一种连接数控制方法及装置的制造方法
【技术领域】
[0001 ]本发明涉及通信技术领域,尤其涉及一种连接数控制方法及装置。
【背景技术】
[0002]防火墙一般部署在大中型企业的网络出口、企业内部网络间或者数据中心的出口,用于保护内部网络安全以及实现访问信息监控。
[0003]现有技术中,为了防止单个用户或者IP地址滥用带宽资源,通常在防火墙上使用最大连接数进行访问控制。所谓的最大连接数是指单个用户或者IP地址允许同时建立的会话并发连接数的最大值。一般情况下,当用户建立的并发连接数没有超过规定的最大连接数时,新建的连接都会被允许,用户可以正常使用相关应用;当用户建立的并发连接数超过规定的最大连接数时,新建连接都会被阻断,导致相关应用无法正常使用。
[0004]但是在实际应用中用户通常会同时使用多个应用,每个应用具有不同的优先级,而应用的优先级与连接数并不相关。如果根据全部应用建立的连接总数进行控制,则当优先级较低的应用建立的连接数达到最大连接数时,后续优先级较高的应用请求建立连接时就会被拒绝,从而会造成部分重要的应用无法正常使用。
【发明内容】
[0005]有鉴于此,本发明提供一种连接数控制方法及装置来解决低优先级应用占用高优先级的连接资源的问题。
[0006]具体地,本发明是通过如下技术方案实现的:
[0007]本发明提供一种连接数控制方法,所述方法应用于网络防护设备,所述方法包括:
[0008]检测到用户建立新的连接时,判断所述用户对应的并发连接数是否大于预设阈值;
[0009]若所述用户对应的并发连接数不大于预设阈值,将所述连接标记为正常连接,并识别所述连接对应的应用类型,根据预先为所述应用类型设置的应用优先级更新所述连接的优先级;
[0010]若所述用户对应的并发连接数大于预设阈值,则将所述连接标记为超阈值连接,并识别所述连接对应的应用类型,根据预先为所述应用类型设置的应用优先级更新所述连接的优先级,若所述连接的优先级高于标记为正常连接的连接中优先级最低的连接的优先级,则将所述连接标记为正常连接,将所述标记为正常连接的连接中优先级最低的连接断开。
[0011]进一步的,在所述将所述连接标记为超阈值连接,并识别所述连接对应的应用类型,根据预先为所述应用类型设置的应用优先级更新所述连接的优先级之后,所述方法还包括:
[0012]若所述连接的优先级不高于所述标记为正常连接的连接中优先级最低的连接的优先级,则将所述连接断开。
[0013]进一步的,所述识别所述连接对应的应用类型时,还包括:
[0014]当识别所述连接的次数超过预设识别次数且仍未识别到应用类型时,将所述连接断开。
[0015]进一步的,所述识别所述连接对应的应用类型时,还包括:
[0016]当识别所述连接的时间超过预设识别时间且仍未识别到应用类型时,将所连接断开。
[0017]进一步的,所述网络防护设备预先设置有用户信息、应用类型和应用优先级之间的对应关系,所述用户信息包括:用户身份信息和/或IP地址;
[0018]所述根据预先为所述应用类型设置的应用优先级更新所述连接的优先级,包括:
[0019]当识别到连接的应用类型时,根据所述连接对应的用户信息及所述连接的应用类型在所述对应关系中查找对应的应用优先级;
[0020]将查找到的应用优先级更新为所述连接当前的优先级。
[0021]基于相同的构思,本发明还提供一种连接数控制装置,所述装置应用于网络防护设备,所述装置包括:
[0022]连接判断单元,用于在检测到用户建立新的连接时,判断所述用户对应的并发连接数是否大于预设阈值;
[0023]第一标记单元,用于在所述用户对应的并发连接数不大于预设阈值时,将所述连接标记为正常连接,并识别所述连接对应的应用类型,根据预先为所述应用类型设置的应用优先级更新所述连接的优先级;
[0024]第二标记单元,用于在所述用户对应的并发连接数大于预设阈值时,将所述连接标记为超阈值连接,并识别所述连接对应的应用类型,根据预先为所述应用类型设置的应用优先级更新所述连接的优先级,若所述连接的优先级高于标记为正常连接的连接中优先级最低的连接的优先级,则将所述连接标记为正常连接,将所述标记为正常连接的连接中优先级最低的连接断开。
[0025]进一步的,所述第二标记单元,还用于在所述连接的优先级不高于所述标记为正常连接的连接中优先级最低的连接的优先级,则将所述连接断开。
[0026]进一步的,所述装置还包括:
[0027]连接终止单元,用于在识别所述连接的次数超过预设识别次数且仍未识别到应用类型时,将所述连接断开。
[0028]进一步的,所述装置还包括:
[0029]连接终止单元,用于在识别所述连接的时间超过预设识别时间且仍未识别到应用类型时,将所述连接断开。
[0030]进一步的,所述装置预先设置有用户信息、应用类型和应用优先级之间的对应关系,所述用户信息包括:用户身份信息和/或IP地址;
[0031]所述第二标记单元根据预先为所述应用类型设置的应用优先级更新所述连接的优先级,包括:
[0032]当识别到连接的应用类型时,根据所述连接对应的用户信息及所述连接的应用类型在所述对应关系中查找对应的应用优先级;
[0033]将查找到的应用优先级更新为所述连接当前的优先级。
[0034]由此可见,本发明可以在用户当前对应的并发连接数大于为该用户设置的最大连接数(即预设阈值)时,将该用户的新连接标记为超阈值连接,并通过识别该超阈值连接的应用类型,根据应用类型确定该超阈值连接预设的优先级,当超阈值连接的优先级大于正常连接中优先级最低的连接的优先级,则将所述超阈值连接标记为正常连接,将所述正常连接中优先级最低的连接断开,因此可以保证优先级较高的应用建立的连接能够正常建立,增强了带宽利用的灵活性,提高了网络资源利用率,提升了用户体验。
【附图说明】
[0035]图1是本发明一种示例性实施方式中的一种连接数控制方法的处理流程图;
[0036]图2是本发明一种示例性实施方式中的另一种连接数控制方法的处理流程图;
[0037]图3本发明一种示例性实施方式中的连接数控制装置所在的网络防护设备的硬件结构图;
[0038]图4本发明一种示例性实施方式中的一种连接数控制装置的逻辑结构图。
【具体实施方式】
[0039]为了防止单个用户或者IP地址滥用带宽资源,传统的防火墙上会使用最大连接数进行访问控制。通常当用户建立的并发连接数没有超过规定的最大连接数时,新建的连接都会被允许,用户可以正常使用相关应用;当用户建立的并发连接数超过规定的最大连接数时,新建连接都会被阻断,导致相关应用无法正常使用。但是在实际应用中用户通常会同时使用多个应用,每个应用具有不同的优先级,而应用的优先级与连接数并不相关。当优先级较低的应用建立的连接数达到最大连接数时,后续优先级较高的应用请求建立连接时就会被拒绝,从而会造成部分重要的应用无法正常使用。举例来讲,假设预先在防火墙上规定某用户允许的最大连接数为100,优先级低的应用A建立了 100个连接后,优先级高的应用B则无法建立新连接,从而导致用户无法使用应用B。
[0040]相对于上述的比较粗暴的管理方法,还有一些防火墙可以对每个应用对应的最大连接数进行限制。例如,预先在防火墙上规定某用户允许的最大连接数为100,优先级低的应用A被分配的最大连接数为50,优先级高的应用B被分配的最大连接数为50,当应用B建立的连接数超过50时,则无法建立新连接;而此时应用A可能并未建立连接,因此会浪费应用A对应的带宽资源,并且影响用户体验。
[0041]为了解决现有技术存在的问题,本发明提供一种连接数控制方法及装置,可以在当前并发连接数大于最大连接数时,将新连接标记为超阈值连接,并通过识别该超阈值连接的应用类型获取为该超阈值连接预设的优先级,当超阈值连接的优先级高于标记为正常连接的连接中优先级最低的连接的优先级,则将所述超阈值连接标记为正常连接,将所述标记为正常连接的连接中优先级最低的连接断开,因此可以保证优先级较高的应用建立的连接能够正常建立,增强了带宽利用的灵活性,提升了用户体验。
[0042]请参考图1,是本发明一种示例性实施方式中的一种连接数控制方法的处理流程图,其中该方法应用于网络防护设备,该网络防护设备可以具体为防火墙。所述方法包括:
[0043]步骤101、检测到用户建立新的连接时,判断所述用户对应的并发连接数是否大于预设阈值;
[0044]在本实施例中,