一种报文标识处理方法、装置及存储介质

一种报文标识处理方法、装置及存储介质

　　技术领域

　　本公开涉及网络通信技术领域，尤其涉及一种报文标识处理方法、装置及存储介质。

　　背景技术

　　目前，网络终端都是使用私网地址，然后通过上行的运营商进行网络地址转换(Network Address Translation，NAT)之后，将报文的源地址转换成公网地址再去访问外部网络。

　　IP报文是在网络层传输的数据单元，也叫IP数据报，IP报文的首部中有一个报文标识(identification)字段，以下简称IPID，这个字段占16位，IP协议软件在存储器中会维持一个计数器，每产生一个数据报计数器就加1，并且将此值赋给标识字段。但是这个“标识”不是序号，因为IP是无连接服务，数据报不存在按序接收的问题。如果当内网存在多个主机用户，那么每个主机发出去的报文的IP首部标识字段IPID都是按照自己的主机进行排序的，当这些报文经过防火墙设备发送到外网之后，外网的攻击人员很可能根据报文的IPID的变化规律来分析内网有多少个主机或者进行内网的探测，不利于网络的安全。

　　发明内容

　　有鉴于此，本公开提供一种报文标识处理方法、装置及存储介质，用于解决IP报文的报文标识字在外网容易造成信息泄露，易引起网络攻击的技术问题。

　　基于本公开一实施例，本公开提供了一种报文标识处理方法，该方法应用于位于内网的防火墙设备，包括：

　　接收位于内网中的一个或多个设备发送的IP报文；

　　对需要向外网转发的IP报文进行网络地址转换即NAT转换；

　　根据预设的报文标识转换策略，对内网中不同设备发送的经NAT转换的IP报文的报文标识字段进行统一转换。

　　进一步地，所述根据预设的报文标识转换策略，对内网中不同设备发送的经NAT转换的IP报文的报文标识字段进行统一转换的方法为：

　　以输出正整数递增序列的时间函数生成新的报文标识，并按报文的先后顺序依次替换每个向外网转发的IP报文的报文标识字段。

　　进一步地，所述根据预设的报文标识转换策略，对内网中不同设备发送的经NAT转换的IP报文的报文标识字段进行统一转换的方法为：

　　以内网中首个经过NAT转换的IP报文的报文标识值作为初始值，以该初始值递增逐一替换后续经过NAT转换的IP报文中的报文标识。

　　进一步地，所述根据预设的报文标识转换策略，对内网中不同设备发送的经NAT转换的IP报文的报文标识字段进行统一转换的方法为：

　　以内网中首个经过NAT转换的IP报文的报文长度值作为初始值，以该初始值递增逐一替换所有经NAT转换后的IP报文的报文标识。

　　基于本公开实施例的另一方面，本公开还提供了一种报文标识处理装置，该装置应用于位于内网的防火墙设备，该装置包括：

　　接收模块，用于接收位于内网中的一个或多个设备发送的IP报文；

　　NAT转换模块，用于对需要向外网转发的IP报文进行NAT转换；

　　报文标识替换模块，用于根据预设的报文标识转换策略，对内网中不同设备发送的经NAT转换的IP报文的报文标识字段进行统一转换。

　　进一步地，报文标识替换模块以输出正整数递增序列的时间函数生成新的报文标识，并按报文的先后顺序依次替换每个向外网转发的IP报文的报文标识字段。

　　进一步地，报文标识替换模块以内网中首个经过NAT转换的IP报文的报文标识值作为初始值，以该初始值递增逐一替换后续经过NAT转换的IP报文中的报文标识。

　　进一步地，报文标识替换模块以内网中首个经过NAT转换的IP报文的报文长度值作为初始值，以该初始值递增逐一替换所有经NAT转换后的IP报文的报文标识。

　　基于本公开实施，本公开还提供了一种存储介质，其上存储有计算机程序，所述计算机程序当被处理器执行时实现如前述报文标识处理方法的方法步骤的功能。

　　本公开实施例中，防火墙设备在对IP报文进行NAT转换后，对内网中不同设备发送的经NAT转换的IP报文的报文标识字段进行统一转换，以使向外网转发的IP报文的报文标识按照一种规律统一编码递增，从而避免了外网的网络攻击者或恶意网络信息窃取者通过分析内网用户向外发送的报文的报文标识获知内网用户数量等内网信息，提高网络安全性。

　　附图说明

　　为了更加清楚地说明本公开实施例或者现有技术中的技术方案，下面将对本公开实施例或者现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本公开中记载的一些实施例，对于本领域普通技术人员来讲，还可以根据本公开实施例的这些附图获得其他的附图。

　　图1为本公开一实施例中的组网示意图；

　　图2为本公开一实施例提供的一种报文标识处理方法步骤流程图；

　　图3为本公开一实施例提供的一种报文标识处理装置结构示意图；

　　图4为本公开一实施例提供的一种报文标识处理设备结构示意图。

　　具体实施方式

　　在本公开实施例使用的术语仅仅是出于描述特定实施例的目的，而非限制本公开实施例。本公开实施例中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其它含义。本公开中使用的术语“和/或”是指包含一个或多个相关联的列出项目的任何或所有可能组合。

　　应当理解，尽管在本公开实施例可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本公开实施例范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，此外，所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

　　图1为本公开一实施例中的组网示意图，用户的终端设备通过内部的防火墙或带防火墙功能的转发设备连接到外网服务器，假设用户的内部网络有3个终端通过防火墙之后访问外网服务器，终端访问外网服务器的时候每个终端发送的IP报文的IPID都是按照自己的顺序递增的。发明人经过分析发现，如果外网的网络攻击者或恶意网络信息窃取者通过分析内网用户通过防火墙发往外网的报文的IPID字段获取内网用户数量等内网信息，例如通过在外网监听IP报文中的IPID的变化规律，可以窥探到内网用户个数为3等信息，从而造成内网信息暴露。

　　为了解决内网信息暴露从而造成安全隐患的技术问题，本公开一实施例提供了一种报文标识处理方法，图2为该方法的步骤流程图，该方法应用于位于内网的防火墙设备，该方法包括：

　　步骤201.接收位于内网中的一个或多个设备发送的IP报文；

　　该步骤中，防火墙设备可接收多个内网设备发送端IP报文。这些IP报文可能是发往内网中其他设备的，也可能是发往外网的。

　　步骤202.对需要向外网转发的IP报文进行NAT转换；

　　该步骤中，防火墙设备在接收到内网中的一个或多个终端设备发送的IP报文后，根据报文的目的地址进行判断，若判定是需要向外网转发IP报文，则需要进行内网地址到公网地址的NAT转换。

　　步骤203.根据预设的报文标识转换策略，对内网中不同设备发送的经NAT转换的IP报文的报文标识字段进行统一转换。

　　该步骤中，防火墙按时间顺序，可能接受到多个内网设备向外网发送的IP报文，特别的是，在该步骤中，防火墙设备会使用预设的报文标识转换策略，对所有向外转发的IP报文的报文标识字段进行统一转换，以使得位于外网的攻击者无法根据监听到的IP报文的报文标识的变化规律获取到内网的信息。

　　本公开一实施例中，所述根据预设的报文标识转换策略对向外网转发的IP报文的报文标识字段进行统一转换的方法可以为以下方法中的一种但不限于以下方法：

　　方法一、以输出正整数递增序列的时间函数生成新的报文标识，并按报文的先后顺序依次替换每个向外网转发的IP报文的报文标识字段。

　　例如，在本公开一实施例中，在对报文的IP地址进行NAT转换之后，按照报文执行NAT转换的先后顺序，对报文的IPID字段也进行顺序排序。假设时间函数为f(t)，t为对报文标识进行处理的时刻的时间，输出代表当前时刻的一个正整数值，将该正整数值替换报文中的报文标识IPID。例如可通过操作系统提供的时间函数获取当前的时间戳替换报文标识。假设依次接收到经过NAT转换后的报文1、报文2、报文3，报文1由终端1发送，报文2为终端2发送的，报文3由终端3发送。当接收到报文1时，通过时间函数获取当前时刻的时间戳1，以时间戳1替换报文1的IPID，接收到报文2时，通过时间函数获取当前时刻的时间戳2，以时间戳2替换报文2的IPID，依次类推。

　　方法二、以内网中首个经过NAT转换的IP报文的报文标识值作为初始值，以该初始值递增逐一替换后续经过NAT转换的IP报文中的报文标识。

　　方法三、以内网中首个经过NAT转换的IP报文的报文长度值作为初始值，以该初始值递增逐一替换所有经NAT转换后的IP报文的报文标识。

　　图3为本公开一实施例提供的一种报文标识处理装置结构示意图，该装置300中的各功能模块可以采用软件模块形式实现，也可以采用硬件单元方式实现。该装置300的各模块的功能与本公开实施提供的报文标识处理方法中的各步骤具有对应关系。该装置300应用于位于内网的防火墙设备，该装置包括：

　　接收模块310，用于接收位于内网中的一个或多个设备发送的IP报文；

　　NAT转换模块320，用于对需要向外网转发的IP报文进行NAT转换；

　　报文标识替换模块330，用于根据预设的报文标识转换策略，对内网中不同设备发送的经NAT转换的IP报文的报文标识字段进行统一转换。

　　基于本公开一实施例，报文标识替换模块330以输出正整数递增序列的时间函数生成新的报文标识，并按报文的先后顺序依次替换每个向外网转发的IP报文的报文标识字段。

　　基于本公开一实施例，报文标识替换模块330以内网中首个经过NAT转换的IP报文的报文标识值作为初始值，以该初始值递增逐一替换后续经过NAT转换的IP报文中的报文标识。

　　基于本公开一实施例，报文标识替换模块330以内网中首个经过NAT转换的IP报文的报文长度值作为初始值，以该初始值递增逐一替换所有经NAT转换后的IP报文的报文标识。

　　图4为本公开一实施例提供的一种报文标识处理设备结构示意图，该设备400包括：诸如中央处理单元(CPU)的处理器410、内部总线420、网络接口440以及计算机可读存储介质430。其中，处理器410与计算机可读存储介质430可以通过内部总线420相互通信。计算机可读存储介质430内可存储本公开提供的用于实施报文标识处理方法的计算机程序，当计算机程序被处理器410执行时即可实现本公开提供的方法的各步骤功能。

　　以上所述仅为本公开的实施例而已，并不用于限制本公开。对于本领域技术人员来说，本公开可以有各种更改和变化。凡在本公开的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本公开的保护范围之内。