[发明专利]报文转发方法及装置

说明书

本发明实施例涉及一种报文转发方法及装置。所述方法包括：从WAF的第一虚接口接收客户端发送的第一请求报文，第一请求报文包括所述客户端待访问的服务器的域名；根据服务器的域名，获取服务器的IP地址；根据服务器的IP地址查找已存储的转发信息，生成第二请求报文，第二请求报文的源IP地址为WAF的第二虚接口的IP地址，目的IP地址为服务器的IP地址；通过第二虚接口向WAF的下一跳网络设备发送第二请求报文，以使下一跳网络设备向服务器转发第二请求报文。通过为WAF配置相互独立的多个虚接口，将WAF访问Web Server的流量通过第二虚空口接口转发，减轻了网关和LB设备的负担。

技术领域

本发明涉及通信技术领域，尤其涉及一种报文转发方法及装置。

背景技术

目前，为了保护网络服务器(Web Server)不会受到外网的攻击。在Web Server前架设网络应用防火墙/防护系统(也称：网站应用级入侵防御系统，英文：Web ApplicationFirewall，简称：WAF)。通过WAF的反向代理功能，在转发客户端发送的请求报文前，对请求进行一次清洗。也即，只有合法的请求报文才会被送到Web Server处进行处理，不合法的请求报文将被WAF进行安全策略过滤而丢弃。

如图1a-图1d为现有技术中客户端通过WAF访问Web Server以及Web Server通过WAF回应客户端的流程示意图。以客户端发送的请求为超文本传输协议(英文：Hyper TextTransfer Protocol，简称：HTTP)请求报文为例，图1a所示为客户端访问WAF的流程。HTTP请求报文到达防火墙后，防火墙根据网络地址转换原则，将HTTP请求报文通过网关转发至负载均衡(英文：Load Balance，简称：LB)设备。LB选择一个WAF后，再次将HTTP请求报文发送至网关，网关将HTTP请求转发至选择出的WAF。

图1b所示为WAF访问Web Server的流程。WAF的业务检测接口在接收到HTTP请求报文后，对HTTP请求报文进行安全策略匹配。若HTTP请求报文为合法报文，则对该HTTP请求报文进行代理。通过业务检测接口，将HTTP请求报文发送至网关。网关向LB设备发送HTTP请求报文。LB设备确定该HTTP请求报文为发送至Web Server的请求报文后，再发送至网关。由网关将该HTTP请求报文发送至Web Server处。

图1c所示为Web Server回应WAF的流程。Web Server收到HTTP请求报文后，对HTTP请求报文进行回应，将回应报文发送至网关。网关收到回应报文后，将回应报文转发至WAF所在私网中。图1d所示为WAF回应客户端的流程。WAF回应客户端的流程为图1a客户端访问WAF的流程的逆过程，在此不再复述。

在对上述流程的描述可知，在图1b所示的流程中，由于WAF向网关发送的HTTP请求报文的源网络协议(英文：Internet Protocol，简称：IP)地址为WAF的业务检测接口的IP地址，网关在根据自身的转发表进行匹配时，会将该HTTP请求报文直接转发至LB设备，由LB设备进行地址匹配后转发至网关，最后再由网关发送至Web Server，这使得WAF访问WebServer的路径在网关和LB设备上存在冗余转发，增加了网关和LB设备的负担。

发明内容

有鉴于此，本发明提出了一种报文转发方法及装置，减轻了网关和LB设备的负担，同时，也实现了WAF访问Web Server的流量与外网访问WAF的流量隔离。

在第一方面，本发明提供了一种报文转发方法，所述方法应用于Web应用防护系统WAF，所述方法包括：

从所述WAF的第一虚接口接收客户端发送的第一请求报文，所述第一请求报文包括所述客户端待访问的服务器的域名；

根据所述服务器的域名，获取所述服务器的IP地址；