CN113783872B - 防火墙的数据处理方法及装置 - Google Patents
防火墙的数据处理方法及装置 Download PDFInfo
- Publication number
- CN113783872B CN113783872B CN202111057078.3A CN202111057078A CN113783872B CN 113783872 B CN113783872 B CN 113783872B CN 202111057078 A CN202111057078 A CN 202111057078A CN 113783872 B CN113783872 B CN 113783872B
- Authority
- CN
- China
- Prior art keywords
- data
- pinhole
- firewall
- message
- opposite
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种防火墙的数据处理方法及装置。其中,该方法包括:接收第一对端防火墙发送的第一数据通道针孔,其中,第一数据通道针孔用于建立会话控制模块,以通过会话控制模块发送数据面的数据流的数据报文;安装第一数据通道针孔;接收数据流的数据报文,数据报文为第一对端防火墙接收第一终端发送的控制面的数据流的控制报文后,发送给第二终端根据控制报文生成的数据面的数据流的报文;通过安装完成的第一数据通道针孔安装对应的目标会话控制模块,通过目标会话控制模块将数据报文发送给第一终端。本发明解决了相关技术中的防火墙,无法保证数据通道针孔对象早于数据面的数据流报文,导致数据面的数据流报文出错,无法发送的技术问题。
Description
技术领域
本发明涉及数据安全领域,具体而言,涉及一种防火墙的数据处理方法及装置。
背景技术
数据通道针孔Pinhole的概念:一些应用程序采用多通道数据传送,如常见的FTP,SIP等,其控制通道和数据通道是分开的。数据通道的IP地址/端口信息是提前由控制通道协商确定的。防火墙在开启ALG的情况下,需要检查控制通道的协商报文,从中提取出数据通道的IP/端口信息,建立数据通道针孔pinhole,等数据面第一个报文到达并命中pinhole时,防火墙依据pinhole建立数据会话控制模块data session,并将此data session和控制会话控制模块control session建立关联并依据防火墙策略正确处理。找不到pinhole的数据面首包,将无法被防火墙正确处理(丢弃或者命中错误的策略policy)。
对于两台防火墙组成的HA环境,如果流量是非对称的(上下行报文不从同一台防火墙通过,图1是现有技术中防火墙HA的数据传输的示意图,如图1所示,上行报文从左侧防火墙A通过,下行报文从右侧防火墙B通过),则第一个数据面的数据流的数据报文到达防火墙B时,有可能这个数据面的数据报文对应的数据通道针孔pinhole还没有从对端防火墙A同步过来。(控制面建立数据通道针孔pinhole的控制报文和第一个数据面的数据报文是非对称流量的场景)此时,第一个数据面的数据报文在防火墙B上会找不到数据通道针孔pinhole,导致数据报文在防火墙B上无法通过数据通道针孔pinhole建立数据面会话控制模块data session并被正确处理。
相关技术中,防火墙延迟发送控制面正向首包。具体在防火墙上延迟XXX毫秒发送flow控制面正向首包,具体延迟时间可以配置。只能解决控制面反向报文在HA对端防火墙命中flow session失败的问题,无法解决数据面首包在HA对端防火墙命中pinhole失败的问题。
针对上述的问题,目前尚未提出有效的解决方案。
发明内容
本发明实施例提供了一种防火墙的数据处理方法及装置,以至少解决相关技术中的防火墙,无法保证数据通道针孔对象早于数据面的数据流报文,导致数据面的数据流报文出错,无法发送的技术问题。
根据本发明实施例的一个方面,提供了一种防火墙的数据处理方法,包括:接收第一对端防火墙发送的第一数据通道针孔,其中,所述第一数据通道针孔用于建立会话控制模块,以通过所述会话控制模块发送数据面的数据流的数据报文;安装所述第一数据通道针孔;接收所述数据流的数据报文,其中,所述数据报文为所述第一对端防火墙接收第一终端发送的控制面的数据流的控制报文后,发送给第二终端,由所述第二终端根据所述控制报文生成的数据面的数据流的报文;通过安装完成的所述第一数据通道针孔安装对应的目标会话控制模块,通过所述目标会话控制模块将所述数据报文发送给第一终端。
可选的,接收第一对端防火墙发送的第一数据通道针孔包括:接收所述第一对端防火墙发送的数据包,其中,所述数据包是对所述控制报文,以及所述第一数据通道针孔进行打包生成的;所述方法还包括:在所述第一数据通道针孔安装完成后,将所述控制报文发送给所述第一对端防火墙。
可选的,接收第一对端防火墙发送的第一数据通道针孔包括:接收经过保序处理的所述控制报文和所述第一数据通道针孔;安装所述第一数据通道针孔包括:按照所述保序处理的要求,先安装所述第一数据通道针孔;所述方法还包括:在所述第一数据通道针孔安装完成后,将所述控制报文弹回所述第一对端防火墙。
可选的,在安装所述第一数据通道针孔之后,还包括:在所述第一数据通道针孔安装完成后,向所述第一对端防火墙发送完成消息,其中,所述完成消息用户提示所述第一对端防火墙发送缓存的控制报文。
可选的,所述第一数据通道针孔与数据面的数据流的会话控制模块对应,用于建立所述数据面的数据流的会话控制模块。
根据本发明实施例的另一方面,还提供了另一种防火墙的数据处理方法,包括:接收第一终端发送的控制面的数据流的控制报文,并根据所述控制报文安装第二数据通道针孔,其中,所述第二数据通道针孔用于建立会话控制模块,以通过所述会话控制模块发送数据面的数据流的数据报文;将所述第二数据通道针孔发送给第二对端防火墙,并将所述控制报文发送给第二终端;其中,所述第二终端接收所述控制报文后,根据所述控制报文生成所述数据报文,将所述数据报文发送给所述第二对端防火墙,所述第二对端防火墙,通过安装的第二数据通道针孔将所述数据报文发送给所述第一终端,所述第二数据通道针孔是所述第二对端防火墙根据接收的第二数据通道针孔安装的。
可选的,将所述第二数据通道针孔发送给第二对端防火墙,并将所述控制报文发送给第二终端包括:将所述第二数据通道针孔发送给第二对端防火墙;延迟预定时间后,将所述控制报文发送给所述第二终端。
可选的,将所述第二数据通道针孔发送给第二对端防火墙,并将所述控制报文发送给第二终端包括:将所述控制报文和所述第二数据通道针孔进行打包,生成数据包;将所述数据包发送给所述第二对端防火墙;接收所述第二对端防火墙发送的控制报文,其中,所述第二对端防火墙完成安装所述第二数据通道针孔后,将所述控制报文发送回来;将所述控制报文发送给所述第二终端。
可选的,将所述第二数据通道针孔发送给第二对端防火墙,并将所述控制报文发送给第二终端包括:对所述控制报文和所述第二数据通道针孔进行保序处理,以保证所述第二对端防火墙先安装所述第二数据通道针孔;将保序处理后的所述控制报文和所述第二数据通道针孔发送给所述第二对端防火墙;接收所述第二对端防火墙弹回的控制报文,其中,所述第二对端防火墙完成安装所述第二数据通道针孔后,将所述控制报文弹回;将所述控制报文发送给所述第二终端。
可选的,将所述第二数据通道针孔发送给第二对端防火墙,并将所述控制报文发送给第二终端包括:缓存所述控制报文;将所述第二数据通道针孔发送给所述第二对端防火墙;接收所述第二对端防火墙对所述第二数据通道针孔安装完成的完成消息;响应所述完成消息,将缓存的所述控制报文发送给所述第二终端。
根据本发明实施例的另一方面,还提供了一种防火墙的数据处理装置,包括:第一接收模块,用于接收第一对端防火墙发送的第一数据通道针孔,其中,所述第一数据通道针孔用于建立会话控制模块,以通过所述会话控制模块发送数据面的数据流的数据报文;安装模块,用于安装所述第一数据通道针孔;第二接收模块,用于接收所述数据流的数据报文,其中,所述数据报文为所述第一对端防火墙接收第一终端发送的控制面的数据流的控制报文后,发送给第二终端,由所述第二终端根据所述控制报文生成的数据面的数据流的报文;第一发送模块,用于通过安装完成的所述第一数据通道针孔安装对应的目标会话控制模块,通过所述目标会话控制模块将所述数据报文发送给第一终端。
根据本发明实施例的另一方面,还提供了另一种防火墙的数据处理装置,包括:第三接收模块,用于接收第一终端发送的控制面的数据流的控制报文,并根据所述控制报文安装第二数据通道针孔,其中,所述第二数据通道针孔用于建立会话控制模块,以通过所述会话控制模块发送数据面的数据流的数据报文;第二发送模块,用于将所述第二数据通道针孔发送给第二对端防火墙,并将所述控制报文发送给第二终端;其中,所述第二终端接收所述控制报文后,根据所述控制报文生成所述数据报文,将所述数据报文发送给所述第二对端防火墙,所述第二对端防火墙,通过安装的第二数据通道针孔将所述数据报文发送给所述第一终端,所述第二数据通道针孔是所述第二对端防火墙根据接收的第二数据通道针孔安装的。
根据本发明实施例的另一方面,还提供了一种处理器,所述处理器用于运行程序,其中,所述程序运行时执行上述中任意一项所述的防火墙的数据处理方法。
根据本发明实施例的另一方面,还提供了一种计算机存储介质,所述计算机存储介质包括存储的程序,其中,在所述程序运行时控制所述计算机存储介质所在设备执行上述中任意一项所述的防火墙的数据处理方法。
在本发明实施例中,采用接收第一对端防火墙发送的第一数据通道针孔,其中,第一数据通道针孔用于建立会话控制模块,以通过会话控制模块发送数据面的数据流的数据报文;安装第一数据通道针孔;接收数据流的数据报文,其中,数据报文为第一对端防火墙接收第一终端发送的控制面的数据流的控制报文后,发送给第二终端,由第二终端根据控制报文生成的数据面的数据流的报文;通过安装完成的第一数据通道针孔安装对应的目标会话控制模块,通过目标会话控制模块将数据报文发送给第一终端的方式,通过保证先对第一数据通道针孔进行安装,然后接收数据流的数据报文,通过安装完成的第一数据通道针孔安装对应的目标会话控制模块,将数据报文发送给第一终端,达到了对端防火墙在接收到数据报文后,将数据报文快速有效的发送给第一终端的目的,从而实现了保证数据通道针孔对象早于数据面的数据流报文,避免数据面的数据流报文出错的技术效果,进而解决了相关技术中的防火墙,无法保证数据通道针孔对象早于数据面的数据流报文,导致数据面的数据流报文出错,无法发送的技术问题。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是现有技术中防火墙HA的数据传输的示意图;
图2是根据本发明实施例的一种防火墙的数据处理方法的流程图;
图3是根据本发明实施例的另一种防火墙的数据处理方法的流程图
图4是根据本发明实施例的一种防火墙的数据处理装置的示意图;
图5是根据本发明实施例的另一种防火墙的数据处理装置的示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、***、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
根据本发明实施例,提供了一种防火墙的数据处理方法的方法实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机***中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
图2是根据本发明实施例的一种防火墙的数据处理方法的流程图,如图2所示,该方法包括如下步骤:
步骤S202,接收第一对端防火墙发送的第一数据通道针孔,其中,第一数据通道针孔用于建立会话控制模块,以通过会话控制模块发送数据面的数据流的数据报文;
步骤S204,安装第一数据通道针孔;
步骤S206,接收数据流的数据报文,其中,数据报文为第一对端防火墙接收第一终端发送的控制面的数据流的控制报文后,发送给第二终端,由第二终端根据控制报文生成的数据面的数据流的报文;
步骤S208,通过安装完成的第一数据通道针孔安装对应的目标会话控制模块,通过目标会话控制模块将数据报文发送给第一终端。
通过上述步骤,采用接收第一对端防火墙发送的第一数据通道针孔,其中,第一数据通道针孔用于建立会话控制模块,以通过会话控制模块发送数据面的数据流的数据报文;安装第一数据通道针孔;接收数据流的数据报文,其中,数据报文为第一对端防火墙接收第一终端发送的控制面的数据流的控制报文后,发送给第二终端,由第二终端根据控制报文生成的数据面的数据流的报文;通过安装完成的第一数据通道针孔安装对应的目标会话控制模块,通过目标会话控制模块将数据报文发送给第一终端的方式,通过保证先对第一数据通道针孔进行安装,然后接收数据流的数据报文,通过安装完成的第一数据通道针孔安装对应的目标会话控制模块,将数据报文发送给第一终端,达到了对端防火墙在接收到数据报文后,将数据报文快速有效的发送给第一终端的目的,从而实现了保证数据通道针孔对象早于数据面的数据流报文,避免数据面的数据流报文出错的技术效果,进而解决了相关技术中的防火墙,无法保证数据通道针孔对象早于数据面的数据流报文,导致数据面的数据流报文出错,无法发送的技术问题。
上述步骤的执行主体可以为第二对端防火墙,第一对端防火墙和第二对端防火墙组成防火墙的HA模式,如图1所示,第一对端防火墙为防火墙A,第二对端防火墙为防火墙B,在防火墙A接收客户端的正向数据流,并转发给服务器,防火墙B将服务器的反向数据流转发给客户端的情况下,为非对称流量处理方式。在此种情况下,客户端发送的正向的控制面的数据流的控制报文从防火墙A通过,发送给服务器,服务器响应控制报文生成数据面的数据流的数据报文,反向的数据面的数据流的数据报文从防火墙B通过,由防火墙B转发给客户端,有可能数据面的数据报文对应的第一数据通道针孔还没有从对端防火墙A同步过来。此时,数据面的数据报文找不到正确的第一数据通道针孔创建用于发送数据面的数据报文的会话控制通道,导致数据面的数据报文无法匹配到有效的防火墙策略或被丢弃。上述第一数据通道针孔可以为pinhole。
本实施方式在具体实施时,先由第一终端发送数据流的控制报文,第一对端方防火墙接收控制报文后,将控制报文发送给第二终端,第二终端根据控制报文确定数据流的数据面的数据报文,将数据报文发送给第二对端防火墙,上述第一终端可以为客户端或者服务器,在第一终端为客户端的情况下,第二终端为服务器,在第一终端为服务器的情况下,第二终端为客户端。在数据报文到达第二对端防火墙之前需要在第二对端防火墙创建上述第一数据通道针孔,以创建用于发送上述数据报文的会话控制模块。因此在第一对端防火墙接收到控制报文后,需要及时将第二对端防火墙发送该数据流的数据报文所需的第一数据通道针孔同步到第二对端防火墙。
第二对端防火墙通过接收第一对端防火墙发送的第一数据通道针孔,其中,第一数据通道针孔用于发送数据面的数据流的数据报文。第二对端防火墙在接收数据流的数据报文之后,通过安装完成的第一数据通道针孔将数据报文发送给第一终端,从而保证先安装第一数据通道针孔,然后再通过第一数据通道针孔将数据面第一个报文发送给客户端。避免出现数据报文的处理早于第一数据通道针孔的安装,解决了相关技术中的防火墙,无法保证数据通道针孔的安装早于数据流的数据报文,导致数据流的数据报文无法匹配到合适正确的策略,导致无法发送的技术问题。
上述数据报文为数据流的控制报文发给第二终端后,由第二终端根据控制报文生成的数据报文,上述数据报文可以为上述数据报文首包,也即是数据报文的第一个数据包。上述控制报文为第一对端防火墙接收第一终端发送的数据流的控制报文后,发送给上述第二终端。上述第一对端防火墙转发第一终端到第二终端的方向可以为正向。上述第二对端防火墙转发第二终端到第一终端的方向可以为反向。
在具体实施时,第一对端防火墙先接收第一终端发送的数据流控制面的控制报文,然后创建该数据流的第一数据通道针孔,将控制报文发送第二终端,第二终端接收到控制报文后,根据控制报文进行处理生成数据流的数据面的数据报文,并发送给第二对端防火墙,第二对端防火墙,在接收数据面的数据报文后,要将数据报文发送给第一终端,就必须先安装第一数据通道针孔。
在一种实施方式中,第一对端防火墙通过对第一数据通道针孔和控制报文都发送给第二对端防火墙,第二对端防火墙在完成对第一数据通道针孔安装完成后,将控制报文重新发送给第一对端防火墙,第一对端防火墙将第二对端防火墙发送回来的控制报文发送给第二终端,此时,在第二对端防火墙安装第一数据通道针孔后,第一对端防火墙才将控制报文发送给第二终端,也即是保证了在控制报文对应的数据报文到达第二对端防火墙之前,第二对端防火墙就完成了对第一数据通道针孔的安装。具体的,在控制报文到达第二终端之后,第二终端根据控制报文进行处理生成数据报文后,发送给第二对端防火墙,而此时第二对端防火墙早已完成对第一数据通道针孔的安装,从而保证接收到数据报文后,就可以马上通过第一数据通道针孔发送给第一终端。
可选的,接收第一对端防火墙发送的第一数据通道针孔包括:接收第一对端防火墙发送的数据包,其中,数据包是对控制报文,以及第一数据通道针孔进行打包生成的;方法还包括:在第一数据通道针孔安装完成后,将控制报文发送给第一对端防火墙。
在一种实施方式中,第一对端防火墙通过对第一数据通道针孔和控制报文进行保序处理后,发送给第二对端防火墙,从而使得第二对端防火墙在完成对第一数据通道针孔安装完成后,将控制报文弹回至第一对端防火墙,第一对端防火墙将第二对端防火墙弹回的控制报文发送给第二终端,此时,在第二对端防火墙安装第一数据通道针孔后,第一对端防火墙才将控制报文发送给第二终端,从而保证了在数据报文到达第二对端防火墙之前,第二对端防火墙就完成了对第一数据通道针孔的安装。具体的,在控制报文到达第二终端之后,第二终端根据控制报文进行处理生成数据报文后,发送给第二对端防火墙,此时,第二对端防火墙早已完成对第一数据通道针孔的安装,从而保证接收到数据报文后,就可以快速通过第一数据通道针孔发送给第一终端。
可选的,接收第一对端防火墙发送的第一数据通道针孔包括:接收经过保序处理的控制报文和第一数据通道针孔;安装第一数据通道针孔包括:按照保序处理的要求,先安装第一数据通道针孔;方法还包括:在第一数据通道针孔安装完成后,将控制报文弹回第一对端防火墙。
在一种实施方式中,第一对端防火墙接收到第一终端发送的控制报文后,安装对应的第一数据通道针孔,并缓存控制报文。将第一数据通道针孔发送给第二对端防火墙,第二对端防火墙接收并安装第一数据通道针孔,在安装完成后,向第一对端防火墙发送一个完成消息,以提示第一对端防火墙,第二对端防火墙的第一数据通道针孔安装完成。第一对端防火墙在接收该完成消息后,将缓存的控制报文发送给第二终端。此时,在第二对端防火墙完成第一数据通道针孔的安装后,第一对端防火墙才将控制报文发送给第二终端,从而保证了在控制报文到达第二终端之前,第二对端防火墙就完成了对第一数据通道针孔的安装,在控制报文到达第二终端之后,第二终端进行处理生成数据报文后,将数据报文发送给第二对端防火墙,而此时,第二对端防火墙早已完成对第一数据通道针孔的安装,从而保证接收到数据报文后,就通过第一数据通道针孔发送给第一终端。
可选的,在安装第一数据通道针孔之后,还包括:在第一数据通道针孔安装完成后,向第一对端防火墙发送完成消息,其中,完成消息用于提示第一对端防火墙发送缓存的控制报文。
上述第一数据通道针孔与数据流的会话控制模块对应,会话控制模块与数据的数据通道对应,会话控制模块用于建立数据流的数据通道。因此,第一数据通道针孔是会话控制模块的基础,会话控制模块是数据通道的基础,有第一数据通道针孔才能保证会话控制模块和数据通道的创建,从而保证数据报文的传输。
可选的,第一数据通道针孔与数据面的数据流的会话控制模块对应,用于建立数据面的数据流的会话控制模块。上述会话控制模块与数据流对应,用于发送数据流的数据报文,也即是数据面的数据包,上述控制报文可以通过控制面的会话控制模块发送,也可以由控制面专用的会话控制模块,上述第一数据通道针孔可以包括多层防火墙所有相关的数据通道针孔,在第一对端防火墙或者第二对端防火墙在安装第一数据通道针孔时,若第一数据通道针孔包括多层防火墙的多个数据通道针孔,则一次性对所有的数据通道针孔进行安装。
上述第一数据通道针孔可以为pinhole,与数据流flow的会话控制模块session对应,上述会话控制模块session可以包括数据面会话控制模块data session和控制面会话控制模块control session,数据面会话控制模块data session用于发送数据面的数据报文,控制面会话控制模块control session用于控制面的数据报文。上述数据流包括多个数据包,数据包也可以称为报文,每个数据流包括多个数据包。需要说明的是,上述第一对端防火墙和第二对端防火墙组成的防火墙HA,可以包括多层防火墙,例如,2至7层。多层防火墙可能对应多个不同的数据通道针孔,在第一对端防火墙接收到控制报文后,将多层防火墙的多个数据通道针孔,统一进行安装,在发送的时候也统一进行发送,这样第二对端防火墙在安装时也会统一安装,保证不同防火墙层需要的数据通道针孔安装成功后,对数据面第一个报文进行发送,其中,数据面第一个报文可以包括多层防火墙的数据。
图3是根据本发明实施例的另一种防火墙的数据处理方法的流程图,如图3所示,该方法包括如下步骤:
步骤S302,接收第一终端发送的控制面的数据流的控制报文,并根据控制报文安装第二数据通道针孔,其中,第二数据通道针孔用于建立会话控制模块,以通过会话控制模块发送数据面的数据流的数据报文;
步骤S304,将第二数据通道针孔发送给第二对端防火墙,并将控制报文发送给第二终端;
其中,第二终端接收控制报文后,根据控制报文生成数据报文,将数据报文发送给第二对端防火墙,第二对端防火墙,通过安装的第二数据通道针孔将数据报文发送给第一终端,第二数据通道针孔是第二对端防火墙根据接收的第二数据通道针孔安装的。
通过上述步骤,采用接收第一终端发送的控制面的数据流的控制报文,并根据控制报文安装第二数据通道针孔,其中,第二数据通道针孔用于建立会话控制模块,以通过会话控制模块发送数据面的数据流的数据报文;将第二数据通道针孔发送给第二对端防火墙,并将控制报文发送给第二终端;其中,第二终端接收控制报文后,根据控制报文生成数据报文,将数据报文发送给第二对端防火墙,第二对端防火墙,通过安装的第二数据通道针孔将数据报文发送给第一终端,第二数据通道针孔是第二对端防火墙根据接收的第二数据通道针孔安装的方式,通过保证先对第二数据通道针孔进行安装,然后接收数据流的数据报文,通过安装完成的第二数据通道针孔安装对应的目标会话控制模块,将数据报文发送给第一终端,达到了对端防火墙在接收到数据报文后,将数据报文快速有效的发送给第一终端的目的,从而实现了保证数据通道针孔对象早于数据面的数据流报文,避免数据面的数据流报文出错的技术效果,进而解决了相关技术中的防火墙,无法保证数据通道针孔对象早于数据面的数据流报文,导致数据面的数据流报文出错,无法发送的技术问题。
上述步骤的执行主体可以为第一对端防火墙,上述第二数据通道针孔,可以与上述第一数据通道针孔相同,只是在不同的方法中进行区分,其实际的作用和结构类似或相同。
在另一种实施例中,可以由第一对端防火墙先将第二数据通道针孔发送给第二对端防火墙,然后第一对端防火墙在预定时间后,将控制报文发送给第二终端。上述预定时间为经验值,预定时间过短,控制报文对应的数据报文到达第二对端防火墙时,第二数据通道针孔安装完成的概率越小,反之,预定时间过长,控制报文对应的数据报文到达第二对端防火墙时,数据通道针孔安装完成的概率越大。但是延迟发送的预定时间越长,则控制报文的通讯传输时延越大,导致网络传输的性能受到影响,在具体实施时可以根据需求和实际情况进行选择。
可选的,将第二数据通道针孔发送给第二对端防火墙,并将控制报文发送给第二终端包括:将第二数据通道针孔发送给第二对端防火墙;延迟预定时间后,将控制报文发送给第二终端。
可选的,将第二数据通道针孔发送给第二对端防火墙,并将控制报文发送给第二终端包括:将控制报文和第二数据通道针孔进行打包,生成数据包;将数据包发送给第二对端防火墙;接收第二对端防火墙发送的控制报文,其中,第二对端防火墙完成安装第二数据通道针孔后,将控制报文发送回来;将控制报文发送给第二终端。
可选的,将第二数据通道针孔发送给第二对端防火墙,并将控制报文发送给第二终端包括:对控制报文和第二数据通道针孔进行保序处理,以保证第二对端防火墙先安装第二数据通道针孔;将保序处理后的控制报文和第二数据通道针孔发送给第二对端防火墙;接收第二对端防火墙弹回的控制报文,其中,第二对端防火墙完成安装第二数据通道针孔后,将控制报文弹回;将控制报文发送给第二终端。
可选的,将第二数据通道针孔发送给第二对端防火墙,并将控制报文发送给第二终端包括:缓存控制报文;将第二数据通道针孔发送给第二对端防火墙;接收第二对端防火墙对第二数据通道针孔安装完成的完成消息;响应完成消息,将缓存的控制报文发送给第二终端。
需要说明的是,本申请实施例还提供了一种可选的实施方式,下面对该实施方式进行详细说明。
本实施方式提供了一种保障防火墙HA非对称流量场景下pinhole正确匹配的方法,防火墙HA非对称流量,开启ALG的情况下,控制面建立pinhole的报文和第一个数据面报文是非对称流量的场景下,数据面流量无法命中pinhole并被防火墙正确处理的问题。
通过如下几种技术保证在HA对端防火墙,pinhole安装完成后,数据面首包才到达。
I.防火墙上延迟XXX毫秒发送控制面建立pinhole的报文。
II.防火墙上将pinhole同步消息和控制面建立pinhole的报文一起发送给HA对端防火墙。对端防火墙完成pinhole安装后,再把控制面建立pinhole的报文发送回本端防火墙。然后本端防火墙再将此报文发送出去。
III.防火墙上先将pinhole同步消息发送给HA对端防火墙,再将控制面建立pinhole的报文发送给HA对端防火墙。对端防火墙做消息保序处理,先处理pinhole同步消息,完成pinhole安装,再处理控制面建立pinhole的报文(处理方法:将此报文发送回本端防火墙)。然后本端防火墙再将此报文发送出去。
IV.防火墙上将控制面建立pinhole的报文缓存,然后发送pinhole同步消息到对端防火墙,对端防火墙完成pinhole安装后通知本端防火墙,然后本端防火墙再将缓存的控制面建立pinhole的报文发送出去。
一些应用程序采用多通道数据传送,如常见的FTP,SIP等,其控制通道和数据通道是分开的。对于这类流量,在防火墙HA非对称流量场景,开启ALG的情况下,可以用本发明技术方案中提到的几种技术中的任何一种来保证在HA对端防火墙中,pinhole安装完成后,数据面首包才到达。
在防火墙HA非对称流量场景,开启ALG的情况下,解决了数据面首包在HA对端防火墙命中pinhole失败的问题。
图4是根据本发明实施例的一种防火墙的数据处理装置的示意图,如图4所示,根据本发明实施例的另一方面,还提供了一种防火墙的数据处理装置,包括:第一接收模块42,安装模块44,第二接收模块46和第一发送模块48,下面对该装置进行详细说明。
第一接收模块42,用于接收第一对端防火墙发送的第一数据通道针孔,其中,第一数据通道针孔用于建立会话控制模块,以通过会话控制模块发送数据面的数据流的数据报文;安装模块44,与上述第一接收模块42相连,用于安装第一数据通道针孔;第二接收模块46,与上述安装模块44相连,用于接收数据流的数据报文,其中,数据报文为第一对端防火墙接收第一终端发送的控制面的数据流的控制报文后,发送给第二终端,由第二终端根据控制报文生成的数据面的数据流的报文;第一发送模块48,与上述第二接收模块46相连,用于通过安装完成的第一数据通道针孔安装对应的目标会话控制模块,通过目标会话控制模块将数据报文发送给第一终端。
通过上述装置,采用接收第一对端防火墙发送的第一数据通道针孔,其中,第一数据通道针孔用于建立会话控制模块,以通过会话控制模块发送数据面的数据流的数据报文;安装第一数据通道针孔;接收数据流的数据报文,其中,数据报文为第一对端防火墙接收第一终端发送的控制面的数据流的控制报文后,发送给第二终端,由第二终端根据控制报文生成的数据面的数据流的报文;通过安装完成的第一数据通道针孔安装对应的目标会话控制模块,通过目标会话控制模块将数据报文发送给第一终端的方式,通过保证先对第一数据通道针孔进行安装,然后接收数据流的数据报文,通过安装完成的第一数据通道针孔安装对应的目标会话控制模块,将数据报文发送给第一终端,达到了对端防火墙在接收到数据报文后,将数据报文快速有效的发送给第一终端的目的,从而实现了保证数据通道针孔对象早于数据面的数据流报文,避免数据面的数据流报文出错的技术效果,进而解决了相关技术中的防火墙,无法保证数据通道针孔对象早于数据面的数据流报文,导致数据面的数据流报文出错,无法发送的技术问题。
可选的,第一接收模块包括:第一接收单元,用于接收第一对端防火墙发送的数据包,其中,数据包是对控制报文,以及第一数据通道针孔进行打包生成的;该装置还包括:第三发送模块,用于在第一数据通道针孔安装完成后,将控制报文发送给第一对端防火墙。
可选的,第一接收模块包括:第二接收单元,用于接收经过保序处理的控制报文和第一数据通道针孔;安装模块包括:安装单元,用于按照保序处理的要求,先安装第一数据通道针孔;该装置还包括:弹回模块,用于在第一数据通道针孔安装完成后,将控制报文弹回第一对端防火墙。
可选的,该装置还包括:第一发送单元,用于在第一数据通道针孔安装完成后,向第一对端防火墙发送完成消息,其中,完成消息用户提示第一对端防火墙发送缓存的控制报文。
可选的,第一数据通道针孔与数据面的数据流的会话控制模块对应,用于建立数据面的数据流的会话控制模块。
图5是根据本发明实施例的另一种防火墙的数据处理装置的示意图,如图5所示,根据本发明实施例的另一方面,还提供了另一种防火墙的数据处理装置,包括:第三接收模块52和第二发送模块54,下面对该装置进行详细说明。
第三接收模块52,用于接收第一终端发送的控制面的数据流的控制报文,并根据控制报文安装第二数据通道针孔,其中,第二数据通道针孔用于建立会话控制模块,以通过会话控制模块发送数据面的数据流的数据报文;第二发送模块54,与上述第三接收模块52相连,用于将第二数据通道针孔发送给第二对端防火墙,并将控制报文发送给第二终端;其中,第二终端接收控制报文后,根据控制报文生成数据报文,将数据报文发送给第二对端防火墙,第二对端防火墙,通过安装的第二数据通道针孔将数据报文发送给第一终端,第二数据通道针孔是第二对端防火墙根据接收的第二数据通道针孔安装的。
通过上述装置,采用接收第一终端发送的控制面的数据流的控制报文,并根据控制报文安装第二数据通道针孔,其中,第二数据通道针孔用于建立会话控制模块,以通过会话控制模块发送数据面的数据流的数据报文;将第二数据通道针孔发送给第二对端防火墙,并将控制报文发送给第二终端;其中,第二终端接收控制报文后,根据控制报文生成数据报文,将数据报文发送给第二对端防火墙,第二对端防火墙,通过安装的第二数据通道针孔将数据报文发送给第一终端,第二数据通道针孔是第二对端防火墙根据接收的第二数据通道针孔安装的方式,通过保证先对第一数据通道针孔进行安装,然后接收数据流的数据报文,通过安装完成的第二数据通道针孔安装对应的目标会话控制模块,将数据报文发送给第一终端,达到了对端防火墙在接收到数据报文后,将数据报文快速有效的发送给第一终端的目的,从而实现了保证数据通道针孔对象早于数据面的数据流报文,避免数据面的数据流报文出错的技术效果,进而解决了相关技术中的防火墙,无法保证数据通道针孔对象早于数据面的数据流报文,导致数据面的数据流报文出错,无法发送的技术问题。
可选的,第二发送模块包括:第二发送单元,用于将第二数据通道针孔发送给第二对端防火墙;延迟单元,用于延迟预定时间后,将控制报文发送给第二终端。
可选的,第二发送模块包括:打包单元,用于将控制报文和第二数据通道针孔进行打包,生成数据包;第三发送单元,用于将数据包发送给第二对端防火墙;第三接收单元,用于接收第二对端防火墙发送的控制报文,其中,第二对端防火墙完成安装第二数据通道针孔后,将控制报文发送回来;第四发送单元,用于将控制报文发送给第二终端。
可选的,第二发送模块包括:保序单元,用于对控制报文和第二数据通道针孔进行保序处理,以保证第二对端防火墙先安装第二数据通道针孔;第五发送单元,用于将保序处理后的控制报文和第二数据通道针孔发送给第二对端防火墙;第四接收单元,用于接收第二对端防火墙弹回的控制报文,其中,第二对端防火墙完成安装第二数据通道针孔后,将控制报文弹回;第六发送单元,用于将控制报文发送给第二终端。
可选的,第二发送模块包括:缓存单元,用于缓存控制报文;第七发送单元,用于将第二数据通道针孔发送给第二对端防火墙;第五接收单元,用于接收第二对端防火墙对第二数据通道针孔安装完成的完成消息;第八发送单元,用于响应完成消息,将缓存的控制报文发送给第二终端。
根据本发明实施例的另一方面,还提供了一种处理器,处理器用于运行程序,其中,程序运行时执行上述中任意一项的防火墙的数据处理方法。
根据本发明实施例的另一方面,还提供了一种计算机存储介质,计算机存储介质包括存储的程序,其中,在程序运行时控制计算机存储介质所在设备执行上述中任意一项的防火墙的数据处理方法。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
在本发明的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,可以为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (11)
1.一种防火墙的数据处理方法,其特征在于,包括:
第二对端防火墙接收第一对端防火墙发送的第一数据通道针孔,其中,所述第一数据通道针孔用于建立会话控制模块,以通过所述会话控制模块发送数据面的数据流的数据报文;
所述第二对端防火墙安装所述第一数据通道针孔;
所述第二对端防火墙接收所述数据流的数据报文,其中,所述数据报文为所述第一对端防火墙接收第一终端发送的控制面的数据流的控制报文后,发送给第二终端,由所述第二终端根据所述控制报文生成的数据面的数据流的报文;
所述第二对端防火墙通过安装完成的所述第一数据通道针孔安装对应的目标会话控制模块,通过所述目标会话控制模块将所述数据报文发送给第一终端;
其中,所述第二对端防火墙接收所述第一对端防火墙发送的所述第一数据通道针孔,包括:所述第二对端防火墙接收经过保序处理的所述控制报文和所述第一数据通道针孔;
所述第二对端防火墙安装所述第一数据通道针孔,包括:所述第二对端防火墙按照所述保序处理的要求,先安装所述第一数据通道针孔;
在所述第一数据通道针孔安装完成后,所述第二对端防火墙将所述控制报文弹回所述第一对端防火墙,其中,所述第一对端防火墙将所述控制报文发送给所述第二终端。
2.根据权利要求1所述的方法,其特征在于,
接收第一对端防火墙发送的第一数据通道针孔包括:接收所述第一对端防火墙发送的数据包,其中,所述数据包是对所述控制报文,以及所述第一数据通道针孔进行打包生成的;
所述方法还包括:在所述第一数据通道针孔安装完成后,将所述控制报文发送给所述第一对端防火墙。
3.根据权利要求1所述的方法,其特征在于,在安装所述第一数据通道针孔之后,还包括:
在所述第一数据通道针孔安装完成后,向所述第一对端防火墙发送完成消息,其中,所述完成消息用于提示所述第一对端防火墙发送缓存的控制报文。
4.根据权利要求1至3中任一项所述的方法,其特征在于,所述第一数据通道针孔与数据面的数据流的会话控制模块对应,用于建立所述数据面的数据流的会话控制模块。
5.一种防火墙的数据处理方法,其特征在于,包括:
第一对端防火墙接收第一终端发送的控制面的数据流的控制报文,并根据所述控制报文安装第二数据通道针孔,其中,所述第二数据通道针孔用于建立会话控制模块,以通过所述会话控制模块发送数据面的数据流的数据报文;
所述第一对端防火墙将所述第二数据通道针孔发送给第二对端防火墙,并将所述控制报文发送给第二终端;
其中,所述第二终端接收所述控制报文后,根据所述控制报文生成所述数据报文,将所述数据报文发送给所述第二对端防火墙,所述第二对端防火墙,通过安装的第二数据通道针孔将所述数据报文发送给所述第一终端,所述第二数据通道针孔是所述第二对端防火墙根据接收的第二数据通道针孔安装的;
其中,所述第一对端防火墙将所述第二数据通道针孔发送给第二对端防火墙,并将所述控制报文发送给第二终端,包括:
所述第一对端防火墙对所述控制报文和所述第二数据通道针孔进行保序处理,以保证所述第二对端防火墙先安装所述第二数据通道针孔;
所述第一对端防火墙将保序处理后的所述控制报文和所述第二数据通道针孔发送给所述第二对端防火墙;
所述第一对端防火墙接收所述第二对端防火墙弹回的控制报文,其中,所述第二对端防火墙完成安装所述第二数据通道针孔后,将所述控制报文弹回;
所述第一对端防火墙将所述控制报文发送给所述第二终端。
6.根据权利要求5所述的方法,其特征在于,将所述第二数据通道针孔发送给第二对端防火墙,并将所述控制报文发送给第二终端包括:
将所述第二数据通道针孔发送给第二对端防火墙;
延迟预定时间后,将所述控制报文发送给所述第二终端。
7.根据权利要求5所述的方法,其特征在于,将所述第二数据通道针孔发送给第二对端防火墙,并将所述控制报文发送给第二终端包括:
将所述控制报文和所述第二数据通道针孔进行打包,生成数据包;
将所述数据包发送给所述第二对端防火墙;
接收所述第二对端防火墙发送的控制报文,其中,所述第二对端防火墙完成安装所述第二数据通道针孔后,将所述控制报文发送回来;
将所述控制报文发送给所述第二终端。
8.根据权利要求5所述的方法,其特征在于,将所述第二数据通道针孔发送给第二对端防火墙,并将所述控制报文发送给第二终端包括:
缓存所述控制报文;
将所述第二数据通道针孔发送给所述第二对端防火墙;
接收所述第二对端防火墙对所述第二数据通道针孔安装完成的完成消息;
响应所述完成消息,将缓存的所述控制报文发送给所述第二终端。
9.一种防火墙的数据处理装置,其特征在于,包括:
第一接收模块,用于接收第一对端防火墙发送的第一数据通道针孔,其中,所述第一数据通道针孔用于建立会话控制模块,以通过所述会话控制模块发送数据面的数据流的数据报文;
安装模块,用于安装所述第一数据通道针孔;
第二接收模块,用于接收所述数据流的数据报文,其中,所述数据报文为所述第一对端防火墙接收第一终端发送的控制面的数据流的控制报文后,发送给第二终端,由所述第二终端根据所述控制报文生成的数据面的数据流的报文;
第一发送模块,用于通过安装完成的所述第一数据通道针孔安装对应的目标会话控制模块,通过所述目标会话控制模块将所述数据报文发送给第一终端;
其中,所述第一接收模块包括:第二接收单元,用于接收经过保序处理的所述控制报文和所述第一数据通道针孔;
所述安装模块包括:安装单元,用于按照保序处理的要求,由第二对端防火墙先安装所述第一数据通道针孔;
该装置还包括:弹回模块,用于在所述第二对端防火墙将所述第一数据通道针孔安装完成后,由所述第二对端防火墙将所述控制报文弹回所述第一对端防火墙。
10.一种防火墙的数据处理装置,其特征在于,包括:
第三接收模块,用于接收第一终端发送的控制面的数据流的控制报文,并根据所述控制报文安装第二数据通道针孔,其中,所述第二数据通道针孔用于建立会话控制模块,以通过所述会话控制模块发送数据面的数据流的数据报文;
第二发送模块,用于将所述第二数据通道针孔发送给第二对端防火墙,并将所述控制报文发送给第二终端;
其中,所述第二终端接收所述控制报文后,根据所述控制报文生成所述数据报文,将所述数据报文发送给所述第二对端防火墙,所述第二对端防火墙,通过安装的第二数据通道针孔将所述数据报文发送给所述第一终端,所述第二数据通道针孔是所述第二对端防火墙根据接收的第二数据通道针孔安装的;
所述第二发送模块包括:保序单元,用于对所述控制报文和所述第二数据通道针孔进行保序处理,以保证所述第二对端防火墙先安装所述第二数据通道针孔;
第五发送单元,用于将保序处理后的控制报文和第二数据通道针孔发送给所述第二对端防火墙;
第四接收单元,用于接收所述第二对端防火墙弹回的控制报文,其中,所述第二对端防火墙完成安装所述第二数据通道针孔后,将所述控制报文弹回第一对端防火墙;
第六发送单元,用于将所述控制报文发送给所述第二终端。
11.一种计算机存储介质,所述计算机存储介质包括存储的程序,其中,在所述程序被处理器运行时控制所述计算机存储介质所在设备执行权利要求1至4中任意一项所述的防火墙的数据处理方法,或者权利要求5至8任意一项所述的防火墙的数据处理方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111057078.3A CN113783872B (zh) | 2021-09-09 | 2021-09-09 | 防火墙的数据处理方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111057078.3A CN113783872B (zh) | 2021-09-09 | 2021-09-09 | 防火墙的数据处理方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113783872A CN113783872A (zh) | 2021-12-10 |
CN113783872B true CN113783872B (zh) | 2023-08-18 |
Family
ID=78842036
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111057078.3A Active CN113783872B (zh) | 2021-09-09 | 2021-09-09 | 防火墙的数据处理方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113783872B (zh) |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1725702A (zh) * | 2004-07-20 | 2006-01-25 | 联想网御科技(北京)有限公司 | 一种网络安全设备及其组成的实现高可用性的***及方法 |
CN105493445A (zh) * | 2013-06-07 | 2016-04-13 | 国际商业机器公司 | 联网计算环境中的区域防火墙集群 |
CN105827623A (zh) * | 2016-04-26 | 2016-08-03 | 山石网科通信技术有限公司 | 数据中心*** |
CN111181985A (zh) * | 2019-12-31 | 2020-05-19 | 奇安信科技集团股份有限公司 | 数据传输方法、数据传输***、防火墙设备和存储介质 |
CN112445672A (zh) * | 2019-08-30 | 2021-03-05 | 北京神州泰岳软件股份有限公司 | 一种运维监控方法和装置 |
CN112804220A (zh) * | 2020-12-31 | 2021-05-14 | 北京天融信网络安全技术有限公司 | 一种防火墙测试方法、装置、电子设备及存储介质 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7340771B2 (en) * | 2003-06-13 | 2008-03-04 | Nokia Corporation | System and method for dynamically creating at least one pinhole in a firewall |
US20070067838A1 (en) * | 2005-09-19 | 2007-03-22 | Nokia Corporation | System, mobile node, network entity, method, and computer program product for network firewall configuration and control in a mobile communication system |
-
2021
- 2021-09-09 CN CN202111057078.3A patent/CN113783872B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1725702A (zh) * | 2004-07-20 | 2006-01-25 | 联想网御科技(北京)有限公司 | 一种网络安全设备及其组成的实现高可用性的***及方法 |
CN105493445A (zh) * | 2013-06-07 | 2016-04-13 | 国际商业机器公司 | 联网计算环境中的区域防火墙集群 |
CN105827623A (zh) * | 2016-04-26 | 2016-08-03 | 山石网科通信技术有限公司 | 数据中心*** |
CN112445672A (zh) * | 2019-08-30 | 2021-03-05 | 北京神州泰岳软件股份有限公司 | 一种运维监控方法和装置 |
CN111181985A (zh) * | 2019-12-31 | 2020-05-19 | 奇安信科技集团股份有限公司 | 数据传输方法、数据传输***、防火墙设备和存储介质 |
CN112804220A (zh) * | 2020-12-31 | 2021-05-14 | 北京天融信网络安全技术有限公司 | 一种防火墙测试方法、装置、电子设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN113783872A (zh) | 2021-12-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7234161B1 (en) | Method and apparatus for deflecting flooding attacks | |
Rosenberg | Interactive connectivity establishment (ICE): A protocol for network address translator (NAT) traversal for offer/answer protocols | |
Schulzrinne et al. | GIST: general internet signalling transport | |
EP3361693B1 (en) | Tcp connection processing method, device and system | |
US8499146B2 (en) | Method and device for preventing network attacks | |
US20070283429A1 (en) | Sequence number based TCP session proxy | |
US20120227088A1 (en) | Method for authenticating communication traffic, communication system and protective apparatus | |
EP2543170B1 (en) | Method for secure connection initiation with hosts behind firewalls | |
EP3090515B1 (en) | Communication network with load balancing functionality | |
US20010042200A1 (en) | Methods and systems for defeating TCP SYN flooding attacks | |
US20040153669A1 (en) | Method for preventing transmission control protocol synchronous package flood attack | |
WO2010000171A1 (zh) | 一种通信的建立方法、***和装置 | |
CN110213224B (zh) | 数据包异步转发方法和***、数据处理***及共识节点终端 | |
Grigoryan et al. | Lamp: Prompt layer 7 attack mitigation with programmable data planes | |
CN113783872B (zh) | 防火墙的数据处理方法及装置 | |
Zhang et al. | Blocking attacks on SIP VoIP proxies caused by external processing | |
EP1154610A2 (en) | Methods and system for defeating TCP Syn flooding attacks | |
CN108965309B (zh) | 一种数据传输处理方法、装置、***及设备 | |
Aura et al. | Effects of mobility and multihoming on transport-protocol security | |
KR101361061B1 (ko) | 서버/클라이언트 네트워크에서의 효율적인 정보 전송 방법및 이를 이용한 서버 장치와 클라이언트 장치 | |
Ver Steeg et al. | Unicast-based rapid acquisition of multicast RTP sessions | |
US20200259794A1 (en) | Communications methods, systems and apparatus for protecting against denial of service attacks and efficient allocation of bandwidth | |
CN107948175A (zh) | 一种识别DDoS反射放大攻击的方法 | |
CN113965347B (zh) | 防火墙的数据处理方法及装置 | |
FI126032B (en) | Detection of threats in communication networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |