專利名稱:網(wǎng)絡(luò)地址轉(zhuǎn)換的時(shí)間限制系統(tǒng)及方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)通信地址轉(zhuǎn)換的技術(shù)領(lǐng)域,尤其是涉及一種在網(wǎng)絡(luò)中私 網(wǎng)和公網(wǎng)之間進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換的限制系統(tǒng)及方法�����。
背景技術(shù):
隨著因特網(wǎng)的高速發(fā)展,互聯(lián)網(wǎng)絡(luò)已經(jīng)逐漸成為人們?nèi)粘I钪械?一部 分�,網(wǎng)絡(luò)技術(shù)的不斷發(fā)展和人們對(duì)網(wǎng)絡(luò)需求的不斷增多,致使網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大�,使得網(wǎng)絡(luò)IP地址資源變得日趨緊張。而NAT (網(wǎng)絡(luò)地址轉(zhuǎn)換�, Network Address Translation)技術(shù)很好地解決了這個(gè)問題。它主要的做法是 將不合法的私網(wǎng)地址轉(zhuǎn)換成合法的公網(wǎng)IP地址���,通過公網(wǎng)私網(wǎng)的區(qū)分建立�, 使得網(wǎng)絡(luò)資源充分得到了應(yīng)用����。用戶由私網(wǎng)訪問公網(wǎng)時(shí),可以申請(qǐng)/>網(wǎng)地址 和端口號(hào)進(jìn)行鏈接�����,進(jìn)而在互聯(lián)網(wǎng)中進(jìn)行通訊�����,這種方法大大的才是高了/>網(wǎng) IP地址資源的利用率����,從而被廣泛使用��。但是���,另一方面����,正因?yàn)镹AT的 這種機(jī)制,使得很多懷有惡意的用戶會(huì)通過本機(jī)IP地址不斷地進(jìn)行私網(wǎng)和 公網(wǎng)的鏈接���,從而惡意占用公網(wǎng)地址池里的資源或降低系統(tǒng)的處理能力��,使 得正常用戶無法正常進(jìn)行鏈接����,達(dá)到攻擊目的��。目前針對(duì)這種攻擊方法的應(yīng)對(duì)措施主要是網(wǎng)絡(luò)在使用之前先為某個(gè)網(wǎng) 段范圍配置所允許的限制信息�。由于現(xiàn)在攻擊手段多是以不斷增加鏈接數(shù) 目,占用大量資源����,和不斷地快速建鏈斷鏈�,降低系統(tǒng)的處理能力�����,所以�����, 在配置的限制信息的時(shí)候�����,多是配置限制某個(gè)網(wǎng)段范圍可以進(jìn)行IP轉(zhuǎn)換的 數(shù)目和可以在建鏈斷鏈時(shí)候的速率值��,從而達(dá)到限制效果���。這種方法在實(shí)踐 中證明是一種很有效的NAT限速手段�。但是��,目前的這種對(duì)于IP轉(zhuǎn)換數(shù)目和速率值進(jìn)行限制的方法�����,并沒有 從時(shí)間上來進(jìn)行另一種限制�����。由于用戶在使用網(wǎng)絡(luò)時(shí),有可能長(zhǎng)時(shí)間進(jìn)行 NAT轉(zhuǎn)換的使用�,存在攻擊的可能性;另一方面�����,從網(wǎng)絡(luò)管理的角度出發(fā)��, 網(wǎng)絡(luò)管理員有區(qū)分出不同用戶的應(yīng)用訪問優(yōu)先級(jí)��、訪問權(quán)限����,針對(duì)不同用戶 進(jìn)行網(wǎng)絡(luò)連接時(shí)間管理的需要����。從而,有必要從時(shí)間上對(duì)用戶進(jìn)行時(shí)間限制����。發(fā)明內(nèi)容本發(fā)明所要解決的技術(shù)問題在于,提供一種網(wǎng)絡(luò)地址轉(zhuǎn)換的時(shí)間限制限 制系統(tǒng)及方法�,在需要網(wǎng)絡(luò)地址轉(zhuǎn)換來通訊的網(wǎng)絡(luò)環(huán)境中���,利用時(shí)間限制來 實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)地址轉(zhuǎn)換的限制,以在時(shí)間限制下控制用戶的網(wǎng)絡(luò)連接����。本發(fā)明提供一種網(wǎng)絡(luò)地址轉(zhuǎn)換的時(shí)間限制系統(tǒng),包括網(wǎng)絡(luò)地址轉(zhuǎn)換時(shí)間限制配置模塊����,用于為某IP地址或網(wǎng)段的用戶提供 時(shí)間限制參數(shù),提供配置時(shí)間限制信息的收集����、記錄、分類�����,為后續(xù)數(shù)據(jù)包 處理提供依據(jù)����;網(wǎng)絡(luò)地址轉(zhuǎn)換時(shí)間限制表模塊,用于從網(wǎng)絡(luò)地址轉(zhuǎn)換時(shí)間限制配置模塊 獲取配置的時(shí)間限制參數(shù)���,并將配置的限制參數(shù)信息以及數(shù)據(jù)包操作中生成 新信息的表項(xiàng)�����,包括IP時(shí)間限制表�,用戶群集合時(shí)間限制表,網(wǎng)絡(luò)地址轉(zhuǎn) 換再次建鏈時(shí)間限制表��;網(wǎng)絡(luò)地址轉(zhuǎn)換時(shí)間限制匹配模塊�,在所述系統(tǒng)接收到數(shù)據(jù)包后,用來根 據(jù)數(shù)據(jù)包信息和網(wǎng)絡(luò)地址轉(zhuǎn)換時(shí)間限制表模塊存儲(chǔ)的表項(xiàng)所記錄的信息進(jìn) 行匹配查找��,以使_按照表項(xiàng)內(nèi)的信息來對(duì)數(shù)據(jù)包進(jìn)行時(shí)間限制處理���;計(jì)時(shí)器模塊�����,用于對(duì)網(wǎng)絡(luò)地址轉(zhuǎn)換時(shí)間限制匹配模塊查找匹配到的時(shí)間 限制參數(shù)進(jìn)行時(shí)間限制針對(duì)每個(gè)IP地址進(jìn)行鏈接計(jì)時(shí)。進(jìn)一步地��,所述網(wǎng)絡(luò)地址轉(zhuǎn)換時(shí)間限制配置模塊���,在配置時(shí)間限制參數(shù) 時(shí)�,配置輸入的IP地址或用戶群對(duì)應(yīng)網(wǎng)段地址����、數(shù)據(jù)包類型�、限制的時(shí)間�����、 以及在網(wǎng)絡(luò)地址轉(zhuǎn)換斷鏈后再次允許網(wǎng)絡(luò)地址轉(zhuǎn)換建鏈的時(shí)間�、以及正常網(wǎng) 絡(luò)地址轉(zhuǎn)換斷鏈后再次建鏈的操作模式。進(jìn)一步地����,所述網(wǎng)絡(luò)地址轉(zhuǎn)換時(shí)間限制表模塊,將用戶對(duì)應(yīng)IP地址的 時(shí)間限制參數(shù)存入IP時(shí)間限制表��,用戶群對(duì)應(yīng)網(wǎng)段地址的時(shí)間限制參數(shù)存 入用戶群集合時(shí)間限制表����,斷鏈后再次建鏈的時(shí)間限制存入再次建《連時(shí)間限 制表。
進(jìn)一步地����,所述網(wǎng)絡(luò)地址轉(zhuǎn)換時(shí)間限制匹配模塊,首先根據(jù)數(shù)據(jù)包獲取 的IP地址查詢IP限制表���,若查不到再根據(jù)獲取的網(wǎng)段地址查詢用戶群時(shí)間 限制表��,若查到匹配的IP地址或網(wǎng)段地址時(shí)��,獲取限制時(shí)間�����,在網(wǎng)絡(luò)地址 轉(zhuǎn)換斷鏈時(shí)查詢獲得網(wǎng)絡(luò)地址轉(zhuǎn)換再次建鏈限制時(shí)間��。進(jìn)一步地��,所述計(jì)時(shí)器模塊��,在所述網(wǎng)絡(luò)地址轉(zhuǎn)換時(shí)間限制匹配模塊查 詢到IP限制時(shí)間或網(wǎng)段地址限制時(shí)間時(shí)��,按照限制時(shí)間對(duì)建立的網(wǎng)絡(luò)地址 轉(zhuǎn)換條目的鏈接進(jìn)行計(jì)時(shí)��,在計(jì)時(shí)到達(dá)時(shí)��,通知網(wǎng)絡(luò)地址轉(zhuǎn)換系統(tǒng)刪除該轉(zhuǎn) 換條目��;進(jìn)一步地���,在網(wǎng)絡(luò)地址轉(zhuǎn)換斷鏈時(shí),根據(jù)網(wǎng)絡(luò)地址轉(zhuǎn)換時(shí)間限制匹配模 塊查詢獲得的網(wǎng)絡(luò)地址轉(zhuǎn)換再次建鏈限制時(shí)間,進(jìn)行計(jì)時(shí)���,計(jì)時(shí)期間網(wǎng)絡(luò)地 址轉(zhuǎn)換系統(tǒng)禁止對(duì)應(yīng)IP地址或網(wǎng)段地址同類數(shù)據(jù)包的鏈接���,計(jì)時(shí)到達(dá)后, 重新允許建^i����。本發(fā)明還提供基于上述時(shí)間限制系統(tǒng)的 一種網(wǎng)絡(luò)地址轉(zhuǎn)換的時(shí)間限制方法,包括如下步驟(1)針對(duì)使用某IP地址的用戶或使用某網(wǎng)段地址的用戶群設(shè)置時(shí)間限 制參數(shù)�����;(2 )在接收到數(shù)據(jù)包時(shí)��,從所述數(shù)據(jù)包中獲取該IP地址或網(wǎng)段地址并 據(jù)此查詢獲得匹配的時(shí)間限制參數(shù)���;(3)為數(shù)據(jù)包建立網(wǎng)絡(luò)轉(zhuǎn)換地址條目進(jìn)行網(wǎng)絡(luò)連接�����,同時(shí)根據(jù)查詢得 到的時(shí)間限制參數(shù)啟動(dòng)計(jì)時(shí)�����,在計(jì)時(shí)達(dá)到后刪除所建立的網(wǎng)絡(luò)轉(zhuǎn)換地址條 目�����。進(jìn)一步地��,所述步驟(l)中進(jìn)一步是根據(jù)數(shù)據(jù)包類型配置時(shí)間限制參 數(shù)��;相應(yīng)地����,步驟(2)中根據(jù)IP地址或網(wǎng)段地址查詢時(shí)間限制參數(shù)時(shí)進(jìn)一 步還根據(jù)數(shù)據(jù)包類型查詢對(duì)應(yīng)該類型數(shù)據(jù)包的時(shí)間限制參數(shù)。進(jìn)一步地�����,所述步驟(l)中進(jìn)一步還配置網(wǎng)絡(luò)地址轉(zhuǎn)換斷鏈后進(jìn)行再 次鏈接的限制時(shí)間��,相應(yīng)地在所述步驟(3)中進(jìn)一步包括在刪除網(wǎng)絡(luò)轉(zhuǎn) 換地址條目后�����,根據(jù)再次鏈接的限制時(shí)間啟動(dòng)計(jì)時(shí)���,在計(jì)時(shí)期間拒絕進(jìn)行該 IP地址或網(wǎng)段地址用戶的網(wǎng)絡(luò)鏈接,在計(jì)時(shí)到達(dá)后,重新允許建鏈連接�����。進(jìn)一步地�,步驟(l)中配置時(shí)間限制參數(shù)時(shí),配置輸入的IP地址�、數(shù) 據(jù)包類型、限制的時(shí)間��、以及在網(wǎng)絡(luò)地址轉(zhuǎn)換斷鏈后再次允許網(wǎng)絡(luò)地址轉(zhuǎn)換 建鏈的時(shí)間���、以及正常網(wǎng)絡(luò)地址轉(zhuǎn)換斷鏈后再次建鏈的操作模式���,其中,用 戶對(duì)應(yīng)IP地址的時(shí)間限制參數(shù)存入IP限制表�����,用戶群對(duì)應(yīng)網(wǎng)段地址的時(shí)間 限制參數(shù)存入用戶群時(shí)間限制表�,斷鏈后再次建鏈的時(shí)間限制存入再次建鏈 時(shí)間限制表。進(jìn)一步地��,步驟(3)中進(jìn)一步還包括在已建立網(wǎng)絡(luò)轉(zhuǎn)換地址條目后且時(shí)間限制參數(shù)的計(jì)時(shí)未到達(dá)前���,用戶在 使用免畢后斷開網(wǎng)絡(luò)地址轉(zhuǎn)換鏈接���,判斷該用戶是否需要進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換 再次建鏈���,需要時(shí),則查詢獲取再次鏈接的限制時(shí)間并啟動(dòng)計(jì)時(shí)��,計(jì)時(shí)期間 拒絕進(jìn)行該IP地址或網(wǎng)段地址用戶的網(wǎng)絡(luò)鏈接�,在再次連接的限制時(shí)間到 達(dá)時(shí),重新允許建鏈連接�。進(jìn)一步地,步驟(3)中�,若判斷該用戶不需要進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換再次 建鏈或者管理層配置為禁止再次建鏈,則結(jié)束流程��。進(jìn)一步地��,所述方法進(jìn)一步還包括步驟(4):累加用戶的網(wǎng)絡(luò)地址轉(zhuǎn)換進(jìn)行鏈接的總時(shí)長(zhǎng)��,并根據(jù)所述 總時(shí)長(zhǎng)進(jìn)行計(jì)費(fèi)���。進(jìn)一步地�,所述步驟(2)中��,首先根據(jù)數(shù)據(jù)包獲取的IP地址查詢IP 限制表,若查到則繼續(xù)步驟(3)�,否則繼續(xù)根據(jù)獲取的網(wǎng)段地址查詢用戶 群時(shí)間限制表,若查到則繼續(xù)步驟(3)�,否則結(jié)束流程���。與現(xiàn)有技術(shù)相比����,本發(fā)明是一項(xiàng)對(duì)網(wǎng)絡(luò)地址轉(zhuǎn)換NAT進(jìn)行轉(zhuǎn)換限速的 新的限制方法?����,F(xiàn)有的NAT限制技術(shù)主要是以轉(zhuǎn)換數(shù)目和速率限制為主����, 且主要是針對(duì)具有攻擊目的用戶進(jìn)行限制,總體上而言這種轉(zhuǎn)換數(shù)目和速率 的限制方法是一種防御技術(shù)����。本發(fā)明中的時(shí)間限制方法除了可以在一定的程 度上對(duì)攻擊用戶進(jìn)行限制外,其主要優(yōu)勢(shì)體現(xiàn)在可以按照網(wǎng)絡(luò)管理員的配置 區(qū)分出不同用戶的應(yīng)用訪問優(yōu)先級(jí)����,訪問權(quán)限�����。網(wǎng)絡(luò)管理員可以靈活的設(shè)定
NAT鏈接的時(shí)間即斷鏈的時(shí)間����,從而適時(shí)的進(jìn)行網(wǎng)絡(luò)訪問�。本發(fā)明的方法通過一種強(qiáng)制刪除NAT轉(zhuǎn)換條目的方時(shí)來限制網(wǎng)絡(luò)通訊,主要應(yīng)用在需要 網(wǎng)絡(luò)地址轉(zhuǎn)換來通訊的網(wǎng)絡(luò)環(huán)境中�。此外,通過時(shí)間的限制����,本發(fā)明的方法 在某些小型網(wǎng)絡(luò)、機(jī)密網(wǎng)絡(luò)中使用時(shí)��,可以嚴(yán)格的實(shí)現(xiàn)訪問控制����。
圖1是本發(fā)明在整個(gè)NAT限速中的位置及包含模塊示意圖;圖2是本發(fā)明中網(wǎng)絡(luò)管理員配置時(shí)間限制的流程圖���;圖3是本發(fā)明中數(shù)據(jù)包被接收到后進(jìn)行NAT時(shí)間限制匹配的流程圖����;圖4是本發(fā)明的進(jìn)行NAT時(shí)間限制處理的流程圖;圖5是本發(fā)明中用戶在限制時(shí)間內(nèi)斷開NAT鏈接的限制處理流程圖�。
具體實(shí)施方式
下面結(jié)合附圖對(duì)本發(fā)明中網(wǎng)絡(luò)地址轉(zhuǎn)換NAT時(shí)間限制系統(tǒng)和方法及其 具體的處理實(shí)施進(jìn)行說明。本發(fā)明屬于整個(gè)網(wǎng)絡(luò)地址轉(zhuǎn)換NAT限速的技術(shù)范圍�,與NAT轉(zhuǎn)換數(shù)目 和轉(zhuǎn)換速率的限制方法一樣,都用于對(duì)通過網(wǎng)絡(luò)地址轉(zhuǎn)換NAT進(jìn)行限速��。 如圖l所示��,用于實(shí)現(xiàn)本發(fā)明的網(wǎng)絡(luò)地址轉(zhuǎn)換時(shí)間限制的系統(tǒng)����,包括以下模 塊NAT時(shí)間限制配置沖莫塊�����,用于對(duì)網(wǎng)絡(luò)管理員所配置信息進(jìn)行收集整理��, 并記錄下來�,在進(jìn)行分類后存儲(chǔ)到時(shí)間限制表項(xiàng)中,以為后續(xù)數(shù)據(jù)包處理提 供依據(jù)����。網(wǎng)絡(luò)管理員可以配置需要限制的IP地址、數(shù)據(jù)包類型���、限制的時(shí) 間���、以及在NAT斷鏈后再次允許NAT建鏈的時(shí)間�����、還有正常的NAT斷鏈 (即在未到限制時(shí)間內(nèi)的NAT斷鏈)后所進(jìn)行的再次建鏈的操作模式等�。 網(wǎng)絡(luò)管理員還可以配置針對(duì)某些用戶集合群體的限制�����,如對(duì)幾個(gè)網(wǎng)段的用戶 進(jìn)行時(shí)間限制���,可以通過綁定配置ACL (訪問控制列表��,Access Control List) 來實(shí)現(xiàn)����。NAT時(shí)間限制表模塊����,主要是用來在網(wǎng)絡(luò)管理員配置完成后,進(jìn)行保
存網(wǎng)絡(luò)用戶配置的信息的表項(xiàng)。按照網(wǎng)絡(luò)管理員需要進(jìn)行對(duì)用戶限制的對(duì)象��,分為單獨(dú)的IP用戶NAT時(shí)間限制表和用戶群集合NAT時(shí)間限制表��。 單獨(dú)的IP用戶NAT時(shí)間限制表���,主要用于在進(jìn)行NAT時(shí)間限制情況時(shí)����, 對(duì)擁有某個(gè)具體IP的網(wǎng)絡(luò)用戶進(jìn)行限制的配置信息存儲(chǔ)的用表�����;而用戶群 集合NAT時(shí)間限制表��,主要是針對(duì)一個(gè)或多個(gè)網(wǎng)段進(jìn)行NAT時(shí)間限制來存 儲(chǔ)配置信息所用的表項(xiàng)�����。這些表項(xiàng)條目為以后NAT時(shí)間限制匹配模塊進(jìn)行 對(duì)數(shù)據(jù)包的限制匹配提供了依據(jù)�����,表項(xiàng)里面保存了如IP地址或ACL號(hào)���、端 口號(hào)��、服務(wù)類型����、限制時(shí)間����、對(duì)NAT鏈接斷鏈后允許再次建鏈的限制時(shí)間, 以及在未到限制時(shí)間即正常斷鏈后的操作方法設(shè)置等信息���。NAT時(shí)間限制匹配模塊��,這個(gè)模塊的主要作用是在進(jìn)行NAT時(shí)間限制 時(shí)����,對(duì)發(fā)來的包進(jìn)行判斷處理�。在收到數(shù)據(jù)包后,NAT時(shí)間限制匹配模塊 會(huì)開始收集數(shù)據(jù)包中的信息��,如源IP地址���、源端口號(hào)����、報(bào)文類型、目的IP 地址�����、目的端口號(hào)等信息���;然后對(duì)NAT時(shí)間限制表進(jìn)行匹配查找���。由于網(wǎng) 絡(luò)管理員在配置時(shí)可能是對(duì)單個(gè)IP或是某網(wǎng)段進(jìn)行配置,存儲(chǔ)在不同的兩 張表內(nèi)����,因此,在匹配查找時(shí)����,NAT時(shí)間限制匹配模塊會(huì)首先對(duì)NAT時(shí)間 限制IP限制表進(jìn)行匹配條目��,如果匹配不到條目�,則進(jìn)行用戶群集合限制 表的查找。這樣的先后順序主要是為了保證如果網(wǎng)絡(luò)管理員配置的是針對(duì)某 一 IP進(jìn)行的NAT時(shí)間限制���,則要先保證按照網(wǎng)絡(luò)用戶對(duì)這個(gè)IP的限制要 求進(jìn)行處理���,如果沒有的話��,則可以進(jìn)行查找用戶集群限制表��,判斷是否本 數(shù)據(jù)包來源的IP地址屬于被配置的要求限制的網(wǎng)段之中��。除此之外���,NAT時(shí)間限制匹配模塊還要對(duì)NAT斷鏈后是否可以進(jìn)行 NAT再次鏈接進(jìn)行匹配,即匹配NAT再次建鏈時(shí)間限制表���, 一旦某條IP 的再次鏈接時(shí)間限制定時(shí)達(dá)到后�,則從NAT再次建鏈時(shí)間限制表中刪除禁計(jì)時(shí)器模塊���,主要作用是對(duì)限制條目進(jìn)行計(jì)時(shí)���,以便正確判斷限制的時(shí)間權(quán)限是否達(dá)到;該計(jì)時(shí)器器模塊�,用來記錄時(shí)間、作為時(shí)間限制的工具��, 計(jì)時(shí)器會(huì)針對(duì)每個(gè)IP地址進(jìn)行鏈接計(jì)時(shí)。在網(wǎng)絡(luò)管理員進(jìn)行配置�����,相關(guān)數(shù)據(jù)包被接收到后�����,查找限制表獲取到限 制信息����,則計(jì)時(shí)器開始進(jìn)行計(jì)時(shí)。 一旦限制時(shí)間到達(dá)后��,則NAT模塊強(qiáng)行
刪除本條NAT轉(zhuǎn)發(fā)條目���。在對(duì)NAT斷鏈后再次建鏈允許的時(shí)間限制中�����,一 旦斷鏈即可由計(jì)時(shí)器對(duì)本IP地址開始計(jì)時(shí), 一旦再次建鏈限制時(shí)間達(dá)到��, 則從再次建鏈時(shí)間限制表中刪除本IP地址的條目�,以便再次建鏈��。由于計(jì)時(shí)器在系統(tǒng)中的數(shù)量有限�,而需要對(duì)多個(gè)條目計(jì)時(shí)��,可以采取兩 種方法一是在采用硬件專用計(jì)時(shí)器芯片上進(jìn)行針對(duì)性計(jì)時(shí)��;二是用軟件方法��,對(duì)系統(tǒng)計(jì)時(shí)器進(jìn)行配置�,每隔一定時(shí)間對(duì)表項(xiàng)進(jìn)行掃 描,對(duì)條目進(jìn)行一次統(tǒng)計(jì)�,來查看是否超過限制時(shí)間。其中����,NAT時(shí)間限制配置模塊是整個(gè)限制系統(tǒng)的切入點(diǎn),只有在用戶 配置了針對(duì)某個(gè)IP地址或用戶群體的限制時(shí)間����,才會(huì)使這個(gè)IP地址或網(wǎng)段 的用戶在鏈接時(shí)被系統(tǒng)監(jiān)視并通過計(jì)時(shí)器模塊計(jì)時(shí)。 一旦有數(shù)據(jù)包被接收 到�,NAT時(shí)間限制匹配模塊就會(huì)從數(shù)據(jù)包中收集所需要的包信息,這些包 信息主要包括IP地址信息等�。然后,匹配模塊會(huì)按照收集到的信息對(duì)照用 戶配置的NAT限制時(shí)間表進(jìn)行NAT時(shí)間限制的查找匹配�����,在查到限制時(shí)間 后,計(jì)時(shí)器模塊開始進(jìn)行時(shí)間記錄����,監(jiān)視計(jì)時(shí)。 一旦計(jì)時(shí)時(shí)間到達(dá)�����,計(jì)時(shí)器 模塊會(huì)發(fā)出信息����,強(qiáng)制性將此條NAT轉(zhuǎn)換條目刪除。如圖2所示��,是網(wǎng)絡(luò)管理員進(jìn)行配置NAT時(shí)間限制信息時(shí)的配置流程�, 具體配置流程如下步驟l:開啟NAT時(shí)間限制功能;步驟2:判斷是否要對(duì)單個(gè)IP地址進(jìn)行NAT時(shí)間限制配置���,如果是���, 進(jìn)行步驟3,否則進(jìn)行步驟5;步驟3:獲取網(wǎng)絡(luò)管理員配置輸入的IP地址、數(shù)據(jù)包類型�、限制的時(shí)間��、 以及在NAT斷鏈后再次允許NAT建鏈的時(shí)間����、還有如果是正常NAT斷鏈 (即在未到限制時(shí)間內(nèi)的NAT斷鏈)后所進(jìn)行的再次建鏈的操作模式等。步驟4:將配置值存入IP限制時(shí)間表����,流程結(jié)束;步驟5:獲取網(wǎng)絡(luò)管理員配置輸入的用戶群集合信息�、數(shù)據(jù)包類型、限 制的時(shí)間��、以及在NAT斷鏈后再次允許NAT建鏈的時(shí)間����、還有如果是正常 的NAT斷鏈(即在未到限制時(shí)間內(nèi)的NAT斷鏈)后所進(jìn)行的再次建鏈的操 作模式等。步驟6:將配置值存入用戶群集合限制表��,流程結(jié)束����。如圖3所示,顯示的是數(shù)據(jù)包被接收到后進(jìn)行NAT時(shí)間限制匹配的過 程�,具體流程如下步驟l:接收到數(shù)據(jù)包����;步驟2:判斷是否開啟NAT時(shí)間限制功能����,如果開啟進(jìn)行步驟3;否貝'J, 直接進(jìn)行NAT正常的普通處理流程;步驟3:從數(shù)據(jù)包中獲取到數(shù)據(jù)包的包信息�����,例如IP地址���、端口號(hào)�����、報(bào) 文類型等信息�����,查找出所屬接入控制表ACL號(hào)���;步驟4:查詢?cè)俅谓ㄦ湑r(shí)間限制表,進(jìn)行匹配NAT再次建鏈時(shí)間限制 表,查看是否允許再次建鏈����,如果匹配到條目,不允許再次建鏈��,則進(jìn)行步 驟5;否則�,進(jìn)行步驟6;步驟5:則丟棄數(shù)據(jù)包�����,流程結(jié)束���。步驟6:在IP時(shí)間限制表中進(jìn)行NAT時(shí)間限制匹配��,如果查到條目�, 則進(jìn)行步驟7�,否則進(jìn)行步驟8;步驟7:進(jìn)行NAT時(shí)間限制操作,流程結(jié)束�。步驟8:在用戶群集合時(shí)間限制表中進(jìn)行NAT時(shí)間限制匹配,如果查 到條目��,則進(jìn)行步驟7�����,否則進(jìn)行步驟9;步驟9:若該IP用戶沒有配置NAT時(shí)間限制,則進(jìn)行普通NAT轉(zhuǎn)發(fā)流程�;步驟10:流程結(jié)束。如圖4所示����,顯示的是NAT時(shí)間限制處理流程圖,描繪了在進(jìn)行NAT 時(shí)間限制中的"t乘作步驟��,具體流程如下步驟1:數(shù)據(jù)包在網(wǎng)絡(luò)管理員配置的NAT時(shí)間限制表中匹配到限制條
目��,開始NAT時(shí)間限制流程���;步驟2:由IP地址或用戶群集合在限制表中匹配到對(duì)應(yīng)條目����,從條目中 獲取網(wǎng)絡(luò)管理員為用戶配置的限制時(shí)間����;步驟3:按照數(shù)據(jù)包信息和配置的NAT轉(zhuǎn)換規(guī)則,生成NAT轉(zhuǎn)換條目���, 進(jìn)行NAT轉(zhuǎn)換����。同時(shí),計(jì)時(shí)器開始針對(duì)匹配的轉(zhuǎn)換條目進(jìn)行計(jì)時(shí)����,以監(jiān)視 條目的轉(zhuǎn)換時(shí)間,防止超過限制時(shí)間����;步驟4:計(jì)時(shí)器一旦計(jì)時(shí)發(fā)現(xiàn)本條條目達(dá)到鏈接的限制時(shí)間����,就會(huì)通知 系統(tǒng)NAT轉(zhuǎn)換模塊,將本條NAT轉(zhuǎn)換條目強(qiáng)制行從NAT轉(zhuǎn)換條目表中刪 除���,使后續(xù)再來的相同數(shù)據(jù)包無法再進(jìn)行NAT轉(zhuǎn)換��,從而禁止通訊��;由于 接口上分別配置了 INSIDE (NAT入接口 )和OUTSIDE (NAT出接口 )���, 使數(shù)據(jù)包進(jìn)入到NAT流程,在建立鏈接的時(shí)候進(jìn)行判斷是否允許建鏈�,如 果發(fā)現(xiàn)是禁止建鏈的��,就將數(shù)據(jù)包丟棄����;步驟5:從NAT時(shí)間限制表中獲取用戶配置的NAT斷鏈后允許再次建 鏈的限制時(shí)間�,將數(shù)據(jù)包信息、以及時(shí)間存入NAT再次建鏈時(shí)間限制表�����;步驟6:計(jì)時(shí)器開始針對(duì)存入NAT再次建鏈時(shí)間限制表中的這條條目 計(jì)時(shí)���;步驟7:計(jì)時(shí)器監(jiān)視計(jì)時(shí)��,查看是否該條目的允許再次建鏈時(shí)間已經(jīng)到 達(dá)��;網(wǎng)絡(luò)管理員在配置時(shí)也可以配置成禁止再次生成條目���;如果時(shí)間到了, 進(jìn)行步驟8;否則繼續(xù)步驟7;步驟8: —旦允許建鏈時(shí)間限制到了 ��,系統(tǒng)將這條條目從NAT再次建 鏈時(shí)間限制表中刪除��,允許此類數(shù)據(jù)包再次進(jìn)行NAT建鏈���;進(jìn)行NAT轉(zhuǎn)化��, 數(shù)據(jù)包轉(zhuǎn)發(fā)通訊����;步驟9:流程結(jié)束。如圖5所示��,是針對(duì)用戶在限制時(shí)間內(nèi)斷開NAT鏈接的限制處理流程����, 即用戶有可能雖然配置了 NAT時(shí)間限制,但是有可能在限制時(shí)間尚未到達(dá) 時(shí)就斷開NAT鏈接����,圖5所示即為處理此類情況的流程��,如下 步驟2:按照數(shù)據(jù)包信息查找IP限制時(shí)間表���,如果沒有匹配到條目�,進(jìn) 行步驟3;否則進(jìn)行步驟4;步驟3:按照數(shù)據(jù)包信息查找用戶群集合限制時(shí)間表���,進(jìn)行步驟4;步驟4:從NAT時(shí)間限制表中獲取網(wǎng)絡(luò)管理員為用戶配置的如果是正 常的NAT斷鏈(即在未到限制時(shí)間內(nèi)的NAT斷鏈)后所進(jìn)行的再次建鏈的 操作模式�,查看是否要進(jìn)行NAT再次鏈接時(shí)間限制,如果是���,進(jìn)行步驟5; 否則進(jìn)行步驟6;步驟5:將信息記錄到NAT再次鏈接時(shí)間限制表中���,進(jìn)行NAT再次鏈 接時(shí)間限制,流程結(jié)束���。步驟6:不用任何操作����,等待下次的用戶鏈接�����;步驟7:流程結(jié)束����;由于用戶在使用網(wǎng)絡(luò)時(shí),有可能長(zhǎng)時(shí)間進(jìn)行NAT轉(zhuǎn)換的使用��,表面上 看起來好像沒有時(shí)間限制的必要��,但是從另一種角度來看的話���,這樣的限制 具有靈活的應(yīng)用��,尤其是在應(yīng)用本發(fā)明所述的系統(tǒng)及方法的情況下��。例如���,網(wǎng)絡(luò)管理員可以進(jìn)行配置從而對(duì)擁有某個(gè)IP的用戶或某網(wǎng)段的 用戶群進(jìn)行鏈接的時(shí)間限制���、控制、或調(diào)整�。通過這種時(shí)間配置,在某些必 要的環(huán)境中��,對(duì)用戶進(jìn)行訪問限制����。區(qū)分用戶的等級(jí)���,給予不同的權(quán)限�����???以設(shè)定用戶訪問某資料服務(wù)器的時(shí)限。亦可以用作一種計(jì)費(fèi)計(jì)時(shí)的方法�����,例 如�����,用戶通過繳費(fèi)擁有一定的訪問公網(wǎng)的時(shí)間��,在每次使用后��,使用時(shí)間不 一樣���,但都會(huì)記錄下來���,并且一旦超過時(shí)限,系統(tǒng)會(huì)強(qiáng)制將NAT轉(zhuǎn)換生成 的條目刪除����,從而禁止用戶再次進(jìn)行鏈接。管理員也可以進(jìn)行這樣的配置�����, 首先對(duì)擁有某個(gè)IP的用戶或某網(wǎng)段的用戶群進(jìn)行鏈接的時(shí)間限制, 一旦超 過時(shí)間限制���,即強(qiáng)行刪除NAT轉(zhuǎn)換條目���,并且立即對(duì)此IP地址或網(wǎng)段進(jìn)行 監(jiān)視,開始計(jì)時(shí)����,在一段時(shí)間內(nèi)嚴(yán)禁生成新的條目。等到計(jì)時(shí)時(shí)間到后����,即 可生成新的條目。
權(quán)利要求
1���、一種網(wǎng)絡(luò)地址轉(zhuǎn)換的時(shí)間限制系統(tǒng)���,其特征在于,包括網(wǎng)絡(luò)地址轉(zhuǎn)換時(shí)間限制配置模塊���,用于為某IP地址或網(wǎng)段的用戶提供時(shí)間限制參數(shù),提供配置時(shí)間限制信息的收集�、記錄���、分類,為后續(xù)數(shù)據(jù)包處理提供依據(jù)�����;網(wǎng)絡(luò)地址轉(zhuǎn)換時(shí)間限制表模塊����,用于從網(wǎng)絡(luò)地址轉(zhuǎn)換時(shí)間限制配置模塊獲取配置的時(shí)間限制參數(shù),并將配置的限制參數(shù)信息以及數(shù)據(jù)包操作中生成新信息的表項(xiàng)�����,包括IP時(shí)間限制表��,用戶群集合時(shí)間限制表�����,網(wǎng)絡(luò)地址轉(zhuǎn)換再次建鏈時(shí)間限制表�����;網(wǎng)絡(luò)地址轉(zhuǎn)換時(shí)間限制匹配模塊,在所述系統(tǒng)接收到數(shù)據(jù)包后��,用來根據(jù)數(shù)據(jù)包信息和網(wǎng)絡(luò)地址轉(zhuǎn)換時(shí)間限制表模塊存儲(chǔ)的表項(xiàng)所記錄的信息進(jìn)行匹配查找�����,以便按照表項(xiàng)內(nèi)的信息來對(duì)數(shù)據(jù)包進(jìn)行時(shí)間限制處理����;計(jì)時(shí)器模塊,用于對(duì)網(wǎng)絡(luò)地址轉(zhuǎn)換時(shí)間限制匹配模塊查找匹配到的時(shí)間限制參數(shù)進(jìn)行時(shí)間限制針對(duì)每個(gè)IP地址進(jìn)行鏈接計(jì)時(shí)���。
2��、 如權(quán)利要求l所述的系統(tǒng)�����,其特征在于���,所述網(wǎng)絡(luò)地址轉(zhuǎn)換時(shí)間限 制配置模塊,在配置時(shí)間限制參數(shù)時(shí)�����,配置輸入的IP地址或用戶群對(duì)應(yīng)網(wǎng) 段地址、數(shù)據(jù)包類型�����、限制的時(shí)間�����、以及在網(wǎng)絡(luò)地址轉(zhuǎn)換斷鏈后再次允許網(wǎng) 絡(luò)地址轉(zhuǎn)換建鏈的時(shí)間�、以及正常網(wǎng)絡(luò)地址轉(zhuǎn)換斷鏈后再次建鏈的操作模 式���。
3��、 如權(quán)利要求2所述的系統(tǒng)�,其特征在于��,所述網(wǎng)絡(luò)地址轉(zhuǎn)換時(shí)間限 制表模塊����,將用戶對(duì)應(yīng)IP地址的時(shí)間限制參數(shù)存入IP時(shí)間限制表,用戶群 對(duì)應(yīng)網(wǎng)段地址的時(shí)間限制參數(shù)存入用戶群集合時(shí)間限制表���,斷鏈后再次建鏈 的時(shí)間限制存入再次建鏈時(shí)間限制表��。
4���、 如權(quán)利要求3所述的系統(tǒng)�����,其特征在于�����,所述網(wǎng)絡(luò)地址轉(zhuǎn)換時(shí)間限 制匹配模塊�,首先根據(jù)數(shù)據(jù)包獲取的IP地址查詢IP限制表�,若查不到再根 據(jù)獲取的網(wǎng)段地址查詢用戶群時(shí)間限制表,若查到匹配的IP地址或網(wǎng)段地 址時(shí)����,獲取限制時(shí)間,在網(wǎng)絡(luò)地址轉(zhuǎn)換斷鏈時(shí)查詢獲得網(wǎng)絡(luò)地址轉(zhuǎn)換再次建 鏈限制時(shí)間�。
5、 如權(quán)利要求4所述的系統(tǒng)��,其特征在于��,所述計(jì)時(shí)器模塊��,在所述 網(wǎng)絡(luò)地址轉(zhuǎn)換時(shí)間限制匹配模塊查詢到IP限制時(shí)間或網(wǎng)段地址限制時(shí)間時(shí), 按照限制時(shí)間對(duì)建立的網(wǎng)絡(luò)地址轉(zhuǎn)換條目的鏈接進(jìn)行計(jì)時(shí)�����,在計(jì)時(shí)到達(dá)時(shí)���,通知網(wǎng)絡(luò)地址轉(zhuǎn)換系統(tǒng)刪除該轉(zhuǎn)換條目;進(jìn)一步地�����,在網(wǎng)絡(luò)地址轉(zhuǎn)換斷鏈時(shí)���,根據(jù)網(wǎng)絡(luò)地址轉(zhuǎn)換時(shí)間限制匹配模 塊查詢獲得的網(wǎng)絡(luò)地址轉(zhuǎn)換再次建鏈限制時(shí)間�,進(jìn)行計(jì)時(shí)�����,計(jì)時(shí)期間網(wǎng)絡(luò)地 址轉(zhuǎn)換系統(tǒng)禁止對(duì)應(yīng)IP地址或網(wǎng)段地址同類數(shù)據(jù)包的鏈接����,計(jì)時(shí)到達(dá)后, 重新允許建鏈�����。
6、 一種網(wǎng)絡(luò)地址轉(zhuǎn)換的時(shí)間限制方法�,其特征在于,包括如下步驟 制參數(shù)�����; ' ����、、' " �、、" �����、曰(2) 在接收到數(shù)據(jù)包時(shí)�,從所述數(shù)據(jù)包中獲取該IP地址或網(wǎng)段地址并 據(jù)此查詢獲得匹配的時(shí)間限制參數(shù);(3) 為數(shù)據(jù)包建立網(wǎng)絡(luò)轉(zhuǎn)換地址條目進(jìn)行網(wǎng)絡(luò)連接����,同時(shí)根據(jù)查詢得 到的時(shí)間限制參數(shù)啟動(dòng)計(jì)時(shí),在計(jì)時(shí)達(dá)到后刪除所建立的網(wǎng)絡(luò)轉(zhuǎn)換地址條 目�����。
7、 如權(quán)利要求6所述的方法�����,其特征在于所述步驟(l)中進(jìn)一步是根據(jù)數(shù)據(jù)包類型配置時(shí)間限制參數(shù)�;相應(yīng)地, 步驟(2)中根據(jù)IP地址或網(wǎng)段地址查詢時(shí)間限制參數(shù)時(shí)進(jìn)一步還根據(jù)數(shù)據(jù) 包類型查詢對(duì)應(yīng)該類型數(shù)據(jù)包的時(shí)間限制參數(shù)���。
8、 如權(quán)利要求6或7所述的方法��,其特征在于所述步驟(1)中進(jìn)一步還配置網(wǎng)絡(luò)地址轉(zhuǎn)換斷鏈后進(jìn)行再次鏈接的限 制時(shí)間��,相應(yīng)地在所述步驟(3)中進(jìn)一步包括在刪除網(wǎng)絡(luò)轉(zhuǎn)換地址條目 后��,根據(jù)再次鏈接的限制時(shí)間啟動(dòng)計(jì)時(shí)����,在計(jì)時(shí)期間拒絕進(jìn)行該IP地址或 網(wǎng)段地址用戶的網(wǎng)絡(luò)鏈接,在計(jì)時(shí)到達(dá)后�����,重新允許建鏈連接。
9�����、 如權(quán)利要求8所述的方法�,其特征在于步驟(l)中配置時(shí)間限制參數(shù)時(shí),配置輸入的IP地址��、數(shù)據(jù)包類型����、 限制的時(shí)間、以及在網(wǎng)絡(luò)地址轉(zhuǎn)換斷鏈后再次允許網(wǎng)絡(luò)地址轉(zhuǎn)換建鏈的時(shí)間����、以及正常網(wǎng)絡(luò)地址轉(zhuǎn)換斷鏈后再次建鏈的操作模式,其中��,用戶對(duì)應(yīng)IP 地址的時(shí)間限制參數(shù)存入IP限制表��,用戶群對(duì)應(yīng)網(wǎng)段地址的時(shí)間限制參數(shù) 存入用戶群時(shí)間限制表:斷鏈后再次建鏈的時(shí)間限制存入再次建鏈時(shí)間限制 表��。
10�、 如權(quán)利要求9所述的方法,其特征在于,步驟(3)中進(jìn)一步還包括在已建立網(wǎng)絡(luò)轉(zhuǎn)換地址條目后且時(shí)間限制參數(shù)的計(jì)時(shí)未到達(dá)前����,用戶在 使用完畢后斷開網(wǎng)絡(luò)地址轉(zhuǎn)換鏈接,判斷該用戶是否需要進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換 再次建鏈����,需要時(shí),則查詢獲取再次鏈接的限制時(shí)間并啟動(dòng)計(jì)時(shí)�,計(jì)時(shí)期間 拒絕進(jìn)行該IP地址或網(wǎng)段地址用戶的網(wǎng)絡(luò)鏈接,在再次連接的限制時(shí)間到 達(dá)時(shí)���,重新允許建鏈連接����。
11����、 如權(quán)利要求IO所述的方法�����,其特征在于步驟(3)中��,若判斷該用戶不需要進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換再次建鏈或者管 理層配置為禁止再次建鏈,則結(jié)束流程���。
12����、 如權(quán)利要求8所述的方法����,其特征在于,所述方法進(jìn)一步還包括步驟(4):累加用戶的網(wǎng)絡(luò)地址轉(zhuǎn)換進(jìn)行鏈接的總時(shí)長(zhǎng)����,并根據(jù)所述 總時(shí)長(zhǎng)進(jìn)行計(jì)費(fèi)。
13����、 如權(quán)利要求9所述的方法,其特征在于��,所述步驟(2)中��,首先 根據(jù)數(shù)據(jù)包獲取的IP地址查詢IP限制表��,若查到則繼續(xù)步驟(3),否則 繼續(xù)根據(jù)獲取的網(wǎng)段地址查詢用戶群時(shí)間限制表��,若查到則繼續(xù)步驟(3), 否則結(jié)束流程。
全文摘要
本發(fā)明公開了一種網(wǎng)絡(luò)地址轉(zhuǎn)換的時(shí)間限制系統(tǒng)及方法����,所述系統(tǒng)包括網(wǎng)絡(luò)地址轉(zhuǎn)換時(shí)間限制配置模塊、網(wǎng)絡(luò)地址轉(zhuǎn)換時(shí)間限制表模塊�����、網(wǎng)絡(luò)地址轉(zhuǎn)換時(shí)間限制匹配模塊����、計(jì)時(shí)器模塊,針對(duì)使用某IP地址的用戶或使用某網(wǎng)段地址的用戶群設(shè)置時(shí)間限制參數(shù)����;在接收到數(shù)據(jù)包時(shí),從所述數(shù)據(jù)包中獲取該IP地址或網(wǎng)段地址并據(jù)此查詢獲得匹配的時(shí)間限制參數(shù)����;為數(shù)據(jù)包建立網(wǎng)絡(luò)轉(zhuǎn)換地址條目進(jìn)行網(wǎng)絡(luò)連接,同時(shí)根據(jù)查詢得到的時(shí)間限制參數(shù)啟動(dòng)計(jì)時(shí)����,在計(jì)時(shí)達(dá)到后刪除所建立的網(wǎng)絡(luò)轉(zhuǎn)換地址條目��。應(yīng)用本發(fā)明系統(tǒng)及方法,可以利用時(shí)間限制來實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)地址轉(zhuǎn)換的限制���,以在時(shí)間限制下控制用戶的網(wǎng)絡(luò)連接��。
文檔編號(hào)H04L29/06GK101159738SQ20071014127
公開日2008年4月9日 申請(qǐng)日期2007年8月6日 優(yōu)先權(quán)日2007年8月6日
發(fā)明者浩 于, 盧中軍, 潘建農(nóng), 王明意, 賈皓昕, 晨 陳 申請(qǐng)人:中興通訊股份有限公司