报文转发方法及装置的制造方法

报文转发方法及装置的制造方法
【专利摘要】本发明提供一种报文转发方法及装置，所述方法应用在与内网服务器直连的防火墙上，包括：当接收到内网VPN设备发送的第一报文时，确定第一报文中的外网客户端IP地址以及内网VPN设备上和/或防火墙上用于传输第一报文的端口；将确定的外网客户端IP地址与端口进行匹配，生成匹配关系；当接收到内网服务器发送的第二报文时，从匹配关系中查找出与第二报文中的外网客户端IP地址匹配的端口；通过查找出的端口，将第二报文转发给对应的内网VPN设备。通过本发明中实施例，可以实现内网服务器对外网客户端的有效访问。
【专利说明】
报文转发方法及装置
技术领域
[0001]本发明涉及网络通信技术领域，尤其涉及一种报文转发方法及装置。
【背景技术】
[0002]随着网络通信技术的发展，越来越多的公司采用VPN(Virtual Private Network,虚拟专用网络)技术，建立向公司员工提供服务器资源的内网，以此来实现外网客户端对公司内部数据的安全访问。当外网客户端对内网中服务器资源的访问量太大时，若内网只提供一台VPN设备来处理这些访问请求，则可能无法完成对所有访问请求的处理，因此内网通常提供多个VPN设备，并采用应用交付网关来将外网客户端的访问请求均衡地分配给该多个VPN设备进行处理。其中，该多个内网VPN设备的外部地址均可以采用应用交付网关的IP(Internet Protocol，网络协议)地址。
[0003]为了实现内网服务器对外网客户端的管理，要求内网服务器能够对各个外网客户端进行正确地访问。其中，内网服务器在请求访问外网客户端时，需要首先向内网VPN设备发送报文。内网VPN设备在接收到该报文后，需要对该报文进行重新封装，以使重新封装后的报文的目的地址指向与内网服务器请求访问的外网客户端对应的外网VPN设备的IP地址。
[0004]然而，由于各个外网客户端连接的外网VPN设备可能不同，并且并非在内网提供的所有内网VPN设备中都保存有与内网服务器请求访问的外网客户端对应的外网VPN设备的IP地址，因此内网服务器只有将第二报文发送给正确的内网VPN设备，才能保证将内网服务器发送的第二报文正确地转发给外网客户端，从而保证内网服务器对外网客户端的访问。由此可见，现有技术中，内网服务器可能存在无法有效访问外网客户端的问题。

【发明内容】

[0005]本发明提供一种报文转发方法及装置，以解决内网服务器无法有效访问外网客户端的问题。
[0006]根据本发明实施例的第一方面，提供一种报文转发方法，所述方法应用在与内网服务器直连的防火墙上，包括:
[0007]当接收到内网VPN设备发送的第一报文时，确定所述第一报文中的外网客户端IP地址以及所述内网VPN设备上和/或所述防火墙上用于传输所述第一报文的端口 ；
[0008]将所述确定的外网客户端IP地址与端口进行匹配，生成匹配关系；
[0009]当接收到所述内网服务器发送的第二报文时，从所述匹配关系中查找出与所述第二报文中的外网客户端IP地址匹配的端口 ；
[0010]通过查找出的端口，将所述第二报文转发给对应的内网VPN设备，以使所述内网VPN设备在对所述第二报文进行重新封装后，将重新封装后的第二报文转发给对应的外网VPN设备，再由所述外网VPN设备对所述重新封装后的第二报文进行解封装，并将解封装后的第二报文转发给对应的外网客户端。
[0011]根据本发明实施例的第二方面，提供一种报文转发装置，所述装置应用在与内网服务器直连的防火墙上，包括:
[0012]确定单元，用于当接收到内网VPN设备发送的第一报文时，确定所述第一报文中的外网客户端IP地址以及所述内网VPN设备上和/或所述防火墙上用于传输所述第一报文的端口 ；
[0013]生成单元，用于将所述确定的外网客户端IP地址与端口进行匹配，生成匹配关系;
[0014]查找单元，用于当接收到所述内网服务器发送的第二报文时，从所述匹配关系中查找出与所述第二报文中的外网客户端IP地址匹配的端口 ；
[0015]转发单元，用于通过查找出的端口，将所述第二报文转发给对应的内网VPN设备，以使所述内网VPN设备在对所述第二报文进行重新封装后，将重新封装后的第二报文转发给对应的外网VPN设备，再由所述外网VPN设备对所述重新封装后的第二报文进行解封装，并将解封装后的第二报文转发给对应的外网客户端。
[0016]本发明实施例中，防火墙通过首先在接收到内网VPN设备发送的第一报文时，确定该第一报文中的外网客户端IP地址以及内网VPN设备上和/或防火墙上用于传输该第一报文的端口，然后将确定的外网客户端IP地址与端口进行匹配，生成匹配关系，可以使防火墙在接收到内网服务器发送的第二报文后，从该匹配关系中查找出与该第二报文中的外网客户端IP地址匹配的端口，并通过查找出的端口，将该第二报文转发给对应的内网VPN设备。至此，内网服务器可以通过防火墙将第二报文发送给正确的内网VPN设备，从而可以实现内网服务器对外网客户端的有效访问。
【附图说明】
[0017]图1是应用本发明实施例实现报文转发的应用场景示意图；
[0018]图2是本发明报文转发方法的一个实施例流程图；
[0019]图3是本发明报文转发方法的另一个实施例流程图；
[0020]图4是本发明报文转发控制装置所在设备的一种硬件结构图；
[0021]图5是本发明报文转发装置的一个实施例框图。
【具体实施方式】
[0022]为了使本技术领域的人员更好地理解本发明实施例中的技术方案，并使本发明实施例的上述目的、特征和优点能够更加明显易懂，下面结合附图对本发明实施例中技术方案作进一步详细的说明。
[0023]参见图1，为应用本发明实施例实现报文转发的应用场景示意图。图1中，外网客户端可以具体为手机、PC (Personal Computer，个人计算机)等，内网VPN设备和外网VPN设备均可以为网关和路由器等。外网客户端在访问内网服务器时，可以首先将第一报文发送给外网VPN设备，该第一报文的源地址为外网客户端IP地址，目的地址为内网服务器IP地址。外网VPN设备在接收到该第一报文后，可以首先对该第一报文进行重新封装，以使重新封装后的第一报文的源地址为外网VPN设备的IP地址，目的地址为应用交付网关的IP地址，且该重新封装后的第一报文中还可以包括外网客户端IP地址和内网服务器IP地址，然后通过外网将重新封装后的第一报文发送给应用交付网关。应用交付网关在接收到该重新封装后的第一报文后，可以根据各个内网VPN设备的负载情况，将该重新封装后的第一报文发送给其中的一个内网VPN设备。内网的VPN设备在接收到该重新封装后的第一报文后，可以首先对该第一报文进行解封装，以使解封装后的第一报文的源地址为外网客户端IP地址，目的地址为内网服务器IP地址，然后通过防火墙将解封装后的第一报文发送给内网服务器。
[0024]内网服务器在访问外网客户端时，可以首先通过防火墙将第二报文发送给内网VPN设备，该第二报文的源地址为内网服务器IP地址，目的地址为外网客户端IP地址。内网VPN设备在接收到该第二报文后，可以首先对该第二报文进行重新封装，以使重新封装后的第二报文的源地址为应用交付网关的IP地址(即内网VPN设备的IP地址)，目的地址为与内网服务器请求访问的外网客户端对应的外网VPN设备的IP地址，且该重新封装后的第二报文中还可以包括外网客户端IP地址和内网服务器IP地址，然后通过应用交付网关将重新封装后的第二报文发送给对应的外网VPN设备。外网VPN设备在接收到该第二报文后，可以首先对该第二报文进行解封装，以使解封装后的第二报文的源地址为内网服务器IP地址，目的地址为外网客户端IP地址，然后将解封装后的第二报文发送给对应的外网客户端。
[0025]由于内网VPN设备在接收到第二报文后，首先需要对该第二报文进行重新封装，以使重新封装后的第二报文的目的地址为与内网服务器请求访问的外网客户端对应的外网VPN设备IP地址，然而，通常并非内网提供的所有VPN设备中都保存有与内网服务器请求访问的外网客户端对应的外网VPN设备的IP地址，因此内网服务器只有将第二报文发送给正确的内网VPN设备，才能保证将内网服务器发送的第二报文正确地转发给外网客户端，从而保证内网服务器对外网客户端的访问。
[0026]本发明实施例中，防火墙通过首先在接收到内网VPN设备发送的第一报文时，确定该第一报文中的外网客户端IP地址以及内网VPN设备上和/或防火墙上用于传输该第一报文的端口，然后将确定的外网客户端IP地址与端口进行匹配，生成匹配关系，可以使防火墙在接收到内网服务器发送的第二报文后，从该匹配关系中查找出与该第二报文中的外网客户端IP地址匹配的端口，并通过查找出的端口，将该第二报文转发给对应的内网VPN设备。至此，内网服务器可以通过防火墙将第二报文发送给正确的内网VPN设备，从而可以实现内网服务器对外网客户端的有效访问。
[0027]参见图2，为本发明报文转发方法的一个实施例流程图，该实施例从与内网服务器直连的防火墙侧进行描述，包括以下步骤:
[0028]步骤201、当接收到内网VPN设备发送的第一报文时，确定该第一报文中的外网客户端IP地址以及该内网VPN设备上和/或该防火墙上用于传输该第一报文的端口。
[0029]本实施例中，外网客户端在访问内网服务器时，可以首先向外网VPN设备发送第一报文。外网VPN设备在接收到该第一报文后，可以对该第一报文进行重新封装并将重新封装后的第一报文发送给应用交付网关，以使应用交付网关在接收到该重新封装后的第一报文后，可以根据各个内网VPN设备的负载情况，将该封装后的第一报文发送给其中的一个内网VPN设备。
[0030]内网VPN设备在接收到重新封装后的第一报文后，可以首先对该第一报文进行解封装，然后将解封装后的第一报文发送给与内网服务器直连的防火墙。由于解封装后的第一报文与外网客户端向外网VPN设备发送的第一报文相同，均包括外网客户端IP地址和内网服务器IP地址，因此防火墙在接收到解封装的第一报文后，可以确定该第一报文中的外网客户端的IP地址以及该内网VPN设备上和/或该防火墙上用于传输该第一报文的端口。其中，当只有内网VPN设备上用于发送该第一报文的端口固定不变时，防火墙可以只确定该内网VPN设备上用于发送该第一报文的端口 ；当只有防火墙上用于接收该第一报文的端口固定不变时，防火墙可以只确定该防火墙上用于接收该第一报文的端口；当内网VPN设备和防火墙上用于传输该第一报文的端口均固定不变时，防火墙可以分别确定该内网VPN设备上用于发送该第一报文的端口以及该防火墙上用于接收该第一报文的端口。
[0031]步骤202、将确定的外网客户端IP地址与端口进行匹配，生成匹配关系。
[0032]本实施例中，防火墙可以首先判断在本地是否存在与确定的外网客户端IP地址对应的匹配关系。若防火墙中存在与确定的外网客户端IP地址对应的匹配关系，则进一步判断确定的端口是否与该匹配关系中的端口相同，若相同，则不对该匹配关系进行更新，否贝1J，将该匹配关系中的端口更新为确定的端口，从而实现对该匹配关系的更新。另外，若防火墙中不存在与确定的外网客户端IP地址对应的匹配关系，则对确定的外网客户端IP地址与端口进行匹配，生成匹配关系。随着内网VPN设备上负载情况的变化，用于对外网客户端与内网服务器之间的交互报文进行转发的内网VPN设备可能发生变化，从而可能导致内网VPN设备和/或防火墙上用于传输该交互报文的端口发生变化。另外，随着时间的推移，内网VPN设备可能因性能不稳定而导致保存的外网VPN设备IP地址丢失。综上所述，本实施例通过对匹配关系进行更新，可以进一步保证内网服务器通过防火墙将第二报文发送给正确的内网VPN设备，从而可以进一步保证内网服务器对外网客户端的访问。
[0033]另外，防火墙可以统计距离下一次接收到包括该确定的外网客户端IP地址的报文(即外网客户端向内网服务器发送的第一报文和内网服务器向外网客户端发送的第二报文)的时长，然后判断该统计出的时长是否大于预设时间，若是，则将与该确定的外网客户端IP地址对应的匹配关系清除，否则，循环执行本步骤。本实施例通过在预设时间内不再接收到外网客户端与内网服务器之间的交互报文时，清除与该外网客户端IP地址对应的匹配关系，可以释放防火墙中的空间，从而提供防火墙的利用效率。
[0034]为了对外网客户端访问内网服务器的在线时长进行控制，管理员可以对允许各个外网客户端在线访问内网服务器的时间阈值进行设置，当外网客户端在线访问内网服务器的时长超过该设置的时间阈值时，强制该外网客户端下线。在这种情况下，防火墙可以对匹配关系的老化时间进行设置，当该匹配关系的老化时间超过该设置的时间阈值时，将该匹配关系清除。
[0035]具体地，由于防火墙在接收到内网VPN设备发送的第一报文，并确定该第一报文中的外网客户端IP地址后，只有当防火墙中不存在与确定的外网客户端IP地址对应的匹配关系时，才将确定的外网客户端IP地址与端口进行匹配，生成匹配关系，由此可见，当生成与确定的外网客户端IP地址对应的匹配关系时，对应的外网客户端刚上线。此时，防火墙可以开启计时，并判断计时的时长是否超过允许外网客户端在线访问内网服务器的时间阈值，若是，则将与该确定的外网客户端IP地址对应的匹配关系清除，由此可以释放防火墙中的空间，从而提供防火墙的利用效率。
[0036]步骤203、当接收到内网服务器发送的第二报文时，从该匹配关系中查找出与该第二报文中的外网客户端IP地址匹配的端口。
[0037]本实施例中，内网服务器在访问外网客户端时，可以首先向防火墙发送第二报文，该第二报文的源地址为内网服务器IP地址，目的地址为外网客户端IP地址。防火墙在接收到内网服务器发送的第二报文后，可以从该匹配关系中查找出与该第二报文中的外网客户端IP地址匹配的端口。
[0038]步骤204、通过查找出的端口，将该第二报文转发给对应的内网VPN设备，以使该内网VPN设备在对该第二报文进行重新封装后，将重新封装后的第二报文转发给对应的外网VPN设备，再由该外网VPN设备对该重新封装后的第二报文进行解封装，并将解封装后的第二报文转发给对应的外网客户端。
[0039]本实施例中，由于在连接内网VPN设备与防火墙时至少一侧设备采用固定端口进行连接，因此防火墙可以通过查找出的端口，将内网服务器发送的第二报文转发给正确的内网VPN设备，该正确的内网VPN设备中保存有与内网服务器请求访问的外网客户端对应的外网VPN设备的IP地址。
[0040]内网VPN设备在接收到内网服务器发送的第二报文后，可以首先对该第二报文进行重新封装，然后通过应用交付网关将重新封装后的第二报文发送给对应的外网VPN设备。外网VPN设备在接收到重新封装后的第二报文后，可以首先对该第二报文进行解封装，然后将解封装后的第二报文发送给对应的外网客户端。
[0041]由上述实施例可见，防火墙通过首先在接收到内网VPN设备发送的第一报文时，确定该第一报文中的外网客户端IP地址以及内网VPN设备上和/或防火墙上用于传输该第一报文的端口，然后将确定的外网客户端IP地址与端口进行匹配，生成匹配关系，可以使防火墙在接收到内网服务器发送的第二报文后，从该匹配关系中查找出与该第二报文中的外网客户端IP地址匹配的端口，并通过查找出的端口，将该第二报文转发给对应的内网VPN设备。至此，内网服务器可以通过防火墙将第二报文发送给正确的内网VPN设备，从而可以实现内网服务器对外网客户端的有效访问。
[0042]参见图3，为本发明报文转发方法的另一个实施例流程图，该实施例通过外网客户端与内网服务器之间的交互，详细描述了本发明实施例的报文转发过程:
[0043]步骤301、外网客户端向外网VPN设备发送第一报文。
[0044]步骤302、外网VPN设备对第一报文进行重新封装，以使重新封装后的第一报文的源地址为外网VPN设备的IP地址，目的地址为应用交付网关的IP地址，且该重新封装后的第一报文中可以包括外网客户端IP地址和内网服务器IP地址。
[0045]步骤303、外网VPN设备通过应用交付网关将重新封装后的第一报文发送给内网VPN设备。
[0046]步骤304、内网VPN设备对第一报文进行解封装，以使解封装后的第一报文的源地址为外网客户端IP地址，目的地址为内网服务器IP地址。
[0047]步骤305、内网VPN设备将解封装后的第一报文发送给防火墙。
[0048]步骤306、防火墙创建与该第一报文中的外网客户端IP地址对应的会话，该会话中可以包括五元组信息，即外网客户端IP地址、内网服务器IP地址，内网VPN上用于发送该第一报文的端口、防火墙上用于接收该报文的端口和传输协议。
[0049]步骤307、内网服务器向防火墙发送第二报文。
[0050]步骤308、防火墙根据该第二报文中的外网客户端IP地址，确定对应的会话。
[0051]步骤309、防火墙根据该确定的会话信息，将该第二报文转发给对应的内网VPN设备。至此，内网服务器通过防火墙将第二报文转发给正确的内网VPN设备。
[0052]步骤310、内网VPN设备对该第二报文进行重新封装，以使重新封装后的第二报文的源地址为应用交付网关的IP地址，目的地址为外网VPN设备的IP地址，且该重新封装后的第二报文中可以包括外网客户端IP地址和内网服务器IP地址。
[0053]步骤311、内网VPN设备通过应用交付网关将重新封装后的第二报文发送给对应的外网VPN设备。
[0054]步骤312、外网VPN设备对该第二报文进行解封装，以使解封装后的第二报文的源地址为内网服务器IP地址，目的地址为外网客户端IP地址。
[0055]步骤313、外网VPN设备将解封装后的第二报文发送给对应的外网客户端。
[0056]由上述实施例可见，防火墙通过首先在接收到内网VPN设备发送的第一报文时，确定该第一报文中的外网客户端IP地址以及内网VPN设备上和/或防火墙上用于传输该第一报文的端口，然后将确定的外网客户端IP地址与端口进行匹配，生成匹配关系，可以使防火墙在接收到内网服务器发送的第二报文后，从该匹配关系中查找出与该第二报文中的外网客户端IP地址匹配的端口，并通过查找出的端口，将该第二报文转发给对应的内网VPN设备。至此，内网服务器可以通过防火墙将第二报文发送给正确的内网VPN设备，从而可以实现内网服务器对外网客户端的有效访问。
[0057]与前述报文转发方法实施例相对应，本发明还提供了报文转发装置的实施例。
[0058]本发明报文转发装置的实施例可以分别应用在与内网服务器直连的防火墙上。装置实施例可以通过软件实现，也可以通过硬件或者软硬件结合的方式实现。以软件实现为例，作为一个逻辑意义上的装置，是通过其所在设备的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言，如图4所示，为本发明报文转发装置所在设备的一种硬件结构图，除了图4所示的处理器、网络接口、存储器之外，实施例中装置所在的设备通常还可以包括其他硬件，如负责处理报文的转发芯片等等；从硬件结构上来讲该设备还可能是分布式的设备，可能包括多个接口卡，以便在硬件层面进行报文处理的扩展。
[0059]参见图5，为本发明报文转发装置的一个实施例框图，所述装置应用在用于与内网服务器直连的防火墙上，所述装置包括:
[0060]确定单元510，用于当接收到内网VPN设备发送的第一报文时，确定所述第一报文中的外网客户端IP地址以及所述内网VPN设备上和/或所述防火墙上用于传输所述第一报文的端口；
[0061]生成单元520，用于将所述确定的外网客户端IP地址与端口进行匹配，生成匹配关系;
[0062]查找单元530，用于当接收到所述内网服务器发送的第二报文时，从所述匹配关系中查找出与所述第二报文中的外网客户端IP地址匹配的端口 ；
[0063]转发单元540，用于通过查找出的端口，将所述第二报文转发给对应的内网VPN设备，以使所述内网VPN设备在对所述第二报文进行重新封装后，将重新封装后的第二报文转发给对应的外网VPN设备，再由所述外网VPN设备对所述重新封装后的第二报文进行解封装，并将解封装后的第二报文转发给对应的外网客户端。
[0064]在一个可选的实现方式中，所述装置还包括:
[0065]判断单元550，用于在确定所述第一报文中的外网客户端IP地址以及所述内网VPN设备上和/或所述防火墙上用于传输所述第一报文的端口之后，判断所述防火墙中是否存在与所述确定的外网客户端IP地址对应的匹配关系；
[0066]更新单元560，用于若所述防火墙中存在与所述确定的外网客户端IP地址对应的匹配关系，则判断所述确定的端口是否与所述匹配关系中的端口相同，若不相同，则将所述匹配关系中的端口更新为所述确定的端口；
[0067]所述生成单元520，具体用于若所述防火墙中不存在与所述确定的外网客户端IP地址对应的匹配关系，则将所述确定的外网客户端IP地址与端口进行匹配，生成匹配关系O
[0068]在另一个可选的实现方式中，所述装置还包括:
[0069]计时单元570，用于在确定所述第一报文中的外网客户端IP地址以及所述内网VPN设备上和/或所述防火墙上用于传输所述第一报文的端口之后，统计距离下一次接收到包括所述确定的外网客户端IP地址的报文的时长；
[0070]清除单元580，用于判断所述统计出的时长是否超过预设时间，若是，则将与所述确定的外网客户端IP地址对应的匹配关系清除。
[0071]在另一个可选的实现方式中，
[0072]计时单元570，用于在将所述确定的外网客户端IP地址与端口进行匹配，生成匹配关系之后，开启计时；
[0073]清除单元580，用于判断计时的时长是否超过允许外网客户端在线访问内网服务器的时间阈值，若是，则将与所述确定的外网客户端IP地址对应的匹配关系清除。
[0074]上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程，在此不再赘述。
[0075]对于装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本发明方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。
[0076]由上述实施例可见，防火墙通过首先在接收到内网VPN设备发送的第一报文时，确定该第一报文中的外网客户端IP地址以及内网VPN设备上和/或防火墙上用于传输该第一报文的端口，然后将确定的外网客户端IP地址与端口进行匹配，生成匹配关系，可以使防火墙在接收到内网服务器发送的第二报文后，从该匹配关系中查找出与该第二报文中的外网客户端IP地址匹配的端口，并通过查找出的端口，将该第二报文转发给对应的内网VPN设备。至此，内网服务器可以通过防火墙将第二报文发送给正确的内网VPN设备，从而可以实现内网服务器对外网客户端的有效访问。
[0077]本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本发明的其它实施方案。本申请旨在涵盖本发明的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本发明未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本发明的真正范围和精神由下面的权利要求指出。
[0078]应当理解的是，本发明并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本发明的范围仅由所附的权利要求来限制。
【主权项】
1.一种报文转发方法，所述方法应用在与内网服务器直连的防火墙上，其特征在于，包括: 当接收到内网虚拟专用网络VPN设备发送的第一报文时，确定所述第一报文中的外网客户端网络协议IP地址以及所述内网VPN设备上和/或所述防火墙上用于传输所述第一报文的端口； 将所述确定的外网客户端IP地址与端口进行匹配，生成匹配关系； 当接收到所述内网服务器发送的第二报文时，从所述匹配关系中查找出与所述第二报文中的外网客户端IP地址匹配的端口 ； 通过查找出的端口，将所述第二报文转发给对应的内网VPN设备，以使所述内网VPN设备在对所述第二报文进行重新封装后，将重新封装后的第二报文转发给对应的外网VPN设备，再由所述外网VPN设备对所述重新封装后的第二报文进行解封装，并将解封装后的第二报文转发给对应的外网客户端。2.根据权利要求1所述的方法，其特征在于，在确定所述第一报文中的外网客户端IP地址以及所述内网VPN设备上和/或所述防火墙上用于传输所述第一报文的端口之后，所述方法还包括: 判断所述防火墙中是否存在与所述确定的外网客户端IP地址对应的匹配关系； 若所述防火墙中存在与所述确定的外网客户端IP地址对应的匹配关系，则判断所述确定的端口是否与所述匹配关系中的端口相同，若不相同，则将所述匹配关系中的端口更新为所述确定的端口； 所述将所述确定的外网客户端IP地址与端口进行匹配，生成匹配关系包括:若所述防火墙中不存在与所述确定的外网客户端IP地址对应的匹配关系，则将所述确定的外网客户端IP地址与端口进行匹配，生成匹配关系。3.根据权利要求1所述的方法，其特征在于，在确定所述第一报文中的外网客户端IP地址以及所述内网VPN设备上和/或所述防火墙上用于传输所述第一报文的端口之后，所述方法还包括: 统计距离下一次接收到包括所述确定的外网客户端IP地址的报文的时长； 判断所述统计出的时长是否超过预设时间，若是，则将与所述确定的外网客户端IP地址对应的匹配关系清除。4.根据权利要求2所述的方法，其特征在于，在将所述确定的外网客户端IP地址与端口进行匹配，生成匹配关系之后，所述方法还包括: 开启计时； 判断计时的时长是否超过允许外网客户端在线访问内网服务器的时间阈值，若是，则将与所述确定的外网客户端IP地址对应的匹配关系清除。5.一种报文转发装置，所述装置应用在与内网服务器直连的防火墙上，其特征在于，包括: 确定单元，用于当接收到内网VPN设备发送的第一报文时，确定所述第一报文中的外网客户端IP地址以及所述内网VPN设备上和/或所述防火墙上用于传输所述第一报文的端口 ； 生成单元，用于将所述确定的外网客户端IP地址与端口进行匹配，生成匹配关系； 查找单元，用于当接收到所述内网服务器发送的第二报文时，从所述匹配关系中查找出与所述第二报文中的外网客户端IP地址匹配的端口 ； 转发单元，用于通过查找出的端口，将所述第二报文转发给对应的内网VPN设备，以使所述内网VPN设备在对所述第二报文进行重新封装后，将重新封装后的第二报文转发给对应的外网VPN设备，再由所述外网VPN设备对所述重新封装后的第二报文进行解封装，并将解封装后的第二报文转发给对应的外网客户端。6.根据权利要求5所述的装置，其特征在于，所述装置还包括: 判断单元，用于在确定所述第一报文中的外网客户端IP地址以及所述内网VPN设备上和/或所述防火墙上用于传输所述第一报文的端口之后，判断所述防火墙中是否存在与所述确定的外网客户端IP地址对应的匹配关系； 更新单元，用于若所述防火墙中存在与所述确定的外网客户端IP地址对应的匹配关系，则判断所述确定的端口是否与所述匹配关系中的端口相同，若不相同，则将所述匹配关系中的端口更新为所述确定的端口； 所述生成单元，具体用于若所述防火墙中不存在与所述确定的外网客户端IP地址对应的匹配关系，则将所述确定的外网客户端IP地址与端口进行匹配，生成匹配关系。7.根据权利要求5所述的装置，其特征在于，所述装置还包括: 计时单元，用于在确定所述第一报文中的外网客户端IP地址以及所述内网VPN设备上和/或所述防火墙上用于传输所述第一报文的端口之后，统计距离下一次接收到包括所述确定的外网客户端IP地址的报文的时长； 清除单元，用于判断所述统计出的时长是否超过预设时间，若是，则将与所述确定的外网客户端IP地址对应的匹配关系清除。8.根据权利要求6所述的装置，其特征在于，所述装置还包括: 计时单元，用于在将所述确定的外网客户端IP地址与端口进行匹配，生成匹配关系之后，开启计时； 清除单元，用于判断计时的时长是否超过允许外网客户端在线访问内网服务器的时间阈值，若是，则将与所述确定的外网客户端IP地址对应的匹配关系清除。
【文档编号】H04L12/741GK105991442SQ201510221087
【公开日】2016年10月5日
【申请日】2015年4月30日
【发明人】李全高
【申请人】杭州迪普科技有限公司