本發(fā)明公開了一種防火墻的數(shù)據(jù)處理方法及裝置。其中，該方法包括：接收第一對(duì)端防火墻發(fā)送的第一數(shù)據(jù)通道針孔，其中，第一數(shù)據(jù)通道針孔用于建立會(huì)話控制模塊，以通過(guò)會(huì)話控制模塊發(fā)送數(shù)據(jù)面的數(shù)據(jù)流的數(shù)據(jù)報(bào)文；安裝第一數(shù)據(jù)通道針孔；接收數(shù)據(jù)流的數(shù)據(jù)報(bào)文，數(shù)據(jù)報(bào)文為第一對(duì)端防火墻接收第一終端發(fā)送的控制面的數(shù)據(jù)流的控制報(bào)文后，發(fā)送給第二終端根據(jù)控制報(bào)文生成的數(shù)據(jù)面的數(shù)據(jù)流的報(bào)文；通過(guò)安裝完成的第一數(shù)據(jù)通道針孔安裝對(duì)應(yīng)的目標(biāo)會(huì)話控制模塊，通過(guò)目標(biāo)會(huì)話控制模塊將數(shù)據(jù)報(bào)文發(fā)送給第一終端。本發(fā)明解決了相關(guān)技術(shù)中的防火墻，無(wú)法保證數(shù)據(jù)通道針孔對(duì)象早于數(shù)據(jù)面的數(shù)據(jù)流報(bào)文，導(dǎo)致數(shù)據(jù)面的數(shù)據(jù)流報(bào)文出錯(cuò)，無(wú)法發(fā)送的技術(shù)問(wèn)題。

技術(shù)領(lǐng)域

本發(fā)明涉及數(shù)據(jù)安全領(lǐng)域，具體而言，涉及一種防火墻的數(shù)據(jù)處理方法及裝置。

背景技術(shù)

數(shù)據(jù)通道針孔Pinhole的概念：一些應(yīng)用程序采用多通道數(shù)據(jù)傳送，如常見的FTP，SIP等，其控制通道和數(shù)據(jù)通道是分開的。數(shù)據(jù)通道的IP地址/端口信息是提前由控制通道協(xié)商確定的。防火墻在開啟ALG的情況下，需要檢查控制通道的協(xié)商報(bào)文，從中提取出數(shù)據(jù)通道的IP/端口信息，建立數(shù)據(jù)通道針孔pinhole，等數(shù)據(jù)面第一個(gè)報(bào)文到達(dá)并命中pinhole時(shí)，防火墻依據(jù)pinhole建立數(shù)據(jù)會(huì)話控制模塊data?session，并將此data?session和控制會(huì)話控制模塊control?session建立關(guān)聯(lián)并依據(jù)防火墻策略正確處理。找不到pinhole的數(shù)據(jù)面首包，將無(wú)法被防火墻正確處理(丟棄或者命中錯(cuò)誤的策略policy)。

對(duì)于兩臺(tái)防火墻組成的HA環(huán)境，如果流量是非對(duì)稱的(上下行報(bào)文不從同一臺(tái)防火墻通過(guò)，圖1是現(xiàn)有技術(shù)中防火墻HA的數(shù)據(jù)傳輸?shù)氖疽鈭D，如圖1所示，上行報(bào)文從左側(cè)防火墻A通過(guò)，下行報(bào)文從右側(cè)防火墻B通過(guò))，則第一個(gè)數(shù)據(jù)面的數(shù)據(jù)流的數(shù)據(jù)報(bào)文到達(dá)防火墻B時(shí)，有可能這個(gè)數(shù)據(jù)面的數(shù)據(jù)報(bào)文對(duì)應(yīng)的數(shù)據(jù)通道針孔pinhole還沒有從對(duì)端防火墻A同步過(guò)來(lái)。(控制面建立數(shù)據(jù)通道針孔pinhole的控制報(bào)文和第一個(gè)數(shù)據(jù)面的數(shù)據(jù)報(bào)文是非對(duì)稱流量的場(chǎng)景)此時(shí)，第一個(gè)數(shù)據(jù)面的數(shù)據(jù)報(bào)文在防火墻B上會(huì)找不到數(shù)據(jù)通道針孔pinhole，導(dǎo)致數(shù)據(jù)報(bào)文在防火墻B上無(wú)法通過(guò)數(shù)據(jù)通道針孔pinhole建立數(shù)據(jù)面會(huì)話控制模塊data?session并被正確處理。

相關(guān)技術(shù)中，防火墻延遲發(fā)送控制面正向首包。具體在防火墻上延遲XXX毫秒發(fā)送flow控制面正向首包，具體延遲時(shí)間可以配置。只能解決控制面反向報(bào)文在HA對(duì)端防火墻命中flow?session失敗的問(wèn)題，無(wú)法解決數(shù)據(jù)面首包在HA對(duì)端防火墻命中pinhole失敗的問(wèn)題。

針對(duì)上述的問(wèn)題，目前尚未提出有效的解決方案。

發(fā)明內(nèi)容

本發(fā)明實(shí)施例提供了一種防火墻的數(shù)據(jù)處理方法及裝置，以至少解決相關(guān)技術(shù)中的防火墻，無(wú)法保證數(shù)據(jù)通道針孔對(duì)象早于數(shù)據(jù)面的數(shù)據(jù)流報(bào)文，導(dǎo)致數(shù)據(jù)面的數(shù)據(jù)流報(bào)文出錯(cuò)，無(wú)法發(fā)送的技術(shù)問(wèn)題。

根據(jù)本發(fā)明實(shí)施例的一個(gè)方面，提供了一種防火墻的數(shù)據(jù)處理方法，包括：接收第一對(duì)端防火墻發(fā)送的第一數(shù)據(jù)通道針孔，其中，所述第一數(shù)據(jù)通道針孔用于建立會(huì)話控制模塊，以通過(guò)所述會(huì)話控制模塊發(fā)送數(shù)據(jù)面的數(shù)據(jù)流的數(shù)據(jù)報(bào)文；安裝所述第一數(shù)據(jù)通道針孔；接收所述數(shù)據(jù)流的數(shù)據(jù)報(bào)文，其中，所述數(shù)據(jù)報(bào)文為所述第一對(duì)端防火墻接收第一終端發(fā)送的控制面的數(shù)據(jù)流的控制報(bào)文后，發(fā)送給第二終端，由所述第二終端根據(jù)所述控制報(bào)文生成的數(shù)據(jù)面的數(shù)據(jù)流的報(bào)文；通過(guò)安裝完成的所述第一數(shù)據(jù)通道針孔安裝對(duì)應(yīng)的目標(biāo)會(huì)話控制模塊，通過(guò)所述目標(biāo)會(huì)話控制模塊將所述數(shù)據(jù)報(bào)文發(fā)送給第一終端。

可選的，接收第一對(duì)端防火墻發(fā)送的第一數(shù)據(jù)通道針孔包括：接收所述第一對(duì)端防火墻發(fā)送的數(shù)據(jù)包，其中，所述數(shù)據(jù)包是對(duì)所述控制報(bào)文，以及所述第一數(shù)據(jù)通道針孔進(jìn)行打包生成的；所述方法還包括：在所述第一數(shù)據(jù)通道針孔安裝完成后，將所述控制報(bào)文發(fā)送給所述第一對(duì)端防火墻。