專(zhuān)利名稱:一種網(wǎng)絡(luò)設(shè)備防攻擊的方法以及網(wǎng)絡(luò)設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)����,尤指 一種網(wǎng)絡(luò)設(shè)備防攻擊的方法以及網(wǎng)絡(luò)設(shè)備�����。
背景技術(shù):
隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展���,網(wǎng)絡(luò)的攻擊技術(shù)也隨之越來(lái)越多��。對(duì)于網(wǎng)絡(luò) 中的路由器����、交換機(jī)等設(shè)備來(lái)說(shuō),由于需要處理大量的業(yè)務(wù)流量����,因此防止 其受到攻擊,保證設(shè)備的正常運(yùn)行顯得尤其重要�。在網(wǎng)絡(luò)中,如路由器�、交換機(jī)這類(lèi)網(wǎng)絡(luò)設(shè)備由于需要計(jì)算路徑或維護(hù)轉(zhuǎn) 發(fā)表項(xiàng),以及處理一些設(shè)備本地的服務(wù)����,因此這類(lèi)網(wǎng)絡(luò)設(shè)備的控制面會(huì)從網(wǎng) 絡(luò)設(shè)備的轉(zhuǎn)發(fā)面收到這些協(xié)議或服務(wù)的報(bào)文并對(duì)其進(jìn)行處理。在本文中����,將 這類(lèi)報(bào)文稱為上送報(bào)文。從網(wǎng)絡(luò)設(shè)備的轉(zhuǎn)發(fā)面發(fā)送所述上送報(bào)文給控制面處理����,需要經(jīng)過(guò)上送通 道。從具體實(shí)現(xiàn)來(lái)說(shuō)����,這些上送通道的帶寬是有限的���,當(dāng)上送報(bào)文過(guò)多時(shí), 就會(huì)造成上送通道堵塞��,丟棄部分報(bào)文����。同時(shí),被上送至控制面的攻擊報(bào)文 也會(huì)占用系統(tǒng)的資源�,因此,這些實(shí)現(xiàn)上的特點(diǎn)容易被攻擊者利用�����。攻擊者 可以構(gòu)造大量上送報(bào)文����,如協(xié)議報(bào)文�、設(shè)備本地報(bào)文等發(fā)送給網(wǎng)絡(luò)設(shè)備,如 果轉(zhuǎn)發(fā)面將這些報(bào)文上送至控制面��,上送通道的帶寬則會(huì)被這些攻擊報(bào)文所 耗盡�,其他正常的上送報(bào)文就會(huì)被丟棄,嚴(yán)重的影響了網(wǎng)絡(luò)設(shè)備的正常運(yùn)行�。目前���,現(xiàn)有技術(shù)中通常使用訪問(wèn)控制列表(ACL )和承諾訪問(wèn)速率(CAR) 這兩種技術(shù)實(shí)現(xiàn)對(duì)上送報(bào)文的控制,防止網(wǎng)絡(luò)設(shè)備遭受攻擊�����。ACL技術(shù)和 CAR技術(shù)分別通過(guò)如下的技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備的防攻擊�。在ACL技術(shù)中通過(guò) 設(shè)置關(guān)鍵字,根據(jù)關(guān)鍵字對(duì)需要上送的報(bào)文進(jìn)行匹配�,根據(jù)匹配的結(jié)果確定對(duì)當(dāng)前報(bào)文是執(zhí)行上送還是丟棄;而CAR技術(shù)則是得到當(dāng)前所需上送的報(bào) 文的組號(hào)�����,根據(jù)得到的組號(hào)將當(dāng)前報(bào)文發(fā)送至對(duì)應(yīng)的漏洞或令牌桶��,對(duì)該組 號(hào)所對(duì)應(yīng)的報(bào)文進(jìn)行流量控制��。在現(xiàn)有技術(shù)中����,當(dāng)CAR表從屬于ACL表時(shí), 則CAR技術(shù)中所使用到的組號(hào)是根據(jù)當(dāng)前報(bào)文匹配ACL表得到的����;當(dāng)CAR 表獨(dú)立使用不從屬于ACL表時(shí)�,則根據(jù)當(dāng)前報(bào)文的上送標(biāo)識(shí)(ID)確定對(duì) 應(yīng)的組號(hào)���。由于ACL表項(xiàng)是關(guān)鍵字與其對(duì)應(yīng)動(dòng)作的對(duì)應(yīng)關(guān)系�����,進(jìn)而此時(shí)所 指的CAR表從屬與ACL表是指�����,CAR表項(xiàng)的組號(hào)被設(shè)置在ACL表項(xiàng)中動(dòng) 作參數(shù)��。報(bào)文首先匹配ACL表項(xiàng)����,得到對(duì)應(yīng)的動(dòng)作參數(shù)����;再根據(jù)動(dòng)作參數(shù) 中包含的組號(hào)��,將當(dāng)前報(bào)文發(fā)送至該組號(hào)對(duì)應(yīng)的漏洞或令牌桶中進(jìn)行流量控 制�����。這兩種控制手段,就其技術(shù)本身雖然可以對(duì)上送的報(bào)文進(jìn)行控制����、防止 網(wǎng)絡(luò)設(shè)備遭受攻擊。但由于ACL表和CAR表在現(xiàn)有技術(shù)中均是采用手工�����、 靜態(tài)配置的方式存在于網(wǎng)絡(luò)設(shè)備上���,因此攻擊者可以通過(guò)學(xué)習(xí)網(wǎng)絡(luò)設(shè)備配置 的ACL表和CAR表�,從而避開(kāi)ACL技術(shù)以及CAR技術(shù)對(duì)報(bào)文的限制���,使 攻擊報(bào)文能夠以正常報(bào)文的身份通過(guò)轉(zhuǎn)發(fā)面發(fā)送至控制面��,使網(wǎng)絡(luò)設(shè)備遭受 攻擊���。因而,現(xiàn)有技術(shù)中靜態(tài)配置的ACL表以及CAR表已經(jīng)達(dá)不到預(yù)期的 對(duì)報(bào)文進(jìn)行限制����、避免網(wǎng)絡(luò)設(shè)備遭受攻擊的目的。發(fā)明內(nèi)容有鑒于此�,本發(fā)明實(shí)施例的主要目的在于提供一種網(wǎng)絡(luò)設(shè)備防攻擊的方 法��,應(yīng)用該方法能夠動(dòng)態(tài)更新需要限制上送的報(bào)文類(lèi)型��,從而防止網(wǎng)絡(luò)設(shè)備 遭受攻擊�����。為達(dá)到上述目的�,本發(fā)明實(shí)施例的技術(shù)方案是這樣實(shí)現(xiàn)的 一種網(wǎng)絡(luò)設(shè)備防攻擊的方法�,包括以下步驟 獲得當(dāng)前需要被限制上送至網(wǎng)絡(luò)設(shè)備內(nèi)控制面的報(bào)文類(lèi)型; 針對(duì)所述獲得的報(bào)文類(lèi)型設(shè)置動(dòng)作為限制的上送控制表項(xiàng)�; 根據(jù)所述上送控制表項(xiàng),限制所述報(bào)文類(lèi)型對(duì)應(yīng)的報(bào)文上送至所述控制面����。另夕卜,本發(fā)明實(shí)施例的又一主要目的在于提供一種網(wǎng)絡(luò)設(shè)備���,該網(wǎng)絡(luò)設(shè) 備能夠防止自身遭受攻擊����。為達(dá)到上述目的���,本發(fā)明實(shí)施例的技術(shù)方案是這樣實(shí)現(xiàn)的 一種網(wǎng)絡(luò)設(shè)備���,該網(wǎng)絡(luò)設(shè)備至少包括控制單元、處理單元和上送單元���; 所述控制單元獲得當(dāng)前需要被限制上送至網(wǎng)絡(luò)設(shè)備內(nèi)控制面的報(bào)文類(lèi)型��, 并將所述獲得的"l艮文類(lèi)型發(fā)送給所述處理單元�;所述處理單元接收所述報(bào)文類(lèi)型����,并針對(duì)所述接收的報(bào)文類(lèi)型設(shè)置動(dòng)作為 限制的上送控制表項(xiàng);并將所述上送控制表項(xiàng)下發(fā)至上送單元���;所述上送單元接收所述上送控制表項(xiàng)�����,根據(jù)所述上送控制表項(xiàng)限制所述報(bào) 文類(lèi)型對(duì)應(yīng)的報(bào)文上送至所述控制面�。本發(fā)明實(shí)施例所提供的 一種網(wǎng)絡(luò)設(shè)備防攻擊的方法�,獲得當(dāng)前需要被限 制上送至網(wǎng)絡(luò)設(shè)備內(nèi)控制面的報(bào)文類(lèi)型;針對(duì)獲得的報(bào)文類(lèi)型設(shè)置動(dòng)作為限 制的上送控制表項(xiàng)�����;根據(jù)上送控制表項(xiàng),限制報(bào)文類(lèi)型對(duì)應(yīng)的報(bào)文上送至控 制面����,實(shí)現(xiàn)了網(wǎng)絡(luò)設(shè)備防攻擊的目的。另外��,本發(fā)明實(shí)施例還提供了一種網(wǎng) 絡(luò)設(shè)備���。本發(fā)明實(shí)施例所提供的方法以及網(wǎng)絡(luò)設(shè)備����,通過(guò)動(dòng)態(tài)配置上送控制 表項(xiàng)��,實(shí)現(xiàn)了網(wǎng)絡(luò)設(shè)備能夠根據(jù)當(dāng)前上送報(bào)文的情況�����,調(diào)整上送控制表項(xiàng)���, 限制可能的攻擊報(bào)文����,因此實(shí)現(xiàn)了網(wǎng)絡(luò)設(shè)備防攻擊的目的,保證了網(wǎng)絡(luò)設(shè)備 的正常運(yùn)行����。
下面將通過(guò)參照附圖詳細(xì)描述本發(fā)明的示例性實(shí)施例���,使本領(lǐng)域的普通 技術(shù)人員更清楚本發(fā)明的上述及其它特征和優(yōu)點(diǎn)�,附圖中 圖1為本發(fā)明實(shí)施例方法的示例性流程圖��; 圖2為本發(fā)明第一較佳實(shí)施例方法的流程圖��; 圖3為本發(fā)明第二較佳實(shí)施例方法的流程圖��; 圖4為本發(fā)明實(shí)施例網(wǎng)絡(luò)設(shè)備的結(jié)構(gòu)圖�。
具體實(shí)施方式
為使本發(fā)明實(shí)施例的目的、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白��,以下參照附 圖并舉實(shí)施例���,對(duì)本發(fā)明實(shí)施例做進(jìn) 一 步的詳細(xì)說(shuō)明��。在本發(fā)明實(shí)施例中���,根據(jù)當(dāng)前網(wǎng)絡(luò)設(shè)備處理報(bào)文的情況,確定需要限制上送的報(bào)文類(lèi)型;在確定需要限制上送的報(bào)文類(lèi)型之后�,針對(duì)該報(bào)文類(lèi)型設(shè) 置動(dòng)作為限制的上送控制表項(xiàng);然后����,根據(jù)設(shè)置的上送控制表項(xiàng)限制需要限 制上送的報(bào)文類(lèi)型。在本發(fā)明實(shí)施例的技術(shù)方案中�����,由于是根據(jù)當(dāng)前網(wǎng)絡(luò)設(shè) 備處理報(bào)文的情況確定需要限制上送的報(bào)文���,因此能夠有效的根據(jù)網(wǎng)絡(luò)設(shè)備 處理報(bào)文的情況設(shè)置需要限制上送的報(bào)文���,從而有效的保護(hù)了網(wǎng)絡(luò)設(shè)備免遭 攻擊。參見(jiàn)圖1�����,圖1為本發(fā)明方法的示例性流程圖�����。該流程的具體步驟如下 在步驟101中����,獲得當(dāng)前需要被限制上送至網(wǎng)絡(luò)設(shè)備內(nèi)控制面的報(bào)文類(lèi)型�����; 在步驟102中,針對(duì)獲得的報(bào)文類(lèi)型設(shè)置動(dòng)作為限制的上送控制表項(xiàng)����;在步 驟103中,根據(jù)上送控制表項(xiàng)�,限制報(bào)文類(lèi)型對(duì)應(yīng)的報(bào)文上送至控制面。在本發(fā)明實(shí)施例中���,所提到的上送控制表項(xiàng)可以是ACL表項(xiàng)���,也可以 是CAR表項(xiàng)。以下針對(duì)上送控制表項(xiàng)為ACL表項(xiàng)���、以及為CAR表項(xiàng)時(shí)�����, 分別列舉較佳實(shí)施例�,對(duì)本發(fā)明的技術(shù)方案進(jìn)行詳細(xì)說(shuō)明。參見(jiàn)圖2���,圖2為本發(fā)明第一較佳實(shí)施例方法的流程圖��。該較佳實(shí)施例 針對(duì)的是上送控制表項(xiàng)為ACL表項(xiàng)的情況����。具體流程如下在步驟201中�����,控制面獲得需要限制上送的報(bào)文類(lèi)型�����。這里����,控制面獲得需要限制上送的報(bào)文類(lèi)型可以根據(jù)網(wǎng)絡(luò)設(shè)備當(dāng)前需要 處理的報(bào)文類(lèi)型,獲得網(wǎng)絡(luò)設(shè)備當(dāng)前不需要處理的報(bào)文類(lèi)型��。具體的實(shí)現(xiàn)方 法可以是掃描網(wǎng)絡(luò)設(shè)備中當(dāng)前的保存配置文件�,獲得網(wǎng)絡(luò)設(shè)備當(dāng)前需要處 理的報(bào)文類(lèi)型;進(jìn)而根據(jù)當(dāng)前需要處理的報(bào)文類(lèi)型��,獲得網(wǎng)絡(luò)設(shè)備當(dāng)前不需 要處理的報(bào)文類(lèi)型。這里的配置文件主要用于記錄網(wǎng)絡(luò)設(shè)備中的一些配置信 息����,如配置的路由協(xié)議、配置的IP地址等信息��。網(wǎng)絡(luò)設(shè)備依據(jù)配置文件中的內(nèi)容實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備的正常運(yùn)行�����。因此在本實(shí)施例中可以利用設(shè)置的配置文 件����,獲得網(wǎng)絡(luò)設(shè)備當(dāng)前需要處理的報(bào)文類(lèi)型��,從而獲得需要限制從轉(zhuǎn)發(fā)面限 制上送至控制面的報(bào)文類(lèi)型��。例如�,掃描配置文件得到網(wǎng)絡(luò)設(shè)備當(dāng)前需要使用OSPF協(xié)議進(jìn)行路由的維護(hù),則控制面當(dāng)前確定需要限制上送的報(bào)文類(lèi)型 為除OSPF協(xié)議之外的路由協(xié)議�����,例如RIP協(xié)議報(bào)文���。在網(wǎng)絡(luò)設(shè)備中�����,設(shè)置配置文件的具體操作主要由管理員來(lái)完成��。由于管 理員設(shè)置配置文件的時(shí)機(jī)不確定�,因此本較佳實(shí)施例中觸發(fā)控制面獲得需要 限制上送的報(bào)文類(lèi)型的操作可以有兩種實(shí)現(xiàn)方法。其中一種是當(dāng)增加���、或 刪除�����、或更新配置文件時(shí)����,控制面執(zhí)行獲得需要限制上送的報(bào)文類(lèi)型的操作���。 而另一種是預(yù)先設(shè)置限制定時(shí)器����,當(dāng)定時(shí)器到時(shí)控制面執(zhí)行獲得需要限制 上送的報(bào)文類(lèi)型的操作���。在步驟202中�,控制面在確定了需要限制上送的報(bào)文類(lèi)型之后���,將該報(bào) 文類(lèi)型對(duì)應(yīng)的ACL表項(xiàng)的動(dòng)作設(shè)置為丟棄(deny)��,并將該ACL表項(xiàng)下發(fā) 至轉(zhuǎn)發(fā)面�����。因此根據(jù)配置文件確定的需要限制上送的報(bào)文類(lèi)型,均能對(duì)應(yīng)到ACL表項(xiàng) 中的一個(gè)關(guān)鍵字�、或多個(gè)關(guān)鍵字的組合�����。ACL表項(xiàng)中的關(guān)鍵字通常包括源 目的IP地址�����、源目的端口、以及協(xié)議號(hào)���, 一般情況下還能根據(jù)實(shí)際的情況 進(jìn)行擴(kuò)展����。在本發(fā)明實(shí)施例的技術(shù)方案中��,還可以將CAR表項(xiàng)中使用的上送ID應(yīng) 用到ACL表項(xiàng)中來(lái)�。其中,上送ID是轉(zhuǎn)發(fā)面在上送報(bào)文時(shí)����,為即將上送的 報(bào)文分配的標(biāo)識(shí)���。在本發(fā)明實(shí)施例中���,可以將上送ID作為擴(kuò)展關(guān)鍵字設(shè)置 對(duì)應(yīng)的ACL表項(xiàng)�����。這里��,由于上送ID是轉(zhuǎn)發(fā)面分配的����,因此為了使控制面 能夠設(shè)置關(guān)鍵字為上送ID的ACL表項(xiàng),需要在控制面設(shè)置轉(zhuǎn)發(fā)面分配上送 ID的規(guī)則�。控制面根據(jù)上送ID的分配規(guī)則����,確定當(dāng)前需要限制上送的報(bào)文 類(lèi)型所對(duì)應(yīng)的上送ID,然后再將該上送ID對(duì)應(yīng)的ACL表項(xiàng)的動(dòng)作設(shè)置為 丟棄。這里�,控制面將設(shè)置好的ACL表項(xiàng)下發(fā)至轉(zhuǎn)發(fā)面的操作可以是,控制 面將設(shè)置完成的ACL表項(xiàng)下發(fā)至轉(zhuǎn)發(fā)面�����,由轉(zhuǎn)發(fā)面根據(jù)收到的ACL表項(xiàng)執(zhí) 行整個(gè)網(wǎng)絡(luò)設(shè)備ACL表的更新���;也可以是�,控制面自身根據(jù)設(shè)置完成的ACL 表項(xiàng)�,更新整個(gè)網(wǎng)絡(luò)設(shè)備的ACL表,然后��,再將更新后的ACL表下發(fā)至轉(zhuǎn) 發(fā)面����。在步驟203中,轉(zhuǎn)發(fā)面在上送報(bào)文的過(guò)程中���,將與動(dòng)作設(shè)置為丟棄的 ACL表項(xiàng)對(duì)應(yīng)匹配的報(bào)文丟棄��。通過(guò)以上的介紹可知���,在上送控制表項(xiàng)為ACL表項(xiàng)時(shí),轉(zhuǎn)發(fā)面主要通 過(guò)將需要限制上送的報(bào)文執(zhí)行丟棄�,對(duì)該ACL表項(xiàng)對(duì)應(yīng)的一類(lèi)報(bào)文執(zhí)行丟 棄的限制操作。實(shí)現(xiàn)了根據(jù)網(wǎng)絡(luò)設(shè)備當(dāng)前處理報(bào)文的情況�����,動(dòng)態(tài)配置ACL 表項(xiàng)的目的,能夠有效的防止網(wǎng)絡(luò)設(shè)備遭受攻擊����。參見(jiàn)圖3,圖3為本發(fā)明第二較佳實(shí)施例方法的流程圖��。該較佳實(shí)施例 針對(duì)的是上送控制表項(xiàng)為CAR表項(xiàng)的情況��。具體流程如下在步驟301中���,控制面獲得需要限制上送的報(bào)文類(lèi)型�����。這里���,控制面獲得需要限制上送的報(bào)文類(lèi)型可以根據(jù)網(wǎng)絡(luò)設(shè)備當(dāng)前需要 處理的報(bào)文類(lèi)型,獲得網(wǎng)絡(luò)設(shè)備當(dāng)前不需要處理的報(bào)文類(lèi)型�����。具體的實(shí)現(xiàn)方 法可以是掃描網(wǎng)絡(luò)設(shè)備中當(dāng)前的保存配置文件����,獲得網(wǎng)絡(luò)設(shè)備當(dāng)前需要處 理的報(bào)文類(lèi)型��;進(jìn)而根據(jù)當(dāng)前需要處理的報(bào)文類(lèi)型,獲得網(wǎng)絡(luò)設(shè)備當(dāng)前不需 要處理的報(bào)文類(lèi)型��。這里的配置文件主要用于記錄網(wǎng)絡(luò)設(shè)備中的一些配置�, 如配置的路由協(xié)議、配置的IP地址等信息�。網(wǎng)絡(luò)設(shè)備依據(jù)配置文件中的內(nèi) 容實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備的正常運(yùn)行。因此在本實(shí)施例中可以利用設(shè)置的配置文件�, 獲得網(wǎng)絡(luò)設(shè)備當(dāng)前需要處理的報(bào)文類(lèi)型,從而獲得需要限制從轉(zhuǎn)發(fā)面限制上 送至控制面的報(bào)文類(lèi)型�。例如,掃描配置文件得到網(wǎng)絡(luò)設(shè)備當(dāng)前需要使用 OSPF協(xié)議進(jìn)行路由的維護(hù)���,則控制面當(dāng)前確定需要限制上送的報(bào)文類(lèi)型為 除OSPF協(xié)議之外的路由協(xié)議�����,例如RIP協(xié)議報(bào)文���。在網(wǎng)絡(luò)設(shè)備中,設(shè)置配置文件的具體操作主要由管理員來(lái)完成�����。由于管 理員設(shè)置配置文件的時(shí)機(jī)不確定,因此本較佳實(shí)施例中觸發(fā)控制面獲得需要限制上送的報(bào)文類(lèi)型的操作可以有兩種實(shí)現(xiàn)方法��。其中一種是當(dāng)增加�、或 刪除、或更新配置文件時(shí)��,控制面執(zhí)行獲得需要限制上送的報(bào)文類(lèi)型的操作���。 而另一種是預(yù)先設(shè)置限制定時(shí)器���,當(dāng)定時(shí)器到時(shí)控制面執(zhí)行獲得需要限制 上送的報(bào)文類(lèi)型的操作。在步驟302中���,控制面在確定了需要限制上送的報(bào)文類(lèi)型之后����,調(diào)整該 報(bào)文類(lèi)型對(duì)應(yīng)的CAR表項(xiàng)中限制速率�,并根據(jù)報(bào)文類(lèi)型和所述限制速率設(shè) 置對(duì)應(yīng)的CAR表項(xiàng);將該CAR表項(xiàng)下發(fā)至轉(zhuǎn)發(fā)面�����。這里,CAR表項(xiàng)對(duì)應(yīng)的限制速率確定了對(duì)應(yīng)報(bào)文從轉(zhuǎn)發(fā)面上送至控制 面的速率����,因此調(diào)整CAR表項(xiàng)的限制速率能夠?qū)崿F(xiàn)對(duì)報(bào)文進(jìn)行限制的目的。當(dāng)該報(bào)文對(duì)應(yīng)CAR表項(xiàng)的限制速率僅包括承諾速率(CIR)時(shí)��,則可 以直接調(diào)整該承諾速率�。這里�����,CIR-基本速率x鄰居數(shù)xS�����,其中基本速率 為每個(gè)網(wǎng)絡(luò)設(shè)備需要占用的最小速率��,鄰居數(shù)為在一定域內(nèi)通過(guò)路由協(xié)議與 本網(wǎng)絡(luò)設(shè)備互聯(lián)的結(jié)點(diǎn)數(shù)�����,S為調(diào)整系數(shù)��。此時(shí)����,調(diào)整該CIR的方法可以是 調(diào)整基本速率���、S、鄰居數(shù)中的一個(gè)或多個(gè)��。當(dāng)該報(bào)文對(duì)應(yīng)CAR表項(xiàng)的限制速率包括CIR和峰值速率(PIR)時(shí)���, 則可以調(diào)整CIR和/或PIR��。對(duì)于CIR-基本速率x鄰居數(shù)x se, PIR-基本速 率x鄰居數(shù)xSp時(shí)�,其中Sc為CIR的調(diào)整系數(shù)���、Sp為PIR的調(diào)整系數(shù)�����,調(diào) 整限制速率的方法可以是調(diào)整基本速率�、鄰居數(shù)��、Se和Sp中的任意一個(gè)��、 兩個(gè)或全部�����。但不論采用何種方式,由于CAR技術(shù)的實(shí)現(xiàn)需要CIR小于PIR, 因此在調(diào)整限制速率的過(guò)程中需要保證Sc小于Sp�����。同時(shí)�����,無(wú)論CAR技術(shù)采用何種實(shí)現(xiàn)機(jī)制�����,均可以采用將限制速率降至 0的方式���。在限制速率僅為CIR的時(shí)候,將CIR降至0;當(dāng)限制速率包括 CIR和PIR時(shí)�,將CIR和PIR均降至O。另外���,需要注意的是在本實(shí)施例中�����, 為了到達(dá)網(wǎng)絡(luò)設(shè)備防攻擊的目的��,對(duì)限制速率的調(diào)整不限于僅將限制速率降 低����,在一定的應(yīng)用場(chǎng)景中將CAR表項(xiàng)的限制速率提高,也能夠?qū)崿F(xiàn)防攻擊另外�,在本實(shí)施例中控制面根據(jù)報(bào)文類(lèi)型和調(diào)整后的限制速率設(shè)置對(duì)應(yīng)10的CAR表項(xiàng),可根據(jù)現(xiàn)有技術(shù)中依據(jù)報(bào)文類(lèi)型和調(diào)整后的限制速率設(shè)置 CAR表項(xiàng)的方法執(zhí)行���,具體執(zhí)行過(guò)程在此不再詳述�����。其中將上送ID作為組 號(hào)的�、設(shè)置CAR表項(xiàng)的方法�,可以參考本發(fā)明第一較佳實(shí)施例中將上送ID 作為關(guān)鍵字設(shè)置ACL表項(xiàng)的方法,在此不再詳述���。這里��,控制面將設(shè)置好 的CAR表項(xiàng)下發(fā)至轉(zhuǎn)發(fā)面的操作可以是���,控制面將設(shè)置完成的CAR表項(xiàng)下 發(fā)至轉(zhuǎn)發(fā)面����,由轉(zhuǎn)發(fā)面根據(jù)收到的CAR表項(xiàng)執(zhí)行整個(gè)網(wǎng)絡(luò)設(shè)備CAR表的更 新���;也可以是����,控制面自身根據(jù)設(shè)置完成的CAR表項(xiàng)�����,更新整個(gè)網(wǎng)絡(luò)設(shè)備 的CAR表�,然后,再將更新后的CAR表下發(fā)至轉(zhuǎn)發(fā)面����。在步驟303中���,轉(zhuǎn)發(fā)面在處理上送報(bào)文的過(guò)程中����,通過(guò)匹配控制面下發(fā) 的CAR表項(xiàng)"艮據(jù)調(diào)整后的限制速率對(duì)該CAR表項(xiàng)所對(duì)應(yīng)的一類(lèi)報(bào)文進(jìn)行 流量控制�,從而實(shí)現(xiàn)了網(wǎng)絡(luò)設(shè)備防攻擊的目的�。通過(guò)本發(fā)明上述的介紹可知�����,在第 一較佳實(shí)施例中對(duì)報(bào)文的限制主要是 根據(jù)與對(duì)應(yīng)ACL表項(xiàng)的匹配結(jié)果對(duì)需要限制上送的報(bào)文執(zhí)行丟棄操作�;在 第二較佳實(shí)施例中對(duì)報(bào)文的限制主要是利用CAR表項(xiàng)所對(duì)應(yīng)的限制速率, 對(duì)超過(guò)所述限制速率的報(bào)文進(jìn)行限制上送的操作���。這里����,由于都是阻止網(wǎng)絡(luò) 不需要處理的報(bào)文的上送�����,因此能夠有效的防止網(wǎng)絡(luò)遭受攻擊�。以上介紹的是本發(fā)明實(shí)施例方法的流程,以下介紹本發(fā)明實(shí)施例網(wǎng)絡(luò)設(shè) 備的結(jié)構(gòu)��。參見(jiàn)圖4���,圖4為本發(fā)明實(shí)施例網(wǎng)絡(luò)設(shè)備一較佳實(shí)施例的結(jié)構(gòu)圖�。該網(wǎng)絡(luò)設(shè)備至少包括控制單元41�����、處理單元42和上送單元43。其中���,控制單元41獲得當(dāng)前需要被限制上送至網(wǎng)絡(luò)設(shè)備內(nèi)控制面的報(bào)文類(lèi)型����,并將獲得的報(bào)文類(lèi)型發(fā)送給處理單元42���。處理單元42接收?qǐng)?bào)文類(lèi)型���,并針對(duì)接收的報(bào)文類(lèi)型設(shè)置動(dòng)作為限制的上送控制表項(xiàng);并將上送控制表項(xiàng)下發(fā)至上送單元43�。上送單元43接收上送控制表項(xiàng),根據(jù)上送控制表項(xiàng)限制報(bào)文類(lèi)型對(duì)應(yīng)的報(bào)文上送至控制面�����。這里����,控制單元41和處理單元42可以位于網(wǎng)絡(luò)設(shè)備的控制面���,上送單元43位于網(wǎng)絡(luò)設(shè)備的轉(zhuǎn)發(fā)面����。其中,控制單元41確定需要限制上送的報(bào)文類(lèi)型���,以及處理單元42設(shè)置上送控制表項(xiàng)����、下發(fā)上送控制表項(xiàng)的具體操作����,均可以按照第一、二較佳 實(shí)施例所描述的方法執(zhí)行��。另外����,在本發(fā)明實(shí)施例中如果利用配置文件獲得當(dāng)前需要限制上送的報(bào)文類(lèi)型,在如圖4所示的組成結(jié)構(gòu)還可以進(jìn)一步包括配置單元44��。該配置 單元44主要用于存儲(chǔ)網(wǎng)絡(luò)設(shè)備配置文件����,對(duì)本實(shí)施例來(lái)說(shuō)��,配置文件就是 記錄網(wǎng)絡(luò)設(shè)備配置信息文件�����。相應(yīng)的����,控制單元41根據(jù)配置單元44中存儲(chǔ) 的配置文件���,獲得網(wǎng)絡(luò)設(shè)備當(dāng)前不需要處理的報(bào)文類(lèi)型����。這里配置單元44 位于網(wǎng)絡(luò)設(shè)備的控制面����。本發(fā)明實(shí)施例的技術(shù)方案,由于根據(jù)網(wǎng)絡(luò)設(shè)備當(dāng)前處理報(bào)文的情況確定 需要限制上送的報(bào)文�,而在確定了上送報(bào)文之后就向轉(zhuǎn)發(fā)面下發(fā)限制該報(bào)文 的上送控制表項(xiàng),因此打破了原上送控制表項(xiàng)靜態(tài)配置�, 一旦匹配就不再更 新的格局,實(shí)現(xiàn)了根據(jù)上送報(bào)文情況控制表項(xiàng)的動(dòng)態(tài)下發(fā)�,有效的阻止了對(duì) 網(wǎng)絡(luò)設(shè)備的攻擊���,提到了網(wǎng)絡(luò)設(shè)備防攻擊能力����。以上所述僅為本發(fā)明的較佳實(shí)施例而已,并不用以限制本發(fā)明���,凡在本 發(fā)明的精神和原則之內(nèi)����,所做的任何修改����、等同替換、改進(jìn)等����,均應(yīng)包含在 本發(fā)明的保護(hù)范圍之內(nèi)。
權(quán)利要求
1��、一種網(wǎng)絡(luò)設(shè)備防攻擊的方法�����,其特征在于,包括以下步驟獲得當(dāng)前需要被限制上送至網(wǎng)絡(luò)設(shè)備內(nèi)控制面的報(bào)文類(lèi)型��;針對(duì)所述獲得的報(bào)文類(lèi)型對(duì)應(yīng)設(shè)置動(dòng)作為限制上送的上送控制表項(xiàng)�����;根據(jù)所述上送控制表項(xiàng)�����,限制所述報(bào)文類(lèi)型對(duì)應(yīng)的報(bào)文上送至所述控制面�����。
2�、 根據(jù)權(quán)利要求1所述的方法,其特征在于����,所述獲得當(dāng)前需要被限制上 送至網(wǎng)絡(luò)設(shè)備內(nèi)控制面的報(bào)文類(lèi)型的步驟包括根據(jù)所述網(wǎng)絡(luò)設(shè)備當(dāng)前需要處 理的報(bào)文類(lèi)型,獲得網(wǎng)絡(luò)設(shè)備當(dāng)前不需要處理的報(bào)文類(lèi)型�����。
3�、 根據(jù)權(quán)利要求2所述的方法,其特征在于,所述根據(jù)網(wǎng)絡(luò)設(shè)備當(dāng)前需要 處理的報(bào)文類(lèi)型����,獲得網(wǎng)絡(luò)設(shè)備當(dāng)前不需要處理的報(bào)文類(lèi)型的步驟包括掃描所述網(wǎng)絡(luò)設(shè)備中當(dāng)前的保存配置文件�����,獲得所述網(wǎng)絡(luò)設(shè)備當(dāng)前需要處 理的報(bào)文類(lèi)型���;進(jìn)而根據(jù)當(dāng)前需要處理的報(bào)文類(lèi)型����,獲得網(wǎng)絡(luò)設(shè)備當(dāng)前不需要 處理的報(bào)文類(lèi)型����。
4、 根據(jù)權(quán)利要求3所述的方法�,其特征在于,當(dāng)增加����、或刪除、或更新所述配置文件時(shí)��,執(zhí)行所述獲得當(dāng)前需要被限制 上送至網(wǎng)絡(luò)設(shè)備內(nèi)控制面的報(bào)文類(lèi)型的操作;或���,預(yù)先設(shè)置限制定時(shí)器���,當(dāng)定時(shí)器到時(shí)時(shí)執(zhí)行所述獲得當(dāng)前需要被限制 上送至網(wǎng)絡(luò)設(shè)備內(nèi)控制面的報(bào)文類(lèi)型的操作。
5����、 根據(jù)權(quán)利要求1所述的方法,其特征在于����,所述針對(duì)所述獲得的報(bào)文類(lèi) 型對(duì)應(yīng)設(shè)置動(dòng)作為限制上送的上送控制表項(xiàng)的步驟包括控制面根據(jù)預(yù)先保存的上送標(biāo)識(shí)的分配規(guī)則,確定當(dāng)前所述報(bào)文類(lèi)型所對(duì) 應(yīng)的上送標(biāo)識(shí)�����,然后再將所述確定的上送標(biāo)識(shí)對(duì)應(yīng)的上送控制表項(xiàng)的動(dòng)作設(shè)置 為丟棄�����。
6���、 根據(jù)權(quán)利要求1至4中任一權(quán)利要求所述的方法�����,其特征在于����,所述上 送控制表項(xiàng)為訪問(wèn)控制列表ACL表項(xiàng);包括設(shè)置所述報(bào)文類(lèi)型對(duì)應(yīng)動(dòng)作為丟棄的ACL表項(xiàng)����。
7�����、 根據(jù)權(quán)利要求1至4中任一權(quán)利要求所述的方法�,其特征在于,所述上 送控制表項(xiàng)為承諾訪問(wèn)速率CAR表項(xiàng)����;所述針對(duì)獲得的報(bào)文類(lèi)型對(duì)應(yīng)設(shè)置動(dòng)作為限制上送的上送控制表項(xiàng)包括 調(diào)整所述報(bào)文類(lèi)型對(duì)應(yīng)的限制速率,以設(shè)置限制所述報(bào)文類(lèi)型對(duì)應(yīng)報(bào)文的CAR 表項(xiàng)�����。
8��、 一種網(wǎng)絡(luò)設(shè)備,其特征在于�����,該網(wǎng)絡(luò)設(shè)備至少包括控制單元�����、處理單元 和上送單元��;所述控制單元獲得當(dāng)前需要被限制上送至網(wǎng)絡(luò)設(shè)備內(nèi)控制面的報(bào)文類(lèi)型����, 并將所述獲得的報(bào)文類(lèi)型發(fā)送給所述處理單元;所述處理單元接收所述報(bào)文類(lèi)型���,并針對(duì)所述報(bào)文類(lèi)型設(shè)置動(dòng)作為限制的 上送控制表項(xiàng)�����;并將所述上送控制表項(xiàng)下發(fā)至上送單元��;所述上送單元接收所述上送控制表項(xiàng)���,根據(jù)所述上送控制表項(xiàng)限制所述報(bào) 文類(lèi)型對(duì)應(yīng)的報(bào)文上送至所述控制面��。
9��、 根據(jù)權(quán)利要求8所述的網(wǎng)絡(luò)設(shè)備��,其特征在于���,該網(wǎng)絡(luò)設(shè)備內(nèi)進(jìn)一步包 括配置單元;所述配置單元存儲(chǔ)記錄所述網(wǎng)絡(luò)設(shè)備配置信息的配置文件�; 所述控制單元根據(jù)配置單元中存儲(chǔ)的配置文件,獲得所述當(dāng)前需要被限制 上送至網(wǎng)絡(luò)設(shè)備內(nèi)控制面的報(bào)文類(lèi)型�����。
10��、 根據(jù)權(quán)利要求8或9所述的網(wǎng)絡(luò)設(shè)備��,其特征在于��, 所述控制單元和處理單元位于網(wǎng)絡(luò)設(shè)備內(nèi)的控制面����; 所述上送單元�,位于網(wǎng)絡(luò)設(shè)備內(nèi)的轉(zhuǎn)發(fā)面�����。
全文摘要
本發(fā)明公開(kāi)了一種網(wǎng)絡(luò)設(shè)備防攻擊的方法����,包括以下步驟獲得當(dāng)前需要被限制上送至網(wǎng)絡(luò)設(shè)備內(nèi)控制面的報(bào)文類(lèi)型����;針對(duì)獲得的報(bào)文類(lèi)型設(shè)置動(dòng)作為限制的上送控制表項(xiàng);根據(jù)上送控制表項(xiàng)��,限制報(bào)文類(lèi)型對(duì)應(yīng)的報(bào)文上送至控制面����。另外,本發(fā)明又公開(kāi)了一種網(wǎng)絡(luò)設(shè)備��。通過(guò)應(yīng)用本發(fā)明所提供的方法以及網(wǎng)絡(luò)設(shè)備�,實(shí)現(xiàn)了網(wǎng)絡(luò)設(shè)備防攻擊的目的,保證了網(wǎng)絡(luò)設(shè)備的正常運(yùn)行�。
文檔編號(hào)H04L12/24GK101325588SQ20071011110
公開(kāi)日2008年12月17日 申請(qǐng)日期2007年6月11日 優(yōu)先權(quán)日2007年6月11日
發(fā)明者武紹蕓 申請(qǐng)人:華為技術(shù)有限公司