本发明专利技术提供一种报文处理方法和装置,该方法应用于网络设备,所述方法包括步骤:S1.在接收到报文时,根据接收所述报文的入接口查找对应的第一网络应用;S2.对所述报文执行所述第一网络应用;S3.在预设的应用处理策略中判断所述报文是否有对应的第二网络应用;S4.若是,则对所述报文执行所述第二网络应用。本发明专利技术可以通过接收报文的入接口来执行相应的网络应用,再根据应用处理策略对报文执行其他网络应用,从而可以提高报文处理速率,并降低运营成本。
【技术实现步骤摘要】
本专利技术涉及通信技术,尤其涉及一种报文处理方法和装置。
技术介绍
随着网络技术的飞速发展,网络安全问题变得日益复杂,建设可管、可控、可信的 网络成为进一步推进网络应用发展的基本前提。因此,现有的网络专线中常会部署多个网 络安全设备(如网关防火墙设备、入侵防御设备、审计设备、流量控制设备等)来保证网络 安全。 目前,主流的安全组网方式是将上述的网络安全设备串行设置在公网和交换设备 之间。然而这意味着一条成熟的网络专线往往复杂度较高,并且串行的组网模式不利于安 全防护及故障排查。而且现有的安全组网模式的运营成本较高,这对于一些规模较小的网 络应用商是也无法承受的。
技术实现思路
有鉴于此,本专利技术提供一种报文处理方法和装置,可以提高报文处理速率,并降低 运营成本。 -种报文处理方法,该方法应用于网络设备,所述方法包括步骤: S1.在接收到报文时,根据接收所述报文的入接口查找对应的第一网络应用; S2.对所述报文执行所述第一网络应用; S3.在预设的应用处理策略中判断所述报文是否有对应的第二网络应用; S4.若是,则对所述报文执行所述第二网络应用。 进一步的,所述步骤S3包括: 获取所述报文的报文特征,根据所述报文特征在所述预设的应用处理策略中判断 所述报文是否有对应的第二网络应用。 进一步的,所述方法还包括步骤: 若在预设的应用处理策略中判断所述报文没有对应的第二网络应用,则根据路由 表项将该报文从出接口转发。 进一步的,所述方法还包括步骤: 对所述报文执行所述第一网络应用后,将报文的处理结果存储在预设的缓存空 间。 进一步的,所述第一网络应用包括: 安全审计、网关防火墙、漏洞扫描、流量监控、入侵防御以及防病毒应用中的一种 或多种。 基于相同的构思,本专利技术还提供一种报文处理装置,该装置应用于网络设备,所述 装置包括: 查找单元,用于在接收到报文时,根据接收所述报文的入接口查找对应的第一网 络应用; 第一执行单元,用于对所述报文执行所述第一网络应用; 判断单元,用于在预设的应用处理策略中判断所述报文是否有对应的第二网络应 用; 第二执行单元,用于在预设的应用处理策略中查找到所述报文对应的第二网络应 用时,对所述报文执行所述第二网络应用。 进一步的,所述判断单元具体用于: 获取所述报文的报文特征,根据所述报文特征在所述预设的应用处理策略中判断 所述报文是否有对应的第二网络应用。 进一步的,所述装置还包括: 转发单元,用于在预设的应用处理策略中判断所述报文没有对应的第二网络应用 时,则根据路由表项将该报文从出接口转发。 进一步的,所述装置还包括: 存储单元,用于对所述报文执行所述第一网络应用后,将报文的处理结果存储在 预设的缓存空间。 进一步的,所述第一网络应用包括: 安全审计、网关防火墙、漏洞扫描、流量监控、入侵防御以及防病毒应用中的至少 一种应用一种或多种。 相比于传统网络设备通过ACL来判断报文所执行的第一网络应用,本专利技术的网络 设备根据报文的入接口来判断报文所执行的第一网络应用,再根据应用处理策略对报文执 行后续的其他网络应用,降低了运营成本,并且减轻了系统运行负担,提高了报文处理效 率。【附图说明】 图1是现有技术的一种安全组网示意图; 图2是本专利技术实施例中的一种组网示意图; 图3是本专利技术实施例中一种报文处理方法的处理流程图; 图4是本专利技术实施例中一种报文处理装置的结构示意图; 图5是本专利技术实施例中另一种报文处理装置的结构示意图。【具体实施方式】 请参见图1,是现有技术的一种安全组网示意图,其中,在公网和交换设备之间串 接着网关防火墙设备、入侵防御设备、审计设备这些负责网络安全的网络设备。进入该安全 组网的报文会依次经过上述网络设备的处理,然后转发出去。这种串行的组网模式虽然可 以实现安全防护的效果,但也造成了组网的复杂度较高,不利于安全防护及故障排查,以及 运营成本较高的问题。为了解决上述问题,现有技术中会使用分布式网络设备来替代传统 的安全组网模式。所谓的分布式网络设备中包括多种业务板卡,可以执行多种应用处理,虽 然可以简化组网结构,但在上述分布式网络设备中,一般会将处理策略下发到ACL,在收到 报文时,通过分析报文特征来判断报文去向,由于上述判断过程相对复杂,进而会影响报文 的处理效率。 有鉴于此,本专利技术提供了一种报文处理方法和装置可以解决现有技术中存在的问 题。本专利技术的报文处理方法应用于网络设备,其中:在接收到报文时,根据接收所述报文的 入接口查找对应的第一网络应用;并对所述报文执行所述第一网络应用;然后在预设的应 用处理策略中查找所述报文是否有对应的第二网络应用;若是,则对所述报文执行所述第 二网络应用。 由此可见,相比于传统网络设备通过ACL来判断报文所执行的第一网络应用,本 专利技术的网络设备根据报文的入接口来判断报文所执行的第一网络应用,再根据应用处理策 略对报文执行后续的其他网络应用,从而可以提高报文处理效率。 下面结合附图描述本专利技术的【具体实施方式】。 请参见图2,是本专利技术实施例中的一种组网示意图。其中,用户终端PC1和PC2通 过网络设备与公网进行通信,本专利技术提供的报文处理方法应用于所述网络设备中。该网络 设备是一个具有多种网络应用处理功能的设备,管理员在配置该网络设备时,会设置所需 的网络应用,常用的如安全审计、网关防火墙、漏洞扫描、流量监控、入侵防御以及防病毒应 用中的一种或多种应用(本实施例中假设有其中的三种网络应用,分别为安全审计、流量 监控和网关防火墙应用)。通常若要使一个网络设备具备上述的一种或多种网络应用处理 的功能,可以通过业务板卡或者软件来实现。但为了进一步降低运营成本,在优选的实施方 式中,为了降低成本,可以采用软件的实现方式,也就是说在一个网络设备上通过软件来虚 拟多个网络设备,从而使该网络设备具备多种网络应用处理功能。本专利技术实施例中,对采用 软件的实现方式进行详细说明。其中,在配置所需的网络应用时,还会配置网络应用和报文 入接口的对应关系,如2图所示,安全审计应用对应入接口 ehl,流量监控应用对应入接口 eh2(网关防火墙应用对应的入接口未在图2中未标出)。 所述报文处理方法的处理过程如图3所示,其中包括步骤: S1.在接收到报文时,根据接收所述报文的入接口查找对应的第一网络应用; 本步骤中,在接收到报文时,根据前述预先配置的网络应用和报文入接口的对应 关系,通过接收报文的入接口查找到报文对应的第一网络应用。举例来说,其中,当通过入 接口 ehl接收到的报文A和报文B时,根据上述入接口与网络应用的对应关系,可查找到 报文A和报文B对应的第一网络应用是安全审计应用;同理,若通过入接口 eh2接收的报 文C时,根据所述网络应用和报文入接口的对应关系可知,报文C对应的第一网络应用是流 量监控应用。相比于传统网络设备通过ACL来判断报文所执行的第一网络应用,本专利技术的 网络设备根据报文的入接口来判断报文所执行的第一网络应用,从而可以提高报文处理效 率。 S2.对所述报文执行所述第一网络应用; 基于步骤S1,在查找到所述报文对应的第一网络应用后,执行所述第一网当前第1页1 2 本文档来自技高网...
【技术保护点】
一种报文处理方法,该方法应用于网络设备,其特征在于,所述方法包括步骤:S1.在接收到报文时,根据接收所述报文的入接口查找对应的第一网络应用;S2.对所述报文执行所述第一网络应用;S3.在预设的应用处理策略中判断所述报文是否有对应的第二网络应用;S4.若是,则对所述报文执行所述第二网络应用。
【技术特征摘要】
【专利技术属性】
技术研发人员:董俊文,
申请(专利权)人:杭州迪普科技有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。