專利名稱:基于帶寬管理的網(wǎng)絡(luò)安全解決方法
技術(shù)領(lǐng)域:
本發(fā)明涉及互聯(lián)網(wǎng),特別涉及基于帶寬管理的網(wǎng)絡(luò)安全解決方法。
背景技術(shù):
當(dāng)前的網(wǎng)絡(luò)安全解決方案主要分兩種;集中式和全局式。 io
集中式
該方案是在安全路由器中實現(xiàn)對網(wǎng)絡(luò)安全的控制的。在這類安全路 由器中通常包含控制網(wǎng)絡(luò)安全的網(wǎng)絡(luò)安全模塊。系統(tǒng)管理員在路由器上 配置安全策略,當(dāng)網(wǎng)絡(luò)中出現(xiàn)違反安全策略的流量時,路由器將根據(jù)事 先配好的策略對該異常流量采取相應(yīng)的動作,如告警,阻斷等。網(wǎng)絡(luò)拓?fù)鋱D如圖l:
集中式的安全解決方案特點如下
系統(tǒng)網(wǎng)絡(luò)管理員在路由器上配置相應(yīng)的安全策略。便于管理。
能根據(jù)事先配置的安全策略對流經(jīng)路由器的流量進行監(jiān)控,當(dāng)網(wǎng)
絡(luò)流量出現(xiàn)異常時能通過告警等方式通知給系統(tǒng)管理員,以便釆取進一 20 步措施。
全局式
如圖2所示,該方式利用多個網(wǎng)絡(luò)組件來實現(xiàn)對網(wǎng)絡(luò)的全面的安全管
理,這些網(wǎng)絡(luò)組件通常包括安全路由器,網(wǎng)絡(luò)安全客戶端和多種類型
的服務(wù)器,如網(wǎng)絡(luò)安全管理服務(wù)器,用戶認(rèn)證服務(wù)器,網(wǎng)絡(luò)安全修復(fù)服
25 務(wù)器等等。
系統(tǒng)管理員事先在網(wǎng)絡(luò)安全管理服務(wù)器上配置好安全策略,安全路 由器根據(jù)這些安全策略監(jiān)控網(wǎng)絡(luò)流量,但發(fā)現(xiàn)網(wǎng)絡(luò)出現(xiàn)異常流量時,安 全路由器將根據(jù)策略處理該異常流量,同時就把該異常信息報告到網(wǎng)絡(luò) 安全管理服務(wù)器,網(wǎng)絡(luò)安全管理服務(wù)器可以通過事先配好的策略,與其 30 他網(wǎng)絡(luò)組件一起完成對網(wǎng)絡(luò)的修復(fù)工作,如當(dāng)安全路由器發(fā)現(xiàn)流量中有
病毒時,它將該信息通知給網(wǎng)絡(luò)安全管理服務(wù)器,網(wǎng)絡(luò)安全管理服務(wù)器 可以將病毒信息告訴給網(wǎng)絡(luò)安全修復(fù)服務(wù)器和安全客戶端,安全客戶端 從安全修復(fù)服務(wù)器中下載病毒補丁,以自動修復(fù)系統(tǒng)。
全局式的安全解決方案特點如下
當(dāng)網(wǎng)絡(luò)中出現(xiàn)異常時,安全系統(tǒng)能夠通過多個網(wǎng)絡(luò)組件的聯(lián)動來實現(xiàn)網(wǎng)絡(luò)的自動修復(fù)。
通過服務(wù)器的方式來實現(xiàn)安全策略,病毒庫特征,病毒補丁的集中管理。
現(xiàn)有技術(shù)存在的問題是
1)集中式
該網(wǎng)絡(luò)安全解決方案只能提供異常流量的監(jiān)控,不能對導(dǎo)致該異 常的行為進行修復(fù)。
2)全局式
a)對于陌生的病毒,安全系統(tǒng)無法自動修復(fù)。
b)不能有效的防止病毒或惡意用戶對內(nèi)部網(wǎng)絡(luò)的攻擊,可能導(dǎo)致內(nèi)部網(wǎng)絡(luò)的癱瘓。
發(fā)明內(nèi)容
針對現(xiàn)有的網(wǎng)絡(luò)解決方法,本發(fā)明的目的是提供一種基于帶寬管理 的網(wǎng)絡(luò)安全解決方法,
為實現(xiàn)上述目的, 一種基于帶寬管理的網(wǎng)絡(luò)安全解決方法,包括步驟
當(dāng)帶寬服務(wù)器接收到異常流量信息的消息時,通知至少一個主機的client;
Client將主機端口的速率降到網(wǎng)絡(luò)管理員配置的最小帶寬。
本發(fā)明對每個主機進行精細(xì)控制,保證L認(rèn)的安全。由于每臺主機自 我約束往外的帶寬,避免了出口點的擁塞。本發(fā)明能有效避免惡意用戶 對網(wǎng)絡(luò)的破壞和避免不知名病毒對網(wǎng)絡(luò)的攻擊。
圖l是集中式的網(wǎng)絡(luò)拓?fù)鋱D2是全局式網(wǎng)絡(luò)拓?fù)鋱D表3基于帶寬管理的網(wǎng)絡(luò)安全技術(shù);
圖表4基于帶寬的網(wǎng)絡(luò)安全解決方案一客戶端控制面Registrar工作 5流程;
圖表5基于帶寬的網(wǎng)絡(luò)安全解決方案一客戶端數(shù)據(jù)面Shaper功能結(jié)構(gòu);
圖表6基于帶寬的網(wǎng)絡(luò)安全解決方案一Server端維護的主機狀態(tài)變遷。
具體實施例方式
對于圖表3基于帶寬管理的網(wǎng)絡(luò)安全技術(shù),301、 302、 303表示個人 主機,內(nèi)部運行Client software部件,304表示LAN, 305表示具有病毒 檢測和流量監(jiān)控功能的Router, 306表示Internet, 307表示網(wǎng)絡(luò)安全修 is復(fù)服務(wù)器,308表示網(wǎng)絡(luò)安全管理服務(wù)器,309為新增的帶寬管理服務(wù)器。
整個方案的設(shè)計方法如下.-
1.整個管理系統(tǒng)由一個運行在帶寬管理服務(wù)器和分布于各個主機的 Client software部件組成。這個帶寬管理服務(wù)器可以向主機下 發(fā)指令來限制內(nèi)部網(wǎng)的任一主機的traffic流量。
2.主機客戶端軟件功能1)主機端口流量限速當(dāng)client接受到server發(fā)來的端口流量異 常的消息,client就自動把端口的速率降到網(wǎng)絡(luò)管理員配置的 最小帶寬。這樣就制約了主機惡意或在病毒影響下往內(nèi)網(wǎng)發(fā)送 異常流量,從而保護了LAN的安全。 25 2)當(dāng)主機停止了惡意攻擊行為或不知名的病毒被殺除后,client軟件將通過消息告訴帶寬管理服務(wù)器,就可以正常地訪問內(nèi)外 網(wǎng)。3.帶寬管理服務(wù)器的功能是1)從網(wǎng)絡(luò)安全管理服務(wù)器得到相應(yīng)的異常流量信息
2) 當(dāng)接收到異常流量信息的消息時,能根據(jù)系統(tǒng)管理員事先配好
的管理策略對異常流量進行管理,如通知client來限定主機端 口帶寬。
3) 管理各個主機的流量狀態(tài)。Server將維護一個所有主機的流量 狀態(tài)DB。當(dāng)router定期地把所有當(dāng)前的主機流量情況報告給
server時,server就和它維持的DB比對,發(fā)現(xiàn)出現(xiàn)異常流量的 主機,就發(fā)送消息給此主機,觸發(fā)client來限制主機端口帶寬。
4) 當(dāng)Server接收到來自主機的特殊帶寬請求時,它將根據(jù)請求的 用途,時間等來更新主機流量狀態(tài)DB。
圖4描述客戶端Registrar工作流程。
401 Registrar啟動,初始化本主機的traffic參數(shù)為0,即禁止訪問 夕卜部Internet。
402主機向邏輯Server發(fā)送HELLO-request,同時設(shè)置Timer A, 時長為t分鐘。
403在Timer A溢出之前一直等待接收來自Server的 HELLO-r印ly。
404收到了HELL0-r印ly并進行處理。
405提取出Server回應(yīng)的traffic參數(shù),看是否和存儲在本機上的 traffic參數(shù)一致。如果一樣,則等待Timer A的溢出。
4 06如果traffic參數(shù)有變化,則將這個traffic參數(shù)配置到本機。然 后等待Timer A的溢出。
407 Timer A溢出,進入402,開始下一個循環(huán)。
本文所述的HELL0-request/服LLO-r印ly是主機和server之間的交互 報文。其中HELL0-request的內(nèi)容必須唯一的標(biāo)識一個主機,如包含主機的IP地址,或其它唯一性標(biāo)識。HELLO-r印ly中必須含有server配置給主 機的traffic參數(shù)。
圖5描述客戶端Shaper功能結(jié)構(gòu)。
501對輸入的IP流根據(jù)其目的IP地址(對應(yīng)于出方向)或源IP地 址(對應(yīng)于進方向)進行分類。
502表示存儲在本機上的traffic參數(shù),它由控制面的Registrar配
置,由數(shù)據(jù)面的Shaper使用。
503 RED Shaper根據(jù)502中的參數(shù)對訪問外部的IP包分別對進/
出方向的流量進行整形。
圖6描述Server所維護的主機狀態(tài)變遷。
601表示主機狀態(tài)INACTIVE
602表示主機狀態(tài)ACTIVE
603 Server在初始時將主機置為INACTIVE態(tài),同時指令Router, 禁止此主機訪問Internet 。
604 Server收到來自主機的HELLO-request,將這個主機的狀態(tài)
io置為ACTIVE,并為其設(shè)置Timer A,時長為t,同時指令Router,允許此 主機訪問Internet 0
605 Server在t內(nèi)收到了來自ACTIVE狀態(tài)下主機的 HELLO-request。 Server復(fù)位用于這個主機的Timer A。
606 Server在t內(nèi)沒有收到來自此主機的HELLO-request。即用于
15 這個主機的Timer A溢出,Server將這個主機的狀態(tài)置為INACTIVE,同時 指令Router禁止此主機訪問Internet 。 主機和server之間的消息傳遞使 用UDP。
權(quán)利要求
1. 一種基于帶寬管理的網(wǎng)絡(luò)安全解決方法,包括步驟當(dāng)帶寬服務(wù)器接收到異常流量信息的消息時,通知至少一個主機的client;Client將主機端口的速率降到網(wǎng)絡(luò)管理員配置的最小帶寬。
2. 根據(jù)權(quán)利要求l所述的方法,其特征在于當(dāng)帶寬管理服務(wù)器接收到來 自主機的特殊帶寬請求時,根據(jù)請求的用途、時間來更新主機流量狀態(tài)。
3. 根據(jù)權(quán)利要求l所述的方法,其特征在于所述帶寬管理服務(wù)器回應(yīng)給 io 主機的client的消息中包括分配給主機的traffic參數(shù)。
4. 根據(jù)權(quán)利要求l所述的方法,其特征在于所述主機的Client發(fā)給帶寬 管理服務(wù)器的消息中包括主機的唯一性標(biāo)識和主機申請的traffic參數(shù)。
全文摘要
一種基于帶寬管理的網(wǎng)絡(luò)安全解決方法,包括步驟當(dāng)帶寬服務(wù)器接收到異常流量信息的消息時,通知至少一個主機的client;Client將主機端口的速率降到網(wǎng)絡(luò)管理員配置的最小帶寬。本發(fā)明對每個主機進行精細(xì)控制,保證LAN的安全。由于每臺主機自我約束往外的帶寬,避免了出口點的擁塞。本發(fā)明能有效避免惡意用戶對網(wǎng)絡(luò)的破壞和避免不知名病毒對網(wǎng)絡(luò)的攻擊。
文檔編號H04L12/24GK101207511SQ200610170210
公開日2008年6月25日 申請日期2006年12月21日 優(yōu)先權(quán)日2006年12月21日
發(fā)明者王吉忠 申請人:北京三星通信技術(shù)研究有限公司;三星電子株式會社