專(zhuān)利名稱(chēng):防火墻及防止網(wǎng)絡(luò)攻擊方法
技術(shù)領(lǐng)域:
本申請(qǐng)涉及通信領(lǐng)域��,特別是涉及防火墻及防止網(wǎng)絡(luò)攻擊方法��。
背景技術(shù):
在網(wǎng)絡(luò)迅速發(fā)展的今天�����,網(wǎng)絡(luò)安全也成為一個(gè)越來(lái)越重要的問(wèn)題���。黑客通常利用僵尸網(wǎng)絡(luò)向被攻擊者發(fā)送大量的數(shù)據(jù)流�,造成被攻擊者鏈路擁塞��,資源耗盡�����,從而無(wú)法正常運(yùn)作����。在各種攻擊方法中���,帶寬型攻擊是其中一種常用的攻擊方法����,帶寬型攻擊主要是通過(guò)發(fā)送無(wú)狀態(tài)協(xié)議的大包來(lái)堵塞被攻擊者的鏈路,其中���,大包是指長(zhǎng)度遠(yuǎn)大于正常報(bào)文長(zhǎng)度的特殊報(bào)文?���,F(xiàn)有技術(shù)提供了一種防火墻��,防火墻包括交換芯片和處理芯片�����,其中�����,交換芯片接收到報(bào)文后����,將報(bào)文向處理芯片發(fā)送�����,處理芯片在接收到報(bào)文后�,根據(jù)網(wǎng)絡(luò)攻擊的防范策略進(jìn)行處理�����,從而實(shí)現(xiàn)阻止因特網(wǎng)對(duì)受保護(hù)網(wǎng)絡(luò)的攻擊��。但是����,由于交換芯片所接收到的報(bào)文都必須向處理芯片發(fā)送,在收到網(wǎng)絡(luò)攻擊時(shí)�����,大量的攻擊報(bào)文都一一向處理芯片發(fā)送����,將導(dǎo)致處理芯片的資源將被耗盡,正常的報(bào)文沒(méi)法通過(guò)處理芯片向目的地發(fā)送����,從而導(dǎo)致防火墻不能正常進(jìn)行業(yè)務(wù)轉(zhuǎn)發(fā)��。
發(fā)明內(nèi)容
本申請(qǐng)主要解決的技術(shù)問(wèn)題是提供防火墻及防止網(wǎng)絡(luò)攻擊方法���,能夠使防止主處理芯片收到攻擊影響,保證防火墻正常 進(jìn)行業(yè)務(wù)轉(zhuǎn)發(fā)�。為解決上述技術(shù)問(wèn)題���,本申請(qǐng)第一方面提供一種防止網(wǎng)絡(luò)攻擊方法�,所述方法包括如下步驟從因特網(wǎng)接收?qǐng)?bào)文�,并判斷所述報(bào)文的長(zhǎng)度是否大于閾值;如果所述報(bào)文的長(zhǎng)度大于閾值�,則將所述長(zhǎng)度大于閾值的報(bào)文鏡像到從處理芯片;根據(jù)鏡像到所述從處理芯片的所述長(zhǎng)度大于閾值的報(bào)文的數(shù)量和頻率判斷是否受到攻擊���;如果受到攻擊���,則對(duì)所述長(zhǎng)度大于閾值的報(bào)文進(jìn)行處理。結(jié)合第一方面�����,本申請(qǐng)的第一方面的第一種可能的實(shí)施方式中��,所述對(duì)所述長(zhǎng)度大于閾值的報(bào)文進(jìn)行處理包括如下步驟阻止向主處理芯片發(fā)送所述長(zhǎng)度大于閾值的報(bào)文,或限制向所述主處理芯片發(fā)送所述長(zhǎng)度大于閾值的報(bào)文的流量����。結(jié)合第一方面以及第一方面的第一種可能的實(shí)施方式,本申請(qǐng)的第二種可能的實(shí)施方式中�����,所述判斷報(bào)文的長(zhǎng)度是否大于閾值的步驟之后包括如下步驟如果所述報(bào)文的長(zhǎng)度小于或等于閾值���,則將所述長(zhǎng)度小于或等于閾值的報(bào)文發(fā)送給主處理芯片����。結(jié)合第一方面��,本申請(qǐng)第一方面的第二種可能的實(shí)施方式中�����,還包括如果沒(méi)有受到攻擊或者攻擊停止���,將接收到的所述報(bào)文發(fā)送給所述主處理芯片�����。結(jié)合第一方面��,本申請(qǐng)第一方面的第三種可能的實(shí)施方式中�,所述判斷報(bào)文的長(zhǎng)度是否大于閾值的步驟包括如下步驟判斷所述報(bào)文的類(lèi)型;如果所述報(bào)文的類(lèi)型為網(wǎng)際控制信息協(xié)議報(bào)文����,則判斷所述報(bào)文的長(zhǎng)度是否大于256字節(jié);如果所述報(bào)文的類(lèi)型為用戶數(shù)據(jù)報(bào)協(xié)議報(bào)文��,則判斷所述報(bào)文的長(zhǎng)度是否大于I千字節(jié)����。
為解決上述技術(shù)問(wèn)題�,本申請(qǐng)第二方面還提供一種防火墻,包括交換芯片���、主處理芯片以及從處理芯片����,其中�,所述交換芯片耦接所述主處理芯片;所述交換芯片用于從因特網(wǎng)接收?qǐng)?bào)文,并判斷所述報(bào)文的長(zhǎng)度是否大于閾值�����,并在所述報(bào)文的長(zhǎng)度大于閾值時(shí)�����,將所述長(zhǎng)度大于閾值的報(bào)文鏡像到從處理芯片�;所述從處理芯片用于接收長(zhǎng)度超過(guò)閾值的報(bào)文,根據(jù)鏡像到所述從處理芯片的所述長(zhǎng)度大于閾值的報(bào)文的數(shù)量和頻率判斷是否受到攻擊���,并在受到攻擊時(shí)�,通過(guò)所述交換芯片對(duì)所述長(zhǎng)度大于閾值的報(bào)文進(jìn)行處理�。結(jié)合第二方面,本申請(qǐng)的第二方面的第一種可能的實(shí)施方式中�,所述交換芯片具體用于阻止向主處理芯片發(fā)送所述長(zhǎng)度大于閾值的報(bào)文,或限制向所述主處理芯片發(fā)送所述長(zhǎng)度大于閾值的報(bào)文的流量����。結(jié)合第二方面以及第二方面的第一種可能的實(shí)施方式,本申請(qǐng)的第二種可能的實(shí)施方式中���,所述交換芯片還用于在所述報(bào)文的長(zhǎng)度小于或等于閾值時(shí)����,將所述長(zhǎng)度小于或等于閾值的報(bào)文發(fā)送給所述主處理芯片。結(jié)合第二方面���,本申請(qǐng)第二方面的第二種可能的實(shí)施方式中�,所述交換芯片還用于在沒(méi)有受到攻擊或者攻擊停止時(shí)���,將接收到的所述報(bào)文發(fā)送給所述主處理芯片����。結(jié)合第二方面���,本申請(qǐng)第二方面的第三種可能的實(shí)施方式中�,所述從處理芯片還用于判斷所述報(bào)文的類(lèi)型��,在所述報(bào)文的類(lèi)型為網(wǎng)際控制信息協(xié)議報(bào)文時(shí)�,判斷所述報(bào)文的長(zhǎng)度是否大于256字節(jié)���;在所述報(bào)文的類(lèi)型為用戶數(shù)據(jù)報(bào)協(xié)議報(bào)文時(shí)�����,判斷所述報(bào)文的長(zhǎng)度是否大于I千字節(jié)����。結(jié)合第二方面,本申請(qǐng)第二方面的第四種可能的實(shí)施方式中�,所述從處理芯片集成在所述交換芯片內(nèi)。結(jié)合第二方面����,本申請(qǐng)第二方面的第五種可能的實(shí)施方式中,所述從處理芯片設(shè)置于所述交換芯片之外��,所述從處理芯片耦接所述交換芯片�。防火墻通過(guò)設(shè)置了 主、從處理芯片�����,并在報(bào)文的長(zhǎng)度大于閾值時(shí)���,將報(bào)文鏡像到從處理芯片���,從處理芯片判斷是否受到攻擊,并在受到攻擊時(shí)��,通知交換芯片阻止長(zhǎng)度超過(guò)閾值的報(bào)文向主處理芯片發(fā)送,或通知交換芯片限制長(zhǎng)度超過(guò)閾值的報(bào)文通過(guò)主處理芯片的流量�����,可以避免將大量的攻擊報(bào)文向主處理芯片發(fā)送��,從而保證主處理芯片具有足夠的資源處理正常報(bào)文�,保證防火墻正常進(jìn)行業(yè)務(wù)轉(zhuǎn)發(fā)。
圖1是本申請(qǐng)防止網(wǎng)絡(luò)攻擊方法一實(shí)施方式的流程圖���;圖2是本申請(qǐng)防止網(wǎng)絡(luò)攻擊方法另一實(shí)施方式的流程圖��;圖3是本申請(qǐng)防火墻一實(shí)施方式的結(jié)構(gòu)示意圖��。
具體實(shí)施例方式以下描述中�����,為了說(shuō)明而不是為了限定��,提出了諸如特定系統(tǒng)結(jié)構(gòu)、接口���、技術(shù)之類(lèi)的具體細(xì)節(jié)��,以便透徹理解本申請(qǐng)����。然而,本領(lǐng)域的技術(shù)人員應(yīng)當(dāng)清楚�,在沒(méi)有這些具體細(xì)節(jié)的其它實(shí)施方式中也可以實(shí)現(xiàn)本申請(qǐng)。在其它情況中����,省略對(duì)眾所周知的裝置、電路以及方法的詳細(xì)說(shuō)明��,以免不必要的細(xì)節(jié)妨礙本申請(qǐng)的描述�。參閱圖1,圖1是本申請(qǐng)防止網(wǎng)絡(luò)攻擊方法一實(shí)施方式的流程圖�。本實(shí)施方式的防止網(wǎng)絡(luò)攻擊方法包括SlOl :防火墻中的交換芯片從因特網(wǎng)接收?qǐng)?bào)文,并判斷報(bào)文的長(zhǎng)度是否大于閾值�。從因特網(wǎng)傳輸過(guò)來(lái)的報(bào)文首先會(huì)發(fā)送給防火墻,防火墻中的交換芯片接收到從因特網(wǎng)傳輸過(guò)來(lái)的報(bào)文后�����,判斷報(bào)文的長(zhǎng)度是否大于閾值���。由于帶寬型攻擊主要是通過(guò)發(fā)送無(wú)狀態(tài)協(xié)議的大包來(lái)堵塞被攻擊者的鏈路���,所以如果一旦發(fā)現(xiàn)報(bào)文的長(zhǎng)度大于閾值時(shí)�����,則該報(bào)文可能是攻擊報(bào)文���,需要進(jìn)一步進(jìn)行判斷。因此���,如果報(bào)文的長(zhǎng)度大于閾值�,進(jìn)入步驟S102���。S102 :防火墻中的交換芯片將報(bào)文鏡像到從處理芯片�����。在報(bào)文的長(zhǎng)度大于閾值時(shí)���,防火墻中的交換芯片將報(bào)文鏡像到從處理芯片,以供從處理芯片進(jìn)行進(jìn)一步的判斷����,同時(shí),交換芯片繼續(xù)將報(bào)文向主處理芯片發(fā)送�����。S103:防火墻中的從處理芯片根據(jù)鏡像到從處理芯片的報(bào)文的數(shù)量和頻率判斷是否受到攻擊���。從處理芯片在接收到交換芯片所鏡像的報(bào)文后����,統(tǒng)計(jì)交換芯片所發(fā)過(guò)來(lái)的復(fù)制的報(bào)文的數(shù)量和頻率�,并通過(guò)發(fā)送給從處理芯片的報(bào)文的數(shù)量和頻率判斷是否受到到攻擊。如果遭受到了攻擊�,進(jìn)入步驟S104。S104:防火墻中的交換芯片阻止將長(zhǎng)度超過(guò)閾值的報(bào)文向主處理芯片發(fā)送�����,或限制長(zhǎng)度超過(guò)閾值的報(bào)文通過(guò)所述主處理芯片的流量�����。在受到了攻擊的情 況下�����,從處理芯片通知交換芯片阻止將長(zhǎng)度超過(guò)閾值的報(bào)文向主處理芯片發(fā)送,或通知交換芯片限制長(zhǎng)度超過(guò)閾值的報(bào)文通過(guò)主處理芯片的流量�,以防止將過(guò)多的攻擊報(bào)文向主處理芯片發(fā)送,導(dǎo)致主處理芯片資源被耗盡����,從而保證主處理芯片具有足夠的資源處理正常報(bào)文。防火墻通過(guò)設(shè)置了主���、從處理芯片�,并在報(bào)文的長(zhǎng)度大于閾值時(shí)��,將報(bào)文鏡像到從處理芯片����,從處理芯片判斷是否受到攻擊,并在受到攻擊時(shí)�����,通知交換芯片阻止長(zhǎng)度超過(guò)閾值的報(bào)文向主處理芯片發(fā)送���,或通知交換芯片限制長(zhǎng)度超過(guò)閾值的報(bào)文通過(guò)主處理芯片的流量�����,可以避免將大量的攻擊報(bào)文向主處理芯片發(fā)送��,從而保證主處理芯片具有足夠的資源處理正常報(bào)文��,保證防火墻正常進(jìn)行業(yè)務(wù)轉(zhuǎn)發(fā)���。參閱圖2,圖2是本申請(qǐng)防止網(wǎng)絡(luò)攻擊方法另一實(shí)施方式的流程圖����。本實(shí)施方式的防止網(wǎng)絡(luò)攻擊方法包括S201 :防火墻的交換芯片從因特網(wǎng)接收?qǐng)?bào)文,并判斷報(bào)文的類(lèi)型���。從因特網(wǎng)傳輸過(guò)來(lái)的報(bào)文首先被發(fā)送到防火墻���,交換芯片在接收到報(bào)文后,對(duì)報(bào)文的類(lèi)型進(jìn)行判斷�。如,判斷報(bào)文的類(lèi)型是網(wǎng)際控制信息協(xié)議報(bào)文(ICM��,InternetControl Message Protocol)還是用戶數(shù)據(jù)報(bào)協(xié)議報(bào)文(UDP, User Datagram Protocol)��。S202 :防火墻的交換芯片判斷報(bào)文的長(zhǎng)度是否大于閾值。在判斷完報(bào)文的類(lèi)型后��,防火墻的交換芯片根據(jù)報(bào)文的類(lèi)型判斷報(bào)文的長(zhǎng)度是否大于閾值���。例如�����,如果報(bào)文的類(lèi)型為網(wǎng)際控制信息協(xié)議報(bào)文���,則判斷報(bào)文的長(zhǎng)度是否大于256字節(jié),如果大于256字節(jié)�����,則判斷報(bào)文的長(zhǎng)度大于閾值�����,反之���,則判斷報(bào)文的長(zhǎng)度小于或等于閾值���。如果報(bào)文的類(lèi)型為用戶數(shù)據(jù)報(bào)協(xié)議報(bào)文�,則判斷報(bào)文的長(zhǎng)度是否大于I千字節(jié)�����。如果大于I千字節(jié)���,則判斷報(bào)文的長(zhǎng)度大于閾值����,反之����,則判斷報(bào)文的長(zhǎng)度小于或等于閾值���。由于帶寬型攻擊主要是通過(guò)發(fā)送無(wú)狀態(tài)協(xié)議的大包來(lái)堵塞被攻擊者的鏈路�,所以如果一旦發(fā)現(xiàn)報(bào)文的長(zhǎng)度大于閾值時(shí)���,則該報(bào)文可能是攻擊報(bào)文�����,需要進(jìn)一步進(jìn)行判斷���。因此�,如果報(bào)文的長(zhǎng)度小于或等于閾值����,進(jìn)入步驟S203,如果報(bào)文的長(zhǎng)度大于閾值����,則進(jìn)入步驟 S204。S203 :防火墻的交換芯片將報(bào)文向主處理芯片發(fā)送�。在報(bào)文的長(zhǎng)度小于或等于閾值時(shí),認(rèn)為報(bào)文是非帶寬型攻擊的報(bào)文�����,不需要從處理芯片進(jìn)行進(jìn)一步的判斷��,于是�����,防火墻的交換芯片僅將報(bào)文向主處理芯片發(fā)送以供主處理芯片進(jìn)行正常的業(yè)務(wù)處理���,而不會(huì)將報(bào)文鏡像到從處理芯片��。S204 :防火墻的交換芯片將報(bào)文鏡像到從處理芯片���。在報(bào)文的長(zhǎng)度大于閾值時(shí)�����,防火墻中的交換芯片將報(bào)文并鏡像到從處理芯片�,以供從處理芯片進(jìn)行進(jìn)一步的判斷�����,在未確認(rèn)是否受到攻擊前�,交換芯片繼續(xù)將報(bào)文向主處理芯片發(fā)送�。S205:防火墻的從處理芯片根據(jù)鏡像到從處理芯片的報(bào)文的數(shù)量和頻率判斷是否受到攻擊?����!奶幚硇酒诮邮盏浇粨Q芯片所鏡像的報(bào)文后��,統(tǒng)計(jì)交換芯片所發(fā)過(guò)來(lái)的鏡像后的報(bào)文的數(shù)量和頻率���,并根據(jù)鏡像到從處理芯片的報(bào)文的數(shù)量和頻率判斷是否受到攻擊��。如果受到了攻擊��,進(jìn)入步驟S206����,反之,則進(jìn)入步驟S207�。S206:防火墻的交換芯片阻止向主處理芯片發(fā)送長(zhǎng)度大于閾值的報(bào)文,或限制向主處理芯片發(fā)送長(zhǎng)度大于閾值的報(bào)文的流量��。在受到攻擊時(shí)�����,從處理芯片通知交換芯片將長(zhǎng)度超過(guò)閾值的報(bào)文向主處理芯片發(fā)送���,或通知交換芯片限制長(zhǎng)度超過(guò)閾值的報(bào)文通過(guò)主處理芯片的流量��,以防止大量的攻擊報(bào)文被發(fā)送到主處理芯片��,耗盡主處理芯片的資源����,影響主處理芯片進(jìn)行正常業(yè)務(wù)處理�����。S207 :防火墻的交換芯片將接收到的報(bào)文發(fā)送給主處理芯片。在沒(méi)有遭到攻擊或攻擊已經(jīng)停止的情況下�,交換芯片將接收到的報(bào)文都發(fā)送給主處理芯片。即����,在沒(méi)有遭到攻擊或攻擊已經(jīng)停止的情況下,交換芯片會(huì)將正常的報(bào)文和交換芯片偶然間接收到的一些長(zhǎng)度超過(guò)閾值的報(bào)文都向主處理芯片發(fā)送��,此時(shí)���,不會(huì)對(duì)主處理芯片造成不良影響����。防火墻通過(guò)設(shè)置了主��、從處理芯片����,并在報(bào)文的長(zhǎng)度大于閾值時(shí)���,將報(bào)文鏡像到從處理芯片���,從處理芯片判斷是否受到攻擊��,并在受到攻擊時(shí)����,通知交換芯片阻止長(zhǎng)度超過(guò)閾值的報(bào)文向主處理芯片發(fā)送����,或通知交換芯片限制長(zhǎng)度超過(guò)閾值的報(bào)文通過(guò)主處理芯片的流量,可以避免將大量的攻擊報(bào)文向主處理芯片發(fā)送�,從而保證主處理芯片具有足夠的資源處理正常報(bào)文,保證防火墻正常進(jìn)行業(yè)務(wù)轉(zhuǎn)發(fā)�。參閱圖3,圖3是本申請(qǐng)防火墻一實(shí)施方式的結(jié)構(gòu)示意圖����。本實(shí)施方式的防火墻320包括交換芯片321、從處理芯片322以及主處理芯片323��。其中��,此時(shí)��,從處理芯片322設(shè)置于交換芯片321之外�����,交換芯片321分別耦接從處理芯片322以及主處理芯片323。交換芯片321用于從因特網(wǎng)310接收?qǐng)?bào)文�����,判斷報(bào)文的類(lèi)型�����,根據(jù)報(bào)文的類(lèi)型判斷報(bào)文的長(zhǎng)度是否大于閾值��,并在報(bào)文的長(zhǎng)度大于閾值時(shí)����,將報(bào)文鏡像到從處理芯片322。比如�,從因特網(wǎng)310傳輸過(guò)來(lái)的報(bào)文首先被發(fā)送到防火墻320,交換芯片321在接收到報(bào)文后��,對(duì)報(bào)文的類(lèi)型進(jìn)行判斷����,判斷報(bào)文的類(lèi)型是網(wǎng)際控制信息協(xié)議報(bào)文還是用戶數(shù)據(jù)報(bào)協(xié)議報(bào)文����。如果報(bào)文的類(lèi)型為網(wǎng)際控制信息協(xié)議報(bào)文�,則判斷報(bào)文的長(zhǎng)度是否大于256字節(jié)����,如果大于256字節(jié),則判斷報(bào)文的長(zhǎng)度大于閾值�,反之,則判斷報(bào)文的長(zhǎng)度小于或等于閾值�。如果報(bào)文的類(lèi)型為用戶數(shù)據(jù)報(bào)協(xié)議報(bào)文,則判斷報(bào)文的長(zhǎng)度是否大于I千字節(jié)���。如果大于I千字節(jié)�,則判斷報(bào)文的長(zhǎng)度大于閾值�����,反之����,則判斷報(bào)文的長(zhǎng)度小于或等于閾值。由于帶寬型攻擊主要是通過(guò)發(fā)送無(wú)狀態(tài)協(xié)議的大包來(lái)堵塞被攻擊者的鏈路���,所以如果一旦發(fā)現(xiàn)報(bào)文的長(zhǎng)度大于閾值時(shí)�,則該報(bào)文可能是攻擊報(bào)文,需要進(jìn)一步進(jìn)行判斷���。所以�,在報(bào)文的長(zhǎng)度大于閾值時(shí)���,交換芯片321將報(bào)文鏡像到從處理芯片322����,以供從處理芯片322進(jìn)行進(jìn)一步的判斷���,在未確認(rèn)是否受到攻擊前�,交換芯片321繼續(xù)將報(bào)文向主處理芯片323發(fā)送�����。在報(bào)文的長(zhǎng)度小于或等于閾值時(shí)���,交換芯片321認(rèn)為報(bào)文是非帶寬型攻擊的報(bào)文���,不需要從處理芯片322進(jìn)行進(jìn)一步的判斷���,于是����,防火墻的交換芯片321僅將報(bào)文向主處理芯片323發(fā)送以供主處理芯片323進(jìn)行正常的業(yè)務(wù)處理,而不會(huì)將報(bào)文鏡像到從處理芯片322�����。從處理芯片322用于接收長(zhǎng)度超過(guò)閾值的報(bào)文��,并通過(guò)發(fā)送給從處理芯片322的報(bào)文的數(shù)量和頻率判斷是否受到攻擊�,并在受到攻擊時(shí),通知交換芯片321阻止將長(zhǎng)度超過(guò)閾值的報(bào)文向主處理芯片323發(fā)送��,或通知交換芯片321限制長(zhǎng)度超過(guò)閾值的報(bào)文通過(guò)主處理芯片323的流量。比如�����,從處理芯片322在接收到交換芯片321所鏡像的報(bào)文后��,統(tǒng)計(jì)交換芯片321所發(fā)過(guò)來(lái)的復(fù)制的報(bào)文的數(shù)量和頻率���,并通過(guò)發(fā)送給從處理芯片322的報(bào)文的數(shù)量和頻率判斷是否受到攻擊�。在受到攻擊時(shí)���,從處理芯片322通知交換芯片321將長(zhǎng)度超過(guò)閾值的報(bào)文向主處理芯片323發(fā)送����,或通知交換芯片321限制長(zhǎng)度超過(guò)閾值的報(bào)文通過(guò)主處理芯片323的流量��,以防止將過(guò)多的攻擊報(bào)文向主處理芯片323發(fā)送��,導(dǎo)致主處理芯片323資源被耗盡���,從而保證主處理芯片323具有足夠的資源處理正常報(bào)文�,將正常報(bào)文發(fā)送給保護(hù)用戶330�����。在沒(méi)有遭到攻擊或攻擊已經(jīng)停止的情況下�����,交換芯片321將接收到的報(bào)文都發(fā)送給主處理芯片323�。即,在沒(méi)有遭到攻擊或攻擊已經(jīng)停止的情況下�,交換芯片321會(huì)將正常的報(bào)文和交換芯片偶然間接收到的一些長(zhǎng)度超過(guò)閾值的報(bào)文都向主處理芯片323發(fā)送���,此時(shí),不會(huì)對(duì)主處理芯片323造成不良影響�。在另一實(shí)施方式中,從處理芯片322可以集成在交換芯片321內(nèi)�����,此時(shí)�,交換芯片321耦接主處理芯片323���。從處理芯片322的位置的設(shè)置不影響具體功能的執(zhí)行����,因而�����,本實(shí)施方式與上一實(shí)施方式基本相同�����,`此處不重復(fù)贅述����。防火墻通過(guò)設(shè)置了主��、從處理芯片�,并在報(bào)文的長(zhǎng)度大于閾值時(shí)�,將報(bào)文鏡像到從處理芯片,從處理芯片判斷是否受到攻擊����,并在受到攻擊時(shí),通知交換芯片阻止長(zhǎng)度超過(guò)閾值的報(bào)文向主處理芯片發(fā)送��,或通知交換芯片限制長(zhǎng)度超過(guò)閾值的報(bào)文通過(guò)主處理芯片的流量����,可以避免將大量的攻擊報(bào)文向主處理芯片發(fā)送,從而保證主處理芯片具有足夠的資源處理正常報(bào)文��,保證防火墻正常進(jìn)行業(yè)務(wù)轉(zhuǎn)發(fā)�����。在本申請(qǐng)所提供的幾個(gè)實(shí)施方式中����,應(yīng)該理解到�����,所揭露的系統(tǒng)�����,裝置和方法�,可以通過(guò)其它的方式實(shí)現(xiàn)���。例如,以上所描述的裝置實(shí)施方式僅僅是示意性的�����,例如���,所述模塊或單元的劃分��,僅僅為一種邏輯功能劃分�����,實(shí)際實(shí)現(xiàn)時(shí)可以有另外的劃分方式���,例如多個(gè)單元或組件可以結(jié)合或者可以集成到另一個(gè)系統(tǒng)�����,或一些特征可以忽略��,或不執(zhí)行�。另一點(diǎn)����,所顯示或討論的相互之間的耦合或直接耦合或通信連接可以是通過(guò)一些接口,裝置或單元的間接耦合或通信連接���,可以是電性���,機(jī)械或其它的形式。所述作為分離部件說(shuō)明的單元可以是或者也可以不是物理上分開(kāi)的��,作為單元顯示的部件可以是或者也可以不是物理單元�,即可以位于一個(gè)地方,或者也可以分布到多個(gè)網(wǎng)絡(luò)單元上�。可以根據(jù)實(shí)際的需要選擇其中的部分或者全部單元來(lái)實(shí)現(xiàn)本實(shí)施方式方案的目的。另外��,在本申請(qǐng)各個(gè)實(shí)施方式中的各功能單元可以集成在一個(gè)處理單元中���,也可以是各個(gè)單元單獨(dú)物理存在����,也可以兩個(gè)或兩個(gè)以上單元集成在一個(gè)單元中����。上述集成的單元既可以采用硬件的形式實(shí)現(xiàn),也可以采用軟件功能單元的形式實(shí)現(xiàn)���。所述集成的單元如果以軟件功能單元的形式實(shí)現(xiàn)并作為獨(dú)立的產(chǎn)品銷(xiāo)售或使用時(shí)���,可以存儲(chǔ)在一個(gè)計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中���?���;谶@樣的理解��,本申請(qǐng)的技術(shù)方案本質(zhì)上或者說(shuō)對(duì)現(xiàn)有技術(shù)做出貢獻(xiàn)的部分或者該技術(shù)方案的全部或部分可以以軟件產(chǎn)品的形式體現(xiàn)出來(lái)��,該計(jì)算機(jī)軟件產(chǎn)品存儲(chǔ)在一個(gè)存儲(chǔ)介質(zhì)中,包括若干指令用以使得一臺(tái)計(jì)算機(jī)設(shè)備(可以是個(gè)人計(jì)算機(jī)��,服務(wù)器��,或者網(wǎng)絡(luò)設(shè)備等)或處理器(processor)執(zhí)行本申請(qǐng)各個(gè)實(shí)施方式所述方法的全部或部分步驟�����。而前述 的存儲(chǔ)介質(zhì)包括U盤(pán)����、移動(dòng)硬盤(pán)、只讀存儲(chǔ)器(ROM, Read-Only Memory)����、隨機(jī)存取存儲(chǔ)器(RAM, Random Access Memory)、磁碟或者光盤(pán)等各種可以存儲(chǔ)程序代碼的介質(zhì)��。
權(quán)利要求
1.一種防止網(wǎng)絡(luò)攻擊的方法��,其特征在于���,所述方法包括如下步驟 從因特網(wǎng)接收?qǐng)?bào)文�,并判斷所述報(bào)文的長(zhǎng)度是否大于閾值; 如果所述報(bào)文的長(zhǎng)度大于閾值�,則將所述長(zhǎng)度大于閾值的報(bào)文鏡像到從處理芯片;根據(jù)鏡像到所述從處理芯片的所述長(zhǎng)度大于閾值的報(bào)文的數(shù)量和頻率判斷是否受到攻擊���; 如果受到攻擊�,則對(duì)所述長(zhǎng)度大于閾值的報(bào)文進(jìn)行處理��。
2.根據(jù)權(quán)利要求1所述的方法����,其特征在于,所述對(duì)所述長(zhǎng)度大于閾值的報(bào)文進(jìn)行處理包括如下步驟 阻止向主處理芯片發(fā)送所述長(zhǎng)度大于閾值的報(bào)文����,或限制向所述主處理芯片發(fā)送所述長(zhǎng)度大于閾值的報(bào)文的流量。
3.根據(jù)權(quán)利要求1-2任一權(quán)利要求所述的方法�,其特征在于,所述判斷報(bào)文的長(zhǎng)度是否大于閾值的步驟之后包括如下步驟 如果所述報(bào)文的長(zhǎng)度小于或等于閾值�����,則將所述長(zhǎng)度小于或等于閾值的報(bào)文發(fā)送給主處理芯片����。
4.根據(jù)權(quán)利要求1所述的方法,其特征在于����,還包括如果沒(méi)有受到攻擊或者攻擊停止,將接收到的所述報(bào)文發(fā)送給所述主處理芯片���。
5.根據(jù)權(quán)利要求4所述的方法����,其特征在于���,所述判斷報(bào)文的長(zhǎng)度是否大于閾值的步驟包括如下步驟 判斷所述報(bào)文的類(lèi)型��; 如果所述報(bào)文的類(lèi)型為網(wǎng)際控制信息協(xié)議報(bào)文����,則判斷所述報(bào)文的長(zhǎng)度是否大于256字節(jié)�; 如果所述報(bào)文的類(lèi)型為用戶數(shù)據(jù)報(bào)協(xié)議報(bào)文,則判斷所述報(bào)文的長(zhǎng)度是否大于I千字節(jié)����。
6.一種防火墻,其特征在于���,包括交換芯片����、主處理芯片以及從處理芯片,其中�����,所述交換芯片耦接所述主處理芯片���; 所述交換芯片用于從因特網(wǎng)接收?qǐng)?bào)文�����,并判斷所述報(bào)文的長(zhǎng)度是否大于閾值��,并在所述報(bào)文的長(zhǎng)度大于閾值時(shí)�,將所述長(zhǎng)度大于閾值的報(bào)文鏡像到從處理芯片�; 所述從處理芯片用于接收長(zhǎng)度超過(guò)閾值的報(bào)文,根據(jù)鏡像到所述從處理芯片的所述長(zhǎng)度大于閾值的報(bào)文的數(shù)量和頻率判斷是否受到攻擊����,并在受到攻擊時(shí)����,通過(guò)所述交換芯片對(duì)所述長(zhǎng)度大于閾值的報(bào)文進(jìn)行處理��。
7.根據(jù)權(quán)利要求6所述的防火墻����,其特征在于�,所述交換芯片具體用于阻止向主處理芯片發(fā)送所述長(zhǎng)度大于閾值的報(bào)文,或限制向所述主處理芯片發(fā)送所述長(zhǎng)度大于閾值的報(bào)文的流量����。
8.根據(jù)權(quán)利要求6-7任一權(quán)利要求所述的防火墻,其特征在于���,所述交換芯片還用于在所述報(bào)文的長(zhǎng)度小于或等于閾值時(shí)��,將所述長(zhǎng)度小于或等于閾值的報(bào)文發(fā)送給所述主處理芯片�����。
9.根據(jù)權(quán)利要求6所述的防火墻���,其特征在于,所述交換芯片還用于在沒(méi)有受到攻擊或者攻擊停止時(shí)��,將接收到的所述報(bào)文發(fā)送給所述主處理芯片。
10.根據(jù)權(quán)利要求9所述的防火墻���,其特征在于����,所述從處理芯片還用于判斷所述報(bào)文的類(lèi)型��,在所述報(bào)文的類(lèi)型為網(wǎng)際控制信息協(xié)議報(bào)文時(shí)���,判斷所述報(bào)文的長(zhǎng)度是否大于256字節(jié)�����;在所述報(bào)文的類(lèi)型為用戶數(shù)據(jù)報(bào)協(xié)議報(bào)文時(shí)��,判斷所述報(bào)文的長(zhǎng)度是否大于I千字節(jié)���。
11.根據(jù)權(quán)利要求6所述的防火墻,其特征在于�,所述從處理芯片集成在所述交換芯片內(nèi)。
12.根據(jù)權(quán)利要求6所述的防火墻���,其特征在于�����,所述從處理芯片設(shè)置于所述交換芯片之外�����,所述從處理芯片耦接所述交換芯片�。
全文摘要
本申請(qǐng)公開(kāi)了一種防火墻以及防止網(wǎng)絡(luò)攻擊方法����。其中,所述方法包括如下步驟從因特網(wǎng)接收?qǐng)?bào)文��,并判斷報(bào)文的長(zhǎng)度是否大于閾值�����;如果報(bào)文的長(zhǎng)度大于閾值���,則將長(zhǎng)度大于閾值的報(bào)文鏡像到從處理芯片����;根據(jù)鏡像到從處理芯片的長(zhǎng)度大于閾值的報(bào)文的數(shù)量和頻率判斷是否受到攻擊�;如果受到攻擊�,則對(duì)長(zhǎng)度大于閾值的報(bào)文進(jìn)行處理�����。通過(guò)上述方法可以避免將大量的攻擊報(bào)文向主處理芯片發(fā)送�����,從而保證主處理芯片具有足夠的資源處理正常報(bào)文�,保證防火墻正常進(jìn)行業(yè)務(wù)轉(zhuǎn)發(fā)。
文檔編號(hào)H04L29/06GK103051612SQ20121053922
公開(kāi)日2013年4月17日 申請(qǐng)日期2012年12月13日 優(yōu)先權(quán)日2012年12月13日
發(fā)明者李雯 申請(qǐng)人:華為技術(shù)有限公司