本公开提供一种报文转板处理方法及装置,涉及边界安全技术领域。该方法包括:获取第一请求报文的特征信息;确定第二业务板槽位号;若第二业务板槽位号与第一业务板槽位号不一致,则第一业务板将第一请求报文的特征信息发送给第二业务板,以使第二业务板创建报文转板信息表;将第一请求报文发送给资源服务器;接收资源服务器发送的第一响应报文;根据第二五元组信息查询报文转板信息表;若第二五元组信息命中报文转板信息表的任一条第一响应报文的五元组信息,则根据报文转板信息表对应的表项信息,将第一响应报文转板发送至第一业务板,以使第一请求报文和第一响应报文均由第一业务板处理。采用本方法能够保证SSLVPN会话的完整性。完整性。完整性。
【技术实现步骤摘要】
报文转板处理方法及装置
[0001]本公开涉及边界安全
,尤其涉及一种报文转板处理方法及装置。
技术介绍
[0002]分布式系统下,设备采用多个交换板、多个业务板共同提供数据转发、处理功能;报文到达交换板,交换板基于源IP、目的IP将报文分流到指定业务板处理,实现多业务板负载分担数据处理业务。
[0003]SSLVPN(Secure Session LayerVirtual Private Network,安全会话层虚拟专用网络)用于远程用户通过互联网安全、高效的访问企业内部网络资源。客户端访问企业内网资源,资源请求报文从客户端通过SSLVPN隧道发往网络安全设备,网络安全设备将资源请求报文处理后发给资源服务器,资源服务器发送回复报文给网络安全设备,之后由网络安全设备处理后通过SSLVPN隧道发给客户端,对于网络安全设备而言,SSLVPN会话的正向报文、反向报文的源IP与目的IP不一致,基于源IP与目的IP哈希分流,正向报文和反向报文可能被分流到不同的业务板处理,而在网络安全领域,因某些业务模块需要通过正向报文、反向报文信息处理业务,因此分布式系统下必须保证同一会话正、反向报文由相同业务板处理,保证会话连接的完整性。
[0004]相关技术中,采用网络地址转换技术实现SSLVPN会话的正向报文、反向报文经过交换板分流后由相同的业务板处理,但是源转换地址的选择与地址池的配置有关,这种方法无法保证一定能找到使得正向报文、反向报文分流到相同业务板的源转换地址,所以无法保证正反向报文由相同业务板处理,进而无法保证SSLVPN会话的完整性。综上,现有技术中缺少能够保证SSLVPN会话完整性的方法。
技术实现思路
[0005]为了解决上述技术问题或者至少部分地解决上述技术问题,本公开提供了一种报文转板处理方法,解决了分布式系统下无法保证正向报文、反向报文由同一业务板进行处理导致会话不完整的问题。
[0006]为了实现上述目的,本公开实施例提供技术方案如下:
[0007]第一方面,本公开的实施例提供一种报文转板处理方法,应用于网络安全设备,所述网络安全设备包括:一个交换板以及至少两个业务板;所述方法包括:
[0008]获取第一请求报文的特征信息;第一请求报文的特征信息包括:第一五元组信息以及第一业务板槽位号;所述第一五元组信息包括:第一源IP、第一目的IP、第一源端口、第一目的端口以及第一传输协议;所述第一业务板槽位号为所述第一请求报文被哈希分流后对应的业务板槽位号;
[0009]基于所述第一源IP、以及所述第一目的IP确定第二业务板槽位号;所述第二业务板槽位号为负责处理第一响应报文的业务板槽位号;
[0010]若所述第二业务板槽位号与所述第一业务板槽位号不一致,则第一业务板将所述
第一请求报文的特征信息发送给第二业务板,以使所述第二业务板基于所述第一请求报文的特征信息创建报文转板信息表;所述报文转板信息表由至少一条第一响应报文的五元组信息以及至少一个第一业务板槽位号组成;
[0011]将所述第一请求报文发送给资源服务器;
[0012]接收所述资源服务器发送的第一响应报文;所述第一响应报文携带有第二五元组信息;所述第二五元组信息包括:第二源IP、第二目的IP、第二源端口、第二目的端口以及第二传输协议;
[0013]根据所述第二五元组信息查询所述报文转板信息表;
[0014]若所述第二五元组信息命中所述报文转板信息表的任一条第一响应报文的五元组信息,则根据所述报文转板信息表对应的表项信息,将所述第一响应报文转板发送至第一业务板,以使所述第一请求报文和所述第一响应报文均由所述第一业务板处理。
[0015]作为本公开实施例一种可选的实施方式,所述基于所述第一源IP、以及所述第一目的IP确定第二业务板槽位号,包括:
[0016]根据所述第一源IP、以及所述第一目的IP转换得到第二源IP、第二目的IP;
[0017]根据所述第二源IP、第二目的IP进行哈希分流,获取第二业务板槽位号。
[0018]作为本公开实施例一种可选的实施方式,在第一业务板将所述第一请求报文的特征信息发送给第二业务板之后,所述方法还包括:
[0019]通过所述第一业务板将所述第一请求报文发送给资源服务器。
[0020]作为本公开实施例一种可选的实施方式,所述获取第一请求报文的特征信息,包括:
[0021]接收客户端发送的第一隧道报文;所述第一隧道报文包括:外层源IP、外层目的IP、内层源IP、内层目的IP;
[0022]基于所述第一隧道报文进行解密,获取外层源IP、外层目的IP、内层源IP、内层目的IP、内层源端口、内层目的端口、内层传输协议以及第一请求报文;
[0023]确定所述内层源IP为所述第一请求报文的第一源IP、所述内层目的IP为所述第一请求报文的第一目的IP、所述内层源端口为第一源端口、所述内层目的端口为第一目的端口、所述内层传输协议为第一传输协议;
[0024]获取所述第一请求报文的第一业务板槽位号;
[0025]根据所述第一源IP、所述第一目的IP、所述第一源端口、所述第一目的端口、所述第一传输协议、以及所述第一业务板槽位号,确定第一请求报文的特征信息。
[0026]作为本公开实施例一种可选的实施方式,所述获取所述第一请求报文的第一业务板槽位号,包括:
[0027]根据所述外层源IP、以及所述外层目的IP进行哈希分流,获取所述第一请求报文的第一业务板槽位号。
[0028]作为本公开实施例一种可选的实施方式,所述方法还包括:
[0029]若所述第二业务板槽位号与所述第一业务板槽位号一致,则将所述第一请求报文直接发送给资源服务器。
[0030]作为本公开实施例一种可选的实施方式,所述方法还包括:
[0031]若所述第二五元组信息未命中所述报文转板信息表的任一条第一响应报文的五
元组信息,则在第二业务板对所述第一响应报文进行处理。
[0032]第二方面,本公开实施例提供一种报文转板处理装置,包括:
[0033]特征信息获取模块,用于获取第一请求报文的特征信息;第一请求报文的特征信息包括:第一请求报文的第一五元组信息以及第一业务板槽位号;所述第一五元组信息包括:第一源IP、第一目的IP、第一源端口、第一目的端口以及第一传输协议;所述第一业务板槽位号为所述第一请求报文被哈希分流后对应的业务板槽位号;
[0034]业务板槽位号确定模块,用于基于所述第一源IP、以及所述第一目的IP确定第二业务板槽位号;所述第二业务板槽位号为负责处理第一响应报文的业务板槽位号;
[0035]转板信息表创建模块,用于若所述第二业务板槽位号与所述第一业务板槽位号不一致,则第一业务板将所述第一请求报文的特征信息发送给第二业务板,以使所述第二业务板基于所述第一请求报文的特征信息创建报文转板信息表;所述报文转板信息表由至少一条第一响应报文的本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种报文转板处理方法,其特征在于,应用于网络安全设备,所述网络安全设备包括:一个交换板以及至少两个业务板;所述方法包括:获取第一请求报文的特征信息;第一请求报文的特征信息包括:第一五元组信息以及第一业务板槽位号;所述第一五元组信息包括:第一源IP、第一目的IP、第一源端口、第一目的端口以及第一传输协议;所述第一业务板槽位号为所述第一请求报文被哈希分流后对应的业务板槽位号;基于所述第一源IP、以及所述第一目的IP确定第二业务板槽位号;所述第二业务板槽位号为负责处理第一响应报文的业务板槽位号;若所述第二业务板槽位号与所述第一业务板槽位号不一致,则第一业务板将所述第一请求报文的特征信息发送给第二业务板,以使所述第二业务板基于所述第一请求报文的特征信息创建报文转板信息表;所述报文转板信息表由至少一条第一响应报文的五元组信息以及至少一个第一业务板槽位号组成;将所述第一请求报文发送给资源服务器;接收所述资源服务器发送的第一响应报文;所述第一响应报文携带有第二五元组信息;所述第二五元组信息包括:第二源IP、第二目的IP、第二源端口、第二目的端口以及第二传输协议;根据所述第二五元组信息查询所述报文转板信息表;若所述第二五元组信息命中所述报文转板信息表的任一条第一响应报文的五元组信息,则根据所述报文转板信息表对应的表项信息,将所述第一响应报文转板发送至第一业务板,以使所述第一请求报文和所述第一响应报文均由所述第一业务板处理。2.根据权利要求1所述的方法,其特征在于,所述基于所述第一源IP、以及所述第一目的IP确定第二业务板槽位号,包括:根据所述第一源IP、以及所述第一目的IP转换得到第二源IP、第二目的IP;根据所述第二源IP、第二目的IP进行哈希分流,获取第二业务板槽位号。3.根据权利要求1所述的方法,其特征在于,在第一业务板将所述第一请求报文的特征信息发送给第二业务板之后,所述方法还包括:通过所述第一业务板将所述第一请求报文发送给资源服务器。4.根据权利要求1所述的方法,其特征在于,所述获取第一请求报文的特征信息,包括:接收客户端发送的第一隧道报文;所述第一隧道报文包括:外层源IP、外层目的IP、内层源IP、内层目的IP;基于所述第一隧道报文进行解密,获取外层源IP、外层目的IP、内层源IP、内层目的IP、内层源端口、内层目的端口、内层传输协议以及第一请求报文;确定所述内层源IP为所述第一请求报文的第一源IP、所述内层目的IP为所述第一请求报文的第一目的IP、所述内层源端口为第一源端口、所述内层目的端口为第一目的端口、所述内层传输协议为第一传输协议;获取所述第一请求报文的第一业务板槽位号;根据所述第一源IP、所述第一目的IP、...
【专利技术属性】
技术研发人员:牟瑞涛,王强,曲胜超,
申请(专利权)人:北京天融信科技有限公司北京天融信软件有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。