一种报文处理方法和报文处理设备的制造方法
【技术领域】
[0001] 本发明涉及计算机技术领域,尤其涉及一种报文处理方法和报文处理设备。
【背景技术】
[0002] 防火墙是指设置在不同网络巧日可信任的企业内部网和不可信的公共网)或网络 安全域之间的一系列网元的组合。它是不同网络或网络安全域之间信息的唯一出入口,能 根据企业的安全策略控制出入网络的信息流,例如对出入网络的信息流进行控制,且本身 具有较强的抗攻击能力。故防火墙通常用来提供信息安全服务,实现网络和信息安全的基 础设施,保证了内部网络的安全。
[0003] 防火墙的一项重要功能就是根据用户的设置对经过防火墙的数据进行处理,对报 文的优先级进行控制管理。报文优先级是在互联网协议(InternetProtocol,IP)报文头 中的一段数据内容,该段数据的值即为IP报文的优先级的值。
[0004] 现有的对报文优先级的控制管理是基于报文而设置的控制策略来实现的,报文控 制策略包含一系列的匹配条件和匹配后的策略动作(即对报文的处理方式)。网关设备预 先设置控制策略的匹配条件和匹配后的处理方式,当报文的特征匹配了控制策略中设置的 匹配条件时,根据设置好的策略动作对报文进行处理,例如,当报文的特征和匹配条件匹配 时,修改报文的优先级。
[0005] 现有的控制策略设定的匹配条件主要是提前设定的静态固定参数,该都需要管理 员必须提前知道应该将哪些静态固定参数设定为匹配条件,W需要操作的静态固定参数为 IP地址为例,管理员必须提前设定哪些IP地址为匹配条件,否则无法进行匹配后的策略动 作,例如管理员如果设定的匹配条件为IP地址处于1. 1. 1. 1-1. 1. 1. 254,其对应的处理方 式是降低报文优先级,则用户发收的报文经过网关设备时,可W分析报文的IP地址特征, 解析出IP地址等内容,并对解析出的IP地址与提前设定的匹配条件中的IP地址进行匹 配。
[0006] 但是当报文的IP地址是离散分布时,若需要将离散的多个IP地址设定为匹配条 件时,就需要管理员逐个的将多个IP地址分别添加到匹配条件中,需要添加的IP地址数量 很多时,配置起来就很复杂,工作量大,不利于操作。另外,当报文的特征不是静态的固定参 数,而是可能变化的参数时,比如需要基于IP地址进行管理的应用场景下,并且IP地址又 是可能发生变化的,由于无法提前收集到匹配条件所需要的所有IP地址,也就无法准确的 将需要的所有IP地址设定为匹配条件,则必然存在没有被设定为匹配条件但是真实场景 中又需要进行控制报文优先级的IP地址,从而会导致报文控制失败。故现有的报文控制策 略的只能适用于提前设定静态固定参数为匹配条件的应用场景,而对于无法提前获知报文 特征的情况就无法进行报文控制,通用性不强。
【发明内容】
[0007] 本发明实施例提供了一种报文处理方法和报文处理设备,用于实现匹配条件对IP 地址的自主学习,适用于w报文特征为静态参数和动态参数的多种场景。
[0008] 为解决上述技术问题,本发明实施例提供W下技术方案:
[0009] 第一方面,本发明实施例提供一种报文处理方法,包括:
[0010] 获取互联网协议IP报文,判断获取到的IP报文是否为域名系统DNS响应报文,所 述DNS响应报文由DNS服务器根据用户终端发送的DNS请求报文向所述用户终端发送;
[0011] 若所述IP报文是DNS响应报文,从所述IP报文中解析出所述用户终端请求的域 名;
[0012] 判断所述用户终端请求的域名是否存在于控制策略的匹配条件中,所述匹配条件 包括需要按照所述控制策略的策略动作进行报文控制的域名,所述控制策略包括所述匹配 条件和所述匹配条件相对应的策略动作;
[0013] 若所述用户终端请求的域名存在于所述匹配条件中,将所述IP报文中与所述用 户终端请求的域名对应的IP地址添加到所述匹配条件中,则所述匹配条件还包括添加的 IP地址,W实现根据所述匹配条件中添加的IP地址和所述匹配条件相对应的策略动作对 后续获取到的IP报文进行报文处理。
[0014] 结合第一方面,在第一方面的第一种可能的实现方式中,所述方法还包括:
[001引若所述IP报文不是所述DNS响应报文,从所述IP报文中获取所述IP报文中携带 的IP地址;
[0016] 判断所述IP报文中携带的IP地址是否存在于所述匹配条件中;
[0017] 若所述IP报文中携带的IP地址存在于所述匹配条件中,按照所述匹配条件对应 的策略动作对所述IP报文进行报文处理。
[0018] 结合第一方面的第一种可能的实现方式,在第一方面的第二种可能的实现方式 中,所述匹配条件相对应的策略动作,具体包括;所述匹配条件中的各个域名分别对应有策 略动作;
[0019] 所述按照所述匹配条件对应的策略动作对所述IP报文进行报文处理,包括:
[0020] 从所述匹配条件中获取所述IP报文中携带的IP地址对应的域名;
[0021] 从所述控制策略中获取与获取到的所述域名对应的策略动作;
[0022] 按照获取到的所述策略动作对所述IP报文进行报文处理。
[0023] 结合第一方面的第一种可能的实现方式,在第一方面的第H种可能的实现方式 中,所述匹配条件相对应的策略动作,具体包括;所述匹配条件中添加的IP地址分别对应 有策略动作;
[0024] 所述按照所述匹配条件对应的策略动作对所述IP报文进行报文处理,包括:
[0025] 从所述控制策略中获取与所述IP报文中携带的IP地址对应的策略动作;
[0026] 按照获取到的所述策略动作对所述IP报文进行报文处理。
[0027] 结合第一方面、或第一方面的第一种或第二种或第H种可能的实现方式,在第一 方面的第四种可能的实现方式中,所述将所述IP报文中与所述用户终端请求的域名对应 的IP地址添加到所述匹配条件中之前,还包括:
[0028] 判断所述IP报文中与所述用户终端请求的域名对应的IP地址是否已经存在于所 述匹配条件中;
[0029] 若所述IP报文中与所述用户终端请求的域名对应的IP地址没有存在于所述匹配 条件中,触发执行如下步骤;将所述IP报文中与所述用户终端请求的域名对应的IP地址添 加到所述匹配条件中。
[0030] 结合第一方面的第四种可能的实现方式,在第一方面的第五种可能的实现方式 中,所述判断所述IP报文中与所述用户终端请求的域名对应的IP地址是否已经存在于所 述匹配条件中之后,还包括:
[0031] 若所述IP报文中与所述用户终端请求的域名对应的IP地址已经存在于所述匹配 条件中,当所述IP报文中还携带ITL时,根据预置的ITL更新规则确定是否对所述匹配条 件中添加的IP地址的TTL进行更新。
[0032] 结合第一方面,在第一方面的第六种可能的实现方式中,所述将所述IP报文中与 所述用户终端请求的域名对应的IP地址添加到所述匹配条件中之后,还包括:
[0033] 当所述IP报文中还携带生存时间1TL时,保存所述匹配条件中添加的IP地址对 应的1TL。
[0034] 结合第一方面的第五种或第六种可能的实现方式,在第一方面的第走种可能的实 现方式中,所述保存所述匹配条件中添加的IP地址对应的ITL之后,或根据预置的ITL更 新规则确定是否对所述匹配条件中添加的IP地址的ITL进行更新之后,还包括:
[00巧]判断所述匹配条件中添加的IP地址从被添加到所述匹配条件中直到当前时间组 成的时间段是否超过所述匹配条件中添加的IP地址对应的TTL ;
[0036] 若是,将超过对应TTL的IP地址从所述匹配条件中删除。
[0037] 结合第一方面、或第一方面的第一种或第二种或第H种可能的实现方式,在第一 方面的第八种可能的实现方式中,所述匹配条件中的域名W域名哈希表的方式存储;
[0038] 所述匹配条件中添加的IP地址W IP哈希表的方式存储;
[0039] 判断所述用户终端请求的域名是否存在于控制策略的匹配条件中,包括:
[0040] 对从所述IP报文中解析出的域名进行哈希运算,判断运算结果与存储的域名的 哈希值是否相同,若相同,则所述用户终端请求的域名存在于所述匹配条件中,若不相同, 则所述用户终端请求的域名没有存在于所述匹配条件中。
[0041] 第二方面,本发明实施例还提供一种报文处理设备,包括:
[004引 DNS判断模块,用于获取互联网协议IP报文,判断获取到的IP报文是否为域名系 统DNS响应报文,所述DNS响应报文由DNS服务器根据用户终端发送的DNS请求报文向所 述用户终端发送;