本发明专利技术实施例涉及一种报文转发方法及装置。所述方法包括:从WAF的第一虚接口接收客户端发送的第一请求报文,第一请求报文包括所述客户端待访问的服务器的域名;根据服务器的域名,获取服务器的IP地址;根据服务器的IP地址查找已存储的转发信息,生成第二请求报文,第二请求报文的源IP地址为WAF的第二虚接口的IP地址,目的IP地址为服务器的IP地址;通过第二虚接口向WAF的下一跳网络设备发送第二请求报文,以使下一跳网络设备向服务器转发第二请求报文。通过为WAF配置相互独立的多个虚接口,将WAF访问Web Server的流量通过第二虚空口接口转发,减轻了网关和LB设备的负担。
【技术实现步骤摘要】
报文转发方法及装置
本专利技术涉及通信
,尤其涉及一种报文转发方法及装置。
技术介绍
目前,为了保护网络服务器(WebServer)不会受到外网的攻击。在WebServer前架设网络应用防火墙/防护系统(也称:网站应用级入侵防御系统,英文:WebApplicationFirewall,简称:WAF)。通过WAF的反向代理功能,在转发客户端发送的请求报文前,对请求进行一次清洗。也即,只有合法的请求报文才会被送到WebServer处进行处理,不合法的请求报文将被WAF进行安全策略过滤而丢弃。如图1a-图1d为现有技术中客户端通过WAF访问WebServer以及WebServer通过WAF回应客户端的流程示意图。以客户端发送的请求为超文本传输协议(英文:HyperTextTransferProtocol,简称:HTTP)请求报文为例,图1a所示为客户端访问WAF的流程。HTTP请求报文到达防火墙后,防火墙根据网络地址转换原则,将HTTP请求报文通过网关转发至负载均衡(英文:LoadBalance,简称:LB)设备。LB选择一个WAF后,再次将HTTP请求报文发送至网关,网关将HTTP请求转发至选择出的WAF。图1b所示为WAF访问WebServer的流程。WAF的业务检测接口在接收到HTTP请求报文后,对HTTP请求报文进行安全策略匹配。若HTTP请求报文为合法报文,则对该HTTP请求报文进行代理。通过业务检测接口,将HTTP请求报文发送至网关。网关向LB设备发送HTTP请求报文。LB设备确定该HTTP请求报文为发送至WebServer的请求报文后,再发送至网关。由网关将该HTTP请求报文发送至WebServer处。图1c所示为WebServer回应WAF的流程。WebServer收到HTTP请求报文后,对HTTP请求报文进行回应,将回应报文发送至网关。网关收到回应报文后,将回应报文转发至WAF所在私网中。图1d所示为WAF回应客户端的流程。WAF回应客户端的流程为图1a客户端访问WAF的流程的逆过程,在此不再复述。在对上述流程的描述可知,在图1b所示的流程中,由于WAF向网关发送的HTTP请求报文的源网络协议(英文:InternetProtocol,简称:IP)地址为WAF的业务检测接口的IP地址,网关在根据自身的转发表进行匹配时,会将该HTTP请求报文直接转发至LB设备,由LB设备进行地址匹配后转发至网关,最后再由网关发送至WebServer,这使得WAF访问WebServer的路径在网关和LB设备上存在冗余转发,增加了网关和LB设备的负担。
技术实现思路
有鉴于此,本专利技术提出了一种报文转发方法及装置,减轻了网关和LB设备的负担,同时,也实现了WAF访问WebServer的流量与外网访问WAF的流量隔离。在第一方面,本专利技术提供了一种报文转发方法,所述方法应用于Web应用防护系统WAF,所述方法包括:从所述WAF的第一虚接口接收客户端发送的第一请求报文,所述第一请求报文包括所述客户端待访问的服务器的域名;根据所述服务器的域名,获取所述服务器的IP地址;根据所述服务器的IP地址查找已存储的转发信息,生成第二请求报文,所述第二请求报文的源IP地址为所述WAF的第二虚接口的IP地址,目的IP地址为所述服务器的IP地址;通过所述第二虚接口向所述WAF的下一跳网络设备发送所述第二请求报文,以使所述下一跳网络设备向所述服务器转发所述第二请求报文。在一种可能的实现方式中,所述方法还包括:从所述第二虚接口接收所述服务器发送的第一回应报文,所述第一回应报文的源IP地址为所述服务器的IP地址,目的IP地址为所述第二虚接口的IP地址;当确定所述第一回应报文为所述服务器向所述客户端发送的回应报文时,根据所述第二虚接口与所述第一虚接口之间的映射关系,将所述第一回应报文中的源IP地址、目的IP地址进行转换处理,得到第二回应报文,所述第二回应报文的源IP地址为所述第一虚接口的IP地址、目的IP地址为所述客户端的IP地址;通过所述第一虚接口向所述WAF的下一跳网络设备发送所述第二回应报文,以使所述WAF的下一跳网络设备向所述客户端转发所述第二回应报文。在一种可能的实现方式中,所述方法还包括:接收控制器发送的配置命令,所述配置命令携带有所述转发信息;将所述转发信息进行存储;其中,所述转发信息包括所述WAF提供保护的服务器的IP地址、下一跳出接口信息以及所述下一跳网络设备的地址信息。在一种可能的实现方式中,所述从所述WAF的第一虚接口接收客户端发送的第一请求报文之后,所述方法还包括:对所述第一请求报文进行安全策略匹配;若所述第一请求报文为合法报文,则解析所述第一请求报文,并获取所述服务器的域名。在一种可能的实现方式中,所述第一虚接口为业务检测接口,所述第二虚接口为服务访问接口。在第二方面,本专利技术提供了一种报文转发装置,所述装置应用于Web应用防护系统WAF,所述装置包括:第一接收模块,用于从所述WAF的第一虚接口接收客户端发送的第一请求报文,所述第一请求报文包括所述客户端待访问的服务器的域名;获取模块,用于根据所述服务器的域名,获取所述服务器的IP地址;第一报文生成模块,用于根据所述服务器的IP地址查找已存储的转发信息,生成第二请求报文,所述第二请求报文的源IP地址为所述WAF的第二虚接口的IP地址,目的IP地址为所述服务器的IP地址;第一发送模块,用于通过所述第二虚接口向所述WAF的下一跳网络设备发送所述第二请求报文,以使所述下一跳网络设备向所述服务器转发所述第二请求报文。在一种可能的实现方式中,所述装置还包括:第二接收模块,用于从所述第二虚接口接收所述服务器发送的第一回应报文,所述第一回应报文的源IP地址为所述服务器的IP地址,目的IP地址为所述第二虚接口的IP地址;第二报文生成模块,用于当确定所述第一回应报文为所述服务器向所述客户端发送的回应报文时,根据所述第二虚接口与所述第一虚接口之间的映射关系,将所述第一回应报文中的源IP地址、目的IP地址进行转换处理,得到第二回应报文,所述第二回应报文的源IP地址为所述第一虚接口的IP地址、目的IP地址为所述客户端的IP地址;第二发送模块,用于通过所述第一虚接口向所述WAF的下一跳网络设备发送所述第二回应报文,以使所述WAF的下一跳网络设备向所述客户端转发所述第二回应报文。在一种可能的实现方式中,所述装置还包括:第三接收模块,用于接收控制器发送的配置命令,所述配置命令携带有所述转发信息;存储模块,用于将所述转发信息进行存储;其中,所述转发信息包括所述WAF提供保护的服务器的IP地址、下一跳出接口信息以及所述下一跳网络设备的地址信息。在一种可能的实现方式中,所述装置还包括:匹配模块,用于对所述第一请求报文进行安全策略匹配;解析模块,用于若所述第一请求报文为合法报文,则解析所述第一请求报文,并获取所述服务器的域名。在一种可能的实现方式中,所述第一虚接口为业务检测接口,所述第二虚接口为服务访问接口。在WAF访问WebServer的过程中,WAF通过第一虚接口接收到客户端发送的第一请求报文。由于WAF的第二虚接口的IP地址没有加入LB设备的实服务器组成员中。因此,WAF生成的第二请求报文到达本文档来自技高网...
【技术保护点】
一种报文转发方法,其特征在于,所述方法应用于Web应用防护系统WAF,所述方法包括:从所述WAF的第一虚接口接收客户端发送的第一请求报文,所述第一请求报文包括所述客户端待访问的服务器的域名;根据所述服务器的域名,获取所述服务器的IP地址;根据所述服务器的IP地址查找已存储的转发信息,生成第二请求报文,所述第二请求报文的源IP地址为所述WAF的第二虚接口的IP地址,目的IP地址为所述服务器的IP地址;通过所述第二虚接口向所述WAF的下一跳网络设备发送所述第二请求报文,以使所述下一跳网络设备向所述服务器转发所述第二请求报文。
【技术特征摘要】
1.一种报文转发方法,其特征在于,所述方法应用于Web应用防护系统WAF,所述方法包括:从所述WAF的第一虚接口接收客户端发送的第一请求报文,所述第一请求报文包括所述客户端待访问的服务器的域名;根据所述服务器的域名,获取所述服务器的IP地址;根据所述服务器的IP地址查找已存储的转发信息,生成第二请求报文,所述第二请求报文的源IP地址为所述WAF的第二虚接口的IP地址,目的IP地址为所述服务器的IP地址;通过所述第二虚接口向所述WAF的下一跳网络设备发送所述第二请求报文,以使所述下一跳网络设备向所述服务器转发所述第二请求报文。2.根据权利要求1所述的报文转发方法,其特征在于,所述方法还包括:从所述第二虚接口接收所述服务器发送的第一回应报文,所述第一回应报文的源IP地址为所述服务器的IP地址,目的IP地址为所述第二虚接口的IP地址;当确定所述第一回应报文为所述服务器向所述客户端发送的回应报文时,根据所述第二虚接口与所述第一虚接口之间的映射关系,将所述第一回应报文中的源IP地址、目的IP地址进行转换处理,得到第二回应报文,所述第二回应报文的源IP地址为所述第一虚接口的IP地址、目的IP地址为所述客户端的IP地址;通过所述第一虚接口向所述WAF的下一跳网络设备发送所述第二回应报文,以使所述WAF的下一跳网络设备向所述客户端转发所述第二回应报文。3.根据权利要求1所述的报文转发方法,其特征在于,所述方法还包括:接收控制器发送的配置命令,所述配置命令携带有所述转发信息;将所述转发信息进行存储;其中,所述转发信息包括所述WAF提供保护的服务器的IP地址、下一跳出接口信息以及所述下一跳网络设备的地址信息。4.根据权利要求1所述的报文转发方法,其特征在于,所述从所述WAF的第一虚接口接收客户端发送的第一请求报文之后,所述方法还包括:对所述第一请求报文进行安全策略匹配;若所述第一请求报文为合法报文,则解析所述第一请求报文,并获取所述服务器的域名。5.根据权利要求1-4任一项所述的报文转发方法,其特征在于,所述第一虚接口为业务检测接口,所述第二虚接口为服务访问接口。6.一种报文转发装置,其特征在于,所述装置应用于Web应用防护系...
【专利技术属性】
技术研发人员:王强,宋小恒,刘玉柱,
申请(专利权)人:新华三技术有限公司,
类型:发明
国别省市:浙江,33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。