[发明专利]报文转板处理方法及装置

说明书

本公开提供一种报文转板处理方法及装置，涉及边界安全技术领域。该方法包括：获取第一请求报文的特征信息；确定第二业务板槽位号；若第二业务板槽位号与第一业务板槽位号不一致，则第一业务板将第一请求报文的特征信息发送给第二业务板，以使第二业务板创建报文转板信息表；将第一请求报文发送给资源服务器；接收资源服务器发送的第一响应报文；根据第二五元组信息查询报文转板信息表；若第二五元组信息命中报文转板信息表的任一条第一响应报文的五元组信息，则根据报文转板信息表对应的表项信息，将第一响应报文转板发送至第一业务板，以使第一请求报文和第一响应报文均由第一业务板处理。采用本方法能够保证SSLVPN会话的完整性。

技术领域

本公开涉及边界安全技术领域，尤其涉及一种报文转板处理方法及装置。

背景技术

分布式系统下，设备采用多个交换板、多个业务板共同提供数据转发、处理功能；报文到达交换板，交换板基于源IP、目的IP将报文分流到指定业务板处理，实现多业务板负载分担数据处理业务。

SSLVPN(Secure Session LayerVirtual Private Network，安全会话层虚拟专用网络)用于远程用户通过互联网安全、高效的访问企业内部网络资源。客户端访问企业内网资源，资源请求报文从客户端通过SSLVPN隧道发往网络安全设备，网络安全设备将资源请求报文处理后发给资源服务器，资源服务器发送回复报文给网络安全设备，之后由网络安全设备处理后通过SSLVPN隧道发给客户端，对于网络安全设备而言，SSLVPN会话的正向报文、反向报文的源IP与目的IP不一致，基于源IP与目的IP哈希分流，正向报文和反向报文可能被分流到不同的业务板处理，而在网络安全领域，因某些业务模块需要通过正向报文、反向报文信息处理业务，因此分布式系统下必须保证同一会话正、反向报文由相同业务板处理，保证会话连接的完整性。

相关技术中，采用网络地址转换技术实现SSLVPN会话的正向报文、反向报文经过交换板分流后由相同的业务板处理，但是源转换地址的选择与地址池的配置有关，这种方法无法保证一定能找到使得正向报文、反向报文分流到相同业务板的源转换地址，所以无法保证正反向报文由相同业务板处理，进而无法保证SSLVPN会话的完整性。综上，现有技术中缺少能够保证SSLVPN会话完整性的方法。

发明内容

为了解决上述技术问题或者至少部分地解决上述技术问题，本公开提供了一种报文转板处理方法，解决了分布式系统下无法保证正向报文、反向报文由同一业务板进行处理导致会话不完整的问题。

为了实现上述目的，本公开实施例提供技术方案如下：

第一方面，本公开的实施例提供一种报文转板处理方法，应用于网络安全设备，所述网络安全设备包括：一个交换板以及至少两个业务板；所述方法包括：

获取第一请求报文的特征信息；第一请求报文的特征信息包括：第一五元组信息以及第一业务板槽位号；所述第一五元组信息包括：第一源IP、第一目的IP、第一源端口、第一目的端口以及第一传输协议；所述第一业务板槽位号为所述第一请求报文被哈希分流后对应的业务板槽位号；

基于所述第一源IP、以及所述第一目的IP确定第二业务板槽位号；所述第二业务板槽位号为负责处理第一响应报文的业务板槽位号；

若所述第二业务板槽位号与所述第一业务板槽位号不一致，则第一业务板将所述第一请求报文的特征信息发送给第二业务板，以使所述第二业务板基于所述第一请求报文的特征信息创建报文转板信息表；所述报文转板信息表由至少一条第一响应报文的五元组信息以及至少一个第一业务板槽位号组成；

将所述第一请求报文发送给资源服务器；

接收所述资源服务器发送的第一响应报文；所述第一响应报文携带有第二五元组信息；所述第二五元组信息包括：第二源IP、第二目的IP、第二源端口、第二目的端口以及第二传输协议；

根据所述第二五元组信息查询所述报文转板信息表；