[go: up one dir, main page]

CN106357536B - 一种报文的传输方法及装置 - Google Patents

一种报文的传输方法及装置 Download PDF

Info

Publication number
CN106357536B
CN106357536B CN201610822545.XA CN201610822545A CN106357536B CN 106357536 B CN106357536 B CN 106357536B CN 201610822545 A CN201610822545 A CN 201610822545A CN 106357536 B CN106357536 B CN 106357536B
Authority
CN
China
Prior art keywords
message
redirection
field name
http response
http
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201610822545.XA
Other languages
English (en)
Other versions
CN106357536A (zh
Inventor
唐青松
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou DPTech Technologies Co Ltd
Original Assignee
Hangzhou DPTech Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou DPTech Technologies Co Ltd filed Critical Hangzhou DPTech Technologies Co Ltd
Priority to CN201610822545.XA priority Critical patent/CN106357536B/zh
Publication of CN106357536A publication Critical patent/CN106357536A/zh
Priority to US15/701,772 priority patent/US20180077065A1/en
Application granted granted Critical
Publication of CN106357536B publication Critical patent/CN106357536B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/14Routing performance; Theoretical aspects
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • H04L63/0218Distributed architectures, e.g. distributed firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0245Filtering by information in the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Information Transfer Between Computers (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供一种报文的传输的方法及装置,应用在网络防护设备中,所述方法包括:接收客户端发送的HTTP请求报文;将与HTTP请求报文对应的HTTP响应报文的传输方式确定为分块传输方式,HTTP响应报文为服务器根据HTTP请求报文返回给网络防护设备的报文;基于HTTP响应报文与预设检测条件,确定是否需要对HTTP响应报文建立重定向报文;当确定需要对HTTP响应报文建立重定向报文时,基于HTTP响应报文建立与HTTP响应报文对应的重定向报文;以分块传输方式向客户端发送重定向报文,以使客户端根据重定向报文进行重定向。应用本发明实施例,网络防护设备可以正常向客户端传输重定向报文,解决了现有技术中客户端无法正常进行重定向的问题。

Description

一种报文的传输方法及装置
技术领域
本发明涉及网络通信技术领域,尤其涉及一种报文的传输方法及装置。
背景技术
随着互联网数据通信技术的高速发展,用户对网页的安全问题越来越重视。通常利用客户端与服务器之间建立的网络防护设备对超文本传输协议(HyperText TransferProtocol,HTTP)响应报文是否存在异常进行检测,当网络防护设备检测到HTTP响应报文存在异常时,网络防护设备向客户端发送重定向报文。
现有技术方案中,网络防护设备采用分段传输方式对HTTP响应报文进行传输,由于HTTP响应报文指定了后续报文数据大小,因此当重定向报文的大小超过HTTP响应报文指定的后续报文大小时,多余的数据无法被网络防护设备正常传输,从而导致客户端无法正常进行重定向。
发明内容
有鉴于此,本发明提供一种报文的传输方法及装置,网络防护设备可以正常向客户端传输重定向报文,以解决现有技术中客户端无法正常进行重定向的问题。
为实现上述目的,本发明提供技术方案如下:
根据本发明的第一方面,提出了一种报文的传输方法,应用在网络防护设备中,所述方法包括:
接收客户端发送的HTTP请求报文;
将与所述HTTP请求报文对应的HTTP响应报文的传输方式确定为分块传输方式,所述HTTP响应报文为服务器根据所述HTTP请求报文返回给所述网络防护设备的报文;
基于所述HTTP响应报文与预设检测条件,确定是否需要对所述HTTP响应报文建立重定向报文;
当确定需要对所述HTTP响应报文建立重定向报文时,基于所述HTTP响应报文建立与所述HTTP响应报文对应的重定向报文;
以所述分块传输方式向所述客户端发送所述重定向报文,以使所述客户端根据所述重定向报文进行重定向。
根据本发明的第二方面,提出了一种报文的传输装置,包括:
HTTP请求报文接收模块,用于接收客户端发送的HTTP请求报文;
第一确定模块,用于将与所述HTTP请求报文接收模块中接收的所述HTTP请求报文对应的HTTP响应报文的传输方式确定为分块传输方式,所述HTTP响应报文为服务器根据所述HTTP请求报文返回给所述网络防护设备的报文;
预设检测条件匹配模块,用于基于所述第一确定模块中的所述HTTP响应报文,与预设检测条件,确定是否需要对所述HTTP响应报文建立重定向报文;
重定向报文建立模块,用于当所述预设检测条件匹配模块中确定需要对所述第一确定模块中的所述HTTP响应报文建立重定向报文时,基于所述HTTP响应报文建立与所述HTTP响应报文对应的重定向报文;
重定向报文发送模块,用于以所述分块传输方式向所述客户端发送所述重定向报文建立模块中建立的所述重定向报文,以使所述客户端根据所述重定向报文进行重定向。
由以上技术方案可见,网络防护设备以分块传输方式将重定向报文发送到客户端,当重定向报文的大小超过HTTP响应报文指定的后续报文大小时,由于分块传输方式不限定重定向报文的大小,因此网络防护设备可以正常向客户端传输重定向报文,解决了现有技术中客户端无法正常进行重定向的问题。
附图说明
图1是应用本发明实施例报文的传输的一个应用场景示意图;
图2是本发明提供的一个报文的传输方法的实施例流程图;
图3是本发明提供的另一个报文的传输方法的实施例流程图;
图4是本发明提供的再一个报文的传输方法的实施例流程图;
图5是本发明提供的一种网络防护设备的硬件结构图;
图6是本发明提供的一个报文的传输装置的实施例框图;
图7是本发明提供的另一个报文的传输装置的实施例框图;
图8是本发明提供的再一个报文的传输装置的实施例框图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本发明的一些方面相一致的装置和方法的例子。
在本发明使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本发明。在本发明和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本发明可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本发明范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
图1是应用本发明实施例报文的传输的一个应用场景示意图,如图1所示,报文的传输系统包括:安装在个人计算机(Personal Computer,PC)上的客户端11、WEB应用防火墙12、WEB服务器13,其中,WEB应用防火墙12是一种集WEB防护、网页保护、负载均衡、应用交付于一体的网络防护设备。本领域技术人员可以理解的是,上述的报文的传输系统中的客户端11、WEB应用防火墙12、WEB服务器13仅为示例性说明,其并不能形成对本发明的限制,客户端11还可以安装在手机、平板电脑、智能手表等终端设备上;WEB应用防火墙12还可以为入侵防御系统(Intrusion Prevention System,IPS)、安全网关(Unified ThreatManagement,UTM)等网络防护设备;WEB服务器13还可以为FTP服务器、数据库服务器等设备。通常WEB应用防火墙12向WEB服务器13转发客户端11发送的HTTP请求报文,当WEB应用防火墙12接收到WEB服务器13针对HTTP请求报文返回的HTTP响应报文时,WEB应用防火墙12将HTTP响应报文的传输方式确定为分块传输方式。WEB应用防火墙12对HTTP响应报文进行异常检测,当检测到HTTP响应报文存在异常时,WEB应用防火墙12针对该HTTP响应报文建立重定向报文并通过分块传输方式将重定向报文发送到客户端上,使客户端根据该重定向报文进行重定向。本发明实施例,网络防护设备可以正常向客户端传输重定向报文,从而解决了现有技术中客户端无法正常进行重定向的问题。
为对本发明进行进一步说明,提供下列实施例:
图2是本发明提供的一个报文的传输方法的实施例流程图,本发明实施例结合图1、图2进行示例性说明,如图2所示,包括步骤如下:
步骤201:接收客户端发送的HTTP请求报文。
步骤202:将与HTTP请求报文对应的HTTP响应报文的传输方式确定为分块传输方式,HTTP响应报文为服务器根据HTTP请求报文返回给网络防护设备的报文。
步骤203:基于HTTP响应报文与预设检测条件,确定是否需要对HTTP响应报文建立重定向报文。
步骤204:当确定需要对HTTP响应报文建立重定向报文时,基于HTTP响应报文建立与HTTP响应报文对应的重定向报文。
步骤205:以分块传输方式向客户端发送重定向报文,以使客户端根据重定向报文进行重定向。
下面结合图1,以客户端为客户端11、网络防护设备为WEB应用防火墙12、服务器为WEB服务器13为例进行示例性说明:
在步骤201中,在一实施例中,WEB应用防火墙12接收到客户端11发送的HTTP请求报文。
在步骤202中,在一实施例中,WEB服务器13根据HTTP请求报文向WEB应用防火墙12返回一个HTTP响应报文,WEB应用防火墙12将HTTP响应报文的传输方式确定为分块传输方式。
如下表1所示,为HTTP请求报文的结构示意图:
表1
Figure BDA0001114165620000051
表1中的第一行为请求行;第二行至第四行为请求头部,请求头部中包括的行数由客户端11根据不同的需求而设定;第六行为请求正文。当WEB应用防火墙12接收到客户端11发送的HTTP请求报文时,WEB应用防火墙12基于HTTP请求报文中的URI地址以及头部字段名中存在的域名确定第一URL,此处第一URL的确定过程为现有技术,故不作详述。
如下表2所示,为HTTP响应报文的结构示意图:
表2
Figure BDA0001114165620000061
表2中的第一行为状态行;第二行至第四行为响应头部,响应头部中包括的行数由客户端11根据不同的需求而设定;第六行为响应正文。响应头部由“头部字段名:值”对组成,每行一对,名和值之间使用冒号分隔。例如,“头部字段名:值”可以为“Content-Length:500”、“Transfer-Encoding:chunked”,Content-Length为第一字段名;Transfer-Encoding为第二字段名。其中,“Content-Length:500”表示WEB应用防火墙12采用Content-Length的传输方式对HTTP响应报文进行传输,其中Content-Length的传输方式为分段传输方式;HTTP响应报文的长度为500字节;“Transfer-Encoding:chunked”表示WEB应用防火墙12采用Transfer-Encoding的传输方式对HTTP响应报文进行传输,其中Transfer-Encoding的传输方式为分块传输方式;分块传输方式对应的值为chunked。同一个HTTP响应报文中分段传输方式与分块传输方式不能同时存在。
本领域技术人员可以理解的是,表1和表2的结构示意图为现有技术,此处对表1和表2进行描述的目的是为了让本领域技术人员更好地理解本发明的实施例,表1和表2仅为示例性说明,其并不能形成对本发明的限制,
在步骤203中,在一实施例中,WEB应用防火墙12获取检测条件列表,检测条件列表可以为WEB应用防火墙12建立的列表,也可以为客户端11建立后发送给WEB应用防火墙12的列表。检测条件列表如表3所示,以包含2条预设检测条件为例进行说明:
表3
序列号 预设检测条件
1 Trojan
2 >512字节
在上述表3中,检测条件列表所包含的预设检测条件可以为一串字符,或者为报文大小的阈值等条件。WEB应用防火墙12将HTTP响应报文与检测条件列表中的至少一条预设检测条件逐一进行匹配。例如,一条预设检测条件为“Trojan”,若HTTP响应报文中存在“Trojan”字符,则该HTTP响应报文与检测条件列表中记录的该条预设检测条件匹配成功,则HTTP响应报文被判断为异常,即确定需要对HTTP响应报文建立重定向报文。
在步骤204中,当HTTP响应报文与WEB应用防火墙12中建立的检测条件列表中的一条预设检测条件匹配成功时,该HTTP响应报文被判断为异常,WEB应用防火墙12确定需要对HTTP响应报文建立重定向报文,基于该HTTP响应报文建立与该HTTP响应报文对应的重定向报文。
在步骤205中,在一实施例中,WEB应用防火墙12以分块传输方式向客户端11发送重定向报文,以使客户端11根据该重定向报文进行重定向。
本发明实施例中,网络防护设备以分块传输方式将重定向报文发送到客户端,当重定向报文的大小超过HTTP响应报文指定的后续报文大小时,由于分块传输方式不限定重定向报文的大小,因此网络防护设备可以正常向客户端传输重定向报文,解决了现有技术中客户端无法正常进行重定向的问题。
图3是本发明提供的另一个报文的传输方法的实施例流程图,本发明实施例结合图1、图2进行示例性说明,如图3所示,包括步骤如下:
步骤301:网络防护设备获取检测条件列表,检测条件列表中包括至少一条预设检测条件,预设检测条件可以为报文大小的阈值或一串字符。
步骤302:客户端向网络防护设备发送HTTP请求报文。
步骤303:网络防护设备基于HTTP请求报文确定第一URL。
步骤304:网络防护设备向服务器发送HTTP请求报文。
步骤305:服务器根据HTTP请求报文向网络防护设备返回HTTP响应报文。
步骤306:网络防护设备将HTTP响应报文的传输方式确定为分块传输方式。
步骤307:网络防护设备将HTTP响应报文与网络防护设备中建立的检测条件列表中的至少一条预设检测条件逐一进行匹配,确定是否需要对HTTP响应报文建立重定向报文。
步骤308:当确定需要对HTTP响应报文建立重定向报文,网络防护设备将第一URL与预设的重定向列表中各条重定向表项记录的URL地址逐一进行匹配。
步骤309:当第一URL与预设的重定向列表中一条重定向表项记录的URL地址匹配成功时,网络防护设备将一条重定向表项记录的URL地址确定为第二URL。
步骤310:网络防护设备根据第二URL建立重定向报文。
步骤311:网络防护设备以分块传输方式向客户端发送重定向报文。
步骤312:客户端根据重定向报文进行重定向。
下面结合图1,以客户端为客户端11、网络防护设备为WEB应用防火墙12、服务器为WEB服务器13为例进行示例性说明:
在步骤301中,WEB应用防火墙12获取检测条件列表,检测条件列表中包括至少一条预设检测条件,预设检测条件可以为报文大小的阈值或一串字符,例如:“Trojan”、“512字节”。
本领域技术人员可以理解的是,步骤301和步骤302-步骤306并无时序上的先后关系,在执行步骤307之前的任一步骤,都可以执行步骤301。
在步骤302中,客户端11向WEB应用防火墙12发送HTTP请求报文。
在步骤303中,WEB应用防火墙12基于HTTP请求报文确定第一URL,例如,第一URL为http://www.sohu.com/domain/HXWZ。
在步骤304中,WEB应用防火墙12向WEB服务器13发送HTTP请求报文。
在步骤305中,WEB服务器13根据HTTP请求报文向WEB应用防火墙12返回HTTP响应报文。
在步骤306中,在一实施例中,WEB应用防火墙12将HTTP响应报文的传输方式确定为分块传输方式。WEB应用防火墙12查找HTTP响应报文的响应头部中的头部字段名是否存在第一字段名,当HTTP响应报文的响应头部中的头部字段名存在第一字段名时,WEB应用防火墙12将该头部字段名中的第一字段名变更为第二字段名,并将头部字段名对应的值变更为与第二字段名对应的值。具体的,WEB应用防火墙12查找HTTP响应报文中的头部字段名是否存在Content-Length,若存在,WEB应用防火墙12将该头部字段名变更为Transfer-Encoding,头部字段名对应的值变更为chunked。
可选的,当WEB应用防火墙12查找HTTP响应报文的响应头部中的头部字段名不存在第一字段名时,WEB应用防火墙12查找HTTP响应报文的响应头部中的头部字段名是否存在第二字段名,若存在,WEB应用防火墙12将HTTP响应报文的传输方式确定为分块传输方式。具体的,当WEB应用防火墙12查找HTTP响应报文的响应头部中的头部字段名不存在Content-Length时,WEB应用防火墙12查找HTTP响应报文的响应头部中的头部字段名是否存在Transfer-Encoding,若存在,WEB应用防火墙12将HTTP响应报文的传输方式确定为分块传输方式。
在步骤307中,在一实施例中,WEB应用防火墙12将HTTP响应报文与检测条件列表中的至少一条预设检测条件逐一进行匹配,若匹配成功即为确定需要对HTTP响应报文建立重定向报文,若未成功即为确定不需要对HTTP响应报文建立重定向报文。
在步骤308中,当HTTP响应报文与WEB应用防火墙12中建立的检测条件列表中的一条预设检测条件匹配成功时,WEB应用防火墙12将第一URL与WEB应用防火墙12中预设的重定向列表进行匹配,其中,预设的重定向列表中记录多条重定向表项,每条重定向表项中记录了一组URL地址的对应关系。例如,WEB应用防火墙12中建立的检测条件列表中的一条预设检测条件设定的判断条件为“Trojan”,若HTTP响应报文中存在“Trojan”字符,则该HTTP响应报文与该表项中的“Trojan”匹配成功,WEB应用防火墙12确定需要对该HTTP响应报文建立重定向报文。若WEB服务器13中预设的重定向列表中的一条重定向表项中记录了http://www.sohu.com/domain/HXWZ与http://www.sohu.com的对应关系,WEB应用防火墙12将http://www.sohu.com/domain/HXWZ与重定向列表中的该条重定向表项匹配成功。
在步骤309中,当第一URL与预设的重定向列表中一条重定向表项记录的URL地址匹配成功时,WEB应用防火墙12将一条重定向表项记录的URL地址确定为第二URL。例如,结合步骤308,http://www.sohu.com被确定为第二URL。
在步骤310中,WEB应用防火墙12根据第二URL建立重定向报文,此处WEB应用防火墙12根据第二URL建立重定向报文的方法为现有技术,故不作详述。
在步骤311中,WEB应用防火墙12以分块传输方式向客户端11发送重定向报文。
在步骤312中,客户端11根据重定向报文进行重定向,此处客户端11根据重定向报文进行重定向的方法为现有技术,故不作详述。
本发明实施例中,WEB应用防火墙12以分块传输方式将重定向报文发送到客户端11,WEB应用防火墙12可以正常向客户端11传输重定向报文,解决了现有技术中客户端11无法正常进行重定向的问题。
图4是本发明报文的传输方法的另一个实施例流程图,本发明实施例结合图1、图2、图3进行示例性说明,如图4所示,包括如下步骤:
步骤401:客户端向网络防护设备发送HTTP请求报文。
步骤402:网络防护设备基于HTTP请求报文确定第一URL。
步骤403:网络防护设备向服务器发送HTTP请求报文。
步骤404:服务器根据HTTP请求报文向网络防护设备返回HTTP响应报文。
步骤405:网络防护设备将HTTP响应报文的传输方式确定为分块传输方式。
步骤406:网络防护设备将HTTP响应报文与网络防护设备中建立的检测条件列表中的至少一条预设检测条件逐一进行匹配。
步骤407:当网络防护设备确定不需要对HTTP响应报文建立重定向报文时,网络防护设备以分块传输方式向客户端发送HTTP响应报文。
下面结合图1,以客户端为客户端11、网络防护设备为WEB应用防火墙12、服务器为WEB服务器13为例进行示例性说明:
步骤401-步骤406,此处描述可以参见图3所示步骤302至步骤307的相关描述,在此不再详述。
在步骤407中,当HTTP响应报文与WEB应用防火墙12中建立的检测条件列表中的至少一条预设检测条件均未匹配成功时,表示该HTTP响应报文不存在异常,WEB应用防火墙12确定不需要对HTTP响应报文建立重定向报文。WEB应用防火墙12以分块传输方式向客户端11发送HTTP响应报文。
本发明实施例中,WEB应用防火墙12将HTTP响应报文的传输方式确定为分块传输方式,WEB应用防火墙12以分块传输方式向客户端11发送HTTP响应报文,解决了当HTTP响应报文指定后续报文数据长度小于实际长度时,客户端11无法正常接收HTTP响应报文的问题。
对应于上述报文的传输方法,本发明还提出了图5所示的网络防护设备的硬件结构图。请参考图5,在硬件层面,该网络防护设备包括处理器、内部总线、网络接口、内存以及非易失性存储器,当然还可能包括其他业务所需要的硬件。处理器从非易失性存储器中读取对应的计算机程序到内存中然后运行,在逻辑层面上形成报文的传输装置。当然,除了软件实现方式之外,本发明并不排除其他实现方式,比如逻辑器件抑或软硬件结合的方式等等,也就是说以下处理流程的执行主体并不限定于各个逻辑单元,也可以是硬件或逻辑器件。
图6是本发明提供的一个报文的传输装置的实施例框图,如图6所示,该报文的传输装置可以包括:HTTP请求报文接收模块61、第一确定模块62、预设检测条件匹配模块63、重定向报文建立模块64、重定向报文发送模块65,其中:
HTTP请求报文接收模块61,用于接收客户端发送的HTTP请求报文;
第一确定模块62,用于将与HTTP请求报文接收模块61中接收的HTTP请求报文对应的HTTP响应报文的传输方式确定为分块传输方式,HTTP响应报文为服务器根据HTTP请求报文返回给网络防护设备的报文;
预设检测条件匹配模块63,用于基于第一确定模块62中的HTTP响应报文,与预设检测条件,确定是否需要对HTTP响应报文建立重定向报文;
重定向报文建立模块64,用于当预设检测条件匹配模块63中确定需要对第一确定模块62中的HTTP响应报文建立重定向报文时,基于HTTP响应报文建立与HTTP响应报文对应的重定向报文;
重定向报文发送模块65,用于以分块传输方式向客户端发送重定向报文建立模块64中建立的重定向报文,以使客户端根据重定向报文进行重定向。
图7是本发明提供的另一个报文的传输装置的实施例框图,如图7所示,在上述图6所示实施例的基础上,第一确定模块62包括:
第一字段名查找单元621,用于查找第一确定模块62中的HTTP响应报文的响应头部中的头部字段名是否存在第一字段名;
第二字段名变更单元622,用于当第一确定模块62中的HTTP响应报文的响应头部中的头部字段名存在第一字段名查找单元621中的第一字段名时,将头部字段名中的第一字段名变更为第二字段名,并将头部字段名对应的值变更为与第二字段名对应的值。
在一实施例中,报文的转发装置还包括:
第二字段名查找模块66,用于当第一确定模块62中的HTTP响应报文的响应头部中的头部字段名不存在第一字段名查找单元621中的第一字段名时,查找响应头部中的头部字段名是否存在第二字段名变更单元622中的第二字段名;
第二确定模块67,用于当响应头部中的头部字段名存在第二字段名时,将HTTP响应报文的传输方式确定为分块传输方式。
图8是本发明提供的另一个报文的传输装置的实施例框图,如图8所示,在上述图7所示实施例的基础上,报文的转发装置还包括:
检测条件列表获取模块68,用于获取检测条件列表,检测条件列表中包括至少一条预设检测条件匹配模块63中的预设检测条件,预设检测条件为报文大小的阈值或一串字符。
在一实施例中,预设检测条件匹配模块63包括:
预设检测条件匹配单元631,用于将第一确定模块62中的HTTP响应报文与检测条件列表获取模块68中获取的检测条件列表中的至少一条预设检测条件逐一进行匹配,若匹配成功即为确定需要对HTTP响应报文建立重定向报文,若未成功即为确定不需要对HTTP响应报文建立重定向报文。
在一实施例中,报文的转发装置还包括:
HTTP响应报文发送模块69,用于当预设检测条件匹配模块63中确定不需要对HTTP响应报文建立重定向报文时,以分块传输方式将HTTP响应报文发送到客户端。
在一实施例中,重定向报文建立模块64包括:
第一URL确定单元641,用于当预设检测条件匹配模块63中确定需要对HTTP响应报文建立重定向报文时,基于HTTP请求报文确定第一URL,第一URL为接收到客户端发送的HTTP请求报文时基于HTTP请求报文确定的URL地址;
重定向列表匹配单元642,用于将第一URL确定单元641中确定的第一URL与预设的重定向列表中各条重定向表项记录的URL地址逐一进行匹配;
第二URL确定单元643,用于当重定向列表匹配单元642中第一URL与预设的重定向列表中一条重定向表项记录的URL地址匹配成功时,将一条重定向表项记录的URL地址确定为第二URL;
重定向报文建立单元644,用于根据第二URL确定单元643中确定的第二URL建立重定向报文。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本发明方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
由上述实施例可见,网络防护设备以分块传输方式将重定向报文发送到客户端,当重定向报文的大小超过HTTP响应报文指定的后续报文大小时,由于分块传输方式不限定重定向报文的大小,因此网络防护设备可以正常向客户端传输重定向报文,解决了现有技术中客户端无法正常进行重定向的问题。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本发明的其它实施方案。本发明旨在涵盖本发明的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本发明未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本发明的真正范围和精神由下面的权利要求指出。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。

Claims (10)

1.一种报文的传输方法,应用在网络防护设备中,其特征在于,所述方法包括:
接收客户端发送的HTTP请求报文;
将与所述HTTP请求报文对应的HTTP响应报文的传输方式确定为分块传输方式,所述HTTP响应报文为服务器根据所述HTTP请求报文返回给所述网络防护设备的报文;
基于所述HTTP响应报文与预设检测条件,确定是否需要对所述HTTP响应报文建立重定向报文;
当确定需要对所述HTTP响应报文建立重定向报文时,基于所述HTTP响应报文建立与所述HTTP响应报文对应的重定向报文;
以所述分块传输方式向所述客户端发送所述重定向报文,以使所述客户端根据所述重定向报文进行重定向。
2.根据权利要求1所述的方法,其特征在于,所述将与所述HTTP请求报文对应的HTTP响应报文的传输方式确定为分块传输方式包括:
查找所述HTTP响应报文的响应头部中的头部字段名是否存在第一字段名;
当所述HTTP响应报文的所述响应头部中的头部字段名存在所述第一字段名时,将所述头部字段名中的所述第一字段名变更为第二字段名,并将所述头部字段名对应的值变更为与所述第二字段名对应的值。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
当所述HTTP响应报文的所述响应头部中的头部字段名不存在所述第一字段名时,查找所述响应头部中的头部字段名是否存在所述第二字段名;
当所述响应头部中的头部字段名存在所述第二字段名时,将所述HTTP响应报文的传输方式确定为所述分块传输方式。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
获取检测条件列表,所述检测条件列表中包括至少一条预设检测条件,所述预设检测条件为报文大小的阈值或一串字符。
5.根据权利要求4所述的方法,其特征在于,所述确定是否需要对所述HTTP响应报文建立重定向报文,包括:
将所述HTTP响应报文与所述检测条件列表中的所述至少一条预设检测条件逐一进行匹配,若匹配成功即为确定需要对所述HTTP响应报文建立重定向报文,若未成功即为确定不需要对所述HTTP响应报文建立重定向报文。
6.根据权利要求1所述的方法,其特征在于,所述方法还包括:
当确定不需要对所述HTTP响应报文建立重定向报文时,以所述分块传输方式将所述HTTP响应报文发送到所述客户端。
7.根据权利要求1所述的方法,其特征在于,所述基于所述HTTP响应报文建立与所述HTTP响应报文对应的重定向报文,包括:
基于所述HTTP请求报文确定第一URL,所述第一URL为接收到所述客户端发送的所述HTTP请求报文时基于所述HTTP请求报文确定的URL地址;
将所述第一URL与预设的重定向列表中各条重定向表项记录的URL地址逐一进行匹配;
当所述第一URL与所述预设的重定向列表中一条重定向表项记录的URL地址匹配成功时,将所述一条重定向表项记录的URL地址确定为第二URL;
根据所述第二URL建立所述重定向报文。
8.一种报文的传输装置,应用在网络防护设备中,其特征在于,所述装置包括:
HTTP请求报文接收模块,用于接收客户端发送的HTTP请求报文;
第一确定模块,用于将与所述HTTP请求报文接收模块中接收的所述HTTP请求报文对应的HTTP响应报文的传输方式确定为分块传输方式,所述HTTP响应报文为服务器根据所述HTTP请求报文返回给所述网络防护设备的报文;
预设检测条件匹配模块,用于基于所述第一确定模块中的所述HTTP响应报文,与预设检测条件,确定是否需要对所述HTTP响应报文建立重定向报文;
重定向报文建立模块,用于当所述预设检测条件匹配模块中确定需要对所述第一确定模块中的所述HTTP响应报文建立重定向报文时,基于所述HTTP响应报文建立与所述HTTP响应报文对应的重定向报文;
重定向报文发送模块,用于以所述分块传输方式向所述客户端发送所述重定向报文建立模块中建立的所述重定向报文,以使所述客户端根据所述重定向报文进行重定向。
9.根据权利要求8所述的装置,其特征在于,所述第一确定模块包括:
第一字段名查找单元,用于查找所述第一确定模块中的所述HTTP响应报文的响应头部中的头部字段名是否存在第一字段名;
第二字段名变更单元,用于当所述第一确定模块中的所述HTTP响应报文的所述响应头部中的头部字段名存在所述第一字段名查找单元中的所述第一字段名时,将所述头部字段名中的所述第一字段名变更为第二字段名,并将所述头部字段名对应的值变更为与所述第二字段名对应的值。
10.根据权利要求9所述的装置,其特征在于,所述装置还包括:
第二字段名查找模块,用于当所述第一确定模块中的所述HTTP响应报文的所述响应头部中的头部字段名不存在所述第一字段名查找单元中的所述第一字段名时,查找所述响应头部中的头部字段名是否存在所述第二字段名变更单元中的所述第二字段名;
第二确定模块,用于当所述响应头部中的头部字段名存在所述第二字段名时,将所述HTTP响应报文的传输方式确定为所述分块传输方式。
CN201610822545.XA 2016-09-13 2016-09-13 一种报文的传输方法及装置 Active CN106357536B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN201610822545.XA CN106357536B (zh) 2016-09-13 2016-09-13 一种报文的传输方法及装置
US15/701,772 US20180077065A1 (en) 2016-09-13 2017-09-12 Transmitting packet

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610822545.XA CN106357536B (zh) 2016-09-13 2016-09-13 一种报文的传输方法及装置

Publications (2)

Publication Number Publication Date
CN106357536A CN106357536A (zh) 2017-01-25
CN106357536B true CN106357536B (zh) 2020-01-03

Family

ID=57857936

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610822545.XA Active CN106357536B (zh) 2016-09-13 2016-09-13 一种报文的传输方法及装置

Country Status (2)

Country Link
US (1) US20180077065A1 (zh)
CN (1) CN106357536B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113364824A (zh) * 2020-03-06 2021-09-07 华为技术有限公司 一种获取制造商使用说明mud文件的方法和设备
KR102824626B1 (ko) * 2021-02-12 2025-06-24 구글 엘엘씨 캡처된 오디오 및/또는 기타 센서 데이터의 보안을 보장하기 위한 샌드박스형 특징 검출 프로세스의 활용
US20220261475A1 (en) * 2021-02-12 2022-08-18 Google Llc Utilization of sandboxed feature detection process to ensure security of captured audio and/or other sensor data

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101030889A (zh) * 2007-04-18 2007-09-05 杭州华为三康技术有限公司 防范cc攻击的方法和设备
CN101043522A (zh) * 2006-03-22 2007-09-26 腾讯科技(深圳)有限公司 一种基于Web服务器的通信方法及系统
CN101247395A (zh) * 2008-03-13 2008-08-20 武汉理工大学 一种Session ID全透明传递的ISAPI访问控制系统

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5933632A (en) * 1995-12-21 1999-08-03 Intel Corporation Ring transitions for data chunks
US7412539B2 (en) * 2002-12-18 2008-08-12 Sonicwall, Inc. Method and apparatus for resource locator identifier rewrite
US20050229243A1 (en) * 2004-03-31 2005-10-13 Svendsen Hugh B Method and system for providing Web browsing through a firewall in a peer to peer network
US7913077B2 (en) * 2007-02-13 2011-03-22 International Business Machines Corporation Preventing IP spoofing and facilitating parsing of private data areas in system area network connection requests
US9549039B2 (en) * 2010-05-28 2017-01-17 Radware Ltd. Accelerating HTTP responses in a client/server environment
US8332626B2 (en) * 2010-04-15 2012-12-11 Ntrepid Corporation Method and apparatus for authentication token-based service redirection
KR20140118095A (ko) * 2013-03-28 2014-10-08 삼성전자주식회사 이동통신 시스템에서 단말의 핸드오버를 처리하는 방법 및 장치
WO2016056013A1 (en) * 2014-10-07 2016-04-14 Routier Ltd. Systems and methods for http message content modification streaming
CN105530127B (zh) * 2015-12-10 2019-02-01 北京奇虎科技有限公司 一种代理服务器处理网络访问请求的方法和代理服务器

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101043522A (zh) * 2006-03-22 2007-09-26 腾讯科技(深圳)有限公司 一种基于Web服务器的通信方法及系统
CN101030889A (zh) * 2007-04-18 2007-09-05 杭州华为三康技术有限公司 防范cc攻击的方法和设备
CN101247395A (zh) * 2008-03-13 2008-08-20 武汉理工大学 一种Session ID全透明传递的ISAPI访问控制系统

Also Published As

Publication number Publication date
US20180077065A1 (en) 2018-03-15
CN106357536A (zh) 2017-01-25

Similar Documents

Publication Publication Date Title
JP5624973B2 (ja) フィルタリング装置
US10305904B2 (en) Facilitating secure network traffic by an application delivery controller
EP2924941B1 (en) Method and device for preventing service illegal access
US9258289B2 (en) Authentication of IP source addresses
CN108200165B (zh) 请求传输系统、方法、装置及存储介质
CN106663166A (zh) 检测装置、检测方法以及检测程序
WO2018107784A1 (zh) 检测网页后门的方法和装置
WO2017004947A1 (zh) 防止域名劫持的方法和装置
CN105430011A (zh) 一种检测分布式拒绝服务攻击的方法和装置
CN106357536B (zh) 一种报文的传输方法及装置
CN108063833A (zh) Http dns解析报文处理方法及装置
CN111225038A (zh) 服务器访问方法及装置
US10326819B2 (en) Method and apparatus for detecting access path
CN106254433B (zh) 一种建立tcp通信连接的方法及装置
EP3180705B1 (en) End point secured network
CN108040124B (zh) 基于DNS-Over-HTTP协议的控制移动端应用的方法及装置
CN103685510B (zh) 基于服务端运行的面向多终端的媒体资源同步方法和系统
WO2018028345A1 (zh) 用于检测访问路径的方法和装置
CN104243522B (zh) 用于超文本传输协议网络的方法及宽带网络网关
CN103647776B (zh) 面向多终端的媒体资源同步方法和系统
US20250202912A1 (en) Cybersecurity based on domain name system protocol processing
US20250016049A1 (en) Processing network messages in customer-premises equipment
US20240152502A1 (en) Data authentication and validation across multiple sources, interfaces, and networks
US20240187433A1 (en) Website reputation cache based on connected device features
EP4379584A1 (en) Website reputation cache based on connected device features

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
CB02 Change of applicant information
CB02 Change of applicant information

Address after: Binjiang District and Hangzhou city in Zhejiang Province Road 310051 No. 68 in the 6 storey building

Applicant after: Hangzhou DPtech Technologies Co.,Ltd.

Address before: Binjiang District and Hangzhou city in Zhejiang Province Road 310051 No. 68 in the 6 storey building

Applicant before: Hangzhou Dptech Technologies Co.,Ltd.

SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant