网关的保护方法和装置的制造方法
【技术领域】
[0001]本发明涉及互联网领域,具体而言,涉及一种网关的保护方法和装置。
【背景技术】
[0002]当前网关设备的IP地址一般都需要根据网关设备的物理接口进行实际配置,并且不同物理接口的IP地址不能相同,每个物理接口的IP地址数量一般都有一定的限制。网关设备的物理接口的IP地址一般用于和上下连设备的网络互连、路由转发等。
[0003]NAT (网络地址转换,Network Address Translat1n)地址池技术是目前使用的比较多的一种技术,该技术具体是在网关上配置一段IP地址范围。当网关设备收到ARP(地址解析协议,Address Resolut1n Protocol)请求时,如果请求的是NAT地址池内的IP地址,网关设备也同样进行响应。
[0004]对于IP地址,在进行网络互连和路由转发时都是必要的,并且目前没有其它方案可替代IP地址,但在使用IP地址做内网NAT地址映射或外网IP地址映射时,网关设备的IP地址直接对外公开,非常容易受到黑客或其它有恶意行为的人攻击,造成网络瘫痪。
[0005]图1是现有技术中PC机访问Internet的流程图示意图。如图1所示,左边的内部网络PC机访问Internet时,现有技术中的实现方式是在数据包经过出口安全网关时,将所有内网的IP地址转换为eth3的接口地址,其中,eth3接口的地址为出口安全网关实际配置的IP地址或某个NAT地址池内的地址。由于eth3接口的地址对外是公开的,并且直接与外网互连,外网可以通过这个地址对网关进行扫描、探测等操作,从而黑客或者有恶意行为的人可以通过上述对外公开的地址对网关进行攻击,进而导致网络瘫痪。
[0006]针对现有技术中网关容易受到攻击,造成网络瘫痪的问题,目前尚未提出有效的解决方案。
【发明内容】
[0007]本发明的主要目的在于提供一种网关的保护方法和装置,以解决现有技术中网关容易受到攻击,造成网络瘫痪的问题。
[0008]为了实现上述目的,根据本发明实施例的一个方面,提供了一种网关的保护方法。
[0009]根据本发明的网关的保护方法包括:接收源端发送的数据包;判断所述数据包是否符合预先设置的预设条件;在判断出所述数据包符合所述预设条件的情况下,将所述数据包转发至目的端;以及在判断出所述数据包不符合所述预设条件的情况下,丢弃所述数据包。
[0010]进一步地,所述源端为客户端,其中:判断所述数据包是否符合预先设置的预设条件包括:判断是否存在与所述客户端的初始IP地址相对应的预设IP地址;在判断出所述数据包符合预先设置的预设条件的情况下,将所述数据包转发至目的端包括:在判断出存在与所述客户端的所述初始IP地址相对应的所述预设IP地址的情况下,建立所述客户端和所述目的端的关联表,并将所述数据包中的所述初始IP地址更改为所述预设IP地址,将更新后的所述数据包转发至所述目的端。
[0011 ] 进一步地,在判断是否存在与所述源端的初始IP地址相对应的预设IP地址之前,判断所述数据包是否符合预先设置的预设条件还包括:判断所述数据包是否符合访问范围预设条件;在判断出所述数据包符合预先设置的预设条件的情况下,将所述数据包转发至目的端包括:在判断出所述数据包符合所述访问范围预设条件以及在判断出存在与所述客户端的所述初始IP地址相对应的所述预设IP地址的情况下,建立所述客户端和所述目的端的所述关联表,并将所述数据包中的所述初始IP地址更改为所述预设IP地址,将更新后的所述数据包转发至所述目的端。
[0012]进一步地,在接收源端发送的数据包之后,所述保护方法还包括:判断是否存在所述源端和所述目的端的关联表,其中,在判断出存在所述关联表的情况下,直接转发所述数据包至所述目的端;在判断出不存在所述关联表的情况下,判断所述数据包是否符合所述预设条件,并在判断出所述数据包符合所述预设条件的情况下,将所述数据包转发至所述目的端。
[0013]进一步地,所述源端为客户端,在接收源端发送的数据包之前,所述保护方法还包括:接收添加指令,所述添加指令用于添加预设IP地址;接收配置指令;以及按照所述配置指令和所述添加指令,配置所述预设条件。
[0014]为了实现上述目的,根据本发明实施例的另一方面,提供了一种网关的保护装置。
[0015]根据本发明的网关的保护装置包括:第一接收单元,用于接收源端发送的数据包;第一判断单元,用于判断所述数据包是否符合预先设置的预设条件;第一处理单元,用于在判断出所述数据包符合所述预设条件的情况下,将所述数据包转发至目的端;以及第二处理单元,用于在判断出所述数据包不符合所述预设条件的情况下,丢弃所述数据包。
[0016]进一步地,所述源端为客户端,其中:所述第一判断单元包括:第一判断模块,用于判断是否存在与所述客户端的初始IP地址相对应的预设IP地址;所述第一处理单元包括:第一处理模块,用于在判断出存在与所述客户端的所述初始IP地址相对应的所述预设IP地址的情况下,建立所述客户端和所述目的端的关联表,并将所述数据包中的所述初始IP地址更改为所述预设IP地址,将更新后的所述数据包转发至所述目的端。
[0017]进一步地,所述第一判断单元还包括:第二判断模块,用于在判断是否存在与所述源端的初始IP地址相对应的预设IP地址之前,判断所述数据包是否符合访问范围预设条件;所述第一处理单元还包括:第二处理模块,用于在判断出所述数据包符合所述访问范围预设条件以及在判断出存在与所述客户端的所述初始IP地址相对应的所述预设IP地址的情况下,建立所述客户端和所述目的端的所述关联表,并将所述数据包中的所述初始IP地址更改为所述预设IP地址,将更新后的所述数据包转发至所述目的端。
[0018]进一步地,所述保护装置还包括:第二判断单元,用于在接收源端发送的数据包之后,判断是否存在所述源端和所述目的端的关联表,其中,在所述第二判断单元判断出存在所述关联表的情况下,直接转发所述数据包至所述目的端;在所述第二判断单元判断出不存在所述关联表的情况下,判断所述数据包是否符合所述预设条件,并在判断出所述数据包符合所述预设条件的情况下,将所述数据包转发至所述目的端。
[0019]进一步地,所述源端为客户端,所述保护装置还包括:第二接收单元,用于在接收源端发送的数据包之前,接收添加指令,所述添加指令用于添加预设IP地址;第三接收单元,用于接收配置指令;以及配置单元,用于按照所述配置指令和所述添加指令,配置所述预设条件。
[0020]根据发明实施例,采用接收源端发送的数据包;判断所述数据包是否符合预先设置的预设条件;在判断出所述数据包符合所述预设条件的情况下,将所述数据包转发至目的端;以及在判断出所述数据包不符合所述预设条件的情况下,丢弃所述数据包。通过判断数据包是否符合预设条件,在数据包符合或者不符合预设条件的情况下,分别有不同的处理方式。在数据包符合预设条件的情况下将数据包转发至目的端,说明上述符合预设条件的数据包是不会对网关造成危害的数据包,在数据包不符合预设条件的情况下,将该数据包丢弃不做处里,有利于保护网关的实际地址,避免了黑客或者其他有恶意行为的人对网关的攻击,解决了现有技术中网关容易受到攻击,造成网络瘫痪的问题,进而达到了提高网络运行稳定性和安全性的效果。
【附图说明】
[0021]构成本申请的一部分的附图用来提供对本发明的进一步理解,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
[0022]图1是现有技术中PC机访问Internet的流程图示意图;
[0023]图2是根据本发明实施例的网关的保护方法的流程图;
[0024]图3是根据本发明实施例的一种可选的网关的保护方法的流程图;以及
[0025]图4是根据本发明实施例的网关的保护装置的示意图。
【具体实施方式】
[0026]为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
[0027]需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
[0028]实施例1
[0029]根据本发明实施