提升防火墻處理性能的方法及系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)領(lǐng)域�����,具體涉及一種提升防火墻處理性能的方法及系統(tǒng)���。
【背景技術(shù)】
[0002]當(dāng)前�����,網(wǎng)絡(luò)在人們的生活中占據(jù)著舉足輕重的地位�,足不出戶就可通過網(wǎng)絡(luò)進(jìn)行購物���、聊天��、理財(cái)�,還可預(yù)定飯店����、車票、賓館等�����,甚至還可進(jìn)行家庭工作。在享受互聯(lián)網(wǎng)給我們?nèi)粘I顜淼谋憷耐瑫r(shí)����,也給網(wǎng)絡(luò)攻擊者更多的可乘之機(jī)����,給我們的財(cái)產(chǎn)安全造成損失。
[0003]分布式拒絕服務(wù)攻擊(Distributed Denial of Service�,DDoS)是當(dāng)前網(wǎng)絡(luò)環(huán)境中威脅最大的攻擊之一,其攻擊目標(biāo)主要是針對服務(wù)器或者大型網(wǎng)站����。它主要是通過一些惡意手段使目標(biāo)服務(wù)器的處理器達(dá)到滿載,從而耗盡服務(wù)器的資源�,進(jìn)而使計(jì)算機(jī)用戶無法實(shí)現(xiàn)對服務(wù)器的正常訪問。
[0004]目前�,很多防火墻(Firewall)都提供抗網(wǎng)絡(luò)攻擊的服務(wù),此類防火墻通過開啟防火墻的網(wǎng)絡(luò)攻擊檢測功能來避免服務(wù)器受到DDoS攻擊�����。然而��,現(xiàn)有技術(shù)中的防火墻通常是一直開啟著抗DDoS攻擊功能�����,該抗DDoS攻擊功能一旦開啟,則會對計(jì)算機(jī)中所有進(jìn)來的數(shù)據(jù)包逐一進(jìn)行攻擊檢測�����,這樣會降低防火墻的處理性能����,導(dǎo)致防火墻轉(zhuǎn)發(fā)數(shù)據(jù)包的速率下降。
【發(fā)明內(nèi)容】
[0005]本發(fā)明的目的在于提供一種提升防火墻處理性能的方法�,該方法根據(jù)實(shí)時(shí)監(jiān)測到的防火墻的連接表項(xiàng)數(shù)量的變化幅度,將其與預(yù)先設(shè)置的閾值相比較��,以確定當(dāng)前網(wǎng)絡(luò)環(huán)境中是否存在攻擊威脅�,并相應(yīng)地確定是否需要開啟或關(guān)閉防火墻的抗網(wǎng)絡(luò)攻擊功能,從而提升防火墻的性能及轉(zhuǎn)發(fā)數(shù)據(jù)包的速率���。
[0006]本發(fā)明的另一目的在于提供一種提升防火墻處理性能的系統(tǒng)�����,該系統(tǒng)根據(jù)實(shí)時(shí)監(jiān)測到的防火墻的連接表項(xiàng)數(shù)量的變化幅度�,將其與預(yù)先設(shè)置的閾值相比較,以確定當(dāng)前網(wǎng)絡(luò)環(huán)境中是否存在攻擊威脅�����,并相應(yīng)地確定是否需要開啟或關(guān)閉防火墻的抗網(wǎng)絡(luò)攻擊功能�,從而提升防火墻的性能及轉(zhuǎn)發(fā)數(shù)據(jù)包的速率。
[0007]根據(jù)本發(fā)明的一個(gè)方面�,提供一種提升防火墻處理性能的方法,包括如下步驟:配置一用以判別網(wǎng)絡(luò)環(huán)境是否存在網(wǎng)絡(luò)攻擊的表項(xiàng)數(shù)量閾值;獲取防火墻所存在的連接表項(xiàng)數(shù)量的變化幅度;根據(jù)所述連接表項(xiàng)數(shù)量的變化幅度與所述表項(xiàng)數(shù)量閾值的比較結(jié)果�,判定當(dāng)前網(wǎng)絡(luò)環(huán)境中是否存在網(wǎng)絡(luò)攻擊威脅;其中,若當(dāng)前網(wǎng)絡(luò)環(huán)境中存在網(wǎng)絡(luò)攻擊威脅���,則開啟所述防火墻的抗網(wǎng)絡(luò)攻擊功能以對進(jìn)入防火墻的流量進(jìn)行攻擊檢測;若當(dāng)前網(wǎng)絡(luò)環(huán)境中不存在網(wǎng)絡(luò)攻擊威脅,則關(guān)閉所述防火墻的抗網(wǎng)絡(luò)攻擊功能�。
[0008]作為本發(fā)明進(jìn)一步的改進(jìn),所述“獲取防火墻所存在的連接表項(xiàng)數(shù)量的變化幅度”的步驟具體包括:防火墻每隔tl時(shí)間對連接表項(xiàng)數(shù)量進(jìn)行一次統(tǒng)計(jì);防火墻每隔t2時(shí)間計(jì)算該時(shí)間間隔內(nèi)所統(tǒng)計(jì)到連接表項(xiàng)數(shù)量的平均值Ma�����,其中Ma = (S1+S2+.._+Sn)/η; t2 = η*tl;將本次統(tǒng)計(jì)到的連接表項(xiàng)數(shù)量的平均值Ma與上一個(gè)t2時(shí)間所統(tǒng)計(jì)到的連接表項(xiàng)數(shù)量的平均值Mb進(jìn)行比較��,獲取兩個(gè)平均值之間的差值�。
[0009]作為本發(fā)明進(jìn)一步的改進(jìn),所述“根據(jù)所述連接表項(xiàng)數(shù)量的變化幅度與所述表項(xiàng)數(shù)量閾值的比較結(jié)果�,確定當(dāng)前網(wǎng)絡(luò)環(huán)境中是否存在網(wǎng)絡(luò)攻擊威脅”的步驟具體包括:若本次統(tǒng)計(jì)到的連接表項(xiàng)數(shù)量的平均值Ma大于上一個(gè)t2時(shí)間所統(tǒng)計(jì)到的連接表項(xiàng)數(shù)量的平均值Mb,并且兩個(gè)平均值之間的差值大于所述表項(xiàng)數(shù)量閾值,則判定當(dāng)前網(wǎng)絡(luò)環(huán)境存在DDoS攻擊威脅;若本次統(tǒng)計(jì)到的連接表項(xiàng)數(shù)量的平均值Ma小于上一個(gè)t2時(shí)間所統(tǒng)計(jì)到的連接表項(xiàng)數(shù)量的平均值Mb��,并且兩個(gè)平均值之間的差值大于所述表項(xiàng)數(shù)量閾值���,則判定當(dāng)前網(wǎng)絡(luò)環(huán)境不存在DDoS攻擊威脅���。
[00? 0] 作為本發(fā)明進(jìn)一步的改進(jìn),所述11 = lOmin��,所述t2 = 60min����,所述表項(xiàng)數(shù)量閾值設(shè)定為50。
[0011]作為本發(fā)明進(jìn)一步的改進(jìn)�,所述方法還具體包括:接收報(bào)文;在開啟所述防火墻的抗網(wǎng)絡(luò)攻擊功能后,根據(jù)所述報(bào)文查詢連接表中是否有與當(dāng)前報(bào)文相對應(yīng)的連接表項(xiàng);所述連接表包括五元組信息���,所述五元組信息包括源IP地址����、目的IP地址�����、源端口、目的端口及協(xié)議類型;根據(jù)查詢結(jié)果��,執(zhí)行相應(yīng)的報(bào)文轉(zhuǎn)發(fā)動作或報(bào)文丟棄動作����。
[0012]相應(yīng)地,根據(jù)本發(fā)明的一個(gè)方面�����,提供一種提升防火墻處理性能的系統(tǒng)����,包括如下單元:閾值配置單元、表項(xiàng)數(shù)量監(jiān)測單元及防火墻開關(guān)單元�����,其中�,閾值配置單元用于配置一用以判別網(wǎng)絡(luò)環(huán)境是否存在網(wǎng)絡(luò)攻擊的表項(xiàng)數(shù)量閾值;表項(xiàng)數(shù)量監(jiān)測單元用于獲取防火墻所存在的連接表項(xiàng)數(shù)量的變化幅度;防火墻開關(guān)單元用于根據(jù)所述連接表項(xiàng)數(shù)量的變化幅度與所述表項(xiàng)數(shù)量閾值的比較結(jié)果��,判定當(dāng)前網(wǎng)絡(luò)環(huán)境中是否存在網(wǎng)絡(luò)攻擊威脅;其中���,若當(dāng)前網(wǎng)絡(luò)環(huán)境中存在網(wǎng)絡(luò)攻擊威脅�����,則開啟所述防火墻的抗網(wǎng)絡(luò)攻擊功能以對進(jìn)入防火墻的流量進(jìn)行攻擊檢測����;若當(dāng)前網(wǎng)絡(luò)環(huán)境中不存在網(wǎng)絡(luò)攻擊威脅,則關(guān)閉所述防火墻的抗網(wǎng)絡(luò)攻擊功能����。
[0013]作為本發(fā)明進(jìn)一步的改進(jìn),所述表項(xiàng)數(shù)量監(jiān)測單元具體用于:每隔tl時(shí)間對連接表項(xiàng)數(shù)量進(jìn)行一次統(tǒng)計(jì)����;每隔t2時(shí)間計(jì)算該時(shí)間間隔內(nèi)所統(tǒng)計(jì)到連接表項(xiàng)數(shù)量的平均值Ma,其中1&1=(31+32+‘"+311)/1142 = 11襯1;將本次統(tǒng)計(jì)到的連接表項(xiàng)數(shù)量的平均值1&與上一個(gè)t2時(shí)間所統(tǒng)計(jì)到的連接表項(xiàng)數(shù)量的平均值Mb進(jìn)行比較�,獲取兩個(gè)平均值之間的差值。
[0014]作為本發(fā)明進(jìn)一步的改進(jìn)�,
[0015]所述防火墻開關(guān)單元具體用于:若本次統(tǒng)計(jì)到的連接表項(xiàng)數(shù)量的平均值Ma大于上一個(gè)t2時(shí)間所統(tǒng)計(jì)到的連接表項(xiàng)數(shù)量的平均值Mb,并且兩個(gè)平均值之間的差值大于所述表項(xiàng)數(shù)量閾值���,則判定當(dāng)前網(wǎng)絡(luò)環(huán)境存在DDoS攻擊威脅;若本次統(tǒng)計(jì)到的連接表項(xiàng)數(shù)量的平均值Ma小于上一個(gè)t2時(shí)間所統(tǒng)計(jì)到的連接表項(xiàng)數(shù)量的平均值Mb�,并且兩個(gè)平均值之間的差值大于所述表項(xiàng)數(shù)量閾值�,則判定當(dāng)前網(wǎng)絡(luò)環(huán)境不存在DDoS攻擊威脅。
[0016]優(yōu)選地���,所述tl = 10min���,所述t2 = 60min�,所述表項(xiàng)數(shù)量閾值設(shè)定為50���。
[0017]作為本發(fā)明進(jìn)一步的改進(jìn)�����,所述系統(tǒng)還包括:報(bào)文接收單元����,用于接收報(bào)文;表項(xiàng)匹配單元�,用于在防火墻開關(guān)單元開啟所述防火墻的抗網(wǎng)絡(luò)攻擊功能后,根據(jù)所述報(bào)文查詢連接表中是否有與當(dāng)前報(bào)文相對應(yīng)的連接表項(xiàng);所述連接表包括五元組信息�����,所述五元組信息包括源IP地址�、目的IP地址�、源端口、目的端口及協(xié)議類型;報(bào)文處理單元��,用于根據(jù)查詢結(jié)果,執(zhí)行相應(yīng)的報(bào)文轉(zhuǎn)發(fā)動作或報(bào)文丟棄動作����。
[0018]本發(fā)明所提供的提升防火墻處理性能的方法,其通過預(yù)先配置一表項(xiàng)數(shù)量閾值��,并實(shí)時(shí)監(jiān)測當(dāng)前防火墻中所存在的連接表項(xiàng)數(shù)量的變化幅度�����,并將該連接表項(xiàng)數(shù)量的變化幅度與預(yù)先配置的表項(xiàng)數(shù)量閾值進(jìn)行比較�,從而判別當(dāng)前網(wǎng)絡(luò)環(huán)境中是否存在攻擊威脅,進(jìn)而確定是否需要開啟或者關(guān)閉防火墻中的抗網(wǎng)絡(luò)攻擊功能�����。本方法通過實(shí)時(shí)監(jiān)測的連接表項(xiàng)數(shù)量來相應(yīng)控制防火墻中抗網(wǎng)絡(luò)攻擊功能的開啟或關(guān)閉�,如此在不存在網(wǎng)絡(luò)攻擊時(shí),則無需對網(wǎng)絡(luò)環(huán)境中的數(shù)據(jù)包進(jìn)行安全監(jiān)測�����,從而避免防火墻中抗網(wǎng)絡(luò)攻擊功能的一直開啟給防火墻性能造成的損害���,大大提升防火墻的性能����,有效提升防火墻轉(zhuǎn)發(fā)數(shù)據(jù)包的速率。
[0019]相應(yīng)地���,本發(fā)明所提供的提升防火墻處理性能的系統(tǒng)�����,其包括閾值配置單元����、表項(xiàng)數(shù)量監(jiān)測單元及判斷及執(zhí)行單元����,閾值配置單元用于配置一表項(xiàng)數(shù)量閾值,表項(xiàng)數(shù)量監(jiān)測單元用于實(shí)時(shí)監(jiān)測當(dāng)前防火墻中所存在的連接表項(xiàng)數(shù)量的變化幅度��,判斷及執(zhí)行單元用于將該連接表項(xiàng)數(shù)量的變化幅度與預(yù)先配置的表項(xiàng)數(shù)量閾值進(jìn)行比較�����,從而判別當(dāng)前網(wǎng)絡(luò)環(huán)境中是否存在攻擊威脅��,進(jìn)而確定是否需要開啟或者關(guān)閉防火墻中的抗網(wǎng)絡(luò)攻擊功能����。本系統(tǒng)通過實(shí)時(shí)監(jiān)測的連接表項(xiàng)數(shù)量來相應(yīng)控制防火墻中抗網(wǎng)絡(luò)攻擊功能的開啟或關(guān)閉,如此在不存在網(wǎng)絡(luò)攻擊時(shí)�����,則無需對網(wǎng)絡(luò)環(huán)境中的數(shù)據(jù)包進(jìn)行安全監(jiān)測���,從而避免防火墻中抗網(wǎng)絡(luò)攻擊功能的一直開啟給防火墻性能造成的損害����,大大提升防火墻的性能�,有效提升防火墻轉(zhuǎn)發(fā)數(shù)據(jù)包的速率。
【附圖說明】
[0020]圖1是本發(fā)明實(shí)施例中提升防火墻處理性能的方法的基本流程示意圖����;
[0021]圖2是本發(fā)明優(yōu)選實(shí)施例中圖1所述方法中步驟102的具體流程示意圖;
[0022]圖3本發(fā)明實(shí)施例中提升防火墻處理性能的系統(tǒng)的功能模塊示意圖���;
[0023]圖4本發(fā)明優(yōu)選實(shí)施例中圖3中表項(xiàng)數(shù)量監(jiān)測單元20的具體功能模塊示意圖��。
【具體實(shí)施方式】
[0024]為使本發(fā)明的目的�����、技術(shù)方案和優(yōu)點(diǎn)更加清楚明了���,下面結(jié)合【具體實(shí)施方式】并參照附圖�,對本發(fā)明進(jìn)一步詳細(xì)說明���。應(yīng)該理解����,這些描述只是示例性的�����,而并非要限制本發(fā)明的范圍���。此外�����,在以下說明中���,省略了對公知結(jié)構(gòu)和技術(shù)的描述,以避免不必要地混淆本發(fā)明的概念。
[0025]圖1是本發(fā)明實(shí)施例中提升防火墻處理性能的方法的基本流程示意圖����。本實(shí)施例中���,該方法包括如下步驟:
[0026]步驟101:配置一用以判別網(wǎng)絡(luò)環(huán)境是否存在網(wǎng)絡(luò)攻擊的表項(xiàng)數(shù)量閾值����。
[0027]本發(fā)明某些實(shí)施例中���,該表項(xiàng)數(shù)量閾值可為一個(gè)或者多個(gè)離散的具體數(shù)