本申請實施例提供一種用于狀態防火墻的報文轉發方法和裝置，該報文轉發方法包括：獲取首包報文；將首包報文和狀態防火墻中的連接表進行第二次匹配，獲得與首包報文對應的連接表項，其中，連接表包括連接表項，連接表項與首包報文對應的轉發必要信息相關聯，連接表項是在首包報文第一次匹配失敗時建立的；根據連接表項，查找轉發必要信息；根據轉發必要信息，對首包報文進行轉發。借助于上述技術方案，本申請實施例不僅可實現連接表的驗證，還確保了后續非首包報文可以根據連接表查詢到對應的轉發必要信息，進而解決了狀態防火墻的穩定性較差的問題。

技術領域

本申請涉及計算機領域，尤其涉及一種用于狀態防火墻的報文轉發方法和裝置。

背景技術

狀態防火墻(Stateful firewall)是一種能夠提供狀態數據包檢查或狀態查看功能的防火墻，能夠持續追蹤穿過這個防火墻的各種網絡連接(例如，傳輸控制協議(Transmission Control Protocol，TCP)連接與用戶數據報協議(User DatagramProtocol，UDP)連接)的狀態。這種防火墻被設計來區分不同連接種類下的合法封包，只有符合主動連接的封包才能夠被允許穿過防火墻，其他的封包都會被拒絕。目前，首包報文在經過狀態防火墻的規則查找通過后，可在狀態防火墻中的連接表內建立對應的連接表項。隨后，再通過路由查找和進一步的地址解析協議(Address Resolution Protocol，ARP)查找來獲得轉發必要信息。隨后，再根據轉發必要信息來轉發首包報文，并將轉發必要信息和建立的連接表項進行關聯，以備后續報文的快速轉發。

在實現本發明的過程中，發明人發現現有技術中存在如下問題：由于轉發首包報文的過程和將轉發必要信息關聯至建立的連接表項的過程是相互獨立的，從而，在一些情況下，將轉發必要信息關聯至建立的連接表項的動作甚至會晚于轉發首包報文的動作。因為一般只有首包報文可以創建連接，如果轉發了首包報文，卻不能保證轉發必要信息和所建立的連接表項有效關聯，則將不能再匹配連接后獲得轉發必要信息，即無法實現后續報文的轉發，從而業務流將被中止。

發明內容

本申請實施例的目的在于提供的一種用于狀態防火墻的報文轉發方法和裝置，以解決現有技術中存在著的狀態防火墻的穩定性較差的問題。

第一方面，本申請實施例提供了一種用于狀態防火墻的報文轉發方法，該報文轉發方法包括：獲取首包報文；將首包報文和狀態防火墻中的連接表進行第二次匹配，獲得與首包報文對應的連接表項，其中，連接表包括連接表項，連接表項與首包報文對應的轉發必要信息相關聯，連接表項是在首包報文第一次匹配失敗時建立的；根據連接表項，查找轉發必要信息；根據轉發必要信息，對首包報文進行轉發。

因此，本申請實施例通過在連接表中建立與首包報文對應的連接表項，以及將連接表項與首包報文對應的轉發必要信息進行關聯之后，再次將首包報文和連接表進行二次匹配，然后根據獲得的連接表項查找轉發必要信息，從而可對首包報文進行轉發。從而通過上述技術方案，不僅可實現連接表的驗證，還確保了后續非首包報文可以根據連接表查詢到對應的轉發必要信息，進而解決了狀態防火墻的穩定性較差的問題。

在一個可能的實施例中，在將首包報文和狀態防火墻中的連接表進行第二次匹配之前，報文轉發方法還包括：將首包報文和連接表進行第一次匹配；在首包報文和連接表第一次匹配失敗的情況下，在連接表中建立連接表項；將連接表項和轉發必要信息進行關聯。

在一個可能的實施例中，轉發必要信息包括出接口和下一跳介質訪問控制MAC地址；或者，轉發必要信息包括出接口、虛擬局域網VLAN號和下一跳介質訪問控制MAC地址。