亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

防火墻因特網(wǎng)協(xié)議地址并發(fā)連接數(shù)控制方法

文檔序號:7600388閱讀:119來源:國知局
專利名稱:防火墻因特網(wǎng)協(xié)議地址并發(fā)連接數(shù)控制方法
技術(shù)領(lǐng)域
本發(fā)明涉及防火墻過濾技術(shù),具體涉及一種防火墻因特網(wǎng)協(xié)議地址并發(fā)連接數(shù)控制方法。
背景技術(shù)
防火墻技術(shù)是常用的一種網(wǎng)絡(luò)安全技術(shù)。圖1顯示了防火墻的模塊結(jié)構(gòu)示意圖。如圖1所示,防火墻1包括防火墻應(yīng)用層2、防火墻OS(操作系統(tǒng))3和防火墻硬件4。防火墻硬件4主要包括CPU(中央處理單元)、主板、硬盤、內(nèi)存、網(wǎng)卡等(未顯示),防火墻硬件4通過網(wǎng)卡與網(wǎng)絡(luò)設(shè)備(如路由器、交換機)相連而接入網(wǎng)絡(luò)。防火墻應(yīng)用層2主要包括防火墻的管理控制軟件和防火墻服務(wù)程序。防火墻OS 3是基本的防火墻管理系統(tǒng)軟件,可直接控制防火墻硬件4,而防火墻OS 3包括用于完成防火墻過濾功能的防火墻過濾核心模塊5,其進(jìn)一步包括狀態(tài)包過濾模塊6,用于利用狀態(tài)檢測技術(shù)進(jìn)行狀態(tài)包過濾,以及采用其它過濾技術(shù)的其它過濾7。
目前世界上主流的防火墻,一般通過規(guī)則對轉(zhuǎn)發(fā)的數(shù)據(jù)包進(jìn)行源地址、源端口、目的地址、目的端口、協(xié)議的過濾,但不對IP(因特網(wǎng)協(xié)議)地址的并發(fā)連接進(jìn)行統(tǒng)計和控制。近年來網(wǎng)絡(luò)蠕蟲病毒橫行,在世界范圍引起非常大的危害。網(wǎng)絡(luò)蠕蟲病毒的特征是中了病毒的主機會不斷地掃描網(wǎng)絡(luò),試圖找到存在系統(tǒng)漏洞可被蠕蟲感染的機器;一旦找到馬上進(jìn)行感染,然后中了蠕蟲病毒的機器會重復(fù)上面的操作繼續(xù)掃描、傳播。若沒有及時清除蠕蟲病毒,中毒機器數(shù)量會呈幾何級數(shù)增長,同時大量的掃描報文會對正常的網(wǎng)絡(luò)造成極大的沖擊,造成網(wǎng)絡(luò)的擁塞。典型的網(wǎng)絡(luò)蠕蟲病毒有沖擊波、振蕩波病毒,它們對網(wǎng)絡(luò)的危害非常大。解決蠕蟲病毒的辦法就是及時發(fā)現(xiàn)感染病毒的機器,進(jìn)行殺毒并對系統(tǒng)打補丁,同時通過防火墻禁止蠕蟲的掃描服務(wù)。但由于蠕蟲病毒用于傳播的途徑往往與正常網(wǎng)絡(luò)服務(wù)相重疊,所以有時候采用禁止服務(wù)的方法是會影響正常的工作的。中了蠕蟲病毒的機器不斷建立連接,不斷消耗網(wǎng)關(guān)設(shè)備防火墻的并發(fā)連接數(shù)資源,當(dāng)并發(fā)連接資源消耗完時,就造成中斷網(wǎng)絡(luò)的嚴(yán)重后果。因此迫切需要防火墻具有限制IP地址并發(fā)連接的能力。
BT(BitTorrent,比特進(jìn)發(fā))軟件是近年互聯(lián)網(wǎng)上比較常用的P2P(點對點)軟件,它的特點如下首先由上傳者把一個文件分成了多個部分上傳到服務(wù)器,甲在服務(wù)器隨機下載了其中N部分,乙在服務(wù)器隨機下載了其中M部分,這樣甲的BT就會根據(jù)情況到乙的電腦上去拿乙已經(jīng)下載的M部分,乙的BT就會根據(jù)情況去到甲的電腦上去拿(下載)甲已經(jīng)下載的N部分,這樣就不但減輕了服務(wù)器端的負(fù)荷,也加快了客戶端(甲乙)的下載速度,效率也提高了,而且減少了地域之間的限制。比如說丙要連接到服務(wù)器下載的話可能只有幾kbps,但是如果到甲和乙的電腦上去拿就快得多了。用BT的用戶越多,下載的用戶就越多,那么下載的速度就越快,這就是BT這種P2P軟件的優(yōu)點。雖然BT的用戶可以享受高速下載的樂趣,但對于網(wǎng)絡(luò)管理員,BT類型軟件的使用極大占用了網(wǎng)絡(luò)帶寬和防火墻并發(fā)連接資源,所以網(wǎng)絡(luò)管理員也希望有辦法限制因使用BT類型的P2P軟件而使其IP地址占用大量連接資源的問題。

發(fā)明內(nèi)容
本發(fā)明的目的是提供一種防火墻因特網(wǎng)協(xié)議地址并發(fā)連接數(shù)控制方法,使防火墻具有控制IP地址并發(fā)連接的能力,利用這種能力可以有效監(jiān)控網(wǎng)絡(luò),減少蠕蟲病毒和如BT的P2P軟件對網(wǎng)絡(luò)資源大量占用的危害,使防火墻具有更強的控制過濾能力。
為了實現(xiàn)上述目的,本發(fā)明提供一種防火墻因特網(wǎng)協(xié)議地址并發(fā)連接數(shù)控制方法,包括步驟a)接收因特網(wǎng)協(xié)議數(shù)據(jù)包;b)針對一個因特網(wǎng)協(xié)議地址,從接收的因特網(wǎng)協(xié)議數(shù)據(jù)包統(tǒng)計因特網(wǎng)協(xié)議地址并發(fā)連接數(shù);c)如果統(tǒng)計的因特網(wǎng)協(xié)議地址并發(fā)連接數(shù)未超過一個閾值,那么轉(zhuǎn)發(fā)該數(shù)據(jù)包;以及d)如果統(tǒng)計的因特網(wǎng)協(xié)議地址并發(fā)連接數(shù)超過該閾值,那么對該數(shù)據(jù)包執(zhí)行過濾操作。
本發(fā)明還提供一種防火墻裝置,包括接收裝置,用于接收因特網(wǎng)協(xié)議數(shù)據(jù)包;并發(fā)連接數(shù)統(tǒng)計裝置,用于針對一個因特網(wǎng)協(xié)議地址,從接收的因特網(wǎng)協(xié)議數(shù)據(jù)包統(tǒng)計因特網(wǎng)協(xié)議地址并發(fā)連接數(shù);以及并發(fā)連接數(shù)控制裝置,在統(tǒng)計的因特網(wǎng)協(xié)議地址并發(fā)連接數(shù)未超過一個閾值時,轉(zhuǎn)發(fā)該數(shù)據(jù)包;而在統(tǒng)計的因特網(wǎng)協(xié)議地址并發(fā)連接數(shù)超過該閾值時,對該數(shù)據(jù)包執(zhí)行過濾操作。
使用本發(fā)明的防火墻因特網(wǎng)協(xié)議地址并發(fā)連接數(shù)控制方法和防火墻裝置,使防火墻具有根據(jù)IP地址并發(fā)連接數(shù)控制數(shù)據(jù)包的能力,從而可有效監(jiān)控網(wǎng)絡(luò),減少蠕蟲病毒和如BT的P2P軟件對網(wǎng)絡(luò)資源大量占用的危害,使得防火墻能夠?qū)P地址并發(fā)連接進(jìn)行控制。


通過下面結(jié)合附圖進(jìn)行的描述,本發(fā)明的上述目的和特點將會變得更加清楚,其中圖1顯示了防火墻的模塊結(jié)構(gòu)示意圖;圖2是根據(jù)本發(fā)明的IP地址并發(fā)連接數(shù)控制方法的流程圖;圖3說明了圖2的流程圖中判斷步驟3的細(xì)節(jié);以及圖4是實現(xiàn)本發(fā)明的IP地址并發(fā)連接數(shù)控制方法的防火墻裝置的示意框圖。
具體實施例方式
本發(fā)明的實現(xiàn)可以在防火墻過濾核心模塊5中增加并發(fā)連接數(shù)控制模塊8,其基本思想如下。
事先設(shè)定IP地址并發(fā)連接數(shù)策略,設(shè)定的策略存儲在IP地址并發(fā)連接數(shù)控制策略表里;對于防火墻進(jìn)行轉(zhuǎn)發(fā)的數(shù)據(jù)包只選擇IP數(shù)據(jù)包;對IP數(shù)據(jù)包是否需要進(jìn)行IP地址并發(fā)連接數(shù)控制進(jìn)行判斷;需要進(jìn)行過濾的數(shù)據(jù)包根據(jù)事先設(shè)定的IP地址并發(fā)連接數(shù)控制策略,對數(shù)據(jù)包IP頭包含的IP地址進(jìn)行并發(fā)連接數(shù)統(tǒng)計;根據(jù)統(tǒng)計的IP并發(fā)連接數(shù)參照與此IP對應(yīng)的策略進(jìn)行檢查,檢查通過繼續(xù)轉(zhuǎn)發(fā),檢查不通過則將此數(shù)據(jù)包丟棄或者采取其它設(shè)定的措施。
其中,設(shè)置IP地址并發(fā)連接數(shù)策略包括確定過濾影響的范圍,是針對某些特定IP地址,還是對全部IP地址進(jìn)行過濾;確定過濾IP地址并發(fā)連接數(shù)的閾值;以及不超過閾值、超過閾值時過濾需產(chǎn)生的動作。
判斷數(shù)據(jù)包是否需要進(jìn)行IP地址并發(fā)連接數(shù)控制的方法包括數(shù)據(jù)包IP頭包含的IP地址是否匹配并發(fā)連接數(shù)控制策略中設(shè)置的IP地址,不匹配不需要過濾;數(shù)據(jù)包所屬連接是否已經(jīng)進(jìn)行過并發(fā)連接數(shù)統(tǒng)計,已經(jīng)統(tǒng)計過的不需要進(jìn)行過濾,防止重復(fù)統(tǒng)計。
接著解釋統(tǒng)計IP并發(fā)連接數(shù)的原理。一條包含有要統(tǒng)計IP地址的防火墻狀態(tài)連接記錄為一個計數(shù)單位,如果在狀態(tài)包過濾防火墻增加一條包含有要統(tǒng)計IP的連接狀態(tài)記錄,該IP并發(fā)連接數(shù)就加一;反之,如果狀態(tài)包過濾防火墻減少一條包含有要統(tǒng)計IP的連接狀態(tài)記錄,該IP并發(fā)連接數(shù)就減一。IP并發(fā)連接數(shù)還可細(xì)分為以要統(tǒng)計IP為源地址的連接的連接數(shù)和以要統(tǒng)計IP地址為目的地址的連接的連接數(shù)。進(jìn)入防火墻的IP數(shù)據(jù)包的IP頭中含有IP地址信息(包含源IP地址和目的IP地址),因而可利用此IP地址信息進(jìn)行IP并發(fā)連接數(shù)的統(tǒng)計。對于IP并發(fā)連接數(shù)需要維護(hù)一張IP并發(fā)連接數(shù)數(shù)據(jù)表來保存IP并發(fā)連接數(shù)數(shù)據(jù)。
IP并發(fā)連接數(shù)控制策略具有以下特征對IP的連接數(shù)設(shè)定一個檢查閾值,超過檢查閾值時執(zhí)行過濾動作通過/丟棄,是否記錄日志。若連接數(shù)細(xì)分為以IP為源的和目的的連接數(shù),則可分別對源連接和目的連接設(shè)定檢查閾值,過濾動作同上所述。
下面參照圖2,以在狀態(tài)包過濾防火墻中的實現(xiàn)為例,具體說明本發(fā)明的IP地址并發(fā)連接數(shù)控制的方法。
在防火墻的狀態(tài)包過濾完畢后進(jìn)行并發(fā)連接數(shù)控制檢查。
步驟1預(yù)先設(shè)定IP地址并發(fā)連接數(shù)控制策略可選擇過濾特定IP地址或全部IP地址;連接數(shù)統(tǒng)計對象是否細(xì)分為以要統(tǒng)計IP為源的和目的的連接數(shù);對特定IP地址設(shè)定以其IP為源的連接或為目的的連接的連接數(shù)閾值;以及實際連接數(shù)不超過閾值、超過閾值時產(chǎn)生的過濾動作(允許通過(轉(zhuǎn)發(fā))/丟棄)。對于過濾所有IP地址時設(shè)置全局的默認(rèn)策略。策略存儲在IP地址并發(fā)連接數(shù)控制策略表里。
步驟2選擇IP類型的數(shù)據(jù)包,因為只有IP類型的數(shù)據(jù)包才滿足IP連接統(tǒng)計的條件,對于其它類型的數(shù)據(jù)包則跳過并發(fā)連接數(shù)控制而被直接轉(zhuǎn)發(fā)。
步驟3判斷數(shù)據(jù)包是否需要進(jìn)行IP地址并發(fā)連接數(shù)控制。參照圖3,步驟3即判斷數(shù)據(jù)包IP頭包含的IP地址是否匹配IP地址并發(fā)連接數(shù)控制策略中設(shè)置的IP地址(步驟31)。不匹配的不需要過濾,執(zhí)行步驟6;匹配的則進(jìn)一步判斷數(shù)據(jù)包所屬連接是否已經(jīng)進(jìn)行過并發(fā)連接數(shù)統(tǒng)計(步驟32),判斷方法是檢查該IP數(shù)據(jù)包在狀態(tài)包過濾狀態(tài)表(未圖示)里對應(yīng)表項的并發(fā)連接統(tǒng)計標(biāo)記是否為“已統(tǒng)計”,“已統(tǒng)計”標(biāo)記的是和否分別表示已經(jīng)統(tǒng)計過和未統(tǒng)計過。已經(jīng)統(tǒng)計過的不需要進(jìn)行過濾,執(zhí)行步驟6,以防止重復(fù)統(tǒng)計;未統(tǒng)計過的則需要過濾,執(zhí)行步驟4。
步驟4統(tǒng)計IP數(shù)據(jù)包的IP頭中IP的并發(fā)連接數(shù)。
從IP數(shù)據(jù)包的IP頭解析出數(shù)據(jù)包的源IP地址sip和目的IP地址dip。根據(jù)步驟2中設(shè)置的過濾策略,例如對需要細(xì)分連接數(shù)統(tǒng)計對象的,分別統(tǒng)計sip地址和dip地址的連接數(shù),而對不需要細(xì)分的,則統(tǒng)計指定的sip地址或者dip地址的連接數(shù)。此策略可根據(jù)實際需要進(jìn)行變化。統(tǒng)計IP并發(fā)連接數(shù)時,則在IP并發(fā)連接數(shù)數(shù)據(jù)表(未圖示)里sip或者dip的連接數(shù)加一,同時設(shè)定此IP數(shù)據(jù)包對應(yīng)狀態(tài)包過濾狀態(tài)表表項的并發(fā)連接統(tǒng)計標(biāo)記為“已統(tǒng)計”,通過上述步驟32的判斷,保證下次處理與該IP數(shù)據(jù)包屬于同一連接的IP包時不重復(fù)計數(shù)(屬于同一連接的IP數(shù)據(jù)包在狀態(tài)包過濾的狀態(tài)表里只會有唯一的對應(yīng)表項)。對于IP并發(fā)連接數(shù)因為超時等原因而減少時,則狀態(tài)包過濾狀態(tài)表里的表項需要刪除,這通過操作狀態(tài)包過濾狀態(tài)表的刪除函數(shù)來完成,同時對狀態(tài)包過濾狀態(tài)表里要刪除的此表項中所含IP在IP并發(fā)連接數(shù)數(shù)據(jù)表中對應(yīng)的并發(fā)連接計數(shù)做減一操作。
步驟5根據(jù)步驟4產(chǎn)生的連接數(shù)對照并發(fā)連接數(shù)控制策略以執(zhí)行相應(yīng)的過濾動作。根據(jù)過濾策略執(zhí)行的過濾動作是比較以設(shè)定的IP地址為源或者目的的并發(fā)連接數(shù)閾值,對于實際并發(fā)連接數(shù)未超過閾值則執(zhí)行步驟6;對于超過閾值的數(shù)據(jù)包的處理方式可以有兩種超過閾值允許通過(執(zhí)行步驟6),例如執(zhí)行后續(xù)的其它過濾或者在并發(fā)連接數(shù)控制后采取不同于丟棄數(shù)據(jù)包的其它措施(如向管理員報警),以及超過閾值丟棄數(shù)據(jù)包(執(zhí)行步驟7)。
步驟6繼續(xù)轉(zhuǎn)發(fā)數(shù)據(jù)包。
下面參照圖4,說明實現(xiàn)本發(fā)明的IP地址并發(fā)連接數(shù)控制方法的防火墻裝置。根據(jù)本發(fā)明的防火墻裝置的一個實施方式可以實現(xiàn)為在圖1中增加并發(fā)連接數(shù)控制模塊8,但不限于此,如圖4所示,根據(jù)本發(fā)明的防火墻裝置可以實現(xiàn)為包括接收裝置81、判斷裝置82、并發(fā)連接數(shù)統(tǒng)計裝置83和并發(fā)連接數(shù)控制裝置84,而并發(fā)連接數(shù)控制策略表85用于存儲預(yù)先設(shè)定的IP地址并發(fā)連接數(shù)控制策略,以輔助實現(xiàn)根據(jù)本發(fā)明的防火墻裝置。
并發(fā)連接數(shù)控制策略表85中存儲的IP地址并發(fā)連接數(shù)控制策略如上所述。接收裝置81從網(wǎng)絡(luò)上接收要通過防火墻的數(shù)據(jù)包,從數(shù)據(jù)包中選擇IP類型的數(shù)據(jù)包,對于其它類型的數(shù)據(jù)包不進(jìn)行并發(fā)連接數(shù)控制而被直接轉(zhuǎn)發(fā)。
接收的IP數(shù)據(jù)包由判斷裝置82判斷IP數(shù)據(jù)包是否需要進(jìn)行IP地址并發(fā)連接數(shù)控制。首先,判斷裝置82判斷IP數(shù)據(jù)包的IP頭包含的IP地址是否匹配IP地址并發(fā)連接數(shù)控制策略中設(shè)置的IP地址。不匹配的不需要過濾,被直接轉(zhuǎn)發(fā);匹配的則進(jìn)一步判斷IP數(shù)據(jù)包所屬連接是否已經(jīng)進(jìn)行過并發(fā)連接數(shù)統(tǒng)計,例如,可檢查該IP數(shù)據(jù)包在狀態(tài)包過濾狀態(tài)表里對應(yīng)表項的并發(fā)連接統(tǒng)計標(biāo)記是否為“已統(tǒng)計”,“已統(tǒng)計”標(biāo)記的是和否分別表示已經(jīng)統(tǒng)計過和未統(tǒng)計過。已經(jīng)統(tǒng)計過的不需要進(jìn)行過濾,被直接轉(zhuǎn)發(fā),以防止重復(fù)統(tǒng)計;未統(tǒng)計過的則需要過濾,進(jìn)入并發(fā)連接數(shù)統(tǒng)計裝置83。
接著,并發(fā)連接數(shù)統(tǒng)計裝置83統(tǒng)計IP數(shù)據(jù)包的IP頭中IP的并發(fā)連接數(shù)。并發(fā)連接數(shù)統(tǒng)計裝置83從IP數(shù)據(jù)包的IP頭解析出數(shù)據(jù)包的源IP地址sip和目的IP地址dip。如上所述,根據(jù)預(yù)先設(shè)置的過濾策略(是否需要細(xì)分連接數(shù)統(tǒng)計對象),選擇sip地址和dip地址的連接數(shù)的不同統(tǒng)計方式。統(tǒng)計IP并發(fā)連接數(shù)時,則在IP并發(fā)連接數(shù)數(shù)據(jù)表里sip或者dip的連接數(shù)加一,同時設(shè)定此IP數(shù)據(jù)包對應(yīng)狀態(tài)包過濾狀態(tài)表表項的并發(fā)連接統(tǒng)計標(biāo)記為“已統(tǒng)計”,通過上述步驟32的判斷,保證下次處理與該IP數(shù)據(jù)包屬于同一連接的IP包時不重復(fù)計數(shù)(屬于同一連接的IP數(shù)據(jù)包在狀態(tài)包過濾的狀態(tài)表里只會有唯一的對應(yīng)表項)。對于IP并發(fā)連接數(shù)因為超時等原因而減少時,則狀態(tài)包過濾狀態(tài)表里的表項需要刪除,這通過操作狀態(tài)包過濾狀態(tài)表的刪除函數(shù)來完成,同時對狀態(tài)包過濾狀態(tài)表里要刪除的此表項中所含IP在IP并發(fā)連接數(shù)數(shù)據(jù)表中對應(yīng)的并發(fā)連接計數(shù)做減一操作。
并發(fā)連接數(shù)統(tǒng)計裝置83產(chǎn)生的連接數(shù)進(jìn)入并發(fā)連接數(shù)控制裝置84,對照連接數(shù)過濾策略,由并發(fā)連接數(shù)控制裝置84比較以設(shè)定的IP地址為源或者目的的連接數(shù)閾值,對于實際數(shù)連接未超過閾值的則繼續(xù)轉(zhuǎn)發(fā)數(shù)據(jù)包;而對于超過閾值的數(shù)據(jù)包執(zhí)行設(shè)定的操作允許通過或者丟棄。
以上所述僅為本發(fā)明的實施例,并不用以限制本發(fā)明,凡在本發(fā)明的精神和原則之內(nèi),所作的任何修改、等同替換、改進(jìn)等,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。
權(quán)利要求
1.一種防火墻因特網(wǎng)協(xié)議地址并發(fā)連接數(shù)控制方法,包括步驟a)接收因特網(wǎng)協(xié)議數(shù)據(jù)包;b)針對一個因特網(wǎng)協(xié)議地址,從接收的因特網(wǎng)協(xié)議數(shù)據(jù)包統(tǒng)計因特網(wǎng)協(xié)議地址并發(fā)連接數(shù);c)如果統(tǒng)計的因特網(wǎng)協(xié)議地址并發(fā)連接數(shù)未超過一個閾值,那么轉(zhuǎn)發(fā)該數(shù)據(jù)包;以及d)如果統(tǒng)計的因特網(wǎng)協(xié)議地址并發(fā)連接數(shù)超過該閾值,那么對該數(shù)據(jù)包執(zhí)行過濾操作。
2.根據(jù)權(quán)利要求1所述的防火墻因特網(wǎng)協(xié)議地址并發(fā)連接數(shù)控制方法,還包括步驟在執(zhí)行步驟a)之前,事先設(shè)定因特網(wǎng)協(xié)議地址并發(fā)連接數(shù)控制策略。
3.根據(jù)權(quán)利要求2所述的防火墻因特網(wǎng)協(xié)議地址并發(fā)連接數(shù)控制方法,其中事先設(shè)定因特網(wǎng)協(xié)議地址并發(fā)連接數(shù)控制策略包括對于特定因特網(wǎng)協(xié)議地址,對以其為源的連接和以其為目的的連接設(shè)定連接數(shù)閾值條件,對未超過閾值和超過閾值條件的情形設(shè)定過濾動作,即允許通過或丟棄;對于過濾全部因特網(wǎng)協(xié)議地址的,設(shè)置默認(rèn)的閾值條件和過濾動作。
4.根據(jù)權(quán)利要求1所述的防火墻因特網(wǎng)協(xié)議地址并發(fā)連接數(shù)控制方法,其中在步驟a)和步驟b)之間,還包括判斷步驟判斷該因特網(wǎng)協(xié)議數(shù)據(jù)包是否需要進(jìn)行因特網(wǎng)協(xié)議地址并發(fā)連接數(shù)統(tǒng)計。
5.根據(jù)權(quán)利要求4所述的防火墻因特網(wǎng)協(xié)議地址并發(fā)連接數(shù)控制方法,其中所述判斷步驟包括步驟p1)判斷因特網(wǎng)協(xié)議數(shù)據(jù)包的因特網(wǎng)協(xié)議頭包含的因特網(wǎng)協(xié)議地址是否匹配設(shè)定的因特網(wǎng)協(xié)議地址;判斷結(jié)果不匹配的不需要統(tǒng)計。
6.根據(jù)權(quán)利要求5所述的防火墻因特網(wǎng)協(xié)議地址并發(fā)連接數(shù)控制方法,其中若步驟p1)的判斷結(jié)果為匹配的,則進(jìn)一步判斷因特網(wǎng)協(xié)議地址數(shù)據(jù)包所屬連接是否已經(jīng)進(jìn)行過并發(fā)連接數(shù)統(tǒng)計;判斷已經(jīng)統(tǒng)計過的不需要進(jìn)行統(tǒng)計,判斷未統(tǒng)計過的則執(zhí)行步驟b)。
7.根據(jù)權(quán)利要求1所述的防火墻因特網(wǎng)協(xié)議地址并發(fā)連接數(shù)控制方法,其中步驟b)包括從因特網(wǎng)協(xié)議數(shù)據(jù)包的因特網(wǎng)協(xié)議頭解析出以該因特網(wǎng)協(xié)議地址為源的連接和以該因特網(wǎng)協(xié)議地址為目的的連接,將對應(yīng)該因特網(wǎng)協(xié)議地址的源因特網(wǎng)協(xié)議地址并發(fā)連接數(shù)或者目的因特網(wǎng)協(xié)議地址并發(fā)連接數(shù)加一,并且設(shè)置“已統(tǒng)計”標(biāo)記,用于表示該并發(fā)連接已統(tǒng)計以避免重復(fù)計數(shù)并發(fā)連接數(shù)。
8.根據(jù)權(quán)利要求7所述的防火墻因特網(wǎng)協(xié)議地址并發(fā)連接數(shù)控制方法,其中源因特網(wǎng)協(xié)議地址并發(fā)連接數(shù)或者目的因特網(wǎng)協(xié)議地址并發(fā)連接數(shù)記錄在因特網(wǎng)協(xié)議地址并發(fā)連接數(shù)數(shù)據(jù)表中,而“已統(tǒng)計”標(biāo)記以因特網(wǎng)協(xié)議數(shù)據(jù)包對應(yīng)的防火墻狀態(tài)包過濾狀態(tài)表中的表項的并發(fā)連接統(tǒng)計標(biāo)記設(shè)定。
9.根據(jù)權(quán)利要求8所述的防火墻因特網(wǎng)協(xié)議地址并發(fā)連接數(shù)控制方法,其中在因特網(wǎng)協(xié)議地址并發(fā)連接數(shù)因為超時等原因而減少的情形,刪除防火墻狀態(tài)包過濾狀態(tài)表中對應(yīng)該因特網(wǎng)協(xié)議地址的表項,同時對此狀態(tài)包過濾狀態(tài)表里要刪除的表項中所含因特網(wǎng)協(xié)議地址在因特網(wǎng)協(xié)議地址并發(fā)連接數(shù)數(shù)據(jù)表中對應(yīng)的并發(fā)連接計數(shù)做減一操作。
10.根據(jù)權(quán)利要求1所述的防火墻因特網(wǎng)協(xié)議地址并發(fā)連接數(shù)控制方法,其中步驟d)中超過該閾值而執(zhí)行的過濾操作包括允許通過或者丟棄此因特網(wǎng)協(xié)議數(shù)據(jù)包。
11.根據(jù)權(quán)利要求1所述的防火墻因特網(wǎng)協(xié)議地址并發(fā)連接數(shù)控制方法,還包括步驟在執(zhí)行步驟a)之前,接收數(shù)據(jù)包,從中選擇因特網(wǎng)協(xié)議數(shù)據(jù)包進(jìn)行后續(xù)處理,其它數(shù)據(jù)包直接轉(zhuǎn)發(fā)。
12.一種防火墻裝置,包括接收裝置,用于接收因特網(wǎng)協(xié)議數(shù)據(jù)包;并發(fā)連接數(shù)統(tǒng)計裝置,用于針對一個因特網(wǎng)協(xié)議地址,從接收的因特網(wǎng)協(xié)議數(shù)據(jù)包統(tǒng)計因特網(wǎng)協(xié)議地址并發(fā)連接數(shù);以及并發(fā)連接數(shù)控制裝置,在統(tǒng)計的因特網(wǎng)協(xié)議地址并發(fā)連接數(shù)未超過一個閾值時,轉(zhuǎn)發(fā)該數(shù)據(jù)包;而在統(tǒng)計的因特網(wǎng)協(xié)議地址并發(fā)連接數(shù)超過該閾值時,對該數(shù)據(jù)包執(zhí)行過濾操作。
13.根據(jù)權(quán)利要求12所述的防火墻裝置,還包括因特網(wǎng)協(xié)議地址并發(fā)連接數(shù)控制策略表,用于存儲事先設(shè)定的因特網(wǎng)協(xié)議地址并發(fā)連接數(shù)控制策略。
14.根據(jù)權(quán)利要求13所述的防火墻裝置,其中事先設(shè)定的因特網(wǎng)協(xié)議地址并發(fā)連接數(shù)控制策略包括對于特定因特網(wǎng)協(xié)議地址,對以其為源的連接和以其為目的的連接設(shè)定連接數(shù)閾值條件,對未超過閾值和超過閾值條件的情形設(shè)定過濾動作,即允許通過或丟棄;對于過濾全部因特網(wǎng)協(xié)議地址的,設(shè)置默認(rèn)的閾值條件和過濾動作。
15.根據(jù)權(quán)利要求12所述的防火墻裝置,還包括判斷裝置,用于判斷該因特網(wǎng)協(xié)議數(shù)據(jù)包是否需要進(jìn)行因特網(wǎng)協(xié)議地址并發(fā)連接數(shù)統(tǒng)計。
16.根據(jù)權(quán)利要求15所述的防火墻裝置,其中所述判斷裝置判斷因特網(wǎng)協(xié)議數(shù)據(jù)包的因特網(wǎng)協(xié)議頭包含的因特網(wǎng)協(xié)議地址是否匹配設(shè)定的因特網(wǎng)協(xié)議地址;判斷結(jié)果不匹配的不需要統(tǒng)計。
17.根據(jù)權(quán)利要求16所述的防火墻裝置,其中若所述判斷結(jié)果為匹配的,則進(jìn)一步判斷因特網(wǎng)協(xié)議地址數(shù)據(jù)包所屬連接是否已經(jīng)進(jìn)行過并發(fā)連接數(shù)統(tǒng)計;判斷已經(jīng)統(tǒng)計過的不需要進(jìn)行統(tǒng)計,判斷未統(tǒng)計過的則由因特網(wǎng)協(xié)議地址并發(fā)連接數(shù)統(tǒng)計裝置進(jìn)行統(tǒng)計。
18.根據(jù)權(quán)利要求12所述的防火墻裝置,其中因特網(wǎng)協(xié)議地址并發(fā)連接數(shù)統(tǒng)計裝置從因特網(wǎng)協(xié)議數(shù)據(jù)包的因特網(wǎng)協(xié)議頭解析出以該因特網(wǎng)協(xié)議地址為源的連接和以該因特網(wǎng)協(xié)議地址為目的的連接,將對應(yīng)該因特網(wǎng)協(xié)議地址的源因特網(wǎng)協(xié)議地址并發(fā)連接數(shù)或者目的因特網(wǎng)協(xié)議地址并發(fā)連接數(shù)加一,并且設(shè)置“已統(tǒng)計”標(biāo)記,用于表示該并發(fā)連接已統(tǒng)計以避免重復(fù)計數(shù)并發(fā)連接數(shù)。
19.根據(jù)權(quán)利要求18所述的防火墻裝置,其中源因特網(wǎng)協(xié)議地址并發(fā)連接數(shù)或者目的因特網(wǎng)協(xié)議地址并發(fā)連接數(shù)記錄在因特網(wǎng)協(xié)議地址并發(fā)連接數(shù)數(shù)據(jù)表中,而“已統(tǒng)計”標(biāo)記以因特網(wǎng)協(xié)議數(shù)據(jù)包對應(yīng)的防火墻狀態(tài)包過濾狀態(tài)表中的表項的并發(fā)連接統(tǒng)計標(biāo)記設(shè)定。
20.根據(jù)權(quán)利要求19所述的防火墻裝置,其中在因特網(wǎng)協(xié)議地址并發(fā)連接數(shù)因為超時等原因而減少的情形,刪除防火墻狀態(tài)包過濾狀態(tài)表中對應(yīng)該因特網(wǎng)協(xié)議地址的表項,同時對此狀態(tài)包過濾狀態(tài)表里要刪除的表項中所含因特網(wǎng)協(xié)議地址在因特網(wǎng)協(xié)議地址并發(fā)連接數(shù)數(shù)據(jù)表中對應(yīng)的并發(fā)連接計數(shù)做減一操作。
21.根據(jù)權(quán)利要求12所述的防火墻裝置,其中并發(fā)連接數(shù)控制裝置對超過該閾值而執(zhí)行的過濾操作包括允許通過或者丟棄此因特網(wǎng)協(xié)議數(shù)據(jù)包。
22.根據(jù)權(quán)利要求12所述的防火墻裝置,其中接收裝置接收數(shù)據(jù)包,從中選擇因特網(wǎng)協(xié)議數(shù)據(jù)包進(jìn)行后續(xù)處理,其它數(shù)據(jù)包直接轉(zhuǎn)發(fā)。
全文摘要
本發(fā)明提供一種防火墻因特網(wǎng)協(xié)議地址并發(fā)連接數(shù)控制方法,包括步驟a)接收因特網(wǎng)協(xié)議數(shù)據(jù)包;b)針對一個因特網(wǎng)協(xié)議地址,從接收的因特網(wǎng)協(xié)議數(shù)據(jù)包統(tǒng)計因特網(wǎng)協(xié)議地址并發(fā)連接數(shù);c)如果統(tǒng)計的因特網(wǎng)協(xié)議地址并發(fā)連接數(shù)未超過一個閾值,那么轉(zhuǎn)發(fā)該數(shù)據(jù)包;以及d)如果統(tǒng)計的因特網(wǎng)協(xié)議地址并發(fā)連接數(shù)超過該閾值,那么對該數(shù)據(jù)包執(zhí)行過濾操作。由此,使防火墻具有控制IP地址并發(fā)連接的能力,利用這種能力可以有效監(jiān)控網(wǎng)絡(luò),減少蠕蟲病毒和如BT的P2P軟件對網(wǎng)絡(luò)資源大量占用的危害,使防火墻具有更強的控制過濾能力。
文檔編號H04L12/24GK1783834SQ20041009742
公開日2006年6月7日 申請日期2004年11月29日 優(yōu)先權(quán)日2004年11月29日
發(fā)明者楊聰毅, 畢學(xué)堯 申請人:聯(lián)想計算機系統(tǒng)技術(shù)服務(wù)有限公司
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點贊!
1