專利名稱:防火墻及防止網(wǎng)絡(luò)攻擊方法
技術(shù)領(lǐng)域:
本申請涉及通信領(lǐng)域���,特別是涉及防火墻及防止網(wǎng)絡(luò)攻擊方法�����。
背景技術(shù):
在網(wǎng)絡(luò)迅速發(fā)展的今天���,網(wǎng)絡(luò)安全也成為一個越來越重要的問題��。黑客通常利用僵尸網(wǎng)絡(luò)向被攻擊者發(fā)送大量的數(shù)據(jù)流�����,造成被攻擊者鏈路擁塞�,資源耗盡���,從而無法正常運(yùn)作��。在各種攻擊方法中�,帶寬型攻擊是其中一種常用的攻擊方法����,帶寬型攻擊主要是通過發(fā)送無狀態(tài)協(xié)議的大包來堵塞被攻擊者的鏈路,其中�����,大包是指長度遠(yuǎn)大于正常報文長度的特殊報文?���,F(xiàn)有技術(shù)提供了一種防火墻,防火墻包括交換芯片和處理芯片����,其中���,交換芯片接收到報文后,將報文向處理芯片發(fā)送����,處理芯片在接收到報文后,根據(jù)網(wǎng)絡(luò)攻擊的防范策略進(jìn)行處理���,從而實現(xiàn)阻止因特網(wǎng)對受保護(hù)網(wǎng)絡(luò)的攻擊�����。但是�����,由于交換芯片所接收到的報文都必須向處理芯片發(fā)送,在收到網(wǎng)絡(luò)攻擊時�,大量的攻擊報文都一一向處理芯片發(fā)送,將導(dǎo)致處理芯片的資源將被耗盡�����,正常的報文沒法通過處理芯片向目的地發(fā)送,從而導(dǎo)致防火墻不能正常進(jìn)行業(yè)務(wù)轉(zhuǎn)發(fā)��。
發(fā)明內(nèi)容
本申請主要解決的技術(shù)問題是提供防火墻及防止網(wǎng)絡(luò)攻擊方法����,能夠使防止主處理芯片收到攻擊影響,保證防火墻正常 進(jìn)行業(yè)務(wù)轉(zhuǎn)發(fā)���。為解決上述技術(shù)問題��,本申請第一方面提供一種防止網(wǎng)絡(luò)攻擊方法��,所述方法包括如下步驟從因特網(wǎng)接收報文��,并判斷所述報文的長度是否大于閾值��;如果所述報文的長度大于閾值��,則將所述長度大于閾值的報文鏡像到從處理芯片�;根據(jù)鏡像到所述從處理芯片的所述長度大于閾值的報文的數(shù)量和頻率判斷是否受到攻擊�;如果受到攻擊,則對所述長度大于閾值的報文進(jìn)行處理����。結(jié)合第一方面�����,本申請的第一方面的第一種可能的實施方式中�,所述對所述長度大于閾值的報文進(jìn)行處理包括如下步驟阻止向主處理芯片發(fā)送所述長度大于閾值的報文��,或限制向所述主處理芯片發(fā)送所述長度大于閾值的報文的流量�����。結(jié)合第一方面以及第一方面的第一種可能的實施方式���,本申請的第二種可能的實施方式中��,所述判斷報文的長度是否大于閾值的步驟之后包括如下步驟如果所述報文的長度小于或等于閾值�����,則將所述長度小于或等于閾值的報文發(fā)送給主處理芯片��。結(jié)合第一方面����,本申請第一方面的第二種可能的實施方式中��,還包括如果沒有受到攻擊或者攻擊停止����,將接收到的所述報文發(fā)送給所述主處理芯片。結(jié)合第一方面����,本申請第一方面的第三種可能的實施方式中,所述判斷報文的長度是否大于閾值的步驟包括如下步驟判斷所述報文的類型���;如果所述報文的類型為網(wǎng)際控制信息協(xié)議報文����,則判斷所述報文的長度是否大于256字節(jié)�����;如果所述報文的類型為用戶數(shù)據(jù)報協(xié)議報文�,則判斷所述報文的長度是否大于I千字節(jié)。
為解決上述技術(shù)問題�����,本申請第二方面還提供一種防火墻,包括交換芯片���、主處理芯片以及從處理芯片�����,其中�,所述交換芯片耦接所述主處理芯片���;所述交換芯片用于從因特網(wǎng)接收報文��,并判斷所述報文的長度是否大于閾值����,并在所述報文的長度大于閾值時��,將所述長度大于閾值的報文鏡像到從處理芯片�����;所述從處理芯片用于接收長度超過閾值的報文��,根據(jù)鏡像到所述從處理芯片的所述長度大于閾值的報文的數(shù)量和頻率判斷是否受到攻擊��,并在受到攻擊時,通過所述交換芯片對所述長度大于閾值的報文進(jìn)行處理���。結(jié)合第二方面,本申請的第二方面的第一種可能的實施方式中����,所述交換芯片具體用于阻止向主處理芯片發(fā)送所述長度大于閾值的報文,或限制向所述主處理芯片發(fā)送所述長度大于閾值的報文的流量�。結(jié)合第二方面以及第二方面的第一種可能的實施方式,本申請的第二種可能的實施方式中�,所述交換芯片還用于在所述報文的長度小于或等于閾值時,將所述長度小于或等于閾值的報文發(fā)送給所述主處理芯片�����。結(jié)合第二方面�,本申請第二方面的第二種可能的實施方式中,所述交換芯片還用于在沒有受到攻擊或者攻擊停止時�����,將接收到的所述報文發(fā)送給所述主處理芯片��。結(jié)合第二方面�����,本申請第二方面的第三種可能的實施方式中,所述從處理芯片還用于判斷所述報文的類型���,在所述報文的類型為網(wǎng)際控制信息協(xié)議報文時����,判斷所述報文的長度是否大于256字節(jié)�;在所述報文的類型為用戶數(shù)據(jù)報協(xié)議報文時,判斷所述報文的長度是否大于I千字節(jié)��。結(jié)合第二方面�����,本申請第二方面的第四種可能的實施方式中����,所述從處理芯片集成在所述交換芯片內(nèi)。結(jié)合第二方面��,本申請第二方面的第五種可能的實施方式中���,所述從處理芯片設(shè)置于所述交換芯片之外�����,所述從處理芯片耦接所述交換芯片����。防火墻通過設(shè)置了 主����、從處理芯片,并在報文的長度大于閾值時�����,將報文鏡像到從處理芯片���,從處理芯片判斷是否受到攻擊���,并在受到攻擊時,通知交換芯片阻止長度超過閾值的報文向主處理芯片發(fā)送���,或通知交換芯片限制長度超過閾值的報文通過主處理芯片的流量��,可以避免將大量的攻擊報文向主處理芯片發(fā)送��,從而保證主處理芯片具有足夠的資源處理正常報文�����,保證防火墻正常進(jìn)行業(yè)務(wù)轉(zhuǎn)發(fā)���。
圖1是本申請防止網(wǎng)絡(luò)攻擊方法一實施方式的流程圖�����;圖2是本申請防止網(wǎng)絡(luò)攻擊方法另一實施方式的流程圖�����;圖3是本申請防火墻一實施方式的結(jié)構(gòu)示意圖�����。
具體實施例方式以下描述中�,為了說明而不是為了限定�����,提出了諸如特定系統(tǒng)結(jié)構(gòu)�、接口����、技術(shù)之類的具體細(xì)節(jié)�����,以便透徹理解本申請���。然而�����,本領(lǐng)域的技術(shù)人員應(yīng)當(dāng)清楚,在沒有這些具體細(xì)節(jié)的其它實施方式中也可以實現(xiàn)本申請��。在其它情況中��,省略對眾所周知的裝置�、電路以及方法的詳細(xì)說明,以免不必要的細(xì)節(jié)妨礙本申請的描述�����。參閱圖1�����,圖1是本申請防止網(wǎng)絡(luò)攻擊方法一實施方式的流程圖。本實施方式的防止網(wǎng)絡(luò)攻擊方法包括SlOl :防火墻中的交換芯片從因特網(wǎng)接收報文�,并判斷報文的長度是否大于閾值。從因特網(wǎng)傳輸過來的報文首先會發(fā)送給防火墻�����,防火墻中的交換芯片接收到從因特網(wǎng)傳輸過來的報文后���,判斷報文的長度是否大于閾值����。由于帶寬型攻擊主要是通過發(fā)送無狀態(tài)協(xié)議的大包來堵塞被攻擊者的鏈路�,所以如果一旦發(fā)現(xiàn)報文的長度大于閾值時,則該報文可能是攻擊報文���,需要進(jìn)一步進(jìn)行判斷��。因此�,如果報文的長度大于閾值��,進(jìn)入步驟S102����。S102 :防火墻中的交換芯片將報文鏡像到從處理芯片�����。在報文的長度大于閾值時�,防火墻中的交換芯片將報文鏡像到從處理芯片����,以供從處理芯片進(jìn)行進(jìn)一步的判斷,同時��,交換芯片繼續(xù)將報文向主處理芯片發(fā)送����。S103:防火墻中的從處理芯片根據(jù)鏡像到從處理芯片的報文的數(shù)量和頻率判斷是否受到攻擊�。從處理芯片在接收到交換芯片所鏡像的報文后,統(tǒng)計交換芯片所發(fā)過來的復(fù)制的報文的數(shù)量和頻率�����,并通過發(fā)送給從處理芯片的報文的數(shù)量和頻率判斷是否受到到攻擊��。如果遭受到了攻擊�,進(jìn)入步驟S104����。S104:防火墻中的交換芯片阻止將長度超過閾值的報文向主處理芯片發(fā)送��,或限制長度超過閾值的報文通過所述主處理芯片的流量��。在受到了攻擊的情 況下���,從處理芯片通知交換芯片阻止將長度超過閾值的報文向主處理芯片發(fā)送����,或通知交換芯片限制長度超過閾值的報文通過主處理芯片的流量�����,以防止將過多的攻擊報文向主處理芯片發(fā)送����,導(dǎo)致主處理芯片資源被耗盡,從而保證主處理芯片具有足夠的資源處理正常報文�����。防火墻通過設(shè)置了主、從處理芯片�����,并在報文的長度大于閾值時�,將報文鏡像到從處理芯片,從處理芯片判斷是否受到攻擊�,并在受到攻擊時,通知交換芯片阻止長度超過閾值的報文向主處理芯片發(fā)送���,或通知交換芯片限制長度超過閾值的報文通過主處理芯片的流量����,可以避免將大量的攻擊報文向主處理芯片發(fā)送��,從而保證主處理芯片具有足夠的資源處理正常報文����,保證防火墻正常進(jìn)行業(yè)務(wù)轉(zhuǎn)發(fā)。參閱圖2�,圖2是本申請防止網(wǎng)絡(luò)攻擊方法另一實施方式的流程圖�����。本實施方式的防止網(wǎng)絡(luò)攻擊方法包括S201 :防火墻的交換芯片從因特網(wǎng)接收報文,并判斷報文的類型����。從因特網(wǎng)傳輸過來的報文首先被發(fā)送到防火墻,交換芯片在接收到報文后�,對報文的類型進(jìn)行判斷。如����,判斷報文的類型是網(wǎng)際控制信息協(xié)議報文(ICM,InternetControl Message Protocol)還是用戶數(shù)據(jù)報協(xié)議報文(UDP, User Datagram Protocol)����。S202 :防火墻的交換芯片判斷報文的長度是否大于閾值。在判斷完報文的類型后�,防火墻的交換芯片根據(jù)報文的類型判斷報文的長度是否大于閾值。例如�,如果報文的類型為網(wǎng)際控制信息協(xié)議報文,則判斷報文的長度是否大于256字節(jié)����,如果大于256字節(jié),則判斷報文的長度大于閾值�,反之,則判斷報文的長度小于或等于閾值�����。如果報文的類型為用戶數(shù)據(jù)報協(xié)議報文,則判斷報文的長度是否大于I千字節(jié)���。如果大于I千字節(jié)����,則判斷報文的長度大于閾值���,反之����,則判斷報文的長度小于或等于閾值����。由于帶寬型攻擊主要是通過發(fā)送無狀態(tài)協(xié)議的大包來堵塞被攻擊者的鏈路,所以如果一旦發(fā)現(xiàn)報文的長度大于閾值時�,則該報文可能是攻擊報文,需要進(jìn)一步進(jìn)行判斷�����。因此����,如果報文的長度小于或等于閾值,進(jìn)入步驟S203����,如果報文的長度大于閾值���,則進(jìn)入步驟 S204����。S203 :防火墻的交換芯片將報文向主處理芯片發(fā)送�����。在報文的長度小于或等于閾值時���,認(rèn)為報文是非帶寬型攻擊的報文,不需要從處理芯片進(jìn)行進(jìn)一步的判斷�����,于是��,防火墻的交換芯片僅將報文向主處理芯片發(fā)送以供主處理芯片進(jìn)行正常的業(yè)務(wù)處理���,而不會將報文鏡像到從處理芯片���。S204 :防火墻的交換芯片將報文鏡像到從處理芯片�。在報文的長度大于閾值時�,防火墻中的交換芯片將報文并鏡像到從處理芯片,以供從處理芯片進(jìn)行進(jìn)一步的判斷�,在未確認(rèn)是否受到攻擊前,交換芯片繼續(xù)將報文向主處理芯片發(fā)送��。S205:防火墻的從處理芯片根據(jù)鏡像到從處理芯片的報文的數(shù)量和頻率判斷是否受到攻擊�。·從處理芯片在接收到交換芯片所鏡像的報文后���,統(tǒng)計交換芯片所發(fā)過來的鏡像后的報文的數(shù)量和頻率����,并根據(jù)鏡像到從處理芯片的報文的數(shù)量和頻率判斷是否受到攻擊���。如果受到了攻擊�,進(jìn)入步驟S206����,反之��,則進(jìn)入步驟S207�。S206:防火墻的交換芯片阻止向主處理芯片發(fā)送長度大于閾值的報文�,或限制向主處理芯片發(fā)送長度大于閾值的報文的流量�����。在受到攻擊時���,從處理芯片通知交換芯片將長度超過閾值的報文向主處理芯片發(fā)送����,或通知交換芯片限制長度超過閾值的報文通過主處理芯片的流量�,以防止大量的攻擊報文被發(fā)送到主處理芯片,耗盡主處理芯片的資源���,影響主處理芯片進(jìn)行正常業(yè)務(wù)處理�����。S207 :防火墻的交換芯片將接收到的報文發(fā)送給主處理芯片���。在沒有遭到攻擊或攻擊已經(jīng)停止的情況下�,交換芯片將接收到的報文都發(fā)送給主處理芯片�。即,在沒有遭到攻擊或攻擊已經(jīng)停止的情況下��,交換芯片會將正常的報文和交換芯片偶然間接收到的一些長度超過閾值的報文都向主處理芯片發(fā)送����,此時,不會對主處理芯片造成不良影響��。防火墻通過設(shè)置了主����、從處理芯片,并在報文的長度大于閾值時�����,將報文鏡像到從處理芯片����,從處理芯片判斷是否受到攻擊,并在受到攻擊時��,通知交換芯片阻止長度超過閾值的報文向主處理芯片發(fā)送���,或通知交換芯片限制長度超過閾值的報文通過主處理芯片的流量�,可以避免將大量的攻擊報文向主處理芯片發(fā)送,從而保證主處理芯片具有足夠的資源處理正常報文��,保證防火墻正常進(jìn)行業(yè)務(wù)轉(zhuǎn)發(fā)���。參閱圖3,圖3是本申請防火墻一實施方式的結(jié)構(gòu)示意圖���。本實施方式的防火墻320包括交換芯片321����、從處理芯片322以及主處理芯片323����。其中,此時��,從處理芯片322設(shè)置于交換芯片321之外���,交換芯片321分別耦接從處理芯片322以及主處理芯片323�。交換芯片321用于從因特網(wǎng)310接收報文�,判斷報文的類型���,根據(jù)報文的類型判斷報文的長度是否大于閾值,并在報文的長度大于閾值時����,將報文鏡像到從處理芯片322。比如�,從因特網(wǎng)310傳輸過來的報文首先被發(fā)送到防火墻320,交換芯片321在接收到報文后����,對報文的類型進(jìn)行判斷,判斷報文的類型是網(wǎng)際控制信息協(xié)議報文還是用戶數(shù)據(jù)報協(xié)議報文���。如果報文的類型為網(wǎng)際控制信息協(xié)議報文����,則判斷報文的長度是否大于256字節(jié)��,如果大于256字節(jié)���,則判斷報文的長度大于閾值���,反之�,則判斷報文的長度小于或等于閾值�。如果報文的類型為用戶數(shù)據(jù)報協(xié)議報文,則判斷報文的長度是否大于I千字節(jié)���。如果大于I千字節(jié)��,則判斷報文的長度大于閾值���,反之,則判斷報文的長度小于或等于閾值���。由于帶寬型攻擊主要是通過發(fā)送無狀態(tài)協(xié)議的大包來堵塞被攻擊者的鏈路,所以如果一旦發(fā)現(xiàn)報文的長度大于閾值時��,則該報文可能是攻擊報文�����,需要進(jìn)一步進(jìn)行判斷����。所以,在報文的長度大于閾值時,交換芯片321將報文鏡像到從處理芯片322���,以供從處理芯片322進(jìn)行進(jìn)一步的判斷�����,在未確認(rèn)是否受到攻擊前�����,交換芯片321繼續(xù)將報文向主處理芯片323發(fā)送�。在報文的長度小于或等于閾值時��,交換芯片321認(rèn)為報文是非帶寬型攻擊的報文���,不需要從處理芯片322進(jìn)行進(jìn)一步的判斷���,于是,防火墻的交換芯片321僅將報文向主處理芯片323發(fā)送以供主處理芯片323進(jìn)行正常的業(yè)務(wù)處理�,而不會將報文鏡像到從處理芯片322。從處理芯片322用于接收長度超過閾值的報文�����,并通過發(fā)送給從處理芯片322的報文的數(shù)量和頻率判斷是否受到攻擊,并在受到攻擊時��,通知交換芯片321阻止將長度超過閾值的報文向主處理芯片323發(fā)送��,或通知交換芯片321限制長度超過閾值的報文通過主處理芯片323的流量��。比如��,從處理芯片322在接收到交換芯片321所鏡像的報文后�,統(tǒng)計交換芯片321所發(fā)過來的復(fù)制的報文的數(shù)量和頻率,并通過發(fā)送給從處理芯片322的報文的數(shù)量和頻率判斷是否受到攻擊����。在受到攻擊時,從處理芯片322通知交換芯片321將長度超過閾值的報文向主處理芯片323發(fā)送����,或通知交換芯片321限制長度超過閾值的報文通過主處理芯片323的流量��,以防止將過多的攻擊報文向主處理芯片323發(fā)送��,導(dǎo)致主處理芯片323資源被耗盡�,從而保證主處理芯片323具有足夠的資源處理正常報文,將正常報文發(fā)送給保護(hù)用戶330���。在沒有遭到攻擊或攻擊已經(jīng)停止的情況下��,交換芯片321將接收到的報文都發(fā)送給主處理芯片323����。即,在沒有遭到攻擊或攻擊已經(jīng)停止的情況下�����,交換芯片321會將正常的報文和交換芯片偶然間接收到的一些長度超過閾值的報文都向主處理芯片323發(fā)送�����,此時��,不會對主處理芯片323造成不良影響����。在另一實施方式中,從處理芯片322可以集成在交換芯片321內(nèi)�,此時,交換芯片321耦接主處理芯片323��。從處理芯片322的位置的設(shè)置不影響具體功能的執(zhí)行����,因而���,本實施方式與上一實施方式基本相同,`此處不重復(fù)贅述�。防火墻通過設(shè)置了主、從處理芯片���,并在報文的長度大于閾值時���,將報文鏡像到從處理芯片,從處理芯片判斷是否受到攻擊����,并在受到攻擊時,通知交換芯片阻止長度超過閾值的報文向主處理芯片發(fā)送���,或通知交換芯片限制長度超過閾值的報文通過主處理芯片的流量��,可以避免將大量的攻擊報文向主處理芯片發(fā)送,從而保證主處理芯片具有足夠的資源處理正常報文���,保證防火墻正常進(jìn)行業(yè)務(wù)轉(zhuǎn)發(fā)�。在本申請所提供的幾個實施方式中,應(yīng)該理解到���,所揭露的系統(tǒng)�,裝置和方法����,可以通過其它的方式實現(xiàn)。例如�����,以上所描述的裝置實施方式僅僅是示意性的�����,例如���,所述模塊或單元的劃分�����,僅僅為一種邏輯功能劃分�,實際實現(xiàn)時可以有另外的劃分方式�����,例如多個單元或組件可以結(jié)合或者可以集成到另一個系統(tǒng),或一些特征可以忽略�,或不執(zhí)行。另一點(diǎn)��,所顯示或討論的相互之間的耦合或直接耦合或通信連接可以是通過一些接口��,裝置或單元的間接耦合或通信連接���,可以是電性����,機(jī)械或其它的形式�。所述作為分離部件說明的單元可以是或者也可以不是物理上分開的,作為單元顯示的部件可以是或者也可以不是物理單元�,即可以位于一個地方,或者也可以分布到多個網(wǎng)絡(luò)單元上��?��?梢愿鶕?jù)實際的需要選擇其中的部分或者全部單元來實現(xiàn)本實施方式方案的目的�����。另外���,在本申請各個實施方式中的各功能單元可以集成在一個處理單元中,也可以是各個單元單獨(dú)物理存在���,也可以兩個或兩個以上單元集成在一個單元中�。上述集成的單元既可以采用硬件的形式實現(xiàn)����,也可以采用軟件功能單元的形式實現(xiàn)。所述集成的單元如果以軟件功能單元的形式實現(xiàn)并作為獨(dú)立的產(chǎn)品銷售或使用時����,可以存儲在一個計算機(jī)可讀取存儲介質(zhì)中?;谶@樣的理解,本申請的技術(shù)方案本質(zhì)上或者說對現(xiàn)有技術(shù)做出貢獻(xiàn)的部分或者該技術(shù)方案的全部或部分可以以軟件產(chǎn)品的形式體現(xiàn)出來�,該計算機(jī)軟件產(chǎn)品存儲在一個存儲介質(zhì)中,包括若干指令用以使得一臺計算機(jī)設(shè)備(可以是個人計算機(jī)��,服務(wù)器���,或者網(wǎng)絡(luò)設(shè)備等)或處理器(processor)執(zhí)行本申請各個實施方式所述方法的全部或部分步驟�。而前述 的存儲介質(zhì)包括U盤、移動硬盤�、只讀存儲器(ROM, Read-Only Memory)、隨機(jī)存取存儲器(RAM, Random Access Memory)����、磁碟或者光盤等各種可以存儲程序代碼的介質(zhì)。
權(quán)利要求
1.一種防止網(wǎng)絡(luò)攻擊的方法�����,其特征在于��,所述方法包括如下步驟 從因特網(wǎng)接收報文���,并判斷所述報文的長度是否大于閾值�; 如果所述報文的長度大于閾值�����,則將所述長度大于閾值的報文鏡像到從處理芯片�;根據(jù)鏡像到所述從處理芯片的所述長度大于閾值的報文的數(shù)量和頻率判斷是否受到攻擊; 如果受到攻擊���,則對所述長度大于閾值的報文進(jìn)行處理����。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于����,所述對所述長度大于閾值的報文進(jìn)行處理包括如下步驟 阻止向主處理芯片發(fā)送所述長度大于閾值的報文��,或限制向所述主處理芯片發(fā)送所述長度大于閾值的報文的流量��。
3.根據(jù)權(quán)利要求1-2任一權(quán)利要求所述的方法����,其特征在于,所述判斷報文的長度是否大于閾值的步驟之后包括如下步驟 如果所述報文的長度小于或等于閾值�,則將所述長度小于或等于閾值的報文發(fā)送給主處理芯片。
4.根據(jù)權(quán)利要求1所述的方法��,其特征在于�,還包括如果沒有受到攻擊或者攻擊停止,將接收到的所述報文發(fā)送給所述主處理芯片�。
5.根據(jù)權(quán)利要求4所述的方法,其特征在于����,所述判斷報文的長度是否大于閾值的步驟包括如下步驟 判斷所述報文的類型���; 如果所述報文的類型為網(wǎng)際控制信息協(xié)議報文,則判斷所述報文的長度是否大于256字節(jié)�; 如果所述報文的類型為用戶數(shù)據(jù)報協(xié)議報文,則判斷所述報文的長度是否大于I千字節(jié)��。
6.一種防火墻���,其特征在于���,包括交換芯片、主處理芯片以及從處理芯片�����,其中��,所述交換芯片耦接所述主處理芯片�; 所述交換芯片用于從因特網(wǎng)接收報文,并判斷所述報文的長度是否大于閾值�,并在所述報文的長度大于閾值時,將所述長度大于閾值的報文鏡像到從處理芯片�; 所述從處理芯片用于接收長度超過閾值的報文�����,根據(jù)鏡像到所述從處理芯片的所述長度大于閾值的報文的數(shù)量和頻率判斷是否受到攻擊����,并在受到攻擊時����,通過所述交換芯片對所述長度大于閾值的報文進(jìn)行處理�����。
7.根據(jù)權(quán)利要求6所述的防火墻���,其特征在于�,所述交換芯片具體用于阻止向主處理芯片發(fā)送所述長度大于閾值的報文����,或限制向所述主處理芯片發(fā)送所述長度大于閾值的報文的流量。
8.根據(jù)權(quán)利要求6-7任一權(quán)利要求所述的防火墻���,其特征在于����,所述交換芯片還用于在所述報文的長度小于或等于閾值時,將所述長度小于或等于閾值的報文發(fā)送給所述主處理芯片����。
9.根據(jù)權(quán)利要求6所述的防火墻,其特征在于����,所述交換芯片還用于在沒有受到攻擊或者攻擊停止時,將接收到的所述報文發(fā)送給所述主處理芯片����。
10.根據(jù)權(quán)利要求9所述的防火墻,其特征在于����,所述從處理芯片還用于判斷所述報文的類型,在所述報文的類型為網(wǎng)際控制信息協(xié)議報文時�����,判斷所述報文的長度是否大于256字節(jié)�;在所述報文的類型為用戶數(shù)據(jù)報協(xié)議報文時,判斷所述報文的長度是否大于I千字節(jié)�����。
11.根據(jù)權(quán)利要求6所述的防火墻,其特征在于�,所述從處理芯片集成在所述交換芯片內(nèi)。
12.根據(jù)權(quán)利要求6所述的防火墻�����,其特征在于�����,所述從處理芯片設(shè)置于所述交換芯片之外����,所述從處理芯片耦接所述交換芯片���。
全文摘要
本申請公開了一種防火墻以及防止網(wǎng)絡(luò)攻擊方法�����。其中���,所述方法包括如下步驟從因特網(wǎng)接收報文�����,并判斷報文的長度是否大于閾值��;如果報文的長度大于閾值�����,則將長度大于閾值的報文鏡像到從處理芯片�����;根據(jù)鏡像到從處理芯片的長度大于閾值的報文的數(shù)量和頻率判斷是否受到攻擊��;如果受到攻擊�����,則對長度大于閾值的報文進(jìn)行處理��。通過上述方法可以避免將大量的攻擊報文向主處理芯片發(fā)送���,從而保證主處理芯片具有足夠的資源處理正常報文,保證防火墻正常進(jìn)行業(yè)務(wù)轉(zhuǎn)發(fā)���。
文檔編號H04L29/06GK103051612SQ20121053922
公開日2013年4月17日 申請日期2012年12月13日 優(yōu)先權(quán)日2012年12月13日
發(fā)明者李雯 申請人:華為技術(shù)有限公司