据包,也就是判断出数据包中的内容不是安全策略允许的访问范围内的情况下,将数据包丢弃,不做任何处理。
[0049]S312:判断NAT策略是否查找成功。具体地,本步骤为判断是否存在通过NAT方式,将客户端的初始IP地址转换后的IP地址。同样的,所述转换后的IP地址为虚拟IP地址,不是网关接口的实际IP地址。该步骤相当于判断是否存在与客户端的初始IP地址相对应的预设IP地址,在此不再重复说明。在判断出NAT策略查找成功的情况下,执行步骤S314 ;在判断出NAT策略查找失败的情况下,执行步骤S310。
[0050]S314:建立连接表。具体地,在建立连接表之后,在下一次不论接收到的客户端发送到数据包还是网站的服务器端发送的数据包,都可以根据连接表中的信息直接将数据包转发至客户端或者网站的服务器端。
[0051]S316:数据包地址转换,该步骤相当于将数据包中的初始IP地址更改为预设IP地址,在此不再重复说明。
[0052]S318:数据转发,也就是将源端发送的数据包转发至目的端。该步骤相当于步骤S106中的将数据包转发至目的端,在此不再重复说明。
[0053]需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。
[0054]通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
[0055]实施例2
[0056]根据本发明实施例,还提供了一种用于实施上述网关的保护方法的网关的保护装置,该保护装置主要用于执行本发明实施例上述内容所提供的保护方法,以下对本发明实施例所提供的网关的保护装置做具体介绍:
[0057]图4是根据本发明实施例的网关的保护装置的示意图。如图4所示,该装置主要包括第一接收单元10、第一判断单元20、第一处理单元30和第二处理单元40,其中:
[0058]第一接收单元10用于接收源端发送的数据包。具体地,数据包中包含源地址、目的地址、源端口和目的端口等信息。在本发明实施例中,源端可以是客户端,也可以是某网站的服务器端。如果源端是客户端,那么数据包为访问请求,该访问请求用于请求访问网络中的图片、文件或者视频等;如果源端是某网站的服务器端,那么数据包用于响应用户的访问请求。
[0059]第一判断单元20用于判断数据包是否符合预先设置的预设条件;
[0060]第一处理单元30用于在判断出数据包符合预设条件的情况下,将数据包转发至目的端。如果源端是客户端,那么目的端为某网站的服务器端,即,在用户的访问请求符合预先设置的预设条件的情况下,将关于上述访问请求的数据包发至服务器端;如果源端是某网站的服务器端,那么目的端为客户端,即,在某网站的服务器端发送的响应用户访问请求的数据包符合预设条件的情况下,将上述响应用户访问请求的数据包发至客户端。
[0061]第二处理单元40用于在判断出数据包不符合预设条件的情况下,丢弃数据包,也就是,在数据包不符合预设条件的情况下,不将用户的访问请求发至某网站的服务器端或者不将响应用户访问请求的数据包发送至客户端,也就相当于对不符合预设条件的数据包不做任何处理。
[0062]在本发明实施例中,通过判断数据包是否符合预设条件,在数据包符合或者不符合预设条件的情况下,分别有不同的处理方式。在数据包符合预设条件的情况下将数据包转发至目的端,说明上述符合预设条件的数据包是不会对网关造成危害的数据包,在数据包不符合预设条件的情况下,将该数据包丢弃不做处里,有利于保护网关的实际地址,避免了黑客或者其他有恶意行为的人对网关的攻击,解决了现有技术中网关容易受到攻击,造成网络瘫痪的问题,进而达到了提高网络运行的稳定性和安全性的效果。
[0063]优选地,在本发明实施例中,源端为客户端,第一判断单元20包括第一判断模块,第一处理单元30包括第一处理模块,其中,第一判断模块用于判断是否存在与客户端的初始IP地址相对应的预设IP地址,具体地,初始IP地址为向客户端实际分配的IP地址,预设IP地址是关于上述客户端给网关接口设置的一个虚拟的IP地址,该预设IP地址不是网关的实际地址,也不是NAT地址池中的地址;第一处理模块用于在判断出存在与客户端的初始IP地址相对应的预设IP地址的情况下,建立客户端和目的端的关联表,并将数据包中的初始IP地址更改为预设IP地址,将更新后的数据包转发至目的端。
[0064]在本发明实施例中,通过将数据包中的初始IP地址转换为预设的虚拟的IP地址后发给服务器端,如果转换IP地址后的数据包被黑客或者其他有恶意行为的人获取,即使黑客或者其他有恶意行为的人按照数据包中的IP地址攻击网关,因为上述IP地址是一个虚拟的地址,而不是网关的实际地址,黑客或者其他有恶意行为的人无法找到网关,从而不能对网关进行攻击,进而达到了保护网关安全运行的效果。例如:网关C某个接口的实际IP地址为A,但现在该接口在发送数据包时是以IP地址为B的名义发送至目的端,如果黑客或者其他有恶意行为的人通过数据包中的地址(即,IP地址B)寻找网关,那么根据上述地址并不能找到网关C,从而不能对网关C进行攻击。
[0065]优选地,在本发明实施例中,第一判断单元20还包括第二判断模块,第一处理单元30还包括第二处理模块,其中:
[0066]第二判断模块用于在判断是否存在与源端的初始IP地址相对应的预设IP地址之前,判断数据包是否符合访问范围预设条件,该访问范围预设条件中设置了客户端的访问范围,例如:哪些网站可以访问,哪些网站不能访问,并且具体的访问范围可以根据需求设置。例如:用户A通过他的客户端发送的数据包是访问网站WWW.A.COM的请求,那么需要判断网站ffffff.A.COM是否是允许用户A访问的网站。
[0067]第二处理模块用于在判断出数据包符合访问范围预设条件以及在判断出存在与客户端的初始IP地址相对应的预设IP地址的情况下,建立客户端和目的端的关联表,并将数据包中的初始IP地址更改为预设IP地址,将更新后的数据包转发至目的端。本发明实施例也就是,只有数据包符合访问范围预设条件,并且客户端存在预设IP地址的情况下,对客户端发送的数据包中的初始IP更改为预设IP地址后才会发送至某网站的服务器端。若数据包不符合访问范围预设条件,也就是数据包中请求访问的网站为禁止用户访问的网站,那么将该数据包丢弃,不会发给访问请求对应的网站的服务器,从而不会响应数据包中的访问请求。继续采用上述举例进行说明,也就是在判断出允许用户A访问网站WWW.A.COM,并且用户A的客户端存在与该客户端的初始IP地址对应的预设IP地址的情况下,建立关于客户端和网站WWW.A.COM的服务器之间的关联表,并将关于访问网站WWW.A.COM的数据包中的初始IP地址更改为预设IP地址,然后将IP地址为预设IP地址的数据包发送至网站WWW.A.COM的服务器。
[0068]在本发明实施例中,预设条件还包括访问范围预设条件,用户可能访问安全性较低的网站,避免了客户端在接收上述网站返回的响应请求的包的回应报文时,感染病毒,从而达到了提高终端安全性的效果。
[0069]具体地,本发明实施例所提供的网关的保护装置还包括第二判断单元,第二判断单元用于在接收源端发送的数据包之后,判断是否存在源端和目的端的关联表,其中,在第二判断单元判断出存在关联表的情况下,直接转发数据包至目的端;在第二判断单元判断出不存在关联表的情况下,判断数据包是否符合预先设置的预设条件,并在判断出数据包符合预先设置的预设条件的情况下,将数据包转发至目的端。具体地,关联表中包含包括源地址、目的地址、源端口和目的端口等信息。在本发明实施例中,在接收到客户端发送的关于访问请求的数据包或者在接收到服务器发送的响应用户访问请求的数据包时,会先判断是否存在关于客户端和该服务器之间的关联表,如果存在关联表,说明该用户之前访问过上述服务器对应的网站,此时不论是客户端发送的关于用户访问请求的数据包还是服务器发送的响应用户访问请求的数据包,都直接按照关联表中的信息将上述数据包转发至客户端或者服务器即可;如果不存在关联表,说明该用户之前没有访问过该服务器对应的网站,那么需要判断数据包是否符合预设条件,在符合预设条件的情况下,将数据包转发至目的端。
[0070]优选地,在本发明实施例中,源端为客户端,网关的保护装置还包括第二接收单元、第三接收单元和配