CN109617920B - 一种报文处理方法、装置、路由器及防火墙设备 - Google Patents
一种报文处理方法、装置、路由器及防火墙设备 Download PDFInfo
- Publication number
- CN109617920B CN109617920B CN201910063647.1A CN201910063647A CN109617920B CN 109617920 B CN109617920 B CN 109617920B CN 201910063647 A CN201910063647 A CN 201910063647A CN 109617920 B CN109617920 B CN 109617920B
- Authority
- CN
- China
- Prior art keywords
- routing information
- router
- firewall
- information
- effective
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供了一种报文处理方法、装置、路由器及防火墙设备,路由器发送携带该路由器的直连路由信息的请求报文至防火墙设备;防火墙设备将直连路由信息与该防火墙设备的本地路由信息进行对比,确定出直连路由信息中与本地路由信息相同的有效路由信息,并将携带有效路由信息的确认报文发送至路由器;路由器根据有效路由信息,发送有效路由信息对应的ARP表项至防火墙设备;防火墙设备存储ARP表项。通过本方案,可以提升报文处理效率。
Description
技术领域
本发明涉及安全防御技术领域,特别是涉及一种报文处理方法、装置、路由器及防火墙设备。
背景技术
防火墙设备是在一个受保护的内部网络与互联网间,执行访问控制策略的一个或一组***。防火墙设备可以是软件、硬件或是他们的结合,其目的是保护网络不被外部网络侵犯。防火墙设备上可以配置安全策略规则,以控制内网用户访问外网或者其他特定资源。
目前防火墙设备连接的内网架构可以包括终端设备和路由器,工作过程大概为:终端设备通过路由器向防火墙设备发送业务访问报文,防火墙设备经过安全检测后,将该业务访问报文向外网发送,并在接收到针对该业务访问报文的业务响应报文后,对业务响应报文进行安全检测,通过安全检测后,再将该业务响应报文返回给路由器,路由器再将该业务响应报文返回给终端设备。
为了能够顺利进行上述过程,路由器会将自身学习到的终端设备的ARP(AddressResolution Protocol,地址解析协议)表项发送至防火墙设备,在报文到达防火墙设备后,根据该报文的源IP(Internet Protocol,网络互连协议)地址查询对应的ARP表项,进而查找到发送该报文的终端设备的MAC(Media Access Control,媒体访问控制)地址,防火墙设备可以根据针对MAC地址的预设过滤条件,对报文进行处理。
由于连接至路由器的终端设备的数目往往较多,并不是所有的终端设备都对外访问,而路由器并不能够准确地知道哪些终端设备对外访问,因此,路由器往往会将所有直连的终端设备的ARP表项都发送至防火墙设备,导致防火墙设备中存储有大量无用的ARP表项,使得报文在到达防火墙设备需要查询源IP地址对应的ARP表项时,增加了查询时间,从而影响了报文处理的效率。
发明内容
本发明实施例的目的在于提供一种报文处理方法、装置、路由器及防火墙设备,以提升报文处理效率。具体技术方案如下:
第一方面,本发明实施例提供了一种报文处理方法,应用于路由器,所述方法包括:
发送请求报文至防火墙设备,所述请求报文携带所述路由器的直连路由信息;
接收所述防火墙设备回复的确认报文,所述确认报文携带所述直连路由信息中与所述防火墙设备的本地路由信息相同的有效路由信息,所述本地路由信息包括所述防火墙设备支持的对外访问的路由信息;
根据所述有效路由信息,发送所述有效路由信息对应的地址解析协议ARP表项至所述防火墙设备,以使所述防火墙设备存储所述ARP表项。
第二方面,本发明实施例提供了一种报文处理方法,应用于防火墙设备,所述方法包括:
接收路由器发送的请求报文,所述请求报文携带所述路由器的直连路由信息;
将所述直连路由信息与所述防火墙设备的本地路由信息进行对比,确定所述直连路由信息中与所述本地路由信息相同的有效路由信息,所述本地路由信息包括所述防火墙设备支持的对外访问的路由信息;
发送确认报文至所述路由器,所述确认报文携带所述有效路由信息;
接收并存储所述路由器发送的所述有效路由信息对应的ARP表项。
第三方面,本发明实施例提供了一种报文处理装置,应用于路由器,所述装置包括:
发送模块,用于发送请求报文至防火墙设备,所述请求报文携带所述路由器的直连路由信息;
接收模块,用于接收所述防火墙设备回复的确认报文,所述确认报文携带所述直连路由信息中与所述防火墙设备的本地路由信息相同的有效路由信息,所述本地路由信息包括所述防火墙设备支持的对外访问的路由信息;
所述发送模块,还用于根据所述有效路由信息,发送所述有效路由信息对应的ARP表项至所述防火墙设备,以使所述防火墙设备存储所述ARP表项。
第四方面,本发明实施例提供了一种报文处理装置,应用于防火墙设备,所述装置包括:
接收模块,用于接收路由器发送的请求报文,所述请求报文携带所述路由器的直连路由信息;
对比模块,用于将所述直连路由信息与所述防火墙设备的本地路由信息进行对比,确定所述直连路由信息中与所述本地路由信息相同的有效路由信息,所述本地路由信息包括所述防火墙设备支持的对外访问的路由信息;
发送模块,用于发送确认报文至所述路由器,所述确认报文携带所述有效路由信息;
存储模块,用于接收并存储所述路由器发送的所述有效路由信息对应的ARP表项。
第五方面,本发明实施例提供了一种路由器,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:执行本发明实施例第一方面所述的方法步骤。
第六方面,本发明实施例提供了一种机器可读存储介质,所述机器可读存储介质内存储有机器可执行指令,所述机器可执行指令被处理器执行时,实现本发明实施例第一方面所述的方法步骤。
第七方面,本发明实施例提供了一种防火墙设备,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:执行本发明实施例第二方面所述的方法步骤。
第八方面,本发明实施例提供了一种机器可读存储介质,所述机器可读存储介质内存储有机器可执行指令,所述机器可执行指令被处理器执行时,实现本发明实施例第二方面所述的方法步骤。
本发明实施例提供的一种报文处理方法、装置、路由器及防火墙设备,路由器发送携带该路由器的直连路由信息的请求报文至防火墙设备;防火墙设备将直连路由信息与该防火墙设备的本地路由信息进行对比,确定出直连路由信息中与本地路由信息相同的有效路由信息,并将携带有效路由信息的确认报文发送至路由器;路由器根据有效路由信息,发送有效路由信息对应的ARP表项至防火墙设备;防火墙设备存储ARP表项。由于防火墙设备的本地路由信息包括该防火墙设备支持的对外访问的路由信息,因此,防火墙设备通过将直连路由信息与本地路由信息进行对比,可以确定出直连路由信息中对外访问的路由信息(即有效路由信息),这样,路由器在接收到携带有效路由信息的确认报文后,可以根据有效路由信息,有选择的发送有效路由信息对应的ARP表项至防火墙设备,避免了防火墙设备存储过多的无用ARP表项,保证了防火墙设备存储的ARP表项的有效性,从而提升了报文处理效率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例的组网架构示意图;
图2为本发明实施例的应用于路由器的报文处理方法的流程示意图;
图3为本发明实施例的应用于防火墙设备的报文处理方法的流程示意图;
图4为本发明实施例的路由器与防火墙设备交互的报文处理方法的流程示意图;
图5为本发明实施例的应用于路由器的报文处理方法的流程示意图;
图6为本发明实施例的应用于路由器的报文处理装置的结构示意图;
图7为本发明实施例的应用于防火墙设备的报文处理装置的结构示意图;
图8为本发明实施例的路由器的结构示意图;
图9为本发明实施例的防火墙设备的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为了提升报文处理效率,本发明实施例提供了一种报文处理方法、装置、路由器及防火墙设备。
本发明实施例所适用的组网结构如图1所示,该组网结构中包括终端设备、路由器和防火墙设备,路由器和防火墙设备之间通过交互,可以实现本发明实施例所提供的报文处理方法。下面,首先分别以路由器和防火墙设备为执行主体,对本发明实施例所提供的报文处理方法进行介绍。
如图2所示,本发明实施例所提供的一种报文处理方法,应用于路由器,该报文处理方法可以包括:
S201,发送请求报文至防火墙设备,其中,请求报文携带路由器的直连路由信息。
路由器可以对当前与其直连的各终端设备的路由信息(例如终端设备的网段、掩码等)进行记录,并将这些直连路由信息携带至请求报文,发送给防火墙设备,告知防火墙设备目前有哪些与该路由器直连的终端设备的路由信息。
S202,接收防火墙设备回复的确认报文,其中,确认报文携带直连路由信息中与防火墙设备的本地路由信息相同的有效路由信息,本地路由信息包括防火墙设备支持的对外访问的路由信息。
路由器在发送请求报文之后,会收到防火墙设备回复的确认报文,该确认报文中携带了有效路由信息,有效路由信息是防火墙设备对接收到的直连路由信息和本地路由信息进行对比后筛选出的相同的路由信息,路由器在收到有效路由信息后,可以确定直连路由信息中哪些路由信息是有效的。
S203,根据有效路由信息,发送有效路由信息对应的ARP表项至防火墙设备,以使防火墙设备存储该ARP表项。
路由器根据有效路由信息,可以有选择的发送对应的ARP表项给防火墙设备,仅将有效的路由信息对应的ARP表项发送给防火墙设备,减少防火墙设备上表项的数量,避免不必要表项的存在,提升***工作效率。
如图3所示,本发明实施例所提供的一种报文处理方法,应用于防火墙设备,该报文处理方法可以包括:
S301,接收路由器发送的请求报文,其中,请求报文携带路由器的直连路由信息。
S302,将直连路由信息与防火墙设备的本地路由信息进行对比,确定直连路由信息中与本地路由信息相同的有效路由信息,其中,本地路由信息包括防火墙设备支持的对外访问的路由信息。
S303,发送确认报文至路由器,其中,确认报文携带有效路由信息。
S304,接收并存储路由器发送的有效路由信息对应的ARP表项。
路由器将直连路由信息携带至请求报文中,发送给防火墙设备,防火墙设备将直连路由信息与本地路由信息进行对比,确定出有效路由信息,防火墙设备再将有效路由信息携带至确认报文中,反馈给路由器,这样,路由器就可以有选择性地发送有效路由信息对应的ARP表项给防火墙设备,防火墙设备只需要存储有效路由信息对应的ARP表项,减少了防火墙设备上表项的数量,避免不必要表项的存在,从而提升了***的工作效率。
为了便于理解,下面从路由器和防火墙设备的交互过程,对本发明实施例所提供的报文处理方法进行介绍,如图4所示,本发明实施例所提供的一种报文处理方法,可以包括如下步骤:
S401,路由器发送请求报文至防火墙设备,其中,请求报文携带路由器的直连路由信息。
路由器的直连路由信息为与路由器直连的各终端设备的路由信息,可以包括终端设备的网段信息和掩码信息等,例如图1所示,与路由器直连的终端设备包括终端子网络1、终端子网络2和终端子网络3中的终端设备;终端子网络1中的终端设备的网段信息为20.1.1.0、掩码信息为255.255.255.0,终端子网络2中的终端设备的网段信息为20.1.2.0、掩码信息为255.255.255.0,终端子网络3中的终端设备的网络信息为20.1.3.0、掩码信息为255.255.255.0;则路由器可以在请求报文中携带这些直连路由信息,并将请求报文发送至防火墙设备。
路由器对直连的各终端设备的直连路由信息进行记录,具体的,可以以路由表的形式记录直连路由信息,路由表如表1所示。
表1
编号 | 网段信息 | 掩码信息 |
1 | 20.1.1.0 | 255.255.255.0 |
2 | 20.1.2.0 | 255.255.255.0 |
3 | 20.1.3.0 | 255.255.255.0 |
路由器可以在请求报文的指定字段中携带表1所示路由表中的直连路由信息,例如,可以指定某些字段携带直连路由的网段信息,某些字段携带掩码信息。防火墙设备在接收到请求报文后,对请求报文进行解析,解析出直连路由的网段信息和掩码信息,再组成如表1所示的路由表。
由于组网中终端设备的数目很多,为了便于对终端设备进行管理,图1所示网络架构多采用SNMP(Simple Network Management Protocol,简单网络管理协议)。SNMP由一组网络管理的标准组成,通常情况下,在路由器上设置SNMP Agent(SNMP代理)模块、在防火墙设备上设置SNMP Server(SNMP服务)模块,然后利用SNMP Agent与SNMP Server传输信息,达到防火墙设备对路由器以及内网设备进行管理的目的。在一可选的实施中,路由器的SNMP Agent与防火墙设备的SNMP Server建立连接后,SNMP Agent将携带路由器的直连路由信息的请求报文发送给SNMP Server。
S402,防火墙设备将直连路由信息与防火墙设备的本地路由信息进行对比,确定直连路由信息中与本地路由信息相同的有效路由信息,其中,本地路由信息包括防火墙设备支持的对外访问的路由信息。
防火墙设备在接收到请求报文之后,将收到的直连路由信息与防火墙设备的本地路由信息进行对比,防火墙设备的本地路由信息包括防火墙设备所支持的对外访问的路由信息,例如,图1所示的防火墙设备支持的对外访问的路由信息包括网段20.1.1.0、40.1.2.0、60.1.3.0、70.3.3.0,则本地路由信息可以包括上述网段信息以及对应的掩码信息。
防火墙设备可以对本地路由信息进行记录,具体的,可以以路由表的形式记录本地路由信息,路由表如表2所示。
表2
编号 | 网段信息 | 掩码信息 |
1 | 20.1.1.0 | 255.255.255.0 |
2 | 40.1.2.0 | 255.255.255.0 |
3 | 60.1.3.0 | 255.255.255.0 |
4 | 70.3.3.0 | 255.255.255.0 |
防火墙设备通过对比路由器的直连路由信息和防火墙设备的本地路由信息,即将表1与表2进行对比,可以确定出直连路由信息中与本地路由信息相同的有效路由信息,即直连路由信息中的对外访问的路由信息,例如,通过对比表1和表2,表1和表2中相同的路由信息为网段信息为20.1.1.0、掩码信息为255.255.255.0的路由信息,则可以确定出有效路由信息如表3所示的路由表。
表3
编号 | 网段信息 | 掩码信息 |
1 | 20.1.1.0 | 255.255.255.0 |
S403,防火墙设备发送确认报文至路由器,其中,确认报文携带有效路由信息。
防火墙设备在确定有效路由信息之后,可以将有效路由信息携带在确认报文中,发送给路由器。由于有效路由信息为直连路由信息中的对外访问的路由信息,只有有效路由信息对应的终端设备的报文才会经过防火墙设备对外网进行访问;由于防火墙设备上没有直连路由信息中除有效路由信息以外的其他路由信息,则这些路由信息对应的终端设备的报文无法返回,是不会对外访问的。
防火墙设备可以在确认报文的指定字段中携带表3所示路由表中的有效路由信息,例如,可以指定某些字段携带有效路由的网段信息,某些字段携带掩码信息。路由器在接收到确认报文后,对确认报文进行解析,解析出有效路由的网段信息和掩码信息,再依据解析出的有效路由信息执行步骤S404。
S404,路由器根据有效路由信息,发送有效路由信息对应的ARP表项至防火墙设备。
路由器在接收到终端设备发送的报文时,便可学习到对应的ARP表项,由于路由器的直连终端设备很多,存储的ARP表项较多。路由器在收到防火墙设备发送的确认报文后,可以根据确认报文携带的有效路由信息,对ARP表项进行查询,查找到有效路由信息对应的ARP表项。
可选的,路由器查询、发送ARP表项的方式,具体可以为:
根据有效路由信息,从本地存储的ARP缓存表中,查找有效路由信息所表示网段范围内的ARP表项;发送ARP表项至防火墙设备。
路由器上存储有ARP缓存表,记录了终端设备的IP地址和MAC地址,有效路由信息为终端设备中防火墙设备支持的对外访问的终端设备的网段信息,路由器可以从ARP缓存表中,查找有效路由信息所示网段范围内的ARP表项,然后将这些ARP表项发送至防火墙设备。具体的,ARP表项中包括MAC地址与IP地址的对应关系,路由器可以根据有效路由信息中的网段信息和掩码信息,在ARP表项的IP地址中进行匹配查询,匹配成功的ARP表项即为该有效路由信息对应的ARP表项。例如表3所示的有效路路由信息,路由器只会将IP地址落在网段信息20.1.1.0内的ARP表项发送至防火墙设备,而IP地址落在网段信息20.1.2.0和网段信息20.1.3.0内的ARP表项是不会被发送至防火墙设备。
可选的,本发明实施例所提供的报文处理方法还可以执行如下步骤:
若接收到指定网段信息,则根据指定网段信息,发送该指定网段信息对应的ARP表项至防火墙设备。
在一些特殊组网下,例如在非对称路径的情况下,网络管理员会强制指定某些网段下的内网用户进行外网访问,例如,网络管理员强制指定网段信息为50.1.1.0的内网用户进行外网访问,则路由器会将该网段信息对应的ARP表项发送至防火墙设备,以使网段信息为50.1.1.0的内网用户终端的报文经过防火墙设备对外网进行访问。
S405,防火墙设备存储ARP表项。
由于ARP表项对应于有效路由信息,有效路由信息为直连路由信息中的对外访问的路由信息,因此,防火墙设备基于存储的ARP表项对接收的报文进行过滤,只有有效路由信息对应的终端设备的报文才会被防火墙设备允许通过。在这里,有效路由信息对应的终端设备的报文可以是该终端设备发送的业务访问报文,也可以是针对该终端设备发送的业务访问报文的业务响应报文。
应用本实施例,路由器发送携带该路由器的直连路由信息的请求报文至防火墙设备;防火墙设备将直连路由信息与该防火墙设备的本地路由信息进行对比,确定出直连路由信息中与本地路由信息相同的有效路由信息,并将携带有效路由信息的确认报文发送至路由器;路由器根据有效路由信息,发送有效路由信息对应的ARP表项至防火墙设备;防火墙设备存储ARP表项。由于防火墙设备的本地路由信息包括该防火墙设备支持的对外访问的路由信息,因此,防火墙设备通过将直连路由信息与本地路由信息进行对比,可以确定出直连路由信息中对外访问的路由信息(即有效路由信息),这样,路由器在接收到携带有效路由信息的确认报文后,可以根据有效路由信息,有选择的发送有效路由信息对应的ARP表项至防火墙设备,避免了防火墙设备存储过多的无用ARP表项,保证了防火墙设备存储的ARP表项的有效性,从而提升了报文处理效率。
由于网络连接可能会出现网络中断等问题,导致对外访问的终端设备与路由器断开连接,此时,路由器的直连路由信息中可能没有对外访问的终端设备的路由信息,这样,防火墙设备在接收到请求报文,进行直连路由信息和本地路由信息的对比时,有可能无法对比得到有效路由信息,则防火墙设备可能并不会回复确认报文,或者回复的确认报文中未携带有效路由信息,为了应对此种情况,以路由器接收到的回复的确认报文中未携带有效路由信息为例,本发明实施例还提供了一种应用于路由器的报文处理方法,如图5所示,可以包括如下步骤:
S501,发送请求报文至防火墙设备,其中,请求报文携带路由器的直连路由信息。
S502,接收防火墙设备回复的确认报文。
S503,判断确认报文中是否携带直连路由信息中与防火墙设备的本地路由信息相同的有效路由信息,若是则执行S504,否则在到达预设周期时,返回执行S501。
对于确认报文中未携带有效路由信息的情况,说明当前的直连路由信息中并不存在对外访问的路由信息,判断可能出现了连接中断的情况,因此,可以根据预设周期,周期性的执行请求报文发送、确认报文接收的操作。
S504,根据有效路由信息,发送有效路由信息对应的ARP表项至防火墙设备。
S501、S502、S504分别与图4所示实施例的S401、S403、S404相似,这里不再赘述。
对于防火墙设备在接收到请求报文,进行直连路由信息和本地路由信息的对比时,无法对比得到有效路由信息导致不回复确认报文的情况,还可以设置一个预设时间间隔,在发送请求报文之后,如果到达预设时间间隔时,还未接收到确认报文,路由器则会重新发送请求报文。
应用本实施例,由于防火墙设备的本地路由信息包括该防火墙设备支持的对外访问的路由信息,因此,防火墙设备通过将直连路由信息与本地路由信息进行对比,可以确定出直连路由信息中对外访问的路由信息(即有效路由信息),这样,路由器在接收到携带有效路由信息的确认报文后,可以根据有效路由信息,有选择的发送有效路由信息对应的ARP表项至防火墙设备,避免了防火墙设备存储过多的无用ARP表项,保证了防火墙设备存储的ARP表项的有效性,从而提升了报文处理效率。
并且,针对网络连接可能出现网络中断等问题,通过对确认报文中是否携带有效路由信息进行判断,在未携带有效路由信息的条件下周期性的执行请求报文发送、确认报文接收的操作,保证了报文处理不会受到网络连接中断的影响。
相应于上述方法实施例,本发明实施例提供了一种应用于路由器的报文处理装置,如图6所示,该报文处理装置可以包括:
发送模块610,用于发送请求报文至防火墙设备,所述请求报文携带所述路由器的直连路由信息;
接收模块620,用于接收所述防火墙设备回复的确认报文,所述确认报文携带所述直连路由信息中与所述防火墙设备的本地路由信息相同的有效路由信息,所述本地路由信息包括所述防火墙设备支持的对外访问的路由信息;
所述发送模块610,还用于根据所述有效路由信息,发送所述有效路由信息对应的ARP表项至所述防火墙设备,以使所述防火墙设备存储所述ARP表项。
可选的,所述发送模块610,还可以用于:
若接收到指定网段信息,则根据所述指定网段信息,发送所述指定网段信息对应的ARP表项至所述防火墙设备。
可选的,所述发送模块610,还可以用于:
若所述确认报文未携带所述有效路由信息,则在到达预设周期时,发送所述请求报文至所述防火墙设备。
可选的,所述发送模块610,具体可以用于:
根据所述有效路由信息,从本地存储的ARP缓存表中,查找所述有效路由信息所表示网段范围内的ARP表项;
发送所述ARP表项至所述防火墙设备。
本发明实施例提供了一种应用于防火墙设备的报文处理装置,如图7所示,该报文处理装置可以包括:
接收模块710,用于接收路由器发送的请求报文,所述请求报文携带所述路由器的直连路由信息;
对比模块720,用于将所述直连路由信息与所述防火墙设备的本地路由信息进行对比,确定所述直连路由信息中与所述本地路由信息相同的有效路由信息,所述本地路由信息包括所述防火墙设备支持的对外访问的路由信息;
发送模块730,用于发送确认报文至所述路由器,所述确认报文携带所述有效路由信息;
存储模块740,用于接收并存储所述路由器发送的所述有效路由信息对应的ARP表项。
应用本实施例,路由器发送携带该路由器的直连路由信息的请求报文至防火墙设备;防火墙设备将直连路由信息与该防火墙设备的本地路由信息进行对比,确定出直连路由信息中与本地路由信息相同的有效路由信息,并将携带有效路由信息的确认报文发送至路由器;路由器根据有效路由信息,发送有效路由信息对应的ARP表项至防火墙设备;防火墙设备存储ARP。由于防火墙设备的本地路由信息包括该防火墙设备支持的对外访问的路由信息,因此,防火墙设备通过将直连路由信息与本地路由信息进行对比,可以确定出直连路由信息中对外访问的路由信息(即有效路由信息),这样,路由器在接收到携带有效路由信息的确认报文后,可以根据有效路由信息,有选择的发送有效路由信息对应的ARP表项至防火墙设备,避免了防火墙设备存储过多的无用ARP表项,保证了防火墙设备存储的ARP表项的有效性,从而提升了报文处理效率。
并且,针对网络连接可能出现网络中断等问题,通过对确认报文中是否携带有效路由信息进行判断,在未携带有效路由信息的条件下周期性的执行请求报文发送、确认报文接收的操作,保证了报文处理不会受到网络连接中断的影响。
本发明实施例还提供了一种路由器,如图8所示,包括处理器801和机器可读存储介质802,所述机器可读存储介质802存储有能够被所述处理器801执行的机器可执行指令,所述处理器801被所述机器可执行指令促使:执行本发明实施例所提供的应用于路由器的报文处理方法的步骤。
本发明实施例还提供了一种防火墙设备,如图9所示,包括处理器901和机器可读存储介质902,所述机器可读存储介质902存储有能够被所述处理器901执行的机器可执行指令,所述处理器901被所述机器可执行指令促使:执行本发明实施例所提供的应用于防火墙设备的报文处理方法的步骤。
上述机器可读存储介质可以包括RAM(Random Access Memory,随机存取存储器),也可以包括NVM(Non-volatile Memory,非易失性存储器),例如至少一个磁盘存储器。可选的,机器可读存储介质还可以是至少一个位于远离前述处理器的存储装置。
上述处理器可以是通用处理器,包括CPU(Central Processing Unit,中央处理器)、NP(Network Processor,网络处理器)等;还可以是DSP(Digital Signal Processor,数字信号处理器)、ASIC(Application Specific Integrated Circuit,专用集成电路)、FPGA(Field-Programmable Gate Array,现场可编程门阵列)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
机器可读存储介质802与处理器801之间、机器可读存储介质902与处理器901之间可以通过有线连接或者无线连接的方式进行数据传输,并且路由器与防火墙设备之间以及路由器和防火墙设备与其他的设备之间可以通过有线通信接口或者无线通信接口进行通信。图8和图9所示的仅为通过总线进行数据传输的示例,不作为具体连接方式的限定。
本实施例中,处理器801通过读取机器可读存储介质802中存储的机器可执行指令,处理器901通过读取机器可读存储介质902中存储的机器可执行指令,被机器可执行指令促使能够实现:路由器发送携带该路由器的直连路由信息的请求报文至防火墙设备;防火墙设备将直连路由信息与该防火墙设备的本地路由信息进行对比,确定出直连路由信息中与本地路由信息相同的有效路由信息,并将携带有效路由信息的确认报文发送至路由器;路由器根据有效路由信息,发送有效路由信息对应的ARP表项至防火墙设备;防火墙设备存储ARP表项。由于防火墙设备的本地路由信息包括该防火墙设备支持的对外访问的路由信息,因此,防火墙设备通过将直连路由信息与本地路由信息进行对比,可以确定出直连路由信息中对外访问的路由信息(即有效路由信息),这样,路由器在接收到携带有效路由信息的确认报文后,可以根据有效路由信息,有选择的发送有效路由信息对应的ARP表项至防火墙设备,避免了防火墙设备存储过多的无用ARP表项,保证了防火墙设备存储的ARP表项的有效性,从而提升了报文处理效率。
另外,本发明实施例还提供了一种机器可读存储介质,所述机器可读存储介质内存储有机器可执行指令,所述机器可执行指令被处理器执行时,执行本发明实施例所提供的应用于路由器的报文处理方法的步骤。
本发明实施例还提供了一种机器可读存储介质,所述机器可读存储介质内存储有机器可执行指令,所述机器可执行指令被处理器执行时,执行本发明实施例所提供的应用于防火墙设备的报文处理方法的步骤。
本实施例中,机器可读存储介质在运行时执行本发明实施例所提供的应用于路由器和防护墙设备的报文处理方法的机器可执行指令,因此能够实现:路由器发送携带该路由器的直连路由信息的请求报文至防火墙设备;防火墙设备将直连路由信息与该防火墙设备的本地路由信息进行对比,确定出直连路由信息中与本地路由信息相同的有效路由信息,并将携带有效路由信息的确认报文发送至路由器;路由器根据有效路由信息,发送有效路由信息对应的ARP表项至防火墙设备;防火墙设备存储ARP表项。由于防火墙设备的本地路由信息包括该防火墙设备支持的对外访问的路由信息,因此,防火墙设备通过将直连路由信息与本地路由信息进行对比,可以确定出直连路由信息中对外访问的路由信息(即有效路由信息),这样,路由器在接收到携带有效路由信息的确认报文后,可以根据有效路由信息,有选择的发送有效路由信息对应的ARP表项至防火墙设备,避免了防火墙设备存储过多的无用ARP表项,保证了防火墙设备存储的ARP表项的有效性,从而提升了报文处理效率。
对于路由器、防火墙设备以及机器可读存储介质实施例而言,由于其涉及的方法内容基本相似于前述的方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置、路由器、防火墙设备以及机器可读存储介质实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
Claims (12)
1.一种报文处理方法,其特征在于,应用于路由器,所述方法包括:
发送请求报文至防火墙设备,所述请求报文携带所述路由器的直连路由信息,所述路由器的直连路由信息为与所述路由器直连的各终端设备的路由信息,包括终端设备的网段信息和掩码信息;
接收所述防火墙设备回复的确认报文,所述确认报文携带所述直连路由信息中与所述防火墙设备的本地路由信息相同的有效路由信息,所述本地路由信息包括所述防火墙设备支持的对外访问的路由信息;
根据所述有效路由信息,发送所述有效路由信息对应的地址解析协议ARP表项至所述防火墙设备,以使所述防火墙设备存储所述ARP表项。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
若接收到指定网段信息,则根据所述指定网段信息,发送所述指定网段信息对应的ARP表项至所述防火墙设备。
3.根据权利要求1所述的方法,其特征在于,在所述接收所述防火墙设备回复的确认报文之后,所述方法还包括:
若所述确认报文未携带所述有效路由信息,则在到达预设周期时,返回执行所述发送请求报文至防火墙设备的步骤。
4.根据权利要求1所述的方法,其特征在于,所述根据所述有效路由信息,发送所述有效路由信息对应的地址解析协议ARP表项至所述防火墙设备,包括:
根据所述有效路由信息,从本地存储的ARP缓存表中,查找所述有效路由信息所表示网段范围内的ARP表项;
发送所述ARP表项至所述防火墙设备。
5.一种报文处理方法,其特征在于,应用于防火墙设备,所述方法包括:
接收路由器发送的请求报文,所述请求报文携带路由器的直连路由信息,所述路由器的直连路由信息为与所述路由器直连的各终端设备的路由信息,包括终端设备的网段信息和掩码信息;
将所述直连路由信息与所述防火墙设备的本地路由信息进行对比,确定所述直连路由信息中与所述本地路由信息相同的有效路由信息,所述本地路由信息包括所述防火墙设备支持的对外访问的路由信息;
发送确认报文至所述路由器,所述确认报文携带所述有效路由信息;
接收并存储所述路由器发送的所述有效路由信息对应的ARP表项。
6.一种报文处理装置,其特征在于,应用于路由器,所述装置包括:
发送模块,用于发送请求报文至防火墙设备,所述请求报文携带所述路由器的直连路由信息,所述路由器的直连路由信息为与所述路由器直连的各终端设备的路由信息,包括终端设备的网段信息和掩码信息;
接收模块,用于接收所述防火墙设备回复的确认报文,所述确认报文携带所述直连路由信息中与所述防火墙设备的本地路由信息相同的有效路由信息,所述本地路由信息包括所述防火墙设备支持的对外访问的路由信息;
所述发送模块,还用于根据所述有效路由信息,发送所述有效路由信息对应的ARP表项至所述防火墙设备,以使所述防火墙设备存储所述ARP表项。
7.根据权利要求6所述的装置,其特征在于,所述发送模块,还用于:
若接收到指定网段信息,则根据所述指定网段信息,发送所述指定网段信息对应的ARP表项至所述防火墙设备。
8.根据权利要求6所述的装置,其特征在于,所述发送模块,还用于:
若所述确认报文未携带所述有效路由信息,则在到达预设周期时,发送所述请求报文至所述防火墙设备。
9.根据权利要求6所述的装置,其特征在于,所述发送模块,具体用于:
根据所述有效路由信息,从本地存储的ARP缓存表中,查找所述有效路由信息所表示网段范围内的ARP表项;
发送所述ARP表项至所述防火墙设备。
10.一种报文处理装置,其特征在于,应用于防火墙设备,所述装置包括:
接收模块,用于接收路由器发送的请求报文,所述请求报文携带所述路由器的直连路由信息,所述路由器的直连路由信息为与所述路由器直连的各终端设备的路由信息,包括终端设备的网段信息和掩码信息;
对比模块,用于将所述直连路由信息与所述防火墙设备的本地路由信息进行对比,确定所述直连路由信息中与所述本地路由信息相同的有效路由信息,所述本地路由信息包括所述防火墙设备支持的对外访问的路由信息;
发送模块,用于发送确认报文至所述路由器,所述确认报文携带所述有效路由信息;
存储模块,用于接收并存储所述路由器发送的所述有效路由信息对应的ARP表项。
11.一种路由器,其特征在于,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:执行权利要求1-4任一项所述的方法步骤。
12.一种防火墙设备,其特征在于,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:执行权利要求5所述的方法步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910063647.1A CN109617920B (zh) | 2019-01-23 | 2019-01-23 | 一种报文处理方法、装置、路由器及防火墙设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910063647.1A CN109617920B (zh) | 2019-01-23 | 2019-01-23 | 一种报文处理方法、装置、路由器及防火墙设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109617920A CN109617920A (zh) | 2019-04-12 |
CN109617920B true CN109617920B (zh) | 2021-07-20 |
Family
ID=66017138
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910063647.1A Active CN109617920B (zh) | 2019-01-23 | 2019-01-23 | 一种报文处理方法、装置、路由器及防火墙设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109617920B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110138656B (zh) * | 2019-05-28 | 2022-03-01 | 新华三技术有限公司 | 业务处理方法及装置 |
CN113992395B (zh) * | 2021-10-26 | 2023-10-24 | 新华三信息安全技术有限公司 | 一种终端识别方法、装置、电子设备及介质 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101753637A (zh) * | 2009-12-17 | 2010-06-23 | 北京星网锐捷网络技术有限公司 | 防止网络攻击的方法及网络地址转换设备 |
CN102215158A (zh) * | 2010-04-08 | 2011-10-12 | 杭州华三通信技术有限公司 | 实现vrrp流量传输的方法和路由设备 |
WO2016184283A1 (zh) * | 2015-05-19 | 2016-11-24 | 腾讯科技(深圳)有限公司 | 一种虚拟机数据流管理方法和*** |
CN106453308A (zh) * | 2016-10-10 | 2017-02-22 | 合肥红珊瑚软件服务有限公司 | 一种防止arp欺骗的方法 |
CN107517119A (zh) * | 2016-06-17 | 2017-12-26 | 阿里巴巴集团控股有限公司 | Vpc环境下的虚拟网络检测方法以及装置 |
CN107547503A (zh) * | 2017-06-12 | 2018-01-05 | 新华三信息安全技术有限公司 | 一种会话表项处理方法及装置 |
CN108471397A (zh) * | 2018-01-31 | 2018-08-31 | 华为技术有限公司 | 防火墙配置、报文发送方法和装置 |
CN109067615A (zh) * | 2018-08-21 | 2018-12-21 | 北京金风科创风电设备有限公司 | 网络配置方法和装置、监控***和存储介质 |
-
2019
- 2019-01-23 CN CN201910063647.1A patent/CN109617920B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101753637A (zh) * | 2009-12-17 | 2010-06-23 | 北京星网锐捷网络技术有限公司 | 防止网络攻击的方法及网络地址转换设备 |
CN102215158A (zh) * | 2010-04-08 | 2011-10-12 | 杭州华三通信技术有限公司 | 实现vrrp流量传输的方法和路由设备 |
WO2016184283A1 (zh) * | 2015-05-19 | 2016-11-24 | 腾讯科技(深圳)有限公司 | 一种虚拟机数据流管理方法和*** |
CN107517119A (zh) * | 2016-06-17 | 2017-12-26 | 阿里巴巴集团控股有限公司 | Vpc环境下的虚拟网络检测方法以及装置 |
CN106453308A (zh) * | 2016-10-10 | 2017-02-22 | 合肥红珊瑚软件服务有限公司 | 一种防止arp欺骗的方法 |
CN107547503A (zh) * | 2017-06-12 | 2018-01-05 | 新华三信息安全技术有限公司 | 一种会话表项处理方法及装置 |
CN108471397A (zh) * | 2018-01-31 | 2018-08-31 | 华为技术有限公司 | 防火墙配置、报文发送方法和装置 |
CN109067615A (zh) * | 2018-08-21 | 2018-12-21 | 北京金风科创风电设备有限公司 | 网络配置方法和装置、监控***和存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN109617920A (zh) | 2019-04-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP2823624B1 (en) | Method and apparatus for identifying an application associated with an ip flow using dns data | |
CN102656845B (zh) | 用于向直径信令路由器提供集成的监控和/或防火墙功能的方法、***和计算机可读介质 | |
US7877493B2 (en) | Method of validating requests for sender reputation information | |
CN102165741B (zh) | 在ipv6网络中用于封锁和搜索主机的方法 | |
US20110093612A1 (en) | Device, method and computer readable medium for bgp route monitoring | |
CN105681353A (zh) | 防御端口扫描入侵的方法及装置 | |
CN113079097B (zh) | 一种报文处理方法及装置 | |
JP4179300B2 (ja) | ネットワーク管理方法および装置並びに管理プログラム | |
US10320688B2 (en) | Aggregating flows by endpoint category | |
US10326794B2 (en) | Anycast-based spoofed traffic detection and mitigation | |
CN109561111B (zh) | 一种攻击源的确定方法及装置 | |
CN101656638B (zh) | 面向误配置的域间前缀劫持检测方法 | |
CN106330723B (zh) | 网络邻居设备的发现方法及装置 | |
CN109617920B (zh) | 一种报文处理方法、装置、路由器及防火墙设备 | |
CN110062064A (zh) | 一种地址解析协议arp请求报文响应方法及装置 | |
CN107690004B (zh) | 地址解析协议报文的处理方法及装置 | |
CN110768901A (zh) | 路由发布方法、路由选择方法、相关装置及*** | |
US9961163B2 (en) | Method and system for notifying subscriber devices in ISP networks | |
Wang et al. | A secure IPv6 address configuration protocol for vehicular networks | |
US8239930B2 (en) | Method for controlling access to a network in a communication system | |
US20230007018A1 (en) | Dynamic multi-network security controls | |
US20210037052A1 (en) | Systems and methods for preventing router attacks | |
US20220021670A1 (en) | Network device identification | |
US11509565B2 (en) | Network link verification | |
Massamba et al. | Securisation of an ipv6 address obtaining with slaac in home networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |