专利名称:网络地址转换协议用户的网络接入控制方法
技术领域:
本发明涉及用户网络接入的方法,具体地说涉及到网络地址转换(NAT)协议的用户的网络接入控制方法。
为达到上述目的,本发明提供的NAT用户的网络接入控制方法,包括设置每个用户的网络连接数量控制值,当一个用户的当前网络连接数超过上述控制值时,中止该用户后续的网络接入;设置每个用户的网络连接速度控制值,当一个用户的当前网络连接速度超过上述控制值时,中止该用户后续的网络接入;所述方法包括建立连接数量控制表,用于保存为每个用户设置的网络连接数量控制值;建立当前连接数量表,用于保存用户当前网络连接数或保存用户当前可用网络连接数。
建立连接速度控制表,用于保存为每个用户设置的网络连接速度控制值;建立当前连接速度表,用于保存用户当前网络连接的速度或保存用户当前可用的网络连接速度。
设置任务定时器,用于按照设定的网络连接速度对用户的网络连接进行控制。
由于本发明采用网络连接总数控制和网络连接建立速度控制的方法对用户进行网络连接控制,当某个用户网络连接总数或网络连接速度超过设定值时,中止该用户后续的网络接入,从而能够有效地防范恶意用户滥用工具软件产生对NAT设备的攻击,使大多数用户的正常使用得到保护;同时,本发明还能够根据用户特性更有效地管理NAT设备资源;可以从一定程度上进行优先级控制;NAT用户连接总数控制和连接建立速度控制联合使用可以有效防范SYN(发起)报文和RST(终结)报文组合攻击。
首先,在NAT设备配置时可以通过配置不同的IP网段来区分用户,对于不同的用户对象采取差异化的连接总数限制,例如普通家庭用户的连接总数限制为一个较小的数量级,有特殊需求的用户,如网吧用户或集团用户可将连接总数限制为一个较大的数量级,具体情况视集团用户群体大小而定;其具体实现由两张表构成,即要建立两张表,第一张表为连接数量控制表,用于存放预先设置的每个用户连接总数的控制值,第二张表为当前连接数量表,用于保存用户当前网络连接数或保存用户当前可用网络连接数,第二张表的数值随着用户连接发生的变化而变化,是否允许用户需要建立连接的报文建立连接并通过NAT设备由两张表对应的数值比较而决定。假设,本发明具体实施时的连接数量控制表参考下表
当前连接数量表保存当前可用网络连接数,参考下表
上表说明,用户10.10.1.1在NAT设备上总共预先设置有建立20条会话连接的能力,现在已经用去10条,如果用户10.10.1.1继续发起连接,则“当前可用会话连接数”会继续下降,当降到0时,该用户如果不释放原来的连接则无法再通过NAT设备向Internet建立新的连接。当该用户释放原来的连接时,“当前可用会话数”会依次增长。这期间10.10.1.1的动作都不会影响其他用户。
其次,对于不同的用户对象可以采取差异化的连接建立的速度限制,例如普通家庭用户的连接建立速度限制为一个较小的数量级,有特殊需求的用户如网吧用户或集团用户可将连接速度限制为一个较大的数量级,具体情况视集团用户群体大小而定;其具体实现可以由两张表和一个定时器任务实现,一是建立连接速度控制表,用于保存为每个用户设置的网络连接速度控制值;二建立当前连接速度表,用于保存用户当前网络连接的速度或保存用户当前可用的网络连接速度;还要设置一个任务定时器,用于按照设定的网络连接速度对用户的网络连接进行控制。当然,上述具体实现也可以由一张表和一个任务组成,该表即为当前连接速度表,用于存放当前时间可以建立连接的总速度,该总速度随着连接的建立逐步减少,而所设置的任务定时器定时向该表按照预先设定的速度对这个连接速度控制数进行补充,从而达到了连接建立速度的控制。
用户每一个通过NAT对Internet的访问通常为一次会话(session),而NAT设备必须为每个会话建立一个公、私网特征数据对应关系的映射表以便进行数据报文的NAT转换,有了针对NAT用户连接总数的限制,NAT设备的有限资源的利用率得以提高,保证了绝大多数正常用户的使用,并且有利于NAT设备的正常运转。例如,在业务繁忙的时候,有了用户连接建立速度的限制,NAT设备就可以根据预先设定的速度限制,把超出限定值的用户的报文丢弃,由此也可以根据客户的重要程度来设定连接速度限制,从而在一定程度上达到保证重要客户先行即优先级的控制。
假设在本发明具体实施时的连接速度控制表为
当前连接速度表保存当前可用的网络连接速度,参考下表
则用户10.10.1.1在NAT设备上有10条/s会话连接建立的能力,现在已经用去5条,如果用户10.10.1.1继续发起连接,则“当前可用会话连接数”会继续下降,当降到0时,该用户无法再通过NAT设备向Internet建立新的连接。“当前可用会话连接数”会定时恢复到速度控制值。这期间10.10.1.1的任何动作都不会影响其他用户。
权利要求
1.一种网络地址转换协议(NAT)用户的网络接入控制方法,包括设置每个用户的网络连接数量控制值,当一个用户的当前网络连接数超过上述控制值时,中止该用户后续的网络接入;设置每个用户的网络连接速度控制值,当一个用户的当前网络连接速度超过上述控制值时,中止该用户后续的网络接入。
2.根据权利要求1所述的NAT用户的网络接入控制方法,其特征在于所述方法包括建立连接数量控制表,用于保存为每个用户设置的网络连接数量控制值;建立当前连接数量表,用于保存用户当前网络连接数或保存用户当前可用网络连接数。
3.根据权利要求1或2所述的NAT用户的网络接入控制方法,其特征在于所述方法包括建立连接速度控制表,用于保存为每个用户设置的网络连接速度控制值;建立当前连接速度表,用于保存用户当前网络连接的速度或保存用户当前可用的网络连接速度。
4.根据权利要求3所述的NAT用户的网络接入控制方法,其特征在于所述方法包括设置任务定时器,用于按照设定的网络连接速度对用户的网络连接进行控制。
全文摘要
本发明公开了一种NAT用户的网络接入控制方法,该方法设置每个用户的网络连接数量控制值,当一个用户的当前网络连接数超过上述控制值时,中止该用户后续的网络接入;设置每个用户的网络会话(session)连接速度控制值,当一个用户的当前网络会话连接速度超过上述控制值时,中止该用户后续的网络接入;采用上述方案能够有效地防范恶意用户滥用工具软件产生对NAT设备的攻击,使大多数用户的正常使用得到保护;同时还能够根据用户特性更有效地管理NAT设备资源。
文档编号H04L12/24GK1477816SQ0212900
公开日2004年2月25日 申请日期2002年8月23日 优先权日2002年8月23日
发明者吴海军, 付艳, 程珂 申请人:华为技术有限公司