本申请提供一种防护GRE报文的方法及装置,应用于安全设备,所述方法包括:接收第一报文,确定所述第一报文是否为GRE报文;如果所述第一报文是GRE报文,基于所述第一报文的原始报文头中的五元组查找预设的安全策略表,确定对应的安全策略表项;基于所述安全策略表项对所述第一报文进行处理。在本申请技术方案中,安全设备实现了对GRE报文的内层原始数据报文精确的流量控制。
【技术实现步骤摘要】
一种防护GRE报文的方法及装置
本申请涉及安全防护领域,特别涉及一种防护GRE报文的方法及装置。
技术介绍
GRE(GenericRoutingEncapsulation,通用路由封装)协议可以对某些网络层协议的数据报文进行封装,使这些被封装的数据报文能够在另一个网络层协议中传输;其中,上述网络层协议包括IP(InternetProtocol,网络之间互联的协议)和IPX(InternetworkPacketExchangeprotocol,互联网数据包交换协议)。GRE采用Tunnel(隧道)技术,是VPN(VirtualPrivateNetwork,虚拟专用网络)的第三层隧道协议。Tunnel技术是一个虚拟的点对点的连接,提供了一条通路使封装的数据报文能够在这个通路上传输,并且在一个Tunnel两端分别对数据报文进行封装及解封装。参见图1,为本申请示出的一种GRE报文的格式示意图,如图1所示,原始报文头和原始报文载荷加在一起为需要封装和传输的原始数据报文;GRE技术在将该原始数据报文通过隧道传输前,需将该原始数据报文封装GRE报文头和外层报文头。安全设备在防护报文时,通常将报文的五元组(包括:源IP、目的IP、协议号、源端口和目的端口)作为安全策略的匹配条件。而在GRE环境中,同一个隧道的源IP、目的IP和协议号都是相同的,GRE协议也没有端口号,因此将源IP、目的IP和协议号作为安全策略的匹配条件,只能针对一条GRE隧道整体执行安全策略动作,而无法针对原始数据报文进行更精确的流量控制。
技术实现思路
有鉴于此,本申请提供一种防护GRE报文的方法及装置,用以对GRE报文的内层原始数据报文进行精确的流量控制。具体地,本申请是通过如下技术方案实现的:一种防护GRE报文的方法,应用于安全设备,包括:接收第一报文,确定所述第一报文是否为GRE报文;如果所述第一报文是GRE报文,基于所述第一报文的原始报文头中的五元组查找预设的安全策略表,确定对应的安全策略表项;基于所述安全策略表项对所述第一报文进行处理。在所述防护GRE报文的方法中,所述安全策略表携带策略版本号;所述基于所述第一报文的原始报文头中五元组查找安全策略表,确定对应的安全策略表项,包括:基于所述原始报文头中的五元组查找预设的会话表,确定是否存在对应的会话表项;其中,所述会话表包括若干条会话表项,所述会话表项包括五元组和策略版本号的映射关系;如果存在对应的会话表项,检查所述会话表项中的策略版本号与所述安全策略表的所述策略版本号是否一致;如果不一致,基于所述原始报文头中的五元组查找所述安全策略表,确定对应的安全策略表项。在所述防护GRE报文的方法中,所述方法还包括:如果不存在对应的会话表项,新建会话表项,并基于所述原始报文头中的五元组查找所述安全策略表,确定对应的安全策略表项;其中,新建的会话表项中的策略版本号为空。在所述防护GRE报文的方法中,所述基于所述安全策略表项对所述第一报文进行处理,还包括:如果所述会话表项中的策略版本号与所述安全策略表的所述策略版本号一致,转发所述第一报文。在所述防护GRE报文的方法中,所述安全策略表包括若干条安全策略表项,所述安全策略表项包括五元组和处理动作的映射关系;其中,所述处理动作包括放通和丢弃;所述基于所述安全策略表项对所述第一报文进行处理,包括:如果所述安全策略表项中的处理动作为放通,转发所述第一报文,并将所述安全策略表的策略版本号更新至所述会话表项中;如果所述安全策略表项中的处理动作为丢弃,丢弃所述第一报文,并删除所述会话表项。一种防护GRE报文的装置,应用于安全设备,包括:确定单元,用于接收第一报文,确定所述第一报文是否为GRE报文;查找单元,用于如果所述第一报文是GRE报文,基于所述第一报文的原始报文头中的五元组查找预设的安全策略表,确定对应的安全策略表项;处理单元,用于基于所述安全策略表项对所述第一报文进行处理。在所述防护GRE报文的装置中,所述安全策略表携带策略版本号;所述查找单元,进一步用于:基于所述原始报文头中的五元组查找预设的会话表,确定是否存在对应的会话表项;其中,所述会话表包括若干条会话表项,所述会话表项包括五元组和策略版本号的映射关系;如果存在对应的会话表项,检查所述会话表项中的策略版本号与所述安全策略表的所述策略版本号是否一致;如果不一致,基于所述原始报文头中的五元组查找所述安全策略表,确定对应的安全策略表项。在所述防护GRE报文的装置中,所述查找单元,进一步用于:如果不存在对应的会话表项,新建会话表项,并基于所述原始报文头中的五元组查找所述安全策略表,确定对应的安全策略表项;其中,新建的会话表项中的策略版本号为空。在所述防护GRE报文的装置中,所述处理单元,进一步用于:如果所述会话表项中的策略版本号与所述安全策略表的所述策略版本号一致,转发所述第一报文。在所述防护GRE报文的装置中,所述安全策略表包括若干条安全策略表项,所述安全策略表项包括五元组和处理动作的映射关系;其中,所述处理动作包括放通和丢弃;所述处理单元,进一步用于:如果所述安全策略表项中的处理动作为放通,转发所述第一报文,并将所述安全策略表的策略版本号更新至所述会话表项中;如果所述安全策略表项中的处理动作为丢弃,丢弃所述第一报文,并删除所述会话表项。在本申请技术方案中,安全设备接收第一报文,首先判断上述第一报文是否为GRE报文,当上述第一报文为GRE报文时,基于上述第一报文的原始报文头中的五元组查找安全策略表,确定对应的安全策略表项,然后基于上述安全策略表项对上述第一报文进行处理;由于GRE报文的原始数据报文头中的五元组可以区分通过同一条GRE隧道的不同会话的报文,安全设备基于上述五元组查找到安全策略表项来处理上述第一报文,可以实现对GRE报文的内层原始数据报文精确的流量控制。附图说明图1是本申请示出的一种GRE报文的格式示意图;图2是本申请示出的一种防护GRE报文的方法的流程图;图3是本申请示出的一种防护GRE报文的装置的实施例框图;图4是本申请示出的一种防护GRE报文的装置的硬件结构图。具体实施方式为了使本
的人员更好地理解本专利技术实施例中的技术方案,并使本专利技术实施例的上述目的、特征和优点能够更加明显易懂,下面结合附图对现有技术方案和本专利技术实施例中的技术方案作进一步详细的说明。参见图2,为本申请示出的一种防护GRE报文的方法的流程图,所述方法应用于安全设备,包括以下步骤:步骤201:接收第一报文,确定所述第一报文是否为GRE报文。其中,上述安全设备包括GRE隧道上用以转发GRE报文且具有安全防护功能的网络设备。上述第一报文泛指接收的任一报文,其只是为便于描述进行的命名,并不限定本申请。GRE隧道两端的设备互相发送GRE报文时,GRE报文会经由安全设备转发。安全设备在对接收到的报文进行转发前,首先可以对报文进行安全防护。由于同一个GRE隧道的GRE报文的外层报文头中的源IP、目的IP和协议号相同,且GRE协议没有端口号,安全设备以通常的方式无法实现对GRE报文中的原始数据报文进行更精确的流量控制。因此,安全设备首先可以确定接收到的上述第一报文是否为GRE报文。在示出的一种实施方式中,安全设备可以提取上述第一报本文档来自技高网...
【技术保护点】
一种防护GRE报文的方法,应用于安全设备,其特征在于,包括:接收第一报文,确定所述第一报文是否为GRE报文;如果所述第一报文是GRE报文,基于所述第一报文的原始报文头中的五元组查找预设的安全策略表,确定对应的安全策略表项;基于所述安全策略表项对所述第一报文进行处理。
【技术特征摘要】
1.一种防护GRE报文的方法,应用于安全设备,其特征在于,包括:接收第一报文,确定所述第一报文是否为GRE报文;如果所述第一报文是GRE报文,基于所述第一报文的原始报文头中的五元组查找预设的安全策略表,确定对应的安全策略表项;基于所述安全策略表项对所述第一报文进行处理。2.根据权利要求1所述的方法,其特征在于,所述安全策略表携带策略版本号;所述基于所述第一报文的原始报文头中五元组查找安全策略表,确定对应的安全策略表项,包括:基于所述原始报文头中的五元组查找预设的会话表,确定是否存在对应的会话表项;其中,所述会话表包括若干条会话表项,所述会话表项包括五元组和策略版本号的映射关系;如果存在对应的会话表项,检查所述会话表项中的策略版本号与所述安全策略表的所述策略版本号是否一致;如果不一致,基于所述原始报文头中的五元组查找所述安全策略表,确定对应的安全策略表项。3.根据权利要求2所述的方法,其特征在于,所述方法还包括:如果不存在对应的会话表项,新建会话表项,并基于所述原始报文头中的五元组查找所述安全策略表,确定对应的安全策略表项;其中,新建的会话表项中的策略版本号为空。4.根据权利要求2所述的方法,其特征在于,所述基于所述安全策略表项对所述第一报文进行处理,还包括:如果所述会话表项中的策略版本号与所述安全策略表的所述策略版本号一致,转发所述第一报文。5.根据权利要求2或3所述的方法,其特征在于,所述安全策略表包括若干条安全策略表项,所述安全策略表项包括五元组和处理动作的映射关系;其中,所述处理动作包括放通和丢弃;所述基于所述安全策略表项对所述第一报文进行处理,包括:如果所述安全策略表项中的处理动作为放通,转发所述第一报文,并将所述安全策略表的策略版本号更新至所述会话表项中;如果所述安全策略表项中的处理动作为丢弃,丢弃所...
【专利技术属性】
技术研发人员:袁野,
申请(专利权)人:杭州迪普科技股份有限公司,
类型:发明
国别省市:浙江,33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。