提升防火墙处理性能的方法及系统的制作方法
【技术领域】
[0001]本发明属于计算机网络技术领域,具体涉及一种提升防火墙处理性能的方法及系统。
【背景技术】
[0002]当前,网络在人们的生活中占据着举足轻重的地位,足不出户就可通过网络进行购物、聊天、理财,还可预定饭店、车票、宾馆等,甚至还可进行家庭工作。在享受互联网给我们日常生活带来的便利的同时,也给网络攻击者更多的可乘之机,给我们的财产安全造成损失。
[0003]分布式拒绝服务攻击(Distributed Denial of Service,DDoS)是当前网络环境中威胁最大的攻击之一,其攻击目标主要是针对服务器或者大型网站。它主要是通过一些恶意手段使目标服务器的处理器达到满载,从而耗尽服务器的资源,进而使计算机用户无法实现对服务器的正常访问。
[0004]目前,很多防火墙(Firewall)都提供抗网络攻击的服务,此类防火墙通过开启防火墙的网络攻击检测功能来避免服务器受到DDoS攻击。然而,现有技术中的防火墙通常是一直开启着抗DDoS攻击功能,该抗DDoS攻击功能一旦开启,则会对计算机中所有进来的数据包逐一进行攻击检测,这样会降低防火墙的处理性能,导致防火墙转发数据包的速率下降。
【发明内容】
[0005]本发明的目的在于提供一种提升防火墙处理性能的方法,该方法根据实时监测到的防火墙的连接表项数量的变化幅度,将其与预先设置的阈值相比较,以确定当前网络环境中是否存在攻击威胁,并相应地确定是否需要开启或关闭防火墙的抗网络攻击功能,从而提升防火墙的性能及转发数据包的速率。
[0006]本发明的另一目的在于提供一种提升防火墙处理性能的系统,该系统根据实时监测到的防火墙的连接表项数量的变化幅度,将其与预先设置的阈值相比较,以确定当前网络环境中是否存在攻击威胁,并相应地确定是否需要开启或关闭防火墙的抗网络攻击功能,从而提升防火墙的性能及转发数据包的速率。
[0007]根据本发明的一个方面,提供一种提升防火墙处理性能的方法,包括如下步骤:配置一用以判别网络环境是否存在网络攻击的表项数量阈值;获取防火墙所存在的连接表项数量的变化幅度;根据所述连接表项数量的变化幅度与所述表项数量阈值的比较结果,判定当前网络环境中是否存在网络攻击威胁;其中,若当前网络环境中存在网络攻击威胁,则开启所述防火墙的抗网络攻击功能以对进入防火墙的流量进行攻击检测;若当前网络环境中不存在网络攻击威胁,则关闭所述防火墙的抗网络攻击功能。
[0008]作为本发明进一步的改进,所述“获取防火墙所存在的连接表项数量的变化幅度”的步骤具体包括:防火墙每隔tl时间对连接表项数量进行一次统计;防火墙每隔t2时间计算该时间间隔内所统计到连接表项数量的平均值Ma,其中Ma = (S1+S2+.._+Sn)/η; t2 = η*tl;将本次统计到的连接表项数量的平均值Ma与上一个t2时间所统计到的连接表项数量的平均值Mb进行比较,获取两个平均值之间的差值。
[0009]作为本发明进一步的改进,所述“根据所述连接表项数量的变化幅度与所述表项数量阈值的比较结果,确定当前网络环境中是否存在网络攻击威胁”的步骤具体包括:若本次统计到的连接表项数量的平均值Ma大于上一个t2时间所统计到的连接表项数量的平均值Mb,并且两个平均值之间的差值大于所述表项数量阈值,则判定当前网络环境存在DDoS攻击威胁;若本次统计到的连接表项数量的平均值Ma小于上一个t2时间所统计到的连接表项数量的平均值Mb,并且两个平均值之间的差值大于所述表项数量阈值,则判定当前网络环境不存在DDoS攻击威胁。
[00? 0] 作为本发明进一步的改进,所述11 = lOmin,所述t2 = 60min,所述表项数量阈值设定为50。
[0011]作为本发明进一步的改进,所述方法还具体包括:接收报文;在开启所述防火墙的抗网络攻击功能后,根据所述报文查询连接表中是否有与当前报文相对应的连接表项;所述连接表包括五元组信息,所述五元组信息包括源IP地址、目的IP地址、源端口、目的端口及协议类型;根据查询结果,执行相应的报文转发动作或报文丢弃动作。
[0012]相应地,根据本发明的一个方面,提供一种提升防火墙处理性能的系统,包括如下单元:阈值配置单元、表项数量监测单元及防火墙开关单元,其中,阈值配置单元用于配置一用以判别网络环境是否存在网络攻击的表项数量阈值;表项数量监测单元用于获取防火墙所存在的连接表项数量的变化幅度;防火墙开关单元用于根据所述连接表项数量的变化幅度与所述表项数量阈值的比较结果,判定当前网络环境中是否存在网络攻击威胁;其中,若当前网络环境中存在网络攻击威胁,则开启所述防火墙的抗网络攻击功能以对进入防火墙的流量进行攻击检测;若当前网络环境中不存在网络攻击威胁,则关闭所述防火墙的抗网络攻击功能。
[0013]作为本发明进一步的改进,所述表项数量监测单元具体用于:每隔tl时间对连接表项数量进行一次统计;每隔t2时间计算该时间间隔内所统计到连接表项数量的平均值Ma,其中1&1=(31+32+‘"+311)/1142 = 11衬1;将本次统计到的连接表项数量的平均值1&与上一个t2时间所统计到的连接表项数量的平均值Mb进行比较,获取两个平均值之间的差值。
[0014]作为本发明进一步的改进,
[0015]所述防火墙开关单元具体用于:若本次统计到的连接表项数量的平均值Ma大于上一个t2时间所统计到的连接表项数量的平均值Mb,并且两个平均值之间的差值大于所述表项数量阈值,则判定当前网络环境存在DDoS攻击威胁;若本次统计到的连接表项数量的平均值Ma小于上一个t2时间所统计到的连接表项数量的平均值Mb,并且两个平均值之间的差值大于所述表项数量阈值,则判定当前网络环境不存在DDoS攻击威胁。
[0016]优选地,所述tl = 10min,所述t2 = 60min,所述表项数量阈值设定为50。
[0017]作为本发明进一步的改进,所述系统还包括:报文接收单元,用于接收报文;表项匹配单元,用于在防火墙开关单元开启所述防火墙的抗网络攻击功能后,根据所述报文查询连接表中是否有与当前报文相对应的连接表项;所述连接表包括五元组信息,所述五元组信息包括源IP地址、目的IP地址、源端口、目的端口及协议类型;报文处理单元,用于根据查询结果,执行相应的报文转发动作或报文丢弃动作。
[0018]本发明所提供的提升防火墙处理性能的方法,其通过预先配置一表项数量阈值,并实时监测当前防火墙中所存在的连接表项数量的变化幅度,并将该连接表项数量的变化幅度与预先配置的表项数量阈值进行比较,从而判别当前网络环境中是否存在攻击威胁,进而确定是否需要开启或者关闭防火墙中的抗网络攻击功能。本方法通过实时监测的连接表项数量来相应控制防火墙中抗网络攻击功能的开启或关闭,如此在不存在网络攻击时,则无需对网络环境中的数据包进行安全监测,从而避免防火墙中抗网络攻击功能的一直开启给防火墙性能造成的损害,大大提升防火墙的性能,有效提升防火墙转发数据包的速率。
[0019]相应地,本发明所提供的提升防火墙处理性能的系统,其包括阈值配置单元、表项数量监测单元及判断及执行单元,阈值配置单元用于配置一表项数量阈值,表项数量监测单元用于实时监测当前防火墙中所存在的连接表项数量的变化幅度,判断及执行单元用于将该连接表项数量的变化幅度与预先配置的表项数量阈值进行比较,从而判别当前网络环境中是否存在攻击威胁,进而确定是否需要开启或者关闭防火墙中的抗网络攻击功能。本系统通过实时监测的连接表项数量来相应控制防火墙中抗网络攻击功能的开启或关闭,如此在不存在网络攻击时,则无需对网络环境中的数据包进行安全监测,从而避免防火墙中抗网络攻击功能的一直开启给防火墙性能造成的损害,大大提升防火墙的性能,有效提升防火墙转发数据包的速率。
【附图说明】
[0020]图1是本发明实施例中提升防火墙处理性能的方法的基本流程示意图;
[0021]图2是本发明优选实施例中图1所述方法中步骤102的具体流程示意图;
[0022]图3本发明实施例中提升防火墙处理性能的系统的功能模块示意图;
[0023]图4本发明优选实施例中图3中表项数量监测单元20的具体功能模块示意图。
【具体实施方式】
[0024]为使本发明的目的、技术方案和优点更加清楚明了,下面结合【具体实施方式】并参照附图,对本发明进一步详细说明。应该理解,这些描述只是示例性的,而并非要限制本发明的范围。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本发明的概念。
[0025]图1是本发明实施例中提升防火墙处理性能的方法的基本流程示意图。本实施例中,该方法包括如下步骤:
[0026]步骤101:配置一用以判别网络环境是否存在网络攻击的表项数量阈值。
[0027]本发明某些实施例中,该表项数量阈值可为一个或者多个离散的具体数