專利名稱:動(dòng)態(tài)調(diào)整網(wǎng)絡(luò)地址轉(zhuǎn)換策略的方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信領(lǐng)域��,更具體地涉及一種動(dòng)態(tài)調(diào)整網(wǎng)絡(luò)地址轉(zhuǎn) 才灸策略的方法及系統(tǒng)���。
背景技術(shù):
目前��,隨著網(wǎng)絡(luò)的快速發(fā)展�����,IPv4地址面臨著地址耗盡的問題�����, 而網(wǎng)絡(luò)地址轉(zhuǎn)4奐沖支術(shù)(Network Address Translation,簡(jiǎn)稱NAT)的 應(yīng)用能夠延緩IPv4地址的耗盡�����。NAT技術(shù)是一種地址映射技術(shù)�, 通常用于內(nèi)部私有網(wǎng)全各中。具有私有IPv4地址的主枳j訪問外部爿>共 網(wǎng)絡(luò)的主才幾時(shí)��,將該主沖幾的私有IPv4地址映射為一個(gè)外部唯一可識(shí) 別的乂>網(wǎng)IPv4i也址�;同時(shí),將外部主才幾返回#會(huì)內(nèi)部主才幾的乂>網(wǎng)IPv4 地址轉(zhuǎn)4灸成內(nèi)部標(biāo)志來標(biāo)識(shí)該主才幾的私有IPv4地址���,佳_得返回的#: 才居包能夠正確到達(dá)內(nèi)部主才幾����。另外����,除了能夠節(jié)省IPv4;l也址的fC點(diǎn) 外,NAT還有防止網(wǎng)絡(luò)攻擊����,內(nèi)部網(wǎng)絡(luò)管理者可以根據(jù)需要搭建內(nèi) 部網(wǎng)絡(luò)環(huán)境等優(yōu)點(diǎn)。這些優(yōu)點(diǎn)使得NAT得到了普遍的應(yīng)用���,很多企 業(yè)����、學(xué)4交等都才艮才居NAT應(yīng)用來4荅建內(nèi)部網(wǎng)主備環(huán)境����。然而����,伴隨著網(wǎng)絡(luò)的快速發(fā)展���,計(jì)算才幾網(wǎng)絡(luò)安全也受到方方面 面的威脅,各種各樣的病毒和攻擊普遍存在于網(wǎng)絡(luò)中����。其中,很多 攻擊采用泛洪才幾制����,對(duì)凈艮文處理和轉(zhuǎn)發(fā)的中間i殳備進(jìn)4亍攻擊,以影 響網(wǎng)絡(luò)帶寬��,消耗中央處理單元(CPU)的使用為目的��,嚴(yán)重影響 了設(shè)備的正常報(bào)文的處理�����,甚至可能導(dǎo)致局部網(wǎng)絡(luò)運(yùn)行的癱瘓�����。而 啟用NAT功能的路由器也存在這種威脅。存在于內(nèi)部私有網(wǎng)絡(luò)或外部/>共網(wǎng)絡(luò)的攻擊者通過發(fā)送大量的特殊才艮文���,這些才艮文對(duì)于NAT 處理來說比較特殊���,孩t碼或軟轉(zhuǎn)發(fā)進(jìn)程不能直接處理,需要上送協(xié) 議進(jìn)程進(jìn)行處理�����,這樣就會(huì)導(dǎo)致協(xié)議進(jìn)程特別忙����,CPU利用率很高, 從而影響正常的需要上送協(xié)議進(jìn)程的報(bào)文處理���。對(duì)于這種大量發(fā)送 需要NAT協(xié)議進(jìn)程處理的特殊報(bào)文��,以消耗CPU的使用為目的的 攻擊���,需要一種特別的機(jī)制來防止這種攻擊,保證正常的NAT業(yè)務(wù) 和其它業(yè)務(wù)不受影響�。發(fā)明內(nèi)容本發(fā)明提供了 一種動(dòng)態(tài)調(diào)整網(wǎng)絡(luò)地址轉(zhuǎn)換策略的方法及系統(tǒng)�, 以在CPU忙的時(shí)候及時(shí)關(guān)閉一些可能存在攻擊的特殊報(bào)文的NAT 處理���,降4氐CPU利用率��,乂人而^f呆i正基本的NAT業(yè)務(wù)和其他正常業(yè) 務(wù)的實(shí)現(xiàn)����。根據(jù)本發(fā)明實(shí)施例的動(dòng)態(tài)調(diào)整網(wǎng)絡(luò)地址轉(zhuǎn)換策略的方法�����,包括 設(shè)置用于界定中央處理單元的繁忙程度的第一門限值和第二門限 值�����;在網(wǎng)《各地址轉(zhuǎn)換過程中����,每隔特定時(shí)間自動(dòng)4全測(cè)一次中央處理 單元的利用率���;以及當(dāng)中央處理單元的利用率高于第一門限值時(shí)���, 通知微碼或軟轉(zhuǎn)發(fā)進(jìn)程將協(xié)議進(jìn)程在特定時(shí)間內(nèi)處理最多的需要協(xié) 議進(jìn)程直4妄進(jìn)4亍網(wǎng)絡(luò)地址轉(zhuǎn)換處理的凈艮文關(guān)閉���,當(dāng)中央處理單元的 利用率低于第二門限值時(shí),通知微碼或軟轉(zhuǎn)發(fā)進(jìn)程恢復(fù)對(duì)需要協(xié)議 進(jìn)程直接進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換處理的報(bào)文的處理��。其中�����,需要協(xié)議進(jìn)程直接進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換處理的報(bào)文包括以 下才艮文中的一種或多種分片才艮文�����、選項(xiàng)才艮文�����、網(wǎng)際控制信息協(xié)議 4晉誤才艮文��、TTL為0或1的々艮文����、需要進(jìn)4亍網(wǎng)絡(luò)地址轉(zhuǎn)換ALG處 理的4艮文。其中�,可以通過命令配置或默i人配置i殳置第一門限值和 第二門限值。其中��,對(duì)于需要協(xié)議進(jìn)程直接進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換處理的報(bào)文, 預(yù)先對(duì)各個(gè)報(bào)文分別設(shè)定每秒處理報(bào)文數(shù)目的最大值��。當(dāng)超過預(yù)先i殳定的每秒處理才艮文凄t目的最大值時(shí)�,中央處理單元通知樣i碼或庫(kù)欠轉(zhuǎn)發(fā)進(jìn)程將協(xié)議進(jìn)程在特定時(shí)間內(nèi)處理最多的需要協(xié)議進(jìn)程直接進(jìn) 4亍網(wǎng)絡(luò)地址轉(zhuǎn)換處理的才艮文關(guān)閉。才艮據(jù)本發(fā)明實(shí)施例的動(dòng)態(tài)調(diào)整網(wǎng)絡(luò)地址轉(zhuǎn)換策略的系統(tǒng)�,包括 門限i殳置單元,用于i殳置界定中央處理單元的繁忙程度的第 一 門限 值和第二門限值��;自動(dòng)才企測(cè)單元����,用于在網(wǎng)絡(luò)地址轉(zhuǎn)換過程中�����,每 隔特定時(shí)間自動(dòng);險(xiǎn)測(cè)一次中央處理單元的利用率���;以及策略調(diào)整單 元�,用于在中央處理單元的利用率高于第一門限值時(shí)��,通知樣i碼或 軟轉(zhuǎn)發(fā)進(jìn)程將協(xié)議進(jìn)程在特定時(shí)間內(nèi)處理最多的需要協(xié)議進(jìn)程直接 進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換處理的報(bào)文關(guān)閉�,在中央處理單元的利用率低于 第二門限值時(shí),通知孩i碼或軟轉(zhuǎn)發(fā)進(jìn)程恢復(fù)對(duì)需要協(xié)議進(jìn)程直接進(jìn) 行網(wǎng)絡(luò)地址轉(zhuǎn)換處理的才艮文的處理�����。其中,需要協(xié)議進(jìn)程直沖妻進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換處理的報(bào)文包括以 下才艮文中的一種或多種分片才艮文��、選項(xiàng)報(bào)文���、網(wǎng)際控制信息協(xié)議 4晉誤才艮文�����、TTL為0或1的才艮文�����、需要進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)沖灸ALG處 理的報(bào)文��。其中����,對(duì)于需要協(xié)議進(jìn)程直接進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換處理的報(bào)文����, 預(yù)先對(duì)各個(gè)報(bào)文分別設(shè)定每秒處理報(bào)文數(shù)目的最大值。當(dāng)超過預(yù)先 設(shè)定的每秒處理l艮文數(shù)目的最大值時(shí),策略調(diào)整單元通知樣t碼或軟 轉(zhuǎn)發(fā)進(jìn)程將協(xié)議進(jìn)程在特定時(shí)間內(nèi)處理最多的需要協(xié)議進(jìn)程直接進(jìn) 行網(wǎng)絡(luò)地址轉(zhuǎn)換處理的才艮文關(guān)閉��。其中�,門限設(shè)置單元通過命令配置或默認(rèn)配置設(shè)置第一門限值 和第二門限值。與現(xiàn)有技術(shù)相比�����,由于本發(fā)明能夠在CPU忙的時(shí)候及時(shí)關(guān)閉一些可能存在攻擊的特殊報(bào)文的NAT處理���,所以降低了 CPU利用率����, 保證了基本的NAT業(yè)務(wù)和其他正常業(yè)務(wù)的實(shí)現(xiàn)��,有效防止了網(wǎng)絡(luò)攻 擊�����。在CPU不忙的時(shí)候��,能自動(dòng)恢復(fù)該類報(bào)文的處理�����。同時(shí)��,本發(fā) 明是系統(tǒng)自動(dòng)進(jìn)行纟僉測(cè)和處理���,不需要人工操作��,避免了在管理人 員不在時(shí)����,CPU利用率高居不下�����,NAT基本業(yè)務(wù)和其它正常業(yè)務(wù)得 不到及時(shí)處理的情況����。而且本發(fā)明原理簡(jiǎn)單,容易實(shí)現(xiàn)�����。
此處所-說明的附圖用來提供對(duì)本發(fā)明的進(jìn)一步理解�,構(gòu)成本申 請(qǐng)的一部分,本發(fā)明的示意性實(shí)施例及其說明用于解釋本發(fā)明�����,并 不構(gòu)成對(duì)本發(fā)明的不當(dāng)限定。在附圖中圖1是根據(jù)本發(fā)明實(shí)施例的NAT的應(yīng)用環(huán)境圖����;圖2是根據(jù)本發(fā)明實(shí)施例的路由器上的NAT的處理圖;圖3是根據(jù)本發(fā)明實(shí)施例的動(dòng)態(tài)調(diào)整網(wǎng)絡(luò)地址轉(zhuǎn)換策略的方法 的流禾呈圖��;以及圖4是4艮據(jù)本發(fā)明實(shí)施例的動(dòng)態(tài)調(diào)整網(wǎng)絡(luò)地址轉(zhuǎn)換策略的系統(tǒng) 的框圖����。
具體實(shí)施方式
在本發(fā)明中,擬通過才艮據(jù)CPU利用率動(dòng)態(tài)調(diào)整NAT的處理策 略�����,來防止網(wǎng)紹^丈擊����。本發(fā)明在CPU利用率高的情況下,自動(dòng)統(tǒng)計(jì)一段時(shí)間內(nèi)NAT 協(xié)議進(jìn)程處理比4交多的特殊寺艮文���,并通知孩i碼或軟轉(zhuǎn)發(fā)進(jìn)程不上送這類報(bào)文,從而降低了協(xié)議進(jìn)程的CPU利用率�����,保證了正常的NAT 業(yè)務(wù)和其他業(yè)務(wù)的報(bào)文能得到及時(shí)的處理,達(dá)到了防止網(wǎng)絡(luò)攻擊的目的����。另夕卜,本發(fā)明在CPU降到不忙的情況下��,能重新恢復(fù)這些報(bào)文 的處理�����。所以���,本發(fā)明避免了在網(wǎng)絡(luò)攻擊時(shí)需手動(dòng)設(shè)置來降低CPU 利用率的情況�����,達(dá)到了能根據(jù)CPU利用率實(shí)時(shí)和自動(dòng)地調(diào)整NAT 處理策略的目的����。本發(fā)明4是供了 一種才艮據(jù)CPU利用率動(dòng)態(tài)調(diào)整NAT處理策略的 方法及系統(tǒng)����。在啟用NAT的路由器上��,其NAT實(shí)現(xiàn)機(jī)制大部分是 孩吏碼或軟轉(zhuǎn)發(fā)進(jìn)程處理已經(jīng)有轉(zhuǎn)換條目的NAT報(bào)文�,對(duì)于沒有生成 對(duì)應(yīng)轉(zhuǎn)換條目或一些特殊的報(bào)文���,則上送給協(xié)議進(jìn)程處理�����。協(xié)議進(jìn) 程生成轉(zhuǎn)換條目�����,并維護(hù)轉(zhuǎn)換條目表���,包括轉(zhuǎn)換條目表的老化、刪 除��,更新等��。對(duì)于一些對(duì)NAT處理而言特殊的報(bào)文�����,如分片報(bào)文����、 選項(xiàng)才艮文、網(wǎng)際4空制4言息十辦i義(Internet Control Message Protocol, 簡(jiǎn)稱ICMP )錯(cuò)誤報(bào)文����、21端口的傳輸控制協(xié)議(Transmission Control Protocol,簡(jiǎn)稱TCP )才艮文、53端口的用戶凄史據(jù)協(xié)i義(User Datagram Protocol,簡(jiǎn)稱UDP)報(bào)文等��,這些報(bào)文微碼或軟轉(zhuǎn)發(fā)進(jìn)程不處理�����, 發(fā)現(xiàn)要做NAT轉(zhuǎn)換后�����,即使對(duì)應(yīng)的轉(zhuǎn)換條目存在��,也會(huì)上送協(xié)議進(jìn) 禾呈進(jìn)4于NAT處理�����。如果攻擊者大量發(fā)送這些報(bào)文����,那么在啟用NAT的路由器收到 這些報(bào)文����,發(fā)現(xiàn)要做NAT轉(zhuǎn)換時(shí)�����,會(huì)直接上送給協(xié)議進(jìn)程�,造成協(xié) 議進(jìn)程的CPU 4艮忙,從而使得一些正常的基本的NAT報(bào)文就不能 得到處理�。對(duì)于這種大量發(fā)送需要協(xié)議進(jìn)程處理的NAT報(bào)文的攻擊,可以 根據(jù)CPU的利用率來動(dòng)態(tài)調(diào)整NAT的處理策略�����,如在CPU忙的情 況下�,自動(dòng)把選項(xiàng)報(bào)文、ICMP錯(cuò)誤報(bào)文�����、分片報(bào)文等關(guān)閉���,并通知微碼或軟轉(zhuǎn)發(fā)進(jìn)程不上送這些報(bào)文到協(xié)議進(jìn)程進(jìn)行NAT處理��。也 可以在CPU忙的時(shí)候����,自動(dòng)檢測(cè)一段時(shí)間內(nèi)協(xié)議進(jìn)程處理比較多的 才艮文類型,并關(guān)閉這種4艮文的f辦i義處理���。例如,發(fā)現(xiàn)在一,爻時(shí)間內(nèi)�, 協(xié)議NAT處理了大量的ICMP錯(cuò)誤報(bào)文,那么就可以自動(dòng)把ICMP 錯(cuò)誤報(bào)文的NAT處理關(guān)閉�。這些關(guān)閉的報(bào)文類型一般在實(shí)際中不常 用,而且處理特 朱�����,所以關(guān)閉這些l艮文類型的處理�����,對(duì)基本的NAT 應(yīng)用不會(huì)有太大的影響�����。等CPU不忙的時(shí)候����,再自動(dòng)把這些關(guān)閉的 才艮文處理打開�。當(dāng)然����,CPU忙和不忙的界限,可以通過命令配置來 界定��,也可以默認(rèn)設(shè)置�,具體可以根據(jù)需要來決定。另夕卜�,CPIJ忙 和不忙的對(duì)應(yīng)的處理時(shí)間不能太短,不然會(huì)出現(xiàn)反復(fù)震蕩的情況����,如才全測(cè)到CPU忙,則關(guān)閉某些類型纟艮文的NAT處理���,這時(shí)候CPU 就不忙了���,這時(shí)候又打開該報(bào)文的NAT處理,CPU又忙�����,這樣反 復(fù)執(zhí)行,也會(huì)影響CPU的使用效率�。防治這種震蕩可以通過在CPU 不忙時(shí)恢復(fù)才艮文處理的時(shí)間逐漸加大來實(shí)現(xiàn)。才艮據(jù)本發(fā)明實(shí)施例的動(dòng)態(tài)調(diào)整網(wǎng)絡(luò)地址轉(zhuǎn)換策略的方法包括以 下步驟第一步��,在3各由器上i殳置對(duì)于NAT而言�,CPU忙和不忙的界 限。如設(shè)置CPU利用率在90%或95%以上為忙的狀態(tài)����,設(shè)置CPU 利用率在85%或80%以下為恢復(fù)NAT處理的狀態(tài),這些i殳置可以 通過命令配置來設(shè)置����,也可以根據(jù)經(jīng)驗(yàn)?zāi)J(rèn)設(shè)置����。第二步,路由器在進(jìn)行NAT處理的過程中�����,會(huì)每隔一段時(shí)間就 自動(dòng)檢測(cè)CPU的利用率���,發(fā)現(xiàn)CPU利用率超過設(shè)置的忙的限定�, 則通知微碼或軟轉(zhuǎn)發(fā)進(jìn)程把這段時(shí)間內(nèi)協(xié)議進(jìn)程處理比較多的特殊 報(bào)文關(guān)閉,這類特殊報(bào)文直接在微碼或軟轉(zhuǎn)發(fā)處丟棄��。第三步��,當(dāng)關(guān)閉一些NAT處理特殊的報(bào)文后�,會(huì)定時(shí)沖企測(cè)CPU 的利用率,如果發(fā)現(xiàn)CPU利用率降到第一步設(shè)置的不忙的狀態(tài)�����,則恢復(fù)這些《艮文的處理����,并通知孩t碼或軟轉(zhuǎn)發(fā)進(jìn)程允許這些報(bào)文的上送。進(jìn)一步的�,對(duì)于需要協(xié)議進(jìn)程直接進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換處理的報(bào) 文,可以預(yù)先對(duì)各個(gè)報(bào)文分別設(shè)定每秒處理報(bào)文數(shù)目的最大值����。當(dāng)超過預(yù)先設(shè)定的每秒處理報(bào)文數(shù)目的最大值時(shí),CPU通知微碼或軟轉(zhuǎn)發(fā)進(jìn)程將協(xié)議進(jìn)程在特定時(shí)間內(nèi)處理最多的需要協(xié)議進(jìn)程直4妻進(jìn) 行網(wǎng)絡(luò)地址轉(zhuǎn)換處理的才艮文關(guān)閉�����。下面結(jié)合附圖�,對(duì)本發(fā)明的具體實(shí)施方式
作進(jìn)一步的詳細(xì)描述�。圖1是NAT的應(yīng)用環(huán)i竟圖��。主才幾A在內(nèi)部網(wǎng)全各�,主才幾B在外 部/>共網(wǎng)絡(luò),主才幾A通過NAT訪問外部7>共網(wǎng)絡(luò)�。圖2是路由器上的NAT的處理圖。大部分的路由器都是微碼或 軟轉(zhuǎn)發(fā)進(jìn)程處理已經(jīng)有NAT轉(zhuǎn)換條目的報(bào)文����,沒有轉(zhuǎn)換條目的報(bào)文 或特殊報(bào)文則需要上送協(xié)議進(jìn)程進(jìn)行NAT處理。其中�����,圖中的彎曲 虛線表示需要進(jìn)行NAT處理的特殊報(bào)文����,這類報(bào)文不管轉(zhuǎn)換條目是 否存在���,都要上送協(xié)議進(jìn)程進(jìn)行處理�����,這很容易被攻擊者利用��。攻 擊者通過發(fā)送大量的這些報(bào)文����,這些報(bào)文到達(dá)路由器后,發(fā)現(xiàn)需要 做NAT轉(zhuǎn)換���,則直接上送CPU����,就容易造成CPU忙�����。這些報(bào)文主 要有分片報(bào)文��、選項(xiàng)報(bào)文���、ICMP錯(cuò)誤報(bào)文���、TTL為0或1的報(bào) 文、需要進(jìn)4亍NAT ALG處理的才艮文��。圖3是根據(jù)本發(fā)明實(shí)施例的動(dòng)態(tài)調(diào)整網(wǎng)絡(luò)地址轉(zhuǎn)換策略的方法 的處理流程圖���。如圖3所示�,當(dāng)啟動(dòng)NAT模塊的時(shí)候,會(huì)創(chuàng)建并啟 動(dòng)一個(gè)循環(huán)定時(shí)器���,用來檢測(cè)CPU的利用率��。當(dāng)CPU的利用率高 于CPU忙的限定時(shí)�����,就統(tǒng)計(jì)一4史時(shí)間內(nèi)協(xié)議進(jìn)程N(yùn)AT處理的才艮文 和類型�����。如果發(fā)現(xiàn)在該段時(shí)間內(nèi)協(xié)議進(jìn)程處理的某類特殊報(bào)文比較 多�����,則通知軟轉(zhuǎn)發(fā)進(jìn)程或微碼關(guān)閉這類報(bào)文的上送,同時(shí)啟動(dòng)一個(gè)循環(huán)定時(shí)器來檢測(cè)CPU不忙的狀態(tài)���,用來恢復(fù)這報(bào)文的處理���。當(dāng)然��,上面^是到的CPU忙和不忙的限定����,循環(huán)定時(shí)器觸發(fā)時(shí)間間隔���,CPU 忙時(shí)統(tǒng)計(jì)報(bào)文的時(shí)間段���,該段時(shí)間內(nèi)各種NAT處理報(bào)文允許的數(shù)目 等,都需要根據(jù)經(jīng)驗(yàn)進(jìn)行命令配置或默認(rèn)設(shè)置���。石更件部分由兩臺(tái)以上的主才幾(一臺(tái)主才幾A在IPv4內(nèi)部私有網(wǎng) 纟備�,IP ;也址為192.168.1.2,另外一臺(tái)主才幾B在外部乂>共網(wǎng)絡(luò)�,IP 地址為100.1.1.2)、 一臺(tái)i 各由器R���、和雙絞線若干等組成�����,組網(wǎng)關(guān)系 圖如圖1所示�����。庫(kù)欠件部分的處理步冬聚如下第一步�����,在路由器R上進(jìn)行NAT的相關(guān)配置��。(1 )啟用NAT功能ip nat start(2)設(shè)置與IPv4內(nèi)部私有網(wǎng)全各相連的4妄口的IP地址和NAT屬性interface fei—l/lip address 192.168.1.1 255.255.255.0 ip nat inside(3 )設(shè)置與外部公共網(wǎng)絡(luò)相連的接口的IP地址和NAT屬性 interface fei—2/1ip address 100.1.1.1 255.255.255.0ip nat outside(4 )配置NAT轉(zhuǎn)換規(guī)則(為了敘述方便�����,這個(gè)地方用靜態(tài)規(guī) 則來實(shí)現(xiàn))ip nat inside source static 192.168.1.2 100.1.1.200第二步����,IPv4內(nèi)部私有網(wǎng)絡(luò)的主才幾A向主才幾B發(fā)送大量的特殊 報(bào)文,如ICMP ,晉誤報(bào)文���,發(fā)現(xiàn)路由器CPU —段時(shí)間內(nèi)忙���,后CPU 降為正常。察看統(tǒng)計(jì)才支術(shù)���,發(fā)現(xiàn)這些沖艮文都在孩i碼:帔丟棄。第三步�,IPv4內(nèi)部私有網(wǎng)絡(luò)的主機(jī)A向主才幾B發(fā)送少量的特殊 報(bào)文��,如ICMP錯(cuò)誤報(bào)文�,發(fā)現(xiàn)報(bào)文被上送到協(xié)議進(jìn)程處理���,沒有 被微碼丟棄��。第四步��,主才幾B也類似上面的步-驟向主才幾A轉(zhuǎn)纟奐后的i也址 100.1.1.200發(fā)起攻擊����,也能看到類似的處理���。圖4是4艮據(jù)本發(fā)明實(shí)施例的動(dòng)態(tài)調(diào)整網(wǎng)絡(luò)地址轉(zhuǎn)換策略的系統(tǒng) 的框圖��。如圖4所示���,該系統(tǒng)包括門限設(shè)置單元,用于設(shè)置界定 中央處理單元的繁忙程度的第 一 門限值和第二門限值����;自動(dòng)檢測(cè)單 元,用于在網(wǎng)絡(luò)地址轉(zhuǎn)換過程中,每隔特定時(shí)間自動(dòng)沖企測(cè)一次中央 處理單元的利用率�;以及策略調(diào)整單元,用于在中央處理單元的利 用率高于第 一 門限值時(shí)�����,通知樣i碼或軟轉(zhuǎn)發(fā)進(jìn)程將協(xié)議進(jìn)程在特定 時(shí)間內(nèi)處理最多的需要協(xié)議進(jìn)程直接進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換處理的報(bào)文 關(guān)閉�,在中央處理單元的利用率低于第二門限值時(shí),通知微碼或軟 轉(zhuǎn)發(fā)進(jìn)程恢復(fù)對(duì)需要協(xié)i義進(jìn)程直4妻進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換處理的才艮文的 處理��。其中�,對(duì)于需要協(xié)議進(jìn)程直接進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換處理的才艮文, 預(yù)先對(duì)各個(gè)才艮文分別設(shè)定每秒處理凈艮文數(shù)目的最大值����。當(dāng)超過預(yù)先i殳定的每秒處理才艮文數(shù)目的最大值時(shí),策略調(diào)整單元通知樣l碼或軟 轉(zhuǎn)發(fā)進(jìn)程將協(xié)議進(jìn)程在特定時(shí)間內(nèi)處理最多的需要協(xié)議進(jìn)程直4妄進(jìn) 行網(wǎng)絡(luò)地址轉(zhuǎn)換處理的報(bào)文關(guān)閉�����。其中���,門限設(shè)置單元通過命令配 置或默認(rèn)配置設(shè)置第一門限值和第二門限值��。綜上所述���,與現(xiàn)有技術(shù)相比��,由于本發(fā)明能夠在CPU忙的時(shí)候 及時(shí)關(guān)閉一些可能存在攻擊的特殊報(bào)文的NAT處理,所以降低了 CPU利用率�����,保證了基本的NAT業(yè)務(wù)和其他正常業(yè)務(wù)的實(shí)現(xiàn)���,有 效防止了網(wǎng)絡(luò)攻擊����。在CPU不忙的時(shí)候��,能自動(dòng)恢復(fù)該類才艮文的處 理�。同時(shí),本發(fā)明是系統(tǒng)自動(dòng)進(jìn)行才全測(cè)和處理����,不需要人工才喿作, 避免了在管理人員不在時(shí)����,CPU利用率高居不下,NAT基本業(yè)務(wù)和 其它正常業(yè)務(wù)得不到及時(shí)處理的情況。而且本發(fā)明原理簡(jiǎn)單���,容易 實(shí)現(xiàn)��。以上所述僅為本發(fā)明的實(shí)施例而已�����,并不用于限制本發(fā)明�,對(duì) 于本領(lǐng)域的技術(shù)人員來說���,本發(fā)明可以有各種更改和變化���。凡在本 發(fā)明的精神和原則之內(nèi),所作的任何修改���、等同替換�、改進(jìn)等���,均 應(yīng)包含在本發(fā)明的片又利要求范圍之內(nèi)��。
權(quán)利要求
1. 一種動(dòng)態(tài)調(diào)整網(wǎng)絡(luò)地址轉(zhuǎn)換策略的方法�����,其特征在于����,包括設(shè)置用于界定中央處理單元的繁忙程度的第一門限值和第二門限值;在網(wǎng)絡(luò)地址轉(zhuǎn)換過程中����,每隔特定時(shí)間自動(dòng)檢測(cè)一次所述中央處理單元的利用率����;以及當(dāng)所述中央處理單元的利用率高于所述第一門限值時(shí),通知微碼或軟轉(zhuǎn)發(fā)進(jìn)程將協(xié)議進(jìn)程在所述特定時(shí)間內(nèi)處理最多的需要所述協(xié)議進(jìn)程直接進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換處理的報(bào)文關(guān)閉����,當(dāng)所述中央處理單元的利用率低于所述第二門限值時(shí),通知所述微碼或軟轉(zhuǎn)發(fā)進(jìn)程恢復(fù)對(duì)所述需要所述協(xié)議進(jìn)程直接進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換處理的報(bào)文的處理����。
2. 根據(jù)權(quán)利要求1所述的方法,其特征在于�,所述需要所述協(xié)議 進(jìn)程直接進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換處理的才艮文包括以下報(bào)文中的一 種或多種分片報(bào)文、選項(xiàng)報(bào)文�����、網(wǎng)際控制信息協(xié)議錯(cuò)誤報(bào)文、 TTL為0或1的^艮文��、需要進(jìn)行網(wǎng)絡(luò);t也址轉(zhuǎn):t灸ALG處理的才艮 文���。
3. 根據(jù)權(quán)利要求2所述的方法�����,其特征在于���,對(duì)于所述需要所述 協(xié)議進(jìn)程直4妄進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換處理的才艮文,預(yù)先對(duì)各個(gè)報(bào)文 分別i殳定每秒處理才艮文數(shù)目的最大值�。
4. 根據(jù)權(quán)利要求1至3中任一所述的方法,其特征在于�����,當(dāng)超過 預(yù)先i殳定的所述每秒處理沖艮文數(shù)目的最大^直時(shí)�,所述中央處理 單元通知所述微碼或軟轉(zhuǎn)發(fā)進(jìn)程將所述協(xié)議進(jìn)程在所述特定時(shí)間內(nèi)處理最多的需要所述協(xié)議進(jìn)程直接進(jìn)4亍網(wǎng)絡(luò)地址轉(zhuǎn)換 處理的凈艮文關(guān)閉。
5. 根據(jù)權(quán)利要求1所述的方法����,其特征在于��,通過命令配置或默 認(rèn)配置i殳置所述第一 門限值和所述第二門限值�����。
6. —種動(dòng)態(tài)調(diào)整網(wǎng)絡(luò)地址轉(zhuǎn)換策略的系統(tǒng)�����,其特^正在于��,包括門限設(shè)置單元,用于設(shè)置界定中央處理單元的繁忙程度的 第一門限值和第二門限值�;自動(dòng)斗企測(cè)單元,用于在網(wǎng)絡(luò)地址轉(zhuǎn)換過程中�,每隔特定時(shí) 間自動(dòng)4企測(cè)一次所述中央處理單元的利用率;以及策略調(diào)整單元����,用于在所述中央處理單元的利用率高于所 述第 一 門限值時(shí),通知孩i碼或軟轉(zhuǎn)發(fā)進(jìn)程將協(xié)議進(jìn)程在所述特 定時(shí)間內(nèi)處理最多的需要所述協(xié)議進(jìn)程直接進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn) 換處理的才艮文關(guān)閉���,在所述中央處理單元的利用率低于所述第 二門限值時(shí)����,通知所述微碼或軟轉(zhuǎn)發(fā)進(jìn)程恢復(fù)對(duì)所述需要所述 十辦i義進(jìn)禾呈直^妄進(jìn)4亍網(wǎng)紹d也址轉(zhuǎn)換處理的才艮文的處理。
7. 根據(jù)權(quán)利要求6所述的系統(tǒng)����,其特征在于,所述需要所述協(xié)議 進(jìn)程直接進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換處理的才艮文包括以下報(bào)文中的一 種或多種分片報(bào)文��、選項(xiàng)報(bào)文�����、網(wǎng)際控制信息協(xié)議錯(cuò)誤報(bào)文�����、 TTL為0或1的才艮文���、需要進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換ALG處理的報(bào) 文����。
8. 根據(jù)權(quán)利要求7所述的系統(tǒng)���,其特征在于���,對(duì)于所述需要所述 協(xié)i義進(jìn)程直4妻進(jìn)4亍網(wǎng)絡(luò)地址轉(zhuǎn)換處理的報(bào)文���,預(yù)先對(duì)各個(gè)報(bào)文 分別"i殳定每秒處理才艮文^:目的最大值。
9. 根據(jù)權(quán)利要求8所述的系統(tǒng)���,其特征在于�����,當(dāng)超過預(yù)先設(shè)定的 所述每秒處理纟艮文數(shù)目的最大值時(shí)�,所述策略調(diào)整單元通知所述樣支碼或軟轉(zhuǎn)發(fā)進(jìn)程將所述協(xié)議進(jìn)程在所述特定時(shí)間內(nèi)處理 最多的需要所述協(xié)議進(jìn)程直接進(jìn)行網(wǎng)全各地址轉(zhuǎn)換處理的才艮文 關(guān)閉����。
10. 根據(jù)權(quán)利要求9所述的系統(tǒng),其特征在于��,所述門限設(shè)置單元 通過命令配置或默認(rèn)配置設(shè)置所述第一門限值和所述第二門限值�����。
全文摘要
本發(fā)明公開了一種動(dòng)態(tài)調(diào)整網(wǎng)絡(luò)地址轉(zhuǎn)換策略的方法及系統(tǒng)��。其中�,該方法包括設(shè)置用于界定中央處理單元的繁忙程度的第一門限值和第二門限值����;在網(wǎng)絡(luò)地址轉(zhuǎn)換過程中��,每隔特定時(shí)間自動(dòng)檢測(cè)一次中央處理單元的利用率���;以及當(dāng)中央處理單元的利用率高于第一門限值時(shí),通知微碼或軟轉(zhuǎn)發(fā)進(jìn)程將協(xié)議進(jìn)程在特定時(shí)間內(nèi)處理最多的需要協(xié)議進(jìn)程直接進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換處理的報(bào)文關(guān)閉�����,當(dāng)中央處理單元的利用率低于第二門限值時(shí)�,通知微碼或軟轉(zhuǎn)發(fā)進(jìn)程恢復(fù)對(duì)需要協(xié)議進(jìn)程直接進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換處理的報(bào)文的處理。本發(fā)明可以在CPU忙的時(shí)候及時(shí)關(guān)閉一些可能存在攻擊的特殊報(bào)文的NAT處理�����,降低CPU利用率����,從而保證基本的NAT業(yè)務(wù)和其他正常業(yè)務(wù)的實(shí)現(xiàn)。
文檔編號(hào)H04L29/12GK101217574SQ200810003370
公開日2008年7月9日 申請(qǐng)日期2008年1月17日 優(yōu)先權(quán)日2008年1月17日
發(fā)明者輝 何, 張麗暉, 黃兆勝 申請(qǐng)人:中興通訊股份有限公司