专利名称::一种保护网络安全的方法和网络安全保护设备的制作方法
技术领域:
:本发明涉及通信
技术领域:
,尤其涉及一种保护网络安全的方法和网络安全保护设备。
背景技术:
:随着通信技术的发展,人们开始大量使用ping程序,它是一种应用程序。Ping程序的目的是发送一种网络控制信息协议(ICMP,InternetControlMessageProtocol)查询报文(回显请求数据)给某台主机,并等待返回ICMP回显应答数据,用来测试这台主机是否可达。但是,人们在使用ping程序的过程中,受到一些网络攻击行为的困护L,比如pingflood攻击,pingflood攻击是指攻击者将大量ICMP回显请求(pingrequest)或回显应答(pingreply)数据包通过外网发送给内网的受害主机或网络,这种攻击可能会导致许多不良后果,例如内网带宽被严重消耗,正常业务无法运作;受害主机性能严重受影响,甚至产生拒绝服务;可能使局域网成为反射攻击工具。现有技术中,对这种攻击的防御方法主要有对个别特征明显的攻击方法,如pingofdeath,采用特征4全查方法,防御效果比较好;对特征不明显的攻击方式,釆用"会话记录"、"限流"等方式,防御效果不理想。例如,在双向环境应用的防御方案是在防火墙(或其它网络安全保护设备)中记录从内网发出的ping回显请求数据包,并存储在防火墙内存或其它存储区域,当ping回显应答数据包到达防火墙时,进行一个记录匹配比对工作,把与记录不一致的ping回显应答数据包丟弃,把能匹配的ping回显应答数据包接收下来。这种方法称之为"会话记录"方法,其有一些局限性或缺点在某些网络条件下这种方法并不适用,比如单向环境;当从内网发出的ping回显请求数据较多时,会占用大量网络安全保护设备内存。而在单向数据流环境中应用的防御方案中,网络安全保护设备不能串行接入到用户网络中,网络安全保护设备只能监控从外网进入内网的数据包,而不能监控从内网发出去的数据包,所以也就无法鉴别从内网发送出去的ping回显请求数据包,因而上述"会话记录"方法无效,此时大部分网络安全保护设备釆用了简单的"限流"方法,即限制ping数据包的通过流量。这种"限流"方法的主要局限性或缺点主要有误判率高,ping攻击发生时,正确、合法的ping数据包可能无法通过,而攻击性的数据包可能通过网络安全保护设备进入内网。
发明内容本发明实施例提供了一种保护网络安全的方法和网络安全保护设备,使用本发明实施例提供的技术方案,有效地防范pingflood攻击。本发明实施例的目的是通过以下技术方案实现的一种保护网络安全的方法,包括接收原始ping数据包;获取验证值,在所述原始ping数据包的选项数据字段加入所述验证值;对加入了所述验证值的原始ping数据包进行编码,得到ping回显请求数据包;向外网发送所述ping回显请求数据包;验证来自外网的ping回显应答数据包的选项数据字段是否包含有与所述验证值匹配的值;当所述选项数据字段包含有与所述验证值匹配的值时,对所述ping回显应答数据包进行解码;向内网发送解码后的ping回显应答数据包。一种网络安全保护设备,包括接收单元,用于接收原始ping数据包以及来自外网的ping回显应答数据包;验证设置单元,用于获取验证值,在所述接收单元接收的所述原始ping数据包的选项数据字段加入所述验证值;验证单元,用于验证来自外网的ping回显应答数据包的选项数据字段是否包含有与所述验证值匹配的值;编解码单元,用于对加入了所述验证值的原始ping数据包进行编码,得到ping回显请求数据包,当所述验证单元验证所述选项数据字段包含有与所述验证值匹配的值时,对所述ping回显应答数据包进行解码;发送单元,用于向外网发送所述编解码单元编码得到的ping回显请求数据包以及向内网发送所述编解码单元解码后的ping回显应答数据包。从本发明实施例可知,由于网络安全保护设备利用ping数据包中的选项数据字段往返不变的特性,对在单向或双向的数据流环境下接收到的ping回显应答数据包中的选项数据字段与所获取的验证值是否匹配进行验证,能有效地防范pingflood攻击,并且能少占用或不占用网络安全保护设备较多内存就能实现对ping数据包的监控。图l是本发明实施例中保护网络安全的方法的实施例一的流程示意图;图2是本发明实施例中保护网络安全的方法的实施例二的流程示意图;图3是本发明实施例中保护网络安全的方法的实施例三的流程示意图;图4是本发明实施例中保护网络安全的方法的实施例四的流程示意图;图5是本发明实施例中保护网络安全的方法的实施例五的流程示意图;图6是本发明实施例中保护网络安全的方法在双向环境中的示意图;图7是本发明实施例中保护网络安全的方法在单向环境中的示意图;图8是本发明实施例中网络安全保护设备的实施例一的结构示意图;图9是本发明实施例中网络安全保护设备的实施例一的具体结构示意图。具体实施例方式为使本发明的目的、技术方案、及优点更加清楚明白,以下参照附图并举实施例,对本发明进一步详细说明。在陈述本发明的实施例之前,先筒要介绍ping数据包的报文格式ping数据包的才艮文才各式如下078151631<table>tableseeoriginaldocumentpage10</column></row><table>如果是Ping回显请求数据包,则[类型]字4殳为8,如果是Ping回显应答数据包,则[类型]字段为0;[代码]字段在两种情况下都为O;报文中的[标识符]、[序号]字段由发送端(Client)任意选择设定,这些值在应答中将被返回,这样,发送端就可以把回显应答数据包与回显请求数据包进行匹配;[选项数据]字段可以有,也可以没有,也是由发送端(Client)任意设定,接收端(Server)必须将[选项数据]字段原样返回。保护网络安全的方法的实施例一如图l所示,保护网络安全的方法步骤包括步骤IOI:网络安全保护设备接收原始ping数据包。所述原始ping数据包是指网络安全保护设备还未加入验证值的ping数据包,原始ping数据包可以是来自内网的原始ping回显请求数据包或者来自外网的原始ping回显应答数据包,下同。步骤102:网络安全保护设备获取验证值,在所述原始ping数据包的选项数据字段加入验证值。步骤103:网络安全保护设备对加入了所述验证值的原始ping数据包进行编码,得到ping回显请求数据包。步骤104:网络安全保护设备向外网发送所述ping回显请求数据包。数据字段是否包含有与所述验证值匹配的值。所述匹配是指ping回显应答数据包的选项数据字段中包括有与在所述原始ping数据包的选项数据字段加入的验证值相同的值,或者指利用特定算法对提取的ping回显应答数据包的特性数据进行计算,得到的值与ping回显应答数据包的选项数据字段带有的-验证值是相同的等多种情况,本实施例对此不作限制。步骤106:当选项数据字段包含有与所述验证值匹配的值时,网络安全保护设备对所述ping回显应答数据包进行解码。步骤107:网络安全保护设备向内网发送解码后的ping回显应答数据包。从本实施例可知,利用ping数据包的选项数据字段由发送端(Client)设定,接收端(Server)必须将选项数据字^1原样返回的原理,网络安全保护设备在对ping回显请求数据包的选项数据字段加入验证值,网络安全保护设备对在单11向或双向的数据流环境下接收到的ping回显应答数据包中的选项数据字段是否包含有与所述验证值匹配的值进行验证,由于不用在网络安全保护设备的内存中记录通过的原始ping凄l据包的完整内容,所以可以少占用或不占用网络安全保护设备内存,就能实现对ping数据包的监控及有效地防范pingflood攻击。由于在选项数据字段中加入了验证值,因而必须进行适应性的编码,以便对加入了验证值的数据包进行正常的发送与接收。编码方式将在下文中举例力n以i兌明。保护网络安全的方法的实施例二(以预先设定好的固定值作为-睑证值)如图2所示,保护网络安全的方法步骤包括步骤101-1包括网络安全保护设备接收原始ping数据包。步骤102-1包括网络安全保护设备获取预先设定的固定值,网络安全保护设备在原始ping数据包的选项数据字段加入所述固定值作为验证值。步骤103-1包括网络安全保护设备对加入了所述固定值的原始ping数据包进行编码,得到ping回显请求数据包。步骤104-1包括网络安全保护设备向外网发送所述ping回显请求数据包。步骤105-1包括网络安全保护设备验证ping回显应答数据包的选项数据字段是否含有所述固定值。步骤106-1包括当所述选项数据字段含有所述固定值时,网络安全保护i殳备对所述ping回显应答数据包进行解码。步骤107-1包括网络安全保护设备向内网发送解码后的ping回显应答数据包。所述固定值的数量不限,可以是一个,也可以是多个,所述固定值的获取方式可以是用户在网络安全保护设备上保存的固定的值,也可以是网络安全设备随机计算的值。使用固定值作为验证值,优点在于简便易行,不用在网络安全设备上保存原始ping数据包的完整内容,只需要在网络安全保护设备保存固定值,对于经过的原始ping数据包只需打上固定值的印迹,出于安全考虑要进行检查时,网络安全保护设备检查接收的ping回显应答数据包是否有匹配的固定值即可。这种方法相对于保存原始ping数据包的完整内容来说,只保存固定值即可以达到节约网络安全保护设备的内存资源的目的。保护网络安全的方法的实施例三(通过特定算法计算特性数据得到的验证值)如图3所示,保护网络安全的方法步骤包括步骤101-2包括网络安全保护设备接收原始ping数据包。步骤102-2包括网络安全保护设备根据接收到的原始ping数据包携带的特性数据以特定算法进行运算得到验证值;在所述原始ping数据包的选项数据字段中加入所述验证值。步骤103-2包括网络安全保护设备对加入了所述-验证值的原始ping数据包进行编码,得到ping回显请求数据包。步骤104-2包括网络安全保护设备向外网发送所述ping回显请求数据包。步骤105-2包括网络安全保护设备当ping回显应答数据包的选项数据字段含有所述验证值时,利用所述特定算法根据ping回显应答数据包携带的特性数据进行运算得到值,验证所述值是否与所述验证值相同。步骤106-2包括当利用所述特定算法根据ping回显应答数据包携带的特性数据进行运算,得到的值与所述验证值相同时,网络安全保护设备对所述ping回显应答数据包进行解码。步骤107-2包括网络安全保护设备向内网发送解码后的ping回显应答数据包。使用根据原始ping数据包携带的特性数据以特定算法进行运算得到验证值的方法,优点在于当即使欲通过网络安全保护设备进入内网,进行攻击活动的恶意的数据包能在选项数据字段伪造与加入原始ping数据包的验证值相同的值,但是,由于数据包自身的特性数据往往是特定的,也即是数据包如果被篡改成或原来就是恶意的数据包,它的特性数据也会发生变化或者与安全的数据包的特性数据不一样,利用这种不一样的特性数据进行计算,得到的值往往与恶意的数据包在选项数据字段伪造的值是不一样的,因而无法通过验证,根据特定的特性数据计算而得的验证值具有较高的安全性。与"第一种方式以用户事先设定好的固定值作为验证值,,相比,更优的是,在网络安全保护设备上不用保存验证值,对于经过的原始ping数据包只需打上验证值的印迹,出于安全考虑要进行检查时,网络安全保护设备利用特定算法对接收的ping回显应答数据包携带的特性数据进行计算得到一个值,当这个值与在ping回显应答数据包选项数据字段呈现的所述验证值一致时,判定ping回显应答数据包是安全的。这种方法相对于保存原始ping数据包的完整内容来说,可以达到节约网络安全保护设备的内存资源的目的。保护网络安全的方法的实施例四(通过特定算法计算特性数据与固定值得到的验证值)如图4所示,保护网络安全的方法步骤包括步骤101-3包括网络安全保护设备接收原始ping数据包。步骤102-3包括网络安全保护设备根据预先设定的固定值和原始ping数据包携带的特性数据以特定算法进行运算得到验证值;在所述原始ping数据包的选项数据字段中加入所述验证值。步骤103-3包括网络安全保护设备对加入了所述验证值的原始ping数据包进行编码,得到ping回显i會求li据包。步骤104-3包括网络安全保护设备向外网发送所述ping回显请求数据包。步骤105-3包括网络安全保护设备当接收的ping回显应答数据包的选项数据字段含有所述验证值时,利用所述特定算法根据所述固定值和所述ping回显应答数据包携带的特性数据进行运算得到值,验证所述值是否与所述验i正-f直相同。步骤106-3包括当利用所述特定算法根据所述固定值和所述ping回显应答数据包携带的特性数据进行运算,得到的值与所述验证值相同时,网络安全保护设备对所述ping回显应答数据包进行解码。步骤107-3包括网络安全保护设备向内网发送解码后的ping回显应答数据包。在验证值的计算中加入固定值的因素,由于该固定值是由网络安全保护设备所掌握,外网无法得知固定值,可以使得计算的复杂性增加,成功伪装并通过验证的机率下降,增加了攻击者进行数据包伪造的难度。这种方法需要在网络安全保护设备上保存固定值,相对于保存原始ping数据包的完整内容来说,可以达到节约网络安全保护设备的内存资源的目的。保护网络安全的方法的实施例五(通过特定算法计算特性数据与固定值得到的第一验证值并且在选项数据字段中加入所述第一验证值和固定值作为验证值)如图5所示,保护网络安全的方法步骤包括步骤101-4包括网络安全保护设备接收原始ping数据包。步骤102-4包括网络安全保护设备根据预先设定的固定值和原始ping数据包携带的特性数据以特定算法进行运算得到第一验证值;在所述原始ping数据包的选项数据字段中加入所述第一验证值和所述固定值作为验证值。步骤103-4包括网络安全保护设备对加入了所述验证值的原始ping数据包进行编码,得到ping回显请求数据包。步骤104-4包括网络安全保护设备向外网发送所述ping回显请求数据包;步骤105-4包括网络安全保护设备当ping回显应答数据包的选项数据字段含有所述固定值且当所述选项数据字段含有所述第一验证值时,利用所述特定算法冲艮据所述固定值和所述ping回显应答数据包携带的特性数据进行运算得到值,验证所述值是否与所述第一验证值相同。步骤106-4包括网络安全保护设备当利用所述特定算法根据所述固定值和所述ping回显应答数据包携带的特性数据进行运算,得到的值与所述第一验证值相同时,对所述ping回显应答数据包进行解码。步骤107-4包括网络安全保护设备向内网发送解码后的ping回显应答数据包。在选项数据字段中加入固定值和第一验证值作为验证值,先对是否是正确的固定值进行验证,再对是否是有匹配的第一验证值进行验证,可以对接收的ping回显应^lt据包进行两次验证,这种方法除了具有"第三种方式,,的优点即相对于保存原始ping数据包的完整内容来说,可以达到节约网络安全保护设备的内存资源的目的之外,还具有更好的防范效果。以上四种方式中的原始ping数据包如前所述,可以是来自外网的原始ping回显应答数据包或来自内网的原始ping回显请求数据包。上述特定算法可以是哈希算法。哈希算法是一种单向函数,运算该原理,可将任意长度的二进制值映射为固定长度的较小二进制值,这个小的二进制值就称为哈希值。哈希值是一段数据的数值表示形式。举例,当将一段纯文本进行哈希运算后,得到一个哈希值,即使只更改该段纯文本中的一个字母,得到的哈希值都几乎不一样。即是要找到经过哈希运算后得到相同哈希值的数据,在计算上是不太可行的。进而,可以得到这样的结论当对一个数据包提取其特征数据进行哈希运算后得到的哈希值与数据包在选项数据字段呈现的哈希值相同时,说明该数据包的数据未被篡改,即是原来的数据。例如,当所述原始ping数据包是来自外网的原始ping回显应答数据包时,哈希算法利用的所述特征数据可以是源IP地址,目的IP地址,所述原始ping回显应答数据包的数据包生存时间。当所述原始ping数据包是来自内网的原始ping回显请求数据包时,哈希算法利用的所述特征数据可以是源IP地址,目的IP地址。例如,在选项数据后加入2字节的固定值FLAG和2字节的哈希值H,共4个字节,H的计算方法如下H=Hash(FLAQSIP,DIP,TTL),其中,SIP为客户的IP地址,DIP为服务器的IP地址,TTL为IP包生存期。FLAG值相对固定,可以由预先设定在网络安全保护设备中,可以用于区别是否是经过编码的Ping请求应叙艮文。FLAG和H值的长度可根据需要进行扩展,比如各占4个字节。使用哈希算法可以有相当大的弹性去控制验证值的复杂程度,实现更优地防止ping恶意攻击。当然,哈希算法只是特定算法中的一种,该例并不构成对特定算法的限定,只要是能达到本发明的目的的特定算法都在此列。现举例说明单向环境下对哈希算法的利用如图6所示,步骤l:外网向网络安全保护设备发送原始ping回显应答数据包。步骤2:网络安全保护设备构造验证值,在所述原始ping回显应答数据包的选项数据字段中加入验证值,网络安全保护设备向外网发送所述编码构造的ping回显请求数据包,如前所述,将类型字^:从0变到8,就可以将所述原始ping回显应答数据包的类型改变为ping回显请求数据包,再对所述原始ping回显应答数据包的网络协议(IP,InternetProtocol)头的源IP地址与目的IP地址交换,重新计算并修改原始ping回显应答数据包的网络控制信息协议ICMP报文校验和与IP头校验和字段,修改所述IP头的长度字段,编码构造出ping回显请求数据包,该步骤中的从将类型字段从0变到8,直到修改所述IP头的长度字段这一部分内容即是前文提到的编码,这是由于在选项数据字段中加入了验证值,进而数据包会自行地改变数据包一些用于安全检查之用的数据如校验和字段的值,为了能对数据包进行顺利的发送,在这个环节需要进行对前述的多种字段进行交换或修改,对于通过了验证的数据包,就需要进行过程相对应的解码步骤,才能得到能对之进行顺利发送的数据包。步骤3:外网向网络安全保护设备发送ping回显应答数据包。步骤4:对于通过验证的ping回显应答数据包,网络安全保护设备经过解码后,向内网发送解码后的ping回显应答数据包。步骤5:对于未通过验证的ping回显应答数据包,网络安全保护设备丢弃。对于来自外网的原始ping回显应答数据包,采取在网络安全保护设备中构建验证值和将原始ping回显应答数据包构建成一个已经通过网络安全保护设备的ping回显请求数据包,并向外网发送所述ping回显请求数据包的方案,由于现有的大部分ping攻击包的有一个共性,就是采用这种方案后,就不会再次回来要求进入内网,因此,可以减少ping攻击包的进攻。现举例说明双向环境下对哈希算法的利用如图7所示,步骤01:内网的用户设备向网络安全保护设备发送原始ping回显请求数据包。步骤02:网络安全保护设备构造验证值,在所述原始ping回显请求数据包的选项数据字段中加入验证值,类型字段不变,重新计算并修改原始ping回显请求数据包的网络控制信息协议ICMP报文校验和与IP头校验和字段,修改所述IP头的长度字段,编码构造出ping回显请求数据包,网络安全保护设备向外网发送ping回显请求数据包。步骤03:外网向网络安全保护设备发送ping回显应答数据包。步骤04:对于通过验证的ping回显应答数据包,网络安全保护设备经过解码后,向内网发送解码后的ping回显应答数据包。步骤05:对于未通过验证的ping回显应答数据包,网络安全保护设备丟弃。本发明实施例还提供网络安全保护设备,网络安全保护设备的实施例可以包括^旦不限于以下几种网络安全保护设备的实施例一如图8所示,该网络安全保护设备包括接收单元201,用于接收原始ping数据包以及来自外网的ping回显应答数据包。验证设置单元202,用于获取验证值,在所述接收单元201接收的所述原始ping数据包的选项数据字段加入验证值。验证单元204,用于验证来自外网的ping回显应答数据包的选项数据字段是否包含有与所述验证值匹配的值。编解码单元205,用于对加入了所述验证值的原始ping数据包进行编码,得到ping回显请求数据包,当所述验证单元204验证所述选项数据字段包含有与所述验证值匹配的值时,对所述ping回显应答数据包进行解码。发送单元203,用于向外网发送所述编解码单元205编码得到的ping回显请求数据包以及向内网发送所述编解码单元解码后的ping回显应答数据包。从本实施例可知,由于利用了ping数据包的选项数据字段由发送端(Client)设定,接收端(Server)必须将选项数据字段原样返回的原理,网络安全保护设备在对ping回显请求数据包的选项数据字段加入验证值,网络安全保护设备对在单向或双向的数据流环境下接收到的ping回显应答数据包中的选项数据字段是否匹配进行验证,能有效地防范pingflood攻击,并且由于不用在网络安全保护设备的内存中记录通过的原始ping数据包的完整内容,所以可以少占用或不占用网络安全保护i更备4支多内存就能实现对ping数据包的监控。如图9所示网络安全保护设备的实施例一的具体结构包括接收单元201包括原始接收单元201-01与外网接收单元201-02。原始接收单元201-01用于接收原始ping数据包;夕卜网接收单元201-02用于接收来自外网的ping回显应答it据包。验证设置单元202包括获取单元202-01和设置单元202-02。获取单元202-01用于获取验证值;设置单元202-02用于在所述原始接收单元20-01接收的原始ping数据包的选项数据字段加入验证值。验证单元204-0用于验证来自外网的ping回显应答数据包的选项数据字段是否包含有与所述验证值匹配的值。编解码单元205包括编码单元205-01和解码单元205-02。编码单元205-01用于对所述设置单元202-02加入了所述验证值的原始ping数据包进行编码,得到ping回显请求数据包;解码单元205-02用于当所述验证单元204-0验证所述选项数据字段包含有与所述验证值匹配的值时,对所述ping回显应答数据包进行解码。发送单元203包括向外发送单元203-01和向内发送单元203-02。向外发数据包;向内发送单元203-02用于向内网发送所述解码单元205-02解码后的ping回显应答数据包。网络安全保护设备的实施例二(以预先设定好的固定值作为验证值)网络安全保护设备的实施例二的具体结构示意图与图9相同,该网络安全保护设备包括所述原始接收单元201-01用于接收原始ping数据包。所述外网接收单元201-02用于接收来自外网的ping回显应答数据包。所述获取单元202-01用于获取预先设定的固定值作为验证值。所述设置单元202-02用于在所述原始接收单元201-01接收的原始ping数据包的选项数据字段加入所述固定值。所述编码单元205-01用于对加入了所述固定值的原始ping数据包进行编码,得到ping回显请求数据包。所述验证单元204-0用于验证所述外网接收单元201-02接收的来自外网的ping回显应答数据包的选项数据字段是否含与所述固定值相同的值。有与所述固定值相同的值时,对所述ping回显应答数据包进行解码。的ping回显请求数据包。ping回显应答数据包。使用固定值作为验证值,优点在于简便易行,不用在网络安全设备上保存经过的原始ping数据包的完整内容,只需要在网络安全保护设备保存固定值,对于经过的原始ping数据包只需打上固定值的印迹,出于安全考虑要进行检查时,网络安全保护设备只检查经过的ping回显应答数据包是否有匹配的固定值即可。这种网络安全保护设备相对于保存原始ping数据包的完整内容来说,只保存固定值是可以达到节约网络安全保护设备的内存资源的目的的。网络安全保护设备的实施例三(通过特定算法计算特性数据得到验证值)网络安全保护设备的实施例三的具体结构示意图与图9相同,该网络安全保护设备包括所述原始接收单元201-01用于接收原始ping数据包。所述外网接收单元20卜02用于接收来自外网的ping回显应答数据包。所述获取单元202-01用于根据所述原始接收单元201-01接收的原始ping数据包携带的特性数据以特定算法进行运算得到验证值。所述设置单元202-02用于在所述原始接收单元201-01接收的原始ping数据包的的选项数据字段中加入运算得到的所述验证值。所述编码单元205-01用于对加入了运算得到的所述验证值的原始ping数据包进行编码,得到ping回显请求数据包。所述验证单元204-0用于当所述外网接收单元201-02接收的来自外网的ping回显应答数据包的选项数据字段含有所述验证值时,利用所述特定算法根据ping回显应答数据包携带的特性数据进行运算以验证运算得到的值是否与所述验证值相同。据ping回显应答数据包携带的特性数据进行运算得到的值与所述验证值相同时,对所述ping回显应答数据包进行解码。的ping回显请求数据包。所述向内发送单元203-02用于向内网发送所述解码单元205-02解码后的ping回显应答数据包。使用根据原始ping数据包携带的特性数据以特定算法进行运算得到验证值的方法,优点在于当即使欲通过网络安全保护设备进入内网,进行攻击活动的恶意的数据包能在选项数据字段伪造与加入原始ping数据包的验证值相同的值,但是,由于数据包自身的特性数据往往是特定的,也即是数据包如果被墓改成或原来就是恶意的数据包,它的特性数据也会发生变化或者与安全的数据包的特性数据不一样,利用这种不一样的特性数据进行计算是往往无法通过验证的,因而,根据特定的特性数据计算而得的验证值具有较高的安全性。与"第一种方式"相比,第二种方式更优的是,在网络安全保护设备上不用保存验证值,对于经过的原始ping数据包只需打上验证值的印迹,出于安全考虑要进行检查时,网络安全保护设备利用特定算法对接收的ping回显应答数据包携带的特性数据进行计算得到一个值,当这个值与在ping回显应答数据包选项数据字段呈现的验证值一致时,判定ping回显应答数据包是安全的。这种网络安全保护设备相对于保存原始ping数据包的完整内容来说或第二种方式来说,可以达到节约网络安全保护设备的内存资源的目的。网络安全保护设备的实施例四(通过特定算法计算特性数据与固定值得到验证值)网络安全保护设备的实施例四的具体结构示意图与图9相同,该网络安全保护设备包括所述原始接收单元201-01用于接收原始ping数据包。所述外网接收单元201-02用于接收来自外网的ping回显应答数据包。所述获取单元202-01用于根据预先设定的固定值和所述原始接收单元201-01接收的原始ping数据包携带的特性数据以特定算法进行运算得到验证值。所述设置单元202-02用于在所述原始接收单元201-01接收的原始ping数据包的选项数据字段中加入运算得到的所述验证值。所述编码单元205-01用于对加入了运算得到的所述验证值的原始ping数据包进行编码,得到ping回显请求数据包。所述验证单元204-0用于当所述外网接收单元201-02接收的来自外网的ping回显应答数据包的选项数据字段含有所述验证值时,利用所述特定算法根据所述固定值和所述ping回显应答数据包携带的特性数据进行运算以验证运算得到的值是否与所述验证值相同。据所述固定值和所述ping回显应答数据包携带的特性数据进行运算得到的值与所述验证值相同时,对所述ping回显应答数据包进行解码。的ping回显请求数据包。所述向内发送单元203-02用于向内网发送所述解码单元205-02解码后的ping回显应答it据包。在验证值的计算中加入固定值的因素,由于该固定值是由网络安全保护设备所掌握,外网无法得知固定值,可以使得计算的复杂性增加,成功伪装并通过验证的机率下降,增加了攻击者进行数据包伪造的难度。这种网络安全保护设备需要保存固定值,相对于保存原始ping数据包的完整内容来说,可以达到节约络安全保护设备的内存资源的目的。网络安全保护设备的实施例五(通过特定算法计算特性数据与固定值得到第一验证值,在选项数据字段中加入固定值和第一验证值作为验证值)网络安全保护设备的实施例五的具体结构示意图与图9相同,该网络安全保护设备包括所述原始接收单元201-01用于接收原始ping数据包。所述外网接收单元201-02用于接收来自外网的ping回显应答数据包。所述获取单元202-01用于根据预先设定的固定值和原始ping数据包携带的特性数据以特定算法进行运算得到第一验证值。所述设置单元202-02用于在所述原始接收单元201-01接收的原始ping数据包的选项数据字段中加入所述第一验证值和所述固定值作为验证值。所述编码单元205-01用于对加入了所述-睑证值的原始ping数据包进行编码,得到ping回显请求数据包。所述验证单元204-0用于当所述外网接收单元201-02接收的来自外网的含有;斤述第一验证值时:利用^所iT特定算法根据所述固定值和所述ping回:应答数据包携带的特性数据进行运算以验证运算得到的值是否与所述第一验证值相同。据所述固定值和所述ping回显应答数据包携带的特性数据进行运算得到的值与所述第一验证值相同时,对所述ping回显应答数据包进行解码。的ping回显请求数据包。所述向内发送单元203-02用于向内网发送所述解码单元205-02解码后的ping回显应答数据包。在选项数据字段中加入固定值和第一验证值,先对是否是正确的固定值进行验证,再对是否是有匹配的第一验证值进行验证,可以对接收的ping回显应答数据包进行两次验证,这种网络安全保护设备除了具有"第三种方式"的优点,即相对于保存原始ping数据包的完整内容来说,可以达到节约网络安全保护设备的内存资源的目的之外,还具有更好的防范效果。以上四种网络安全保护设备的方式中,提及的特定算法和对数据包的编解码与保护网络安全的方法中的论述内容相同。另外,在有些保密性要求较高的网络环境中,由于选项数据字段可以被利用来传输秘密数据,当对选项数据字段进行编码后,就对获取秘密数据加大了难度,这可以有效地阻断通过建立"ping通道(PingTunnel)"进行秘密数据的传输。由于网络安全保护设备利用ping数据包中的选项数据字段往返不变的特性,对在单向或双向的数据流环境下接收到的ping回显应答数据包中的选项数据字段与所获取的验证值是否匹配进行验证,能有效地防范pingflood攻击,并且能少占用或不占用网络安全保护设备较多内存就能实现对ping数据包的监控。本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,所述存储介质可以是只读存储器,磁盘或光盘等。以上对本发明实施例所提供的一种保护网络安全的方法和网络安全保护行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。权利要求1、一种保护网络安全的方法,其特征在于,包括接收原始ping数据包;获取验证值,在所述原始ping数据包的选项数据字段加入所述验证值;对加入了所述验证值的原始ping数据包进行编码,得到ping回显请求数据包;向外网发送所述ping回显请求数据包;验证来自外网的ping回显应答数据包的选项数据字段是否包含有与所述验证值匹配的值;当所述选项数据字段包含有与所述验证值匹配的值时,对所述ping回显应答数据包进行解码;向内网发送解码后的ping回显应答数据包。2、根据权利要求l所述的保护网络安全的方法,其特征在于,所述获取验证值,在所述原始ping数据包的选项数据字段加入验证值的步骤包括获取预先设定的固定值作为验证值,在所述原始ping数据包的选项数据字段加入所述固定值;所述验证来自外网的ping回显应答数据包的选项数据字段是否包含有与所述验证值匹配的值的步骤包括验证来自外网的ping回显应答数据包的选项数据字段是否含有所述固定值;回显应答凄t据包进行解码的步骤包括当所述选项数据字段含有所述固定值时,对所述ping回显应答数据包进行解码。3、根据权利要求l所述的保护网络安全的方法,其特征在于,所述获取验证值,在所述原始ping数据包的选项数据字段加入验证值的步骤包括根据所述原始ping数据包携带的特性数据以特定算法进行运算得到验证值;在所述原始ping数据包的选项数据字段中加入所述验证值;所述验证来自外网的ping回显应答数据包的选项数据字段是否包含有与所述验证值匹配的值的步骤包括当来自外网的ping回显应答数据包的选项数据字段含有所述验证值时,利用所述特定算法根据ping回显应答数据包携带的特性数据进行运算以验证运算得到的值是否与所述验证值相同;回显应答数据包进行解码的步骤包括当利用所述特定算法根据ping回显应答数据包携带的特性数据进行运算得到的值与所述验证值相同时,对所述ping回显应答数据包进行解码。4、根据权利要求l所述的保护网络安全的方法,其特征在于,所述获取验证值,在所述原始ping数据包的选项数据字段加入验证值的步骤包括根据预先设定的固定值和原始ping数据包携带的特性数据以特定算法进行运算得到验证值;在所述原始ping数据包的选项数据字段中加入所述验证值;所述验证来自外网的ping回显应答数据包的选项数据字段是否包含有与所述验证值匹配的值的步骤包括当来自外网的ping回显应答数据包的选项数据字段含有所述验证值时,利用所述特定算法才艮据所述固定值和所述ping回显应答数据包携带的特性l史据进行运算以验证运算得到的值是否与所述验证值相同;所述当所述选项数据字段包含有与所述验证值匹配的值时,对所述ping回显应答数据包进行解码的步骤包括当利用所述特定算法根据所述固定值和所述ping回显应答数据包携带的特性数据进行运算得到的值与所述马&〖正值相同时,对所述ping回显应答数据包进行解码。5、根据权利要求l所述的保护网络安全的方法,其特征在于,所述获取验证值,在所述原始ping数据包的选项数据字段加入验证值的步骤包括根据预先设定的固定值和原始ping数据包携带的特性数据以特定算法进行运算得到第一验证值;在所述原始ping数据包的选项数据字段中加入所述第一验证值和所述固定值作为验证值;所述验证来自外网的ping回显应答数据包的选项数据字段是否包含有与所述验证值匹配的值的步骤包括当来自外网的ping回显应答数据包的选项数据字段含有所述固定值且当所述选项数据字段含有所述第一验证值时,利用所述特定算法根据所述固定值和所述ping回显应答数据包携带的特性数据进行运算以验证运算得到的值是否与所述第一验证值相同;回显应答数据包进行解码的步骤包括当利用所述特定算法根据所述固定值和所述ping回显应答数据包携带的特性数据进行运算得到的值与所述第一验证值相同时,对所述ping回显应答数据包进行解码。6、根据权利要求2至5任一所述的保护网络安全的方法,其特征在于,所述原始ping数据包是来自外网的原始ping回显应答数据包或来自内网的原始ping回显请求数据包。7、根据权利要求6所述的保护网络安全的方法,其特征在于,所述特定算法是哈希算法。8、一种网络安全保护设备,其特征在于,包括接收单元,用于接收原始ping数据包以及来自外网的ping回显应答数据包;验证设置单元,用于获取验证值,在所述接收单元接收的所述原始ping数据包的选项数据字段加入所述验证值;验证单元,用于验证来自外网的ping回显应答数据包的选项数据字段是否包含有与所述验证值匹配的值;编解码单元,用于对加入了所述验证值的原始ping数据包进行编码,得到ping回显请求数据包,当所述驺、〖正单元验证所述选项数据字段包含有与所述验证值匹配的值时,对所述ping回显应答数据包进行解码;发送单元,用于向外网发送所述编解码单元编码得到的ping回显请求数据包以及向内网发送所述编解码单元解码后的ping回显应答数据包。9、根据权利要求8所述的网络安全保护设备,其特征在于,所述接收单元包括原始接收单元,用于接收原始ping数据包;外网接收单元,用于接收来自外网的ping回显应答数据包;所述验证设置单元包括获取单元,用于获取-险证值;设置单元,用于在所述原始接收单元接收的原始ping数据包的选项数据字段加入验证值;所述编解码单元包括编码单元,用于对所述设置单元加入了所述验证值的原始ping数据包进行编码,得到ping回显请求数据包;解码单元,用于当所述验证单元验证所述选项数据字段包含有与所述验证值匹配的值时,对所述ping回显应答数据包进4亍解码;所述发送单元包括向外发送单元,用于向外网发送所述编码单元编码得到的ping回显请求数据包;向内发送单元,用于向内网发送所述解码单元解码后的ping回显应答数据包。10、根据权利要求9所述的网络安全保护设备,其特征在于,所述获取单元用于获取预先设定的固定值作为验证值;所述设置单元用于在所述原始接收单元接收的原始ping数据包的选项数据字段加入所述固定值;所述编码单元用于对加入了所述固定值的原始ping数据包进行编码,得到ping回显请求数据包;答数据包的选项数据字段是否含与所述固定值相同的值;'口;所述解码单元用于当所述验证单元验证所述选项数据字段含有与所述固定值相同的值时,对所述ping回显应答数据包进行解码。11、根据权利要求9所述的网络安全保护设备,其特征在于,所述获取单元用于根据所述原始接收单元接收的原始ping数据包携带的特性数据以特定算法进行运算得到验证值;所述设置单元用于在所述原始接收单元接收的原始ping数据包的的选项数据字段中加入进行运算得到的所述验证值;所述编码单元用于对加入了进行运算得到的所述验证值的原始ping数据包进行编码,得到ping回显请求数据包;所述验证单元用于当所述外网接收单元接收的来自外网的ping回显应答数据包的选项数据字段含有所述验证值时,利用所述特定算法根据ping回显应答数据包携带的特性数据进行运算以验证运算得到的值是否与所述验证值相同;所述解码单元用于当所述验证单元验证利用所述特定算法根据ping回显应答数据包携带的特性数据进行运算得到的值与所述验证值相同时,对所述ping回显应答数据包进4亍解码。12、根据权利要求9所述的网络安全保护设备,其特征在于,始ping数据包携带的特性数据以特定算法进行运算得到验证值;所述设置单元用于在所述原始接收单元接收的原始ping数据包的选项数据字段中加入进行运算得到的所述验证值;所述编码单元用于对加入了进行运算得到的所述验证值的原始ping数据包进行编码,得到ping回显请求数据包;数据包的选项数据字段含有所述验证值时,利用所述特定算法根据所述固定值和所述ping回显应答数据包携带的特性数据进行运算以验证运算得到的值是否与所述验证值相同;所述解码单元用于当所述-验证单元-险证利用所述特定算法#4居所述固定值和所述ping回显应答数据包携带的特性数据进行运算得到的值与所述验证值相同时,对所述ping回显应^#据包进4亍解码。13、根据权利要求9所述的网络安全保护设备,其特征在于,所述获取单元用于根据预先设定的固定值和原始ping数据包携带的特性数据以特定算法进行运算得到第一验证值;所述设置单元用于在所述原始接收单元接收的原始ping数据包的选项数据字段中加入所述固定值和进行运算得到的所述第一验证值作为验证值;所述编码单元用于对加入了所述验证值的原始ping数据包进行编码,得到ping回显请求数据包;所述验证单元用于当所述外网接收单元接收的来自外网的ping回显应答验证值时,利用所述特定算法根据所述固定值和所述ping回显应答数据包携带的特性数据进行运算以验证运算得到的值是否与所述第一验证值相同;值和所述ping回显应答数据包携带的特性数据进行运算得到的值与所述第一验证值相同时,对所述ping回显应答数据包进行解码。14、根据权利要求10至13任一所述的网络安全保护设备,其特征在于,所述原始ping数据包是来自外网的原始ping回显应答数据包或来自内网的原始ping回显请求数据包。15、根据权利要求14所述的网络安全保护设备,其特征在于,所述特定算法是哈希算法。全文摘要本发明提供一种保护网络安全的方法,方法主要包括接收原始ping数据包;获取验证值,在原始ping数据包的选项数据字段加入验证值;对加入了验证值的原始ping数据包进行编码,得到ping回显请求数据包;向外网发送ping回显请求数据包;验证来自外网的ping回显应答数据包的选项数据字段是否包含有与验证值匹配的值;当选项数据字段包含有与验证值匹配的值时,对ping回显应答数据包进行解码;向内网发送解码后的ping回显应答数据包。采用该方法,能够在单向或双向的数据流环境下,利用选项数据字段的特性,不以占用网络安全保护设备的内存的会话记录方法而实现对ping数据包的监控,节约了网络安全保护设备的内存。文档编号H04L29/06GK101478546SQ20091000845公开日2009年7月8日申请日期2009年1月23日优先权日2009年1月23日发明者马勺布申请人:成都市华为赛门铁克科技有限公司