本發明提供一種Netfilter架構下引入TCP協議棧的方法及系統、中間設備、介質，其中，方法包括：利用第一連接追蹤記錄中間設備與發送端之間的連接狀態；利用與所述第一連接追蹤相關聯的第一TCP協議控制塊描述并記錄所述中間設備與所述發送端之間數據交互的TCP協議連接屬性；利用與所述第一連接追蹤相關聯的第二連接追蹤記錄所述中間設備與接收端之間的連接狀態；利用與所述第二連接追蹤相關聯的第二TCP協議控制塊描述并記錄所述中間設備與所述接收端之間數據交互的TCP協議連接屬性。本發明可以利用TCP協議棧的各種特定機制，保證數據報文通過中間設備在發送端與接收端之間可靠傳輸。

技術領域

本發明涉及計算機安全通信技術領域，尤其涉及在Netfilter(網絡過濾器)架構下利用TCP協議通信的方法，具體來說就是一種Netfilter架構下引入TCP協議棧的方法及系統、中間設備、介質。

背景技術

Netfilter是Linux2.4.x之后新一代的Linux防火墻機制，是linux內核的一個子系統，包含連接追蹤(CT)、數據包過濾、網絡地址轉換、透明代理、包速限制、數據包修改等功能模塊。此外，Netfilter采用模塊化設計，具有良好的可擴充性，Netfilter架構中設置5個檢測點(HOOK)，即5個鉤子函數，用戶可以在不同的檢測點注冊檢測處理函數，實現網絡安全功能。由于Netfilter架構的上述特性，因此中間檢測設備(例如，WEB應用防火墻、安全網關等)優先選擇使用Netfilter架構。

其中，Netfilter架構的報文處理流程為：數據報進入系統時，首先經過第一個HOOK函數NF_IP_PRE_ROUTING進行處理；然后就進入路由選擇，判斷該數據報(數據報文)是需要轉發還是發給本機內核；若該數據報是發往本機，則該數據經過HOOK函數NF_IP_LOCAL_IN處理以后傳遞給本機上層協議棧；若該數據報需要被轉發，則它被HOOK函數NF_IP_FORWARD處理，然后經過最后一個HOOK函數NF_IP_POST_ROUTING處理以后，發送到網絡上。本機數據報經過HOOK函數NF_IP_LOCAL_OUT處理后，進行路由選擇處理，然后經過HOOK函數NF_IP_POST_ROUTING處理后發送出去。

中間檢測設備需要將客戶端與服務器之間的交互報文(數據報文)轉發給對端，使用上述轉發流程，但是上述轉發流程缺少TCP協議棧功能，因此中間檢測設備的有些功能實現受限。比如：一些報文觸發返回緩存頁面動作，當頁面比較大時，會分成若干報文進行傳輸，在網絡傳輸時，某一報文丟失了，由于Netfilter架構不具有TCP協議棧的重傳機制，不能保證對方可靠接收。再比如對于https數據流，解密是以一條https記錄為單元，一條https記錄可能由若干個連續的報文組成，由于報文到達中間檢測設備順序不一致或者存在報文段重復，由于Netfilter架構不具有TCP協議棧的報文重新排序和重組機制，交給https模塊時解密失敗，導致中間檢測設備不能正常檢測https數據流。

為此，本領域技術人員亟需研發一種在Netfilter架構下引入TCP層協議棧的方法，從而讓中間檢測設備擁有TCP協議棧的安全通信功能。

發明內容

有鑒于此，本發明要解決的技術問題在于提供一種Netfilter架構下引入TCP協議棧的方法及系統、中間設備、介質，解決了Netfilter架構下不具有TCP協議棧，從而導致現有中間檢測設備部分功能受限的問題。

為了解決上述技術問題，本發明的具體實施方式提供一種Netfilter架構下引入TCP協議棧的方法，包括：利用第一連接追蹤記錄中間設備與發送端之間的連接狀態；利用與所述第一連接追蹤相關聯的第一TCP協議控制塊描述并記錄所述中間設備與所述發送端之間數據交互的TCP協議連接屬性；利用與所述第一連接追蹤相關聯的第二連接追蹤記錄所述中間設備與接收端之間的連接狀態；利用與所述第二連接追蹤相關聯的第二TCP協議控制塊描述并記錄所述中間設備與所述接收端之間數據交互的TCP協議連接屬性。