一种清除防火墙会话的方法、装置及网络设备的制造方法
【技术领域】
[0001]本发明涉及数据业务技术领域,尤其涉及一种清除防火墙会话的方法、装置及网络设备。
【背景技术】
[0002]2G/3G/4G用户通过GPRS/LTE上网进行数据业务已经渗透到人们工作和生活的各个方面,成为移动终端的一项重要业务,然而在以流量计价的上网计费方式中,隐藏于GPRS/LTE网络中的恶意攻击GOA (GPRS Over-Billing Attack,也叫GPRS用户流量攻击),不仅使得用户的上网费用暴增,更引发用户对运营商的计费投诉与纷争。
[0003]参照图1,GOA击原理说明如下:
[0004]恶意攻击者先通过GPRS或者LTE网络(由于2/3/4G协议原理基本相同以下统称GPRS)上网INTERNET访问攻击服务器202.1.1.1,GGSN/SAE_GW(以下统称GGSN)设备分配私网IP地址10.1.1.1给恶意攻击者,防火墙将其到INTERNET公网地址映射成202.10.1.1,则此地址可能存在UDP视频等数据下行。恶意攻击者下线后,此时当有正常用户通过GPRS网络上网并分配相同私网地址10.1.1.1,同时防火墙也将其映射为202.10.1.1公网地址。一般防火墙需要几分钟到几十分钟才能自已拆除防火墙NAT转换映射,则此时的防火墙NAT转换映射并未拆除,于是,该公网地址仍有UDP视频等数据下行,将立即接收攻击服务器202.1.1.1数据流(如UDP高速数据流等),导致无辜的正常用户产生超大流量问题,进而爆发流量攻击。
[0005]参照图2,当前GPRS用户流量攻击控制方案主要是利用专用GPRS网络防火墙,在GPRS体系结构中,对运营商网络构成安全威胁的基本原因是“GPRS通道协议”(GTP)中缺少固有的安全性,GTP是在“GPRS支持节点”(GSN)之间使用的协议,不同GPRS网络之间的通信并不安全,因为GTP不提供任何认证、数据完整性或机密性保护,使用GPRS网络防火墙对GTP协议安全增强可以防止GPRS流量攻击。专用GPRS网络防火墙采用状态检测技术,结合流量速率限制、流量完整性检查、流量日志、流量计费等策略提供了一种不但能够保护GPRS网络基础设施使之免受拒绝服务攻击和用户信息窃取攻击,而且能控制外部网络用户接入权限、控制漫游合作伙伴的网络接入的解决方案。
[0006]但是,现有的这种方案主要针对GTP协议缺陷进行设计,缺乏通用性。
[0007]相关术语说明:
[0008]GPRS:通用无线分组业务 GPRS (General Packet Rad1 Service)是一种基于 GSM系统的无线分组交换技术,提供端到端的、广域的无线IP连接。
[0009]LTE:是由3GPP组织制定的UMTS技术标准的长期演进(Long Trem Evolat1n),即通常所说的4G通信协议技术。
[0010]GGSN:GGSN (Gateway GSN,网关GSN)主要是起网关作用,它可以和多种不同的数据网络连接,如ISDN、PSPDN和LAN等。
[0011]SAE-GW:当S-GW和P-GW合设为一个网元时,称之为SAE-GW。其中:S_GW:SAE网络用户面接入服务网关,相当于传统SGSN的用户面功能。P-GW=SAE网络的边界网关,提供承载控制、计费、地址分配和非3GPP接入等功能,相当于传统的GGSN。
[0012]GTP:GTP (GPRS Tunnel Protocol)协议是 2/3/4G 通信中的重要协议。
[0013]3GPP 协议:release99, release4 至 release9 及其之后版本。
【发明内容】
[0014]有鉴于此,本发明实施例的目的是提供一种清除防火墙会话的方法、装置及网络设备,以提供不针对特定协议的防止流量攻击的方式。
[0015]为解决上述技术问题,本发明实施例提供方案如下:
[0016]本发明实施例提供一种清除防火墙会话的方法,包括:
[0017]用户下线时,获取所述用户对应的第一防火墙会话的第一会话标识;
[0018]根据所述第一会话标识,控制防火墙清除所述第一防火墙会话。
[0019]优选地,所述获取所述用户对应的第一防火墙会话的第一会话标识包括:
[0020]获取网关设备发送的所述用户的终端号码和私网IP地址;
[0021]根据所述终端号码和所述私网IP地址,确定所述第一会话标识。
[0022]优选地,所述根据所述终端号码和所述私网IP地址,确定所述第一会话标识包括:
[0023]根据所述终端号码和所述私网IP地址,确定所述用户对应的所有防火墙会话的会话标识;
[0024]根据预设的防火墙会话选择策略,从所述所有防火墙会话的会话标识中选择出所述第一会话标识。
[0025]优选地,所述根据预设的防火墙会话选择策略,从所述所有防火墙会话的会话标识中选择出所述第一会话标识具体包括:
[0026]根据所述所有防火墙会话的会话标识和预设的会话控制策略,生成所述所有防火墙会话的会话标识各自对应的会话状态信息;
[0027]从所述所有防火墙会话的会话标识中选择出对应的会话状态信息满足第一预设条件的会话标识作为所述第一会话标识。
[0028]优选地,所述用户为与所述防火墙对应的在设定时间段内下线的所有用户,所述根据预设的防火墙会话选择策略,从所述所有防火墙会话的会话标识中选择出所述第一会话标识具体包括:
[0029]判断所述所有防火墙会话的会话数目是否超过预设门限值,获取判断结果;
[0030]当所述判断结果为是时,从所述所有防火墙会话的会话标识中选择出对应的防火墙会话满足第二预设条件的会话标识作为所述第一会话标识。
[0031]优选地,所述第一防火墙会话为所述用户对应的全部防火墙会话。
[0032]本发明实施例还提供一种清除防火墙会话的装置,包括:
[0033]获取模块,用于用户下线时,获取所述用户对应的第一防火墙会话的第一会话标识;
[0034]控制模块,用于根据所述第一会话标识,控制防火墙清除所述第一防火墙会话。
[0035]优选地,所述获取模块包括:
[0036]获取单元,用于获取网关设备发送的所述用户的终端号码和私网IP地址;
[0037]确定单元,用于根据所述终端号码和所述私网IP地址,确定所述第一会话标识。
[0038]优选地,所述确定单元包括:
[0039]确定子单元,用于根据所述终端号码和所述私网IP地址,确定所述用户对应的所有防火墙会话的会话标识;
[0040]选择子单元,用于根据预设的防火墙会话选择策略,从所述所有防火墙会话的会话标识中选择出所述第一会话标识。
[0041]优选地,所述选择子单元具体包括:
[0042]生成单元,用于根据所述所有防火墙会话的会话标识和预设的会话控制策略,生成所述所有防火墙会话的会话标识各自对应的会话状态信息;
[0043]第一选择单元,用于从所述所有防火墙会话的会话标识中选择出对应的会话状态信息满足第一预设条件的会话标识作为所述第一会话标识。
[0044]优选地,所述用户为与所述防火墙对应的在设定时间段内下线的所有用户,所述选择子单元具体包括:
[0045]判断单元,用于判断所述所有防火墙会话的会话数目是否超过预设门限值,获取判断结果;
[0046]第二选择单元,用于当所述判断结果为是时,从所述所有防火墙会话的会话标识中选择出对应的防火墙会话满足第二预设条件的会话标识作为所述第一会话标识。
[0047]优选地,所述第一防火墙会话为所述用户对应的全部防火墙会话。
[0048]本发明实施例还提供一种包括以上所述的清除防火墙会话的装置的网络设备。
[0049]从以上所述可以看出,本发明实施例至少具有如下有益效果:
[0050]在所述用户为防火墙会话对应业务的恶意攻击者的情况下,新用户通过所述用户的私网IP地址和公网地址访问网络时,防火墙已经清除了防火墙会话,从而防止了新用户因为该业务而无辜受到流量攻击的问题。上述方式不针对特定协议,从而既可防止GTP协议缺陷导致的流量攻击,又可防止非GTP协议缺陷导致的流量攻击。
【附图说明】
[0051]图1表示GOA原理图;
[0052]图2表示现有技术中通过在Gn/Gp节点部署GPRS专用防火墙以及与部署在Gi节点的普通防火墙紧密配合,阻断GOA攻击的示意图;
[0053]图3表示本发明实施例提供的一种清除防火墙会话的方法的步骤流程图;
[0054]图4表示本发明实施例的较佳实施方式的GPRS用户流量攻击控制系统示意图;
[0055]图5表示本发明实施例的较佳实施方式的GPRS用户流