專利名稱:對非法客戶端進行隔離提示的方法和系統(tǒng)以及網(wǎng)關設備的制作方法
技術領域:
本發(fā)明涉及網(wǎng)絡通信技術���,特別是涉及對非法客戶端進行隔離提示的方法和系統(tǒng)以及網(wǎng)關i殳備����。
技術背景隨著網(wǎng)絡技術的蓬勃發(fā)展以及全球信息化進程的加速��,人類生活模式已 發(fā)生改變���。然而伴隨著信息便利而來的�����,則是出現(xiàn)了各種形形色色的網(wǎng)絡攻 擊和破壞����,產(chǎn)生了日益令人擔憂的網(wǎng)絡安全問題。圖1是使用網(wǎng)關設備保證網(wǎng)絡安全的網(wǎng)絡結構示意圖�����。參見圖1��,目前�����, 為了避免非法客戶端對網(wǎng)絡中的服務器進行攻擊��,保證網(wǎng)絡的安全�,在客戶 端和服務器之間設置了網(wǎng)關設備,由網(wǎng)關設備對非法客戶端進行識別并隔 離���,從而阻斷非法客戶端與服務器之間的信息交互��,保證服務器不會受到攻 擊。下面描述對非法客戶端進行識別和隔離的具體過程。圖2是利用網(wǎng)關設備識別非法客戶端的流程圖��。參見圖l和圖2��,目前���, 利用網(wǎng)關設備識別非法客戶端的過程具體包括以下步驟步驟201:客戶端1發(fā)送建立連接的請求報文����,稱為同步序列編號 (synchronize sequence Numbers, SYN )才艮文���。步驟202:網(wǎng)關設備接收到客戶端1發(fā)送的SYN報文�����,根據(jù)預設策略 判斷該客戶端1是否為非法客戶端��,如果是�,則執(zhí)行步驟210,否則��,執(zhí)行 步驟203�����。步驟203:網(wǎng)關設備將SYN報文發(fā)送至服務器,服務器將同步應答 (synchronize sequence Numbers Acknowledgment, SYN ACK)才艮文發(fā)送至 客戶端1����。
步驟204:客戶端l發(fā)送應答(ACK)報文。步驟205:網(wǎng)關設備接收到客戶端1發(fā)送的ACK報文���,根據(jù)預設策略 判斷該客戶端1是否為非法客戶端�����,如果是�,則執(zhí)行步驟210,否則����,執(zhí)行 步驟206。步驟206:網(wǎng)關設備將ACK報文發(fā)送至服務器����。上述步驟201至步驟206的過程完成了客戶端1與服務器之間TCP連 接的三次握手過程,從而建立了客戶端1與服務器之間的連接����。 步驟207:客戶端1發(fā)送業(yè)務請求凈艮文。步驟208:網(wǎng)關設備接收到客戶端1發(fā)送的業(yè)務請求報文���,根據(jù)預設策 略判斷該客戶端1是否為非法客戶端���,如果是,則執(zhí)行步驟210���,否則����,執(zhí) 行步驟209����。步驟209:網(wǎng)關設備將業(yè)務請求報文發(fā)送至服務器,服務器向客戶端1 提供相應的業(yè)務服務����,結束當前流程。步驟210:網(wǎng)關設備將該客戶端1標識為非法客戶端�,并中斷客戶端l 與服務器之間的連接。本步驟中�,將客戶端1標識為非法客戶端的具體實現(xiàn)可以是網(wǎng)關設備 將該客戶端1的標識加入預設的隔離表中。在利用上述圖2所示過程識別出客戶端1為非法客戶端后�,如果該客戶 端1再次向服務器請求業(yè)務,那么�,網(wǎng)關設備則會對該客戶端1進行隔離提 示�,參見圖1和圖3���,在現(xiàn)有技術中��,對非法客戶端進行隔離提示的過程具 體包括以下步驟步驟301:客戶端1在一個新建會話上發(fā)送SYN報文���。步驟302:網(wǎng)關設備接收到SYN報文,確定是非法的客戶端1發(fā)來的���, 則直接將SYN ACK報文發(fā)送至客戶端1 ��。步驟303:客戶端1返回ACK報文����。上述步驟301至步驟303的過程完成了客戶端與網(wǎng)關設備之間新建會話 的三次握手過程��,從而建立了客戶端1與網(wǎng)關設備之間的會話連接��。
步驟304:客戶端1發(fā)送業(yè)務請求報文�����。步驟305:網(wǎng)關設備接收到客戶端l發(fā)來的業(yè)務請求報文后���,直接中斷 本次連接���,并向客戶端1發(fā)送隔離提示�。由上述圖3所示流程可以看出���,在網(wǎng)關設備識別出 一個客戶端為非法客 戶端之后,如果該非法客戶端再次發(fā)起請求�,那么,為了向非法客戶端發(fā)送 隔離提示���,使得非法客戶端能夠獲知自身已被隔離���,避免該非法客戶端重復 無謂地發(fā)送請求,目前����,必須首先由網(wǎng)關設備與非法客戶端進行三次握手過 程,建立連接�,然后,網(wǎng)關設備才能利用該建立的連接向非法客戶端發(fā)送隔 離提示�����。然而,在現(xiàn)有技術中���,當被識別出的非法客戶端再次發(fā)起連接時�����,為了 能夠向非法客戶端發(fā)送隔離提示����,網(wǎng)關設備需要與非法客戶端進行三次握手 過程�,這樣,則要求網(wǎng)關設備具有較高的處理能力����。比如,為了能夠代替服 務器與非法客戶端進行三次握手過程中報文的交互���,網(wǎng)關設備必須具備各種 協(xié)議的代理功能���,而不同協(xié)議的代理機制又有所不同,因此���,對網(wǎng)關設備的 處理能力提出了較高要求���。再如���,網(wǎng)關設備在與非法客戶端進行每次握手過 程時,均需要維護各種復雜的握手狀態(tài)�,因此,也對網(wǎng)關設備的處理能力提 出了較高要求�����?���?梢?�,現(xiàn)有技術對非法客戶端進行隔離提示的方法���,要求網(wǎng)關設備具有 較高的處理能力�,增加了網(wǎng)關設備的實現(xiàn)難度����,不易于業(yè)務的開展和實現(xiàn)。發(fā)明內(nèi)容有鑒于此�����,本發(fā)明的一個目的在于提供一種對非法客戶端進行隔離提示 的方法,本發(fā)明的另 一個目的在于提供一種對非法客戶端進行隔離提示的系 統(tǒng)���,本發(fā)明的再一個目的在于提供一種網(wǎng)關設備��,以便于降低網(wǎng)關設備的實 現(xiàn)難度����。為了達到上述目的����,本發(fā)明的技術方案是這樣實現(xiàn)的 一種對非法客戶端進行隔離提示的方法,該方法包括
網(wǎng)關設備接收到已被識別出的非法客戶端在新建會話上發(fā)送的握手報文���,將該握手報文發(fā)送給服務器����;服務器與非法客戶端進行所述會話的握手 過程��;網(wǎng)關設備將所述會話記錄為隔離會話����;在所述握手過程結束后�����,網(wǎng)關 設備在所述會話上監(jiān)聽報文�,當監(jiān)聽到后����,根據(jù)記錄確定所述會話為隔離會 話,則向非法客戶端發(fā)送隔離提示����。 一種網(wǎng)關設備,包括握手報文處理單元����,用于在接收到已被識別出的非法客戶端在新建會話 上發(fā)送的握手報文后��,將該握手報文發(fā)送給服務器�,并向隔離會話標記單元 發(fā)送標記通知,將服務器發(fā)送的所述會話的握手報文發(fā)送給所述非法客戶 端�;隔離會話標記單元,用于在接收到標記通知后���,將所述會話記錄為隔離 會話�;隔離處理單元,在所述會話上監(jiān)聽報文�����,當監(jiān)聽到后���,根據(jù)隔離會話標 記單元的記錄確定所述會話為隔離會話����,向非法客戶端發(fā)送隔離提示��。一種對非法客戶端進行隔離提示的系統(tǒng)�,包括非法客戶端、服務器和 網(wǎng)關設備�。由此可見,在本發(fā)明中���,在識別出一個客戶端為非法客戶端之后��,當該 非法客戶端發(fā)起后續(xù)連接時�����,為了能夠向非法客戶端發(fā)送隔離提示��,由服務 器與該非法的客戶端進行三次握手過程����,網(wǎng)關設備無需再參與握手過程,因 此����,降低了對網(wǎng)關設備處理能力的要求。比如��,由于網(wǎng)關設備無需參與握手 過程����,因此使得網(wǎng)關設備無需具備各種協(xié)議的代理功能。再如�����,由于網(wǎng)關設 備無需參與握手過程��,因此���,網(wǎng)關設備無需執(zhí)行現(xiàn)有技術中維護各種復雜的 握手狀態(tài)的處理。可見��,本發(fā)明降低了網(wǎng)關設備的實現(xiàn)難度��,有易于業(yè)務的 開展和實現(xiàn)�����。
圖1是使用網(wǎng)關設備保證網(wǎng)絡安全的網(wǎng)絡結構示意圖��。 圖2是利用網(wǎng)關設備識別非法客戶端的流程圖���。圖3是在現(xiàn)有技術中對非法客戶端進行隔離提示的流程圖�����。圖4是在本發(fā)明 一個實施例中對非法客戶端進行隔離提示的流程圖�。圖5是在本發(fā)明實施例中提出的網(wǎng)關設備的內(nèi)部結構示意圖���。
具體實施方式
為使本發(fā)明的目的����、技術方案和優(yōu)點更加清楚�,下面結合附圖及具體實 施例對本發(fā)明作進 一 步地詳細描述����。本發(fā)明提出了一種對非法客戶端進行隔離提示的方法����,該方法包括網(wǎng) 關設備接收到已被識別出的非法客戶端在新建會話上發(fā)送的握手報文,將該 握手報文發(fā)送給服務器�����;服務器與非法客戶端進行所述會話的握手過程����;網(wǎng) 關設備將所述會話記錄為隔離會話;在所述握手過程結束后���,網(wǎng)關設備在所 述會話上監(jiān)聽報文�,當監(jiān)聽到后��,根據(jù)記錄確定所述會話為隔離會話�,則向 非法客戶端發(fā)送隔離提示。圖4是在本發(fā)明一個實施例中對非法客戶端進行隔離提示的流程圖���。參 見圖4,在本發(fā)明一個實施例中��,在通過圖2所示流程識別出一個客戶端如 客戶端1為非法客戶端之后��,如果該客戶端l再次發(fā)起連接��,那么����,對該非 法的客戶端1進行隔離提示的過程具體包括以下步驟步驟401:非法的客戶端1在一個新建會話上發(fā)送SYN報文�����。這里�,SYN報文是已被識別為非法客戶端的客戶端1在新建會話上發(fā) 送的第一個握手報文。步驟402:網(wǎng)關設備在新建會話上接收到SYN報文����,確定是非法的客 戶端l發(fā)來的,則將該新建會話記錄為隔離會話�����。這里����,將新建會話記錄為隔離會話的具體實現(xiàn)過程可以是網(wǎng)關設備從 SYN報文中提取標識該新建會話的信息��,將提取的會話的信息記錄在預先 設置的隔離會話表中�����。其中��,提取的標識該新建會話的信息可以是包括源IP地址在內(nèi)的會話
五元組中的任意一個或多個����,比如�����,源IP地址和協(xié)i義類型�����,再如�����,源IP地 址�����、源端口號以及目的IP地址。較佳地��,可以是報文中攜帶的源IP地址和 源端口號�,即握手報文中攜帶的非法客戶端1的IP地址和端口號���。步驟403:網(wǎng)關設備將SYN報文發(fā)送至服務器���。 步驟404:服務器接收到SYN報文后,返回SYNACK報文�����。 這里��,SYNACK報文是新建會話的第二個握手報文��。 步驟405:網(wǎng)關設備接收到SYN ACK報文后����,將該SYN ACK報文發(fā) 送至非法的客戶端1。步驟406:非法的客戶端l接收到SYNACK報文后�,返回ACK報文。 這里����,ACK報文是新建會話的第三個握手報文��。步驟407:網(wǎng)關設備在新建會話上接收到ACK報文�,將該ACK報文發(fā)送至服務器�����。至此��,則完成了新建會話的全部握手過程����,建立了服務器與非法的客戶 端1的會話連接。步驟408:在握手過程結束后���,網(wǎng)關設備在所述新建會話上監(jiān)聽報文���。 步驟409:當網(wǎng)關設備監(jiān)聽到報文后,根據(jù)記錄確定該新建會話為隔離 會話���。在步驟408和步驟409中�����,網(wǎng)關設備所監(jiān)聽的報文可以根據(jù)非法的客戶 端1與服務器之間的通信機制來確定�����。其中��,當非法的客戶端1與服務器采用客戶端先發(fā)送請求報文的機制時����,比如 超文本傳輸協(xié)議(HTTP),那么����,為了保證網(wǎng)關設備能夠在建立與非法的 客戶端1的連接后,及時對非法的客戶端1進行隔離提示處理�����,網(wǎng)關設備在 所述新建會話上監(jiān)聽的報文為非法的客戶端1發(fā)送的第一個業(yè)務請求報文 (Request);當非法的客戶端1與服務器采用服務器端先發(fā)送回應報文的機制時�����,比 如FTP或SMTP���,那么�����,為了保證網(wǎng)關設備能夠在建立與非法的客戶端1的 連接后����,及時對非法的客戶端1進行隔離提示處理,網(wǎng)關設備在所述新建會 話上監(jiān)聽的報文可以為服務器發(fā)送的應答報文����。另外,在本步驟中���,根據(jù)記錄確定該新建會話為隔離會話的具體實現(xiàn)包括網(wǎng)關設備從監(jiān)聽到的報文中提取會話的信息�,在從隔離會話表中查找到 該會話的信息后����,確定所述會話為隔離會話。當然����,本步驟中提取的會話的 信息與步驟402中提取的會話的信息相同,比如����,均提取報文中攜帶的源IP ;也址和源端口號�����。步驟410:網(wǎng)關設備將隔離提示發(fā)送至非法的客戶端1,并中斷本次新 建會話的連接��。這里�����,如果非法的客戶端1與服務器采用客戶端先發(fā)送請求報文的機 制�����,比如超文本傳輸協(xié)議(HTTP),那么,隔離提示是由網(wǎng)關設備構造的����。 如果非法的客戶端1與服務器采用服務器端先發(fā)送回應報文的機制,那么��,另外����,網(wǎng)關設備中斷本次新建會話的連接的方法為網(wǎng)關設備將Reset 報文分別發(fā)送至非法的客戶端1和服務器��。需要說明的是��,在上述圖4所示流程中���,網(wǎng)關設備是在接收到非法的客 戶端1發(fā)來的第一個握手報文時,執(zhí)行將所述的新建會話記錄為隔離會話的 處理�。在本發(fā)明的其他實施例中,網(wǎng)關設備也可以在接收到其他握手報文時 執(zhí)行將所述的新建會話記錄為隔離會話的處理�,只需保證該處理在三次握手 過程中進行即可。另外�,本發(fā)明還提出了一種網(wǎng)關設備。圖5是在本發(fā)明實施例中提出的 網(wǎng)關設備的內(nèi)部結構示意圖��。參見圖5���,該網(wǎng)關設備包括握手報文處理單元����,用于在接收到已被識別出的非法客戶端在新建會話 上發(fā)送的握手報文后����,將該握手報文發(fā)送給服務器,并向隔離會話標記單元 發(fā)送標記通知�,將服務器發(fā)送的所述會話的握手報文發(fā)送給所述非法客戶 端��;隔離會話標記單元�,用于在4妻收到標記通知后��,將所述會話記錄為隔離 會話�;
隔離處理單元,在所述會話上監(jiān)聽報文��,當監(jiān)聽到后����,根據(jù)隔離會話標 記單元的記錄確定所述會話為隔離會話,向非法客戶端發(fā)送隔離提示�。參見圖5,所述握手報文處理單元���,進一步從非法客戶端發(fā)來的握手報 文中提取所述會話的信息,將提取的所述會話的信息攜帶在所述標記通知中發(fā)送至所述隔離會話標記單元����;所述隔離會話標記單元,用于從標記通知中獲取所述會話的信息���,將獲 取的所述會話的信息記錄在隔離會話表中�����;所述隔離處理單元�����,用于從監(jiān)聽到的報文中提取會話的信息�,在所述隔 離會話標記單元保存的隔離會話表中查找到所提取的會話的信息后,確定所 述會話為隔離會話��。參見圖5,當所述非法客戶端與服務器采用客戶端先發(fā)送請求報文的機 制時���,所述隔離處理單元用于在所述會話上監(jiān)聽所述非法客戶端發(fā)送的第一 個業(yè)務請求報文���;當所述非法客戶端與服務器采用服務器端先發(fā)送回應報文的機制時,所 述隔離處理單元用于在所述會話上監(jiān)聽所述服務器發(fā)送的應答報文�����。另外�,本發(fā)明還提出了一種對非法客戶端進行隔離提示的系統(tǒng),包括 非法客戶端����、服務器和網(wǎng)關設備��。其中�,網(wǎng)關設備可以采用本發(fā)明上述實施 例提供的任意 一種網(wǎng)關設備來實現(xiàn)����。在本發(fā)明的各種實施例中,網(wǎng)關設備可以是任意 一種能夠對服務器進行 安全保護的設備�����,比如�����,IPSi殳備����、防病毒墻i殳備或UTM設備?����?傊?���,以上所述僅為本發(fā)明的較佳實施例而已,并非用于限定本發(fā)明的 保護范圍��。凡在本發(fā)明的精神和原則之內(nèi)�����,所作的任何修改���、等同替換���、改 進等,均應包含在本發(fā)明的保護范圍之內(nèi)��。
權利要求
1��、一種對非法客戶端進行隔離提示的方法�,其特征在于,該方法包括網(wǎng)關設備接收到已被識別出的非法客戶端在新建會話上發(fā)送的握手報文�����,將該握手報文發(fā)送給服務器�;服務器與非法客戶端進行所述會話的握手過程;網(wǎng)關設備將所述會話記錄為隔離會話;在所述握手過程結束后���,網(wǎng)關設備在所述會話上監(jiān)聽報文����,當監(jiān)聽到后��,根據(jù)記錄確定所述會話為隔離會話�,則向非法客戶端發(fā)送隔離提示。
2��、 根據(jù)權利要求1所述的方法��,其特征在于�����,所述網(wǎng)關設備將所述會話記 錄為隔離會話的步驟包括所述網(wǎng)關設備從握手報文中提取標識所述會話的信 息��,將提取的所述會話的信息記錄在隔離會話表中�;所述根據(jù)記錄確定所述會話為隔離會話的步驟包括所述網(wǎng)關設備從監(jiān)聽 到的報文中提取會話的信息,在從隔離會話表中查找到該會話的信息后���,確定 所述會話為隔離會話�。
3、 根據(jù)權利要求2所述的方法����,其特征在于�,所述提取的會話的信息為報 文中攜帶的非法客戶端的IP地址和端口號。
4�����、 根據(jù)權利要求1所述的方法�����,其特征在于�,所述網(wǎng)關設備在接收到所述 非法客戶端發(fā)來的第一次握手報文時,執(zhí)行將所述會話記錄為隔離會話的處理����。
5、 根據(jù)權利要求1至4中任意一項所述的方法����,其特征在于,當所述非法 客戶端與服務器釆用客戶端先發(fā)送請求報文的機制時����,所述網(wǎng)關設備在所述會 話上監(jiān)聽報文的步驟包括所述網(wǎng)關設備在所述會話上監(jiān)聽所述非法客戶端發(fā) 送的第 一個業(yè)務請求報文��;當所述非法客戶端與服務器采用服務器端先發(fā)送回應報文的機制時����,所述 網(wǎng)關設備在所述會話上監(jiān)聽報文的步驟包括所述網(wǎng)關設備在所述會話上監(jiān)聽 所述服務器發(fā)送的應答報文�。
6、 根據(jù)權利要求5所述的方法����,其特征在于,所述客戶端先發(fā)送請求報文 的機制為超文本傳輸協(xié)議HTTP; 所述服務器端先發(fā)送回應報文的機制為FTP或SMTP�。
7、 一種網(wǎng)關設備��,其特征在于����,包括握手報文處理單元,用于在接收到已被識別出的非法客戶端在新建會話上 發(fā)送的握手報文后����,將該握手報文發(fā)送給服務器,并向隔離會話標記單元發(fā)送 標記通知�����,將服務器發(fā)送的所述會話的握手報文發(fā)送給所述非法客戶端;隔離會話標記單元��,用于在接收到標記通知后���,將所述會話記錄為隔離會話;隔離處理單元��,在所述會話上監(jiān)聽報文�,當監(jiān)聽到后,根據(jù)隔離會話標記 單元的記錄確定所述會話為隔離會話�����,向非法客戶端發(fā)送隔離提示�。
8、 根據(jù)權利要求7所述的網(wǎng)關設備�,其特征在于,所述握手報文處理單元�����, 進一步從非法客戶端發(fā)來的握手報文中提取所述會話的信息�,將提取的所述會 話的信息攜帶在所述標記通知中發(fā)送至所述隔離會話標記單元��;所述隔離會話標記單元����,用于從標記通知中獲取所述會話的信息����,將獲取 的所述會話的信息記錄在隔離會話表中;所述隔離處理單元�,用于從監(jiān)聽到的報文中提取會話的信息,在所述隔離 會話標記單元保存的隔離會話表中查找到所提取的會話的信息后�,確定所述會 話為隔離會話。
9���、 根據(jù)權利要求7或8所述的網(wǎng)關設備��,其特征在于�,當所述非法客戶端 與服務器采用客戶端先發(fā)送請求報文的機制時�����,所述隔離處理單元用于在所述 會話上監(jiān)聽所述非法客戶端發(fā)送的第 一個業(yè)務請求報文�;當所述非法客戶端與服務器采用服務器端先發(fā)送回應報文的機制時,所述 隔離處理單元用于在所述會話上監(jiān)聽所述服務器發(fā)送的應答報文�����。
10、 一種對非法客戶端進行隔離提示的系統(tǒng)�,其特征在于,包括非法客 戶端����、服務器和如權利要求7至9中任意一項所述的網(wǎng)關設備。
全文摘要
本發(fā)明公開了一種對非法客戶端進行隔離提示的方法��,該方法包括網(wǎng)關設備接收到已被識別出的非法客戶端在新建會話上發(fā)送的握手報文,將該握手報文發(fā)送給服務器;服務器與非法客戶端進行所述會話的握手過程�����;網(wǎng)關設備將所述會話記錄為隔離會話��;在所述握手過程結束后��,網(wǎng)關設備在所述會話上監(jiān)聽報文�����,當監(jiān)聽到后�����,根據(jù)記錄確定所述會話為隔離會話,則向非法客戶端發(fā)送隔離提示�。本發(fā)明還公開了一種網(wǎng)關設備以及一種對非法客戶端進行隔離提示的系統(tǒng)。本發(fā)明降低了網(wǎng)關設備的實現(xiàn)難度�����,有易于業(yè)務的開展和實現(xiàn)����。
文檔編號H04L1/16GK101127744SQ20071017543
公開日2008年2月20日 申請日期2007年9月29日 優(yōu)先權日2007年9月29日
發(fā)明者雷公武 申請人:杭州華三通信技術有限公司