本公開提供一種報(bào)文標(biāo)識(shí)處理方法、裝置及存儲(chǔ)介質(zhì)，用于解決IP報(bào)文的報(bào)文標(biāo)識(shí)字在外網(wǎng)容易造成信息泄露，易引起網(wǎng)絡(luò)攻擊的技術(shù)問題。本公開實(shí)施例中，防火墻設(shè)備在對(duì)IP報(bào)文進(jìn)行NAT轉(zhuǎn)換后，對(duì)內(nèi)網(wǎng)中不同設(shè)備發(fā)送的經(jīng)NAT轉(zhuǎn)換的IP報(bào)文的報(bào)文標(biāo)識(shí)字段進(jìn)行統(tǒng)一轉(zhuǎn)換，以使向外網(wǎng)轉(zhuǎn)發(fā)的IP報(bào)文的報(bào)文標(biāo)識(shí)按照一種規(guī)律統(tǒng)一編碼遞增，從而避免了外網(wǎng)的網(wǎng)絡(luò)攻擊者或惡意網(wǎng)絡(luò)信息竊取者通過分析內(nèi)網(wǎng)用戶向外發(fā)送的報(bào)文的報(bào)文標(biāo)識(shí)獲知內(nèi)網(wǎng)用戶數(shù)量等內(nèi)網(wǎng)信息，提高網(wǎng)絡(luò)安全性。

技術(shù)領(lǐng)域

本公開涉及網(wǎng)絡(luò)通信技術(shù)領(lǐng)域，尤其涉及一種報(bào)文標(biāo)識(shí)處理方法、裝置及存儲(chǔ)介質(zhì)。

背景技術(shù)

目前，網(wǎng)絡(luò)終端都是使用私網(wǎng)地址，然后通過上行的運(yùn)營商進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換(Network Address Translation，NAT)之后，將報(bào)文的源地址轉(zhuǎn)換成公網(wǎng)地址再去訪問外部網(wǎng)絡(luò)。

IP報(bào)文是在網(wǎng)絡(luò)層傳輸?shù)臄?shù)據(jù)單元，也叫IP數(shù)據(jù)報(bào)，IP報(bào)文的首部中有一個(gè)報(bào)文標(biāo)識(shí)(identification)字段，以下簡稱IPID，這個(gè)字段占16位，IP協(xié)議軟件在存儲(chǔ)器中會(huì)維持一個(gè)計(jì)數(shù)器，每產(chǎn)生一個(gè)數(shù)據(jù)報(bào)計(jì)數(shù)器就加1，并且將此值賦給標(biāo)識(shí)字段。但是這個(gè)“標(biāo)識(shí)”不是序號(hào)，因?yàn)镮P是無連接服務(wù)，數(shù)據(jù)報(bào)不存在按序接收的問題。如果當(dāng)內(nèi)網(wǎng)存在多個(gè)主機(jī)用戶，那么每個(gè)主機(jī)發(fā)出去的報(bào)文的IP首部標(biāo)識(shí)字段IPID都是按照自己的主機(jī)進(jìn)行排序的，當(dāng)這些報(bào)文經(jīng)過防火墻設(shè)備發(fā)送到外網(wǎng)之后，外網(wǎng)的攻擊人員很可能根據(jù)報(bào)文的IPID的變化規(guī)律來分析內(nèi)網(wǎng)有多少個(gè)主機(jī)或者進(jìn)行內(nèi)網(wǎng)的探測，不利于網(wǎng)絡(luò)的安全。

發(fā)明內(nèi)容

有鑒于此，本公開提供一種報(bào)文標(biāo)識(shí)處理方法、裝置及存儲(chǔ)介質(zhì)，用于解決IP報(bào)文的報(bào)文標(biāo)識(shí)字在外網(wǎng)容易造成信息泄露，易引起網(wǎng)絡(luò)攻擊的技術(shù)問題。

基于本公開一實(shí)施例，本公開提供了一種報(bào)文標(biāo)識(shí)處理方法，該方法應(yīng)用于位于內(nèi)網(wǎng)的防火墻設(shè)備，包括：

接收位于內(nèi)網(wǎng)中的一個(gè)或多個(gè)設(shè)備發(fā)送的IP報(bào)文；

對(duì)需要向外網(wǎng)轉(zhuǎn)發(fā)的IP報(bào)文進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換即NAT轉(zhuǎn)換；

根據(jù)預(yù)設(shè)的報(bào)文標(biāo)識(shí)轉(zhuǎn)換策略，對(duì)內(nèi)網(wǎng)中不同設(shè)備發(fā)送的經(jīng)NAT轉(zhuǎn)換的IP報(bào)文的報(bào)文標(biāo)識(shí)字段進(jìn)行統(tǒng)一轉(zhuǎn)換。

進(jìn)一步地，所述根據(jù)預(yù)設(shè)的報(bào)文標(biāo)識(shí)轉(zhuǎn)換策略，對(duì)內(nèi)網(wǎng)中不同設(shè)備發(fā)送的經(jīng)NAT轉(zhuǎn)換的IP報(bào)文的報(bào)文標(biāo)識(shí)字段進(jìn)行統(tǒng)一轉(zhuǎn)換的方法為：

以輸出正整數(shù)遞增序列的時(shí)間函數(shù)生成新的報(bào)文標(biāo)識(shí)，并按報(bào)文的先后順序依次替換每個(gè)向外網(wǎng)轉(zhuǎn)發(fā)的IP報(bào)文的報(bào)文標(biāo)識(shí)字段。

進(jìn)一步地，所述根據(jù)預(yù)設(shè)的報(bào)文標(biāo)識(shí)轉(zhuǎn)換策略，對(duì)內(nèi)網(wǎng)中不同設(shè)備發(fā)送的經(jīng)NAT轉(zhuǎn)換的IP報(bào)文的報(bào)文標(biāo)識(shí)字段進(jìn)行統(tǒng)一轉(zhuǎn)換的方法為：

以內(nèi)網(wǎng)中首個(gè)經(jīng)過NAT轉(zhuǎn)換的IP報(bào)文的報(bào)文標(biāo)識(shí)值作為初始值，以該初始值遞增逐一替換后續(xù)經(jīng)過NAT轉(zhuǎn)換的IP報(bào)文中的報(bào)文標(biāo)識(shí)。

進(jìn)一步地，所述根據(jù)預(yù)設(shè)的報(bào)文標(biāo)識(shí)轉(zhuǎn)換策略，對(duì)內(nèi)網(wǎng)中不同設(shè)備發(fā)送的經(jīng)NAT轉(zhuǎn)換的IP報(bào)文的報(bào)文標(biāo)識(shí)字段進(jìn)行統(tǒng)一轉(zhuǎn)換的方法為：

以內(nèi)網(wǎng)中首個(gè)經(jīng)過NAT轉(zhuǎn)換的IP報(bào)文的報(bào)文長度值作為初始值，以該初始值遞增逐一替換所有經(jīng)NAT轉(zhuǎn)換后的IP報(bào)文的報(bào)文標(biāo)識(shí)。

基于本公開實(shí)施例的另一方面，本公開還提供了一種報(bào)文標(biāo)識(shí)處理裝置，該裝置應(yīng)用于位于內(nèi)網(wǎng)的防火墻設(shè)備，該裝置包括：

接收模塊，用于接收位于內(nèi)網(wǎng)中的一個(gè)或多個(gè)設(shè)備發(fā)送的IP報(bào)文；

NAT轉(zhuǎn)換模塊，用于對(duì)需要向外網(wǎng)轉(zhuǎn)發(fā)的IP報(bào)文進(jìn)行NAT轉(zhuǎn)換；

報(bào)文標(biāo)識(shí)替換模塊，用于根據(jù)預(yù)設(shè)的報(bào)文標(biāo)識(shí)轉(zhuǎn)換策略，對(duì)內(nèi)網(wǎng)中不同設(shè)備發(fā)送的經(jīng)NAT轉(zhuǎn)換的IP報(bào)文的報(bào)文標(biāo)識(shí)字段進(jìn)行統(tǒng)一轉(zhuǎn)換。