【技术实现步骤摘要】
防火墙的数据处理方法及装置
[0001]本专利技术涉及数据安全领域,具体而言,涉及一种防火墙的数据处理方法及装置。
技术介绍
[0002]数据通道针孔Pinhole的概念:一些应用程序采用多通道数据传送,如常见的FTP,SIP等,其控制通道和数据通道是分开的。数据通道的IP地址/端口信息是提前由控制通道协商确定的。防火墙在开启ALG的情况下,需要检查控制通道的协商报文,从中提取出数据通道的IP/端口信息,建立数据通道针孔pinhole,等数据面第一个报文到达并命中pinhole时,防火墙依据pinhole建立数据会话控制模块data session,并将此data session和控制会话控制模块control session建立关联并依据防火墙策略正确处理。找不到pinhole的数据面首包,将无法被防火墙正确处理(丢弃或者命中错误的策略policy)。
[0003]对于两台防火墙组成的HA环境,如果流量是非对称的(上下行报文不从同一台防火墙通过,图1是现有技术中防火墙HA的数据传输的示意图,如图1所示,上行报文从左...
【技术保护点】
【技术特征摘要】
1.一种防火墙的数据处理方法,其特征在于,包括:接收第一对端防火墙发送的第一数据通道针孔,其中,所述第一数据通道针孔用于建立会话控制模块,以通过所述会话控制模块发送数据面的数据流的数据报文;安装所述第一数据通道针孔;接收所述数据流的数据报文,其中,所述数据报文为所述第一对端防火墙接收第一终端发送的控制面的数据流的控制报文后,发送给第二终端,由所述第二终端根据所述控制报文生成的数据面的数据流的报文;通过安装完成的所述第一数据通道针孔安装对应的目标会话控制模块,通过所述目标会话控制模块将所述数据报文发送给第一终端。2.根据权利要求1所述的方法,其特征在于,接收第一对端防火墙发送的第一数据通道针孔包括:接收所述第一对端防火墙发送的数据包,其中,所述数据包是对所述控制报文,以及所述第一数据通道针孔进行打包生成的;所述方法还包括:在所述第一数据通道针孔安装完成后,将所述控制报文发送给所述第一对端防火墙。3.根据权利要求1所述的方法,其特征在于,接收第一对端防火墙发送的第一数据通道针孔包括:接收经过保序处理的所述控制报文和所述第一数据通道针孔;安装所述第一数据通道针孔包括:按照所述保序处理的要求,先安装所述第一数据通道针孔;所述方法还包括:在所述第一数据通道针孔安装完成后,将所述控制报文弹回所述第一对端防火墙。4.根据权利要求1所述的方法,其特征在于,在安装所述第一数据通道针孔之后,还包括:在所述第一数据通道针孔安装完成后,向所述第一对端防火墙发送完成消息,其中,所述完成消息用户提示所述第一对端防火墙发送缓存的控制报文。5.根据权利要求1至4中任一项所述的方法,其特征在于,所述第一数据通道针孔与数据面的数据流的会话控制模块对应,用于建立所述数据面的数据流的会话控制模块。6.一种防火墙的数据处理方法,其特征在于,包括:接收第一终端发送的控制面的数据流的控制报文,并根据所述控制报文安装第二数据通道针孔,其中,所述第二数据通道针孔用于建立会话控制模块,以通过所述会话控制模块发送数据面的数据流的数据报文;将所述第二数据通道针孔发送给第二对端防火墙,并将所述控制报文发送给第二终端;其中,所述第二终端接收所述控制报文后,根据所述控制报文生成所述数据报文,将所述数据报文发送给所述第二对端防火墙,所述第二对端防火墙,通过安装的第二数据通道针孔将所述数据报文发送给所述第一终端,所述第二数据通道针孔是所述第二对端防火墙根据接收的第二数据通道针孔安装的。7.根据权利要求6所述的方法,其特征在于,将所述第二数据通道针孔发送给第二对端
防火墙,并将所述控制报文发送给第二终端包括:将所述第二数据通道针孔发送给第二对端防火墙;延迟预定时间后,将所述控制报文发送给所述第二终端。8.根据权利要求6所述的方法,其特征在于,将所述第二数据通道针孔发送给第二对端防火墙,并将所述控制报文发送给第二终端包括:...
【专利技术属性】
技术研发人员:鲍志军,王镜清,陆中州,陈白杨,
申请(专利权)人:山石网科通信技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。