[发明专利]防火墙设备、流控制传输协议SCTP报文的处理方法

权利要求书

1.一种防火墙设备，其特征在于，包括：接收模块、发送模块和处理模块；其中：

所述接收模块，用于截获第一主机向第二主机发送的流控制传输协议SCTP偶联建立请求INIT报文，所述INIT报文用于发起建立所述第一主机和所述第二主机之间的SCTP偶联的过程；

所述发送模块，用于将所述INIT报文透传给所述第二主机；其中，所述处理模块在所述接收模块截获所述INIT报文后，不针对所述SCTP偶联申请连接资源；

所述接收模块，还用于截获所述第一主机向所述第二主机发送的第一COOKIE ECHO报文；

所述处理模块，用于从所述第一COOKIE ECHO报文中获取用于验证所述SCTP偶联上传输的SCTP报文时所需的验证信息，并在从所述第一COOKIE ECHO报文中获取验证信息后，申请所述连接资源，所述连接资源用于记录从所述第一COOKIE ECHO报文中获取的验证信息；

所述处理模块，还用于在所述连接资源中记录从所述第一COOKIE ECHO报文中获取的验证信息。

2.如权利要求1所述的设备，其特征在于，

所述接收模块，还用于在所述发送模块将所述INIT报文透传给所述第二主机之后，所述接收模块截获所述第一COOKIE ECHO报文之前，截获所述第二主机向所述第一主机发送的第一INIT确认ACK报文，所述第一INIT ACK报文响应于所述INIT报文；

所述处理模块，还用于从所述第一INIT ACK报文中获取验证信息，并根据从所述第一INIT ACK报文中获取的验证信息生成第一状态COOKIE；从所述第一INIT ACK报文中获取第二状态COOKIE，并将所述第一状态COOKIE和所述第二状态COOKIE组合成第三状态COOKIE；将所述第一INIT ACK报文中的所述第二状态COOKIE替换为所述第三状态COOKIE后生成第二INIT ACK报文；

所述发送模块，还用于将所述第二INIT ACK报文发送给所述第一主机；

所述第一COOKIE ECHO报文响应于所述INIT ACK报文，所述处理模块具体用于：

从所述第一COOKIE ECHO报文中获取第四状态COOKIE；

在对所述第四状态COOKIE验证合法后，从所述第四状态COOKIE中分离出所述第一状态COOKIE；

根据从所述第四状态COOKIE中分离出的所述第一状态COOKIE生成用于验证所述SCTP偶联上传输的SCTP报文时所需的验证信息。

3.如权利要求2所述的设备，其特征在于，

所述处理模块，还用于在从所述第一COOKIE ECHO报文中获取所述第四状态COOKIE之后，从所述第四状态COOKIE中分离出所述第二状态COOKIE；将所述第一COOKIE ECHO报文中的所述第四状态COOKIE替换为从所述第四状态COOKIE中分离出的所述第二状态COOKIE后，生成第二COOKIE ECHO报文；

所述发送模块，还用于将所述第二COOKIE ECHO报文发送给所述第二主机。

4.如权利要求1～3任一项所述的设备，其特征在于，所述验证信息包括：

所述第一主机的互联网协议IP地址；

所述第一主机的SCTP端口号；

所述第一主机使用的验证标签verify tag；

所述第二主机的互联网协议IP地址列表；

所述第二主机的SCTP端口号；

所述第二主机使用的验证标签verify tag。