【技术实现步骤摘要】
本专利技术实施例涉及防火墙技术,尤其涉及一种报文过滤方法、装置及网络设备。
技术介绍
防火墙作为一种重要的网络防护设备,被广泛的配置在网络的各个环节,以对内部网络和外部网络之间的交互报文进行过滤,拦截恶意攻击。防火墙对报文的过滤是通过跟踪整个报文的交互过程,在一定上下文环境中对交互报文的合法性进行判断来实现的,而不是仅基于单个报文。其中,防火墙通过为交互过程中的报文创建流来记录交互过程中的上下文环境,并以流表的形式组织和管理流。 通常,流记录中的字节元素只包含源网络协议(Internet Protocol ;简称为IP)地址、目的IP地址、协议类型、源端口和目的端口五元组,并根据该五元组完成对报文的过滤处理。但是,随着虚拟专用网络(VirtualPrivate Network ;简称为VPN)的快速发展,为了隔离不同的VPN用户和解决地址重叠问题引出了虚拟路由转发(Virtual RoutingForwarding ;简称为VRF)技术,VRF可以把一台路由器划分为多台虚拟路由器,每一台虚拟路由器有自己的路由表、转发表和相应接口,因此,在一台路由器上可以维护一个或多个VRF,不同的VRF通过VRF标识区分。而在一些特定的应用环境中,需要对VRF静态路由进行扩展,通过配置到其他VRF的下一跳作为出接口以实现跨VRF路由,上述以五元组方式对报文进行过滤处理的方式将不再适用。 在跨VRF路由模式下,防火墙接收到报文,为了判断该报文是否合法,需要从报文头提取源IP、目的IP、协议类型、源端口和目的端口 ;从防火墙接口属性值中获取源IP所属的VRF以及通过查询路由 ...
【技术保护点】
一种报文过滤方法,其特征在于,包括: 根据接收到的报文,获取第一信息和第一标识;所述第一信息包括所述报文的源IP地址、目的IP地址、协议类型、第一参数和第二参数;所述第一标识为所述源IP地址所属的虚拟路由转发表的标识; 对所述第一信息进行离散化处理,生成第一索引值; 在数据流表中所述第一索引值对应的各流记录中,将所述第一信息和所述第一标识与各流记录中的信息分别进行匹配; 当未匹配到包含所述第一信息和所述第一标识的流记录时,创建与所述第一索引值对应的新的流记录,用于记录连接状态信息,并将所述第一信息和所述第一标识记录在所述新的流记录中,且将根据所述第一信息和所述源IP地址所属的虚拟路由转发表的标识在路由表中查询获取的目的IP地址所属的虚拟路由转发表的标识记录在所述新的流记录中; 当匹配到包含所述第一信息和所述第一标识的流记录时,根据匹配到的流记录中的连接状态信息判断所述报文的合法性,并对所述报文进行过滤处理。
【技术特征摘要】
一种报文过滤方法,其特征在于,包括根据接收到的报文,获取第一信息和第一标识;所述第一信息包括所述报文的源IP地址、目的IP地址、协议类型、第一参数和第二参数;所述第一标识为所述源IP地址所属的虚拟路由转发表的标识;对所述第一信息进行离散化处理,生成第一索引值;在数据流表中所述第一索引值对应的各流记录中,将所述第一信息和所述第一标识与各流记录中的信息分别进行匹配;当未匹配到包含所述第一信息和所述第一标识的流记录时,创建与所述第一索引值对应的新的流记录,用于记录连接状态信息,并将所述第一信息和所述第一标识记录在所述新的流记录中,且将根据所述第一信息和所述源IP地址所属的虚拟路由转发表的标识在路由表中查询获取的目的IP地址所属的虚拟路由转发表的标识记录在所述新的流记录中;当匹配到包含所述第一信息和所述第一标识的流记录时,根据匹配到的流记录中的连接状态信息判断所述报文的合法性,并对所述报文进行过滤处理。2. 根据权利要求1所述的报文过滤方法,其特征在于,所述根据接收到的报文,获取第 一信息和第一标识,具体为从所述报文的报文头中获取所述第一信息; 从接收所述报文的防火墙接口的属性值中获取所述第一标识。3. 根据权利要求1或2所述的报文过滤方法,其特征在于,所述报文为传输控制协议报 文或用户数据包协议报文,所述第一参数为所述报文的源端口 ;所述第二参数为所述报文 的目的端口。4. 根据权利要求3所述的报文过滤方法,其特征在于,对所述第一信息进行离散化处 理,生成第一索引值,具体为通过哈希运算对所述第一信息进行离散化处理,获得第一运算结果; 将所述第一信息中的源IP地址、第一参数分别与目的IP地址、第二参数进行对调; 通过哈希运算对对调后的所述第一信息进行离散化处理,获得第二运算结果; 将所述第一运算结果和所述第二运算结果做异或运算,生成所述第一索引值。5. 根据权利要求1或2所述的报文过滤方法,其特征在于,所述报文为因特网控制报文 协议报文,所述第一参数为因特网控制报文协议报文标识;所述第二参数为第一因特网控 制报文协议报文类型和因特网控制报文协议报文代码字段的组合。6. 根据权利要求5所述的报文过滤方法,其特征在于,对所述第一信息进行离散化处 理,生成第一索引值,具体为通过哈希运算对所述第一信息进行离散化处理,获得第三运算结果;根据所述第一因特网控制报文协议报文类型,查询所述报文的映射表,获取第二因特 网控制报文协议报文类型,并生成第二信息;所述第二信息包括目的IP地址、源IP地址、协 议类型、因特网控制报文协议报文标识和所述第二因特网控制报文协议报文类型与所述因 特网控制报文协议报文代码字段的组合;通过哈希运算对所述第二信息进行离散化处理,获得第四运算结果; 将所述第三运算结果和所述第四运算结果做异或运算,生成所述第一索引值。7. —种报文过滤装置,其特征在于,包括获取模块,用于根据接收到的报文,获取第一信息和第一标识,所述第一信息包括所述 报文的...
【专利技术属性】
技术研发人员:黄凯明,
申请(专利权)人:福建星网锐捷网络有限公司,
类型:发明
国别省市:35[中国|福建]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。