WO2021093510A1 - 网络业务的处理方法、系统和网关设备 - Google Patents

Abstract

本申请公开了一种网络业务的处理方法、网络业务的处理系统及一种网关设备，用以缓解网关设备无法满足越来越多的附加功能需求的问题。网关设备识别第一内网设备的类型，所述第一内网设备属于所述网关设备连接的内部网络。网关设备根据所述第一内网设备的类型，获得第一软件包，所述第一软件包用于实现第一附加功能。网关设备向所述第一内网设备发送第一指示消息和所述第一软件包，所述第一指示消息用于指示所述第一内网设备安装所述第一软件包并执行所述第一附加功能。

Description

网络业务的处理方法、系统和网关设备

本申请要求于2019年11月11日提交中国国家知识产权局、申请号为201911097192.1、申请名称为“网络业务的处理方法、系统和网关设备”的中国专利申请的优先权，以及要求于2019年11月19日提交中国国家知识产权局、申请号为201911134443.9、申请名称为“网络业务的处理方法、系统和网关设备”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及计算机及通信技术领域，尤其涉及一种网络业务的处理方法、网络业务的处理系统及一种网关设备。

背景技术

网关(Gateway)设备是用于连接两个网络的设备，是企业、校园、家庭等许多机构构建局域网时重要的一类基础设备。各种类型的局域网通过网关设备与互联网相连。网关设备的基本功能是转发两个网络之间的报文。出于用户需求和成本的考虑，在许多场景下，网关设备往往需要集成多种附加功能，例如防火墙功能、安全沙箱功能、或者网络缓存(也被称为“网盘”)功能等等。

然而，网关设备受自身硬件资源的制约，难以支持更多附加功能。集成多种附加功能往往会显著降低网关设备的性能，进而影响整个局域网系统的正常工作。如何解决这一矛盾成为一个亟待解决的问题。

发明内容

本申请实施例提供一种网络业务的处理方法，用以缓解网关设备无法满足越来越多的附加功能需求的问题。

第一方面，提供了一种网络业务的处理方法。在该方法中网关设备识别第一内网设备的类型，所述第一内网设备属于所述网关设备连接的内部网络。网关设备根据所述第一内网设备的类型，获得第一软件包，所述第一软件包用于实现第一附加功能。网关设备向所述第一内网设备发送第一指示消息和所述第一软件包，所述第一指示消息用于指示所述第一内网设备安装所述第一软件包并执行所述第一附加功能。

基于该方法，网关设备作为实现附加功能的管理控制主体，根据内网设备的类型，控制合适的内网设备安装软件包以实现附加功能。由于将执行附加功能的部分负担从网关设备转移到内网设备上，从而减轻了网关设备的处理负担，节约了网关设备的处理资源和存储资源，提供了一种较低代价的实现网关设备附加功能的方案。同时，该方案利用内网设备的闲置资源实现附加功能，提高了内网资源的利用率。

可选地，为了提高内网设备与软件包(或附加功能)之间匹配的精确性，网关设备根据内网设备的性能确定内网设备待安装的软件包。在第一方面的一种可能的实现方式中， 网关设备采用以下方式获得第一软件包。网关设备根据所述第一内网设备的类型，确定所述第一内网设备的性能，所述性能包括软件能力和硬件能力，所述软件能力包括是否支持安装软件包，所述硬件能力包括处理器性能值和/或存储空间大小。所述网关设备根据所述第一内网设备的性能，获取所述第一软件包，所述第一内网设备的性能符合所述第一软件包的安装性能要求。通过内网设备的性能确定内网设备待安装的软件包，将有可能较大提升附加功能的实现效果和性能。

可选地，网关设备保存有软件包与安装性能要求的对应关系，以便于网关设备根据所述第一内网设备的性能，在软件包与安装性能要求的对应关系中查找到所述第一软件包。

可选地，为了节省网关设备的存储资源，上述用以执行各个附加功能的多个软件包被分布保存在以服务器为例的其他设备中。在第一方面的一种可能的实现方式中，网关设备采用以下方式获得第一软件包。所述网关设备根据第一内网设备的性能，在软件包的标识与安装性能要求的对应关系中查找到所述第一软件包的标识。网关设备向服务器发送所述第一软件包的标识，并接收所述服务器根据所述第一软件包的标识返回的所述第一软件包。

可选地，为了节省网关设备的存储资源和处理资源，根据内网设备的性能匹配合适软件包的功能也可以由服务器分担。在第一方面的一种可能的实现方式中，网关设备采用以下方式获得第一软件包。网关设备向服务器发送所述第一内网设备的性能。所述网关设备接收所述服务器根据所述第一内外设备的性能返回的所述第一软件包。

可选地，为了进一步节省网关设备的存储资源和处理资源，根据第一内网设备的类型查询安装性能要求的步骤、以及根据性能，获取所述第一软件包的步骤均由服务器执行。在第一方面的一种可能的实现方式中，网关设备采用以下方式获得第一软件包。所述网关设备向服务器发送所述第一内网设备的类型。所述网关设备接收所述服务器根据所述第一内外设备的类型返回的所述第一软件包。

可选地，在第一方面的一种可能的实现方式中，在针对两个或两个以上不同的内网设备，确定出的第一软件包为同一软件包的情况下，可能出现多个内网设备分别安装同一软件包后执行同一附加功能，这有可能导致内网设备资源浪费、或者附加功能实现过程中的冲突问题。为了避免这种可能出现的问题，网关设备向所述第一内网设备发送第一指示消息和所述第一软件包之前，网关设备识别第二内网设备的类型，所述第二内网设备属于所述内部网络。所述网关设备根据所述第二内网设备的类型，确定所述第二内网设备的性能。所述网关设备根据第二内网设备的性能，在软件包与安装性能要求的对应关系中查找到所述第二软件包，所述第二内网设备的性能符合所述第二软件包的安装性能要求；如果所述第一软件包和所述第二软件包为同一软件包，则所述网关设备从所述第一内网设备和所述第二内网设备中选择出所述第一内网设备用以安装所述第一软件包。网关设备可以选用多种方式从所述第一内网设备和所述第二内网设备中选择出所述第一内网设备，例如随机选取，或者按照策略选取。例如，网关设备根据所述第一内网设备的性能和所述第二内网设备的性能，按照预定的选择策略，从所述第一内网设备和所述第二内网设备中选择出所述第一内网设备用以安装所述第一软件包。

可选地，在第一方面的一种可能的实现方式中，为了便于后续对待执行第一附加功能的数据流(即目标数据流)进行正确转发，以便于正确地执行第一附加功能，所述网关设备向所述第一内网设备发送第一指示消息和所述第一软件包之后，保存所述第一内网设备 的标识与所述第一附加功能的对应关系。所述网关设备获取目标数据流，所述目标数据流为待执行所述第一附加功能的数据流。所述网关设备根据所述第一内网设备的标识与所述第一附加功能的对应关系，向所述第一内网设备发送所述目标数据流，并接收所述第一内网设备对所述目标数据流的处理结果。

进一步地，接收所述第一内网设备对所述目标数据流的处理结果之后，网关设备根据所述处理结果，对所述目标数据流执行与所述处理结果对应的动作，所述动作包括转发、告警或者阻断。

可选地，在第一方面的一种可能的实现方式中，为了便于后续对待执行第一附加功能的数据流(即目标数据流)进行正确转发，以便于正确地执行第一附加功能，所述网关设备向所述第一内网设备发送第一指示消息和所述第一软件包之后，保存所述第一内网设备的标识与所述第一附加功能的对应关系。所述网关设备获取目标数据流，所述目标数据流为待执行所述第一附加功能的数据流。所述网关设备确定描述信息，所述描述信息用于描述所述目标数据流。所述网关设备根据所述第一内网设备的标识与所述第一附加功能的对应关系，向所述第一内网设备发送所述描述信息，并接收所述第一内网设备对所述描述信息的处理结果。网关设备向第一内网设备发送描述信息而不是目标数据流，可以减少网关设备向执行附加功能的内网设备发送的数据量。

进一步地，接收所述第一内网设备对所述描述信息的处理结果之后，网关设备根据所述处理结果，对所述目标数据流执行与所述处理结果对应的动作，所述动作包括转发、告警或者阻断。

可选地，为了提升用户的使用感受，在第一方面的一种可能的实现方式中，所述网关设备向所述第一内网设备发送第一指示消息和所述第一软件包之前，输出提示信息，所述提示信息中包括所述第一内网设备的标识与所述第一附加功能的对应关系，所述提示信息用于提示所述第一内网设备具备执行所述第一附加功能的能力；接收输入的确认信息，所述确认信息用于表示允许所述第一内网设备执行所述第一附加功能。

可选地，网关设备通过多种可能的实现方式识别第一内网设备的类型。在实际应用过程中，可以根据不同需求选择其中一种或多种识别方式。一种方式是从转发的流量中识别第一内网设备的类型。网关设备截获所述第一内网设备发送的特征报文，所述特征报文中携带第一特征字段，其中所述第一特征字段的内容用于指示发送方的操作系统类型或者预定网站域名。网关设备在特征库中查询所述第一特征字段的内容对应的第一设备类型，所述特征库中保存所述第一特征字段的内容与所述第一设备类型的对应关系；网关设备确定所述第一内网设备的设备类型为所述第一设备类型。

第二种方式是基于MAC地址进行识别。网关设备获取所述第一内网设备的MAC地址；所述网关设备在设备信息库中查询所述第一内网设备的MAC地址对应的第一设备类型，所述设备信息库中保存所述第一内网设备的MAC地址与所述第一设备类型的对应关系；所述网关设备确定所述第一内网设备的设备类型为所述第一设备类型。

第三种方式是主动扫描探测。网关设备向所述第一内网设备发送探测报文；所述网关设备接收所述第一内网设备发送的对应所述探测报文的响应报文；所述网关设备根据所述响应报文获取第一识别指纹；所述网关设备在指纹库中查询所述第一识别指纹对应的第一设备类型，所述指纹库中保存所述第一识别指纹与所述第一设备类型的对应关系；所述网关设备确定所述第一内网设备的设备类型为所述第一设备类型。

可选地，在第一方面、或者第一方面的任意一种可能的实现方式中，第一附加功能为数据流安全检测功能、网络缓存功能、或者安全沙箱功能。在第一附加功能为数据流安全检测功能的情况下，所述目标数据流为待检测的数据流。在第一附加功能为网络缓存功能的情况下，所述目标数据流为承载待缓存内容的数据流。在第一附加功能为安全沙箱功能的情况下，所述目标数据流为承载待检测文件内容的数据流。

第二方面，提供了网关设备，该网关设备包括网络接口、存储器和与所述存储器连接的处理器。所述存储器用于存储指令；所述处理器用于执行所述指令，以使所述网关设备执行第一方面或第一方面的任意一种可能的实现方式中的方法，具体参见上面的详细描述，此处不再赘述。

第三方面，提供了一种网络业务的处理装置，该装置具有实现上述第一方面所述方法或上述方面的任意一种可能的实现方式的功能。所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。

第四方面，本申请实施例提供了一种计算机存储介质，用于储存为上述网关设备所用的计算机软件指令，其包含用于执行上述第一方面或上述方面的任意一种可能的实现方式所设计的程序。

第五方面，本申请的又一方面提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述各方面所述的方法。

第六方面，本申请实施例提供了一种芯片，包括存储器和处理器，存储器用于存储计算机指令，处理器用于从存储器中调用并运行该计算机指令，以执行上述第一方面及其第一方面任意可能的实现方式中的方法。

附图说明

为了更清楚地说明本申请实施例的技术方案，下面将对实施例中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本申请实施例提供的网络业务的处理方案的应用场景示意图；

图2是本申请实施例提供的网络业务处理方法的流程图；

图3是本申请实施例提供的第一种识别内网设备类型的方式的流程图；

图4是本申请实施例提供的第二种识别内网设备的类型的方式流程图；

图5是本申请实施例提供的第三种识别内网设备类型的方式的流程图；

图6是本申请实施例提供的一种基于内网设备的性能选择内网设备安装的软件包的方法的流程图；

图7是本申请实施例提供的另一种网络业务处理方法的流程图；

图8是本申请实施例提供的分布存储方案1中网关设备根据第一内网设备的性能，获取所述第一软件包的流程图；

图9是本申请实施例提供的分布存储方案2中网关设备根据第一内网设备的性能，获取所述第一软件包的流程图；

图10是本申请实施例提供的分布存储方案3中网关设备根据第一内网设备的性能，获取所述第一软件包的流程图；

图11是本申请实施例提供的另一种网络业务处理方法的流程图；

图12是本申请实施例提供的另一种网络业务处理方法的流程图；

图13是本申请实施例提供的网关设备的结构示意图；

图14是本申请实施例提供的一种网络业务的处理装置的结构示意图。

具体实施方式

在网关设备上集成更多附加功能在为用户提供便利的同时，也使得网关设备容易成为性能瓶颈。特别是在网关设备连接的企业局域网中包含的主机数量较多的场景下，或者在作为家庭局域网网关使用的家用路由器本身性能较低的场景下，网关设备往往难以支持集成越来越多的附加功能。

针对以上现状，本申请实施例提供了一种网络业务的处理方法。基于该方法，在网关设备的管理和控制下，由网关设备所连接的内部网络中的内网设备执行一定附加功能，将网关设备执行附加功能的部分负担转移到内网设备上，从而减轻了网关设备的处理负担，提供了一种较低代价的实现网关设备附加功能的方案。具体地，网关设备首先识别所连接的内部网络中的内网设备的类型，进一步根据内网设备的类型，向内网设备发送合适的、用于实现一定附加功能的软件包。内网设备安装软件包后实现相应的附加功能。

下面结合各个附图对本发明实施例技术方案的主要实现原理、具体实施方式及其对应能够达到的有益效果进行详细的阐述。

附图1是本申请实施例提供的网络业务的处理方案的应用场景示意图。该应用场景中包括两个网络，分别为外部网络100和内部网络200。网关设备300用于连接外部网络和内部网络200。可选地，外部网络是互联网，内部网络是由企业、校园、家庭等组织建立的局域网、或者由多个局域网组成的园区网络(Campus network，CAN)。

内部网络200中包括若干内网设备，记为内网设备201～内网设备20n，其中n为大于1的自然数。内网设备的数量受内部网络地址空间的限制，本申请实施例对内网设备的数量不进行特别限制。内网设备包括但不限于个人计算机、服务器、笔记本电脑、虚拟机、可穿戴设备、手机、智慧屏电视、扫地机器人、投影仪、平板电脑、交换机、无线接入点(access point，AP)设备等等具备计算能力和网络连接能力的设备。

可选地，本申请实施例中的网关设备300包括路由器、防火墙、三层交换机等设备。路由器进一步包括接入路由器(如家用路由器)、企业级路由器、骨干级路由器等等。

本申请实施例提供的网络业务的处理系统包括附图1中的网关设备300和内网设备201～内网设备20n中的至少一个内网设备。

网关设备300用于识别第一内网设备的类型，第一内网设备为附图1内网设备201～内网设备20n中的一个内网设备；根据所述第一内网设备的类型，获得第一软件包，所述第一软件包用于实现第一附加功能；向所述第一内网设备发送第一指示消息和所述第一软件包，所述第一指示消息用于指示所述第一内网设备安装所述第一软件包并执行所述第一附加功能。内网设备的类型是指按照功能、使用特点等因素对内网设备进行分类后得到的类别。内网设备的类型包括：个人计算机、服务器、移动终端、打印机、智能家居设备等等。前面提及的笔记本电脑、手机、平板电脑等所属的类型为移动终端，智慧屏电视、扫地机器人、投影仪所属的类型为智能家居设备。

本申请实施例中的附加功能包括但不限于：以防火墙功能为例的数据流安全检测功能、网络缓存功能、安全沙箱功能等等。其中，防火墙功能包括根据预定规则集过滤所转发的局域网和互联网之间的报文，安全沙箱功能包括在虚拟运行环境中运行未知的特定类型的内容，如文件、网页等等，网络缓存功能包括缓存符合条件的文件，如超过预定大小的视频文件、音频文件。

内网设备，用于接收所述网关设备发送的所述第一指示消息和所述第一软件包，并根据所述第一指示消息安装所述第一软件包后执行第一附加功能。

可选地，网关设备300基于不同类型的内网设备分别对应的性能，为内网设备选择合适的软件包以实现附加功能。具体地，网关设备300保存有用于实现不同附加功能的各个软件包、以及每个软件包对应的安装性能要求(例如需要支持安装软件包，对CPU处理速率值的要求、或者存储空间大小的需求等等)。网关设备300在根据所述第一内网设备的类型，获得第一软件包的过程中，首先根据所述第一内网设备的类型，确定所述第一内网设备的性能，所述性能包括软件能力和硬件能力，所述软件能力包括是否支持安装软件包，所述硬件能力包括处理器性能值和/或存储空间大小。可选地，软件能力还包括是否已安装必要的支持软件，以及当前操作系统的版本等等。网关设备300根据第一内网设备的性能，获取所述第一软件包，所述第一内网设备的性能符合所述第一软件包的安装性能要求。例如，网关设备300根据第一内网设备的性能，在软件包与安装性能要求的对应关系中查找到所述第一软件包。

可选地，在内部网络中包括多个内网设备的场景下，网关设备300存在能够识别至少两个内网设备的类型的情况，在这种情况下网关设备300选择其中一个内网设备用以安装第一软件包。具体地，网关设备300识别至少两个内网设备的类型，并获得所述至少两个内网设备中每个内网设备的性能。如果存在至少两个内网设备，如第一内网设备的性能和第二内网设备的性能均符合所述第一软件包的安装性能要求，则网关设备300从至少两个内网设备中选择一个内网设备，如第一内网设备，用以安装所述第一软件包。在这种情况下，网关设备300可以按照多种选择策略选择一个内网设备用以安装所述第一软件包。可选地，网关设备300随机地从第一内网设备和第二内网设备中选择一个内网设备用以安装所述第一软件包，或者网关设备300从第一内网设备和第二内网设备二者中选择性能较高的一个内网设备用以安装所述第一软件包，又或者网关设备300按照内部网络的拓扑结构，从第一内网设备和第二内网设备二者中选择与网关设备300距离较短的一个内网设备用以安装所述第一软件包，篇幅所限，在这里不再一一列举选择策略。

可选地，在网关设备300向所述第一内网设备发送第一指示消息和所述第一软件包之后，为了便于后续将目标数据流，目标数据流是指待执行第一附加功能的数据流，和/或目标数据流的描述信息发送到实现第一附加功能的第一内网设备，网关设备300还需要记录第一内网设备的标识与所述第一附加功能的对应关系。进一步地，网关设备300根据第一内网设备的标识与所述第一附加功能的对应关系，向第一内网设备发送目标数据流和/或上述描述信息后，还包括接收第一内网设备返回的处理结果。可选地，对于某些附加功能，网关设备300还用于根据处理结果，对所述目标数据流执行与所述处理结果对应的动作，所述动作包括转发、告警或者阻断。

可选地，网关设备300通过多种方式中的一种或者两种以上方式的组合来识别第一内网设备的类型。例如，网关设备300根据配置表确定内网设备的类型，其中配置表中保存 有各内网设备的标识与设备的类型的对应关系，配置表是根据管理员输入的数据生成的。此外，网关设备300还可以通过其他主动或被动的方式实时地识别第一内网设备的类型。这些方式包括但不限于：方式1，从特征报文中获得第一内网设备的类型；方式2，基于第一内网设备的媒体接入控制(Media Access Control Address，MAC)地址识别第一内网设备的类型；方式3，通过主动探测扫描确定第一内网设备的类型。

可选地，为了节省网关设备300的存储资源，上述软件包可以保存在一个服务器(如附图1中服务器101所示)中，而不是保存在网关设备300中。即网关设备300不需要保存软件包与安装性能要求的对应关系，而是保存软件包的标识与安装性能要求的对应关系。在这种情况下，网关设备300在软件包的标识与安装性能要求的对应关系中查找到所述第一软件包的标识，向服务器101发送所述第一软件包的标识，并接收所述服务器对应返回的所述第一软件包。服务器101用于根据接收到的第一软件包的标识，向网关设备300发送存储的第一软件包。

可选地，为了再一步降低占用的网关设备300的处理资源，上述根据第一内网设备的性能，获取所述第一软件包的步骤可以由附图1中服务器101执行。在这种情况下，网关设备300向服务器发送所述第一内网设备的性能，网关设备300接收所述服务器101对应返回的所述第一软件包。服务器101保存软件包与安装性能要求的对应关系，接收到网关设备300发送的第一内网设备的性能，在软件包与安装性能要求的对应关系中查找到所述第一软件包，并向网关设备300发送查询到的第一软件包。

可选地，为了再一步降低占用的网关设备300的处理资源，上述根据第一内网设备的类型查询安装性能要求的步骤也可以由附图1中服务器101执行。在这种情况下，网关设备300识别出第一内网设备的类型后，向服务器发送所述第一内网设备的类型；接收所述服务器对应返回的所述第一软件包。服务器101根据所述第一内网设备的类型，确定所述第一内网设备的性能，然后根据第一内网设备的性能，获取所述第一软件包。例如在软件包与安装性能要求的对应关系中查找到所述第一软件包。服务器101向网关设备300发送获取到的第一软件包。

可选地，服务器101可以部署在内部网络200中(图1中未示出)；可替换地，服务器101也可以部署在外部网络100(如图1所示)。在服务器101部署在外部网络100中的情况下，服务器101能够支持多个不同内部网络实现本申请实施例提供的网络业务的处理方案，服务器101也被称为“云服务器”。云服务器的所有者为运营商或者除运营商和内部网络所有者之外的第三方机构，云服务器的客户为若干个内部网络200。云服务器由运营商或者除运营商和内部网络所有者之外的第三方机构管理，通过开放专用端口为多个不同内部网络提供支持服务。内部网络200在通过注册认证后，通过通用协议或者私有协议与云服务器进行通信交互。

附图2为本申请实施例提供的网络业务处理方法的流程图。该网络业务处理方法由网关设备执行，如附图1中的网关设备300。本申请实施例提供的网络业务处理方法包括以下步骤。

步骤210，网关设备识别第一内网设备的类型。需要说明的是，“第一内网设备”和后面出现的“第二内网设备”中的“第一”和“第二”并不是表示顺序关系，而是为了区别不同的内网设备。后面描述中出现的第一、第二等也是为了区别不同的信息或消息等。

第一内网设备属于网关设备连接的内部网络，如第一内网设备是附图1中的内网设备 201。

根据一个内网设备的类型，网关设备可以大致确定出该内网设备是否适宜执行附加功能，以及具备执行哪些附加功能的能力。例如，如果一个内网设备为移动终端，由于移动终端的位置经常变化，则该内网设备不太适宜执行附加功能。如果指定移动终端执行某一附加功能，那么当移动终端被使用者带离内部网络范围时，该移动终端执行的附加功能将不可用，这将导致附加功能的不稳定性。又例如，如果一个内网设备为打印机，由于通常打印机的存储和处理性能有限，不太适宜执行消耗存储资源和处理资源较多的附加功能，相对更适宜执行消耗存储资源和处理资源较少的附加功能。

可选地，网关设备采用一种或多种方式来识别内网设备的类型，包括但不限于以下几种。例如网关设备优选其中一种方式来识别某一内网设备的类型，当无法成功识别出该内网设备的类型时，再尝试通过其他方式识别该内网设备的类型。

方式0，基于保存的配置表确定内网设备的类型。

网关设备根据管理员输入的数据生成配置表，其中配置表中保存有各内网设备的标识(如内网设备的互联网协议(Internet Protocol，IP)地址)与设备的类型的对应关系。可选地，管理员使用网关设备的输入输出接口所连接的输入设备，通过网关设备的命令行界面、或者其他应用软件如网管软件界面输入一个内网设备的相关数据，这些数据包括该内网设备的IP地址，以及该内网设备的类型，进一步的还可以输入该内网设备的厂商、具体型号等信息。网关设备根据上述数据在配置表中生成一个内网设备对应的表项，该表项中包括该内网设备的IP地址，以及该内网设备的类型。

网关设备后续需要确定一个内网设备的类型时，根据该内网设备的IP地址，在配置表中查询包含该IP地址的表项，从查找到的表项中获取该内网设备的类型。

方式1，从转发的特征报文中获得第一内网设备的类型。附图3是本申请实施例提供的第一种识别内网设备类型的方式的流程图。

步骤300，网关设备从转发的网络流量截获第一内网设备发送的特征报文，所述特征报文中携带第一特征字段，所述第一特征字段的内容用于指示发送方的操作系统类型或者预定网站域名。可选地，所述预定网站域名包括设备升级网站的域名。

步骤320，网关设备在特征库中查询所述特征报文中的第一特征字段的内容对应的第一设备类型，所述特征库中保存所述第一特征字段的内容与所述第一设备类型的对应关系。

步骤340，网关设备确定所述第一内网设备的类型为所述第一设备类型。

例如，特征报文是内网设备发送的携带用户-代理(User-Agent)字段的超文本传输协议(Hypertext Transfer Protocol，HTTP)报文。内网设备在进行门户网站(Portal)认证过程中会发送携带User-Agent字段的HTTP报文。

下面给出了两个特征字段的具体内容的具体例子。

例1，User-Agent字段内容为“Android 8.0.0；VTR-L09Build/HUAWEIVTR-L09”。型号为HUAWEI P10的手机在进行Portal认证过程中发送的HTTP报文中的User-Agent字段内容包括“Android 8.0.0；VTR-L09 Build/HUAWEIVTR-L09”。

例2，User-Agent字段内容为“Windows NT 6.1；Win64；x64”。个人计算机在进行Portal认证过程中发送的HTTP报文中的User-Agent字段内容包括“Windows NT 6.1；Win64；x64”。

网关设备的特征库中预先保存“Android 8.0.0；VTR-L09 Build/HUAWEIVTR-L09”与设备类型“移动终端”的对应关系，以及“Windows NT 6.1；Win64；x64”与设备类型“个人计算机”的对应关系。当网关设备从第一内网设备发送的特征报文中解析出User-Agent字段的内容后，将解析得到的User-Agent字段的内容与特征库中的各特征字段进行比较，如果解析得到的User-Agent字段的内容包括“Android 8.0.0；VTR-L09 Build/HUAWEIVTR-L09”，则确定第一内网设备的类型为移动终端，如果解析得到的User-Agent字段的内容包括“Windows NT 6.1；Win64；x64”，则确定第一内网设备的类型为个人计算机。

特征报文也可以是内网设备发送的携带选项(Option)字段的DHCP报文。Option字段中的请求参数列表(requested parameter list)字段(即Option 55字段)、厂商标识(vendor id)字段(即Option 60字段)、主机名(host name)字段(即Option 12字段)中的内容也可以用于识别发送该携带选项(Option)字段的DHCP报文的内网设备的类型。

特征报文还可以是内网设备向AP发送的探测请求(Probe Request)报文和/或关联请求(Association Request)报文。

其他的特征报文在这里不再一一列举。

上述特征库是管理员预先配置的，也可以从公开网站中获取，例如https://fingerbank.inverse.ca。

方式2，基于MAC地址进行识别。附图4是本申请实施例提供的第二种识别内网设备的类型的方式流程图。

步骤400，网关设备获取第一内网设备的MAC地址。例如网关设备从转发的IP报文的报文头中获得第一内网设备的MAC地址，又或者网关设备通过向第一内网设备发送ARP请求，并从对应的地址解析协议(Address Resolution Protocol，ARP)响应中获得第一内网设备的MAC地址。

步骤420，网关设备在设备信息库中查询所述第一内网设备的MAC地址对应的第一设备类型，所述设备信息库中保存所述第一内网设备的MAC地址与所述第一设备类型的对应关系。设备信息库是预先保存的。例如，网关设备管理员在内部网络中增加新的设备时，在为这个新的内网设备配置网络等参数时，将该新的内网设备的MAC地址和该新的内网设备的设备类型通过网关设备连接的输入设备输入网关设备并保存。或者，设备信息库是网关设备从内网设备的制造商支持网站上下载的。

步骤440，网关设备确定所述第一内网设备的类型为所述第一设备类型。

例如，MAC地址的前3个字节是MAC组织唯一标识符(Organizationally unique identifier，OUI)。MAC OUI是电气和电子工程师协会(Institute of Electrical and Electronics Engineers,IEEE)统一分配给各个设备厂商，可用于识别IEEE公开的公司。设备厂商与设备的类型存在对应关系，例如有些厂商只生产打印机设备、有的厂商只生成移动终端设备等等。

上述设备信息规则库可以人工建立，也可以参考一些厂商组织网站上的公开信息建立。例如，可以参考IEEE的MAC OUI规则库http://standards-oui.ieee.ory/oui/oui.txt。

方式3，通过主动探测扫描进行识别。网关设备向第一内网设备发送探测报文，从根据对应的响应报文识别第一内网设备的类型。附图5是本申请实施例提供的第三种识别内 网设备类型的方式的流程图。

步骤500，网关设备向第一内网设备发送探测报文。

步骤520，网关设备接收所述第一内网设备发送的对应所述探测报文的响应报文。

步骤540，网关设备根据所述响应报文获取第一识别指纹。

步骤560，网关设备在指纹库中查询所述第一识别指纹对应的第一设备类型，所述指纹库中保存所述第一识别指纹与所述第一设备类型的对应关系。

步骤580，网关设备确定所述第一内网设备的类型为所述第一设备类型。

例如，网关设备中预先安装一个或多个扫描器软件，扫描器软件包括但不限于Tenable公司推出的漏洞扫描器NESSUS、开源扫描工具Nmap、Unix操作系统平台的网络工具netcat等等。网关设备通过运行上述扫描器软件主动地向内网设备发送探测报文，并从对应的响应报文获得识别指纹，根据识别指纹识别作为扫描对象的内网设备的类型。

例如，网关设备使用Nmap对一个内网设备进行扫描时，发送多个特殊构造的探测报文。网关设备接收内网设备对应的响应报文，并根据响应报文中的下列字段值生成识别指纹。响应报文中用于生成识别指纹的字段包括以下一个或多个的组合：SEQ、OPS、WIN、T1-T7、IE、ECN、U1。然后网关设备以生成的识别指纹为索引，在指纹库中查询对应的设备类型。

版本号为7.70的Nmap提供的指纹库中包含明文存储的5652个指纹。这些指纹对应28个设备类型。

回到附图2所示的流程中，网关设备在步骤210中识别出第一内网设备的类型后，执行步骤220。

步骤220，网关设备根据所述第一内网设备的类型，获得第一软件包，所述第一软件包用于实现第一附加功能。

可选地，网关设备保存有内网设备的类型与软件包的对应关系，如表1所示。网关设备识别出第一内网设备的类型后，从表1所示的对应关系中查询到第一内网设备的类型对应的软件包。

软件包是指是指具有特定的功能，用来完成特定任务的一个程序或一组程序。为了描述简便且具有区别性，在本申请实施例中，用带有后缀的字符串表示软件包，而用不带后缀的字符串表示软件包的标识(软件包的名称)。例如，“Firewall.exe”表示用于实现以防火墙为例的安全检测附加功能的软件包，Firewall表示该软件包的标识。

表1

可选地，内网设备的类型与软件包的对应关系在具体存储时，有多种可能的保存形式。 例如，实际保存的是内网设备的类型与软件包在网关设备的文件系统中的存储位置的对应关系、或者内网设备的类型与软件包的标识的对应关系。其中存储位置包括但不限于文件系统中的路径。如果保存的是内网设备的类型与软件包在网关设备的文件系统中的存储位置的对应关系，网关设备在根据第一内网设备的类型查找到对应的第一软件包的存储位置后，在该存储位置上获取到第一软件包。如果保存的是内网设备的类型与软件包的标识的对应关系，网关设备根据第一内网设备的类型查找到对应的第一软件包的标识后，在网关设备的文件系统中查找到第一软件包。

可选地，由于在通常情况下，软件包与附加功能有一一对应的关系，表1所示的对应关系也可以替换为内网设备的类型与附加功能的对应关系。在这种情况下，网关设备识别出第一内网设备的类型后，从内网设备的类型与附加功能的对应关系中查询到第一内网设备的类型对应的附加功能，再进一步获取实现该附加功能的软件包。或者表1所示的对应关系中也可以同时包括软件包和软件包对应的附加功能。

步骤230，网关设备向第一内网设备发送第一指示消息和第一软件包。其中，第一指示消息用于指示所述第一内网设备安装所述第一软件包并执行所述第一附加功能。例如，第一指示消息中包括第一软件包的标识和操作符，操作符对应安装操作和运行操作。第一软件包的标识包括第一软件包的名称、第一软件包的哈希值等等。

可选地，为了提升用户的使用感受，保证用户的知情权，网关设备向第一内网设备发送第一软件包和第一指示消息之前，通过网关设备通知管理员第一内网设备能够执行第一附加功能。网关设备在接收到管理员的确认指示后，执行步骤230。可选地，通知方式包括但不限于：通过网关设备的连接的输出设备提示管理员、向管理员使用的手机发送短信、向管理员发送电子邮件、通过以微信，MSN(The Microsoft Network)为例的即时通讯软件向管理员发送消息等等。

根据本申请实施例提供的网络业务处理方法，网关设备作为实现附加功能的管理控制主体。网关设备首先识别内网设备的类型，根据内网设备的类型，向内网设备发送用于实现适宜附加功能的软件包，指示内网设备成功安装软件包后实现附加功能。由于将执行附加功能的部分负担从网关设备转移到内网设备上，从而减轻了网关设备的处理负担，节约了网关设备的处理资源和存储资源，提供了一种较低代价的实现网关设备附加功能的方案。同时，该方案利用内网设备的闲置资源实现附加功能，提高了内网资源的利用率。此外，该方案中，每项附加功能都对应独立的软件包，每次增加附加功能时，只需要开发对应的软件包即可。执行新的附加功能并不会显著增加网关设备的负担，因此还具备较佳的可扩展性。

在附图2所示的网络业务的处理方法中，在步骤220中网关设备基于表1所示的内网设备的类型与软件包的对应关系获得第一软件包，该方式快捷有效。然而在实际实施场景中，往往存在多种类型的内网设备，而这些内网设备的性能有较大差异，步骤220的方法只能实现内网设备与软件包(或附加功能)之间的粗粒度匹配。在具体实施过程中可能存在软件包安装失败、或者附加功能实现效果不佳的问题。例如，内网设备的性能实际上难以满足实现附加功能的需求而导致的软件包安装失败，或者因内网设备的性能过低导致软件包安装完成之后运行速度过慢，附加功能实现效果较差。

如果能够提高内网设备与软件包(或附加功能)之间匹配的精确性，将有可能较大提升附加功能的实现效果和性能。例如，有第一内网设备的类型为服务器、第二内网设备的 类型为个人计算机，虽然第一内网设备和第二内网设备均能支持一个消耗存储资源和处理资源较多的附加功能。然而由于第一内网设备的性能显著高于第二内网设备，例如第一内网设备具有更大的存储器容量和处理器速率，由第一内网设备来执行消耗存储资源和处理资源较多的附加功能能够获得更佳的效果。因此，本申请实施例提供了一种基于内网设备的性能选择内网设备安装的软件包的方法，如附图6所示。附图6所示的过程是执行附图2中步骤220“网关设备根据所述第一内网设备的类型，获得第一软件包”的一种替代方法。

步骤610，网关设备根据所述第一内网设备的类型，确定所述第一内网设备的性能。其中，性能包括软件能力和硬件能力，所述软件能力包括是否支持安装软件包，所述硬件能力包括处理器性能值、存储空间大小等等。

可选地，网关设备中保存有内网设备的类型与性能的对应关系，如表2所示。网关设备识别出第一内网设备的类型后，可以在表2所示的内网设备的类型与性能的对应关系中查询到第一内网设备的性能。

可选地，内网设备的类型进一步还包含内网设备的生产商、和/或型号信息，相当于对内网设备的类型进一步进行了细分。网关设备在图2中的步骤220中识别出包含生产商、和/或型号信息的第一内网设备的类型后，可以在表2所示的内网设备的类型与性能的对应关系中查询到更为精确的性能。

表2

步骤620，网关设备根据第一内网设备的性能，获取所述第一软件包。其中，所述第一内网设备的性能符合所述第一软件包的安装性能要求。

可选地，网关设备中存储每个软件包对应的安装性能要求，如表3所示。网关设备获得第一内网设备的性能后，将第一内网设备的性能与各软件包对应的安装性能要求进行比对，如果第一内网设备的主要性能高于第一软件包的安装性能要求，则确定第一内网设备的性能符合所述第一软件包的安装性能要求。

表3

例如，假设第一内网设备的类型是个人计算机、型号为H-TG01，则第一内网设备的性能符合软件包networkstorage.exe和Firewall.exe的安装性能要求，不符合软件包Websandbox.exe的安装性能要求。在这种情况下，第一软件包是名为networkstorage.exe的软件包或名为Firewall.exe的软件包。

假设第一内网设备的类型是服务器、型号为D-R7，则第一内网设备的性能符合软件包networkstorage.exe、Firewall.exe和Websandbox.exe的安装性能要求。在这种情况下，第一软件包是名为networkstorage.exe的软件包、名为Firewall.exe的软件包或名为Websandbox.exe的软件包。

本申请实施例中网关设备识别出第一内网设备的类型后，根据第一内网设备的类型获取第一内网设备的性能，再将第一内网设备的性能与软件包的安装性能要求进行比对，从而确保第一内网设备的性能符合选择出的第一软件包的安装性能要求。这样可以降低第一内网设备安装软件包、或者运行软件包的失败率，提升第一内网设备安装软件包的成功率，从而提高附加功能的实现效果。

可选地，当附图1中的内部网络200中包含多个内网设备时。网关设备300并行地识别多个内网设备的类型，在识别出多个内网设备的类型后，采用附图2或者附图6所示的方法可能出现针对两个或两个以上不同的内网设备，确定出的第一软件包为同一软件包的情况。这时，如果网关设备300向两个或两个以上内网设备发送同一软件包，那么这些内网设备分别安装同一软件包后将执行同一附加功能，这有可能导致内网设备资源浪费、或者附加功能实现过程中的冲突问题。为了避免这种可能出现的问题，在针对多个不同的内网设备，网关设备300确定出的第一软件包为同一软件包的情况下，网关设备300需要从多个内网设备中选择出一个内网设备。网关设备300向选择出的内网设备发送第一软件包，避免同时向多个内网设备发送同一软件包。即，在附图2所示的方法中，步骤230之前，还包括：网关设备300确定根据第二内网设备的类型，获得所述第一软件包；网关设备300从第一内网设备和第二内网设备中选择出第一内网设备，向第一内网设备发送第一指示消息和第一软件包，而不向第二内网设备发送第一指示消息和第一软件包。

类似地，在附图6所示的网络业务的处理方法，如果出现针对两个或两个以上不同的内网设备，确定出的第一软件包为同一软件包的情况，还可以根据两个内网设备的性能，选择出其中一个内网设备用于后续安装第一软件包。这种情况下的网络业务的处理方法，如图7所示。

附图7所示的一种网络业务的处理方法包括以下步骤。

步骤210、610、620、230请参考附图6及相关描述，在这里不再重复。

在步骤230之前，所述方法还包括：

步骤710，网关设备识别第二内网设备的类型，所述第二内网设备属于所述网管设备连接的内部网络。

步骤720，网关设备根据所述第二内网设备的类型，确定所述第二内网设备的性能。

步骤730，所述网关设备根据第二内网设备的性能，在软件包与安装性能要求的对应关系中查找到所述第二软件包，所述第二内网设备的性能符合所述第二软件包的安装性能要求。

步骤710～步骤730的实现原理分别与附图2中步骤210以及附图6中的步骤610、620类似，在这里不再重复。

步骤240，网关设备判断所述第一软件包和所述第二软件包是否为同一软件包，如果第一软件包和第二软件包为不同软件包，则执行步骤230和步骤231。步骤231，网关设备向第二内网设备发送第二指示消息和第二软件包，所述第二指示消息用于指示所述第二内网设备安装所述第二软件包并执行所述第二附加功能。

如果第一软件包和第二软件包为同一软件包，则执行步骤250。

步骤250，网关设备根据第一内网设备的性能和第二内网设备的性能，按照预定的选择策略，从第一内网设备和第二内网设备中选择出第一内网设备用以安装第一软件包。执行步骤230。

可选地，预定的选择策略包括选择性能更佳的内网设备。

假设第一内网设备为附图1中的内网设备201，内网设备201的类型为个人计算机、型号为H-TG01。假设第二内网设备为附图1中的内网设备202，内网设备202的类型为个人计算机、型号为D-VOSTRO。网关设备300识别出内网设备201和内网设备202的类型后，分别针对内网设备201和内网设备202执行附图6所示的方法，确定内网设备201用以安装Firewall.exe、内网设备201也用以安装Firewall.exe。由于内网设备201的性能优于内网设备201，因此网关设备300从内网设备201和内网设备202中选择出内网设备201，网关设备300向内网设备201发送指示消息，该指示消息中包括Firewall.exe软件包，用以指示内网设备201安装Firewall.exe软件包并执行对应的防火墙功能。

可选地，以附图1中网关设备300为例的网关设备作为控制各个内网设备执行附加功能的主体，执行附图2、附图2或附图7所示的网络业务的处理方法。上述用以执行各个附加功能的多个软件包可以集中存储也可以分布存储。集中存储是指上述用以执行各个附加功能的多个软件包被保存在网关设备的存储器中。分布存储是指上述用以执行各个附加功能的多个软件包中的全部或者部分软件包存储在网关设备可访问的、其他网络设备中。可选地，这些用于存储全部或者部分软件包的网络设备可以部署在内部网络200中，也可以部署在外部网络100。这里仅以附图1所示的“云服务器”的方案为例，对分布存储的情况进行描述。本申请实施例给出了三种分布存储的具体实现方式。

分布存储方案1

各个软件包保存在如附图1中服务器101所示云服务器中，而不是保存在网关设备300中。网关设备300不需要保存软件包与安装性能要求的对应关系，而是保存软件包的标识与安装性能要求的对应关系。在这种情况下，附图6中步骤220的实现过程如图8所示。

附图8描述了网关设备根据第一内网设备的性能，获取所述第一软件包的流程。

网关设备执行附图6中步骤610，根据所述第一内网设备的类型，确定所述第一内网设备的性能后，与服务器配合执行附图8中步骤810～步骤840以替代附图6中的步骤620。

步骤810，网关设备根据第一内网设备的性能，在软件包的标识与安装性能要求的对应关系中获取到第一软件包的标识。其中，第一内网设备的性能符合所述第一软件包的标识对应的安装性能要求。

步骤820，网关设备向服务器发送所述第一软件包的标识。

步骤830，服务器根据接收到的第一软件包的标识，获取到保存的第一软件包。

步骤840，服务器向网关设备发送获取的第一软件包。网关设备接收所述服务器对应返回的所述第一软件包。

例如，假设第一内网设备为内网设备201，内网设备201的类型是个人计算机、型号为H-TG01。网关设备300本地保存有保存软件包的标识与安装性能要求的对应关系，如表4所示。

表4

网关设备300确定第一内网设备的性能符合名为Firewall的软件包的安装性能要求。网关设备300向服务器101发送第一软件包的标识“Firewall”，接收服务器101返回的软件包Firewall.exe后，向内网设备201发送第一指示消息和软件包Firewall.exe。

本申请实施例提供的分离存储方案能够节省网关设备300的存储资源。

分布存储方案2

各个软件包保存在如附图1中服务器101所示云服务器中，而不是保存在网关设备300中。网关设备300不需要保存软件包与安装性能要求的对应关系，也不需要保存软件包的标识与安装性能要求的对应关系，只需要保存表2所示的内网设备的类型与性能的对应关系。服务器101不仅保存各个软件包，还需要保存如表3所示的软件包与安装性能要求的对应关系。在这种情况下，附图6中步骤220的实现过程如图9所示。

附图9描述了网关设备根据第一内网设备的性能，获取所述第一软件包的流程。

网关设备执行附图6中步骤610，根据所述第一内网设备的类型，确定所述第一内网设备的性能后，与服务器配合执行步骤910～步骤930以替代附图6中的步骤620。

步骤910，网关设备向服务器发送所述第一内网设备的性能。

步骤920，服务器根据接收到的第一内网设备的性能，在软件包与安装性能要求的对应关系中获取到所述第一软件包。其中，第一内网设备的性能符合所述第一软件包的标识对应的安装性能要求。

例如，服务器保存表3所示的软件包与安装性能要求的对应关系，服务器在接收到网关设备发送的第一内网设备的性能后，将第一内网设备的性能与各软件包对应的安装性能要求进行比对，如果第一内网设备的主要性能高于第一软件包的安装性能要求，则确定第一内网设备的性能符合所述第一软件包的安装性能要求。

可替代地，服务器保存的不是表3所示的软件包与安装性能要求的对应关系，而是表4所示的服务器保存软件包的标识与安装性能要求的对应关系。服务器接收到的第一内网设备的性能后，将第一内网设备的性能与各软件包的标识对应的安装性能要求进行比对，如果第一内网设备的主要性能高于第一软件包的标识对应的安装性能要求，则确定第一内网设备的性能符合所述第一软件包的安装性能要求。服务器再根据第一软件包的标识查找到对应的第一软件包。

步骤930，服务器向网关设备发送第一软件包。相应地，所述网关设备接收所述服务器对应返回的所述第一软件包，再将第一软件包和第一指示消息发送给第一内网设备。

例如，假设第一内网设备为内网设备201，内网设备201的类型是个人计算机、型号为H-TG01。网关设备300根据表2确定出内网设备201的性能包括“CPU：2GHz；内存：512MB；硬盘容量：256GB”。网关设备300向服务器101发送内网设备201的性能“CPU：2GHz；内存：512MB；硬盘容量：256GB”。服务器101将接收到的性能“CPU：2GHz；内存：512MB；硬盘容量：256GB”与保存的表3所示的软件包与安装性能要求的对应关系，或者表4所示的服务器保存软件包的标识与安装性能要求的对应关系中的各表项进行比对。服务器101内网设备201的性能符合软件包Firewall.exe的安装性能要求。服务器101向网关设备300发送软件包Firewall.exe。

本申请实施例提供的分离存储方案一方面能够进一步节省网关设备的存储资源，另一方面由于根据性能，获取所述第一软件包的步骤由服务器执行，也节省了网关设备的处理资源。

分布存储方案3

各个软件包保存在如附图1中服务器101所示云服务器中，而不是保存在网关设备300中。网关设备300不仅不需要保存软件包与安装性能要求的对应关系，也不需要保存软件包的标识与安装性能要求的对应关系，还不需要保存表2所示的内网设备的类型与性能的对应关系。服务器101不仅保存各个软件包，还需要保存如表3所示的软件包与安装性能要求的对应关系，进一步还需要保存表2所示的内网设备的类型与性能的对应关系。在这种情况下，附图2中步骤220的实现过程如图10所示。

附图10描述了网关设备根据第一内网设备的性能，获取所述第一软件包的流程。

网关设备执行附图2、或者附图6中步骤210，识别第一内网设备的类型之后，与服务器配合执行步骤110～步骤130以替代附图2中的步骤220，或者替代附图6中的步骤610～620。

步骤110，网关设备向服务器发送所述第一内网设备的类型。

步骤120，服务器接收到网关设备发送的第一内网设备的类型后，在表2所示的内网设备的类型与性能的对应关系中查询到第一内网设备的性能。

步骤130，服务器根据查询到的第一内网设备的性能，在软件包与安装性能要求的对应关系中查找到所述第一软件包。其中，第一内网设备的性能符合所述第一软件包的标识对应的安装性能要求。

例如，服务器保存表3所示的软件包与安装性能要求的对应关系，服务器在查询到第一内网设备的性能后，将第一内网设备的性能与各软件包对应的安装性能要求进行比对，如果第一内网设备的主要性能高于第一软件包的安装性能要求，则确定第一内网设备的性能符合所述第一软件包的安装性能要求。

可替代地，服务器保存的不是表3所示的软件包与安装性能要求的对应关系，而是表4所示的服务器保存软件包的标识与安装性能要求的对应关系。服务器在查询到第一内网设备的性能后，将第一内网设备的性能与各软件包的标识对应的安装性能要求进行比对，如果第一内网设备的主要性能高于第一软件包的标识对应的安装性能要求，则确定第一内网设备的性能符合所述第一软件包的安装性能要求。服务器再根据第一软件包的标识查找到对应的第一软件包。

可替代地，服务器保存的不是表3所示的软件包与安装性能要求的对应关系或表4所示的服务器保存软件包的标识与安装性能要求的对应关系，而是表1所示的内网设备的类型与软件包的对应关系。这种情况下，步骤120和步骤130可以直接简化为，服务器根据接收到的内网设备的类型，在内网设备的类型与软件包的对应关系查询到第一设备的类型对应的软件包。如步骤220基本类似，只是执行主体不同，在这里不再展开详述。

步骤140，服务器向网关设备发送第一软件包。相应地，所述网关设备接收所述服务器对应返回的所述第一软件包，再将第一软件包和第一指示消息发送给第一内网设备。

步骤130的执行过程与附图9中的步骤920类似，步骤140的执行过程与附图9中的步骤930类似，在这里不再展开描述。

例如，假设第一内网设备为内网设备201，内网设备201的类型是个人计算机、型号为H-TG01。网关设备300向服务器101发送内网设备201的类型“个人计算机、H-TG01”。服务器101接收到内网设备201的类型“个人计算机、H-TG01”后，在表2所示的内网设备的类型与性能的对应关系中，查询到类型“个人计算机、H-TG01”对应的性能为“CPU：2GHz；内存：512MB；硬盘容量：256GB”。服务器101进一步将性能“CPU：2GHz；内存：512MB；硬盘容量：256GB”与保存的表3所示的软件包与安装性能要求的对应关系，或者表4所示的服务器保存软件包的标识与安装性能要求的对应关系中的各表项进行比对，确定性能“CPU：2GHz；内存：512MB；硬盘容量：256GB”符合软件包Firewall.exe的安装性能要求。服务器101向网关设备300发送软件包Firewall.exe。

本申请实施例提供的分离存储方案一方面能够进一步节省网关设备的存储资源，另一方面由于根据第一内网设备的类型查询安装性能要求的步骤、以及根据性能，获取所述第一软件包的步骤均由服务器执行，也进一步节省了网关设备的处理资源。

可选地，根据附图2、附图6～附图10所述的网络业务的处理方法，网关设备向第一内网设备发送第一指示消息和第一软件包之后，为了便于后续将目标数据流，和/或用于描述目标数据流的描述信息发送到实现第一附加功能的第一内网设备，网关设备还需要记录第一内网设备的标识与所述第一附加功能的对应关系。其中目标数据流是指待执行第一附加功能的数据流。网关设备记录第一内网设备的标识与所述第一附加功能的对应关系的目的是为了后续对目标数据流进行正确转发，以便于正确地执行第一附加功能。例如，网 关设备根据第一内网设备的标识与所述第一附加功能的对应关系，后续将目标数据流，和/或用于描述目标数据流的描述信息，发送到实现第一附加功能的第一内网设备，并接收第一内网设备对应的处理结果。可选地，对于一些附加功能，网关设备根据接收到的处理结果，对待转发流量中的目标数据流执行与所述处理结果对应的动作，所述动作包括转发、告警或者阻断。具体实现过程如附图11和附图12所示。

基于本申请前面各个实施例提供的网络业务的处理方法，本申请实施例又提供了一种网络业务的处理方法，如附图11所示。附图11是本申请实施例提供的网络业务的处理方法的流程图。以附图1中网关设备300为例的网关设备在执行附图2、附图6～附图10所述的网络业务的处理方法中的向第一内网设备发送第一指示消息和第一软件包的步骤之后，还执行附图11所示的各步骤。

步骤111，网关设备保存第一内网设备的标识与第一附加功能的对应关系。

可选地，为了保证第一附加功能的实现效果，网关设备向第一内网设备发送第一指示消息和第一软件包之后，等待接收第一内网设备在第一软件包安装完成之后返回的确认消息。网关设备接收到来自于第一内网设备的确认消息后，网关设备再保存第一内网设备的标识与第一附加功能的对应关系。

步骤112，网关设备获取待转发的流量，并从待转发的流量中获取目标数据流，所述目标数据流是指待执行第一附加功能的数据流。

哪些数据流是目标数据流是与具体的附加功能相关的。例如如果第一附加功能是数据流安全检测功能，那么目标数据流是符合预定策略的待检测的流量。预定策略是根据预先根据网络场景设置的，可以是全部双向流量、也可以是外部网络向内部网络发送的单向流量等等。

例如，如果第一附加功能是网络缓存功能，那么目标数据流为承载待缓存内容的数据流。待缓存内容的类型是预先设置的，例如待缓存内容是多媒体内容等等。

例如，如果第一附加功能为安全沙箱功能，那么目标数据流为承载待检测文件内容的数据流。待检测文件的格式类型是预先设置的，例如便携式文档格式(Portable Document Format，pdf)文件、或者可执行(executable file，exe)文件、可移植可执行(Portable Executable，PE)文件等等。网关设备可以对待转发数据流中的部分报文，例如会话建立初始阶段的少量报文，进行解析从而确定这些报文所属的数据流是否是目标数据流。例如对会话建立初始阶段的少量报文进行协议解析获得报文中承载的文件头数据，从文件头数据中获取会话承载的内容类型。

步骤113，网关设备根据所述第一内网设备的标识与第一附加功能的对应关系，向第一内网设备发送目标数据流。

步骤114，网关设备接收第一内网设备对目标数据流的处理结果。

可选地，以第一附加功能为网络缓存功能为例。第一内网设备为附图1中的内网设备201，网关设备为附图1中网关设备300。网关设备300向内网设备201发送第一指示消息和软件包networkstorage.exe。内网设备201根据第一指示消息安装软件包Firewall.exe完成后，执行网络缓存功能。网关设备300记录内网设备201与网络缓存功能的对应关系。网关设备300中被配置的预定策略为对超过50M的视频文件进行缓存。即目标数据流为承载超过50M的视频文件的数据流。网关设备300通过网络接口后续接收承载超过50M的视频文件的数据流后，除了执行原有转发流程，还向内网设备201发送该数据流。网关设备 300接收到内网设备201对这部分数据流的缓存结果，如缓存结果指示视频文件缓存成功或者缓存结果指示视频文件缓存失败。

可选地，对于某些附加功能，在步骤114之后，网关设备还执行步骤115。

步骤115，网关设备根据所述处理结果，对目标数据流执行与所述处理结果对应的动作，所述动作包括转发、告警或者阻断。

可选地，以第一附加功能为数据流安全检测功能为例。第一内网设备为附图1中的内网设备201，网关设备为附图1中网关设备300。网关设备300向内网设备201发送的第一指示消息和软件包Firewall.exe。内网设备201根据第一指示消息安装软件包Firewall.exe完成后，执行以防火墙为例的数据流安全检测功能。网关设备300记录内网设备201与数据流安全检测功能的对应关系。网关设备300中被配置的预定策略为对外部网络向内部网络发送的单向流量进行安全检测。即待检测的目标数据流为外部网络向内部网络发送的单向流量。网关设备300通过网络接口后续接收到外部网络100向内部网络200发送的数据流后，向内网设备201发送该数据流。网关设备300接收到内网设备201对目标数据流的安全检测结果后，如果安全检测结果指示目标数据流不含违反防火墙规则的数据，则网关设备300通过网络接口向内部网络200转发该目标数据流；如果安全检测结果指示目标数据流含有违反防火墙规则的数据，则网关设备300阻断目标数据流，禁止通过网络接口向内部网络200转发目标数据流。

基于附图11所示的处理方法，在一些应用场景下，为了减少网关设备向执行附加功能的内网设备发送的数据量，网关设备先对目标数据流进行解析、分析、提取或统计，获得用于描述目标数据流的描述信息。描述信息也被称为元数据(metadata)。元数据为描述数据的数据(data about data)，主要是描述数据属性(property)的信息，用来支持如指示存储位置、历史数据、资源查找、文件记录等功能。可选地，描述信息的生成方式和格式有多种，包括标准组织和现有主流厂商支持的格式，或者是管理员自定义的格式。例如互联网工程任务组(Internet Engineering Task Force，IETF)定义的IP数据流信息输出(IP Flow Information Export，IPFIX)协议格式，NetFlow格式，sflow格式等等。

网关设备向执行附加功能的内网设备发送的是描述信息而不是目标数据流本身，从而减少网关设备与内网设备之间传输的数据量。具体实现过程如附图12所示。

附图12是本申请实施例提供的网络业务的处理方法。以附图1中网关设备300为例的网关设备在执行附图2、附图6～附图10所述的网络业务的处理方法中的向第一内网设备发送第一指示消息和第一软件包的步骤之后，还执行附图12所示的各步骤。

步骤121，网关设备保存第一内网设备的标识与第一附加功能的对应关系。

步骤122，网关设备获取待转发的流量，并从待转发的流量中获取目标数据流，所述目标数据流是指待执行所述第一附加功能的数据流。

附图12中的步骤121和步骤122分别与附图11中的步骤111和步骤112类似，在这里不重复描述。

步骤123，网关设备确定描述信息，所述描述信息用于描述目标数据流。

步骤124，网关设备根据所述第一内网设备的标识与第一附加功能的对应关系，向第一内网设备发送描述信息。

步骤125，网关设备接收第一内网设备对描述信息的处理结果。

步骤126，网关设备根据第一内网设备对描述信息的处理结果，对目标数据流执行与所述处理结果对应的动作，所述动作包括转发、告警或者阻断。

可选地，以第一附加功能为数据流安全检测功能为例。第一内网设备为附图1中的内网设备201，网关设备为附图1中网关设备300。网关设备300向内网设备201发送第一指示消息和软件包Firewall.exe。内网设备201根据第一指示消息安装软件包Firewall.exe完成后，执行以防火墙为例的数据流安全检测功能。网关设备300记录内网设备201与数据流安全检测功能的对应关系。网关设备300中被配置的预定策略为对外部网络向内部网络发送的单向流量进行安全检测。即目标数据流为外部网络向内部网络发送的单向流量。网关设备300通过网络接口后续接收到外部网络100向内部网络200发送的数据流(即目标数据流)后，提取目标数据流的描述信息。描述信息包括由源地址、源端口号、目的地址、目的端口号和协议类型组成的五元组信息，可选地，描述信息还包括报文头中部分指定字段的内容等等。网关设备300向内网设备201发送描述信息。网关设备300接收到内网设备201对描述信息的安全检测结果后，如果安全检测结果指示描述信息中不含违反防火墙规则的数据，则网关设备300通过网络接口向内部网络200转发目标数据流；如果安全检测结果指示描述信息中含有违反防火墙规则的数据，则网关设备300阻断这目标数据流，禁止通过网络接口向内部网络200转发这目标数据流。

相应地，本申请实施例提供了一种网关设备，用以执行上述各个实施例提供的网络业务的处理方法。图13是本申请实施例提供的网关设备的结构示意图。可选地，图13所示的网关设备是图1所示应用场景中的网关设备300、图2、图6～附图12所示流程中的网关设备。网关设备包括处理器131、存储器132和网络接口133。

处理器131可以是一个或多个CPU，该CPU可以是单核CPU，也可以是多核CPU。

存储器132包括但不限于是随机存取存储器(random access memory，RAM)、只读存储器(Read only Memory，ROM)、可擦除可编程只读存储器(erasable programmable read-only memory，EPROM或者快闪存储器)、快闪存储器、或光存储器等。存储器132中保存有操作系统的代码。

网络接口133可以是有线接口，例如光纤分布式数据接口(Fiber Distributed Data Interface，FDDI)、千兆以太网(Gigabit Ethernet，GE)接口；网络接口63也可以是无线接口。网络接口133用于接收来自于内部网络和/或外部网络的数据流，根据处理器131的指示与内部网络中的内网设备进行通信，以及与外部网络中的服务器进行通信。

可选地，处理器131通过读取存储器132中保存的指令实现上述实施例中的方法，或者，处理器131也可以通过内部存储的指令实现上述实施例中的方法。在处理器131通过读取存储器132中保存的指令实现上述实施例中的方法的情况下，存储器132中保存实现本申请上述实施例提供的方法的指令。

处理器131执行存储器132中存储的指令后，使得网关设备执行以下操作：识别第一内网设备的类型，所述第一内网设备属于所述网关设备连接的内部网络；所述网关设备根据所述第一内网设备的类型，获得第一软件包，所述第一软件包用于实现第一附加功能；通过所述网络接口133向所述第一内网设备发送第一指示消息和所述第一软件包，所述第一指示消息用于指示所述第一内网设备安装所述第一软件包并执行所述第一附加功能。

所述至少一个处理器131进一步根据存储器132保存的若干对应关系表(如前面实施例中的表1、表2、表3、表4)来执行上述方法实施例所描述的网络业务的处理方法。处 理器131实现上述功能的更多细节请参考前面各个方法实施例中的描述，在这里不再重复。

可选地，网关设备还包括总线134，上述处理器131、存储器132通常通过总线134相互连接，也可以采用其他方式相互连接。

可选地，网关设备还包括输入输出接口135，输入输出接口135用于与输出设备连接，向管理员输出提示消息，以通知管理员第一内网设备能够执行第一附加功能，以及在合适的条件下，根据内网设备的处理结果输出告警等等。输出设备包括但不限于显示器、打印机等等。

输入输出接口135还用于与输入设备连接，接收管理员针对提示消息返回的确认消息。输入设备包括但不限于键盘、触摸屏、麦克风、蓝牙模块等等。

附图13所示的网关设备可以实现的其他附加功能、以及与其他网元设备(如内网设备或者服务器)的交互过程，请参照方法实施例中对网关设备的描述，在这里不再赘述

本申请实施例提供的网关设备用于执行上述各个方法实施例提供的网络业务的处理方法。该网关设备本身无需执行附加功能，而是作为实现附加功能的管理控制主体，控制适宜的内网设备分担实现附加功能的任务。该网关设备的主要功能是识别内网设备的类型，根据内网设备的类型，向内网设备发送用于实现适宜附加功能的软件包，指示内网设备成功安装软件包后实现附加功能。

图14是本申请实施例提供的一种网络业务的处理装置的结构示意图。该处理装置14包括处理模块141和发送模块142。该处理装置14与上述各个方法实施例中的网关设备耦合连接，例如集成在网关设备中，是网关设备中的一个软件或硬件组件。附图14所示的处理装置应用于方法实施例附图1所示的场景中，实现其中网关设备的功能。

处理模块141，用于识别第一内网设备的类型，所述第一内网设备属于所述网关设备连接的内部网络；根据识别出的所述第一内网设备的类型，获得第一软件包，所述第一软件包用于实现第一附加功能。

发送模块142，用于向所述第一内网设备发送第一指示消息和所述第一软件包，所述第一指示消息用于指示所述第一内网设备安装所述第一软件包并执行所述第一附加功能。

可选地，处理模块141根据所述第一内网设备的类型，获得第一软件包，包括：根据所述第一内网设备的类型，确定所述第一内网设备的性能，所述性能包括软件能力和硬件能力，所述软件能力包括是否支持安装软件包，所述硬件能力包括处理器性能值和/或存储空间大小；根据所述第一内网设备的性能，获取所述第一软件包，所述第一内网设备的性能符合所述第一软件包的安装性能要求。

可选地，发送模块142向所述第一内网设备发送第一指示消息和所述第一软件包之前，所述处理模块141还用于识别第二内网设备的类型，所述第二内网设备属于所述内部网络。处理模块141根据所述第二内网设备的类型，确定所述第二内网设备的性能；获取第二软件包，所述第二内网设备的性能符合所述第二软件包的安装性能要求。如果所述第一软件包和所述第二软件包为同一软件包，则所述网关设备从所述第一内网设备和所述第二内网设备中选择出所述第一内网设备用以安装所述第一软件包。

可选地，所述装置还包括接收模块143。

发送模块142向所述第一内网设备发送第一指示消息和所述第一软件包之后，所述处理模块142保存所述第一内网设备的标识与所述第一附加功能的对应关系。

处理模块141从接收模块143接收的待转发流量中获取目标数据流，所述目标数据流 为待执行所述第一附加功能的数据流。处理模块142根据所述第一内网设备的标识与所述第一附加功能的对应关系，通过发送模块142向所述第一内网设备发送所述目标数据流，并通过接收模块143接收所述第一内网设备对所述目标数据流的处理结果。

处理模块141、发送模块142和接收模块143能够实现的附加功能、实现上述功能的更多细节请参考前面各个方法实施例中的描述，在这里不再重复。

附图14所描述的装置实施例仅仅是示意性的，例如，所述模块的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个模块或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。在本申请各个实施例中的各功能模块可以集成在一个处理模块中，也可以是各个模块单独物理存在，也可以两个或两个以上模块集成在一个模块中。附图14中上述各个模块既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。例如，采用软件实现时，处理模块141、发送模块142和接收模块143可以是由附图13中的处理器131读取存储器中存储的程序代码后，生成的软件功能模块来实现。图14中上述各个模块也可以由网关设备中的不同硬件分别实现，例如发送模块142和接收模块143由附图13中的网络接口133实现，而处理模块141由附图13中处理器133中的部分处理资源(例如多核处理器中的其他核)，或者采用现场可编程门阵列(Field－Programmable Gate Array，FPGA)、或协处理器等可编程器件来完成。显然上述功能模块也可以采用软件硬件相结合的方式来实现，例如发送模块142和接收模块143由网络接口133实现，而处理模块141是由CPU读取存储器中存储的指令后生成的软件功能模块。

附图14中装置可以实现的其他附加功能、与其他网元设备(例如内网设备、或者服务器)的交互过程、以及能够实现的技术效果、以及识别模块141、获取模块142和发送模块143实现上述功能的更多细节请参考前面各个方法实施例中对于网关设备的描述，在这里不再赘述。

本申请实施例还提供了一种网络业务的处理系统，该处理系统包括网关设备和至少一个内网设备。网关设备用于连接外部网络和内部网络。所述至少一个内网设备属于所述内部网络。可选地，当软件包采用分布式存储方式时，该处理系统还包括服务器，服务器部署于内部网络或外部网络中。该处理系统中网关设备、内网设备和服务器实现各自功能的更多细节、以及相互之间的交互过程的更多细节请参考前面各个方法实施例中对于网关设备的描述，在这里不再赘述。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于系统实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

本领域普通技术人员将会理解，当使用软件实现本申请实施例的各个方面、或各个方面的可能实现方式时，上述各个方面、或各个方面的可能实现方式可以全部或部分地以计算机程序产品的形式实现。计算机程序产品是指存储在计算机可读介质中的计算机可读指令。在计算机上加载和执行所述计算机指令时，全部或部分地产生按照本申请实施例所述的流程或功能。

计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质包括但不限于电子、磁性、光学、电磁、红外或半导体系统、设备或者装置，或 者前述的任意适当组合。如计算机可读存储介质为随机存取存储器(Random Access Memory，RAM)、只读存储器(read only memory，ROM)、可擦除可编程只读存储器(Erasable Programmable Read Only Memory，EPROM)或便携式只读存储器(Compact Disc Read-Only Memory，CD-ROM)。

显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的范围。这样，倘若本申请的这些修改和变型属于本发明权利要求的范围之内，则本发明也意图包括这些改动和变型在内。

Claims (31)

1. 一种网络业务的处理方法，其特征在于，包括：

   网关设备识别第一内网设备的类型，所述第一内网设备属于所述网关设备连接的内部网络；

   所述网关设备根据所述第一内网设备的类型，获得第一软件包，所述第一软件包用于实现第一附加功能；

   所述网关设备向所述第一内网设备发送第一指示消息和所述第一软件包，所述第一指示消息用于指示所述第一内网设备安装所述第一软件包并执行所述第一附加功能。
2. 根据权利要求1所述的处理方法，其特征在于，所述网关设备根据所述第一内网设备的类型，获得第一软件包，包括：

   所述网关设备根据所述第一内网设备的类型，确定所述第一内网设备的性能，所述性能包括软件能力和硬件能力，所述软件能力包括是否支持安装软件包，所述硬件能力包括处理器性能值和/或存储空间大小；

   所述网关设备根据所述第一内网设备的性能，获取所述第一软件包，所述第一内网设备的性能符合所述第一软件包的安装性能要求。
3. 根据权利要求2所述的处理方法，其特征在于，所述网关设备根据所述第一内网设备的性能，获取所述第一软件包，包括：

   所述网关设备根据所述第一内网设备的性能，在软件包与安装性能要求的对应关系中查找到所述第一软件包。
4. 根据权利要求2所述的处理方法，其特征在于，所述网关设备根据所述第一内网设备的性能，获取所述第一软件包，包括：

   所述网关设备根据第一内网设备的性能，在软件包的标识与安装性能要求的对应关系中查找到所述第一软件包的标识；

   所述网关设备向服务器发送所述第一软件包的标识，并接收所述服务器根据所述第一软件包的标识返回的所述第一软件包。
5. 根据权利要求2所述的处理方法，其特征在于，所述网关设备根据所述第一内网设备的性能，获取所述第一软件包，包括：

   所述网关设备向服务器发送所述第一内网设备的性能；

   所述网关设备接收所述服务器根据所述第一内外设备的性能返回的所述第一软件包。
6. 根据权利要求1所述的处理方法，其特征在于，所述网关设备根据所述第一内网设备的类型，获得第一软件包，包括：

   所述网关设备向服务器发送所述第一内网设备的类型；

   所述网关设备接收所述服务器根据所述第一内外设备的类型返回的所述第一软件包。
7. 根据权利要求2所述的处理方法，其特征在于，所述网关设备向所述第一内网设备发送第一指示消息和所述第一软件包之前，所述方法还包括：

   所述网关设备识别第二内网设备的类型，所述第二内网设备属于所述内部网络；

   所述网关设备根据所述第二内网设备的类型，确定所述第二内网设备的性能；

   所述网关设备根据第二内网设备的性能，在软件包与安装性能要求的对应关系中查找到所述第二软件包，所述第二内网设备的性能符合所述第二软件包的安装性能要求；

   如果所述第一软件包和所述第二软件包为同一软件包，则所述网关设备从所述第一内网设备和所述第二内网设备中选择出所述第一内网设备用以安装所述第一软件包。
8. 根据权利要求7所述的处理方法，其特征在于，所述网关设备从所述第一内网设备和所述第二内网设备中选择出所述第一内网设备用以安装所述第一软件包，包括：

   所述网关设备根据所述第一内网设备的性能和所述第二内网设备的性能，按照预定的选择策略，从所述第一内网设备和所述第二内网设备中选择出所述第一内网设备用以安装所述第一软件包。
9. 根据权利要求1-8任一所述的方法，其特征在于，所述网关设备向所述第一内网设备发送第一指示消息和所述第一软件包之后，所述方法还包括：

   所述网关设备保存所述第一内网设备的标识与所述第一附加功能的对应关系；

   所述网关设备获取目标数据流，所述目标数据流为待执行所述第一附加功能的数据流；

   所述网关设备根据所述第一内网设备的标识与所述第一附加功能的对应关系，向所述第一内网设备发送所述目标数据流，并接收所述第一内网设备对所述目标数据流的处理结果。
10. 根据权利要求9所述的方法，其特征在于，所述接收所述第一内网设备对所述目标数据流的处理结果之后，还包括：

    所述网关设备根据所述处理结果，对所述目标数据流执行与所述处理结果对应的动作，所述动作包括转发、告警或者阻断。
11. 根据权利要求1或2所述的方法，其特征在于，所述网关设备向所述第一内网设备发送第一指示消息和所述第一软件包之后，所述方法还包括：

    所述网关设备保存所述第一内网设备的标识与所述第一附加功能的对应关系；

    所述网关设备获取目标数据流，所述目标数据流为待执行所述第一附加功能的数据流；

    所述网关设备确定描述信息，所述描述信息用于描述所述目标数据流；

    所述网关设备根据所述第一内网设备的标识与所述第一附加功能的对应关系，向所述第一内网设备发送所述描述信息，并接收所述第一内网设备对所述描述信息的处理结果。
12. 根据权利要求11所述的方法，其特征在于，所述接收所述第一内网设备对所述描述信息的处理结果之后，还包括：

    所述网关设备根据所述处理结果，对所述目标数据流执行与所述处理结果对应的动作，所述动作包括转发、告警或者阻断。
13. 根据权利要求9-12所述的方法，其特征在于，所述第一附加功能为数据流安全检测功能，所述目标数据流为待检测的数据流。
14. 根据权利要求9-12任一所述的方法，其特征在于，所述第一附加功能为网络缓存功能，所述目标数据流为承载待缓存内容的数据流。
15. 根据权利要求9-12任一所述的方法，其特征在于，所述第一附加功能为安全沙箱功能，所述目标数据流为承载待检测文件内容的数据流。
16. 根据权利要求1-15任一所述的方法，其特征在于，所述网关设备向所述第一内网设备发送第一指示消息和所述第一软件包之前，所述方法还包括：

    输出提示信息，所述提示信息中包括所述第一内网设备的标识与所述第一附加功能的 对应关系，所述提示信息用于提示所述第一内网设备具备执行所述第一附加功能的能力；

    接收输入的确认信息，所述确认信息用于表示允许所述第一内网设备执行所述第一附加功能。
17. 根据权利要求1-16任一所述的方法，其特征在于，所述网关设备识别第一内网设备的类型，包括：

    所述网关设备截获所述第一内网设备发送的特征报文，所述特征报文中携带第一特征字段，所述第一特征字段的内容用于指示发送方的操作系统类型或者预定网站域名；

    所述网关设备在特征库中查询所述第一特征字段的内容对应的第一设备类型，所述特征库中保存所述第一特征字段的内容与所述第一设备类型的对应关系；

    所述网关设备确定所述第一内网设备的设备类型为所述第一设备类型。
18. 根据权利要求1-16任一所述的方法，其特征在于，所述网关设备识别第一内网设备的类型，包括：

    所述网关设备获取所述第一内网设备的MAC地址；

    所述网关设备在设备信息库中查询所述第一内网设备的MAC地址对应的第一设备类型，所述设备信息库中保存所述第一内网设备的MAC地址与所述第一设备类型的对应关系；

    所述网关设备确定所述第一内网设备的设备类型为所述第一设备类型。
19. 根据权利要求1-16任一所述的方法，其特征在于，所述网关设备识别第一内网设备的类型，包括：

    所述网关设备向所述第一内网设备发送探测报文；

    所述网关设备接收所述第一内网设备发送的对应所述探测报文的响应报文；

    所述网关设备根据所述响应报文获取第一识别指纹；

    所述网关设备在指纹库中查询所述第一识别指纹对应的第一设备类型，所述指纹库中保存所述第一识别指纹与所述第一设备类型的对应关系；

    所述网关设备确定所述第一内网设备的设备类型为所述第一设备类型。
20. 一种网关设备，其特征在于，包括网络接口、存储器和与所述存储器连接的处理器，

    所述存储器用于存储指令；

    所述处理器用于执行所述指令，以使所述网关设备执行以下操作：

    识别第一内网设备的类型，所述第一内网设备属于所述网关设备连接的内部网络；

    根据所述第一内网设备的类型，获得第一软件包，所述第一软件包用于实现第一附加功能；

    通过所述网络接口向所述第一内网设备发送第一指示消息和所述第一软件包，所述第一指示消息用于指示所述第一内网设备安装所述第一软件包并执行所述第一附加功能。
21. 根据权利要求20所述的网关设备，其特征在于，

    所述处理器，用于根据所述第一内网设备的类型，确定所述第一内网设备的性能，所述性能包括软件能力和硬件能力，所述软件能力包括是否支持安装软件包，所述硬件能力包括处理器性能值和/或存储空间大小；根据所述第一内网设备的性能，获取所述第一软件包，所述第一内网设备的性能符合所述第一软件包的安装性能要求。
22. 根据权利要求21所述的网关设备，其特征在于，

    所述处理器根据第一内网设备的性能，在软件包的标识与安装性能要求的对应关系中 查找到所述第一软件包的标识；

    通过所述网络接口向服务器发送所述第一软件包的标识，并通过所述网络接口接收所述服务器根据所述第一软件包的标识返回的所述第一软件包。
23. 根据权利要求21所述的网关设备，其特征在于，

    所述处理器通过所述网络接口向服务器发送所述第一内网设备的性能，并通过所述网络接口接收所述服务器根据所述第一内外设备的性能返回的所述第一软件包。
24. 根据权利要求20所述的网关设备，其特征在于，

    所述处理器通过所述网络接口向服务器发送所述第一内网设备的类型，并通过所述网络接口接收所述服务器根据所述第一内外设备的类型返回的所述第一软件包。
25. 根据权利要求21所述的网关设备，其特征在于，通过所述网络接口向所述第一内网设备发送第一指示消息和所述第一软件包之前，

    所述处理器还用于识别第二内网设备的类型，所述第二内网设备属于所述内部网络；根据所述第二内网设备的类型，确定所述第二内网设备的性能；根据第二内网设备的性能，在软件包与安装性能要求的对应关系中查找到所述第二软件包，所述第二内网设备的性能符合所述第二软件包的安装性能要求；如果所述第一软件包和所述第二软件包为同一软件包，则从所述第一内网设备和所述第二内网设备中选择出所述第一内网设备用以安装所述第一软件包。
26. 根据权利要求20-25任一所述的网关设备，其特征在于，通过网络接口向所述第一内网设备发送第一指示消息和所述第一软件包之后，

    所述处理器还用于保存所述第一内网设备的标识与所述第一附加功能的对应关系；

    获取目标数据流，所述目标数据流为待执行所述第一附加功能的数据流；

    根据所述第一内网设备的标识与所述第一附加功能的对应关系，通过所述网络接口向所述第一内网设备发送所述目标数据流，并通过所述网络接口接收所述第一内网设备对所述目标数据流的处理结果。
27. 根据权利要求26所述的网关设备，其特征在于，

    所述处理器还用于根据所述处理结果，对所述目标数据流执行与所述处理结果对应的动作，所述动作包括转发、告警或者阻断。
28. 根据权利要求20-25任一所述的网关设备，其特征在于，通过网络接口向所述第一内网设备发送第一指示消息和所述第一软件包之后，

    所述处理器还用于保存所述第一内网设备的标识与所述第一附加功能的对应关系；获取目标数据流，所述目标数据流为待执行所述第一附加功能的数据流；

    确定描述信息，所述描述信息用于描述所述目标数据流；

    根据所述第一内网设备的标识与所述第一附加功能的对应关系，通过所述网络接口向所述第一内网设备发送所述描述信息，并通过所述网络接口接收所述第一内网设备对所述描述信息的处理结果。
29. 根据权利要求28所述的网关设备，其特征在于，

    所述处理器，还用于根据所述处理结果，对所述目标数据流执行与所述处理结果对应的动作，所述动作包括转发、告警或者阻断。
30. 一种网络业务的处理装置，其特征在于，所述处理装置与网关设备连接，包括：

    处理模块，用于识别第一内网设备的类型，所述第一内网设备属于所述网关设备连接 的内部网络；根据所述第一内网设备的类型，获得第一软件包，所述第一软件包用于实现第一附加功能；

    发送模块，用于向所述第一内网设备发送第一指示消息和所述第一软件包，所述第一指示消息用于指示所述第一内网设备安装所述第一软件包并执行所述第一附加功能。
31. 一种网络业务的处理系统，其特征在于，包括：

    网关设备和第一内网设备，所述第一内网设备属于所述网关设备连接的内部网络；

    所述网关设备，用于执行如权利要求1-19任一所述的方法；

    所述第一内网设备，用于接收所述网关设备发送的所述第一指示消息和所述第一软件包，根据所述第一指示消息安装所述第一软件包后执行所述第一附加功能。

Images