CN100433667C - 网络地址转换中私网用户访问资源分配方法 - Google Patents
网络地址转换中私网用户访问资源分配方法 Download PDFInfo
- Publication number
- CN100433667C CN100433667C CNB021210071A CN02121007A CN100433667C CN 100433667 C CN100433667 C CN 100433667C CN B021210071 A CNB021210071 A CN B021210071A CN 02121007 A CN02121007 A CN 02121007A CN 100433667 C CN100433667 C CN 100433667C
- Authority
- CN
- China
- Prior art keywords
- user
- list item
- judge
- session
- continue
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种网络地址转换中私网用户访问资源分配方法,首先设定私网用户在线的访问外部网络会话数量的最大值,当私网用户发起访问外部网络会话时,判断该会话是否存在有效的在线网络地址转换记录,如果有,按地址转换转发报文;如果无,继续判断该用户访问外部网络会话数量是否超过最大值,如果是,丢弃该用户报文,如果否,继续执行地址转换处理并执行包括修改相应会话数量记录的操作,后按地址转换转发报文,防止了公网地址的非法占用。
Description
技术领域
本发明涉及NAT(网络地址转换)技术,尤其涉及网络地址转换中私网用户访问资源分配方法。
背景技术
NAT技术用于解决互联网中网络地址数量不足的问题,已在网上得到大量应用。对NAT设备来说,其配置的公有地址池资源有限,每当用户发起一个会话如TCP(传输控制协议)连接或新的UDP(用户数据协议)报文时,就会分配地址池中的地址资源,将私网地址转换为公网地址,并将该转换关系记录下来,即私网用户对公网透明。随着NAT设备的组网位置提高,网络内部情况变得复杂,必须针对网络内部采取保护措施,因为恶意用户通过建立大量连接的操作可消耗公用地址池资源,另外,NAT设备保存并发用户连接转换关系表项的空间有限,如果空间被恶意连接的转换表项占用,也将导致正常用户无法访问公网地址上的服务器。
现有技术的解决方法是在NAT设备前加专用的防火墙设备,由防火墙设备提供通用的保护措施,而设置专有防火墙设备增加了网络设备管理的复杂度,同时增加了成本。其实现安全保护的方法主要是网络层数据包过滤,进行在网络协议第三层,它是对TCP/IP(互联网协议)数据包的目的IP地址、目的端口号、源IP地址、源端口号、协议号等内容通过预先设定的规则进行过滤,将不满足条件的报文丢弃,该方法由于不能区分具体的应用,导致安全性较差。
发明内容
本发明的目的在于提供一种网络地址转换中防止公网地址非法占用的私网用户访问资源分配方法。
为达到上述目的,本发明采用的技术方案是:一种网络地址转换中私网用户访问资源分配方法,首先设定私网用户访问外部网络的在线会话数量最大值和单位时间发起会话数量允许值,当私网用户发起访问外部网络会话时,执行包括以下步骤的操作:
(1)、判断该会话是否存在有效的在线网络地址转换记录,如果有,转步骤(6);如果无,继续步骤(2);
(2)、判断该用户在本次单位时间内发起会话的数量是否超过设定的单位时间发起会话数量最大值,如果是,丢弃该用户报文,如果否,继续步骤(3);
(3)、判断该用户访问外部网络的在线会话数量是否超过设定的在线会话数量最大值,如果是,丢弃该用户报文,如果否,继续步骤(4);
(4)、执行地址转换处理;
(5)、执行包括修改相应会话数量记录的操作;
(6)、按地址转换转发报文。
由于采用以上技术方案,当用户访问外部网络会话数量超过最大值时,用户报文被丢弃,防止了公网地址的非法占用。
附图说明
图1是本发明方法的总体流程图;
图2是本发明具体实施方式中统计表查找流程图;
图3是本发明具体实施方式中统计表处理过程示图。
具体实施方式
下面结合附图和实施例对本发明作进一步说明。
图1所示为本发明方法的总体流程,首先设定私网用户在线的访问外部网络会话数量的最大值,当私网用户发起访问外部网络会话时,执行包括以下步骤的操作:
A、判断该会话是否存在有效的在线网络地址转换记录,如果有,转步骤E;如果无,继续步骤B;
B、判断该用户访问外部网络会话数量是否超过最大值,如果是,丢弃该用户报文,如果否,继续步骤C;
C、执行地址转换处理;
D、执行包括修改相应会话数量记录的操作;
E、按地址转换转发报文。
作为本发明方法的进一步改进,参照图2、图3,可另外设定私网用户在线的访问外部网络会话数量的最小值,设置用于记录私网用户发起访问外部网络会话信息的统计表,该统计表可以发起访问外部网络会话的源IP地址为索引,统计表的表项包括以下记录:
1)用于标识该统计表项是否处于使用状态的标志U;具体实施中,标志U可采用布尔变量,U=1时,表示该表项正在使用,U=0时,表示该表项没有使用。
2)用于标识该用户在线会话数量是超过最大值还是低于最小值的标志Count;具体实施中,标志Count可采用布尔变量,Count=1时,表示该IP地址发起访问外部网络会话的数量超出最大值,Count=0时,表示该IP地址发起访问外部网络会话的数量低于最小值。
3)当前该用户在线会话数量M;创建表项时,M初始值为1。
4)该用户单位时间发起新会话数量允许值N;
5)该用户当前单位时间允许发起新会话剩余计数器n;具体实施中,计数器n可在每个单位时间起始时拷贝允许值N的值,每当从IP地址发起访问外部网络新会话时n值减1,递减到0后,再发起的访问外部网络新会话为非法会话。
6)用于标识该用户当前单位时间是否发起超过允许值N的新会话请求的标志I;具体实施中,标志I可以是n值递减到0后非法会话计数器,在每个单位时间初始值为0。
在所述步骤B前执行下属步骤:
A1、查找相应用户的统计表项;
A2、判断查表是否命中,如果否,转步骤C,如果是,继续;
A3、通过U判断,如不处于使用状态,转步骤C,如处于使用状态,继续;
A4、通过n判断当前单位时间是否可以发起新会话,如果是,相应修改计数器n的值后转步骤B;如果否,继续;
A5、相应修改标志I的值后将报文丢弃。
所述步骤D的执行内容有:
D1、查找相应用户的统计表项;
D2、判断查表是否命中,如果否,转步骤D6,如果是,继续;
D3、通过U判断,如不处于使用状态,对统计表项作恢复初始状态数据的操作后转步骤E,如处于使用状态,继续;
D4、给当前该用户会话数量M一个增加值;
D5、判断M是否超过最大值,如果是,相应设置标志Count后转步骤E;如果否,转步骤E;
D6、执行加入该用户统计表项的操作;
且在每次所述单位时间超时后执行包括对计数器n依据允许值N重新赋值的操作F;在标准网络地址转换程序对失效转换关系作老化处理时对相应的统计表项执行老化操作。计数器n的设置起到了对用户发起会话速率的限制,有效防止恶意用户以反复发起并取消会话的方式逃避会话数量最大值的限制而达到占用公有地址池资源的目的。
对于上述改进方法,还可设置用于存储用户配置信息的配置表,该配置表中对各特殊要求的用户单独记录会话数量最大值和最小值以及单位时间发起新会话数量允许值N,对非特殊要求用户将上述参数配置为默认值,所述步骤D6的操作包括:
D61、通过查配置表的结果判断用户是否为特殊要求用户,如果是,按配置表中的配置信息设置相应参数;如果否,按配置表中的默认值设置相应参数。
在具体实施中,所述对计数器n依据允许值N重新赋值的操作F可包括下述步骤:
F1、读取统计表项;
F2、如果U表示不处于使用状态或会话数量M为0,转步骤F6;否则,继续步骤F3;
F3、通过I判断是否有超限额会话请求,如果有,执行步骤F5;如果无,执行步骤F4;
F4、以缓慢递增方式对N重新赋值后转步骤F7;
F5、以快速递减方式对N重新赋值后转步骤F7;
F6、删除该表项;
F7、查下一表项;
F8、如果到达表尾,结束;否则,返回步骤F1。
所谓以缓慢递增方式对N重新赋值可以是诸如N=N+1的函数运算;所谓以快速递减方式对N重新赋值可以是诸如N=N/2的函数运算;经过以上步骤后,再对计数器n依据N重新赋值,则起到根据本单位时间发起新会话速率影响下一个单位时间速率权限,更好地防止恶意用户的发起会话请求,并保证在异常情况消失后,恢复发起会话权限。
另外,在标准NAT处理中,为防止失效的转换关系占用转换关系表而设有老化处理,针对上述改进方法,转换关系老化处理可包括下述步骤:
G1、读取地址转换关系表项;
G2、如果该表项不需要老化,转步骤G12;否则,继续步骤G3;
G3、查找相应用户的统计表项;
G4、判断查表是否命中,如果否,转步骤G11,如果是,继续步骤G5;
G5、通过U判断,如不处于使用状态,转步骤G11,如处于使用状态,继续步骤G6;
G6、将该用户会话数量M减1;
G7、判断M是否小于最小值,如果否,转步骤G11,如果是,继续步骤G8;
G8、相应设置Count标识;例如令Count=0,表示该IP地址发起访问外部网络会话的数量低于最小值。
G9、判断M是否为0,如果否,转步骤G11,如果是,继续步骤G10;
G10、将U标识为非使用状态;
G11、删除该地址转换关系表项;
G12、查下一地址转换关系表项;
G13、如果到达地址转换关系表尾,结束;否则,返回步骤G1。
Claims (5)
1、一种网络地址转换中私网用户访问资源分配方法,其特征在于:首先设定私网用户访问外部网络的在线会话数量最大值和单位时间发起会话数量允许值,当私网用户发起访问外部网络会话时,执行包括以下步骤的操作:
(1)、判断该会话是否存在有效的在线网络地址转换记录,如果有,转步骤(6);如果无,继续步骤(2);
(2)、判断该用户在本次单位时间内发起会话的数量是否超过设定的单位时间发起会话数量最大值,如果是,丢弃该用户报文,如果否,继续步骤(3);
(3)、判断该用户访问外部网络的在线会话数量是否超过设定的在线会话数量最大值,如果是,丢弃该用户报文,如果否,继续步骤(4);
(4)、执行地址转换处理;
(5)、执行包括修改相应会话数量记录的操作;
(6)、按地址转换转发报文。
2、如权利要求1所述的网络地址转换中私网用户访问资源分配方法,其特征在于:设定私网用户在线的访问外部网络会话数量的最小值,设置用于记录私网用户发起访问外部网络会话信息的统计表,统计表的表项包括以下记录:
1)用于标识该统计表项是否处于使用状态的标志U;
2)用于标识该用户在线会话数量是超过最大值还是低于最小值的标志Count;
3)当前该用户在线会话数量M;
4)该用户单位时间发起新会话数量允许值N;
5)该用户当前单位时间允许发起新会话剩余计数器n;
6)用于标识该用户当前单位时间是否发起超过允许值N的新会话请求的标志I;
在所述步骤(2)的执行内容包括下述步骤:
(21)、查找相应用户的统计表项;
(22)、判断查表是否命中,如果否,转步骤(4),如果是,继续;
(23)、通过U判断,如不处于使用状态,转步骤(4),如处于使用状态,继续;
(24)、通过n判断当前单位时间是否可以发起新会话,如果是,相应修改计数器n的值后转步骤(3);如果否,继续;
(25)、相应修改标志I的值后将报文丢弃;
所述步骤(5)的执行内容有:
(51)、查找相应用户的统计表项;
(52)、判断查表是否命中,如果否,转步骤(56),如果是,继续;
(53)、通过U判断,如不处于使用状态,对统计表项作恢复初始状态数据的操作后转步骤(6),如处于使用状态,继续;
(54)、给当前该用户会话数量M一个增加值;
(55)、判断M是否超过最大值,如果是,相应设置标志Count后转步骤(6);如果否,转步骤(6);
(56)、执行加入该用户统计表项的操作;
且在每次所述单位时间超时后执行包括对计数器n依据允许值N重新赋值的操作(7);在标准网络地址转换程序对失效转换关系作老化处理时对相应的统计表项执行老化操作。
3、如权利要求2所述的网络地址转换中私网用户访问资源分配方法,其特征在于:设置用于存储用户配置信息的配置表,该配置表中对各特殊要求的用户单独记录会话数量最大值和最小值以及单位时间发起新会话数量允许值N,对非特殊要求用户将上述参数配置为默认值,所述步骤(56)的操作包括:
(561)、通过查配置表的结果判断用户是否为特殊要求用户,如果是,按配置表中的配置信息设置相应参数;如果否,按配置表中的默认值设置相应参数。
4、如权利要求2所述的网络地址转换中私网用户访问资源分配方法,其特征在于:所述操作(7)包括下述步骤:
(71)、读取统计表项;
(72)、如果U表示不处于使用状态或会话数量M为0,转步骤(76);否则,继续步骤(73);
(73)、通过I判断是否有超限额会话请求,如果有,执行步骤(75);如果无,执行步骤(74);
(74)、以缓慢递增方式对N重新赋值后转步骤(77);
(75)、以快速递减方式对N重新赋值后转步骤(77);
(76)、删除该表项;
(77)、查下一表项;
(78)、如果到达表尾,结束;否则,返回步骤(71)。
5、如权利要求2所述的网络地址转换中私网用户访问资源分配方法,其特征在于:所述转换关系老化处理包括下述步骤:
(81)、读取地址转换关系表项;
(82)、如果该表项不需要老化,转步骤(812);否则,继续步骤(83);
(83)、查找相应用户的统计表项;
(84)、判断查表是否命中,如果否,转步骤(811),如果是,继续步骤(85);
(85)、通过U判断,如不处于使用状态,转步骤(811),如处于使用状态,继续步骤(86);
(86)、将该用户会话数量M减1;
(87)、判断M是否小于最小值,如果否,转步骤(811),如果是,继续步骤(88);
(88)、相应设置Count标识;
(89)、判断M是否为0,如果否,转步骤(811),如果是,继续步骤(810);
(810)、将U标识为非使用状态;
(811)、删除该地址转换关系表项;
(812)、查下一地址转换关系表项;
(813)、如果到达地址转换关系表尾,结束;否则,返回步骤(81)。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNB021210071A CN100433667C (zh) | 2002-05-29 | 2002-05-29 | 网络地址转换中私网用户访问资源分配方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNB021210071A CN100433667C (zh) | 2002-05-29 | 2002-05-29 | 网络地址转换中私网用户访问资源分配方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN1463121A CN1463121A (zh) | 2003-12-24 |
CN100433667C true CN100433667C (zh) | 2008-11-12 |
Family
ID=29742715
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNB021210071A Expired - Fee Related CN100433667C (zh) | 2002-05-29 | 2002-05-29 | 网络地址转换中私网用户访问资源分配方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN100433667C (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN100423512C (zh) * | 2005-06-17 | 2008-10-01 | 杭州华三通信技术有限公司 | 虚拟专用网的网络地址转换设备资源使用的控制方法 |
CN101127720B (zh) * | 2007-09-25 | 2010-09-01 | 中兴通讯股份有限公司 | 保证网络地址转换负载均衡内部本地地址可达的方法 |
CN102567175B (zh) * | 2010-12-08 | 2014-12-31 | 中国科学院声学研究所 | 一种基于资源声明的应用安全监控方法及系统 |
CN106170015A (zh) * | 2016-07-26 | 2016-11-30 | 杭州迪普科技有限公司 | 一种限制并发会话数的方法及装置 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000224219A (ja) * | 1999-01-29 | 2000-08-11 | Internatl Business Mach Corp <Ibm> | 仮想プライベ―ト・ネットワ―クの動作方法およびシステム |
CN1308745A (zh) * | 1998-05-08 | 2001-08-15 | 摩托罗拉公司 | 保护网络避免数据分组过载的方法 |
CN1332552A (zh) * | 2000-03-03 | 2002-01-23 | 尼克斯兰德公司 | 使用本地ip地址和不可转换端口地址的局域网的网络地址转换网关 |
KR100333530B1 (ko) * | 1999-09-29 | 2002-04-25 | 최명렬 | 네트워크 주소 변환(nat) 기능을 이용한 가상 사설망(vpn) 구성 방법 및 이를 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록 매체 |
-
2002
- 2002-05-29 CN CNB021210071A patent/CN100433667C/zh not_active Expired - Fee Related
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1308745A (zh) * | 1998-05-08 | 2001-08-15 | 摩托罗拉公司 | 保护网络避免数据分组过载的方法 |
JP2000224219A (ja) * | 1999-01-29 | 2000-08-11 | Internatl Business Mach Corp <Ibm> | 仮想プライベ―ト・ネットワ―クの動作方法およびシステム |
KR100333530B1 (ko) * | 1999-09-29 | 2002-04-25 | 최명렬 | 네트워크 주소 변환(nat) 기능을 이용한 가상 사설망(vpn) 구성 방법 및 이를 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록 매체 |
CN1332552A (zh) * | 2000-03-03 | 2002-01-23 | 尼克斯兰德公司 | 使用本地ip地址和不可转换端口地址的局域网的网络地址转换网关 |
Also Published As
Publication number | Publication date |
---|---|
CN1463121A (zh) | 2003-12-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP3443529B2 (ja) | ファイアウォールサービスを提供する方法と、ファイアウォールサービスを提供するコンピュータシステム | |
JP3492920B2 (ja) | パケット検証方法 | |
US6098172A (en) | Methods and apparatus for a computer network firewall with proxy reflection | |
US6141749A (en) | Methods and apparatus for a computer network firewall with stateful packet filtering | |
US6170012B1 (en) | Methods and apparatus for a computer network firewall with cache query processing | |
CN101237378B (zh) | 虚拟局域网的映射方法和设备 | |
US20060080444A1 (en) | System and method for controlling access to a network resource | |
EP1269709B1 (en) | Proxy network address translation | |
CN102036227A (zh) | 一种数据业务的用户标识获取方法、系统及装置 | |
CN101212375B (zh) | 控制用户使用代理上网的方法 | |
US7047564B2 (en) | Reverse firewall packet transmission control system | |
CN100433667C (zh) | 网络地址转换中私网用户访问资源分配方法 | |
CN113014680B (zh) | 一种宽带接入的方法、装置、设备和存储介质 | |
CN100395997C (zh) | 一种保护接入用户安全的方法 | |
CN107682473A (zh) | 一种ip地址分配方法及装置 | |
Haixin et al. | Policy based access control framework for large networks | |
CN110602110A (zh) | 一种全网端口隔离方法、装置、设备及存储介质 | |
CN109347792A (zh) | 一种基于云+端设备持续联动模式的抗大规模DDoS攻击防御系统及防御方法 | |
CN115442328B (zh) | 一种网络地址转换方法、装置、网关、介质和设备 | |
Bellovin | On many addresses per host | |
KR20070000606A (ko) | 방화벽 설정 방법 | |
CN1585341A (zh) | 网络会话管理方法 | |
Wang et al. | RFC1335: A Two-Tier Address Structure for the Internet: A Solution to the Problem of Address Space Exhaustion | |
Bellovin | RFC1681: On Many Addresses per Host | |
Davis | Configuring Cisco Denial-of-Service Security Features: Part 2 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20081112 Termination date: 20150529 |
|
EXPY | Termination of patent right or utility model |