路由器、服务器以及两者协同的网络访问控制方法
【技术领域】
[0001]本发明涉及网络访问控制的技术领域,特别是涉及一种路由器与服务器协同的网络访问控制方法。
【背景技术】
[0002]随着技术的发展,移动终端越来越多,移动终端之间需要相互通信,这离不开后台的服务器的支撑。服务器的稳定运行,关系到数千个甚至上万个移动终端的正常使用,而服务器也经常成为攻击者的目标。因此,设计出高可靠度的服务器是非常有必要的事情。
[0003]目前,普遍都在服务器侧对客户端进行防护,为了防止不合法的用户接入,服务器侧可以做一系列的安全措施,并可以起到一定的效果。
[0004]目前的普遍做法缺点是,单纯的从服务器进行防护,效果往往有限,因为,服务器处理请求的效率并不高,面对大流量的访问,很容易达到性能瓶颈。
[0005]路由器属于三层网络设备,具有较强的处理IP报文的能力,其吞吐量远远大于服务器,网络攻击者发出的请求很难达到路由器的瓶颈,如果能在路由器侧辨别出不合法的接入用户,将不合法的报文直接由路由器丢弃,则可以减轻服务器的负载,从而提高服务器的效率。
【发明内容】
[0006]本发明的目的是提出一种路由器和服务器协同的工作模式,对传统的路由器进行一些改进,配合服务器,两者共同运作,从而提升服务器的处理效率。
[0007]根据本发明的一个技术方案,提供了一种路由器与服务器协同的网络访问控制方法,包括由路由器执行的以下步骤:由路由器接收客户端的访问请求;解析接收到的访问请求中的客户端IP地址;判断解析出的客户端IP地址是否与预设的拒绝服务攻击黑名单相符;当客户端IP地址与拒绝服务攻击黑名单相符时,拒绝客户端的访问请求,不向服务器转发该访问请求;否则,向服务器转发该访问请求。
[0008]根据本发明的另一个技术方案,提供了一种路由器与服务器协同的网络访问控制方法,包括由路由器执行的以下步骤:由路由器接收客户端的访问请求;解析接收到的访问请求中的客户端IP地址;判断解析出的客户端IP地址是否与预设的拒绝服务攻击黑名单相符;当客户端IP地址与拒绝服务攻击黑名单相符时,拒绝客户端的访问请求,不向服务器转发该访问请求;当客户端IP地址与拒绝服务攻击黑名单不相符时,还需判断解析出的客户端IP地址是否与预设的流量消耗攻击黑名单相符;当客户端IP地址与流量消耗攻击黑名单不相符时,直接向服务器转发该访问请求;当客户端IP地址与流量消耗攻击黑名单相符时,根据流量消耗攻击黑名单中设定的最大允许流量向服务器限速转发客户端的访问请求。
[0009]根据本发明的又一个技术方案,提供了一种路由器与服务器协同的网络访问控制方法。包括由路由器执行的以下步骤:由路由器接收客户端的访问请求;解析接收到的访问请求中的客户端IP地址;判断解析出的客户端IP地址是否与预设的拒绝服务攻击黑名单相符;当客户端IP地址与拒绝服务攻击黑名单相符时,拒绝客户端的访问请求,不向服务器转发该访问请求;否则,向服务器转发该访问请求。还包括由服务器执行的以下步骤:接收由路由器转发的客户端的访问请求;对接收到的访问请求反馈响应服务;判断客户端是否接受了反馈的响应服务;当客户端超出预定时间不接受反馈的响应服务时,忽略客户端的此次访问请求,并将客户端的IP地址加入路由器上的拒绝服务攻击黑名单。
[0010]根据本发明的再一个技术方案,提供了一种路由器与服务器协同的网络访问控制方法。包括由路由器执行的以下步骤:由路由器接收客户端的访问请求;解析接收到的访问请求中的客户端IP地址;判断解析出的客户端IP地址是否与预设的拒绝服务攻击黑名单相符;当客户端IP地址与拒绝服务攻击黑名单相符时,拒绝客户端的访问请求,不向服务器转发该访问请求;当客户端IP地址与拒绝服务攻击黑名单不相符时,还需判断解析出的客户端IP地址是否与预设的流量消耗攻击黑名单相符;当客户端IP地址与流量消耗攻击黑名单不相符时,直接向服务器转发该访问请求;当客户端IP地址与流量消耗攻击黑名单相符时,根据流量消耗攻击黑名单中设定的最大允许流量向服务器限速转发客户端的访问请求。还包括由服务器执行的以下步骤:接收由路由器转发的客户端的访问请求;对接收到的访问请求反馈响应服务;判断客户端是否接受了反馈的响应服务;当客户端超出预定时间不接受反馈的响应服务时,忽略客户端的此次访问请求,并将客户端的IP地址加入路由器上的拒绝服务攻击黑名单;当客户端接受反馈的响应服务时,统计所述客户端的访问请求的数据流量;当统计出的访问请求的数据流量达到预设的流量消耗攻击警戒值时,忽略客户端的此次访问请求,并将客户端的IP地址加入路由器上的流量消耗攻击黑名单,同时对该客户端的IP地址设定最大允许流量。
[0011]优选的,本发明的技术方案中,设定的最大允许流量小于等于所述的流量消耗攻击警戒值。
[0012]根据本发明的又一个技术方案,提供了一种路由器,包括:客户端连接端口,接收来自客户端的访问请求,还向客户端转发来自服务器的响应服务;IP地址解析模块,接收来自客户端连接端口的客户端的访问请求,解析接其中的客户端IP地址;拒绝服务攻击防御模块,存储有预设的拒绝服务攻击黑名单,接收来自IP地址解析模块的客户端IP地址,根据所述拒绝服务攻击黑名单,拒绝或通过来自客户端连接端口的访问请求;以及服务器连接端口,将通过的客户端访问请求向服务器转发,并接收来自服务器的响应服务。
[0013]优选的,本发明的技术方案中,路由器还包括流量消耗攻击防御模块,存储有预设的流量消耗攻击黑名单,接收来自IP地址解析模块的客户端IP地址,根据所述流量消耗攻击黑名单,直接通过来自客户端连接端口的访问请求,或对自客户端连接端口的访问请求限制最大允许流量通过。
[0014]优选的,本发明的技术方案中,路由器还包括黑名单设置模块,接收来自服务器连接端口的黑名单设置命令,并向对应的拒绝服务攻击防御模块和/或流量消耗攻击防御模块设置相应的黑名单。服务器连接端口将通过的客户端访问请求向服务器转发,并接收来自服务器的响应服务,还接收来自服务器的黑名单设置命令。
[0015]根据本发明的再一个技术方案,提供了一种服务器,包括:路由器连接端口,接收来自路由器转发的客户端的访问请求,还向路由器发送访问服务模块反馈的响应服务;访问服务模块,接收来自路由器连接端口的访问请求,并反馈响应服务;拒绝服务攻击识别模块,读取访问服务模块的工作状态,判断客户端是否接受了反馈的响应服务;当客户端超出预定时间不接受反馈的响应服务时,命令访问服务模块忽略客户端的此次访问请求,并向路由器连接端口发送加入拒绝服务攻击黑名单的设置命令。
[0016]优选的,本发明的技术方案中,服务器还包括流量消耗攻击识别模块,读取访问服务模块的工作状态,统计所述客户端的访问请求的数据流量;当统计出的访问请求的数据流量达到预设的流量消耗攻击警戒值时,命令访问服务模块忽略客户端的此次访问请求,并向路由器连接端口发送加入流量消耗攻击黑名单的设置命令,同时对该客户端的IP地址设定最大允许流量。
[0017]与现有技术相比,本发明提供了路由器与服务器协同的网络访问控制功能,利用了路由器强大的处理能力,使得服务器对DOS (拒绝服务)攻击的防护效率大大提高。此外,避免了服务器遭受流量消耗攻击。使得网络访问控制兼具防护效率与灵活性
【附图说明】
[0018]下面将以明确易懂的方式,结合