若所述会话数量不大于所述EIM表项中预设的第一会话数量阈值,则执行步骤106。
[0039]步骤105,丢弃所述报文。
[0040]步骤106,对所述报文进行地址转换,并发送至所述内网设备。
[0041]所述防火墙按照PAT转换方式将所述报文中的目的地址和目的端口转化为所述EIM表项中的内网地址和内网端口号后对所述报文进行转发,以将报文转发至所述E頂表项中的内网地址和内网端口号对应的内网设备。
[0042]本发明实施例提供另一种防止攻击的方法,如图2所示的另一种防止攻击的方法流程图,该方法应用于防火墙,该防火墙内网侧接口上使能NAT hairp iη功能,外网侧的出方向地址转换方式配置为PAT转换方式,并使能E頂模式,采用P2P方式进行报文转发。
[0043]该方法包括以下步骤:
[0044]步骤201,接收报文。
[0045]在本例中,外网设备可以访问内网设备,内网设备也可以访问同一内网中的另一个内网设备。具体的,在外网设备访问内网设备,或内网设备访问同一内网中的另一个内网设备时,发送给目的内网设备的报文的目的地址和目的端口号使用目的内网设备的外网地址和外网端口号。
[0046]其中,外网设备获取内网设备的外网地址和外网端号的过程及内网设备获取同一内网其它内网设备的外网地址和外网端口的过程与现有技术相同,在此不再赘述。
[0047]步骤202,在E頂表中查找外网地址和外网端口号与所述报文的目的地址和目的端口号匹配的E頂表项。
[0048]防火墙维护E頂表,所述E頂表包括至少一个E頂表项,每个E頂表项用于记录内网地址、内网端口号,及该内网地址和内网端口号对应的外网地址、外网端口。
[0049]在本例中,外网设备向内网设备发送报文和内网设备向另一内网设备发送报文时,均需要使用目的内网设备的外网地址作为目的地址,外网端口号作为目的端口号,因此,防火墙接收到报文后查找E頂表中外网地址和外网端口号与报文的目的地址和目的端口号相同的E頂表项。
[0050]如果E頂表中不存在外网地址和外网端口号与报文的目的地址和目的端口号相同的E頂表项,则按照现有技术执行。
[0051 ] 步骤203,确定所述E頂表项中的内网地址和内网端口对应的内网设备是否已建立所述报文所属的会话。
[0052]在一个例子中,若防火墙的快转表中存在与所述报文匹配的快转表项,则确定内网设备已建立所述报文所属的会话;若防火墙的快转表中不存在与所述报文匹配的快转表项,则确定内网设备未建立所述报文所属的会话。
[0053]若所述内网设备未建立所述报文所属的会话,则进行步骤204,若已建立所述报文所属的会话,则执行步骤206。
[0054]步骤204,确定所述内网设备已建立的会话数量。
[0055]在一个例子中,防火墙可以根据维护的会话表确定出该内网设备已建立的会话数量。
[0056]在本例中,防火墙在建立E頂表项时,可以在所述E頂表项中设置状态项,所述状态有两种,一种状态用攻击Attacked进行标记,一种状态用正常Normal进行标记,同时,还可以为所述E頂表项设置第一会话数量阈值和第二会话数量阈值,该第二会话数量阈值小于第一会话数量阈值。
[0057]如果所述会话数量大于所述E頂表项中预设的第一会话数量阈值且所述E頂表项的状态为正常Normal时,表明如果转发所述报文触发所述内网设备再建立一个新的会话,那么内网设备建立的会话数量过多,可能会使所述内网设备受到恶意攻击。
[0058]如果所述会话数量不大于所述E頂表项中预设的第一会话数量阈值且所述E頂表项的状态为Normal,表明如果转发所述报文触发所述内网设备再建立一个新的会话,那么内网设备建立的会话数量不会过多,不会使所述内网设备受到恶意攻击。
[0059]如果所述内网设备的会话数量大于所述E頂表项中预设的第二会话数量阈值且所述EIM表项的状态为Attacked时,表明所述内网设备仍可能会受到恶意攻击因此,所述防火墙也不会对所述报文进行转发。
[0060]如果所述会话数量不大于所述E頂表项中预设的第二会话数量阈值且所述E頂表项的状态为Attacked时,表明为所述内网设备建立的会话数量脱离了危险值,可以正常转发报文。
[0061]因此,若所述会话数量大于所述E頂表项中预设的第一会话数量阈值且所述E頂表项的状态为正常Normal,则执行步骤205 ;若所述会话数量不大于所述E頂表项中预设的第一会话数量阈值且所述E頂表项的状态为Normal,则执行步骤206 ;若所述会话数量大于所述E頂表项中预设的第二会话数量阈值且所述E頂表项的状态为Attacked,则执行步骤207;若所述会话数量不大于所述E頂表项中预设的第二会话数量阈值且所述E頂表项的状态为Attacked,则执行步骤208。
[0062]步骤205,丢弃所述报文,并将所述E頂表项的状态更新为攻击Attacked。
[0063]步骤206,对所述报文进行地址转换,并发送至所述内网设备。
[0064]所述防火墙按照PAT转换方式将所述报文中的目的地址和目的端口转化为所述EIM表项中的内网地址和内网端口号后对所述报文进行转发,以将报文转发至所述E頂表项中的内网地址和内网端口号对应的内网设备。
[0065]步骤207,丢弃所述报文。
[0066]步骤208,对所述报文进行地址转换,并发送至所述内网设备,并将所述E頂表项的状态更新为Normal。
[0067]所述防火墙按照PAT转换方式将所述报文中的目的地址和目的端口转化为所述E頂表项中的内网地址和内网端口号后对所述报文进行转发,以将报文转发至所述E頂表项中的内网地址和内网端口号对应的内网设备。并且将所述E頂表项的状态更新为Normal,在所述E頂表项的状态更新为Normal后,所述防火墙只需要根据第一会话数量阈值和所述内网设备建立的会话数量就可以判断出是否对所述报文进行转发。
[0068]本申请中防火墙通过查找到E頂表中外网地址和外网端口号与接收的报文的目的地址和目的端口号匹配的E頂表项,确定所述E頂表项的内网地址和内网端口对应的内网设备是否已建立所述报文对应的会话,如果没有建立,判断当前所述内网设备已建立的会话数量是否超过所述E頂表项中预设的第一会话数量阈值,如果超过则丢弃,从而避免攻击者通过E頂表项对内网设备进行DDOS攻击。
[0069]基于与上述方法同样的申请构思,本申请还提出了一种防火墙,该防火墙内网侧接口上使能NAT hairpin功能,外网侧的出方向地址转换方式配置为PAT转换方式,并使能E頂模式,采用P2P方式进行报文转发。如图3所示,所述防火墙包括:
[0070]接收模块31,用于接收报文;
[0071]查找模块32,用于在E頂表中查找外网地址和外网端口号与所述报文的目的地址和目的端口号匹配的E頂表项;
[0072]判断模块33,用于确定所述E頂表项中的内网地址和内网端口对应的内网设备是否已建立所述报文所属的会话;
[0073]确定模块34,若所述内网设备未建立所述报文所属的会话,则用于确定所述内网设备已建立的会话数量;
[0074]第一丢弃模块35,若所述会话数量大于所述E頂表项中预设的第一会话数量阈值,则用于丢弃所述报文。
[0075]所述防火墙还包括:
[0076]第一转发模块,在确定所述内网设备已建立的会话数量之后,若所述会话数量不大于所述E頂表项中预设的第一会话数量阈值,则用于对所述报文进行地址转换,并发送