技術領域

本發明涉及網絡安全技術領域，特別是涉及一種路由方法及裝置。

背景技術

現有的路由技術通常根據數據包的目的IP地址信息等地址信息完成路由。傳統技術中的路由裝置總是根據數據包的目標IP地址將數據包轉發到不同的鏈路上。

然而，傳統技術中的路由裝置只是僅僅根據上述地址信息將數據包進行轉發，而不能對數據包的安全性進行評估，因此，傳統技術中的路由方法安全性不足。

發明內容

基于此，有必要提供一種能提高安全性的路由方法。

一種路由方法，包括：

獲取數據包；

獲取風險識別規則；

根據所述風險識別規則獲取與所述數據包匹配的鏈路；

通過所述鏈路轉發所述數據包。

在其中一個實施例中，所述方法還包括：

獲取風險識別規則配置請求；

根據所述風險識別規則配置請求生成風險識別規則。

在其中一個實施例中，所述根據所述風險識別規則獲取與所述數據包匹配的鏈路的步驟包括：

獲取所述數據包對應的包頭內容和/或正文內容；

根據所述風險識別規則獲取與所述包頭內容和/或正文內容匹配的鏈路。

在其中一個實施例中，所述根據所述風險識別規則獲取與所述包頭內容和/或正文內容匹配的鏈路的步驟為：

根據所述風險識別規則通過比對字符串獲取與所述包頭內容和/或正文內容匹配的鏈路。

在其中一個實施例中，所述根據所述風險識別規則獲取與所述數據包匹配的鏈路的步驟還包括：

獲取所述數據包對應的行為模式；

根據所述風險識別規則獲取與所述行為模式匹配的鏈路。

此外，還有必要提供一種能提高安全性的路由裝置。

一種路由裝置，包括：

數據包獲取模塊，用于獲取數據包；

規則獲取模塊，用于獲取風險識別規則；

匹配模塊，用于根據所述風險識別規則獲取與所述數據包匹配的鏈路；

轉發模塊，用于通過所述鏈路轉發所述數據包。

在其中一個實施例中，所述裝置還包括風險識別規則定義模塊，用于獲取風險識別規則配置請求，根據所述風險識別規則配置請求生成風險識別規則。

在其中一個實施例中，所述匹配模塊還用于獲取所述數據包對應的包頭內容和/或正文內容；

根據所述風險識別規則獲取與所述包頭內容和/或正文內容匹配的鏈路。

在其中一個實施例中，所述匹配模塊還用于根據所述風險識別規則通過比對字符串獲取與所述包頭內容和/或正文內容匹配的鏈路。

在其中一個實施例中，所述匹配模塊還用于獲取所述數據包對應的行為模式，根據所述風險識別規則獲取與所述行為模式匹配的鏈路。

上述路由方法及裝置中，獲取數據包之后，通過匹配風險識別規則和數據包的相關信息來選擇轉發數據包的鏈路，相較于傳統技術，可預先判斷數據包存在的安全風險，從而提高了安全性。

附圖說明

圖1為一個實施例中路由方法的流程圖；

圖2為一個實施例中數據包的正文內容的示例圖；

圖3為一個實施例中路由裝置的結構示意圖；

圖4為另一個實施例中路由裝置的結構示意圖。

具體實施方式

在一個實施例中，如圖1所示，一種路由方法，包括如下步驟：

步驟S102，獲取數據包。

數據包包括包頭部分和正文部分，數據包的正文內容即數據包的正文部分。傳統技術中的路由裝置參考的MAC（MediaAccess?Control）地址、目標IP地址信息存儲在數據包的包頭部分中。而數據包對應的應用層協議頭、應用層數據內容均存儲在數據包的正文內容中。

步驟S104，獲取風險識別規則。

步驟S106，根據風險識別規則獲取與數據包匹配的鏈路。

風險識別規則中定義了與數據包匹配的鏈路信息。可根據風險識別規則將不同安全風險程度的數據包轉發至相應的鏈路。

在一個實施例中，根據風險識別規則獲取與數據包匹配的鏈路的步驟可具體為：獲取所述數據包對應的包頭內容和/或正文內容，根據風險識別規則獲取與包頭內容和/或正文內容匹配的鏈路。

數據包的包頭內容即數據包的包頭部分包含的內容，數據包的正文內容即數據包的正文部分包含的內容。

在本實施例中，根據風險識別規則獲取與包頭內容和/或正文內容匹配的鏈路的步驟可具體為：