本申请实施例提供了一种协议报文转发方法,涉及网络通信技术领域。该方法包括:通过接收发送端发送的协议报文;提取协议报文的通用字段,通用字段中包括协议报文的四元组信息;在预先建立的协议知识库中搜索四元组信息,根据搜索结果确定协议报文中的拓展字段和数据字段;若确定切换为第一处理模式,则获取对应协议报文中通用字段、拓展字段和数据字段中的至少一个字段的、预先配置的策略;将可执行的策略作为目标策略,根据四元组信息将协议报文中目标策略对应的字段发送至接收端,本申请实施例能够在复杂组网环境下,对于网闸无法识别的协议,无需定制开发即可实现数据摆渡和访问控制,减少了开发成本。减少了开发成本。减少了开发成本。
【技术实现步骤摘要】
报文转发方法、装置、交换机、路由器及服务器
[0001]本申请涉及网络通信
,具体而言,本申请涉及一种报文转发方法、装置、电子设备、交换机、路由器以及服务器。
技术介绍
[0002]随着电子政务建设的不断发展,很多组织的内部网络与外部网络之间交换的数据越来越多,为了保证内部网络和外部网络进行数据交换时的数据为安全的数据,即不仅要进行数据交换,还要保证交换的数据为安全的数据,将不安全的数据进行隔离,此时需要用到网络隔离技术。
[0003]网络隔离技术的主要目标是将有害的网络安全威胁隔离开,以保障数据在可信网络内进行安全交互。网闸产品即应用了网络隔离技术,网闸产品具备深度应用层协议解析过滤能力,可针对HTTP协议、FTP协议、POP3协议、SMTP协议和TNS协议等多种应用层协议进行深度解析并制定相应的安全策略。
[0004]然而当前网闸产品对仅支持上述已知协议,能够对上述已知协议进行深度解析,对于用户自定义的协议或未知协议,主要使用透明传输或路由模式或通用的TCP/UDP方式直接将未知协议进行转发,无法进行对用户自定义协议或未知协议深度剖析和制定相应的安全策略,使得数据摆渡的过程中存在较大的安全隐患,另外,现有技术中其他方案进行深度解析是需要进行定制化开发,开发过程中消耗的成本较高。
技术实现思路
[0005]本专利技术实施例提供一种克服上述问题或者至少部分地解决上述问题的报文转发方法、装置、电子设备、存储介质和计算机程序。
[0006]第一方面,提供了一种报文转发方法,该方法包括:接收发送端发送的协议报文;提取协议报文的通用字段,通用字段中包括协议报文的四元组信息;在预先建立的协议知识库中搜索四元组信息,根据搜索结果确定协议报文中的拓展字段和数据字段;若确定切换为第一处理模式,则获取对应协议报文中通用字段、拓展字段和数据字段中的至少一个字段的、预先配置的策略;将可执行的策略作为目标策略,根据四元组信息将协议报文中目标策略对应的字段发送至接收端。
[0007]在一个可能的实现方式中,根据搜索结果确定协议报文中的拓展字段和数据字段,包括:若搜索到四元组信息,则获取协议知识库中与四元组信息对应的拓展字段在协议报文中的位置信息和数据字段在协议报文中的位置信息;根据位置信息,从协议报文中确定拓展字段和数据字段。
[0008]在一个可能的实现方式中,根据搜索结果确定协议报文中的拓展字段和数据字段,包括:若未搜索到四元组信息,则将协议报文中除通用字段之外的数据作为数据字段。
[0009]在一个可能的实现方式中,从协议报文中确定拓展字段和数据字段,之后还包括:对数据字段进行定义,得到定义后的数据字段,并将定义后的数据字段添加至拓展字段以更新拓展字段,在协议知识库中更新四元组信息在协议报文中的位置关系和拓展字段在协议报文中的位置关系间的对应关系。
[0010]在一个可能的实现方式中,则将协议报文中除通用字段之外的数据作为数据字段,之后还包括:对数据字段进行定义,得到定义后的数据字段,并确定定义后的数据字段为拓展字段;在协议数据库中创建四元组信息在协议报文中的位置信息和拓展字段在协议报文中的位置信息间的对应关系。
[0011]在一个可能的实现方式中,根据搜索结果确定协议报文中的拓展字段和数据字段,之后还包括:若确定切换为第二处理模式,则将拓展字段和数据字段发送至接收端。
[0012]第二方面,提供了一种报文转化装置,该装置包括:接收模块,用于接收发送端发送的协议报文;四元组信息提取模块,用于提取协议报文的通用字段,通用字段中包括协议报文的四元组信息;拓展字段和数据字段确定模块,用于在预先建立的协议知识库中搜索四元组信息,根据搜索结果确定协议报文中的拓展字段和数据字段;策略获取模块,用于若确定切换为第一处理模式,则获取对应协议报文中通用字段、拓展字段和数据字段中的至少一个字段的、预先配置的策略;发送模块,用于将可执行的策略作为目标策略,根据四元组信息将协议报文中目标策略对应的字段发送至接收端。
[0013]在一个可能的实现方式中,拓展字段和数据字段确定模块还包括:位置信息确定子模块,用于若搜索到四元组信息,则获取协议知识库中与四元组信息对应的拓展字段在协议报文中的位置信息和数据字段在协议报文中的位置信息;拓展字段和数据字段子模块,根据位置信息,从协议报文中确定拓展字段和数据字段。
[0014]在一个可能的实现方式中,拓展字段和数据字段确定模块,还包括:数据字段确定子模块,用于若未搜索到四元组信息,则将协议报文中除通用字段之外的数据作为数据字段。
[0015]在一个可能的实现方式中,拓展字段和数据字段确定模块还包括:拓展字段更新子模块,用于对数据字段进行定义,得到定义后的数据字段,并将定义后的数据字段添加至拓展字段以更新拓展字段,在协议知识库中更新四元组信息在协议报文中的位置关系和拓展字段在协议报文中的位置关系间的对应关系。
[0016]在一个可能的实现方式中,将协议报文中除通用字段之外的数据作为数据字段,
之后还包括:拓展字段确定子模块,用于对数据字段进行定义,得到定义后的数据字段,并确定定义后的数据字段为拓展字段;对应关系创建模块,用于在协议数据库中创建四元组信息在协议报文中的位置信息和拓展字段在协议报文中的位置信息间的对应关系。
[0017]在一个可能的实现方式中,根据搜索结果确定协议报文中的拓展字段和数据字段,之后还包括:第二发送模块,用于若确定切换为第二处理模式,则将拓展字段和数据字段发送至接收端。
[0018]第三方面,本专利技术实施例提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行程序时实现如第一方面所提供的方法的步骤。
[0019]第四方面,本专利技术实施例提供了一种交换机,该交换机用于执行实现如第一方面所提供的方法的步骤。
[0020]第五方面,本申请实施例提供了一种路由器,该路由器用于实现如第一方面所提供的方法的步骤。
[0021]第六方面,本申请实施例提供了一种服务器,该服务器包括存储器,该存储器用于存储计算机程序;还包括处理器,该处理器用于实现如第一方面所提供的方法的步骤。
[0022]本专利技术实施例提供的报文转发方法、装置、电子设备及存储介质,通过接收发送端发送的协议报文;提取协议报文的通用字段,通用字段中包括协议报文的四元组信息;在预先建立的协议知识库中搜索四元组信息,根据搜索结果确定协议报文中的拓展字段和数据字段;若确定切换为第一处理模式,则获取对应协议报文中通用字段、拓展字段和数据字段中的至少一个字段的、预先配置的策略;将可执行的策略作为目标策略,根据四元组信息将协议报文中目标策略对应的字段发送至接收端,本申请实施例能够在复杂组网环境下,对于网闸无法识别的协议,无需定制开发即可实现数据摆渡和访问控制,减少了开发成本。
附图说明
[0023]为了更清楚地说明本申请实施例中的技术方案,下面将对本申请实施例描述中所需要使本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种报文转发方法,其特征在于,包括:接收发送端发送的协议报文;提取所述协议报文的通用字段,所述通用字段中包括所述协议报文的四元组信息;在预先建立的协议知识库中搜索所述四元组信息,根据搜索结果确定所述协议报文中的拓展字段和数据字段;若确定切换为第一处理模式,则获取对所述协议报文中通用字段、拓展字段和数据字段中的至少一个字段的、预先配置的策略;将可执行的所述策略作为目标策略,根据所述四元组信息将所述协议报文中所述目标策略对应的字段发送至接收端。2.根据权利要求1所述的报文转发方法,其特征在于,所述根据搜索结果确定所述协议报文中的拓展字段和数据字段,包括:若搜索到所述四元组信息,则获取所述协议知识库中与所述四元组信息对应的拓展字段在所述协议报文中的位置信息和数据字段在所述协议报文中的位置信息;根据所述位置信息,从所述协议报文中确定所述拓展字段和数据字段。3.根据权利要求1所述的报文转发方法,其特征在于,所述根据搜索结果确定所述协议报文中的拓展字段和数据字段,包括:若未搜索到所述四元组信息,则将所述协议报文中除所述通用字段之外的数据确定为数据字段。4.根据权利要求2所述的报文转发方法,其特征在于,所述从所述协议报文中确定所述拓展字段和数据字段,之后还包括:对所述数据字段进行定义,得到定义后的数据字段,并将所述定义后的数据字段添加至所述拓展字段以更新所述拓展字段,在所述协议知识库中更新所述四元组信息在所述协议报文中的位置关系和所述拓展字段在所述协议报文中的位置关系间的对应关系。5.根据权利要求3所述的报文转发方法,其特征在于,所述则将所述协议报文中除所述通用字段之外的数据作为数据字段,之后还包括:对所述数据字段进行定义,得到定义后的数据字段,并确定...
【专利技术属性】
技术研发人员:王东升,赵立伟,王冬娟,阎博,张孝安,
申请(专利权)人:紫光恒越技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。