本公开提供一种报文标识处理方法、装置及存储介质,用于解决IP报文的报文标识字在外网容易造成信息泄露,易引起网络攻击的技术问题。本公开实施例中,防火墙设备在对IP报文进行NAT转换后,对内网中不同设备发送的经NAT转换的IP报文的报文标识字段进行统一转换,以使向外网转发的IP报文的报文标识按照一种规律统一编码递增,从而避免了外网的网络攻击者或恶意网络信息窃取者通过分析内网用户向外发送的报文的报文标识获知内网用户数量等内网信息,提高网络安全性。
【技术实现步骤摘要】
一种报文标识处理方法、装置及存储介质
本公开涉及网络通信
,尤其涉及一种报文标识处理方法、装置及存储介质。
技术介绍
目前,网络终端都是使用私网地址,然后通过上行的运营商进行网络地址转换(NetworkAddressTranslation,NAT)之后,将报文的源地址转换成公网地址再去访问外部网络。IP报文是在网络层传输的数据单元,也叫IP数据报,IP报文的首部中有一个报文标识(identification)字段,以下简称IPID,这个字段占16位,IP协议软件在存储器中会维持一个计数器,每产生一个数据报计数器就加1,并且将此值赋给标识字段。但是这个“标识”不是序号,因为IP是无连接服务,数据报不存在按序接收的问题。如果当内网存在多个主机用户,那么每个主机发出去的报文的IP首部标识字段IPID都是按照自己的主机进行排序的,当这些报文经过防火墙设备发送到外网之后,外网的攻击人员很可能根据报文的IPID的变化规律来分析内网有多少个主机或者进行内网的探测,不利于网络的安全。
技术实现思路
有鉴于此,本公开提供一种报文标识处理方法、装置及存储介质,用于解决IP报文的报文标识字在外网容易造成信息泄露,易引起网络攻击的技术问题。基于本公开一实施例,本公开提供了一种报文标识处理方法,该方法应用于位于内网的防火墙设备,包括:接收位于内网中的一个或多个设备发送的IP报文;对需要向外网转发的IP报文进行网络地址转换即NAT转换;根据预设的报文标识转换策略,对内网中不同设备发送的经NAT转换的IP报文的报文标识字段进行统一转换。进一步地,所述根据预设的报文标识转换策略,对内网中不同设备发送的经NAT转换的IP报文的报文标识字段进行统一转换的方法为:以输出正整数递增序列的时间函数生成新的报文标识,并按报文的先后顺序依次替换每个向外网转发的IP报文的报文标识字段。进一步地,所述根据预设的报文标识转换策略,对内网中不同设备发送的经NAT转换的IP报文的报文标识字段进行统一转换的方法为:以内网中首个经过NAT转换的IP报文的报文标识值作为初始值,以该初始值递增逐一替换后续经过NAT转换的IP报文中的报文标识。进一步地,所述根据预设的报文标识转换策略,对内网中不同设备发送的经NAT转换的IP报文的报文标识字段进行统一转换的方法为:以内网中首个经过NAT转换的IP报文的报文长度值作为初始值,以该初始值递增逐一替换所有经NAT转换后的IP报文的报文标识。基于本公开实施例的另一方面,本公开还提供了一种报文标识处理装置,该装置应用于位于内网的防火墙设备,该装置包括:接收模块,用于接收位于内网中的一个或多个设备发送的IP报文;NAT转换模块,用于对需要向外网转发的IP报文进行NAT转换;报文标识替换模块,用于根据预设的报文标识转换策略,对内网中不同设备发送的经NAT转换的IP报文的报文标识字段进行统一转换。进一步地,报文标识替换模块以输出正整数递增序列的时间函数生成新的报文标识,并按报文的先后顺序依次替换每个向外网转发的IP报文的报文标识字段。进一步地,报文标识替换模块以内网中首个经过NAT转换的IP报文的报文标识值作为初始值,以该初始值递增逐一替换后续经过NAT转换的IP报文中的报文标识。进一步地,报文标识替换模块以内网中首个经过NAT转换的IP报文的报文长度值作为初始值,以该初始值递增逐一替换所有经NAT转换后的IP报文的报文标识。基于本公开实施,本公开还提供了一种存储介质,其上存储有计算机程序,所述计算机程序当被处理器执行时实现如前述报文标识处理方法的方法步骤的功能。本公开实施例中,防火墙设备在对IP报文进行NAT转换后,对内网中不同设备发送的经NAT转换的IP报文的报文标识字段进行统一转换,以使向外网转发的IP报文的报文标识按照一种规律统一编码递增,从而避免了外网的网络攻击者或恶意网络信息窃取者通过分析内网用户向外发送的报文的报文标识获知内网用户数量等内网信息,提高网络安全性。附图说明为了更加清楚地说明本公开实施例或者现有技术中的技术方案,下面将对本公开实施例或者现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本公开中记载的一些实施例,对于本领域普通技术人员来讲,还可以根据本公开实施例的这些附图获得其他的附图。图1为本公开一实施例中的组网示意图;图2为本公开一实施例提供的一种报文标识处理方法步骤流程图;图3为本公开一实施例提供的一种报文标识处理装置结构示意图;图4为本公开一实施例提供的一种报文标识处理设备结构示意图。具体实施方式在本公开实施例使用的术语仅仅是出于描述特定实施例的目的,而非限制本公开实施例。本公开实施例中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其它含义。本公开中使用的术语“和/或”是指包含一个或多个相关联的列出项目的任何或所有可能组合。应当理解,尽管在本公开实施例可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本公开实施例范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,此外,所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。图1为本公开一实施例中的组网示意图,用户的终端设备通过内部的防火墙或带防火墙功能的转发设备连接到外网服务器,假设用户的内部网络有3个终端通过防火墙之后访问外网服务器,终端访问外网服务器的时候每个终端发送的IP报文的IPID都是按照自己的顺序递增的。专利技术人经过分析发现,如果外网的网络攻击者或恶意网络信息窃取者通过分析内网用户通过防火墙发往外网的报文的IPID字段获取内网用户数量等内网信息,例如通过在外网监听IP报文中的IPID的变化规律,可以窥探到内网用户个数为3等信息,从而造成内网信息暴露。为了解决内网信息暴露从而造成安全隐患的技术问题,本公开一实施例提供了一种报文标识处理方法,图2为该方法的步骤流程图,该方法应用于位于内网的防火墙设备,该方法包括:步骤201.接收位于内网中的一个或多个设备发送的IP报文;该步骤中,防火墙设备可接收多个内网设备发送端IP报文。这些IP报文可能是发往内网中其他设备的,也可能是发往外网的。步骤202.对需要向外网转发的IP报文进行NAT转换;该步骤中,防火墙设备在接收到内网中的一个或多个终端设备发送的IP报文后,根据报文的目的地址进行判断,若判定是需要向外网转发IP报文,则需要进行内网地址到公网地址的NAT转换。步骤203.根据预设的报文标识转换策略,对内网中不同设备发送的经NAT转换的IP报文的报文标识字段进行统一转换。该步骤中,防火墙按时间顺序,可能接受到多本文档来自技高网...
【技术保护点】
1.一种报文标识处理方法,其特征在于,该方法应用于位于内网的防火墙设备,包括:/n接收位于内网中的一个或多个设备发送的IP报文;/n对需要向外网转发的IP报文进行网络地址转换即NAT转换;/n根据预设的报文标识转换策略,对内网中不同设备发送的经NAT转换的IP报文的报文标识字段进行统一转换。/n
【技术特征摘要】
1.一种报文标识处理方法,其特征在于,该方法应用于位于内网的防火墙设备,包括:
接收位于内网中的一个或多个设备发送的IP报文;
对需要向外网转发的IP报文进行网络地址转换即NAT转换;
根据预设的报文标识转换策略,对内网中不同设备发送的经NAT转换的IP报文的报文标识字段进行统一转换。
2.根据权利要求1所述的方法,其特征在于,所述根据预设的报文标识转换策略,对内网中不同设备发送的经NAT转换的IP报文的报文标识字段进行统一转换的方法为:
以输出正整数递增序列的时间函数生成新的报文标识,并按报文的先后顺序依次替换每个向外网转发的IP报文的报文标识字段。
3.根据权利要求1所述的方法,其特征在于,所述根据预设的报文标识转换策略,对内网中不同设备发送的经NAT转换的IP报文的报文标识字段进行统一转换的方法为:
以内网中首个经过NAT转换的IP报文的报文标识值作为初始值,以该初始值递增逐一替换后续经过NAT转换的IP报文中的报文标识。
4.根据权利要求1所述的方法,其特征在于,所述根据预设的报文标识转换策略,对内网中不同设备发送的经NAT转换的IP报文的报文标识字段进行统一转换的方法为:
以内网中首个经过NAT转换的IP报文的报文长度值作为初始值,以该初始值递增逐一替换所有经NAT转换...
【专利技术属性】
技术研发人员:王国利,刘松茹,
申请(专利权)人:新华三信息安全技术有限公司,
类型:发明
国别省市:安徽;34
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。