置单元,其中:
[0071]第二接收单元用于在接收源端发送的数据包之前,接收添加指令,添加指令用于添加预设IP地址,也就是根据添加指令,指定与客户端的初始IP地址对应的预设IP地址。如果客户端为多个,则分别为每个客户端添加与该客户端的初始IP地址对应的预设IP地址,多个客户端的初始IP地址对应的预设IP地址互不相同。具体地,在接收添加指令之前,可以预先设置一个或者多个地址对象,并且每个地址对象中包含多个IP地址,预设IP地址可以是某个地址对象中的任一 IP地址
[0072]第三接收单元用于接收配置指令,具体地,配置指令用于设置客户端的访问范围。
[0073]配置单元用于按照配置指令和添加指令,配置预设条件,也就是根据添加指令和配置指令,生成预设条件。
[0074]在本发明实施例中,网关设备的物理接口的IP地址数量并没有限制,有多少个客户端,就可以有多少个预设IP地址,相比较于现有技术中,网关设备的物理接口的IP地址有数量限制的情况,本发明实施例的网关的保护方法达到了提高网关设备的实用性的效果O
[0075]从以上的描述中,可以看出,本发明解决了现有技术中网关容易受到攻击,造成网络瘫痪的问题,进而达到了提高网络运行的稳定性和安全性的效果。
[0076]上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
[0077]在本发明的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
[0078]在本申请所提供的几个实施例中,应该理解到,所揭露的客户端,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
[0079]所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
[0080]另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
[0081]所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
[0082]以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
【主权项】
1.一种网关的保护方法,其特征在于,包括: 接收源端发送的数据包; 判断所述数据包是否符合预先设置的预设条件; 在判断出所述数据包符合所述预设条件的情况下,将所述数据包转发至目的端;以及 在判断出所述数据包不符合所述预设条件的情况下,丢弃所述数据包。
2.根据权利要求1所述的保护方法,其特征在于,所述源端为客户端,其中: 判断所述数据包是否符合预先设置的预设条件包括:判断是否存在与所述客户端的初始IP地址相对应的预设IP地址; 在判断出所述数据包符合预先设置的预设条件的情况下,将所述数据包转发至目的端包括:在判断出存在与所述客户端的所述初始IP地址相对应的所述预设IP地址的情况下,建立所述客户端和所述目的端的关联表,并将所述数据包中的所述初始IP地址更改为所述预设IP地址,将更新后的所述数据包转发至所述目的端。
3.根据权利要求2所述的保护方法,其特征在于, 在判断是否存在与所述源端的初始IP地址相对应的预设IP地址之前,判断所述数据包是否符合预先设置的预设条件还包括:判断所述数据包是否符合访问范围预设条件;在判断出所述数据包符合预先设置的预设条件的情况下,将所述数据包转发至目的端包括:在判断出所述数据包符合所述访问范围预设条件以及在判断出存在与所述客户端的所述初始IP地址相对应的所述预设IP地址的情况下,建立所述客户端和所述目的端的所述关联表,并将所述数据包中的所述初始IP地址更改为所述预设IP地址,将更新后的所述数据包转发至所述目的端。
4.根据权利要求1所述的保护方法,其特征在于,在接收源端发送的数据包之后,所述保护方法还包括: 判断是否存在所述源端和所述目的端的关联表, 其中,在判断出存在所述关联表的情况下,直接转发所述数据包至所述目的端;在判断出不存在所述关联表的情况下,判断所述数据包是否符合所述预设条件,并在判断出所述数据包符合所述预设条件的情况下,将所述数据包转发至所述目的端。
5.根据权利要求1所述的保护方法,其特征在于,所述源端为客户端,在接收源端发送的数据包之前,所述保护方法还包括: 接收添加指令,所述添加指令用于添加预设IP地址; 接收配置指令;以及 按照所述配置指令和所述添加指令,配置所述预设条件。
6.一种网关的保护装置,其特征在于,包括: 第一接收单元,用于接收源端发送的数据包; 第一判断单元,用于判断所述数据包是否符合预先设置的预设条件; 第一处理单元,用于在判断出所述数据包符合所述预设条件的情况下,将所述数据包转发至目的端;以及 第二处理单元,用于在判断出所述数据包不符合所述预设条件的情况下,丢弃所述数据包。
7.根据权利要求6所述的保护装置,其特征在于,所述源端为客户端,其中: 所述第一判断单元包括:第一判断模块,用于判断是否存在与所述客户端的初始IP地址相对应的预设IP地址; 所述第一处理单元包括:第一处理模块,用于在判断出存在与所述客户端的所述初始IP地址相对应的所述预设IP地址的情况下,建立所述客户端和所述目的端的关联表,并将所述数据包中的所述初始IP地址更改为所述预设IP地址,将更新后的所述数据包转发至所述目的端。
8.根据权利要求7所述的保护装置,其特征在于, 所述第一判断单元还包括:第二判断模块,用于在判断是否存在与所述源端的初始IP地址相对应的预设IP地址之前,判断所述数据包是否符合访问范围预设条件; 所述第一处理单元还包括:第二处理模块,用于在判断出所述数据包符合所述访问范围预设条件以及在判断出存在与所述客户端的所述初始IP地址相对应的所述预设IP地址的情况下,建立所述客户端和所述目的端的所述关联表,并将所述数据包中的所述初始IP地址更改为所述预设IP地址,将更新后的所述数据包转发至所述目的端。
9.根据权利要求6所述的保护装置,其特征在于,所述保护装置还包括: 第二判断单元,用于在接收源端发送的数据包之后,判断是否存在所述源端和所述目的端的关联表, 其中,在所述第二判断单元判断出存在所述关联表的情况下,直接转发所述数据包至所述目的端;在所述第二判断单元判断出不存在所述关联表的情况下,判断所述数据包是否符合所述预设条件,并在判断出所述数据包符合所述预设条件的情况下,将所述数据包转发至所述目的端。
10.根据权利要求6所述的保护装置,其特征在于,所述源端为客户端,所述保护装置还包括: 第二接收单元,用于在接收源端发送的数据包之前,接收添加指令,所述添加指令用于添加预设IP地址; 第三接收单元,用于接收配置指令;以及 配置单元,用于按照所述配置指令和所述添加指令,配置所述预设条件。
【专利摘要】本发明公开了一种网关的保护方法和装置。其中,网关的保护方法包括:接收源端发送的数据包;判断数据包是否符合预先设置的预设条件;在判断出数据包符合预设条件的情况下,将数据包转发至目的端;在判断出数据包不符合预设条件的情况下,丢弃数据包。通过本发明,解决了现有技术中网关容易受到攻击,造成网络瘫痪的问题,进而达到了提高网络运行的稳定性和安全性的效果。
【IPC分类】H04L12-66, H04L29-06
【公开号】CN104579939
【申请号】CN201410848738
【发明人】赵红宙, 任献永
【申请人】网神信息技术(北京)股份有限公司
【公开日】2015年4月29日
【申请日】2014年12月29日