROUTE)→前置路由规则(PREROUTING)的顺序返回请求报文,此时请求报文中的报文标记和连接标记不再变化,路由节点将加入初始报文标记和防火墙连接标记的请求报文转发至请求报文中的目的地址对应的服务器,以使服务器根据该请求报文生成回复报文。
S103:接收来自所述服务器的回复报文,根据回复报文中的防火墙连接标记与预设连接标记的匹配结果和回复报文中的初始报文标记与预设报文标记的匹配结果,修改初始报文标记。
图6是本发明实施例中S103的流程图。如图6所示,S103包括:
S401:根据回复报文中的防火墙连接标记与预设连接标记的匹配结果和回复报文中的初始报文标记与预设报文标记的匹配结果,修改防火墙连接标记。
具体实施时,S401包括:
1、在接收到报文后判断报文中是否有标记。当报文中存在标记时,判断该报文为回复报文,此时回复报文中包括初始报文标记0x0和防火墙连接标记0x0888。
2、回复报文进入前置路由规则(PREROUTING),由于初始报文标记0x0与预设报文标记0x0匹配,所以回复报文跳转至控制路由规则(PROUTE)。
3、在控制路由规则(PROUTE)中,由于防火墙连接标记0x0888与预设连接标记0x0不匹配,所以报文对应的连接状态为反向回复状态,回复报文跳转至高位控制路由规则(PROUTE_HIGH)。
4、在高位控制路由规则(PROUTE_HIGH)中,防火墙连接标记0x0888的高位0x0与预设连接标记0x0匹配,请求报文先跳转至高位匹配控制路由规则(PROUTE_MATCH_HIGH),再跳转至匹配控制路由规则(PROUTE_MATCH)。
5、在匹配控制路由规则(PROUTE_MATCH)中,判断回复报文中的目的地址是否为后端服务器、请求报文是否从eth0端口进入。当请求报文中的目的地址不是后端服务器且请求报文不从eth0端口进入时,回复报文没有匹配到任何规则,返回至高位匹配控制路由规则(PROUTE_MATCH_HIGH)。
6、在高位匹配控制路由规则(PROUTE_MATCH_HIGH)中,由于初始报文标记0x0与预设报文标记0x0匹配,所以将防火墙连接标记0x0888修改为0x10888。此时回复报文中包括初始报文标记0x0和修改后的防火墙连接标记为0x10888。
S402:根据修改后的防火墙连接标记修改初始报文标记。
具体实施时,回复报文返回至高位控制路由规则(PROUTE_HIGH),在高位控制路由规则(PROUTE_HIGH)中判断回复报文的源地址是否在后端服务器列表。当回复报文的源地址在后端服务器列表中时,将修改后的防火墙连接标记0x10888复制到初始报文标记0x0,修改后的初始报文标记为0x10888。
S104:将回复报文发送至修改后的初始报文标记对应的防火墙。
具体实施时,按照高位控制路由规则(PROUTE_HIGH)→控制路由规则(PROUTE)→前置路由规则(PREROUTING)→转发路由规则(FORWARD)的顺序返回回复报文。在转发路由规则(FORWARD)中,回复报文中的报文标记和连接标记不再变化;路由节点在路由表中确定修改后的初始报文标记0x10888对应的防火墙网关地址,将回复报文发送至对应的防火墙,防火墙将路由节点发来的回复报文转发至用户。
图2所示的报文路由方法的执行主体可以为路由节点。由图2所示的流程可知,本发明实施例的报文路由方法先在请求报文中加入初始报文标记和请求报文对应的防火墙连接标记,然后根据请求报文对应的回复报文中的防火墙连接标记和初始报文标记对初始报文标记进行修改,最后将回复报文发送至修改后的初始报文标记对应的防火墙,以保证报文的进出口防火墙一致,消除非对称路由带来的影响,避免服务访问失败。
如图3所示,本发明实施例的具体流程如下:
1、Y运营商的用户在Y运营商的客户端给X运营商的服务器发送请求报文,经过X运营商的防火墙到达路由节点。
2、路由节点在接收到报文后判断报文中是否有标记。报文中没有标记时,判断该报文为请求报文,在请求报文中加入初始报文标记0x0和初始连接标记0x0。
3、初始连接标记0x0与预设连接标记0x0匹配,路由节点将初始报文标记0x0修改为X运营商的防火墙报文标记0x8880888。
4、防火墙报文标记0x8880888与预设报文标记0x0不匹配,路由节点将防火墙报文标记的低4位转储至初始连接标记,得到X运营商的防火墙连接标记0x0888,将防火墙报文标记初始化为初始报文标记0x0。
5、路由节点将加入初始报文标记0x0和防火墙连接标记0x0888的请求报文发送至X运营商的服务器。
6、X运营商的服务器根据该请求报文生成包括初始报文标记0x0和防火墙连接标记0x0888回复报文,将回复报文发送至路由节点。
7、路由节点在接收到报文后判断报文中是否有标记。报文中存在标记时,判断该报文为回复报文,此时回复报文中包括初始报文标记0x0和防火墙连接标记0x0888。
8、防火墙连接标记0x0888与预设连接标记0x0不匹配,防火墙连接标记0x0888的高位0x0与预设连接标记0x0匹配,初始报文标记0x0与预设报文标记0x0匹配,此时路由节点将防火墙连接标记0x0888修改为0x10888。
8、路由节点将修改后的防火墙连接标记0x10888复制到初始报文标记0x0,修改后的初始报文标记为0x10888。
9、路由节点将回复报文发送至0x10888对应的X运营商的防火墙,回复报文经过X运营商的防火墙到达Y运营商的客户端。
综上,本发明提供了一种在动态路由环境中保证对称路由的报文路由方法,可基于报文标记和防火墙连接标记对内网中应答公网客户端请求的服务器相关报文进行追踪,对请求报文和回复报文进行区分,通过配置路由规则控制报文的传输轨迹,即针对不同的报文采用不同的路由策略,以保证回复报文通过的防火墙与请求报文通过的防火墙一致,消除非对称路由可能带来的影响。
基于同一发明构思,本发明实施例还提供了一种报文路由装置,由于该装置解决问题的原理与报文路由方法相似,因此该装置的实施可以参见方法的实施,重复之处不再赘述。
图7是本发明实施例中报文路由装置的结构框图。如图7所示,报文路由装置包括:
标记加入模块,用于接收来自防火墙的请求报文,在请求报文中加入初始报文标记和所述请求报文对应的防火墙连接标记;
第一报文发送模块,用于将加入初始报文标记和防火墙连接标记的请求报文发送至请求报文中的目的地址对应的服务器,以使服务器根据该请求报文生成回复报文;
标记修改模块,用于接收来自服务器的回复报文,根据回复报文中的防火墙连接标记与预设连接标记的匹配结果和回复报文中的初始报文标记与预设报文标记的匹配结果,修改初始报文标记;
第二报文发送模块,用于将回复报文发送修改后的初始报文标记对应的防火墙。
在其中一种实施例中,标记修改模块具体用于:
根据回复报文中的防火墙连接标记与预设连接标记的匹配结果和回复报文中的初始报文标记与预设报文标记的匹配结果,修改防火墙连接标记;
根据修改后的防火墙连接标记修改初始报文标记。
在其中一种实施例中,标记加入模块具体用于:
接收请求报文,在请求报文中加入初始报文标记和初始连接标记;
根据初始连接标记与预设连接标记的匹配结果将初始连接标记修改为请求报文对应的防火墙连接标记。
在其中一种实施例中,标记加入模块具体用于:
根据初始连接标记与预设连接标记的匹配结果将初始报文标记修改为请求报文对应的防火墙报文标记;
根据防火墙报文标记与预设报文标记的匹配结果,按照防火墙报文标记将初始连接标记修改为请求报文对应的防火墙连接标记,并将防火墙报文标记初始化为初始报文标记。
综上,本发明实施例的报文路由装置先在请求报文中加入初始报文标记和请求报文对应的防火墙连接标记,然后根据请求报文对应的回复报文中的防火墙连接标记和初始报文标记对初始报文标记进行修改,最后将回复报文发送至修改后的初始报文标记对应的防火墙,以保证报文的进出口防火墙一致,消除非对称路由带来的影响,避免服务访问失败。
本发明实施例还提供能够实现上述实施例中的报文路由方法中全部步骤的一种计算机设备的具体实施方式。图8是本发明实施例中计算机设备的结构框图,参见图8,所述计算机设备具体包括如下内容:
处理器(processor)801和存储器(memory)802。
所述处理器801用于调用所述存储器802中的计算机程序,所述处理器执行所述计算机程序时实现上述实施例中的报文路由方法中的全部步骤,例如,所述处理器执行所述计算机程序时实现下述步骤:
接收来自防火墙的请求报文,在请求报文中加入初始报文标记和请求报文对应的防火墙连接标记;
将加入初始报文标记和防火墙连接标记的请求报文发送至请求报文中的目的地址对应的服务器,以使服务器根据该请求报文生成回复报文;
接收来自服务器的回复报文,根据回复报文中的防火墙连接标记与预设连接标记的匹配结果和回复报文中的初始报文标记与预设报文标记的匹配结果,修改初始报文标记;
将回复报文发送至修改后的初始报文标记对应的防火墙。
综上,本发明实施例的计算机设备先在请求报文中加入初始报文标记和请求报文对应的防火墙连接标记,然后根据请求报文对应的回复报文中的防火墙连接标记和初始报文标记对初始报文标记进行修改,最后将回复报文发送至修改后的初始报文标记对应的防火墙,以保证报文的进出口防火墙一致,消除非对称路由带来的影响,避免服务访问失败。
本发明实施例还提供能够实现上述实施例中的报文路由方法中全部步骤的一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,该计算机程序被处理器执行时实现上述实施例中的报文路由方法的全部步骤,例如,所述处理器执行所述计算机程序时实现下述步骤:
接收来自防火墙的请求报文,在请求报文中加入初始报文标记和请求报文对应的防火墙连接标记;
将加入初始报文标记和防火墙连接标记的请求报文发送至请求报文中的目的地址对应的服务器,以使服务器根据该请求报文生成回复报文;
接收来自服务器的回复报文,根据回复报文中的防火墙连接标记与预设连接标记的匹配结果和回复报文中的初始报文标记与预设报文标记的匹配结果,修改初始报文标记;
将回复报文发送至修改后的初始报文标记对应的防火墙。
综上,本发明实施例的计算机可读存储介质先在请求报文中加入初始报文标记和请求报文对应的防火墙连接标记,然后根据请求报文对应的回复报文中的防火墙连接标记和初始报文标记对初始报文标记进行修改,最后将回复报文发送至修改后的初始报文标记对应的防火墙,以保证报文的进出口防火墙一致,消除非对称路由带来的影响,避免服务访问失败。
以上所述的具体实施例,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施例而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
本领域技术人员还可以了解到本发明实施例列出的各种说明性逻辑块(illustrative logical block),单元,和步骤可以通过电子硬件、电脑软件,或两者的结合进行实现。为清楚展示硬件和软件的可替换性(interchangeability),上述的各种说明性部件(illustrative components),单元和步骤已经通用地描述了它们的功能。这样的功能是通过硬件还是软件来实现取决于特定的应用和整个系统的设计要求。本领域技术人员可以对于每种特定的应用,可以使用各种方法实现所述的功能,但这种实现不应被理解为超出本发明实施例保护的范围。
本发明实施例中所描述的各种说明性的逻辑块,或单元,或装置都可以通过通用处理器,数字信号处理器,专用集成电路(ASIC),现场可编程门阵列或其它可编程逻辑装置,离散门或晶体管逻辑,离散硬件部件,或上述任何组合的设计来实现或操作所描述的功能。通用处理器可以为微处理器,可选地,该通用处理器也可以为任何传统的处理器、控制器、微控制器或状态机。处理器也可以通过计算装置的组合来实现,例如数字信号处理器和微处理器,多个微处理器,一个或多个微处理器联合一个数字信号处理器核,或任何其它类似的配置来实现。
本发明实施例中所描述的方法或算法的步骤可以直接嵌入硬件、处理器执行的软件模块、或者这两者的结合。软件模块可以存储于RAM存储器、闪存、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、可移动磁盘、CD-ROM或本领域中其它任意形式的存储媒介中。示例性地,存储媒介可以与处理器连接,以使得处理器可以从存储媒介中读取信息,并可以向存储媒介存写信息。可选地,存储媒介还可以集成到处理器中。处理器和存储媒介可以设置于ASIC中,ASIC可以设置于用户终端中。可选地,处理器和存储媒介也可以设置于用户终端中的不同的部件中。
在一个或多个示例性的设计中,本发明实施例所描述的上述功能可以在硬件、软件、固件或这三者的任意组合来实现。如果在软件中实现,这些功能可以存储与电脑可读的媒介上,或以一个或多个指令或代码形式传输于电脑可读的媒介上。电脑可读媒介包括电脑存储媒介和便于使得让电脑程序从一个地方转移到其它地方的通信媒介。存储媒介可以是任何通用或特殊电脑可以接入访问的可用媒体。例如,这样的电脑可读媒体可以包括但不限于RAM、ROM、EEPROM、CD-ROM或其它光盘存储、磁盘存储或其它磁性存储装置,或其它任何可以用于承载或存储以指令或数据结构和其它可被通用或特殊电脑、或通用或特殊处理器读取形式的程序代码的媒介。此外,任何连接都可以被适当地定义为电脑可读媒介,例如,如果软件是从一个网站站点、服务器或其它远程资源通过一个同轴电缆、光纤电缆、双绞线、数字用户线(DSL)或以例如红外、无线和微波等无线方式传输的也被包含在所定义的电脑可读媒介中。所述的碟片(disk)和磁盘(disc)包括压缩磁盘、镭射盘、光盘、DVD、软盘和蓝光光盘,磁盘通常以磁性复制数据,而碟片通常以激光进行光学复制数据。上述的组合也可以包含在电脑可读媒介中。
Claims (6)
1.一种报文路由方法,其特征在于,包括:
接收来自防火墙的请求报文,在所述请求报文中加入初始报文标记和所述请求报文对应的防火墙连接标记;
将加入所述初始报文标记和所述防火墙连接标记的请求报文发送至所述请求报文中的目的地址对应的服务器,以使所述服务器根据该请求报文生成回复报文;
接收来自所述服务器的回复报文,根据所述回复报文中的防火墙连接标记与预设连接标记的匹配结果和所述回复报文中的初始报文标记与预设报文标记的匹配结果,修改所述初始报文标记;
将所述回复报文发送至修改后的初始报文标记对应的防火墙;
根据所述回复报文中的防火墙连接标记与预设连接标记的匹配结果和所述回复报文中的初始报文标记与预设报文标记的匹配结果,修改所述初始报文标记包括:
根据所述回复报文中的防火墙连接标记与预设连接标记的匹配结果和所述回复报文中的初始报文标记与预设报文标记的匹配结果,修改所述防火墙连接标记;
根据修改后的防火墙连接标记修改所述初始报文标记;
在所述请求报文中加入初始报文标记和所述请求报文对应的防火墙连接标记包括:
接收请求报文,在所述请求报文中加入初始报文标记和初始连接标记;
根据所述初始连接标记与所述预设连接标记的匹配结果将所述初始连接标记修改为所述请求报文对应的防火墙连接标记。
2.根据权利要求1所述的报文路由方法,其特征在于,根据所述初始连接标记与所述预设连接标记的匹配结果将所述初始连接标记修改为所述请求报文对应的防火墙连接标记包括:
根据所述初始连接标记与所述预设连接标记的匹配结果将所述初始报文标记修改为所述请求报文对应的防火墙报文标记;
根据所述防火墙报文标记与所述预设报文标记的匹配结果,按照所述防火墙报文标记将所述初始连接标记修改为所述请求报文对应的防火墙连接标记,并将所述防火墙报文标记初始化为所述初始报文标记。
3.一种报文路由装置,其特征在于,包括:
标记加入模块,用于接收来自防火墙的请求报文,在所述请求报文中加入初始报文标记和所述请求报文对应的防火墙连接标记;
第一报文发送模块,用于将加入所述初始报文标记和所述防火墙连接标记的请求报文发送至所述请求报文中的目的地址对应的服务器,以使所述服务器根据该请求报文生成回复报文;
标记修改模块,用于接收来自所述服务器的回复报文,根据所述回复报文中的防火墙连接标记与预设连接标记的匹配结果和所述回复报文中的初始报文标记与预设报文标记的匹配结果,修改所述初始报文标记;
第二报文发送模块,用于将所述回复报文发送修改后的初始报文标记对应的防火墙;
所述标记修改模块具体用于:
根据所述回复报文中的防火墙连接标记与预设连接标记的匹配结果和所述回复报文中的初始报文标记与预设报文标记的匹配结果,修改所述防火墙连接标记;
根据修改后的防火墙连接标记修改所述初始报文标记;
所述标记加入模块具体用于:
接收请求报文,在所述请求报文中加入初始报文标记和初始连接标记;
根据所述初始连接标记与所述预设连接标记的匹配结果将所述初始连接标记修改为所述请求报文对应的防火墙连接标记。
4.根据权利要求3所述的报文路由装置,其特征在于,所述标记加入模块具体用于:
根据所述初始连接标记与所述预设连接标记的匹配结果将所述初始报文标记修改为所述请求报文对应的防火墙报文标记;
根据所述防火墙报文标记与所述预设报文标记的匹配结果,按照所述防火墙报文标记将所述初始连接标记修改为所述请求报文对应的防火墙连接标记,并将所述防火墙报文标记初始化为所述初始报文标记。
5.一种计算机设备,包括存储器、处理器及存储在存储器上并在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至2任一项所述的报文路由方法的步骤。
6.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至2任一项所述的报文路由方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110061188.0A CN112866245B (zh) | 2021-01-18 | 2021-01-18 | 报文路由方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110061188.0A CN112866245B (zh) | 2021-01-18 | 2021-01-18 | 报文路由方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112866245A CN112866245A (zh) | 2021-05-28 |
| CN112866245B true CN112866245B (zh) | 2022-09-09 |
Family
ID=76006256
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110061188.0A Active CN112866245B (zh) | 2021-01-18 | 2021-01-18 | 报文路由方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112866245B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115225397B (zh) * | 2022-07-22 | 2024-05-03 | 山石网科通信技术股份有限公司 | 一种控制方法、装置,防火墙及计算机可读存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102404326A (zh) * | 2011-11-23 | 2012-04-04 | 北京星网锐捷网络技术有限公司 | 一种验证报文安全性的方法、系统以及装置 |
| CN107547659A (zh) * | 2017-09-29 | 2018-01-05 | 新华三技术有限公司 | 报文安全转发方法及装置 |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8782286B2 (en) * | 2008-09-12 | 2014-07-15 | Cisco Technology, Inc. | Optimizing state sharing between firewalls on multi-homed networks |
| CN101800781B (zh) * | 2009-02-11 | 2013-07-03 | 中国科学院计算机网络信息中心 | 一种穿越nat的隧道过渡方法及系统 |
| US10044676B2 (en) * | 2015-04-03 | 2018-08-07 | Nicira, Inc. | Using headerspace analysis to identify unneeded distributed firewall rules |
| US11159421B2 (en) * | 2017-05-24 | 2021-10-26 | Telefonaktiebolaget Lm Ericsson (Publ) | Routing table selection in a policy based routing system |
| CN107483341B (zh) * | 2017-08-29 | 2020-10-02 | 杭州迪普科技股份有限公司 | 一种跨防火墙报文快速转发方法及装置 |
| CN108683632A (zh) * | 2018-04-04 | 2018-10-19 | 山石网科通信技术有限公司 | 防火墙安全策略调整方法及装置 |
| CN109561172B (zh) * | 2019-01-29 | 2022-02-25 | 迈普通信技术股份有限公司 | 一种dns透明代理方法、装置、设备及存储介质 |
| CN111181985B (zh) * | 2019-12-31 | 2022-11-11 | 奇安信科技集团股份有限公司 | 数据传输方法、数据传输系统、防火墙设备和存储介质 |
-
2021
- 2021-01-18 CN CN202110061188.0A patent/CN112866245B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102404326A (zh) * | 2011-11-23 | 2012-04-04 | 北京星网锐捷网络技术有限公司 | 一种验证报文安全性的方法、系统以及装置 |
| CN107547659A (zh) * | 2017-09-29 | 2018-01-05 | 新华三技术有限公司 | 报文安全转发方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112866245A (zh) | 2021-05-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11362986B2 (en) | Resolution of domain name requests in heterogeneous network environments | |
| US12101296B2 (en) | Intelligent service layer for separating application from physical networks and extending service layer intelligence over IP across the internet, cloud, and edge networks | |
| JP7004405B2 (ja) | 仮想ネットワークにおける分散型フロー状態p2p設定のためのシステムおよび方法 | |
| US8566474B2 (en) | Methods, systems, and computer readable media for providing dynamic origination-based routing key registration in a diameter network | |
| US9369434B2 (en) | Whitelist-based network switch | |
| CN105991655B (zh) | 用于缓解基于邻居发现的拒绝服务攻击的方法和装置 | |
| US20200186458A1 (en) | Autonomous system route validation via blockchain | |
| US8737396B2 (en) | Communication method and communication system | |
| US10630700B2 (en) | Probe counter state for neighbor discovery | |
| US20120144483A1 (en) | Method and apparatus for preventing network attack | |
| EP1756705A2 (en) | A system, method, and computer program product for updating the states of a firewall | |
| CN101707617A (zh) | 报文过滤方法、装置及网络设备 | |
| US8301738B1 (en) | Systems and methods for private network addressing in IP protocols | |
| CN112887229A (zh) | 一种会话信息同步方法及装置 | |
| CN112866245B (zh) | 报文路由方法及装置 | |
| NL1033102C2 (nl) | Werkwijze voor het opzetten van een peer-to-peerverbinding tussen twee communicatiemedia. | |
| KR101703491B1 (ko) | 클라우드 시스템의 보안 서비스 제공방법 및 그 클라우드 시스템 | |
| CN114285907B (zh) | 数据传输方法、装置、电子设备及存储介质 | |
| CN105100300A (zh) | 网络地址转换nat的方法及装置 | |
| Akashi et al. | A vulnerability of dynamic network address translation to denial-of-service attacks | |
| US9876736B2 (en) | Dual stack root based mLDP tree merge | |
| CN108540343B (zh) | 路径的检测方法及装置 | |
| KR20210067400A (ko) | Ndn 기반 네트워크에서, as 경로 무결성 검증 방법 및 장치 | |
| US11265320B2 (en) | Extended redirect mirror | |
| KR102246290B1 (ko) | 소프트웨어 정의 네트워크 기반 망 분리 방법, 장치 및 컴퓨터 프로그램 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |