[发明专利]报文路由方法及装置

说明书

本发明提供一种报文路由方法及装置，属于信息安全技术领域。该报文路由方法包括：接收来自防火墙的请求报文，在请求报文中加入初始报文标记和请求报文对应的防火墙连接标记；将加入初始报文标记和防火墙连接标记的请求报文发送至请求报文中的目的地址对应的服务器，以使服务器根据该请求报文生成回复报文；接收来自服务器的回复报文，根据回复报文中的防火墙连接标记与预设连接标记的匹配结果和回复报文中的初始报文标记与预设报文标记的匹配结果，修改初始报文标记；将回复报文发送至修改后的初始报文标记对应的防火墙。本发明可以保证报文的进出口防火墙一致，消除非对称路由带来的影响，避免服务访问失败。

技术领域

本发明涉及信息安全技术领域，具体地，涉及一种报文路由方法及装置。

背景技术

网络报文从源到目的地时，如果源地址和目标地址不在一个网段，报文在传输过程中需要经过多个具有报文转发功能的节点，这种转发被称为路由，专门负责转发的设备被称为路由器。路由器根据收到数据包中的网络层地址以及路由器内部维护的路由表决定输出端口以及下一跳地址，并且重写链路层数据包头实现转发数据包。

静态路由是最简单的一种路由方式，即网络管理员根据规则在转发设备上设定静态的路由表项，路由器在转发时在该表项中根据目的地地址搜索对应报文的下一跳地址，然后将报文发送至该下一跳地址。

动态路由是与静态路由相对的一个概念，指路由器能够根据路由器之间的交换的特定路由信息自动地建立自己的路由表，并且能够根据链路和节点的变化适时地进行自动调整。当网络中节点或节点间的链路发生故障，或存在其它可用路由时，动态路由可以自行选择最佳的可用路由并继续转发报文。在多运营商的网络环境下，动态路由的实现时很有必要的，可以根据不同运营商的目的地址，选择不同的路由路径，实现更快速的网络访问。

在通常配置的静态路由网络环境中，一般来说，节点A访问节点B和节点B访问节点A的网络路径是一致的，这种路由称为对称路由，但是在动态路由的网络环境中，经常会存在节点A访问节点B和节点B访问节点A的网络路径不一致，这种路由被称为非对称路由。

图1是现有技术中的报文转发示意图。如图1所示，一个网络站点对外提供WEB服务，一组服务器为X运营商的用户提供服务，从X运营商的出口路由映射到一个X运营商的公网IP，一组服务器为Y运营商的用户提供服务，从Y运营商的出口路由映射到一个Y运营商的公网IP，在环境内部配置动态路由，服务器传输数据到公网用户时，如果公网用户为X运营商的用户，通过X运营商的出口路由发送到网上，如果公网用户为Y运营商的用户时，通过Y运营商的出口路由发送到网上。当用户为Y运营商的用户，直接访问X运营商的服务器映射到公网的IP请求服务，X运营商的服务器接受到请求后，回包时判断目标地址为Y运营商的地址，所以从Y运营商的出口路由转发、经过Y运营商的防火墙到公网，此时同一个连接的进流量和出流量通过不同的路由，出现非对称路由的情况。

非对称路由本身在网络传输上没有问题，但是在一些网络环境中，每个出口都会配有出口防火墙，出口防火墙一般会限制报文进出必须走同一个防火墙，这就导致了出现非对称路由的访问时，回复报文会被防火墙阻拦，致使服务访问失败。

业内通常避免非对称路由的方法为在每个节点配置源地址转换，以上场景为例，Y运营商的用户通过X运营商的路由器访问X运营商的服务器的时候，X运营商的路由器会将报文的源地址转换为X运营商的路由器的对内地址，X运营商的服务器在回复请求的时候就会直接回复给X运营商的路由器，X运营商的路由器再转发该请求报文给Y运营商的用户。这种方法会导致服务器接受到的所有请求都是由路由器发起的，在配有审计的网络环境中，来自X运营商的路由器的报文就会被判定为攻击源而被阻拦，导致服务不可访问。

发明内容

本发明实施例的主要目的在于提供一种报文路由方法及装置，以保证报文的进出口防火墙一致，消除非对称路由带来的影响，避免服务访问失败。

为了实现上述目的，本发明实施例提供一种报文路由方法，包括：