一种报文处理方法及装置与流程

本申请涉及通信，尤其涉及一种报文处理方法及装置。

背景技术：

1、在srv6服务链组网中，当防火墙设备等网络安全设备作为中间节点时，网络安全设备只能对srv6隧道外层报文做安全业务(如安全策略)，而不关心内层报文信息。即，srv6组网中的网络安全设备一般会根据外层报文中的sl信息替换隧道外层报文的目的地址，然后对外层报文做安全策略以及安全策略下引用的入侵防御(ips)、防病毒(av)等业务。这样，当内层报文中包含攻击流量或者病毒时，网络安全设备的入侵防御(ips)和防病毒(av)等功能无法对其进行识别并拦截，做不到安全防护。

2、因此，如何对srv6报文的内层报文进行安全识别，以达到安全防护的目的是值得考虑的技术问题之一。

技术实现思路

1、有鉴于此，本申请提供一种报文处理方法及装置，用以对srv6组网中的内层报文进行安全识别，以实现安全防护的目的。

2、具体地，本申请是通过如下技术方案实现的：

3、根据本申请的第一方面，提供一种报文处理方法，应用于网络安全设备中，所述网络安全设备包括多个虚拟逻辑实例，且所述网络安全设备配置有与所述多个虚拟逻辑实例分别对应的段标识，所述方法，包括：

4、接收srv6报文；

5、若所述srv6报文中的外层目的ip地址为目标虚拟逻辑实例对应的段标识，则调用所述目标虚拟逻辑实例，以由所述目标虚拟逻辑实例从所述srv6报文中提取出内层报文，并利用所述目标虚拟逻辑实例对应的安全策略对所述内层报文进行安全检测处理；

6、其中，所述目标虚拟逻辑实例为所述多个虚拟逻辑实例中的一个。

7、根据本申请的第二方面，提供一种报文处理装置，设置于网络安全设备中，所述网络安全设备包括多个虚拟逻辑实例，且所述网络安全设备配置有与所述多个虚拟逻辑实例分别对应的段标识，所述装置，包括：

8、接收模块，用于接收srv6报文；

9、调用模块，用于若所述srv6报文中的外层目的ip地址为目标虚拟逻辑实例对应的段标识，则调用所述目标虚拟逻辑实例，以由所述目标虚拟逻辑实例从所述srv6报文中提取出内层报文，并利用所述目标虚拟逻辑实例对应的安全策略对所述内层报文进行安全检测处理；

10、其中，所述目标虚拟逻辑实例为所述多个虚拟逻辑实例中的一个。

11、根据本申请的第三方面，提供一种电子设备，包括处理器和机器可读存储介质，机器可读存储介质存储有能够被处理器执行的计算机程序，处理器被计算机程序促使执行本申请实施例第一方面所提供的方法。

12、根据本申请的第四方面，提供一种机器可读存储介质，机器可读存储介质存储有计算机程序，在被处理器调用和执行时，计算机程序促使处理器执行本申请实施例第一方面所提供的方法。

13、本申请实施例的有益效果：

14、本申请实施例提供的报文处理方法及装置中，网络安全设备接收srv6报文；若srv6报文中的外层目的ip地址为目标虚拟逻辑实例对应的段标识，则调用目标虚拟逻辑实例，以由目标虚拟逻辑实例从srv6报文中提取出内层报文，利用目标虚拟逻辑实例对应的安全策略对内层报文进行安全检测处理；由此一来，由于每个虚拟逻辑实例中均设置有对应的安全策略，同时每个虚拟逻辑实例分别对应一个用于进行srv6报文转发的段标识，故当确认接收到的srv6报文中的外层目的ip地址为目标虚拟逻辑实例对应的段标识时，则表明需要对该srv6报文执行安全防护，即由目标虚拟逻辑实例对应的安全策略对srv6报文中的内层报文进行安全检测处理，达到了安全防护的目的。

技术特征：

1.一种报文处理方法，其特征在于，应用于网络安全设备中，所述网络安全设备包括多个虚拟逻辑实例，且所述网络安全设备配置有与所述多个虚拟逻辑实例分别对应的段标识，所述方法，包括：

2.根据权利要求1所述的方法，其特征在于，按照下述方法确定所述srv6报文中的外层目的ip地址为目标虚拟逻辑实例对应的段标识：

3.根据权利要求1所述的方法，其特征在于，每个虚拟逻辑实例及其对应的段标识对应一条服务路径。

4.根据权利要求1所述的方法，其特征在于，还包括：

5.一种报文处理装置，其特征在于，设置于网络安全设备中，所述网络安全设备包括多个虚拟逻辑实例，且所述网络安全设备配置有与所述多个虚拟逻辑实例分别对应的段标识，所述装置，包括：

6.根据权利要求5所述的装置，其特征在于，还包括：

7.根据权利要求5所述的装置，其特征在于，每个虚拟逻辑实例及其对应的段标识对应一条服务路径。

8.根据权利要求5所述的装置，其特征在于，还包括：

9.一种电子设备，其特征在于，包括处理器和机器可读存储介质，所述机器可读存储介质存储有能够被所述处理器执行的计算机程序，所述处理器被所述计算机程序促使执行权利要求1-4任一项所述的方法。

10.一种机器可读存储介质，其特征在于，所述机器可读存储介质存储有计算机程序，在被处理器调用和执行时，所述计算机程序促使所述处理器执行权利要求1-4任一项所述的方法。

技术总结
本申请提供了一种报文处理方法及装置，应用于网络安全设备中，所述网络安全设备包括多个虚拟逻辑实例，且所述网络安全设备配置有与所述多个虚拟逻辑实例分别对应的段标识；则网络安全设备接收SRv6报文；若所述SRv6报文中的外层目的IP地址为目标虚拟逻辑实例对应的段标识，则调用所述目标虚拟逻辑实例，以由所述目标虚拟逻辑实例从所述SRv6报文中提取出内层报文，并利用所述目标虚拟逻辑实例对应的安全策略对所述内层报文进行安全检测处理。由此，实现了对SRv6报文的内层报文地安全识别，达到了安全防护的目的。

技术研发人员：陈星明
受保护的技术使用者：新华三信息安全技术有限公司
技术研发日：
技术公布日：2024/3/21