本發明實施例提供了一種報文處理方法、裝置、路由器及防火墻設備，路由器發送攜帶該路由器的直連路由信息的請求報文至防火墻設備；防火墻設備將直連路由信息與該防火墻設備的本地路由信息進行對比，確定出直連路由信息中與本地路由信息相同的有效路由信息，并將攜帶有效路由信息的確認報文發送至路由器；路由器根據有效路由信息，發送有效路由信息對應的ARP表項至防火墻設備；防火墻設備存儲ARP表項。通過本方案，可以提升報文處理效率。

技術領域

本發明涉及安全防御技術領域，特別是涉及一種報文處理方法、裝置、路由器及防火墻設備。

背景技術

防火墻設備是在一個受保護的內部網絡與互聯網間，執行訪問控制策略的一個或一組系統。防火墻設備可以是軟件、硬件或是他們的結合，其目的是保護網絡不被外部網絡侵犯。防火墻設備上可以配置安全策略規則，以控制內網用戶訪問外網或者其他特定資源。

目前防火墻設備連接的內網架構可以包括終端設備和路由器，工作過程大概為：終端設備通過路由器向防火墻設備發送業務訪問報文，防火墻設備經過安全檢測后，將該業務訪問報文向外網發送，并在接收到針對該業務訪問報文的業務響應報文后，對業務響應報文進行安全檢測，通過安全檢測后，再將該業務響應報文返回給路由器，路由器再將該業務響應報文返回給終端設備。

為了能夠順利進行上述過程，路由器會將自身學習到的終端設備的ARP(AddressResolution Protocol，地址解析協議)表項發送至防火墻設備，在報文到達防火墻設備后，根據該報文的源IP(Internet Protocol，網絡互連協議)地址查詢對應的ARP表項，進而查找到發送該報文的終端設備的MAC(Media Access Control，媒體訪問控制)地址，防火墻設備可以根據針對MAC地址的預設過濾條件，對報文進行處理。

由于連接至路由器的終端設備的數目往往較多，并不是所有的終端設備都對外訪問，而路由器并不能夠準確地知道哪些終端設備對外訪問，因此，路由器往往會將所有直連的終端設備的ARP表項都發送至防火墻設備，導致防火墻設備中存儲有大量無用的ARP表項，使得報文在到達防火墻設備需要查詢源IP地址對應的ARP表項時，增加了查詢時間，從而影響了報文處理的效率。

發明內容

本發明實施例的目的在于提供一種報文處理方法、裝置、路由器及防火墻設備，以提升報文處理效率。具體技術方案如下：

第一方面，本發明實施例提供了一種報文處理方法，應用于路由器，所述方法包括：

發送請求報文至防火墻設備，所述請求報文攜帶所述路由器的直連路由信息；

接收所述防火墻設備回復的確認報文，所述確認報文攜帶所述直連路由信息中與所述防火墻設備的本地路由信息相同的有效路由信息，所述本地路由信息包括所述防火墻設備支持的對外訪問的路由信息；

根據所述有效路由信息，發送所述有效路由信息對應的地址解析協議ARP表項至所述防火墻設備，以使所述防火墻設備存儲所述ARP表項。

第二方面，本發明實施例提供了一種報文處理方法，應用于防火墻設備，所述方法包括：

接收路由器發送的請求報文，所述請求報文攜帶所述路由器的直連路由信息；

將所述直連路由信息與所述防火墻設備的本地路由信息進行對比，確定所述直連路由信息中與所述本地路由信息相同的有效路由信息，所述本地路由信息包括所述防火墻設備支持的對外訪問的路由信息；

發送確認報文至所述路由器，所述確認報文攜帶所述有效路由信息；

接收并存儲所述路由器發送的所述有效路由信息對應的ARP表項。

第三方面，本發明實施例提供了一種報文處理裝置，應用于路由器，所述裝置包括：