会话备份方法、报文转发方法及其装置制造方法

会话备份方法、报文转发方法及其装置制造方法
【专利摘要】本发明提供一种会话备份方法、报文转发方法及其装置，应用于防火墙集群中的任一安全设备，该会话备份方法包括：当根据接收到的请求报文创建会话时，将请求报文的源地址转换为预设源地址；按照请求报文的源地址和目的地址计算第一位置，以及按照请求报文转换后的源地址和目的地址计算第二位置，并将第一位置和第二位置中的任一位置作为会话的备份位置，将另一位置作为会话的导向位置；其中，所述导向位置存储用于查询会话位置的查询表项，所述会话的备份位置存储会话的备份数据。在本发明的技术方案中，通过创建会话备份位置和会话导向位置，使得无论基于请求报文的地址信息或是响应报文的地址信息，都可以顺利实现对报文的正确转发。
【专利说明】会话备份方法、报文转发方法及其装置
【技术领域】
[0001]本发明涉及通信【技术领域】，尤其涉及会话备份方法、报文转发方法及其装置。
【背景技术】
[0002]防火墙集群是将多台防火墙捆绑使用，可以按照需要新增或减少防火墙以调整防火墙集群的整体性能。如图1所示，由防火墙1、防火墙2、防火墙3和防火墙4构成了防火墙集群，且该防火墙集群部署在路由设备11和路由设备12之间。在工作过程中，流量可以通过链路捆绑方式分担到防火墙。
[0003]出于数据安全性的考虑，防火墙集群通常配置有NAT (Network AddressTranslation,网络地址转换)业务功能。比如路由设备11将请求报文分配至防火墙I处理，假定该请求报文的源地址为X、目的地址为Y，则经过NAT转换后的源地址为Z。
[0004]基于防火墙集群的冗余技术，防火墙I根据上述请求报文创建会话后，需要选择另一台防火墙进行会话备份。而该备份防火墙是根据会话的特征信息计算得到的，但根据请求报文的源地址X、目的地址Y进行计算的备份位置，与根据响应报文的源地址Y、目的地址Z进行计算的备份位置不同。
[0005]因此，当路由设备12将响应报文分配至除防火墙I之外的任一防火墙时，该防火墙既不能够直接处理响应报文，也无法根据响应报文的信息计算出正确的会话备份位置(即首先根据请求报文的信息计算得到的备份位置)，无法利用会话备份数据来指导响应报文的转发。

【发明内容】

[0006]有鉴于此，本发明提供一种新的技术方案，可以通过创建会话备份位置和会话导向位置，使得无论基于请求报文的地址信息或是响应报文的地址信息，都可以顺利实现对报文的正确转发。
[0007]为实现上述目的，本发明提供技术方案如下:
[0008]一种会话备份方法，应用于防火墙集群中的任一安全设备，包括:
[0009]当根据接收到的请求报文创建会话时，将所述请求报文的源地址转换为预设源地址；
[0010]按照所述请求报文的源地址和目的地址计算第一位置，以及按照所述请求报文转换后的源地址和所述目的地址计算第二位置，并将所述第一位置和所述第二位置中的任一位置作为所述会话的备份位置，将另一位置作为所述会话的导向位置；
[0011]其中，所述导向位置存储用于查询会话位置的查询表项，所述会话的备份位置存储会话的备份数据。
[0012]相应地，本发明还提出了一种会话备份装置，应用于防火墙集群中的任一安全设备，包括:
[0013]地址转换单元，用于在根据接收到的请求报文创建会话时，将所述请求报文的源地址转换为预设源地址；
[0014]处理单元，用于按照所述请求报文的源地址和目的地址计算第一位置，以及按照所述请求报文转换后的源地址和所述目的地址计算第二位置，并将所述第一位置和所述第二位置中的任一位置作为所述会话的备份位置，将另一位置作为所述会话的导向位置；
[0015]其中，所述导向位置存储用于查询会话位置的查询表项，所述会话的备份位置存储会话的备份数据。
[0016]根据本发明的另一方面，还提出了一种报文转发方法，应用于防火墙集群中的任一安全设备，包括:
[0017]根据接收到的报文的源地址和目的地址计算出位置信息；
[0018]当所述位置信息对应于会话备份位置时，根据所述会话备份位置存储的会话备份数据，指导所述报文的转发；以及
[0019]当所述位置信息对应于会话导向位置时，根据所述会话导向位置存储的匹配于所述报文的查询表项，指导所述报文的转发。
[0020]相应地，本发明还提出了一种报文转发装置，应用于防火墙集群中的任一安全设备，包括:
[0021]位置计算单元，用于根据该报文的源地址和目的地址计算出位置信息；
[0022]第一报文转发单元，用于在所述位置信息对应于会话备份位置的情况下，根据所述会话备份位置存储的会话备份数据，指导所述报文的转发；
[0023]第二报文转发单元，用于在所述位置信息对应于会话导向位置的情况下，根据所述会话导向位置存储的匹配于所述报文的查询表项，指导所述报文的转发。
[0024]由以上技术方案可见，本发明通过创建会话备份位置和会话导向位置，使得无论基于请求报文的地址信息或是响应报文的地址信息，都可以顺利实现对报文的正确转发。
【专利附图】

【附图说明】
[0025]图1示出了相关技术中防火墙集群的结构示意图；
[0026]图2示出了根据本发明的一个实施例的会话备份方法的示意流程图；
[0027]图3A示出了根据本发明的一个实施例的根据会话备份指导报文转发的示意图；
[0028]图3B示出了根据本发明的另一个实施例的根据会话备份指导报文转发的示意图；
[0029]图4示出了根据本发明的一个实施例的会话备份装置的结构示意图；
[0030]图5示出了根据本发明的一个实施例的报文转发装置的结构示意图。
【具体实施方式】
[0031]本发明通过创建会话备份位置和会话导向位置，使得无论基于请求报文的地址信息或是响应报文的地址信息，都可以顺利实现对报文的正确转发。
[0032]为对本发明进行进一步说明，提供下列实施例:
[0033]图2示出了根据本发明的一个实施例的会话备份方法的示意流程图。
[0034]如图2所示，根据本发明的一个实施例的会话备份方法应用于防火墙集群中的任一安全设备，包括:[0035]步骤202，当根据接收到的请求报文创建会话时，将所述请求报文的源地址转换为预设源地址。
[0036]步骤204，按照所述请求报文的源地址和目的地址计算第一位置，以及按照所述请求报文转换后的源地址和所述目的地址计算第二位置，并将所述第一位置和所述第二位置中的任一位置作为所述会话的备份位置，将另一位置作为所述会话的导向位置。
[0037]具体地，会话备份位置(即会话的备份位置)用于存储会话备份数据，并通过该会话备份数据来直接指导报文的转发；而会话导向位置(即会话的导向位置)则用于存储查询表项，可查询会话位置，以实现对报文转发的间接指导。基于对会话备份位置和会话导向位置的不同选择方式，下面将结合图3A和图3B，对多种较为具体的示例性实施例进行说明。
[0038]实施例一
[0039]图3A示出了根据本发明的一个实施例的根据会话备份指导报文转发的示意图。
[0040]如图3A所示，网络设备11根据请求报文的源地址X、目的地址Y，从防火墙集群中选择出相应的防火墙，以用于处理该请求报文。具体地，比如可以根据源地址X和目的地址Y进行哈希(HASH)计算，以实现对请求报文的正确分配。
[0041]假定请求报文 被分配至防火墙集群中的防火墙1，则防火墙I根据请求报文创建会话，即防火墙I作为会话创建位置。防火墙I根据请求报文的源地址X和目的地址Y，计算出当前会话的备份位置，比如为防火墙3。同时，防火墙I对请求报文执行NAT转换，将源地址X转换为新的源地址Z，则防火墙I还根据请求报文的新的源地址Z和目的地址Y，计算出当前会话的导向位置，比如为防火墙2。
[0042]本领域技术人员应该理解的是，对于会话备份位置或会话导向位置的计算方式有很多，通常可采用哈希运算，对于其它计算方式并实施例并不做限定，只要能够根据报文的地址信息(如上述的源地址和目的地址)确定唯一的位置即可。作为一种较为具体的示例性实施例，下面以根据请求报文的地址信息来计算会话备份位置为例进行说明。
[0043]
【权利要求】
1.一种会话备份方法，应用于防火墙集群中的任一安全设备，其特征在于，包括: 当根据接收到的请求报文创建会话时，将所述请求报文的源地址转换为预设源地址； 按照所述请求报文的源地址和目的地址计算第一位置，以及按照所述请求报文转换后的源地址和所述目的地址计算第二位置，并将所述第一位置和所述第二位置中的任一位置作为所述会话的备份位置，将另一位置作为所述会话的导向位置； 其中，所述导向位置存储用于查询会话位置的查询表项，所述会话的备份位置存储会话的备份数据。
2.根据权利要求1所述的会话备份方法，其特征在于，将另一位置作为所述会话的导向位置具体包括: 生成对应于所述会话的查询表项，该查询表项中包含报文匹配信息和所述会话的创建位置； 将所述查询表项发送并存储至所述导向位置。
3.根据权利要求2所述的会话备份方法，其特征在于，所述查询表项中还包含所述会话的备份位置。
4.一种会话备份装置，应用于防火墙集群中的任一安全设备，其特征在于，包括: 地址转换单元，用于在根据接收到的请求报文创建会话时，将所述请求报文的源地址转换为预设源地址； 处理单元，用于按照所述请求报文的源地址和目的地址计算第一位置，以及按照所述请求报文转换后的源地址和所述目的地址计算第二位置，并将所述第一位置和所述第二位置中的任一位置作为所述会话的备份位置，将另一位置作为所述会话的导向位置； 其中，所述导向位置存储用于查询会话位置的查询表项，所述会话的备份位置存储会话的备份数据。
5.根据权利要求4所述的会话备份装置，其特征在于，所述处理单元具体用于: 生成对应于所述会话的查询表项，并将所述查询表项发送并存储至所述导向位置，该查询表项中包含报文匹配信息和所述会话的创建位置。
6.根据权利要求5所述的会话备份装置，其特征在于，所述查询表项中还包含所述会话的备份位置。
7.一种报文转发方法，应用于防火墙集群中的任一安全设备，其特征在于，包括: 根据接收到的报文的源地址和目的地址计算出位置信息； 当所述位置信息对应于会话备份位置时，根据所述会话备份位置存储的会话备份数据，指导所述报文的转发；以及 当所述位置信息对应于会话导向位置时，根据所述会话导向位置存储的匹配于所述报文的查询表项，指导所述报文的转发。
8.根据权利要求7所述的报文转发方法，其特征在于，所述根据所述会话导向位置存储的匹配于所述报文的查询表项，指导所述报文的转发，具体包括: 查询表项中包含会话创建位置时，根据所述会话创建位置，将所述报文发送至对应于所述会话创建位置的安全设备，以由该安全设备处理所述报文。
9.根据权利要求7所述的报文转发方法，其特征在于，所述根据所述会话导向位置存储的匹配于所述报文的查询表项，指导所述报文的转发，具体包括:查询表项中包含会话备份位置时，根据所述会话备份位置获取所述会话备份数据，并指导所述报文的转发。
10.一种报文转发装置，应用于防火墙集群中的任一安全设备，其特征在于，包括: 位置计算单元，用于根据该报文的源地址和目的地址计算出位置信息； 第一报文转发单元，用于在所述位置信息对应于会话备份位置的情况下，根据所述会话备份位置存储的会话备份数据，指导所述报文的转发； 第二报文转发单元，用于在所述位置信息对应于会话导向位置的情况下，根据所述会话导向位置存储的匹配于所述报文的查询表项，指导所述报文的转发。
11.根据权利要求10所述的报文转发装置，其特征在于，所述第二报文转发单元具体用于: 在所述查询表项中包含会话创建位置的情况下，根据所述查询表项指导所述报文的转发。
12.根据权利要求10所述的报文转发装置，其特征在于，所述第二报文转发单元具体用于: 在所述查询表项中 包含会话备份位置的情况下，根据所述会话备份位置获取所述会话备份数据，并指导所述报文的转发。
【文档编号】H04L29/06GK103973573SQ201410212399
【公开日】2014年8月6日 申请日期:2014年5月16日 优先权日:2014年5月16日
【发明者】蔡自彬 申请人:杭州华三通信技术有限公司