[发明专利]一种报文处理方法、装置、设备及可读存储介质

说明书

本发明公开了一种报文处理方法、装置、设备及可读存储介质，该方法包括：获取第一设备发送给第二设备的第一报文；第一设备与第一IP协议对应，第二设备与第二IP协议对应；根据第一报文，创建连接跟踪中请求方向信息；对第一报文进行地址转换，得到与第二IP协议对应的第二报文；根据第二报文，创建连接跟踪中的回复方向信息；根据建好的连接跟踪，发送第二报文给第二设备。在本方法中，可仅通过构建一条连接跟踪，便可使得网络设备能够支持IPV4网络和IPV6网络，减少建立连接跟踪数量，简化走协议栈的流程，可提高网络设备的处理性能。

技术领域

本发明涉及安全保障技术领域，特别是涉及一种报文处理方法、装置、设备及可读存储介质。

背景技术

连接跟踪(CONNTRACK)：跟踪并且记录连接状态。Linux系统为每一个经过网络堆栈的数据包，生成一个新的连接记录项(Connection entry)。此后，所有属于此连接的数据包都被唯一地分配给这个连接，并标识连接的状态。连接跟踪是防火墙模块的状态检测的基础，同时也是地址转换中实现SNAT和DNAT的前提，也是NAT64与NAT46的基础。

当前网络中IPv4与IPv6的实现是分离的，根据NAT64转换基本原理，可以发现诸如AF防火墙(Application Firewall，应用防火墙)等不同网络间的网络设备，需要同时支持IPv4网络与IPv6网络。例如，在AF防火墙中需要同时维护IPv4的连接跟踪与IPv6的连接跟踪。也就是说，当IPV6协议对应用户穿过防火墙访问IPV4的服务器，或者IPV4协议对应用户穿过防火墙访问IPV6的服务器时，防火墙上就会同时存在IPV4和IPV6共2条连接跟踪。不同协议的用户与服务器之间进行访问对于同一个请求需要建立2条连接跟踪，相较于IPV4用户访问IPV4服务器，IPV6用户访问IPV6服务器这种只需建立一条连接跟踪的情况，使得防火墙整体性能下降至少50％。

综上所述，如何有效地提高处理不同IP协议网络间报文处理的性能等问题，是目前本领域技术人员急需解决的技术问题。

发明内容

本发明的目的是提供一种报文处理方法、装置、设备及可读存储介质，对于用户访问与其IP协议不同的服务器，仅建立一条连接跟踪，提高防火墙的处理性能。

为解决上述技术问题，本发明提供如下技术方案：

一种报文处理方法，包括：

获取第一设备发送给第二设备的第一报文；所述第一设备与第一IP协议对应，所述第二设备与第二IP协议对应；

根据所述第一报文，创建连接跟踪中请求方向信息；

对所述第一报文进行地址转换，得到与所述第二IP协议对应的第二报文；

根据所述第二报文，创建所述连接跟踪中的回复方向信息；

根据建好的所述连接跟踪，发送所述第二报文给所述第二设备。

优选地，在所述创建连接跟踪中请求方向信息之前，还包括：

判断是否已存在与所述第一报文匹配的所述连接跟踪；

如果否，则执行所述根据所述第一报文，创建连接跟踪中请求方向信息及其后续所有步骤；

如果是，则根据建好的所述连接跟踪，发送所述第二报文给所述第二设备。

优选地，所述判断是否已存在与所述第一报文匹配的所述连接跟踪，包括：

查询已经存储的连接跟踪表；

若在所述连接跟踪表中查询到与所述第一报文匹配的记录，则判定已存在所述连接跟踪；

若在所述连接跟踪表中未查询到与所述第一报文匹配的记录，则判定不存在所述连接跟踪。