专利名称:一种保护服务器和网络方法
技术领域:
本发明涉及计算机网络安全技术领域,更具体地说涉及一种使用部署在互联网上的安全 节点形成一个虚拟安全网来保护互联网上的网络服务器或网络安全的方法。
背景技术:
互联网与人们生活越来越密切,人们会通过已知的域名或搜索引擎去寻找自己需要的信 息和各种服务。但与此同时,互联网安全的问题也越来越成为迫切需要解决的问题。据 2007年9月的统计,国内网站数量已达131万,而这还是指的在一个二级域名下的所有网站只 算做一个网站的统计,加上子域名的网站,网站数量应该已经超千万。互联网上的网站会受到各种各样的攻击和入侵,比如利用网站操作系统、服务软件或网 页程序的安全漏洞的入侵,调动大量肉机发起大量无效请求堵死服务器带宽的 DDoS (Distributed Denial of Service,分布式拒绝服务攻击)等等。为了防范这些入侵和攻击,需要配备防火墙等安全设备,这不仅提高了采购成本、托管 成本,还提供了维护人员的技术水平要求和维护成本。其实安全问题是突发性的,配备防火墙即使能够保护服务器的安全,它在大部分时间其 实是摆设,而在攻击和入侵发生时却是极端重要。类似地,网站所需要的带宽在正常访问时和被攻击时有数量级上的要求区别,比如一个 网站可能平时只有10兆的正常访问量(这已经是一个流量比较大的网站了),在攻击发生时 ,可能100兆都会被堵死。这样网站如果购买的是10M带宽,就不能承受任何攻击流量;如果 购买100兆带宽,就会极大地浪费。攻击和入侵的非法流量一般都是突发性的,尤其是DDoS攻击,是突发地从四面八方攻击 同一个网站,用大批的流量将其网站带宽冲死。这种情况下,即使网站服务器前面有防火墙 的保护都没有效果,因为聚集的流量已经把防火墙的出口带宽堵死了。总结上述说明,我们可以发现目前的防火墙类安全产品在保护网络和服务器时存在如下 问题1、 防火墙平时没用、用时不够,造成成本高、资源浪费;2、 带宽平时足够、用时不够,造成成本高、资源浪费;43、单凭防火墙无法保护安全,还需要IPS等其他安全设备,但大部分网络和服务器不可 能配全安全设备。发明内容有鉴于此,本发明的目的是降低客户安全成本、解决使用安全网关一对一保护时无法解 决的问题,比如被保护区有多项安全需求、DDoS等。本发明提供使用部署在互联网上的大量 安全节点形成一个虚拟安全网来保护互联网上的网络服务器或网络的方法,将攻击和入侵的 非法流量阻挡在网站带宽出口之外,让多个网络和服务器共享多台防火墙等网络安全设备, 使这些网络安全设备能够满负荷运转、物尽其用,不仅降低每个网络和服务器所需要的安全 成本和网络带宽,并阻挡传统防火墙无法阻挡的攻击。同时,原本位于客户网络和客户服务器前面的边界式防火墙也可以是用本发明的技术加 入这个虚拟安全网体系,以进一步提高上述效果。本发明是这样实现的当互联网用户访问被保护的服务器或网络时,由预设的DNS解析服务器确定对应的符合 预设条件的目标安全节点,并将该目标安全节点的IP地址提供给所述用户;该用户向所述被保护服务器或网络的请求被指向所述目标安全节点;该目标安全节点在安全策略和智能控制部件的控制下,将该互联网用户的合法请求转发 给所述被保护的网络服务器或网络,并接收所述网络服务器或网络的应答数据,并在安全策 略和智能控制部件的控制下将合法应答数据返回给所述用户。预设的DNS解析服务器按照以下步骤确定符合预设条件的目标安全节点根据该互联网用户的IP及所述被保护的服务器或网络的IP确定对应的地理和网络拓扑位 置,选择最适合提供服务的安全节点;将所述安全节点按照其与互联网用户和被保护的服务器或网络之间的数据包延时和丢包 率,延时和丢包率最小的安全节点确定为目标安全节点。延时和丢包率最小的安全节点的网络环境如果超过预设条件时,确定排列的下一个安全 节点为目标安全节点。所述网络环境为负荷,当安全节点的负荷超过预先设置的门限时,确定该安全节点的网 络环境超过预设条件。所述目标安全节点在智能控制部件的控制下,将攻击、入侵等非法数据包滤除后,将该 互联网用户的合法请求转发给所述被保护的网络服务器或网络。一个安全节点对应多台被保护的服务器。多个安全节点也可以对应同一台服务器。 透过本发明组成的虚拟安全网,同一个网站的内容分布到不同的服务器上、不同的位置 上,使所有的服务器可以变成虚拟的存储点,是所有的网络接入位置成为纯粹的信号通道。 原来位于客户服务器或客户子网前面的安全网关保持原来位置或移入互联网。 被保护区收到安全节点转发过来的请求,直接将应答数据返回给上述互联网用户。 本发明方法得到的好处有
降低客户成本 一个安全节点可以保护多台服务器以降低成本、提高网络安全设备的使 用率;
分散流量多个安全节点可以保护同一台服务器以分散攻击流量、避免出口带宽被堵死
透明后台支持透过本发明组成的虚拟安全网,同一个网站的内容可以分布到不同的服 务器上、不同的位置上,使所有的服务器可以变成虚拟的存储点,是所有的网络接入位置成 为纯粹的信号通道。
保护已有投入原来位于客户服务器或客户子网前面的安全网关也可以纳入本发明组成 的虚拟安全网体系,形成一个互助的安全保护网络。
图l为传统的使用防火墙保护服务器或网络的示意图 图2为本发明组成的虚拟安全网的实现方法的实施例一的示意图
具体实施例方式
本发明可以在安全、成本和有效利用等诸多方面达成统一。
传统的防火墙保护体系,见附图l,是使用防火墙挡在被保护服务器或被保护网络与互 联网之间, 一般在连接互联网的路由器与被保护服务器/网络之间。
当互联网上的客户端,比如C广C4,要访问Netl中的服务器Sl时,首先请求为S1所在域 服务的DNS服务器DNS1,得到S1的IP地址,然后请求包会通过互联网、路由器l、防火墙FW1 到达S1, S1再反向地将应答包返回给C1。
如果防火墙保护的是一个子网,例如S2 S4和PC1/PC2组成的子网都有FW2保护,情况也 类似。
防火墙可以禁止指定IP的客户端访问,挡住某些方式的攻击例如SynFlood等。但有些攻击和入侵方式防火墙可能无法阻挡,比如
应用层入侵方式可能需要IPS (入侵防御系统)等其他网络安全设备。 在CrC4都被DDoS蠕虫侵染而成为肉机(肉机,指被DDoS蠕虫侵染、受DDoS总控中心控制 随时可发起攻击的计算机)后,当DDoS的总控中心控制他们去攻击Sl时,CrC4都会不停地、 自动地给Sl发SynFlood等非法攻击包,虽然防火墙FW1可以挡住这些攻击数据包使之不到达 Sl,但大量的非法攻击流量会塞满分配给Sl的带宽甚至塞满Netl的出口,这样虽然S1有FW1 保护,仍然会被DDoS攻击至不能访问。
为此,本发明提供了一种改进的技术方案,其基本思想是把防火墙、IPS等网络安全 设备放到互联网上而不是在被保护网络或服务器前面。将原先的一对一保护变为多对多保护
在互联网上根据网络拓扑结构部署必要数量的防火墙类网络安全设备,这些设备称为安 全节点;
在互联网上部署智能控制中心,包括智能DNS解析服务器、取得安全节点状态控制安全
节点行为的智能控制部件;
使用虚拟安全网保护的网络和服务器需要将DNS解析指向上述智能DNS解析服务器;
当互联网用户访问上述网络服务器或网络时,首先是上述智能DNS解析服务器给用户解
析出网址对应的IP地址,该IP地址不是上述网络服务器的,而是最合适该互联网用户的安全
节点;
该互联网用户将访问请求发给上述由智能DNS解析服务器指定的安全节点; 该安全节点在智能控制部件的控制下降该互联网用户的合法请求转发给上述被保护的网 络服务器;
上述网络服务器收到安全节点转发过来的请求,将应答数据返回给安全节点,安全节点 再将合法应答数据返回给上述互联网用户。
如果用户方发出的是攻击包或入侵包,这些包将被安全节点堵截,不会转发给被保护的 网络服务器。这样,从四面八方来的攻击流量就被分散地阻截在虚拟安全网的各个安全节点 上,不会聚集到攻击目标。
图2示出了本发明一种使用部署大量安全节点形成虚拟安全网保护服务器或网络的实施 例一的示意图。
使用虚拟安全网保护服务器S1,需要S1的域名管理员将DNS服务器指向我们的智能DNS解 析服务器,而不是他原来的DNS1。而安全节点除了防火墙的功能,还会包括IPS等其他网络安全设备的功能,由于是多个 被保护服务器共享这些安全节点,因此这些安全节点可以配备最完善的安全措施。
当客户端C 1所有访问为正常访问时,C1首先请求智能DNS解析服务器,智能DNS将根据 Cl的网络拓扑位置、Sl的网络拓扑位置、布放在互联网中所有安全节点的网络拓扑位置和负 荷等因素,根据数据包延迟、丢包率、安全节点和网络带宽的负荷等因素,选择一个最合适 给C 1访问S1做服务的安全节点。这里举例说明上述选择算法
例如S1和C1都处于上海同一网络基础运营商比如中国电信网络中,则为它们提供通信 安全服务的安全节点选择上海电信的Nodel是最合适的,这样无论延迟还是丢包率,都会是 最低的;
但如果Nodel的负荷已经非常大,虽然从网络来说它是最合适的,但也许这时选择处于 杭州电信的Node2更合适,如果此时Node2的负荷较小;虽然延迟和丢包率会稍大,但Node2 负荷低,且杭州比上海从网络拓扑来说没有增加太多;
一般来说,不应该选择北京网通的安全节点为上海电信的C1和S1通信提供服务。
如果S1处于北京网通而C1处于上海电信,可能就需要一台具有双网连接的安全节点提供 服务,这是才能保证数据包延迟和丢包率最低。
如果依据网络状况确定C 1访问S1使用Node 1 ,智能DNS解析服务器会将Node 1的IP返回给 Cl,让Cl误以为Nodel是Sl把请求包发给Nodel。 Nodel收到的请求包的包头中有目标是S1的 信息,因此如果Nodel发现Cl发出的是合法请求,就转发给S1。 Sl把响应数据返回给Nodel, Node 1再转发给C 1 ,这样就完成了 一次合法的访问。
当客户端被DDoS蠕虫感染后,比如C广C3受到了感染C4没有感染正常访问S1,当DDoS总 控中心发出攻击S1的命令后(实际DDoS肉机成千上万时DDoS总控中心才会指令它们攻击某台 服务器,而不会只有3台时就发出攻击指令),CrC3会不停地自动向Sl发出攻击包,但首先 它们会请求S1的DNS服务器,现在就是智能DNS解析服务器。由于C1到C4的网络拓扑位置不同 ,比如C1可能来自上海、C2可能来自北京,因此智能DNS响应给C广C4的可能是不同的安全节 点,比如分别指向NoderNode4, Nodel Node3会将攻击数据包阻挡,不转发给S1,而Node4 会转发正常访问数据包,这样S1就只收到正常访问请求、正常响应数据,而不会收到攻击数 据包。
假设Nodel-Node4和Sl的出口带宽都是一样的,CrC3的攻击流量可以达到塞满Sl的出口 带宽,在使用虚拟安全网保护后,CrC3的攻击流量就被分散到NoderNode3上,这样就不会 被塞满,网络访问可以保持正常,比如C4仍然可以正常访问S1。这样得到的好处有
降低客户成本 一个安全节点可以保护多台服务器以降低成本、提高网络安全设备的使 用率;
分散流量多个安全节点可以保护同一台服务器以分散攻击流量、避免出口带宽被堵死
透明后台支持透过本发明组成的虚拟安全网,同一个网站的内容可以分布到不同的服 务器上、不同的位置上,使所有的服务器可以变成虚拟的存储点,是所有的网络接入位置成 为纯粹的信号通道。
保护已有投入原来位于客户服务器或客户子网前面的安全网关也可以纳入本发明组成 的虚拟安全网体系,形成一个互助的安全保护网络。
以上公开的仅为本发明的优选实施方式,但本发明并非局限于此,任何本领域的技术人 员能思之的没有创造性的变化,以及在不脱离本发明原理前提下所作的若干改进和润饰,都 应落在本发明的保护范围内。
权利要求
1.一种保护服务器或网络的方法,其特征在于,包括当互联网用户访问被保护的服务器或网络时,由预设的DNS解析服务器确定对应的符合预设条件的目标安全节点,并将该目标安全节点的IP地址提供给所述用户;该用户向所述被保护服务器或网络的请求被指向所述目标安全节点;该目标安全节点在安全策略和智能控制部件的控制下,将该互联网用户的合法请求转发给所述被保护的网络服务器或网络,并接收所述网络服务器或网络的应答数据,并在安全策略和智能控制部件的控制下将合法应答数据返回给所述用户。
2 如权利要求l所述的方法,其特征在于,预设的DNS解析服务器按照以下步骤确定符合 预设条件的目标安全节点根据该互联网用户的IP及所述被保护的服务器或网络的IP确定对应的地理和网络拓扑 位置,选择最适合提供服务的安全节点;将所述安全节点按照其与互联网用户和被保护的服务器或网络之间的数据包延时和丢 包率,延时和丢包率最小的安全节点确定为目标安全节点。
3.如权利要求2所述的方法,其特征在于,延时和丢包率最小的安全节点的网络环境如果超过预设条件时,确定排列的下一个安 全节点为目标安全节点。
4.如权利要求3所述的方法,其特征在于,所述网络环境为负荷,当安全节点的负荷超过 预先设置的门限时,确定该安全节点的网络环境超过预设条件。
5. 如权利要求l所述的方法,其特征在于,所述目标安全节点在智能控制部件的控制下,将攻击、入侵等非法数据包滤除后,将该互联网用户的合法请求转发给所述被保护的网络服 务器或网络。
6.如权利要求l所述的方法,其特征在于, 一个安全节点对应多台被保护的服务器。
7.如权利要求l所述的方法,其特征在于,多个安全节点对应同一台服务器。
8.如权利要求l所述的方法,其特征在于,透过本发明组成的虚拟安全网,同一个网站的 内容分布到不同的服务器上、不同的位置上,使所有的服务器可以变成虚拟的存储点,是所 有的网络接入位置成为纯粹的信号通道。
9.如权利要求l所述的方法,其特征在于,原来位于客户服务器或客户子网前面的安全网 关保持原来位置或移入互联网。
10.如权利要求l所述的方法,其特征在于,被保护区收到安全节点转发过来的请求,直接 将应答数据返回给上述互联网用户。
全文摘要
本发明公开一种保护服务器或网络的方法,包括当互联网用户访问被保护的服务器或网络时,由预设的DNS解析服务器确定对应的符合预设条件的目标安全节点,并将该目标安全节点的IP地址提供给所述用户;该用户向被保护服务器或网络发出的请求即被指向所述目标安全节点;该目标安全节点在安全策略和智能控制部件的控制下,将该互联网用户的合法请求转发给所述被保护的网络服务器或网络,并接收所述网络服务器或网络的应答数据,并在安全策略和智能控制部件的控制下将合法应答数据返回给所述用户。本发明可以降低客户成本、分散流量,也就是说多个安全节点可以保护同一台服务器以分散攻击流量、避免出口带宽被堵死。
文档编号H04L29/06GK101257502SQ20081030029
公开日2008年9月3日 申请日期2008年1月31日 优先权日2008年1月31日
发明者勇 陈 申请人:勇 陈