[发明专利]监控会话流的方法及装置

说明书

技术领域

本发明涉及会话流监控技术，尤其涉及一种监控会话流的方法及装置。

背景技术

在网络安全设备如防火墙中，普遍采用会话流状态跟踪技术来实现对经过网络安全设备的会话流进行监控管理，达到对特定非可信的会话流进行识别及阻断的目的。

会话流即端到端的数据连接及通过端到端的数据连接传输的信息。在传输控制协议(Transmission Control Protocol，TCP)/因特网协议(Internet，Protocol，IP)协议里面，通常使用5元组信息：源IP地址、目的IP地址、协议号、TCP/用户数据报协议(User Data Protocol，UDP)源端口号、TCP/UDP目的端口号来识别一个会话流。

网络安全设备内通常使用一张会话流状态跟踪表(以下简称流表)来管理众多的会话流，并存储有该会话流的处理策略如阻断、通过或者其他附加处理操作。

在上述会话流状态跟踪技术框架下，一个会话流的处理过程如图1所示。该会话流的首个报文到达时，建立一个新的会话流表项，添加到流表中；对该会话流进行安全策略匹配、审核，并将处理策略结果更新到新建立的会话流表项中。当该会话流的后续报文即非首个报文到达时，由于流表已经存有该会话流的信息，因此直接查找流表；按照对应会话流表项即新建立的会话流表项中的处理策略对该会话流进行处理。

然而，某些特殊协议存在两个或多个相互关联的会话流，通常其中一个会话流为主控制连接会话流，其它会话流为该主控制连接所生成的附属连接会话流，建立过程如下：首先是客户端向服务器发起控制连接请求，以与服务器建立连接。连接建立后，客户端与服务器协商出附属连接的端口号，并发起建立相应的附属连接的操作。

以文件传输协议(File Transfer Protocol，FTP)协议中的主动模式为例，一个完整的FTP传输需要建立两个TCP连接：控制连接、数据连接。控制连接为初始主连接，数据连接为协商生成的附属连接。假设服务器端IP地址为10.0.0.1，监听FTP控制连接TCP端口号为21的端口，设客户端IP地址为10.1.0.2。建立FTP传输时，客户端使用内部随机分配的端口(假设端口号为12345)，向服务器端口号为21的端口发起控制连接请求。经过TCP三次握手，建立起该控制连接，即TCP连接：10.1.0.2:12345<->10.0.0.1:21。然后，

客户端通过协商命令，向服务器端发起数据传输请求命令，内容包含：客户端IP地址及客户端的端口号(假设为12346)。服务器端收到数据传输请求后，以端口号为20的端口为源端口，主动发起向客户端端口12346(即端口号为12346的端口)的TCP连接请求，通过三次握手，成功建立起数据连接，即TCP连接：10.0.0.1:20<->10.1.0.2:12346。此后，双方通过数据连接传递文件数据内容。

假设网络安全设备如图2所示，处于客户端与服务器端口之间，需要在二者之间做安全策略检查，服务器端监听的是FTP控制连接端口号为21的端口，为使上述FTP访问能正常进行，通常需要配置安全策略规则，允许指定的客户端用户可以访问上述指定服务器的TCP端口号为21的端口。但是，上述FTP的数据连接即附属连接，其端口号是客户端与服务器端动态协商确定的，且是从服务器端口主动向客户端发起的连接请求，通常不能符合预设的安全策略，从而导致数据连接不能建立，也就无法完成FTP传输。

为解决上述问题，通常在上述控制连接建立后，跟踪扫描控制连接的协商命令，抽取协商确定的客户端/服务器的IP地址端口号信息，动态生成一个安全策略规则，使得后续的数据连接请求能命中该动态安全策略规则，并被允许通过。具体如图3所示，网络安全设备构造了一个额外的动态规则表，若新的报文到达，但是未匹配到已存在的会话流，在执行安全策略匹配审核之前，先进行动态规则的匹配。若动态规则匹配成功，则略过安全策略匹配审核，直接设置安全策略匹配审核通过。

如生成的动态规则为：RULE：协议号＝TCP，源IP＝10.0.0.1，源端口＝任意，目的IP＝10.1.0.2，目的端口＝12346；则当服务器端使用端口号为20的端口向客户端端口号为12346的端口主动发起数据连接时，显然会命中上述动态规则，从而直接通过安全采路匹配审核，不再进行普通安全策略的匹配审核，使得FTP数据传输得以正常进行。