專利名稱:一種保護服務(wù)器和網(wǎng)絡(luò)方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計算機網(wǎng)絡(luò)安全技術(shù)領(lǐng)域��,更具體地說涉及一種使用部署在互聯(lián)網(wǎng)上的安全 節(jié)點形成一個虛擬安全網(wǎng)來保護互聯(lián)網(wǎng)上的網(wǎng)絡(luò)服務(wù)器或網(wǎng)絡(luò)安全的方法���。
背景技術(shù):
互聯(lián)網(wǎng)與人們生活越來越密切����,人們會通過已知的域名或搜索引擎去尋找自己需要的信 息和各種服務(wù)����。但與此同時,互聯(lián)網(wǎng)安全的問題也越來越成為迫切需要解決的問題�����。據(jù) 2007年9月的統(tǒng)計,國內(nèi)網(wǎng)站數(shù)量已達131萬���,而這還是指的在一個二級域名下的所有網(wǎng)站只 算做一個網(wǎng)站的統(tǒng)計���,加上子域名的網(wǎng)站,網(wǎng)站數(shù)量應(yīng)該已經(jīng)超千萬��?��;ヂ?lián)網(wǎng)上的網(wǎng)站會受到各種各樣的攻擊和入侵����,比如利用網(wǎng)站操作系統(tǒng)���、服務(wù)軟件或網(wǎng) 頁程序的安全漏洞的入侵��,調(diào)動大量肉機發(fā)起大量無效請求堵死服務(wù)器帶寬的 DDoS (Distributed Denial of Service,分布式拒絕服務(wù)攻擊)等等。為了防范這些入侵和攻擊���,需要配備防火墻等安全設(shè)備���,這不僅提高了采購成本��、托管 成本�����,還提供了維護人員的技術(shù)水平要求和維護成本�。其實安全問題是突發(fā)性的��,配備防火墻即使能夠保護服務(wù)器的安全����,它在大部分時間其 實是擺設(shè),而在攻擊和入侵發(fā)生時卻是極端重要�。類似地,網(wǎng)站所需要的帶寬在正常訪問時和被攻擊時有數(shù)量級上的要求區(qū)別�����,比如一個 網(wǎng)站可能平時只有10兆的正常訪問量(這已經(jīng)是一個流量比較大的網(wǎng)站了)�,在攻擊發(fā)生時 ,可能100兆都會被堵死�����。這樣網(wǎng)站如果購買的是10M帶寬,就不能承受任何攻擊流量�����;如果 購買100兆帶寬�,就會極大地浪費。攻擊和入侵的非法流量一般都是突發(fā)性的�����,尤其是DDoS攻擊���,是突發(fā)地從四面八方攻擊 同一個網(wǎng)站�,用大批的流量將其網(wǎng)站帶寬沖死�����。這種情況下����,即使網(wǎng)站服務(wù)器前面有防火墻 的保護都沒有效果,因為聚集的流量已經(jīng)把防火墻的出口帶寬堵死了���。總結(jié)上述說明���,我們可以發(fā)現(xiàn)目前的防火墻類安全產(chǎn)品在保護網(wǎng)絡(luò)和服務(wù)器時存在如下 問題1�����、 防火墻平時沒用�����、用時不夠����,造成成本高、資源浪費��;2����、 帶寬平時足夠、用時不夠�����,造成成本高����、資源浪費���;43、單憑防火墻無法保護安全����,還需要IPS等其他安全設(shè)備,但大部分網(wǎng)絡(luò)和服務(wù)器不可 能配全安全設(shè)備�����。發(fā)明內(nèi)容有鑒于此��,本發(fā)明的目的是降低客戶安全成本����、解決使用安全網(wǎng)關(guān)一對一保護時無法解 決的問題,比如被保護區(qū)有多項安全需求���、DDoS等��。本發(fā)明提供使用部署在互聯(lián)網(wǎng)上的大量 安全節(jié)點形成一個虛擬安全網(wǎng)來保護互聯(lián)網(wǎng)上的網(wǎng)絡(luò)服務(wù)器或網(wǎng)絡(luò)的方法�,將攻擊和入侵的 非法流量阻擋在網(wǎng)站帶寬出口之外����,讓多個網(wǎng)絡(luò)和服務(wù)器共享多臺防火墻等網(wǎng)絡(luò)安全設(shè)備���, 使這些網(wǎng)絡(luò)安全設(shè)備能夠滿負荷運轉(zhuǎn)�、物盡其用,不僅降低每個網(wǎng)絡(luò)和服務(wù)器所需要的安全 成本和網(wǎng)絡(luò)帶寬��,并阻擋傳統(tǒng)防火墻無法阻擋的攻擊��。同時�����,原本位于客戶網(wǎng)絡(luò)和客戶服務(wù)器前面的邊界式防火墻也可以是用本發(fā)明的技術(shù)加 入這個虛擬安全網(wǎng)體系�,以進一步提高上述效果。本發(fā)明是這樣實現(xiàn)的當(dāng)互聯(lián)網(wǎng)用戶訪問被保護的服務(wù)器或網(wǎng)絡(luò)時�,由預(yù)設(shè)的DNS解析服務(wù)器確定對應(yīng)的符合 預(yù)設(shè)條件的目標(biāo)安全節(jié)點,并將該目標(biāo)安全節(jié)點的IP地址提供給所述用戶���;該用戶向所述被保護服務(wù)器或網(wǎng)絡(luò)的請求被指向所述目標(biāo)安全節(jié)點����;該目標(biāo)安全節(jié)點在安全策略和智能控制部件的控制下���,將該互聯(lián)網(wǎng)用戶的合法請求轉(zhuǎn)發(fā) 給所述被保護的網(wǎng)絡(luò)服務(wù)器或網(wǎng)絡(luò)����,并接收所述網(wǎng)絡(luò)服務(wù)器或網(wǎng)絡(luò)的應(yīng)答數(shù)據(jù),并在安全策 略和智能控制部件的控制下將合法應(yīng)答數(shù)據(jù)返回給所述用戶���。預(yù)設(shè)的DNS解析服務(wù)器按照以下步驟確定符合預(yù)設(shè)條件的目標(biāo)安全節(jié)點根據(jù)該互聯(lián)網(wǎng)用戶的IP及所述被保護的服務(wù)器或網(wǎng)絡(luò)的IP確定對應(yīng)的地理和網(wǎng)絡(luò)拓撲位 置����,選擇最適合提供服務(wù)的安全節(jié)點�����;將所述安全節(jié)點按照其與互聯(lián)網(wǎng)用戶和被保護的服務(wù)器或網(wǎng)絡(luò)之間的數(shù)據(jù)包延時和丟包 率�,延時和丟包率最小的安全節(jié)點確定為目標(biāo)安全節(jié)點。延時和丟包率最小的安全節(jié)點的網(wǎng)絡(luò)環(huán)境如果超過預(yù)設(shè)條件時�,確定排列的下一個安全 節(jié)點為目標(biāo)安全節(jié)點。所述網(wǎng)絡(luò)環(huán)境為負荷�,當(dāng)安全節(jié)點的負荷超過預(yù)先設(shè)置的門限時,確定該安全節(jié)點的網(wǎng) 絡(luò)環(huán)境超過預(yù)設(shè)條件��。所述目標(biāo)安全節(jié)點在智能控制部件的控制下��,將攻擊��、入侵等非法數(shù)據(jù)包濾除后,將該 互聯(lián)網(wǎng)用戶的合法請求轉(zhuǎn)發(fā)給所述被保護的網(wǎng)絡(luò)服務(wù)器或網(wǎng)絡(luò)���。一個安全節(jié)點對應(yīng)多臺被保護的服務(wù)器����。多個安全節(jié)點也可以對應(yīng)同一臺服務(wù)器�。 透過本發(fā)明組成的虛擬安全網(wǎng)�����,同一個網(wǎng)站的內(nèi)容分布到不同的服務(wù)器上����、不同的位置 上,使所有的服務(wù)器可以變成虛擬的存儲點�����,是所有的網(wǎng)絡(luò)接入位置成為純粹的信號通道���。 原來位于客戶服務(wù)器或客戶子網(wǎng)前面的安全網(wǎng)關(guān)保持原來位置或移入互聯(lián)網(wǎng)�����。 被保護區(qū)收到安全節(jié)點轉(zhuǎn)發(fā)過來的請求���,直接將應(yīng)答數(shù)據(jù)返回給上述互聯(lián)網(wǎng)用戶��。 本發(fā)明方法得到的好處有
降低客戶成本 一個安全節(jié)點可以保護多臺服務(wù)器以降低成本�、提高網(wǎng)絡(luò)安全設(shè)備的使 用率���;
分散流量多個安全節(jié)點可以保護同一臺服務(wù)器以分散攻擊流量�、避免出口帶寬被堵死
透明后臺支持透過本發(fā)明組成的虛擬安全網(wǎng)�,同一個網(wǎng)站的內(nèi)容可以分布到不同的服 務(wù)器上、不同的位置上����,使所有的服務(wù)器可以變成虛擬的存儲點,是所有的網(wǎng)絡(luò)接入位置成 為純粹的信號通道�。
保護已有投入原來位于客戶服務(wù)器或客戶子網(wǎng)前面的安全網(wǎng)關(guān)也可以納入本發(fā)明組成 的虛擬安全網(wǎng)體系,形成一個互助的安全保護網(wǎng)絡(luò)�����。
圖l為傳統(tǒng)的使用防火墻保護服務(wù)器或網(wǎng)絡(luò)的示意圖 圖2為本發(fā)明組成的虛擬安全網(wǎng)的實現(xiàn)方法的實施例一的示意圖
具體實施例方式
本發(fā)明可以在安全�����、成本和有效利用等諸多方面達成統(tǒng)一。
傳統(tǒng)的防火墻保護體系�,見附圖l,是使用防火墻擋在被保護服務(wù)器或被保護網(wǎng)絡(luò)與互 聯(lián)網(wǎng)之間�, 一般在連接互聯(lián)網(wǎng)的路由器與被保護服務(wù)器/網(wǎng)絡(luò)之間。
當(dāng)互聯(lián)網(wǎng)上的客戶端����,比如C廣C4,要訪問Netl中的服務(wù)器Sl時����,首先請求為S1所在域 服務(wù)的DNS服務(wù)器DNS1��,得到S1的IP地址���,然后請求包會通過互聯(lián)網(wǎng)�����、路由器l����、防火墻FW1 到達S1�, S1再反向地將應(yīng)答包返回給C1����。
如果防火墻保護的是一個子網(wǎng)�����,例如S2 S4和PC1/PC2組成的子網(wǎng)都有FW2保護���,情況也 類似�����。
防火墻可以禁止指定IP的客戶端訪問�,擋住某些方式的攻擊例如SynFlood等����。但有些攻擊和入侵方式防火墻可能無法阻擋,比如
應(yīng)用層入侵方式可能需要IPS (入侵防御系統(tǒng))等其他網(wǎng)絡(luò)安全設(shè)備�����。 在CrC4都被DDoS蠕蟲侵染而成為肉機(肉機�����,指被DDoS蠕蟲侵染、受DDoS總控中心控制 隨時可發(fā)起攻擊的計算機)后���,當(dāng)DDoS的總控中心控制他們?nèi)ス鬝l時�����,CrC4都會不停地����、 自動地給Sl發(fā)SynFlood等非法攻擊包���,雖然防火墻FW1可以擋住這些攻擊數(shù)據(jù)包使之不到達 Sl�����,但大量的非法攻擊流量會塞滿分配給Sl的帶寬甚至塞滿Netl的出口,這樣雖然S1有FW1 保護����,仍然會被DDoS攻擊至不能訪問。
為此����,本發(fā)明提供了一種改進的技術(shù)方案�,其基本思想是把防火墻�、IPS等網(wǎng)絡(luò)安全 設(shè)備放到互聯(lián)網(wǎng)上而不是在被保護網(wǎng)絡(luò)或服務(wù)器前面。將原先的一對一保護變?yōu)槎鄬Χ啾Wo
在互聯(lián)網(wǎng)上根據(jù)網(wǎng)絡(luò)拓撲結(jié)構(gòu)部署必要數(shù)量的防火墻類網(wǎng)絡(luò)安全設(shè)備��,這些設(shè)備稱為安 全節(jié)點��;
在互聯(lián)網(wǎng)上部署智能控制中心�,包括智能DNS解析服務(wù)器、取得安全節(jié)點狀態(tài)控制安全
節(jié)點行為的智能控制部件�;
使用虛擬安全網(wǎng)保護的網(wǎng)絡(luò)和服務(wù)器需要將DNS解析指向上述智能DNS解析服務(wù)器;
當(dāng)互聯(lián)網(wǎng)用戶訪問上述網(wǎng)絡(luò)服務(wù)器或網(wǎng)絡(luò)時�����,首先是上述智能DNS解析服務(wù)器給用戶解
析出網(wǎng)址對應(yīng)的IP地址���,該IP地址不是上述網(wǎng)絡(luò)服務(wù)器的����,而是最合適該互聯(lián)網(wǎng)用戶的安全
節(jié)點���;
該互聯(lián)網(wǎng)用戶將訪問請求發(fā)給上述由智能DNS解析服務(wù)器指定的安全節(jié)點���; 該安全節(jié)點在智能控制部件的控制下降該互聯(lián)網(wǎng)用戶的合法請求轉(zhuǎn)發(fā)給上述被保護的網(wǎng) 絡(luò)服務(wù)器�;
上述網(wǎng)絡(luò)服務(wù)器收到安全節(jié)點轉(zhuǎn)發(fā)過來的請求�,將應(yīng)答數(shù)據(jù)返回給安全節(jié)點,安全節(jié)點 再將合法應(yīng)答數(shù)據(jù)返回給上述互聯(lián)網(wǎng)用戶��。
如果用戶方發(fā)出的是攻擊包或入侵包����,這些包將被安全節(jié)點堵截,不會轉(zhuǎn)發(fā)給被保護的 網(wǎng)絡(luò)服務(wù)器�。這樣,從四面八方來的攻擊流量就被分散地阻截在虛擬安全網(wǎng)的各個安全節(jié)點 上����,不會聚集到攻擊目標(biāo)。
圖2示出了本發(fā)明一種使用部署大量安全節(jié)點形成虛擬安全網(wǎng)保護服務(wù)器或網(wǎng)絡(luò)的實施 例一的示意圖�����。
使用虛擬安全網(wǎng)保護服務(wù)器S1��,需要S1的域名管理員將DNS服務(wù)器指向我們的智能DNS解 析服務(wù)器��,而不是他原來的DNS1�����。而安全節(jié)點除了防火墻的功能����,還會包括IPS等其他網(wǎng)絡(luò)安全設(shè)備的功能,由于是多個 被保護服務(wù)器共享這些安全節(jié)點�����,因此這些安全節(jié)點可以配備最完善的安全措施�����。
當(dāng)客戶端C 1所有訪問為正常訪問時����,C1首先請求智能DNS解析服務(wù)器,智能DNS將根據(jù) Cl的網(wǎng)絡(luò)拓撲位置���、Sl的網(wǎng)絡(luò)拓撲位置���、布放在互聯(lián)網(wǎng)中所有安全節(jié)點的網(wǎng)絡(luò)拓撲位置和負 荷等因素,根據(jù)數(shù)據(jù)包延遲��、丟包率、安全節(jié)點和網(wǎng)絡(luò)帶寬的負荷等因素�,選擇一個最合適 給C 1訪問S1做服務(wù)的安全節(jié)點。這里舉例說明上述選擇算法
例如S1和C1都處于上海同一網(wǎng)絡(luò)基礎(chǔ)運營商比如中國電信網(wǎng)絡(luò)中���,則為它們提供通信 安全服務(wù)的安全節(jié)點選擇上海電信的Nodel是最合適的����,這樣無論延遲還是丟包率���,都會是 最低的�����;
但如果Nodel的負荷已經(jīng)非常大�����,雖然從網(wǎng)絡(luò)來說它是最合適的�,但也許這時選擇處于 杭州電信的Node2更合適�,如果此時Node2的負荷較小�����;雖然延遲和丟包率會稍大���,但Node2 負荷低���,且杭州比上海從網(wǎng)絡(luò)拓撲來說沒有增加太多;
一般來說�����,不應(yīng)該選擇北京網(wǎng)通的安全節(jié)點為上海電信的C1和S1通信提供服務(wù)���。
如果S1處于北京網(wǎng)通而C1處于上海電信��,可能就需要一臺具有雙網(wǎng)連接的安全節(jié)點提供 服務(wù)����,這是才能保證數(shù)據(jù)包延遲和丟包率最低��。
如果依據(jù)網(wǎng)絡(luò)狀況確定C 1訪問S1使用Node 1 �,智能DNS解析服務(wù)器會將Node 1的IP返回給 Cl,讓Cl誤以為Nodel是Sl把請求包發(fā)給Nodel��。 Nodel收到的請求包的包頭中有目標(biāo)是S1的 信息����,因此如果Nodel發(fā)現(xiàn)Cl發(fā)出的是合法請求���,就轉(zhuǎn)發(fā)給S1。 Sl把響應(yīng)數(shù)據(jù)返回給Nodel��, Node 1再轉(zhuǎn)發(fā)給C 1 ���,這樣就完成了 一次合法的訪問�。
當(dāng)客戶端被DDoS蠕蟲感染后�����,比如C廣C3受到了感染C4沒有感染正常訪問S1��,當(dāng)DDoS總 控中心發(fā)出攻擊S1的命令后(實際DDoS肉機成千上萬時DDoS總控中心才會指令它們攻擊某臺 服務(wù)器���,而不會只有3臺時就發(fā)出攻擊指令)�����,CrC3會不停地自動向Sl發(fā)出攻擊包���,但首先 它們會請求S1的DNS服務(wù)器�����,現(xiàn)在就是智能DNS解析服務(wù)器��。由于C1到C4的網(wǎng)絡(luò)拓撲位置不同 ,比如C1可能來自上海��、C2可能來自北京����,因此智能DNS響應(yīng)給C廣C4的可能是不同的安全節(jié) 點,比如分別指向NoderNode4���, Nodel Node3會將攻擊數(shù)據(jù)包阻擋��,不轉(zhuǎn)發(fā)給S1�����,而Node4 會轉(zhuǎn)發(fā)正常訪問數(shù)據(jù)包���,這樣S1就只收到正常訪問請求、正常響應(yīng)數(shù)據(jù)��,而不會收到攻擊數(shù) 據(jù)包。
假設(shè)Nodel-Node4和Sl的出口帶寬都是一樣的���,CrC3的攻擊流量可以達到塞滿Sl的出口 帶寬���,在使用虛擬安全網(wǎng)保護后,CrC3的攻擊流量就被分散到NoderNode3上����,這樣就不會 被塞滿,網(wǎng)絡(luò)訪問可以保持正常���,比如C4仍然可以正常訪問S1���。這樣得到的好處有
降低客戶成本 一個安全節(jié)點可以保護多臺服務(wù)器以降低成本、提高網(wǎng)絡(luò)安全設(shè)備的使 用率���;
分散流量多個安全節(jié)點可以保護同一臺服務(wù)器以分散攻擊流量�、避免出口帶寬被堵死
透明后臺支持透過本發(fā)明組成的虛擬安全網(wǎng)��,同一個網(wǎng)站的內(nèi)容可以分布到不同的服 務(wù)器上����、不同的位置上���,使所有的服務(wù)器可以變成虛擬的存儲點,是所有的網(wǎng)絡(luò)接入位置成 為純粹的信號通道��。
保護已有投入原來位于客戶服務(wù)器或客戶子網(wǎng)前面的安全網(wǎng)關(guān)也可以納入本發(fā)明組成 的虛擬安全網(wǎng)體系�,形成一個互助的安全保護網(wǎng)絡(luò)。
以上公開的僅為本發(fā)明的優(yōu)選實施方式�����,但本發(fā)明并非局限于此����,任何本領(lǐng)域的技術(shù)人 員能思之的沒有創(chuàng)造性的變化���,以及在不脫離本發(fā)明原理前提下所作的若干改進和潤飾����,都 應(yīng)落在本發(fā)明的保護范圍內(nèi)���。
權(quán)利要求
1.一種保護服務(wù)器或網(wǎng)絡(luò)的方法�,其特征在于,包括當(dāng)互聯(lián)網(wǎng)用戶訪問被保護的服務(wù)器或網(wǎng)絡(luò)時���,由預(yù)設(shè)的DNS解析服務(wù)器確定對應(yīng)的符合預(yù)設(shè)條件的目標(biāo)安全節(jié)點����,并將該目標(biāo)安全節(jié)點的IP地址提供給所述用戶��;該用戶向所述被保護服務(wù)器或網(wǎng)絡(luò)的請求被指向所述目標(biāo)安全節(jié)點�����;該目標(biāo)安全節(jié)點在安全策略和智能控制部件的控制下���,將該互聯(lián)網(wǎng)用戶的合法請求轉(zhuǎn)發(fā)給所述被保護的網(wǎng)絡(luò)服務(wù)器或網(wǎng)絡(luò)����,并接收所述網(wǎng)絡(luò)服務(wù)器或網(wǎng)絡(luò)的應(yīng)答數(shù)據(jù)���,并在安全策略和智能控制部件的控制下將合法應(yīng)答數(shù)據(jù)返回給所述用戶�����。
2 如權(quán)利要求l所述的方法��,其特征在于�����,預(yù)設(shè)的DNS解析服務(wù)器按照以下步驟確定符合 預(yù)設(shè)條件的目標(biāo)安全節(jié)點根據(jù)該互聯(lián)網(wǎng)用戶的IP及所述被保護的服務(wù)器或網(wǎng)絡(luò)的IP確定對應(yīng)的地理和網(wǎng)絡(luò)拓撲 位置�����,選擇最適合提供服務(wù)的安全節(jié)點���;將所述安全節(jié)點按照其與互聯(lián)網(wǎng)用戶和被保護的服務(wù)器或網(wǎng)絡(luò)之間的數(shù)據(jù)包延時和丟 包率����,延時和丟包率最小的安全節(jié)點確定為目標(biāo)安全節(jié)點����。
3.如權(quán)利要求2所述的方法��,其特征在于�,延時和丟包率最小的安全節(jié)點的網(wǎng)絡(luò)環(huán)境如果超過預(yù)設(shè)條件時,確定排列的下一個安 全節(jié)點為目標(biāo)安全節(jié)點����。
4.如權(quán)利要求3所述的方法,其特征在于,所述網(wǎng)絡(luò)環(huán)境為負荷�����,當(dāng)安全節(jié)點的負荷超過 預(yù)先設(shè)置的門限時�����,確定該安全節(jié)點的網(wǎng)絡(luò)環(huán)境超過預(yù)設(shè)條件���。
5. 如權(quán)利要求l所述的方法���,其特征在于,所述目標(biāo)安全節(jié)點在智能控制部件的控制下�,將攻擊、入侵等非法數(shù)據(jù)包濾除后��,將該互聯(lián)網(wǎng)用戶的合法請求轉(zhuǎn)發(fā)給所述被保護的網(wǎng)絡(luò)服 務(wù)器或網(wǎng)絡(luò)���。
6.如權(quán)利要求l所述的方法���,其特征在于, 一個安全節(jié)點對應(yīng)多臺被保護的服務(wù)器����。
7.如權(quán)利要求l所述的方法�����,其特征在于���,多個安全節(jié)點對應(yīng)同一臺服務(wù)器。
8.如權(quán)利要求l所述的方法�,其特征在于,透過本發(fā)明組成的虛擬安全網(wǎng)����,同一個網(wǎng)站的 內(nèi)容分布到不同的服務(wù)器上、不同的位置上�,使所有的服務(wù)器可以變成虛擬的存儲點,是所 有的網(wǎng)絡(luò)接入位置成為純粹的信號通道����。
9.如權(quán)利要求l所述的方法��,其特征在于���,原來位于客戶服務(wù)器或客戶子網(wǎng)前面的安全網(wǎng) 關(guān)保持原來位置或移入互聯(lián)網(wǎng)����。
10.如權(quán)利要求l所述的方法,其特征在于�����,被保護區(qū)收到安全節(jié)點轉(zhuǎn)發(fā)過來的請求�����,直接 將應(yīng)答數(shù)據(jù)返回給上述互聯(lián)網(wǎng)用戶�����。
全文摘要
本發(fā)明公開一種保護服務(wù)器或網(wǎng)絡(luò)的方法�����,包括當(dāng)互聯(lián)網(wǎng)用戶訪問被保護的服務(wù)器或網(wǎng)絡(luò)時�,由預(yù)設(shè)的DNS解析服務(wù)器確定對應(yīng)的符合預(yù)設(shè)條件的目標(biāo)安全節(jié)點,并將該目標(biāo)安全節(jié)點的IP地址提供給所述用戶���;該用戶向被保護服務(wù)器或網(wǎng)絡(luò)發(fā)出的請求即被指向所述目標(biāo)安全節(jié)點�����;該目標(biāo)安全節(jié)點在安全策略和智能控制部件的控制下�����,將該互聯(lián)網(wǎng)用戶的合法請求轉(zhuǎn)發(fā)給所述被保護的網(wǎng)絡(luò)服務(wù)器或網(wǎng)絡(luò)�����,并接收所述網(wǎng)絡(luò)服務(wù)器或網(wǎng)絡(luò)的應(yīng)答數(shù)據(jù)���,并在安全策略和智能控制部件的控制下將合法應(yīng)答數(shù)據(jù)返回給所述用戶���。本發(fā)明可以降低客戶成本、分散流量��,也就是說多個安全節(jié)點可以保護同一臺服務(wù)器以分散攻擊流量���、避免出口帶寬被堵死�。
文檔編號H04L29/06GK101257502SQ20081030029
公開日2008年9月3日 申請日期2008年1月31日 優(yōu)先權(quán)日2008年1月31日
發(fā)明者勇 陳 申請人:勇 陳