专利名称:基于带宽管理的网络安全解决方法
技术领域:
本发明涉及互联网,特别涉及基于带宽管理的网络安全解决方法。
背景技术:
当前的网络安全解决方案主要分两种;集中式和全局式。 io
集中式
该方案是在安全路由器中实现对网络安全的控制的。在这类安全路 由器中通常包含控制网络安全的网络安全模块。系统管理员在路由器上 配置安全策略,当网络中出现违反安全策略的流量时,路由器将根据事 先配好的策略对该异常流量采取相应的动作,如告警,阻断等。网络拓扑图如图l:
集中式的安全解决方案特点如下
系统网络管理员在路由器上配置相应的安全策略。便于管理。
能根据事先配置的安全策略对流经路由器的流量进行监控,当网
络流量出现异常时能通过告警等方式通知给系统管理员,以便釆取进一 20 步措施。
全局式
如图2所示,该方式利用多个网络组件来实现对网络的全面的安全管
理,这些网络组件通常包括安全路由器,网络安全客户端和多种类型
的服务器,如网络安全管理服务器,用户认证服务器,网络安全修复服
25 务器等等。
系统管理员事先在网络安全管理服务器上配置好安全策略,安全路 由器根据这些安全策略监控网络流量,但发现网络出现异常流量时,安 全路由器将根据策略处理该异常流量,同时就把该异常信息报告到网络 安全管理服务器,网络安全管理服务器可以通过事先配好的策略,与其 30 他网络组件一起完成对网络的修复工作,如当安全路由器发现流量中有
病毒时,它将该信息通知给网络安全管理服务器,网络安全管理服务器 可以将病毒信息告诉给网络安全修复服务器和安全客户端,安全客户端 从安全修复服务器中下载病毒补丁,以自动修复系统。
全局式的安全解决方案特点如下
当网络中出现异常时,安全系统能够通过多个网络组件的联动来实现网络的自动修复。
通过服务器的方式来实现安全策略,病毒库特征,病毒补丁的集中管理。
现有技术存在的问题是
1)集中式
该网络安全解决方案只能提供异常流量的监控,不能对导致该异 常的行为进行修复。
2)全局式
a)对于陌生的病毒,安全系统无法自动修复。
b)不能有效的防止病毒或恶意用户对内部网络的攻击,可能导致内部网络的瘫痪。
发明内容
针对现有的网络解决方法,本发明的目的是提供一种基于带宽管理 的网络安全解决方法,
为实现上述目的, 一种基于带宽管理的网络安全解决方法,包括步骤
当带宽服务器接收到异常流量信息的消息时,通知至少一个主机的client;
Client将主机端口的速率降到网络管理员配置的最小带宽。
本发明对每个主机进行精细控制,保证L認的安全。由于每台主机自 我约束往外的带宽,避免了出口点的拥塞。本发明能有效避免恶意用户 对网络的破坏和避免不知名病毒对网络的攻击。
图l是集中式的网络拓扑图2是全局式网络拓扑图表3基于带宽管理的网络安全技术;
图表4基于带宽的网络安全解决方案一客户端控制面Registrar工作 5流程;
图表5基于带宽的网络安全解决方案一客户端数据面Shaper功能结构;
图表6基于带宽的网络安全解决方案一Server端维护的主机状态变迁。
具体实施例方式
对于图表3基于带宽管理的网络安全技术,301、 302、 303表示个人 主机,内部运行Client software部件,304表示LAN, 305表示具有病毒 检测和流量监控功能的Router, 306表示Internet, 307表示网络安全修 is复服务器,308表示网络安全管理服务器,309为新增的带宽管理服务器。
整个方案的设计方法如下.-
1.整个管理系统由一个运行在带宽管理服务器和分布于各个主机的 Client software部件组成。这个带宽管理服务器可以向主机下 发指令来限制内部网的任一主机的traffic流量。
2.主机客户端软件功能1)主机端口流量限速当client接受到server发来的端口流量异 常的消息,client就自动把端口的速率降到网络管理员配置的 最小带宽。这样就制约了主机恶意或在病毒影响下往内网发送 异常流量,从而保护了LAN的安全。 25 2)当主机停止了恶意攻击行为或不知名的病毒被杀除后,client软件将通过消息告诉带宽管理服务器,就可以正常地访问内外 网。3.带宽管理服务器的功能是1)从网络安全管理服务器得到相应的异常流量信息
2) 当接收到异常流量信息的消息时,能根据系统管理员事先配好
的管理策略对异常流量进行管理,如通知client来限定主机端 口带宽。
3) 管理各个主机的流量状态。Server将维护一个所有主机的流量 状态DB。当router定期地把所有当前的主机流量情况报告给
server时,server就和它维持的DB比对,发现出现异常流量的 主机,就发送消息给此主机,触发client来限制主机端口带宽。
4) 当Server接收到来自主机的特殊带宽请求时,它将根据请求的 用途,时间等来更新主机流量状态DB。
图4描述客户端Registrar工作流程。
401 Registrar启动,初始化本主机的traffic参数为0,即禁止访问 夕卜部Internet。
402主机向逻辑Server发送HELLO-request,同时设置Timer A, 时长为t分钟。
403在Timer A溢出之前一直等待接收来自Server的 HELLO-r印ly。
404收到了HELL0-r印ly并进行处理。
405提取出Server回应的traffic参数,看是否和存储在本机上的 traffic参数一致。如果一样,则等待Timer A的溢出。
4 06如果traffic参数有变化,则将这个traffic参数配置到本机。然 后等待Timer A的溢出。
407 Timer A溢出,进入402,开始下一个循环。
本文所述的HELL0-request/服LLO-r印ly是主机和server之间的交互 报文。其中HELL0-request的内容必须唯一的标识一个主机,如包含主机的IP地址,或其它唯一性标识。HELLO-r印ly中必须含有server配置给主 机的traffic参数。
图5描述客户端Shaper功能结构。
501对输入的IP流根据其目的IP地址(对应于出方向)或源IP地 址(对应于进方向)进行分类。
502表示存储在本机上的traffic参数,它由控制面的Registrar配
置,由数据面的Shaper使用。
503 RED Shaper根据502中的参数对访问外部的IP包分别对进/
出方向的流量进行整形。
图6描述Server所维护的主机状态变迁。
601表示主机状态INACTIVE
602表示主机状态ACTIVE
603 Server在初始时将主机置为INACTIVE态,同时指令Router, 禁止此主机访问Internet 。
604 Server收到来自主机的HELLO-request,将这个主机的状态
io置为ACTIVE,并为其设置Timer A,时长为t,同时指令Router,允许此 主机访问Internet 0
605 Server在t内收到了来自ACTIVE状态下主机的 HELLO-request。 Server复位用于这个主机的Timer A。
606 Server在t内没有收到来自此主机的HELLO-request。即用于
15 这个主机的Timer A溢出,Server将这个主机的状态置为INACTIVE,同时 指令Router禁止此主机访问Internet 。 主机和server之间的消息传递使 用UDP。
权利要求
1. 一种基于带宽管理的网络安全解决方法,包括步骤当带宽服务器接收到异常流量信息的消息时,通知至少一个主机的client;Client将主机端口的速率降到网络管理员配置的最小带宽。
2. 根据权利要求l所述的方法,其特征在于当带宽管理服务器接收到来 自主机的特殊带宽请求时,根据请求的用途、时间来更新主机流量状态。
3. 根据权利要求l所述的方法,其特征在于所述带宽管理服务器回应给 io 主机的client的消息中包括分配给主机的traffic参数。
4. 根据权利要求l所述的方法,其特征在于所述主机的Client发给带宽 管理服务器的消息中包括主机的唯一性标识和主机申请的traffic参数。
全文摘要
一种基于带宽管理的网络安全解决方法,包括步骤当带宽服务器接收到异常流量信息的消息时,通知至少一个主机的client;Client将主机端口的速率降到网络管理员配置的最小带宽。本发明对每个主机进行精细控制,保证LAN的安全。由于每台主机自我约束往外的带宽,避免了出口点的拥塞。本发明能有效避免恶意用户对网络的破坏和避免不知名病毒对网络的攻击。
文档编号H04L12/24GK101207511SQ200610170210
公开日2008年6月25日 申请日期2006年12月21日 优先权日2006年12月21日
发明者王吉忠 申请人:北京三星通信技术研究有限公司;三星电子株式会社