[发明专利]一种确定报文地址的方法、防火墙及存储介质

说明书

本发明公开了一种确定报文地址的方法、防火墙及存储介质，包括：防火墙确定接收的报文携带SRH后，获取SRH中的Segment List列表中第一个Segment；将所述Segment作为目的地址。采用本发明，可以使SRv6端到端互通问题得以解决。

技术领域

本发明涉及通信技术领域，特别涉及一种确定报文地址的方法、防火墙及存储介质。

背景技术

防火墙(Firewall)，也称防护墙，是由Check Point创立者Gil Shwed于1993年发明并引入国际互联网(US5606668(A)1993-12-15)。它是一种位于内部网络与外部网络之间的网络安全系统。是一项信息安全的防护系统，依照特定的规则，允许或是限制传输的数据通过。

按照防火墙所采用的技术，它可分为以下几种类型：

1、包过滤防火墙。

第一代防火墙和最基本形式防火墙检查每一个通过的网络包，或者丢弃，或者放行，取决于所建立的一套规则。这称为包过滤防火墙。包过滤防火墙一般在路由器上实现，用以过滤用户定义的内容。包过滤防火墙的工作原理是：系统在网络层检查数据包，与应用层无关。这样系统就具有很好的传输性能，可扩展能力强。

2、状态检测防火墙。

状态检测防火墙，跟踪通过防火墙的网络连接和包，这样防火墙就可以使用一组附加的标准，以确定是否允许和拒绝通信。它是在使用了基本包过滤防火墙的通信上应用一些技术来做到这里的。一个状态检测防火墙跟踪的不仅是包中包含的信息。为了跟踪包的状态，防火墙还记录有用的信息以帮助识别包，例如已有的网络连接、数据的传出请求等。如果传入的包包含视频数据流，而防火墙可能已经记录了有关信息，是关于位于特定口地址的应用程序最近向发出包的源地址请求视频信号的信息。如果传入的包是要传给发出请求的相同系统，防火墙进行匹配，包就可以被允许通过。

3、应用代理防火墙。

应用代理防火墙实际上并不允许在它连接的网络之间直接通信。相反，它是接受来自内部网络特定用户应用程序的通信，然后建立于公共网络服务器单独的连接。应用程序代理防火墙检查所有应用层的信息包，并将检查的内容信息放入决策过程，从而提高网络的安全性。然而，应用网关防火墙是通过打破客户机/服务器模式实现的。另外，每个代理需要一个不同的应用进程，或一个后台运行的服务程序，对每个新的应用必须添加针对此应用的服务程序，否则不能使用该服务。所以，应用代理防火墙具有可伸缩性差的缺点。

对于包过滤防火墙和状态检测防火墙，都会对经过防火墙的数据包的五元组(源IP地址、目的IP地址、源端口号、目的端口号、传输层协议)信息进行记录和匹配。目前应用较多的是状态检测防火墙，图1为状态防火墙报文检测过程示意图，它的报文检测过程如图1所示。当防火墙收到一条流量的首包时，会对该报文进行过滤规则检查，并将判断结果作为该条流量的“状态”记录下来。

图2为IPv6报文通过防火墙过程示意图，IPv6(互联网协议第6版，InternetProtocol Version 6)报文通过防火墙过程如图2所示，当Client(客户端)向Server(服务端)端发起请求时，IPv6报文通过防火墙创建会话表，当Server端向Client端回复报文时，防火墙在会话表中查找，命中会话表中已记录的状态，使报文通过。