示意图;
[0087] 图7-g为本发明实施例提供的另一种报文处理设备的组成结构示意图;
[0088] 图7-h为本发明实施例提供的另一种报文处理设备的组成结构示意图;
[0089] 图8为本发明实施例提供的另一种报文处理设备的组成结构示意图。
【具体实施方式】
[0090] 本发明实施例提供了一种报文处理方法和报文处理设备,用于实现匹配条件对IP 地址的自主学习,适用于W报文特征为静态参数和动态参数的多个场景。
[0091] 为使得本发明的发明目的、特征、优点能够更加的明显和易懂,下面将结合本发明 实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,下面所描述 的实施例仅仅是本发明一部分实施例,而非全部实施例。基于本发明中的实施例,本领域的 技术人员所获得的所有其他实施例,都属于本发明保护的范围。
[0092] 本发明的说明书和权利要求书及上述附图中的术语"第一"、"第二"等是用于区别 类似的对象,而不必用于描述特定的顺序或先后次序。应该理解该样使用的术语在适当情 况下可W互换,该仅仅是描述本发明的实施例中对相同属性的对象在描述时所采用的区分 方式。此外,术语"包括"和"具有"W及他们的任何变形,意图在于覆盖不排他的包含,W 便包含一系列单元的过程、方法、系统、产品或设备不必限于那些单元,而是可包括没有清 楚地列出的或对于该些过程、方法、产品或设备固有的其它单元。
[0093]W下分别进行详细说明。
[0094] 本发明报文处理方法的一个实施例,可应用于防火墙等网络管理的网元中,该方 法可包括:获取互联网协议(InternetProtocol,IP)报文,判断获取到的IP报文是否为域 名系统(DomainNameSystem,DNS)响应报文,其中,DNS响应报文由DNS服务器根据用户终 端发送的DNS请求报文向用户终端发送;若上述IP报文是DNS响应报文,从IP报文中解析 出用户终端请求的域名;判断用户终端请求的域名是否存在于控制策略的匹配条件中;若 用户终端请求的域名存在于匹配条件中,将IP报文中与用户终端请求的域名对应的IP地 址添加到匹配条件中,则匹配条件还包括添加的IP地址,W实现根据匹配条件中添加的IP 地址和匹配条件相对应的策略动作对后续获取到的IP报文进行报文处理。
[0095] 请参阅图1所示,本发明一个实施例提供的报文处理方法,具体可W包括如下步 骤:
[0096]101、获取IP报文,判断获取到的IP报文是否为DNS响应报文。
[0097] 其中,DNS响应报文由DNS服务器根据用户终端发送的DNS请求报文向用户终端 发送。
[0098] 在本发明实施例中,报文处理设备部署在用户终端和因特网服务器之间,例如,多 个用户终端组成企业内部网,因特网服务器属于外部不可信任的公共网,则报文处理设备 可W部署在企业内部网和公共网之间,报文处理设备是用户终端的唯一报文出入口,报文 处理设备可W根据设定的匹配条件执行对报文的控制处理。其中匹配条件可W提前由管理 员来设定,也可W由报文处理设备根据管理员输入的信息来自行配置。
[0099] 在本发明实施例中,报文处理设备部署在用户终端和因特网服务器之间,无论是 用户终端发送给因特网服务器的IP报文,还是因特网服务器发送给用户终端的IP报文,报 文处理设备都可W获取到该IP报文。例如当用户终端的本地缓存中没有终端需要访问的 域名记录时,用户终端会发送DNS请求报文,否则,用户终端会根据缓存中记录的域名对应 的IP地址直接进行访问。当用户终端的本地缓存中没有用户终端需要访问的网页(Web) 站点记录时,用户终端会生成IP报文,该IP报文就是DNS请求报文,在DNS请求报文中携 带用户终端访问指定的域名,DNS请求报文经由报文处理设备、因特网服务器后发送到DNS 服务器,DNS服务器根据DNS请求报文获取到用户终端请求的域名,DNS服务器根据用户终 端请求的域名查询与该域名对应的IP地址,其中DNS服务器查询到的与用户终端请求的域 名对应的IP地址可W是一个或者多个IP地址,即本发明实施例中用户终端请求的域名可 W对应有一个IP地址,也可W对应有多个IP地址,另外DNS服务器在根据用户终端请求的 域名查询与该域名对应的IP地址时,还可W查询到各个IP地址分别对应的生存时间(Time ToLive,TTL),ITL是IP地址有效的时间长度,只有存在的时间没有超过ITL的IP地址才 是有效的。当DNS服务器获取到用户终端请求的域名对应的IP地址之后,DNS服务器生成 DNS响应报文,并在DNS响应报文中携带用户终端请求的域名W及与该域名对应的IP地址, 当一个域名对应有多个IP地址时,DNS响应报文中可W携带用户终端请求的域名对应的所 有IP地址,当然也可W携带用户终端请求的域名对应的一些IP地址,具体可W由DNS服务 器来决定,另外DNS响应报文中还可W携带每个IP地址对应的TTL。当多个用户终端发起 访问同一个Web站点时,用户终端发送IP报文的IP地址可能有多个,并且在不同的时间发 送的IP报文对应的IP地址也可能不同,故按照现有技术需要基于IP地址对报文进行策略 控制时,管理员无法提前收集到匹配条件所需要的所有IP地址,也就无法准确的将需要的 所有IP地址设定为匹配条件,则必然存在没有被设定为匹配条件但是真实场景中又需要 进行控制报文的IP地址,从而会导致报文控制失败。
[0100] 例如,在一个需要对IP地址对应的报文进行管理的应用场景下,需要为对某个 Web站点幼日网页游戏)的访问进行报文优先级别的提升,W进一步提升数据交互的实时性。 此时需要提前设定匹配条件,才能基于匹配条件对应的控制策略进行管理,由于该Web站 点可能有多个IP地址,并且IP地址也是动态变化的,故管理员不可能提前收集到该些Web站点在不同时间的所有有效IP地址,该就存在需要预置的匹配条件无法配置的问题。又 女口,在当前的因特网上会存在大量的不良网站,该些不良网站会直接威胁到用户终端的网 络安全,并且许多不良网站的IP地址也是动态变化的。即使管理员获取到了Web站点当前 的IP地址,并使用获取到的IP地址对匹配条件进行配置,但是对Web站点的IP地址的收 集仍存在如下两个问题;第一、Web站点的IP地址是可能变化的,一旦IP地址发生变化,配 置好的匹配条件就失去了作用;第二、一个Web站点可能对应多个IP地址,如果收集到的 Web站点的IP地址只是多个IP地址中的一个或小部分,那么当收集IP地址时使用被遗漏 的IP地址的IP报文来到时就无法根据配置好的匹配条件进行报文控制,也就无法将IP报 文的优先级别进行提升,导致报文控制处理的失败。故按照现有技术中将匹配条件设定为 固定的IP地址,该无法自动感知匹配目标的IP地址变化,随着Web业务的迅猛发展,用户 会更加关注对Web站点的访问控制的细化处理,此问题更是日渐突出。
[0101] 本发明实施例中为了解决如上技术问题,采用了将域名设定为匹配条件来实现的 技术方案,并且可W实现对IP地址的自主学习,能够完全适用于IP地址可能变化并且是动 态改变的问题,可W为报文的控制处理提供更精准的匹配条件。
[0102] 需要说明的是,在本发明实施例中,报文处理设备部署在用户终端和因特网服务 器之间,对于用户终端和因特网服务器之间往来的IP报文,报文处理设备都可W获取到该 IP报文。其中报文处理设备判断一个IP报文是否是DNS响应报文可W有多种实现方式,例 如报文处理设备可W根据DNS协议对报文处理设备获取到的IP报文进行解析,若能够按照 DNS协议解析成功,则该IP报文就是DNS响应报文。又如,报文处理设备还是可W对IP报 文的峽格式进行解析,从报文的特征上判断是否具有DNS协议所要求的必备特征,从而判 断该IP报文是否为DNS响应报文。
[0103] 102、若上述IP报文是DNS响应报文,从IP报文中解析出用户终端请求的域名。
[0104] 在本发明实施例中,报文处理设备在获取到IP报文后对IP报文是否是DNS响应 报文进行判断,当IP报文是DNS响应报文时,报文处理设备从该IP报文中解析出用户终端 请求的域名。
[0105] 其中,对于报文处理设备获取到的IP报文,其中只有因特网服务器从DNS服务器 接收到的并且转发给用户终端的IP报文才是DNS响应报文,DNS响应报文中携带有用户终 端请求的域名,故报文处理设备根据DNS协议就可W从DNS响应报文中解析出用户终端请 求的域名。
[0106] 需要说明的是,在本发明实施例中,步骤101判断获取到的IP报文是否为DNS响 应报文,若IP报文是DNS响应报文,则执行步骤102,若IP报文不是DNS响应报文,还可W 执行如下步骤:
[0107]A1、当IP报文不是DNS响应报文时,