一种安全防护的方法、设备及系统与流程

本发明涉及数据通信技术领域,尤其涉及一种安全防护的方法、设备及系统。

背景技术：

在互联网协议第4版(英文名：internetprotocolversion4，简称ipv4)地址池完全枯竭的背景下，互联网协议第6版(英文名：internetprotocolversion6，简称ipv6)网络技术发展迅猛，目前各个厂商均在大力发展ipv6技术，在ipv4向ipv6过渡期间，为了保护业务数据的安全传输，类似虚拟专用网络(英文名：virtualprivatenetwork，简称：vpn)等加密技术被广泛使用，业务在源端(即互联网安全协议(英文名：internetprotocolsecurity，简称：ipsec)隧道的发起端)经过封装或者加密等操作后，通过网络安全设备(如防火墙或者具有防火墙功能的其他网络设备)的检测、分析得到安全策略(即允许或者拒绝业务进入网络)，最后根据安全策略进行相应的操作。网络安全设备是网络中的关键设备，但是现有的网络安全设备不能有效的处理多次封装或者加密后的业务数据，即便能够处理，对于网络安全设备的性能消耗也十分巨大。

针对上述问题，目前最常用的方案为以下两种：

一、将网络安全设备进行更新换代，转而使用性能更高的设备，但是这需要更高的技术要求以及成本的增加。

二、在业务的源端完善安全防范机制，即要求终端自行保证业务的安全，网络安全设备只需要维护基本的安全，但是这也对一种网络资源的浪费。

综上所述，为了满足当前ipv4向ipv6过渡期间的发展需求，如何在现有网络安全设备没有进行更新换代的情况下，构建一个安全防护机制以有效的确保网络安全是个亟待解决的问题。

技术实现要素：

本发明实施例提供了一种安全防护的方法、设备及系统，网关将待处理业务进行标识后生成业务标识，并基于该业务的数据封装一个新的ipv6报文，然后将该业务标识设置为该新的ipv6报文的流标签，之后再将该新的ipv6报文发送给网络安全设备，防火墙接收到该新的ipv6报文后提取出里面的业务数据进行分析，进而获取到对应该业务的安全策略，然后再将安全策略以及该业务标识封装成一个ipv6报文发送给该网关，使得该网关获取到携带有安全策略的ipv6报文后根据该安全策略对具有该业务标识的业务进行处理，通过网关与网络安全设备的相互协作，不仅在业务的源端就进行了安全防护，同时也减轻了网络安全设备的性能压力。

第一方面，本发明实施例提供了一种安全防护的方法,应用于网关，包括：

获取待处理业务的业务标识和业务数据，所述业务标识为所述网关根据所述待处理业务的特征信息所生成的标识；

生成包括所述业务标识和所述业务数据的第一ipv6报文；

将所述第一ipv6报文发送给网络安全设备；

接收所述网络安全设备发送的第二ipv6报文，所述第二ipv6报文为所述网络安全设备根据所述第一ipv6报文中的所述业务数据，确定所述待处理业务的安全策略后，基于所述业务标识和所述安全策略所生成的ipv6报文；

对所述待处理业务执行所述第二ipv6报文中的安全策略。

进一步的，所述生成包括所述业务标识和所述业务数据的第一ipv6报文，包括：将所述业务数据添加到所述第一ipv6报文中，并将所述业务标识设置为所述第一ipv6报文的流标签。

进一步的，在所述对所述待处理业务执行所述第二ipv6报文中的安全策略之后，所述方法还包括：将所述业务标识和所述安全策略形成对应关系保存在本地。

本发明实施例提供了一种安全防护的方法，应用于网关，包括：获取待处理业务的业务标识和业务数据，然后生成包括所述业务标识和所述业务数据的第一ipv6报文发送给网络安全设备，之后接收所述网络安全设备发送的第二ipv6报文，最后对所述待处理业务执行所述第二ipv6报文中的安全策略，通过与网络安全设备的相互协作，不仅在业务的源端就进行了安全防护，同时也减轻了网络安全设备的性能压力。

第二方面，本发明实施例还提供了另一种安全防护的方法,应用于网络安全设备，包括：

接收网关发送的第一ipv6报文，所述第一ipv6报文为所述网关获取待处理业务的业务标识和业务数据后，生成的包括所述业务标识和所述业务数据的ipv6报文，所述业务标识为所述网关根据所述待处理业务的特征信息所生成的标识；

根据所述第一ipv6报文中的业务数据确定所述待处理业务的安全策略；

生成包括所述业务标识和所述安全策略的第二ipv6报文；

将所述第二ipv6报文发送给所述网关，以便所述网关接收所述第二ipv6报文后，对所述待处理业务执行所述第二ipv6报文中的安全策略。

进一步的，所述生成包括所述业务标识和所述安全策略的第二ipv6报文，包括：在所述第二ipv6报文中添加包含所述安全策略的逐跳选项头部，并将所述业务标识设置为所述第二ipv6报文的流标签。

进一步的，在所述将所述第二ipv6报文发送给所述网关之后，所述方法还包括：将所述业务标识和所述安全策略形成对应关系保存在本地。

本发明实施例提供了一种安全防护的方法,应用于网络安全设备，包括：接收网关发送的第一ipv6报文，根据所述第一ipv6报文中的业务数据确定所述待处理业务的安全策略，然后生成包括所述业务标识和所述安全策略的第二ipv6报文并将所述第二ipv6报文发送给所述网关，以便所述网关接收所述第二ipv6报文后，对所述待处理业务执行所述第二ipv6报文中的安全策略，通过与网关的相互协作，不仅在业务的源端就进行了安全防护，同时也减轻了网络安全设备的性能压力。

第三方面，本发明实施例还提供了一种网关，包括：

获取模块，用于获取待处理业务的业务标识和业务数据，所述业务标识为所述网关根据所述待处理业务的特征信息所生成的标识；

处理模块，用于生成包括所述业务标识和所述业务数据的第一ipv6报文；

发送模块，用于将所述第一ipv6报文发送给网络安全设备；

所述获取模块还用于接收所述网络安全设备发送的第二ipv6报文，所述第二ipv6报文为所述网络安全设备根据所述第一ipv6报文中的所述业务数据，确定所述待处理业务的安全策略后，基于所述业务标识和所述安全策略所生成的ipv6报文；

所述处理模块还用于对所述待处理业务执行所述第二ipv6报文中的安全策略。

进一步的，所述处理模块具体用于：将所述业务数据添加到所述第一ipv6报文中，并将所述业务标识设置为所述第一ipv6报文的流标签。

进一步的，所述处理模块还用于：在所述对所述待处理业务执行所述第二ipv6报文中的安全策略之后，将所述业务标识和所述安全策略形成对应关系保存在本地。

本发明实施例提供了一种网关，包括：所述网关的获取模块获取待处理业务的业务标识和业务数据，然后处理模块生成包括所述业务标识和所述业务数据的第一ipv6报文，发送模块再将所述第一ipv6报文发送给网络安全设备，之后获取模块再接收所述网络安全设备发送的第二ipv6报文，最后处理模块对所述待处理业务执行所述第二ipv6报文中的安全策略，通过与网络安全设备的相互协作，不仅在业务的源端就进行了安全防护，同时也减轻了网络安全设备的性能压力。

第四方面，本发明实施例还提供了一种网络安全设备，包括：

接收模块，用于接收网关发送的第一ipv6报文，所述第一ipv6报文为所述网关获取待处理业务的业务标识和业务数据后，生成的包括所述业务标识和所述业务数据的ipv6报文，所述业务标识为所述网关根据所述待处理业务的特征信息所生成的标识；

处理模块，用于根据所述第一ipv6报文中的业务数据确定所述待处理业务的安全策略；

所述处理模块还用于生成包括所述业务标识和所述安全策略的第二ipv6报文；

发送模块，用于将所述第二ipv6报文发送给所述网关，以便所述网关接收所述第二ipv6报文后，对所述待处理业务执行所述第二ipv6报文中的安全策略。

进一步的，所述处理模块具体还用于：在所述第二ipv6报文中添加包含所述安全策略的逐跳选项头部，并将所述业务标识设置为所述第二ipv6报文的流标签。

进一步的，所述处理模块还用于：在所述将所述第二ipv6报文发送给所述网关之后，将所述业务标识和所述安全策略形成对应关系保存在本地。

本发明实施例提供了一种网络安全设备，包括：所述网络安全设备的接收模块接收网关发送的第一ipv6报文，处理模块根据所述第一ipv6报文中的业务数据确定所述待处理业务的安全策略，然后生成包括所述业务标识和所述安全策略的第二ipv6报文，发送模块将所述第二ipv6报文发送给所述网关，以便所述网关接收所述第二ipv6报文后，对所述待处理业务执行所述第二ipv6报文中的安全策略，通过与网关的相互协作，不仅在业务的源端就进行了安全防护，同时也减轻了网络安全设备的性能压力。

第五方面，本发明实施例还提供了一种安全防护的系统，所述系统包括如上述第一方面所述的网关和如上述第二方面所述的网络安全设备。

本发明的其他特征和优点将在随后的说明书阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明实施例而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书以及附图中所特别指出的结构来实现和获得。

附图说明

为了更清楚地说明本申请实施例的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例1提供的一种安全防护的方法的流程图；

图2为本发明实施例2提供的一种安全防护的方法的流程图；

图3为本发明实施例3提供的一种网关的架构示意图；

图4为本发明实施例4提供的一种网络安全设备的架构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

下面将对本发明实施例中的技术用语作相关说明：

网络安全设备：是指一种将内部网和公众访问网(如internet)分开的方法，它实际上是一种建立在现代通信网络技术和信息安全技术基础上的应用性安全技术，隔离技术。在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的业务(即人和/或数据)进入你的网络，是一项协助确保信息安全的设备，会依照特定的规则，允许或是拒绝传输的业务通过，可以是一台专属的硬件也可以是架设在一般硬件上的一套软件，如防火墙或者具有防火墙功能的其他网络设备。

网关(gateway)：一般就是网络的出入口，在传输层上以实现网络互连，是最复杂的网络互连设备，在使用不同的通信协议、数据格式或语言，甚至体系结构完全不同的两种系统之间，是一种充当转换重任的计算机系统或设备，网关既可以用于广域网互连，也可以用于局域网互连，同时，网关也可以提供过滤和安全功能又称网间连接器、协议转换器。

安全策略：指网络安全设备对接收到的业务数据进行检测分析，对符合检测条件的业务进行的处置操作，包括但不限于：允许、拒绝、告警、丢弃、记录、回放会话等操作。

流标签(flowlable)：用来标识一个业务流，通过检查业务的流标签便可判断属于哪一个业务。

需要说明的是，在本发明各个实施例中的各功能模块，例如网关或防火墙可以是集成在一起形成一个独立的部分，也可以是分别单独存在，也可以两个或两个以上模块集成形成一个独立的部分，网关可以是具备防火墙等网络安全功能的网络设备，可以是具备防火墙等网络安全功能的网络设备，这里均也不做具体限定。

此外，在本发明实施例中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。

实施例1

如图1所示，为本发明实施例提供的一种安全防护的方法的流程图，应用于网关，该方法包括：

步骤101、获取待处理业务的业务标识和业务数据。

其中，所述业务标识为所述网关根据所述待处理业务的特征信息所生成的标识。

在本步骤中，网关接收到业务数据报文后，将该业务数据报文作为待处理业务，然后提取该待处理业务中的特征信息生成一个业务标识用来标识该待处理业务，该特征信息可以是该待处理业务的五元组(包括源ip地址、源端口、目的ip地址、目的端口和传输层协议)，具体的，可以是将该待处理业务的五元组进行哈希运算得到一个五元组的哈希值作为该待处理业务的业务标识，也可以采用该待处理业务的其他特征信息进行处理，只要是能够得到标识该待处理业务的任何方式均可，此处不作具体限定，换言之，每个待处理业务均有属于自己的业务标识。

步骤102、生成包括所述业务标识和所述业务数据的第一ipv6报文。

在本步骤中，该网关创建一个新的ipv6报文，将该待处理业务的业务数据添加进该新的ipv6报文中，并将步骤101中得到的业务标识设置为该新的ipv6报文的流标签，从而将该新的ipv6报文重新封装生成一个携带有该待处理业务的业务标识的ipv6报文，并且在携带有该业务标识的ipv6报文中还包括该待处理业务的业务数据，由于ipv6报文中的流标签是ipv6体系下可供用户自定义的工具，且处于ipv6头部固定字段，不受任何封装，加密等操作的影响，因此，在本步骤中可以将该待处理业务的业务标识设置为该新的ipv6报文的流标签，不仅不会影响到该网关对后续待处理业务的操作处理，同时也可以对接收到的每个待处理业务起到标识区分的效果。

步骤103、将所述第一ipv6报文发送给网络安全设备。

在本步骤中，该网关将步骤102生成的携带有该业务标识的ipv6报文发送给网络安全设备，该网络安全设备可以是该待处理业务传输路径上的防火墙，具体的，该网关将步骤102中得到的携带有该业务标识的ipv6报文中的源地址设置为该网关的地址信息，将携带有该业务标识的ipv6报文中的目的地址设置为该防火墙的地址信息，进而根据该目的地址将携带有该业务标识的ipv6报文发送给该防火墙，本步骤中所述的地址信息可以为该网关或该防火墙的一个链路本地地址和/或全球单播地址和/或站点地址，只要是能让该网关和该防火墙进行通信的任何地址均可，此处不作具体限定。

步骤104、接收所述网络安全设备发送的第二ipv6报文。

其中，所述第二ipv6报文为所述网络安全设备根据所述第一ipv6报文中的所述业务数据，确定所述待处理业务的安全策略后，基于所述业务标识和所述安全策略所生成的ipv6报文。

在本步骤中，该网关将携带有该业务标识的ipv6报文发送给该防火墙之后，该防火墙根据携带有该业务标识的ipv6报文中的目的地址确定该ipv6报文是发送给自己的，便对携带有该业务标识的ipv6报文进行解封，提取出其中的业务数据，该业务数据为该待处理业务的数据，然后根据自身已有的检测机制对该业务数据进行检测分析，得到对应的安全策略(即经过防火墙的检测分析，如果该待处理业务的业务数据是安全的，则允许该网关让该业务数据进入到网络中，如果该业务数据是不安全的，则拒绝该网关让该业务数据进入到网络中)，然后再根据该业务标识和该安全策略重新创建一个携带有该安全策略和该业务标识的ipv6报文，并将携带有该安全策略和该业务标识的ipv6报文中的源地址设置为该防火墙的地址信息，将携带有该安全策略和该业务标识的ipv6报文中的目的地址设置为该网关的地址信息以便该网关能接收到来自于防火墙的携带有该安全策略和该业务标识的ipv6报文。

步骤105、对所述待处理业务执行所述第二ipv6报文中的安全策略。

在本步骤中，该网关在接收到的携带有该业务标识和该安全策略的ipv6报文后，根据该ipv6报文中的安全策略对该待处理业务进行相应处理，从而在源端就对业务进行了安全防护，同时还降低了防火墙的性能压力。

此外，在该网关根据该安全策略对该待处理业务进行相应处理之后，该网关还可以将该业务标识和该安全策略形成对应关系保存在本地，以便下次再接收到具有同样业务标识的业务后，直接根据本地保存的安全策略进行处理，不必再发送给该防火墙进行检测分析重复上述操作，不仅保证在网络边缘就对业务进行了有效的安全防护，并且由于减少了中间防火墙的检测分析环节，进一步减轻了防火墙的负担，降低了业务的传输时延。

需要说明的是，该网关也可以在接收到该防火墙发送的携带有该业务标识和该安全策略的ipv6报文后便将该业务标识和该安全策略形成对应关系保存在本地，此处不作具体限定。

另外，该网关也可以将本地保存的该业务标识按照预设周期发送给该防火墙重复上述方法步骤，以便将最近接收到该待处理业务的安全策略作为该业务当前最新的安全策略并更新本地记录，从而及时维护网络的安全，该预设周期可以是网络管理员根据网络的实际情况进行设置，此处不作具体限定。

本发明实施例提供了一种安全防护的方法，包括：网关获取待处理业务的业务标识和业务数据，然后生成包括所述业务标识和所述业务数据的第一ipv6报文发送给网络安全设备，之后接收所述网络安全设备发送的第二ipv6报文，最后对所述待处理业务执行所述第二ipv6报文中的安全策略，通过与网络安全设备的相互协作，在源端就对业务进行了安全防护，不仅也减轻了网络安全设备的性能压力，而且提前预防了危险业务进入网络，提高了网络的安全性。

实施例2

如图2所示，为本发明实施例提供的一种安全防护的方法的流程图，应用于网络安全设备，该方法包括：

步骤201、接收网关发送的第一ipv6报文。

其中，所述第一ipv6报文为所述网关获取待处理业务的业务标识和业务数据后，生成的包括所述业务标识和所述业务数据的ipv6报文，所述业务标识为所述网关根据所述待处理业务的特征信息所生成的标识。

在本步骤中，网络安全设备(如防火墙或者具有防火墙功能的其他网络设备，在本实施例接下来的步骤中均以防火墙做举例说明)接收网关发送的携带有业务标识和业务数据的ipv6报文，该业务标识和业务数据为该网关接收待处理业务后，获取到该待处理业务的业务标识和业务数据后所生成的一个新的ipv6报文，该业务标识为该网关提取该待处理业务中的特征信息所生成的一个对应该待处理业务的标识，该业务数据为该待处理业务的数据，本步骤是和上述如图1所示相对应的步骤，未详尽之处请参照如图1所述的方法步骤，在此不作具体阐述。

步骤202、根据所述第一ipv6报文中的业务数据确定所述待处理业务的安全策略。

在本步骤中，该防火墙将携带有该业务标识的ipv6报文进行解封，提取出其中的业务数据，然后根据自身已有的检测机制对该业务数据进行检测分析，得到对应的安全策略(即经过防火墙的检测分析，如果该待处理业务的业务数据是安全的，则允许该网关让该业务数据进入到网络中，如果该业务数据是不安全的，则拒绝该网关让该业务数据进入到网络中)，本步骤是和上述如图1所示相对应的步骤，未详尽之处请参照如图1所述的方法步骤，在此不作具体阐述。

步骤203、生成包括所述业务标识和所述安全策略的第二ipv6报文。

在本步骤中，，该防火墙根据步骤202中得到的该业务标识对应的安全策略，创建一个新的ipv6报文，在该新的ipv6报文中添加包含该安全策略的逐跳选项头部，例如，可以将该逐跳选项头部的128位地址值全部设置为“1”(即代表经过防火墙的检测分析，该待处理业务的业务数据是安全的，允许该网关让该业务数据进入到网络中)或者全部设置为“0”(即代表经过防火墙的检测分析，该待处理业务的业务数据是不安全的，拒绝该网关让该业务数据进入到网络中)，并将该业务标识设置为该新的ipv6报文的流标签，从而生成一个携带有该安全策略和该业务标识的ipv6报文，需要说明的是，关于该安全策略的设置形式、内容不是本发明实施例的重点，只要该网关接收到携带有该安全策略和该业务标识的ipv6报文后能根据该逐跳选项头部的内容识别出安全策略的任何方式均可，本步骤是和上述如图1所示相对应的步骤，未详尽之处请参照如图1所述的方法步骤，在此不作具体阐述。

步骤204、将所述第二ipv6报文发送给所述网关，以便所述网关接收所述第二ipv6报文后，对所述待处理业务执行所述第二ipv6报文中的安全策略。

在本步骤中，该防火墙将携带有该安全策略和该业务标识的ipv6报文中的源地址设置为该防火墙的地址信息，将携带有该安全策略和该业务标识的ipv6报文中的目的地址设置为该网关的地址信息以便该网关能接收到来自于防火墙的携带有该安全策略和该业务标识的ipv6报文，之后该网关再根据该安全策略对该待处理业务进行相应的处理，本步骤是和上述如图1所示相对应的步骤，未详尽之处请参照如图1所述的方法步骤，在此不作具体阐述。

此外，在该防火墙将携带有该安全策略和该业务标识的ipv6报文发送给该网关之后，还可以将该业务标识和该安全策略形成对应关系保存在本地，以便下次再接收到网关发送过来的携带有同样业务标识的ipv6报文后，直接根据本地记录得到对应的安全策略，不必再提取出该业务对应的业务数据进行检测分析，省去了防火墙中间的检测分析环节，进一步减轻了防火墙的负担，同时也降低了业务的传输时延。

需要说明的是，该防火墙也可以在接收到该网关发送的携带有该业务标识的ipv6报文后将该业务标识和该安全策略形成对应关系保存在本地，同样，本步骤是和上述如图1所示相对应的步骤，未详尽之处请参照如图1所述的方法步骤，在此不作具体阐述。

本发明实施例提供了一种安全防护的方法，包括：网络安全设备接收网关发送的第一ipv6报文，根据所述第一ipv6报文中的业务数据确定所述待处理业务的安全策略，然后生成包括所述业务标识和所述安全策略的第二ipv6报文并将所述第二ipv6报文发送给所述网关，以便所述网关接收所述第二ipv6报文后，对所述待处理业务执行所述第二ipv6报文中的安全策略，通过与网关的相互协作，业务数据在进入网络前就已经进行了安全分析，使得业务在源端就进行了安全防护的处理，同时，也减轻了网络安全设备的性能压力。

实施例3

如图3所示，为本发明实施例提供的一种网关300，包括：

获取模块301，用于获取待处理业务的业务标识和业务数据，所述业务标识为所述网关根据所述待处理业务的特征信息所生成的标识；

处理模块302，用于生成包括所述业务标识和所述业务数据的第一ipv6报文；

发送模块303，用于将所述第一ipv6报文发送给网络安全设备；

所述获取模块301还用于接收所述网络安全设备发送的第二ipv6报文，所述第二ipv6报文为所述网络安全设备根据所述第一ipv6报文中的所述业务数据，确定所述待处理业务的安全策略后，基于所述业务标识和所述安全策略所生成的ipv6报文；

所述处理模块302还用于对所述待处理业务执行所述第二ipv6报文中的安全策略。

进一步的，所述处理模块302具体用于：将所述业务数据添加到所述第一ipv6报文中，并将所述业务标识设置为所述第一ipv6报文的流标签。

进一步的，所述处理模块302还用于：在所述对所述待处理业务执行所述第二ipv6报文中的安全策略之后，将所述业务标识和所述安全策略形成对应关系保存在本地。

本发明实施例所提供的一种网关300，其实现原理及产生的技术效果和前述方法实施例相同，为简要描述，相应的产品实施例部分未提及之处，可参考如图1方法实施例中相应内容，此处不再赘述。

本发明实施例提供了一种网关，包括：网关的获取模块获取待处理业务的业务标识和业务数据，然后处理模块生成包括所述业务标识和所述业务数据的第一ipv6报文发送给网络安全设备，之后获取模块接收所述网络安全设备发送的第二ipv6报文，最后处理模块对所述待处理业务执行所述第二ipv6报文中的安全策略，通过与网络安全设备的相互协作，在源端就对业务进行了安全防护，不仅也减轻了网络安全设备的性能压力，而且提前预防了危险业务进入网络，提高了网络的安全性。

实施例4

如图4所示，为本发明实施例提供的一种网络安全设备400，包括：

接收模块401，用于接收网关发送的第一ipv6报文。

其中，所述第一ipv6报文为所述网关获取待处理业务的业务标识和业务数据后，生成的包括所述业务标识和所述业务数据的ipv6报文，所述业务标识为所述网关根据所述待处理业务的特征信息所生成的标识；

处理模块402，用于根据所述第一ipv6报文中的业务数据确定所述待处理业务的安全策略；

所述处理模块402还用于生成包括所述业务标识和所述安全策略的第二ipv6报文；

发送模块403，用于将所述第二ipv6报文发送给所述网关，以便所述网关接收所述第二ipv6报文后，对所述待处理业务执行所述第二ipv6报文中的安全策略。

进一步的，所述处理模块402具体还用于：在所述第二ipv6报文中添加包含所述安全策略的逐跳选项头部，并将所述业务标识设置为所述第二ipv6报文的流标签。

进一步的，所述处理模块402还用于：在所述将所述第二ipv6报文发送给所述网关之后，将所述业务标识和所述安全策略形成对应关系保存在本地。

本发明实施例所提供的一种网络安全设备400，其实现原理及产生的技术效果和前述方法实施例相同，为简要描述，相应的产品实施例部分未提及之处，可参考如图2方法实施例中相应内容，此处不再赘述。

本发明实施例提供了一种网络安全设备，包括：网络安全设备的接收模块接收网关发送的第一ipv6报文，处理模块根据所述第一ipv6报文中的业务数据确定所述待处理业务的安全策略，然后生成包括所述业务标识和所述安全策略的第二ipv6报文，发送模块再将所述第二ipv6报文发送给所述网关，以便所述网关接收所述第二ipv6报文后，对所述待处理业务执行所述第二ipv6报文中的安全策略，通过与网关的相互协作，业务数据在进入网络前就已经进行了安全分析，使得业务在源端就进行了安全防护的处理，同时，也减轻了网络安全设备的性能压力。

本发明实施例还提供一种安全防护的系统，该系统包括实施例3中所述的网关和实施例4中所述的网络安全设备，本系统中的网关和网络安全设备分别在实施例3和实施例4中有详细说明，在此不再赘述。

需要说明的是，本说明书中的各个实施例均采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似的部分互相参见即可。

此外，在本发明所提供的几个实施例中，应该理解到，所揭露的装置和方法，也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，附图中的流程图和框图显示了根据本发明的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现方式中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

另外，所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，笔记本电脑,服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、磁碟或者光盘等各种可以存储程序代码的介质。需要说明的是，在本文中，诸如术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以所述权利要求的保护范围为准。