本申請(qǐng)涉及報(bào)文處理方法、裝置、計(jì)算機(jī)設(shè)備、計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)和計(jì)算機(jī)程序產(chǎn)品，通過在WAF設(shè)備給客戶端發(fā)送報(bào)文后，獲取客戶端發(fā)送給服務(wù)器的ICMP報(bào)文；根據(jù)ICMP報(bào)文中的DF置位，判斷客戶端是否要求對(duì)已發(fā)送給客戶端的報(bào)文重新進(jìn)行分片發(fā)送；若是，確定需要重新進(jìn)行分片發(fā)送的報(bào)文以及重新進(jìn)行分片的大小，并通知WAF設(shè)備將需要重新進(jìn)行分片發(fā)送的報(bào)文，按照重新進(jìn)行分片的大小，發(fā)送到客戶端。本申請(qǐng)根據(jù)ICMP報(bào)文中的DF置位，判斷客戶端是否要求對(duì)已發(fā)送給其的報(bào)文重新進(jìn)行分片發(fā)送，若是，通知WAF設(shè)備將需要重新分片發(fā)送的報(bào)文重新分片發(fā)送，從而有效解決WAF設(shè)備部署在透明代理模式下存在的通信業(yè)務(wù)異常問題。

技術(shù)領(lǐng)域

本申請(qǐng)涉及網(wǎng)絡(luò)通信技術(shù)領(lǐng)域，特別是涉及一種報(bào)文處理方法、裝置、計(jì)算機(jī)設(shè)備、計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)和計(jì)算機(jī)程序產(chǎn)品。

背景技術(shù)

隨著電子商務(wù)、網(wǎng)上銀行和電子政務(wù)的盛行，服務(wù)器承載的業(yè)務(wù)價(jià)值越來越高，服務(wù)器所面臨的安全威脅也隨之增大，因此，針對(duì)服務(wù)器的WEB應(yīng)用層的防御成為必然趨勢(shì)，WAF(Web?Application?Firewall，Web應(yīng)用防火墻)產(chǎn)品應(yīng)運(yùn)而生。通過在客戶端與服務(wù)器之間部署WAF，實(shí)現(xiàn)對(duì)服務(wù)器的WEB應(yīng)用層進(jìn)行防御。WAF設(shè)備有幾種部署模式，其中一種是透明代理模式，當(dāng)客戶端對(duì)服務(wù)器有連接請(qǐng)求時(shí)，連接請(qǐng)求被WAF設(shè)備截取和監(jiān)控。WAF設(shè)備偷偷的代理了客戶端和服務(wù)器之間的會(huì)話，將會(huì)話分成了兩段，并基于橋模式進(jìn)行轉(zhuǎn)發(fā)。從客戶端的角度看，客戶端仍然是直接訪問服務(wù)器，客戶端感知不到WAF設(shè)備的存在。WAF設(shè)備部署在透明代理模式下，在客戶端與服務(wù)器建立連接時(shí)，客戶端和WAF設(shè)備會(huì)交換最大報(bào)文長(zhǎng)度，協(xié)商出MTU(Maximum?Transmission?Unit，最大傳輸單元)，客戶端和WAF設(shè)備雙方按照MTU對(duì)報(bào)文進(jìn)行分片發(fā)送。

現(xiàn)有技術(shù)中，在有些通信場(chǎng)景下，出于網(wǎng)絡(luò)安全考慮，在客戶端與WAF設(shè)備之間會(huì)設(shè)置第三方設(shè)備(例如實(shí)現(xiàn)遠(yuǎn)程接入技術(shù)的IPsec設(shè)備)，第三方設(shè)備會(huì)對(duì)WAF設(shè)備發(fā)送給客戶端的報(bào)文進(jìn)行封裝，加上封裝信息，導(dǎo)致從WAF設(shè)備發(fā)送到客戶端的報(bào)文超過MTU。由于報(bào)文長(zhǎng)度超過協(xié)商的MTU值，故客戶端會(huì)將報(bào)文丟棄，并返回一條ICMP差錯(cuò)報(bào)文，告知WAF設(shè)備需要將報(bào)文重新分片。但部署在透明代理模式下的WAF設(shè)備只處理HTTP報(bào)文，導(dǎo)致WAF設(shè)備將此ICMP差錯(cuò)報(bào)文直接放行，而不是對(duì)報(bào)文進(jìn)行重新分片發(fā)送，導(dǎo)致客戶端與服務(wù)器之間的通信業(yè)務(wù)異常。針對(duì)現(xiàn)有技術(shù)中，WAF設(shè)備部署在透明代理模式下存在的通信業(yè)務(wù)異常問題，目前尚未提出有效的解決方案。

發(fā)明內(nèi)容

基于此，有必要針對(duì)上述技術(shù)問題，提供一種報(bào)文處理方法、裝置、計(jì)算機(jī)設(shè)備、計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)和計(jì)算機(jī)程序產(chǎn)品，以解決相關(guān)技術(shù)中WAF設(shè)備部署在透明代理模式下存在的通信業(yè)務(wù)異常問題。

第一個(gè)方面，本申請(qǐng)實(shí)施例了一種報(bào)文處理方法，用于對(duì)WAF設(shè)備部署在透明代理模式下的網(wǎng)絡(luò)拓?fù)渲械膱?bào)文進(jìn)行處理；所述網(wǎng)絡(luò)拓?fù)浒蛻舳恕⒎?wù)器和WAF設(shè)備；所述WAF設(shè)備部署在所述客戶端和所述服務(wù)器之間；所述方法包括以下步驟：

在所述WAF設(shè)備給所述客戶端發(fā)送報(bào)文后，獲取所述客戶端發(fā)送給所述服務(wù)器的ICMP報(bào)文；

根據(jù)所述ICMP報(bào)文中的DF置位，判斷所述客戶端是否要求對(duì)已發(fā)送給所述客戶端的報(bào)文重新進(jìn)行分片發(fā)送；

若是，確定需要重新進(jìn)行分片發(fā)送的報(bào)文以及重新進(jìn)行分片的大小，并通知所述WAF設(shè)備將需要重新進(jìn)行分片發(fā)送的報(bào)文，按照重新進(jìn)行分片的大小，發(fā)送到所述客戶端。

在其中一些實(shí)施例中，所述獲取所述客戶端發(fā)送給所述服務(wù)器的ICMP報(bào)文，包括以下步驟：

從所述客戶端發(fā)送給所述服務(wù)器的所有報(bào)文中篩選出所述ICMP報(bào)文。

在其中一些實(shí)施例中，所述從所述客戶端發(fā)送給所述服務(wù)器的所有報(bào)文中篩選出所述ICMP報(bào)文，包括以下步驟：