[发明专利]一种用于状态防火墙的报文转发方法和装置

说明书

本申请实施例提供一种用于状态防火墙的报文转发方法和装置，该报文转发方法包括：获取首包报文；将首包报文和状态防火墙中的连接表进行第二次匹配，获得与首包报文对应的连接表项，其中，连接表包括连接表项，连接表项与首包报文对应的转发必要信息相关联，连接表项是在首包报文第一次匹配失败时建立的；根据连接表项，查找转发必要信息；根据转发必要信息，对首包报文进行转发。借助于上述技术方案，本申请实施例不仅可实现连接表的验证，还确保了后续非首包报文可以根据连接表查询到对应的转发必要信息，进而解决了状态防火墙的稳定性较差的问题。

技术领域

本申请涉及计算机领域，尤其涉及一种用于状态防火墙的报文转发方法和装置。

背景技术

状态防火墙(Stateful firewall)是一种能够提供状态数据包检查或状态查看功能的防火墙，能够持续追踪穿过这个防火墙的各种网络连接(例如，传输控制协议(Transmission Control Protocol，TCP)连接与用户数据报协议(User DatagramProtocol，UDP)连接)的状态。这种防火墙被设计来区分不同连接种类下的合法封包，只有符合主动连接的封包才能够被允许穿过防火墙，其他的封包都会被拒绝。目前，首包报文在经过状态防火墙的规则查找通过后，可在状态防火墙中的连接表内建立对应的连接表项。随后，再通过路由查找和进一步的地址解析协议(Address Resolution Protocol，ARP)查找来获得转发必要信息。随后，再根据转发必要信息来转发首包报文，并将转发必要信息和建立的连接表项进行关联，以备后续报文的快速转发。

在实现本发明的过程中，发明人发现现有技术中存在如下问题：由于转发首包报文的过程和将转发必要信息关联至建立的连接表项的过程是相互独立的，从而，在一些情况下，将转发必要信息关联至建立的连接表项的动作甚至会晚于转发首包报文的动作。因为一般只有首包报文可以创建连接，如果转发了首包报文，却不能保证转发必要信息和所建立的连接表项有效关联，则将不能再匹配连接后获得转发必要信息，即无法实现后续报文的转发，从而业务流将被中止。

发明内容

本申请实施例的目的在于提供的一种用于状态防火墙的报文转发方法和装置，以解决现有技术中存在着的状态防火墙的稳定性较差的问题。

第一方面，本申请实施例提供了一种用于状态防火墙的报文转发方法，该报文转发方法包括：获取首包报文；将首包报文和状态防火墙中的连接表进行第二次匹配，获得与首包报文对应的连接表项，其中，连接表包括连接表项，连接表项与首包报文对应的转发必要信息相关联，连接表项是在首包报文第一次匹配失败时建立的；根据连接表项，查找转发必要信息；根据转发必要信息，对首包报文进行转发。

因此，本申请实施例通过在连接表中建立与首包报文对应的连接表项，以及将连接表项与首包报文对应的转发必要信息进行关联之后，再次将首包报文和连接表进行二次匹配，然后根据获得的连接表项查找转发必要信息，从而可对首包报文进行转发。从而通过上述技术方案，不仅可实现连接表的验证，还确保了后续非首包报文可以根据连接表查询到对应的转发必要信息，进而解决了状态防火墙的稳定性较差的问题。

在一个可能的实施例中，在将首包报文和状态防火墙中的连接表进行第二次匹配之前，报文转发方法还包括：将首包报文和连接表进行第一次匹配；在首包报文和连接表第一次匹配失败的情况下，在连接表中建立连接表项；将连接表项和转发必要信息进行关联。

在一个可能的实施例中，转发必要信息包括出接口和下一跳介质访问控制MAC地址；或者，转发必要信息包括出接口、虚拟局域网VLAN号和下一跳介质访问控制MAC地址。