本申請?zhí)峁┝艘环N報文處理方法及裝置，應(yīng)用于網(wǎng)絡(luò)安全設(shè)備中。網(wǎng)絡(luò)安全設(shè)備接收網(wǎng)絡(luò)報文；當(dāng)需要對所述網(wǎng)絡(luò)報文所屬數(shù)據(jù)流執(zhí)行應(yīng)用識別時，對所述網(wǎng)絡(luò)報文進(jìn)行應(yīng)用識別；當(dāng)識別出所述網(wǎng)絡(luò)報文所屬數(shù)據(jù)流對應(yīng)的應(yīng)用后，若基于所述數(shù)據(jù)流的應(yīng)用管理策略確認(rèn)不需要執(zhí)行深度報文檢測時，則根據(jù)所述應(yīng)用的應(yīng)用控制策略，對所述網(wǎng)絡(luò)報文及所述數(shù)據(jù)流后續(xù)的網(wǎng)絡(luò)報文執(zhí)行轉(zhuǎn)發(fā)處理。由此在進(jìn)行應(yīng)用識別時，解決了防火墻設(shè)備的業(yè)務(wù)處理性能低和轉(zhuǎn)發(fā)速率降低的問題。

技術(shù)領(lǐng)域

本申請涉及通信技術(shù)領(lǐng)域，尤其涉及一種報文處理方法及裝置。

背景技術(shù)

隨著網(wǎng)絡(luò)的發(fā)展，防火墻設(shè)備的使用越來越廣泛，深度報文檢測功能就是防火墻設(shè)備的使用場景之一。在防火墻設(shè)備中開啟DPI深度報文檢測功能時，對報文傳輸層以上的內(nèi)容進(jìn)行分析，并與該設(shè)備中的特征字符串進(jìn)行匹配來識別業(yè)務(wù)流的類型。當(dāng)識別出一條流中的應(yīng)用后就可以對它進(jìn)行控制，不需要對這條流后續(xù)報文的深度檢測識別了，但是現(xiàn)有的防火墻設(shè)備的深度報文檢測中的應(yīng)用識別和內(nèi)容安全檢測的功能是一體化，即，現(xiàn)有的DPI深度報文檢測功能在識別出應(yīng)用后還會繼續(xù)對該條數(shù)據(jù)流的后續(xù)報文繼續(xù)做深度檢測，這樣會導(dǎo)致防火墻設(shè)備對數(shù)據(jù)流的業(yè)務(wù)處理和轉(zhuǎn)發(fā)速率大大降低。也就是說，當(dāng)防火墻設(shè)備上只需要對應(yīng)用做識別控制時，按照現(xiàn)有的處理方式仍然需要對一條流的所有報文進(jìn)行完整的深度檢測，這樣會導(dǎo)致防火墻設(shè)備的業(yè)務(wù)處理和轉(zhuǎn)發(fā)速率大大降低，因此需要進(jìn)行優(yōu)化提升性能。

因此，如何在進(jìn)行應(yīng)用識別時，解決防火墻設(shè)備的業(yè)務(wù)處理性能低和轉(zhuǎn)發(fā)速率降低的問題是值得考慮的技術(shù)問題之一。

發(fā)明內(nèi)容

有鑒于此，本申請?zhí)峁┮环N報文處理方法及裝置及網(wǎng)絡(luò)芯片，用以在進(jìn)行應(yīng)用識別時，解決防火墻設(shè)備的業(yè)務(wù)處理性能低和轉(zhuǎn)發(fā)速率降低的問題。

具體地，本申請是通過如下技術(shù)方案實現(xiàn)的：

根據(jù)本申請的第一方面，提供一種報文處理方法，應(yīng)用于網(wǎng)絡(luò)安全設(shè)備，所述方法包括：

接收網(wǎng)絡(luò)報文；

當(dāng)需要對所述網(wǎng)絡(luò)報文所屬數(shù)據(jù)流執(zhí)行應(yīng)用識別時，對所述網(wǎng)絡(luò)報文進(jìn)行應(yīng)用識別；

當(dāng)識別出所述網(wǎng)絡(luò)報文所屬數(shù)據(jù)流對應(yīng)的應(yīng)用后，若基于所述數(shù)據(jù)流的應(yīng)用管理策略確認(rèn)不需要執(zhí)行深度報文檢測時，則根據(jù)所述應(yīng)用的應(yīng)用控制策略，對所述網(wǎng)絡(luò)報文及所述數(shù)據(jù)流后續(xù)的網(wǎng)絡(luò)報文執(zhí)行轉(zhuǎn)發(fā)處理。

可選地，根據(jù)所述應(yīng)用的應(yīng)用控制策略，對所述網(wǎng)絡(luò)報文及所述數(shù)據(jù)流后續(xù)的網(wǎng)絡(luò)報文執(zhí)行轉(zhuǎn)發(fā)處理，包括：

根據(jù)所述應(yīng)用的應(yīng)用控制策略，對所述網(wǎng)絡(luò)報文執(zhí)行轉(zhuǎn)發(fā)處理；

在所述數(shù)據(jù)流的會話表項中添加短路標(biāo)記；

接收新的網(wǎng)絡(luò)報文；

若所述新的網(wǎng)絡(luò)報文命中所述會話表項，則根據(jù)所述應(yīng)用的應(yīng)用控制策略，對所述新的網(wǎng)絡(luò)報文執(zhí)行轉(zhuǎn)發(fā)處理。

可選地，在對所述網(wǎng)絡(luò)報文進(jìn)行應(yīng)用識別之前，還包括：

確認(rèn)所述網(wǎng)絡(luò)報文所屬數(shù)據(jù)流對應(yīng)的會話表項不包括短路標(biāo)記。

可選地，當(dāng)所述網(wǎng)絡(luò)報文所屬數(shù)據(jù)流對應(yīng)的會話表項包括短路標(biāo)記時，直接轉(zhuǎn)發(fā)所述網(wǎng)絡(luò)報文。

可選地，當(dāng)基于所述網(wǎng)絡(luò)報文未識別出所屬的應(yīng)用時，則確認(rèn)基于所述數(shù)據(jù)流進(jìn)行識別所使用的網(wǎng)絡(luò)報文的數(shù)量達(dá)到設(shè)定數(shù)量時，則對所述網(wǎng)絡(luò)報文及所述數(shù)據(jù)流后續(xù)的網(wǎng)絡(luò)報文執(zhí)行深度報文檢測處理。

根據(jù)本申請的第二方面，提供一種報文處理裝置，設(shè)置于網(wǎng)絡(luò)安全設(shè)備中，所述裝置，包括：

接收模塊，用于接收網(wǎng)絡(luò)報文；

識別模塊，用于當(dāng)需要對所述網(wǎng)絡(luò)報文所屬數(shù)據(jù)流執(zhí)行應(yīng)用識別時，對所述網(wǎng)絡(luò)報文進(jìn)行應(yīng)用識別；