专利名称:防火墙及防止网络攻击方法
技术领域:
本申请涉及通信领域,特别是涉及防火墙及防止网络攻击方法。
背景技术:
在网络迅速发展的今天,网络安全也成为一个越来越重要的问题。黑客通常利用僵尸网络向被攻击者发送大量的数据流,造成被攻击者链路拥塞,资源耗尽,从而无法正常运作。在各种攻击方法中,带宽型攻击是其中一种常用的攻击方法,带宽型攻击主要是通过发送无状态协议的大包来堵塞被攻击者的链路,其中,大包是指长度远大于正常报文长度的特殊报文。现有技术提供了一种防火墙,防火墙包括交换芯片和处理芯片,其中,交换芯片接收到报文后,将报文向处理芯片发送,处理芯片在接收到报文后,根据网络攻击的防范策略进行处理,从而实现阻止因特网对受保护网络的攻击。但是,由于交换芯片所接收到的报文都必须向处理芯片发送,在收到网络攻击时,大量的攻击报文都一一向处理芯片发送,将导致处理芯片的资源将被耗尽,正常的报文没法通过处理芯片向目的地发送,从而导致防火墙不能正常进行业务转发。
发明内容
本申请主要解决的技术问题是提供防火墙及防止网络攻击方法,能够使防止主处理芯片收到攻击影响,保证防火墙正常 进行业务转发。为解决上述技术问题,本申请第一方面提供一种防止网络攻击方法,所述方法包括如下步骤从因特网接收报文,并判断所述报文的长度是否大于阈值;如果所述报文的长度大于阈值,则将所述长度大于阈值的报文镜像到从处理芯片;根据镜像到所述从处理芯片的所述长度大于阈值的报文的数量和频率判断是否受到攻击;如果受到攻击,则对所述长度大于阈值的报文进行处理。结合第一方面,本申请的第一方面的第一种可能的实施方式中,所述对所述长度大于阈值的报文进行处理包括如下步骤阻止向主处理芯片发送所述长度大于阈值的报文,或限制向所述主处理芯片发送所述长度大于阈值的报文的流量。结合第一方面以及第一方面的第一种可能的实施方式,本申请的第二种可能的实施方式中,所述判断报文的长度是否大于阈值的步骤之后包括如下步骤如果所述报文的长度小于或等于阈值,则将所述长度小于或等于阈值的报文发送给主处理芯片。结合第一方面,本申请第一方面的第二种可能的实施方式中,还包括如果没有受到攻击或者攻击停止,将接收到的所述报文发送给所述主处理芯片。结合第一方面,本申请第一方面的第三种可能的实施方式中,所述判断报文的长度是否大于阈值的步骤包括如下步骤判断所述报文的类型;如果所述报文的类型为网际控制信息协议报文,则判断所述报文的长度是否大于256字节;如果所述报文的类型为用户数据报协议报文,则判断所述报文的长度是否大于I千字节。
为解决上述技术问题,本申请第二方面还提供一种防火墙,包括交换芯片、主处理芯片以及从处理芯片,其中,所述交换芯片耦接所述主处理芯片;所述交换芯片用于从因特网接收报文,并判断所述报文的长度是否大于阈值,并在所述报文的长度大于阈值时,将所述长度大于阈值的报文镜像到从处理芯片;所述从处理芯片用于接收长度超过阈值的报文,根据镜像到所述从处理芯片的所述长度大于阈值的报文的数量和频率判断是否受到攻击,并在受到攻击时,通过所述交换芯片对所述长度大于阈值的报文进行处理。结合第二方面,本申请的第二方面的第一种可能的实施方式中,所述交换芯片具体用于阻止向主处理芯片发送所述长度大于阈值的报文,或限制向所述主处理芯片发送所述长度大于阈值的报文的流量。结合第二方面以及第二方面的第一种可能的实施方式,本申请的第二种可能的实施方式中,所述交换芯片还用于在所述报文的长度小于或等于阈值时,将所述长度小于或等于阈值的报文发送给所述主处理芯片。结合第二方面,本申请第二方面的第二种可能的实施方式中,所述交换芯片还用于在没有受到攻击或者攻击停止时,将接收到的所述报文发送给所述主处理芯片。结合第二方面,本申请第二方面的第三种可能的实施方式中,所述从处理芯片还用于判断所述报文的类型,在所述报文的类型为网际控制信息协议报文时,判断所述报文的长度是否大于256字节;在所述报文的类型为用户数据报协议报文时,判断所述报文的长度是否大于I千字节。结合第二方面,本申请第二方面的第四种可能的实施方式中,所述从处理芯片集成在所述交换芯片内。结合第二方面,本申请第二方面的第五种可能的实施方式中,所述从处理芯片设置于所述交换芯片之外,所述从处理芯片耦接所述交换芯片。防火墙通过设置了 主、从处理芯片,并在报文的长度大于阈值时,将报文镜像到从处理芯片,从处理芯片判断是否受到攻击,并在受到攻击时,通知交换芯片阻止长度超过阈值的报文向主处理芯片发送,或通知交换芯片限制长度超过阈值的报文通过主处理芯片的流量,可以避免将大量的攻击报文向主处理芯片发送,从而保证主处理芯片具有足够的资源处理正常报文,保证防火墙正常进行业务转发。
图1是本申请防止网络攻击方法一实施方式的流程图;图2是本申请防止网络攻击方法另一实施方式的流程图;图3是本申请防火墙一实施方式的结构示意图。
具体实施例方式以下描述中,为了说明而不是为了限定,提出了诸如特定系统结构、接口、技术之类的具体细节,以便透彻理解本申请。然而,本领域的技术人员应当清楚,在没有这些具体细节的其它实施方式中也可以实现本申请。在其它情况中,省略对众所周知的装置、电路以及方法的详细说明,以免不必要的细节妨碍本申请的描述。参阅图1,图1是本申请防止网络攻击方法一实施方式的流程图。本实施方式的防止网络攻击方法包括SlOl :防火墙中的交换芯片从因特网接收报文,并判断报文的长度是否大于阈值。从因特网传输过来的报文首先会发送给防火墙,防火墙中的交换芯片接收到从因特网传输过来的报文后,判断报文的长度是否大于阈值。由于带宽型攻击主要是通过发送无状态协议的大包来堵塞被攻击者的链路,所以如果一旦发现报文的长度大于阈值时,则该报文可能是攻击报文,需要进一步进行判断。因此,如果报文的长度大于阈值,进入步骤S102。S102 :防火墙中的交换芯片将报文镜像到从处理芯片。在报文的长度大于阈值时,防火墙中的交换芯片将报文镜像到从处理芯片,以供从处理芯片进行进一步的判断,同时,交换芯片继续将报文向主处理芯片发送。S103:防火墙中的从处理芯片根据镜像到从处理芯片的报文的数量和频率判断是否受到攻击。从处理芯片在接收到交换芯片所镜像的报文后,统计交换芯片所发过来的复制的报文的数量和频率,并通过发送给从处理芯片的报文的数量和频率判断是否受到到攻击。如果遭受到了攻击,进入步骤S104。S104:防火墙中的交换芯片阻止将长度超过阈值的报文向主处理芯片发送,或限制长度超过阈值的报文通过所述主处理芯片的流量。在受到了攻击的情 况下,从处理芯片通知交换芯片阻止将长度超过阈值的报文向主处理芯片发送,或通知交换芯片限制长度超过阈值的报文通过主处理芯片的流量,以防止将过多的攻击报文向主处理芯片发送,导致主处理芯片资源被耗尽,从而保证主处理芯片具有足够的资源处理正常报文。防火墙通过设置了主、从处理芯片,并在报文的长度大于阈值时,将报文镜像到从处理芯片,从处理芯片判断是否受到攻击,并在受到攻击时,通知交换芯片阻止长度超过阈值的报文向主处理芯片发送,或通知交换芯片限制长度超过阈值的报文通过主处理芯片的流量,可以避免将大量的攻击报文向主处理芯片发送,从而保证主处理芯片具有足够的资源处理正常报文,保证防火墙正常进行业务转发。参阅图2,图2是本申请防止网络攻击方法另一实施方式的流程图。本实施方式的防止网络攻击方法包括S201 :防火墙的交换芯片从因特网接收报文,并判断报文的类型。从因特网传输过来的报文首先被发送到防火墙,交换芯片在接收到报文后,对报文的类型进行判断。如,判断报文的类型是网际控制信息协议报文(ICM,InternetControl Message Protocol)还是用户数据报协议报文(UDP, User Datagram Protocol)。S202 :防火墙的交换芯片判断报文的长度是否大于阈值。在判断完报文的类型后,防火墙的交换芯片根据报文的类型判断报文的长度是否大于阈值。例如,如果报文的类型为网际控制信息协议报文,则判断报文的长度是否大于256字节,如果大于256字节,则判断报文的长度大于阈值,反之,则判断报文的长度小于或等于阈值。如果报文的类型为用户数据报协议报文,则判断报文的长度是否大于I千字节。如果大于I千字节,则判断报文的长度大于阈值,反之,则判断报文的长度小于或等于阈值。由于带宽型攻击主要是通过发送无状态协议的大包来堵塞被攻击者的链路,所以如果一旦发现报文的长度大于阈值时,则该报文可能是攻击报文,需要进一步进行判断。因此,如果报文的长度小于或等于阈值,进入步骤S203,如果报文的长度大于阈值,则进入步骤 S204。S203 :防火墙的交换芯片将报文向主处理芯片发送。在报文的长度小于或等于阈值时,认为报文是非带宽型攻击的报文,不需要从处理芯片进行进一步的判断,于是,防火墙的交换芯片仅将报文向主处理芯片发送以供主处理芯片进行正常的业务处理,而不会将报文镜像到从处理芯片。S204 :防火墙的交换芯片将报文镜像到从处理芯片。在报文的长度大于阈值时,防火墙中的交换芯片将报文并镜像到从处理芯片,以供从处理芯片进行进一步的判断,在未确认是否受到攻击前,交换芯片继续将报文向主处理芯片发送。S205:防火墙的从处理芯片根据镜像到从处理芯片的报文的数量和频率判断是否受到攻击。·从处理芯片在接收到交换芯片所镜像的报文后,统计交换芯片所发过来的镜像后的报文的数量和频率,并根据镜像到从处理芯片的报文的数量和频率判断是否受到攻击。如果受到了攻击,进入步骤S206,反之,则进入步骤S207。S206:防火墙的交换芯片阻止向主处理芯片发送长度大于阈值的报文,或限制向主处理芯片发送长度大于阈值的报文的流量。在受到攻击时,从处理芯片通知交换芯片将长度超过阈值的报文向主处理芯片发送,或通知交换芯片限制长度超过阈值的报文通过主处理芯片的流量,以防止大量的攻击报文被发送到主处理芯片,耗尽主处理芯片的资源,影响主处理芯片进行正常业务处理。S207 :防火墙的交换芯片将接收到的报文发送给主处理芯片。在没有遭到攻击或攻击已经停止的情况下,交换芯片将接收到的报文都发送给主处理芯片。即,在没有遭到攻击或攻击已经停止的情况下,交换芯片会将正常的报文和交换芯片偶然间接收到的一些长度超过阈值的报文都向主处理芯片发送,此时,不会对主处理芯片造成不良影响。防火墙通过设置了主、从处理芯片,并在报文的长度大于阈值时,将报文镜像到从处理芯片,从处理芯片判断是否受到攻击,并在受到攻击时,通知交换芯片阻止长度超过阈值的报文向主处理芯片发送,或通知交换芯片限制长度超过阈值的报文通过主处理芯片的流量,可以避免将大量的攻击报文向主处理芯片发送,从而保证主处理芯片具有足够的资源处理正常报文,保证防火墙正常进行业务转发。参阅图3,图3是本申请防火墙一实施方式的结构示意图。本实施方式的防火墙320包括交换芯片321、从处理芯片322以及主处理芯片323。其中,此时,从处理芯片322设置于交换芯片321之外,交换芯片321分别耦接从处理芯片322以及主处理芯片323。交换芯片321用于从因特网310接收报文,判断报文的类型,根据报文的类型判断报文的长度是否大于阈值,并在报文的长度大于阈值时,将报文镜像到从处理芯片322。比如,从因特网310传输过来的报文首先被发送到防火墙320,交换芯片321在接收到报文后,对报文的类型进行判断,判断报文的类型是网际控制信息协议报文还是用户数据报协议报文。如果报文的类型为网际控制信息协议报文,则判断报文的长度是否大于256字节,如果大于256字节,则判断报文的长度大于阈值,反之,则判断报文的长度小于或等于阈值。如果报文的类型为用户数据报协议报文,则判断报文的长度是否大于I千字节。如果大于I千字节,则判断报文的长度大于阈值,反之,则判断报文的长度小于或等于阈值。由于带宽型攻击主要是通过发送无状态协议的大包来堵塞被攻击者的链路,所以如果一旦发现报文的长度大于阈值时,则该报文可能是攻击报文,需要进一步进行判断。所以,在报文的长度大于阈值时,交换芯片321将报文镜像到从处理芯片322,以供从处理芯片322进行进一步的判断,在未确认是否受到攻击前,交换芯片321继续将报文向主处理芯片323发送。在报文的长度小于或等于阈值时,交换芯片321认为报文是非带宽型攻击的报文,不需要从处理芯片322进行进一步的判断,于是,防火墙的交换芯片321仅将报文向主处理芯片323发送以供主处理芯片323进行正常的业务处理,而不会将报文镜像到从处理芯片322。从处理芯片322用于接收长度超过阈值的报文,并通过发送给从处理芯片322的报文的数量和频率判断是否受到攻击,并在受到攻击时,通知交换芯片321阻止将长度超过阈值的报文向主处理芯片323发送,或通知交换芯片321限制长度超过阈值的报文通过主处理芯片323的流量。比如,从处理芯片322在接收到交换芯片321所镜像的报文后,统计交换芯片321所发过来的复制的报文的数量和频率,并通过发送给从处理芯片322的报文的数量和频率判断是否受到攻击。在受到攻击时,从处理芯片322通知交换芯片321将长度超过阈值的报文向主处理芯片323发送,或通知交换芯片321限制长度超过阈值的报文通过主处理芯片323的流量,以防止将过多的攻击报文向主处理芯片323发送,导致主处理芯片323资源被耗尽,从而保证主处理芯片323具有足够的资源处理正常报文,将正常报文发送给保护用户330。在没有遭到攻击或攻击已经停止的情况下,交换芯片321将接收到的报文都发送给主处理芯片323。即,在没有遭到攻击或攻击已经停止的情况下,交换芯片321会将正常的报文和交换芯片偶然间接收到的一些长度超过阈值的报文都向主处理芯片323发送,此时,不会对主处理芯片323造成不良影响。在另一实施方式中,从处理芯片322可以集成在交换芯片321内,此时,交换芯片321耦接主处理芯片323。从处理芯片322的位置的设置不影响具体功能的执行,因而,本实施方式与上一实施方式基本相同,`此处不重复赘述。防火墙通过设置了主、从处理芯片,并在报文的长度大于阈值时,将报文镜像到从处理芯片,从处理芯片判断是否受到攻击,并在受到攻击时,通知交换芯片阻止长度超过阈值的报文向主处理芯片发送,或通知交换芯片限制长度超过阈值的报文通过主处理芯片的流量,可以避免将大量的攻击报文向主处理芯片发送,从而保证主处理芯片具有足够的资源处理正常报文,保证防火墙正常进行业务转发。在本申请所提供的几个实施方式中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施方式仅仅是示意性的,例如,所述模块或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施方式方案的目的。另外,在本申请各个实施方式中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或处理器(processor)执行本申请各个实施方式所述方法的全部或部分步骤。而前述 的存储介质包括U盘、移动硬盘、只读存储器(ROM, Read-Only Memory)、随机存取存储器(RAM, Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
权利要求
1.一种防止网络攻击的方法,其特征在于,所述方法包括如下步骤 从因特网接收报文,并判断所述报文的长度是否大于阈值; 如果所述报文的长度大于阈值,则将所述长度大于阈值的报文镜像到从处理芯片;根据镜像到所述从处理芯片的所述长度大于阈值的报文的数量和频率判断是否受到攻击; 如果受到攻击,则对所述长度大于阈值的报文进行处理。
2.根据权利要求1所述的方法,其特征在于,所述对所述长度大于阈值的报文进行处理包括如下步骤 阻止向主处理芯片发送所述长度大于阈值的报文,或限制向所述主处理芯片发送所述长度大于阈值的报文的流量。
3.根据权利要求1-2任一权利要求所述的方法,其特征在于,所述判断报文的长度是否大于阈值的步骤之后包括如下步骤 如果所述报文的长度小于或等于阈值,则将所述长度小于或等于阈值的报文发送给主处理芯片。
4.根据权利要求1所述的方法,其特征在于,还包括如果没有受到攻击或者攻击停止,将接收到的所述报文发送给所述主处理芯片。
5.根据权利要求4所述的方法,其特征在于,所述判断报文的长度是否大于阈值的步骤包括如下步骤 判断所述报文的类型; 如果所述报文的类型为网际控制信息协议报文,则判断所述报文的长度是否大于256字节; 如果所述报文的类型为用户数据报协议报文,则判断所述报文的长度是否大于I千字节。
6.一种防火墙,其特征在于,包括交换芯片、主处理芯片以及从处理芯片,其中,所述交换芯片耦接所述主处理芯片; 所述交换芯片用于从因特网接收报文,并判断所述报文的长度是否大于阈值,并在所述报文的长度大于阈值时,将所述长度大于阈值的报文镜像到从处理芯片; 所述从处理芯片用于接收长度超过阈值的报文,根据镜像到所述从处理芯片的所述长度大于阈值的报文的数量和频率判断是否受到攻击,并在受到攻击时,通过所述交换芯片对所述长度大于阈值的报文进行处理。
7.根据权利要求6所述的防火墙,其特征在于,所述交换芯片具体用于阻止向主处理芯片发送所述长度大于阈值的报文,或限制向所述主处理芯片发送所述长度大于阈值的报文的流量。
8.根据权利要求6-7任一权利要求所述的防火墙,其特征在于,所述交换芯片还用于在所述报文的长度小于或等于阈值时,将所述长度小于或等于阈值的报文发送给所述主处理芯片。
9.根据权利要求6所述的防火墙,其特征在于,所述交换芯片还用于在没有受到攻击或者攻击停止时,将接收到的所述报文发送给所述主处理芯片。
10.根据权利要求9所述的防火墙,其特征在于,所述从处理芯片还用于判断所述报文的类型,在所述报文的类型为网际控制信息协议报文时,判断所述报文的长度是否大于256字节;在所述报文的类型为用户数据报协议报文时,判断所述报文的长度是否大于I千字节。
11.根据权利要求6所述的防火墙,其特征在于,所述从处理芯片集成在所述交换芯片内。
12.根据权利要求6所述的防火墙,其特征在于,所述从处理芯片设置于所述交换芯片之外,所述从处理芯片耦接所述交换芯片。
全文摘要
本申请公开了一种防火墙以及防止网络攻击方法。其中,所述方法包括如下步骤从因特网接收报文,并判断报文的长度是否大于阈值;如果报文的长度大于阈值,则将长度大于阈值的报文镜像到从处理芯片;根据镜像到从处理芯片的长度大于阈值的报文的数量和频率判断是否受到攻击;如果受到攻击,则对长度大于阈值的报文进行处理。通过上述方法可以避免将大量的攻击报文向主处理芯片发送,从而保证主处理芯片具有足够的资源处理正常报文,保证防火墙正常进行业务转发。
文档编号H04L29/06GK103051612SQ20121053922
公开日2013年4月17日 申请日期2012年12月13日 优先权日2012年12月13日
发明者李雯 申请人:华为技术有限公司