本申请提供了一种消息转发方法、装置、设备及存储介质,其中,该方法包括:防火墙接收主设备向从设备发送的显性连接请求,并对显性连接请求进行解析和网络地址转换,并建立连接映射信息,在接收到主设备与从设备之间的隐性通信消息时,对隐性通信消息进行解析,并根据解析结果以及连接映射信息对隐性通信请求进行网络地址转换,再将转换后的隐性通信请求进行转发,一方面,主设备与从设备的隐性通信可以通过显性通信打开通信通道,并事先约定任一端口,实现隐性通信消息在约定端口的发送与接收,从而适应动态端口的通信场景,另一方面,可以实现只对防火墙中保存了连接映射信息的隐性通信消息进行转发,提高了隐性通信的可靠度和效率。和效率。和效率。
【技术实现步骤摘要】
消息转发方法、装置、设备及存储介质
[0001]本申请涉及工控安全通信
,具体而言,涉及一种消息转发方法、装置、设备及存储介质。
技术介绍
[0002]Ethernet/IP是一种工业以太网通讯协议,通讯方式包括显性通信和隐性通信。网络地址转换(Network Address Translation,NAT)是一种常被应用于防火墙上进行网络地址转换和网络保护的方法。
[0003]为了实现NAT环境下的Ethernet/IP的隐性通信,需要先使用显性通信打开通道,并在应用层数据中约定通道信息。
[0004]但是,现有的NAT环境下的Ethernet/IP的隐性通信不支持动态端口,而在某些通信场景下,需要创建动态端口来实现通信。因此,现有的NAT环境下的Ethernet/IP的隐性通信方式在涉及动态端口的通信场景下无法适用。
技术实现思路
[0005]本申请的目的在于,针对上述现有技术中的不足,提供一种消息转发方法、装置、设备及存储介质,以解决现有技术中NAT环境下的Ethernet/IP的隐性通信无法正常使用的问题。
[0006]为实现上述目的,本申请采用的技术方案如下:
[0007]第一方面,本申请提供了一种消息转发方法,应用于防火墙所述方法包括:
[0008]接收主设备向待连接的从设备发送的显性连接请求,并对所述显性连接请求进行解析,得到转换前四元组,所述转换前四元组包括:源IP、源端口、目的IP以及目的端口;
[0009]根据目标转换策略,对所述转换前四元组进行网络地址转换,得到转换后四元组,所述目标转换策略包括:主设备转换策略、从设备转换策略;
[0010]根据所述转换前四元组和所述转换后四元组,建立第一连接映射信息,向所述从设备发送包含所述转换后四元组的转换后显性连接请求,并在接收到所述从设备返回的转换后显性连接响应后,向所述主设备发送显性连接响应,其中,所述第一连接映射信息包括:第一键和第一值,所述第一键包括:第一连接标识以及所述转换前四元组,所述第一值包括:所述转换后四元组中的源IP和目的IP、以及所述转换前四元组中的源端口和目的端口;
[0011]接收所述主设备向所述从设备发送的隐性通信请求,并对所述隐性通信请求进行解析,得到所述第一连接标识以及所述转换前四元组;
[0012]根据解析得到的所述第一连接标识、所述转换前四元组以及第一连接映射信息,确定所述第一值,根据所述第一值对所述隐性通信请求进行网络地址转换,并将转换后的隐性通信请求转发至所述从设备。
[0013]可选的,所述根据目标转换策略,对所述转换前四元组进行网络地址转换,得到转
换后四元组之后,还包括:
[0014]根据所述转换前四元组和所述转换后四元组,建立第二连接映射信息,所述第二连接映射信息包括:第二键和第二值,所述第二键包括:第二连接标识以及所述转换后四元组,所述第二值包括:所述转换前四元组。
[0015]可选的,所述方法还包括:
[0016]接收所述从设备发送的隐性通信消息,并对所述隐性通信消息进行解析,得到所述第二连接标识以及所述转换后四元组;
[0017]根据解析得到的所述第二连接标识、所述转换后四元组以及所述第二连接映射信息,确定所述第二值,根据所述第二值对所述隐性通信消息进行网络地址转换,并将转换后的隐性通信消息转发至所述主设备。
[0018]可选的,所述根据目标转换策略,对所述转换前四元组进行网络地址转换,得到转换后四元组,包括:
[0019]根据所述主设备转换策略,对所述转换前四元组中的源IP和源端口进行转换,得到转换后源IP以及转换后源端口;
[0020]根据所述从设备转换策略,对所述转换前四元组中的目的IP和目的端口进行转换,得到转换后目的IP以及转换后目的端口;
[0021]将所述转换后源IP、转换后源端口、转换后目的IP以及转换后目的端口组合为所述转换后四元组。
[0022]可选的,所述根据所述转换前四元组和所述转换后四元组,建立第一连接映射信息,包括:
[0023]接收第一连接标识;
[0024]将所述第一连接标识以及所述转换前四元组组合为所述第一键;
[0025]将所述转换后四元组中的源IP和目的IP、以及所述转换前四元组中的源端口和目的端口作为所述第一值。
[0026]可选的,所述根据所述转换前四元组和所述转换后四元组,建立第二连接映射信息,包括:
[0027]接收第二连接标识;
[0028]将所述第二连接标识以及所述转换后四元组组合为所述第二键;
[0029]将所述转换前四元组中的源IP和目的IP、以及所述转换后四元组中的源端口和目的端口作为所述第二值。
[0030]可选的,所述根据所述第一值对所述隐性通信请求进行网络地址转换,包括:
[0031]根据所述第一值,对所述隐性通信请求中的传输层数据以及网络层数据进行网络地址转换。
[0032]第二方面,本申请提供了一种消息转发装置,所述装置包括:
[0033]接收模块,用于:接收主设备向待连接的从设备发送的显性连接请求,并对所述显性连接请求进行解析,得到转换前四元组,所述转换前四元组包括:源IP、源端口、目的IP以及目的端口;
[0034]转换模块,用于:根据目标转换策略,对所述转换前四元组进行网络地址转换,得到转换后四元组,所述目标转换策略包括:主设备转换策略、从设备转换策略;
[0035]转发模块,用于:根据所述转换前四元组和所述转换后四元组,建立第一连接映射信息,向所述从设备发送包含所述转换后四元组的转换后显性连接请求,并在接收到所述从设备返回的转换后显性连接响应后,向所述主设备发送显性连接响应,其中,所述第一连接映射信息包括:第一键和第一值,所述第一键包括:第一连接标识以及所述转换前四元组,所述第一值包括:所述转换后四元组中的源IP和目的IP、以及所述转换前四元组中的源端口和目的端口;
[0036]所述接收模块,还用于:接收所述主设备向所述从设备发送的隐性通信请求,并对所述隐性通信请求进行解析,得到所述第一连接标识以及所述转换前四元组;
[0037]所述转换模块,还用于:根据解析得到的所述第一连接标识、所述转换前四元组以及第一连接映射信息,确定所述第一值,根据所述第一值对所述隐性通信请求进行网络地址转换,并将转换后的隐性通信请求转发至所述从设备。
[0038]可选的,所述转换模块还用于:
[0039]根据所述主设备转换策略,对所述转换前四元组中的源IP和源端口进行转换,得到转换后源IP以及转换后源端口;
[0040]根据所述从设备转换策略,对所述转换前四元组中的目的IP和目的端口进行转换,得到转换后目的IP以及转换后目的端口;
[0041]将所述转换后源IP、转换后源端口、转换后目的IP以及转换后目的端口组合为所述转换后四元组。
[0042]可选的本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种消息转发方法,其特征在于,应用于防火墙,所述方法包括:接收主设备向待连接的从设备发送的显性连接请求,并对所述显性连接请求进行解析,得到转换前四元组,所述转换前四元组包括:源IP、源端口、目的IP以及目的端口;根据目标转换策略,对所述转换前四元组进行网络地址转换,得到转换后四元组,所述目标转换策略包括:主设备转换策略、从设备转换策略;根据所述转换前四元组和所述转换后四元组,建立第一连接映射信息,向所述从设备发送包含所述转换后四元组的转换后显性连接请求,并在接收到所述从设备返回的转换后显性连接响应后,向所述主设备发送显性连接响应,其中,所述第一连接映射信息包括:第一键和第一值,所述第一键包括:第一连接标识以及所述转换前四元组,所述第一值包括:所述转换后四元组中的源IP和目的IP、以及所述转换前四元组中的源端口和目的端口;接收所述主设备向所述从设备发送的隐性通信请求,并对所述隐性通信请求进行解析,得到所述第一连接标识以及所述转换前四元组;根据解析得到的所述第一连接标识、所述转换前四元组以及第一连接映射信息,确定所述第一值,根据所述第一值对所述隐性通信请求进行网络地址转换,并将转换后的隐性通信请求转发至所述从设备。2.根据权利要求1所述的方法,其特征在于,所述根据目标转换策略,对所述转换前四元组进行网络地址转换,得到转换后四元组之后,还包括:根据所述转换前四元组和所述转换后四元组,建立第二连接映射信息,所述第二连接映射信息包括:第二键和第二值,所述第二键包括:第二连接标识以及所述转换后四元组,所述第二值包括:所述转换前四元组。3.根据权利要求2所述的方法,其特征在于,所述方法还包括:接收所述从设备发送的隐性通信消息,并对所述隐性通信消息进行解析,得到所述第二连接标识以及所述转换后四元组;根据解析得到的所述第二连接标识、所述转换后四元组以及所述第二连接映射信息,确定所述第二值,根据所述第二值对所述隐性通信消息进行网络地址转换,并将转换后的隐性通信消息转发至所述主设备。4.根据权利要求1所述的方法,其特征在于,所述根据目标转换策略,对所述转换前四元组进行网络地址转换,得到转换后四元组,包括:根据所述主设备转换策略,对所述转换前四元组中的源I P和源端口进行转换,得到转换后源IP以及转换后源端口;根据所述从设备转换策略,对所述转换前四元组中的目的I P和目的端口进行转换,得到转换后目的IP以及转换后目的端口;将所述转换后源IP、转换后源端口、转换后目的IP以及转换后目的端口组合为所述转换后四元组。5.根据权利要求1所述的方法,其特征在于,所述根据所述转换前四元组和所述转换后四元组,建立第一连接映射信息,包括:接收第...
【专利技术属性】
技术研发人员:沈伟,章维,陈银桃,郭正飞,马纳,
申请(专利权)人:浙江中控技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。