报文转发方法及装置制造方法及图纸
【技术实现步骤摘要】
报文转发方法及装置
本专利技术涉及通信
,尤其涉及一种报文转发方法及装置。
技术介绍
目前,为了保护网络服务器(WebServer)不会受到外网的攻击。在WebServer前架设网络应用防火墙/防护系统(也称:网站应用级入侵防御系统,英文:WebApplicationFirewall,简称:WAF)。通过WAF的反向代理功能,在转发客户端发送的请求报文前,对请求进行一次清洗。也即,只有合法的请求报文才会被送到WebServer处进行处理,不合法的请求报文将被WAF进行安全策略过滤而丢弃。如图1a-图1d为现有技术中客户端通过WAF访问WebServer以及WebServer通过WAF回应客户端的流程示意图。以客户端发送的请求为超文本传输协议(英文:HyperTextTransferProtocol,简称:HTTP)请求报文为例,图1a所示为客户端访问WAF的流程。HTTP请求报文到达防火墙后,防火墙根据网络地址转换原则,将HTTP请求报文通过网关转发至负载均衡(英文:LoadBalance,简称:LB)设备。LB选择一个WAF后,再次将HTTP请求报文发送至...
【技术保护点】
一种报文转发方法,其特征在于,所述方法应用于Web应用防护系统WAF,所述方法包括:从所述WAF的第一虚接口接收客户端发送的第一请求报文,所述第一请求报文包括所述客户端待访问的服务器的域名;根据所述服务器的域名,获取所述服务器的IP地址;根据所述服务器的IP地址查找已存储的转发信息,生成第二请求报文,所述第二请求报文的源IP地址为所述WAF的第二虚接口的IP地址,目的IP地址为所述服务器的IP地址;通过所述第二虚接口向所述WAF的下一跳网络设备发送所述第二请求报文,以使所述下一跳网络设备向所述服务器转发所述第二请求报文。
【技术特征摘要】
1.一种报文转发方法,其特征在于,所述方法应用于Web应用防护系统WAF,所述方法包括:从所述WAF的第一虚接口接收客户端发送的第一请求报文,所述第一请求报文包括所述客户端待访问的服务器的域名;根据所述服务器的域名,获取所述服务器的IP地址;根据所述服务器的IP地址查找已存储的转发信息,生成第二请求报文,所述第二请求报文的源IP地址为所述WAF的第二虚接口的IP地址,目的IP地址为所述服务器的IP地址;通过所述第二虚接口向所述WAF的下一跳网络设备发送所述第二请求报文,以使所述下一跳网络设备向所述服务器转发所述第二请求报文。2.根据权利要求1所述的报文转发方法,其特征在于,所述方法还包括:从所述第二虚接口接收所述服务器发送的第一回应报文,所述第一回应报文的源IP地址为所述服务器的IP地址,目的IP地址为所述第二虚接口的IP地址;当确定所述第一回应报文为所述服务器向所述客户端发送的回应报文时,根据所述第二虚接口与所述第一虚接口之间的映射关系,将所述第一回应报文中的源IP地址、目的IP地址进行转换处理,得到第二回应报文,所述第二回应报文的源IP地址为所述第一虚接口的IP地址、目的IP地址为所述客户端的IP地址;通过所述第一虚接口向所述WAF的下一跳网络设备发送所述第二回应报文,以使所述WAF的下一跳网络设备向所述客户端转发所述第二回应报文。3.根据权利要求1所述的报文转发方法,其特征在于,所述方法还包括:接收控制器发送的配置命令,所述配置命令携带有所述转发信息;将所述转发信息进行存储;其中,所述转发信息包括所述WAF提供保护的服务器的IP地址、下一跳出接口信息以及所述下一跳网络设备的地址信息。4.根据权利要求1所述的报文转发方法,其特征在于,所述从所述WAF的第一虚接口接收客户端发送的第一请求报文之后,所述方法还包括:对所述第一请求报文进行安全策略匹配;若所述第一请求报文为合法报文,则解析所述第一请求报文,并获取所述服务器的域名。5.根据权利要求1-4任一项所述的报文转发方法,其特征在于,所述第一虚接口为业务检测接口,所述第二虚接口为服务访问接口。6.一种报文转发装置,其特征在于,所述装置应用于Web应用防护系...
【专利技术属性】
技术研发人员:王强,宋小恒,刘玉柱,
申请(专利权)人:新华三技术有限公司,
类型:发明
国别省市:浙江,33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。