一种网络安全处理方法和装置与流程

本申请涉及通信
技术领域：
，特别是涉及一种网络安全处理方法和装置。
背景技术：
：随着通信技术的发展，数据的交互方式也越来越多，通信的网络环境的安全性也变得越来越重要。例如，一种常见的网络安全管理方法可以基于NAT技术实现(NetworkAddressTranslation，网络地址转换)。NAT技术可以在解决lP(InternetProtocol，网络之间互连的协议)地址不足的同时有效地避免来自外部网络的攻击，有效隐藏并保护网络内部的计算机。其中，NAT技术的具体应用于场景可以是：当在专用网内部的一些主机本来已经分配到了本地IP地址(即仅在本专用网内使用的私有地址)，但又需要和网络上的其它外网主机通信。NAT在具体实现时的流程可以如下：通过在内网侧的接口使能NAT，防火墙可以使用一个合法的公网地址替换原报文中的源地址，并且对这种转换进行记录；之后，当报文从外网侧返回时，防火墙查找原有的转换记录，将报文的目的地址替换回原来的私网地址，并且发给内网侧主机。在这个过程中设备记录的NAT表项中的私网地址和公网地址及端口可以是一一对应的关系。其中，私网地址可以是指内部网络或主机的IP地址，公网地址可以是指在互联网上的全球唯一的IP地址。然而，现有的NAT方案在具体应用时也存在诸多问题：现有的NAT方案在外网发起方匹配NAT成功建立地址转换表项的情况下，可以不关心外网发起方的源地址(公网地址)，而直接使用已建立的地址转换表项进行地址转换，外网发起方可以通过当前存在的NAT表项随意访问对应的内网主机设备，进而导致攻击者很容易通过NAT表项对内网主机进行网络攻击。技术实现要素：本申请提供了一种网络安全处理方法和装置，以解决现有的NAT方案存在的攻击者很容易通过NAT表项对内网主机进行网络攻击的问题。为了解决上述问题，本申请公开了一种网络安全处理方法，包括：当接收到由外网发送方发送的外网数据请求报文时，判断第一验证信息中是否存在所述外网发送方的公网地址；若存在，且所述第一验证信息中与所述外网发送方的公网地址对应的状态为第一状态，则转发所述外网数据请求报文；若不存在，则根据所述外网发送方与内网接收方之间的会话状态更新所述第一验证信息；其中，当所述会话状态为全连接状态时，将所述外网发送方的公网地址更新至所述第一验证信息，并在所述第一验证信息中将所述外网发送方的公网地址对应的状态配置为第一状态；当所述会话状态为非全连接状态时，将所述外网发送方的公网地址更新至所述第一验证信息，并在所述第一验证信息中将所述外网发送方的公网地址对应的状态配置为第二状态；当所述更新后的第一验证信息中与所述外网发送方的公网地址对应的状态为所述第一状态时，转发所述外网数据请求报文。本申请还公开了一种网络安全处理装置，包括：第一判断模块，用于当接收到由外网发送方发送的外网数据请求报文时，判断第一验证信息中是否存在所述外网发送方的公网地址；第一转发模块，用于若第一验证信息中存在所述外网发送方的公网地址，且所述第一验证信息中与所述外网发送方的公网地址对应的状态为第一状态，则转发所述外网数据请求报文；更新模块，用于若第一验证信息中不存在所述外网发送方的公网地址，则根据所述外网发送方与内网接收方之间的会话状态更新所述第一验证信息；其中，当所述会话状态为全连接状态时，将所述外网发送方的公网地址更新至所述第一验证信息，并在所述第一验证信息中将所述外网发送方的公网地址对应的状态配置为第一状态；当所述会话状态为非全连接状态时，将所述外网发送方的公网地址更新至所述第一验证信息，并在所述第一验证信息中将所述外网发送方的公网地址对应的状态配置为第二状态；第二转发模块，用于当所述更新后的第一验证信息中与所述外网发送方的公网地址对应的状态为所述第一状态时，转发所述外网数据请求报文。与现有技术相比，本申请具有以下优点：本申请公开的一种网络安全处理方案，当接收到由外网发送方发送的外网数据请求报文时可以先对所述外网发送方的公网地址进行判断，当第一验证信息中存在所述外网发送方的公网地址、且所述第一验证信息中与所述外网发送方的公网地址对应的状态为第一状态时，可以转发所述外网数据请求报文；当第一验证信息中不存在所述外网发送方的公网地址时，则可以根据所述外网发送方与内网接收方之间的会话状态更新所述第一验证信息，并在所述第一验证信息更新完之后，当所述更新后的第一验证信息中与所述外网发送方的公网地址对应的状态为所述第一状态时，转发所述外网数据请求报文。可见，在本申请中，可以对外网发送方的公网地址进行判断，当外网发送方的公网地址对应的判断结果满足一定要求时(如，第一验证信息中存在所述外网发送方的公网地址、且所述第一验证信息中与所述外网发送方的公网地址对应的状态为第一状态；或，更新后的第一验证信息中与所述外网发送方的公网地址对应的状态为所述第一状态)进行外网数据请求报文的转发，换而言之，当外网发送方的公网地址对应的判断结果不满足上述要求时，则可以不进行外网数据请求报文的转发。可见，在本申请中，基于第一验证信息对外网发送方进行了验证和筛选，对验证通过的外网发送方发送的外网数据请求报文进行转发，有效限制了未通过验证的外网发送方向内网接收方发送外网数据请求报文，进而避免了任意外网发送方对内网接收方的访问，有效防止了内网用户遭受到外网发送方的网络攻击。附图说明图1是本申请实施例中一种网络安全处理方法的步骤流程图；图2是本申请实施例中又一种网络安全处理方法的步骤流程图；图3是本申请实施例中一种地址表的建立流程示意图；图4是本申请实施例中一种网络安全处理装置的结构框图；图5是本申请实施例中一种优选的网络安全处理装置的结构框图。具体实施方式为使本申请的上述目的、特征和优点能够更加明显易懂，下面结合附图和具体实施方式对本申请作进一步详细的说明。参照图1，示出了本申请实施例中一种网络安全处理方法的步骤流程图。在本实施例中，所述网络安全处理方法可以但不仅限于应用于外网设备(外网发送方)和内外设备(内网接收方)之间的数据交互。其中，所述网络安全处理方法包括：步骤102，当接收到由外网发送方发送的外网数据请求报文时，判断第一验证信息中是否存在所述外网发送方的公网地址。一般地，外网设备与内网设备在进行数据交互时包括两个方向的数据报文的传输：由内网设备向外网设备发送内网数据请求报文，和，由外网设备向内网设备发送外网数据请求报文。在本实施例中，所述外网数据报文中可以携带有所述外网设备(也即，外网发送方)对应的公网地址。当接收到由外网发送方发送的外网数据请求报文时，可以判断第一验证信息中是否存在所述外网发送方的公网地址。其中，当所述第一验证信息中存在所述外网发送方的公网地址、且所述第一验证信息中与所述外网发送方的公网地址对应的状态为第一状态时，可以执行下述步骤104；当所述第一验证信息中不存在所述外网发送方的公网地址时，可以执行下述步骤106。步骤104，转发所述外网数据请求报文。一般地，若外网发送方是一个真实访问合法的主机设备，外网发送方和内网接收方之间会有正常的交互报文，外网发送方和内网接收方之间对应的会话状态是全连接状态。在本实施例中，所述第一状态可以用于指示外网发送方和内网接收方之间对应的会话状态是全连接状态，故，当所述第一验证信息中存在所述外网发送方的公网地址、且所述第一验证信息中与所述外网发送方的公网地址对应的状态为第一状态时，可以转发所述外网数据请求报文。其中，在转发所述外网数据请求报文时，可以但不仅限于基于NAT会话表项来实现。例如，可以根据NAT会话表项，确定所述外网发送方的公网地址所对应的私网地址；然后，将所述外网数据请求报文的目的地址替换为所述确定的私网地址；最后，根据所述确定的私网地址，将所述外网数据请求报文转发至所述内网接收方。步骤106，根据所述外网发送方与内网接收方之间的会话状态更新所述第一验证信息。在本实施例中，第一验证信息可以是预先建立的，所述第一验证信息中的验证项可以根据实际情况动态更新；其中，所述第一验证信息中可以但不仅限于包括：各个外网发送方各自对应的公网地址及相应的状态信息。例如，当所述第一验证信息中不存在所述外网发送方的公网地址时，可以及时对所述第一验证信息进行更新，将所述外网发送方对应的公网地址和状态更新至所述第一验证信息中。具体地，可以但不仅限于根据所述外网发送方与内网接收方之间的会话状态更新所述第一验证信息：当所述会话状态为全连接状态时，将所述外网发送方的公网地址更新至所述第一验证信息，并在所述第一验证信息中将所述外网发送方的公网地址对应的状态配置为第一状态；当所述会话状态为非全连接状态时，将所述外网发送方的公网地址更新至所述第一验证信息，并在所述第一验证信息中将所述外网发送方的公网地址对应的状态配置为第二状态。步骤108，当所述更新后的第一验证信息中与所述外网发送方的公网地址对应的状态为所述第一状态时，转发所述外网数据请求报文。在本实施例中，当所述第一验证信息更新完成后，则可以根据更新后的第一验证信息中的验证项来确定是否对外网数据请求报文进行转发：当所述更新后的第一验证信息中与所述外网发送方的公网地址对应的状态为所述第一状态时，转发所述外网数据请求报文。综上所述，本实施例所述的一种网络安全处理方法，当接收到由外网发送方发送的外网数据请求报文时可以先对所述外网发送方的公网地址进行判断，当第一验证信息中存在所述外网发送方的公网地址、且所述第一验证信息中与所述外网发送方的公网地址对应的状态为第一状态时，可以转发所述外网数据请求报文；当第一验证信息中不存在所述外网发送方的公网地址时，则可以根据所述外网发送方与内网接收方之间的会话状态更新所述第一验证信息，并在所述第一验证信息更新完之后，当所述更新后的第一验证信息中与所述外网发送方的公网地址对应的状态为所述第一状态时，转发所述外网数据请求报文。可见，在本实施例中，可以对外网发送方的公网地址进行判断，当外网发送方的公网地址对应的判断结果满足一定要求时(如，第一验证信息中存在所述外网发送方的公网地址、且所述第一验证信息中与所述外网发送方的公网地址对应的状态为第一状态；或，更新后的第一验证信息中与所述外网发送方的公网地址对应的状态为所述第一状态)进行外网数据请求报文的转发，换而言之，当外网发送方的公网地址对应的判断结果不满足上述要求时，则可以不进行外网数据请求报文的转发。由上所述，在本实施例中，基于第一验证信息对外网发送方进行了验证和筛选，对验证通过的外网发送方发送的外网数据请求报文进行转发，有效限制了未通过验证的外网发送方向内网接收方发送外网数据请求报文，进而避免了任意外网发送方对内网接收方的访问，有效防止了内网用户遭受到外网发送方的网络攻击。参照图2，示出了本申请实施例中又一种网络安全处理方法的步骤流程图。在本实施例中，需要说明的是，一般地，若外网发送方是一个真实访问的主机设备，外网发送方和内网接收方之间会有正常的交互报文，在NAT会话表项中记录的外网发送方和内网接收方之间的会话状态是一个全连接的状态。若外网发送方是一个攻击端，则外网发送方只会向内网接收方发送攻击报文，在NAT会话表项中记录的外网发送方和内网接收方之间的会话状态是一个非全连接的状态。其中，第一验证信息中可以保存有多个外网发送方对应的公网地址及相应的状态。其中，所述状态可以包括：第一状态和第二状态。所述第一状态可以用于指示所述外网发送方与内网接收方之间的会话状态为全连接状态，所述第二状态可以用于指示所述外网发送方与内网接收方之间的会话状态为非全连接状态。第二验证信息中则可以保存有对应状态为第二状态的各个外网发送方的公网地址。其中，所述网络安全处理方法包括：步骤202，接收由外网发送方发送的外网数据请求报文。在本实施例中，所述外网数据请求报文中可以携带有所述外网发送方对应的公网地址。步骤204，当接收到由外网发送方发送的外网数据请求报文时，判断第二验证信息中是否存在所述外网发送方的公网地址。如前所述，所述第二验证信息中对应存储的公网地址均是第二状态对应的公网地址，数据存储量较少，为了提高本实施例所述的网络安全处理方法的处理效率，可以先判断第二验证信息中是否存在与所述外网发送方的公网地址。其中，若所述第二验证信息中存在与所述外网发送方的公网地址，则根据前述的：第二验证信息中保存的是对应状态为第二状态的各个外网发送方的公网地址，而第二状态对应指示外网发送方和内网接收方之间的会话状态为非全连接状态，可以确定外网发送方是一个攻击端，此时可以执行下述步骤206。若所述第二验证信息中不存在与所述外网发送方的公网地址，则可以执行下述步骤208。步骤206，丢弃所述外网数据请求报文。步骤208，判断第一验证信息中是否存在所述外网发送方的公网地址。在本实施例中，若所述第一验证信息中存在所述外网发送方的公网地址，则可以执行下述步骤210；若所述第一验证信息中不存在所述外网发送方的公网地址，则可以执行下述步骤214。步骤210，确定所述第一验证信息中与所述外网发送方的公网地址对应的状态。在本实施例中，当所述第一验证信息中与所述外网发送方的公网地址对应的状态为第一状态时，可以执行下述步骤212；当所述第一验证信息中与所述外网发送方的公网地址对应的状态为所述第二状态时，可以执行上述步骤206。步骤212，转发所述外网数据请求报文。步骤214，判断所述第一验证信息的数据存储量是否达到预设阈值。在本实施例中，为了确保设备的业务承载能力，可以根据实际情况预先设置所述第一验证信息对应的数据存储量的阈值。其中，若所述第一验证信息的数据存储量达到预设阈值，则可以执行下述步骤216；若所述第一验证信息的数据存储量未达到预设阈值，则可以执行下述步骤220；。步骤216，判断所述第一验证信息中是否存在对应的状态为第二状态的公网地址。在本实施例中，若所述第一验证信息中不存在对应的状态为第二状态的公网地址，则说明此时第一验证信息已经不能接收对更多的外网发送方的公网地址及对应状态的保存，无法实现对外网发送方的判断，此时为了避免将恶意外网发送方发送的外网数据请求报文发送至内网接收方，可以直接丢弃所述外网数据请求报文，也即，可以执行上述步骤206。若所述第一验证信息中存在对应的状态为第二状态的公网地址，则可以执行下述步骤218。步骤218，将所述对应的状态为第二状态的公网地址及对应的状态从所述第一验证信息中移除，并将所述对应的状态为第二状态的公网地址添加至第二验证信息。在本实施例中，在将所述对应的状态为第二状态的公网地址添加至第二验证信息之后，所述第一验证信息的数据存储量将减少，小于所述预设阈值，此时，所述第一验证信息可以接收对更多的外网发送方的公网地址及对应状态的保存，可以执行下述步骤220。步骤220，根据所述外网发送方与内网接收方之间的会话状态更新所述第一验证信息。如前所述，NAT会话表项中可以记录有外网发送方和内网接收方之间的会话状态。在本实施例中，可以但不仅限于从所述NAT会话表项中获取所述外网发送方和内网接收方之间的会话状态。当所述会话状态为全连接状态时，将所述外网发送方的公网地址更新至所述第一验证信息，并在所述第一验证信息中将所述外网发送方的公网地址对应的状态配置为第一状态；当所述会话状态为非全连接状态时，将所述外网发送方的公网地址更新至所述第一验证信息，并在所述第一验证信息中将所述外网发送方的公网地址对应的状态配置为第二状态。步骤222，确定所述更新后的第一验证信息中与所述外网发送方的公网地址对应的状态。在本实施例中，当确定所述更新后的第一验证信息中与所述外网发送方的公网地址对应的状态为所述第一状态时，可以执行上述步骤212。当确定所述更新后的第一验证信息中与所述外网发送方的公网地址对应的状态为所述第二状态时，可以执行上述步骤206。其中，需要说明的是，在本实施例的一优选方案中，在本实施例的另一优选方案中，为了避免无效的公网地址及所述无效公网地址对应的状态对第一验证信息的长期占用，以及，避免无效的公网地址对第二验证信息的长期占用，可以预先配置所述第一验证信息和所述第二验证信息各自对应的老化时间。基于配置的老化时间实现对第一验证信息和第二验证信息的清理更新。具体地，所述方法还可以包括：步骤224，预先配置所述第一验证信息和所述第二验证信息各自对应的老化时间。在本实施例中，所述第一验证信息和所述第二验证信息各自对应的老化时间可以根据实际情况确定。其中，所述步骤224可以在上述步骤202-222的任意步骤之前或之后执行，本实施例对此不作限制。进一步优选的，所述方法还可以包括：步骤226，从所述第一验证信息中删除存在时间达到所述第一验证信息对应的老化时间的公网地址及公网地址对应的状态；从所述第二验证信息中删除存在时间达到所述第二验证信息对应的老化时间的公网地址。在本实施例中，所述步骤226可以在上述步骤224之后的任意步骤之前或之后执行，本实施例对此不作限制。综上所述，本实施例所述的一种网络安全处理方法，当接收到由外网发送方发送的外网数据请求报文时可以先对所述外网发送方的公网地址进行判断，当第一验证信息中存在所述外网发送方的公网地址、且所述第一验证信息中与所述外网发送方的公网地址对应的状态为第一状态时，可以转发所述外网数据请求报文；当第一验证信息中不存在所述外网发送方的公网地址时，则可以根据所述外网发送方与内网接收方之间的会话状态更新所述第一验证信息，并在所述第一验证信息更新完之后，当所述更新后的第一验证信息中与所述外网发送方的公网地址对应的状态为所述第一状态时，转发所述外网数据请求报文。可见，在本实施例中，可以对外网发送方的公网地址进行判断，当外网发送方的公网地址对应的判断结果满足一定要求时(如，第一验证信息中存在所述外网发送方的公网地址、且所述第一验证信息中与所述外网发送方的公网地址对应的状态为第一状态；或，更新后的第一验证信息中与所述外网发送方的公网地址对应的状态为所述第一状态)进行外网数据请求报文的转发，换而言之，当外网发送方的公网地址对应的判断结果不满足上述要求时，则可以不进行外网数据请求报文的转发。由上所述，在本实施例中，基于第一验证信息对外网发送方进行了验证和筛选，对验证通过的外网发送方发送的外网数据请求报文进行转发，有效限制了未通过验证的外网发送方向内网接收方发送外网数据请求报文，进而避免了任意外网发送方对内网接收方的访问，有效防止了内网用户遭受到外网发送方的网络攻击。其次，在本实施例中，通过配置第一验证信息和第二验证信息的老化时间，以及配置第一验证信息的大小，避免了某一外网发送方对应的公网地址对第一验证信息或第二验证信息的长期占用，保证了对其它外网发送方的验证，可以及时移除第一验证信息以及第二验证信息中的老化(已过期)验证项，确保了外网的合法主机设备通过NATreversible表项对内网主机设备的正常访问，避免了对外网主机设备和内网主机设备之间正常数据交互的影响。结合上述实施例，本实施例通过一个具体实例对所述网络安全处理方法进行说明。在本实施例中，可以通过建立和维护第一验证信息和第二验证信息来实现对内网设备的安全防护，避免内网设备遭受攻击(如，DDos攻击，Distributeddenialofserviceattack，分布式拒绝服务攻击攻击)。其中，在外网设备向内网设备发送外网数据请求报文时，所述外网设备可以作为外网发送方来发送所述外网数据请求报文，所述内网设备可以作为内网接收方来接收所述外网数据请求报文。进一步地，为了便于对第一验证信息和第二验证信息的管理和维护，所述第一验证信息和第二验证信息可以但不仅限于以数据表的形式存在。例如，所述第一验证信息具体可以是以地址表的形式存在，所述第二验证信息具体可以是以攻击表的形式存在。下面先分别对地址表和攻击表的建立分别进行说明。1、地址表的建立如下表1，是本申请实施例中一种地址表：公网地址状态20.1.1.10Open30.1.1.10Close表1在表1中，公网地址可以是外网接收方对应的公网地址，状态Open(第二状态)可以是指发送方和接收方之间的会话状态为非全连接状态、状态Close(第一状态)可以用于指示会话状态是全连接状态。其中，当地址表中存储的公网地址对应的状态是Close状态时，可以认为与所述地址表中该公网地址相匹配的外网发送方是一个真实存在的合法主机设备。当地址表中存储的公网地址对应的状态是Open状态时，可以认为与所述地址表中该公网地址相匹配的外网发送方是一个攻击端。地址表建立的具体流程可以如下：参照图3，示出了本申请实施例中一种地址表的建立流程示意图。其中，user1为内网设备(内网接收方)、HTTPserver为外网的服务器、user100为外网设备(真实访问的合法主机设备，外网发送方A)、attacker为攻击端(外网发送方B)可以模拟33.33.33.1～33.33.33.250的攻击源、Firewall为防火墙设备。在本实施例中，在防火墙设备的内网出接口G1/0/2上配置NO-PAT(不做端口转换，只做IP地址转换)，并且引用地址池，公网地址为：202.12.5.10-202.12.5.11，并且使能reversible功能。当user1向HTTPServer进行web页面浏览时，防火墙设备可以创建反向地址转换的NATReversible表项，所述NATReversible表项具体可以如下：LocalIP:192.168.1.11-----user1的私网地址GlobalIP:202.12.5.10----转换后的公网地址Reversible:Y----支持Reversible功能Type:Outbound----开放式类型在本实施例中，user100或attacker端作为外网发送方在通过NATReversible表项访问user1时，都会建立对应的NAT会话表项。其中，NAT会话表项中至少可以包括如下信息：外网发送方(user100或attacker端)的地址和端口、接收方(user1)的地址和端口、NAT转换后的地址和端口、会话创建的时间、会话的状态、匹配报文的统计数等。在本实施例中，当user100通过NATReversible表项访问user1时，由于user100是一个真实访问的合法主机设备，user1和user100之间会有正常的交互报文，所以NAT会话表项中记录的会话状态是一个全连接的状态，此时，可以将user100的公网地址100.1.1.10加入到地址表中，并且将100.1.1.10对应的状态设置为close(如上述表1)。当attacker端模拟公网地址33.33.33.2通过NATReversible表项向user1发起攻击时，由于33.33.33.2是一个攻击端，只会向user1发送DDos攻击，所以NAT会话表项中记录的会话状态是一个非全连接的状态，此时，可以将attacker端模拟的公网地址33.33.33.2加入到地址表中，并且将33.33.33.2对应的状态设置为open(如上述表1)。需要说明的是，在本实施例中，当user100与user1断开连接后，对应的NAT会话表项也将删除，此时可以将user100在所述地址表中对应的表项也删除。当attacker端暂时不进行攻击时，对应的NAT会话表项也将删除，此时可以将attacker端模拟的公网地址33.33.33.2在所述地址表中对应的表项也删除。通过对地址表项的及时清理，降低了设备负担，确保通过所述地址表可以记录更多外网设备的会话状态，提高了业务承载能力。2、攻击表的建立在本实施例中，为了降低地址表的维护和管理难度，可以对地址表的大小进行配置。例如，可以但不仅限于指定地址表的大小为1000。若地址表的大小为1000，则说明在同一时刻最多可以允许有1000个连接去访问NATReversible表项的内网设备。如果NATReversible表项对应的地址表中的表项已经到达1000，此时还有其他连接匹配了该NATReversible表项，则可以通过攻击表来实现业务的负载分担。具体地，首先，确定地址表中的所有(1000个)表项中是否有状态为Open的表项，若有，则可以将状态为Open的表项从所述地址表中移除，并添加至攻击表中。若地址表中的所有(1000个)表项的状态均为Close，则可以丢弃新连接，直至地址表中的表项小于1000时，才允许其他连接匹配NATReversible表项访问内网设备。需要说明的是，在本实施例中，地址表和攻击表都配置有对应的老化时间，当地址表(或攻击表)中的表项的存在时间达到所述老化时间时，可以将对应的表项直接移除。在本实施例中，基于上述建立的地址表和攻击表实现了对内网设备的安全防护，具体流程可以如下：步骤S31，内网设备向外网服务器进行请求，防火墙设备创建NATreversible表项。步骤S32，外网设备向内网设备发送外网数据请求报文，通过匹配NATreversible表项项访问内网设备。步骤S33，判断所述外网数据请求报文中携带的公网地址是否与攻击表匹配。在本实施例中，若匹配，则可以直接丢弃所述外网数据请求报文。若不匹配，则可以执行下述步骤S34。步骤S34，判断所述外网数据请求报文中携带的公网地址是否与地址表匹配。在本实施例中，判断所述外网数据请求报文中携带的公网地址是否与地址表匹配也即：判断地址表中是否存在所述外网发送方的公网地址。若存在，则可以执行下述步骤S36；若不存在则可以执行下述步骤S38。步骤S36，当所述地址表中与所述外网发送方的公网地址对应的状态为第一状态时，转发所述外网数据请求报文；当所述地址表中与所述外网发送方的公网地址对应的状态为第二状态时，丢弃所述外网数据请求报文。步骤S38，根据所述外网发送方与内网接收方之间的会话状态更新所述地址表。在本实施例中，在根据所述外网发送方与内网接收方之间的会话状态更新所述地址表之前，还可以先判断所述地址表的数据存储量是否达到预设阈值。其中，若所述地址表的数据存储量未达到预设阈值，则可以执行根据所述外网发送方与内网接收方之间的会话状态更新所述地址表的步骤；若所述地址表的数据存储量达到预设阈值，则可以进一步判断所述地址表中是否存在对应的状态为第二状态的公网地址，若不存在，则可以直接丢弃所述外网数据请求报文；若存在，则可以将所述对应的状态为第二状态的公网地址及对应的状态从所述地址表中移除，并将所述对应的状态为第二状态的公网地址添加至攻击表，然后再继续执行根据所述外网发送方与内网接收方之间的会话状态更新所述地址表的步骤。其中，需要说明的是，所述根据所述外网发送方与内网接收方之间的会话状态更新所述地址表在具体实现时可以包括：当所述会话状态为全连接状态时，将所述外网报文对应的公网地址添加至地址表中，并在所述地址表中将所述公网地址对应的状态配置为第一状态(如，Close)；当所述会话状态为非全连接状态时，将所述外网报文对应的公网地址添加至所述地址表中，并在所述地址表中将所述公网地址对应的状态配置为第二状态(如，Open)。步骤S310，当所述更新后的地址表中与所述外网发送方的公网地址对应的状态为所述第一状态时，转发所述外网数据请求报文；当所述更新后的地址表中与所述外网发送方的公网地址对应的状态为所述第二状态时，丢弃所述外网数据请求报文。综上所述，本实施例所述的一种网络安全处理方法，当接收到由外网发送方发送的外网数据请求报文时可以先对所述外网发送方的公网地址进行判断，当第一验证信息中存在所述外网发送方的公网地址、且所述第一验证信息中与所述外网发送方的公网地址对应的状态为第一状态时，可以转发所述外网数据请求报文；当第一验证信息中不存在所述外网发送方的公网地址时，则可以根据所述外网发送方与内网接收方之间的会话状态更新所述第一验证信息，并在所述第一验证信息更新完之后，当所述更新后的第一验证信息中与所述外网发送方的公网地址对应的状态为所述第一状态时，转发所述外网数据请求报文。可见，在本实施例中，可以对外网发送方的公网地址进行判断，当外网发送方的公网地址对应的判断结果满足一定要求时(如，第一验证信息中存在所述外网发送方的公网地址、且所述第一验证信息中与所述外网发送方的公网地址对应的状态为第一状态；或，更新后的第一验证信息中与所述外网发送方的公网地址对应的状态为所述第一状态)进行外网数据请求报文的转发，换而言之，当外网发送方的公网地址对应的判断结果不满足上述要求时，则可以不进行外网数据请求报文的转发。由上所述，在本实施例中，基于第一验证信息对外网发送方进行了验证和筛选，对验证通过的外网发送方发送的外网数据请求报文进行转发，有效限制了未通过验证的外网发送方向内网接收方发送外网数据请求报文，进而避免了任意外网发送方对内网接收方的访问，有效防止了内网用户遭受到外网发送方的网络攻击。其次，在本实施例中，通过配置第一验证信息和第二验证信息的老化时间，以及配置第一验证信息的大小，避免了某一外网发送方对应的公网地址对第一验证信息或第二验证信息的长期占用，保证了对其它外网发送方的验证，可以及时移除第一验证信息以及第二验证信息中的老化(已过期)验证项，确保了外网的合法主机设备通过NATreversible表项对内网主机设备的正常访问，避免了对外网主机设备和内网主机设备之间正常数据交互的影响。需要说明的是，对于前述的方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本申请并不受所描述的动作顺序的限制，因为依据本申请，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作并不一定是本申请所必需的。在上述方法实施例的基础上，参照图4，示出了本申请实施例中一种网络安全处理装置的结构框图。在本实施例中，所述网络安全处理装置包括：第一判断模块402，用于当接收到由外网发送方发送的外网数据请求报文时，判断第一验证信息中是否存在所述外网发送方的公网地址。第一转发模块404，用于若第一验证信息中存在所述外网发送方的公网地址，且所述第一验证信息中与所述外网发送方的公网地址对应的状态为第一状态，则转发所述外网数据请求报文。更新模块406，用于若第一验证信息中不存在所述外网发送方的公网地址，则根据所述外网发送方与内网接收方之间的会话状态更新所述第一验证信息。在本实施例中，当所述会话状态为全连接状态时，将所述外网发送方的公网地址更新至所述第一验证信息，并在所述第一验证信息中将所述外网发送方的公网地址对应的状态配置为第一状态；当所述会话状态为非全连接状态时，将所述外网发送方的公网地址更新至所述第一验证信息，并在所述第一验证信息中将所述外网发送方的公网地址对应的状态配置为第二状态。第二转发模块408，用于当所述更新后的第一验证信息中与所述外网发送方的公网地址对应的状态为所述第一状态时，转发所述外网数据请求报文。可见，在本实施例中，基于第一验证信息对外网发送方进行了验证和筛选，对验证通过的外网发送方发送的外网数据请求报文进行转发，有效限制了未通过验证的外网发送方向内网接收方发送外网数据请求报文，进而避免了任意外网发送方对内网接收方的访问，有效防止了内网用户遭受到外网发送方的网络攻击。在本申请的一优选实施例中，参照图5，示出了本申请实施例中一种优选的网络安全处理装置的结构框图。一优选的，所述网络安全处理装置还可以包括：第一丢弃模块408，用于在所述第一判断模块402判断第一验证信息中是否存在与所述外网发送方的公网地址之后，若第一验证信息中存在所述外网发送方的公网地址，且所述第一验证信息中与所述外网发送方的公网地址对应的状态为所述第二状态时，丢弃所述外网数据请求报文。第二丢弃模块410，用于在所述更新模块406根据所述外网发送方与内网接收方之间的会话状态更新所述第一验证信息之后，当所述更新后的第一验证信息中与所述外网发送方的公网地址对应的状态为所述第二状态时，丢弃所述外网数据请求报文。另一优选的，所述网络安全处理装置还可以包括：第二判断模块412，用于在所述更新模块406根据所述外网发送方与内网接收方之间的会话状态更新所述第一验证信息之前，判断所述第一验证信息的数据存储量是否达到预设阈值。第三判断模块414，用于若所述第一验证信息的数据存储量达到预设阈值，则判断所述第一验证信息中是否存在对应的状态为第二状态的公网地址。在本实施例中，若所述第一验证信息中存在对应的状态为第二状态的公网地址，则将所述对应的状态为第二状态的公网地址及对应的状态从所述第一验证信息中移除，并将所述对应的状态为第二状态的公网地址添加至第二验证信息，执行所述更新模块406；若不存在，则丢弃所述外网数据请求报文。其中，若所述第一验证信息的数据存储量未达到预设阈值，则执行所述更新模块406。又一优选的，所述网络安全处理装置还可以包括：第四判断模块416，用于在所述第一判断模块402判断第一验证信息中是否存在所述外网发送方的公网地址之前，判断第二验证信息中是否存在与所述外网发送方的公网地址。第三丢弃模块418，用于若所述第二验证信息中存在与所述外网发送方的公网地址，则丢弃所述外网数据请求报文。在本实施例中，若所述第二验证信息中不存在所述外网发送方的公网地址，则执行所述第一判断模块402。再一优选的，所述网络安全处理装置还可以包括：配置模块420，用于预先配置所述第一验证信息和所述第二验证信息各自对应的老化时间。删除模块422，用于从所述第一验证信息中删除存在时间达到所述第一验证信息对应的老化时间的公网地址及公网地址对应的状态；以及，从所述第二验证信息中删除存在时间达到所述第二验证信息对应的老化时间的公网地址。综上所述，本实施例所述的一种网络安全处理装置，当接收到由外网发送方发送的外网数据请求报文时可以先对所述外网发送方的公网地址进行判断，当第一验证信息中存在所述外网发送方的公网地址、且所述第一验证信息中与所述外网发送方的公网地址对应的状态为第一状态时，可以转发所述外网数据请求报文；当第一验证信息中不存在所述外网发送方的公网地址时，则可以根据所述外网发送方与内网接收方之间的会话状态更新所述第一验证信息，并在所述第一验证信息更新完之后，当所述更新后的第一验证信息中与所述外网发送方的公网地址对应的状态为所述第一状态时，转发所述外网数据请求报文。可见，在本实施例中，可以对外网发送方的公网地址进行判断，当外网发送方的公网地址对应的判断结果满足一定要求时(如，第一验证信息中存在所述外网发送方的公网地址、且所述第一验证信息中与所述外网发送方的公网地址对应的状态为第一状态；或，更新后的第一验证信息中与所述外网发送方的公网地址对应的状态为所述第一状态)进行外网数据请求报文的转发，换而言之，当外网发送方的公网地址对应的判断结果不满足上述要求时，则可以不进行外网数据请求报文的转发。由上所述，在本实施例中，基于第一验证信息对外网发送方进行了验证和筛选，对验证通过的外网发送方发送的外网数据请求报文进行转发，有效限制了未通过验证的外网发送方向内网接收方发送外网数据请求报文，进而避免了任意外网发送方对内网接收方的访问，有效防止了内网用户遭受到外网发送方的网络攻击。本说明书中的各个实施例均采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似的部分互相参见即可。对于装置实施例而言，由于其与方法实施例基本相似，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。本领域内的技术人员应明白，本申请的实施例可提供为方法、装置、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。本申请是参照根据本申请实施例的方法、设备(装置)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。尽管已描述了本申请的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例做出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。以上对本申请所提供的一种网络安全处理方法和装置进行了详细介绍，本文中应用了具体个例对本申请的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本申请的方法及其核心思想；同时，对于本领域的一般技术人员，依据本申请的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本申请的限制。当前第1页1 2 3