CN101257502A - 一种保护服务器和网络方法 - Google Patents
一种保护服务器和网络方法 Download PDFInfo
- Publication number
- CN101257502A CN101257502A CNA2008103002963A CN200810300296A CN101257502A CN 101257502 A CN101257502 A CN 101257502A CN A2008103002963 A CNA2008103002963 A CN A2008103002963A CN 200810300296 A CN200810300296 A CN 200810300296A CN 101257502 A CN101257502 A CN 101257502A
- Authority
- CN
- China
- Prior art keywords
- network
- server
- security node
- security
- protected
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
本发明公开一种保护服务器或网络的方法,包括:当互联网用户访问被保护的服务器或网络时,由预设的DNS解析服务器确定对应的符合预设条件的目标安全节点,并将该目标安全节点的IP地址提供给所述用户;该用户向被保护服务器或网络发出的请求即被指向所述目标安全节点;该目标安全节点在安全策略和智能控制部件的控制下,将该互联网用户的合法请求转发给所述被保护的网络服务器或网络,并接收所述网络服务器或网络的应答数据,并在安全策略和智能控制部件的控制下将合法应答数据返回给所述用户。本发明可以降低客户成本、分散流量,也就是说多个安全节点可以保护同一台服务器以分散攻击流量、避免出口带宽被堵死。
Description
技术领域
本发明涉及计算机网络安全技术领域,更具体地说涉及一种使用部署在互联网上的安全节点形成一个虚拟安全网来保护互联网上的网络服务器或网络安全的方法。
背景技术
互联网与人们生活越来越密切,人们会通过已知的域名或搜索引擎去寻找自己需要的信息和各种服务。但与此同时,互联网安全的问题也越来越成为迫切需要解决的问题。据2007年9月的统计,国内网站数量已达131万,而这还是指的在一个二级域名下的所有网站只算做一个网站的统计,加上子域名的网站,网站数量应该已经超千万。
互联网上的网站会受到各种各样的攻击和入侵,比如利用网站操作系统、服务软件或网页程序的安全漏洞的入侵,调动大量肉机发起大量无效请求堵死服务器带宽的DDoS(Distributed Denial of Service,分布式拒绝服务攻击)等等。
为了防范这些入侵和攻击,需要配备防火墙等安全设备,这不仅提高了采购成本、托管成本,还提供了维护人员的技术水平要求和维护成本。
其实安全问题是突发性的,配备防火墙即使能够保护服务器的安全,它在大部分时间其实是摆设,而在攻击和入侵发生时却是极端重要。
类似地,网站所需要的带宽在正常访问时和被攻击时有数量级上的要求区别,比如一个网站可能平时只有10兆的正常访问量(这已经是一个流量比较大的网站了),在攻击发生时,可能100兆都会被堵死。这样网站如果购买的是10M带宽,就不能承受任何攻击流量;如果购买100兆带宽,就会极大地浪费。
攻击和入侵的非法流量一般都是突发性的,尤其是DDoS攻击,是突发地从四面八方攻击同一个网站,用大批的流量将其网站带宽冲死。这种情况下,即使网站服务器前面有防火墙的保护都没有效果,因为聚集的流量已经把防火墙的出口带宽堵死了。
总结上述说明,我们可以发现目前的防火墙类安全产品在保护网络和服务器时存在如下问题:
1、防火墙平时没用、用时不够,造成成本高、资源浪费;
2、带宽平时足够、用时不够,造成成本高、资源浪费;
3、单凭防火墙无法保护安全,还需要IPS等其他安全设备,但大部分网络和服务器不可能配全安全设备。
发明内容
有鉴于此,本发明的目的是降低客户安全成本、解决使用安全网关一对一保护时无法解决的问题,比如被保护区有多项安全需求、DDoS等。本发明提供使用部署在互联网上的大量安全节点形成一个虚拟安全网来保护互联网上的网络服务器或网络的方法,将攻击和入侵的非法流量阻挡在网站带宽出口之外,让多个网络和服务器共享多台防火墙等网络安全设备,使这些网络安全设备能够满负荷运转、物尽其用,不仅降低每个网络和服务器所需要的安全成本和网络带宽,并阻挡传统防火墙无法阻挡的攻击。
同时,原本位于客户网络和客户服务器前面的边界式防火墙也可以是用本发明的技术加入这个虚拟安全网体系,以进一步提高上述效果。
本发明是这样实现的:
当互联网用户访问被保护的服务器或网络时,由预设的DNS解析服务器确定对应的符合预设条件的目标安全节点,并将该目标安全节点的IP地址提供给所述用户;
该用户向所述被保护服务器或网络的请求被指向所述目标安全节点;
该目标安全节点在安全策略和智能控制部件的控制下,将该互联网用户的合法请求转发给所述被保护的网络服务器或网络,并接收所述网络服务器或网络的应答数据,并在安全策略和智能控制部件的控制下将合法应答数据返回给所述用户。
预设的DNS解析服务器按照以下步骤确定符合预设条件的目标安全节点:
根据该互联网用户的IP及所述被保护的服务器或网络的IP确定对应的地理和网络拓扑位置,选择最适合提供服务的安全节点;
将所述安全节点按照其与互联网用户和被保护的服务器或网络之间的数据包延时和丢包率,延时和丢包率最小的安全节点确定为目标安全节点。
延时和丢包率最小的安全节点的网络环境如果超过预设条件时,确定排列的下一个安全节点为目标安全节点。
所述网络环境为负荷,当安全节点的负荷超过预先设置的门限时,确定该安全节点的网络环境超过预设条件。
所述目标安全节点在智能控制部件的控制下,将攻击、入侵等非法数据包滤除后,将该互联网用户的合法请求转发给所述被保护的网络服务器或网络。
一个安全节点对应多台被保护的服务器。多个安全节点也可以对应同一台服务器。
透过本发明组成的虚拟安全网,同一个网站的内容分布到不同的服务器上、不同的位置上,使所有的服务器可以变成虚拟的存储点,是所有的网络接入位置成为纯粹的信号通道。
原来位于客户服务器或客户子网前面的安全网关保持原来位置或移入互联网。
被保护区收到安全节点转发过来的请求,直接将应答数据返回给上述互联网用户。
本发明方法得到的好处有:
降低客户成本:一个安全节点可以保护多台服务器以降低成本、提高网络安全设备的使用率;
分散流量:多个安全节点可以保护同一台服务器以分散攻击流量、避免出口带宽被堵死;
透明后台支持:透过本发明组成的虚拟安全网,同一个网站的内容可以分布到不同的服务器上、不同的位置上,使所有的服务器可以变成虚拟的存储点,是所有的网络接入位置成为纯粹的信号通道。
保护已有投入:原来位于客户服务器或客户子网前面的安全网关也可以纳入本发明组成的虚拟安全网体系,形成一个互助的安全保护网络。
附图说明
图1为传统的使用防火墙保护服务器或网络的示意图
图2为本发明组成的虚拟安全网的实现方法的实施例一的示意图
具体实施方式
本发明可以在安全、成本和有效利用等诸多方面达成统一。
传统的防火墙保护体系,见附图1,是使用防火墙挡在被保护服务器或被保护网络与互联网之间,一般在连接互联网的路由器与被保护服务器/网络之间。
当互联网上的客户端,比如C1~C4,要访问Net1中的服务器S1时,首先请求为S1所在域服务的DNS服务器DNS1,得到S1的IP地址,然后请求包会通过互联网、路由器1、防火墙FW1到达S1,S1再反向地将应答包返回给C1。
如果防火墙保护的是一个子网,例如S2~S4和PC1/PC2组成的子网都有FW2保护,情况也类似。
防火墙可以禁止指定IP的客户端访问,挡住某些方式的攻击例如SynFlood等。
但有些攻击和入侵方式防火墙可能无法阻挡,比如:
应用层入侵方式可能需要IPS(入侵防御系统)等其他网络安全设备。
在C1~C4都被DDoS蠕虫侵染而成为肉机(肉机,指被DDoS蠕虫侵染、受DDoS总控中心控制随时可发起攻击的计算机)后,当DDoS的总控中心控制他们去攻击S1时,C1~C4都会不停地、自动地给S1发SynFlood等非法攻击包,虽然防火墙FW1可以挡住这些攻击数据包使之不到达S1,但大量的非法攻击流量会塞满分配给S1的带宽甚至塞满Net1的出口,这样虽然S1有FW1保护,仍然会被DDoS攻击至不能访问。
为此,本发明提供了一种改进的技术方案,其基本思想是:把防火墙、IPS等网络安全设备放到互联网上而不是在被保护网络或服务器前面。将原先的一对一保护变为多对多保护
在互联网上根据网络拓扑结构部署必要数量的防火墙类网络安全设备,这些设备称为安全节点;
在互联网上部署智能控制中心,包括智能DNS解析服务器、取得安全节点状态控制安全节点行为的智能控制部件;
使用虚拟安全网保护的网络和服务器需要将DNS解析指向上述智能DNS解析服务器;
当互联网用户访问上述网络服务器或网络时,首先是上述智能DNS解析服务器给用户解析出网址对应的IP地址,该IP地址不是上述网络服务器的,而是最合适该互联网用户的安全节点;
该互联网用户将访问请求发给上述由智能DNS解析服务器指定的安全节点;
该安全节点在智能控制部件的控制下降该互联网用户的合法请求转发给上述被保护的网络服务器;
上述网络服务器收到安全节点转发过来的请求,将应答数据返回给安全节点,安全节点再将合法应答数据返回给上述互联网用户。
如果用户方发出的是攻击包或入侵包,这些包将被安全节点堵截,不会转发给被保护的网络服务器。这样,从四面八方来的攻击流量就被分散地阻截在虚拟安全网的各个安全节点上,不会聚集到攻击目标。
图2示出了本发明一种使用部署大量安全节点形成虚拟安全网保护服务器或网络的实施例一的示意图。
使用虚拟安全网保护服务器S1,需要S1的域名管理员将DNS服务器指向我们的智能DNS解析服务器,而不是他原来的DNS1。
而安全节点除了防火墙的功能,还会包括IPS等其他网络安全设备的功能,由于是多个被保护服务器共享这些安全节点,因此这些安全节点可以配备最完善的安全措施。
当客户端C1所有访问为正常访问时,C1首先请求智能DNS解析服务器,智能DNS将根据C1的网络拓扑位置、S1的网络拓扑位置、布放在互联网中所有安全节点的网络拓扑位置和负荷等因素,根据数据包延迟、丢包率、安全节点和网络带宽的负荷等因素,选择一个最合适给C1访问S1做服务的安全节点。这里举例说明上述选择算法:
例如:S1和C1都处于上海同一网络基础运营商比如中国电信网络中,则为它们提供通信安全服务的安全节点选择上海电信的Node1是最合适的,这样无论延迟还是丢包率,都会是最低的;
但如果Node1的负荷已经非常大,虽然从网络来说它是最合适的,但也许这时选择处于杭州电信的Node2更合适,如果此时Node2的负荷较小;虽然延迟和丢包率会稍大,但Node2负荷低,且杭州比上海从网络拓扑来说没有增加太多;
一般来说,不应该选择北京网通的安全节点为上海电信的C1和S1通信提供服务。
如果S1处于北京网通而C1处于上海电信,可能就需要一台具有双网连接的安全节点提供服务,这是才能保证数据包延迟和丢包率最低。
如果依据网络状况确定C1访问S1使用Node1,智能DNS解析服务器会将Node1的IP返回给C1,让C1误以为Node1是S1把请求包发给Node1。Node1收到的请求包的包头中有目标是S1的信息,因此如果Node1发现C1发出的是合法请求,就转发给S1。S1把响应数据返回给Node1,Node1再转发给C1,这样就完成了一次合法的访问。
当客户端被DDoS蠕虫感染后,比如C1~C3受到了感染C4没有感染正常访问S1,当DDoS总控中心发出攻击S1的命令后(实际DDoS肉机成千上万时DDoS总控中心才会指令它们攻击某台服务器,而不会只有3台时就发出攻击指令),C1~C3会不停地自动向S1发出攻击包,但首先它们会请求S1的DNS服务器,现在就是智能DNS解析服务器。由于C1到C4的网络拓扑位置不同,比如C1可能来自上海、C2可能来自北京,因此智能DNS响应给C1~C4的可能是不同的安全节点,比如分别指向Node1~Node4,Node1~Node3会将攻击数据包阻挡,不转发给S1,而Node4会转发正常访问数据包,这样S1就只收到正常访问请求、正常响应数据,而不会收到攻击数据包。
假设Node1-Node4和S1的出口带宽都是一样的,C1~C3的攻击流量可以达到塞满S1的出口带宽,在使用虚拟安全网保护后,C1~C3的攻击流量就被分散到Node1~Node3上,这样就不会被塞满,网络访问可以保持正常,比如C4仍然可以正常访问S1。
这样得到的好处有:
降低客户成本:一个安全节点可以保护多台服务器以降低成本、提高网络安全设备的使用率;
分散流量:多个安全节点可以保护同一台服务器以分散攻击流量、避免出口带宽被堵死;
透明后台支持:透过本发明组成的虚拟安全网,同一个网站的内容可以分布到不同的服务器上、不同的位置上,使所有的服务器可以变成虚拟的存储点,是所有的网络接入位置成为纯粹的信号通道。
保护已有投入:原来位于客户服务器或客户子网前面的安全网关也可以纳入本发明组成的虚拟安全网体系,形成一个互助的安全保护网络。
以上公开的仅为本发明的优选实施方式,但本发明并非局限于此,任何本领域的技术人员能思之的没有创造性的变化,以及在不脱离本发明原理前提下所作的若干改进和润饰,都应落在本发明的保护范围内。
Claims (10)
1.
一种保护服务器或网络的方法,其特征在于,包括:
当互联网用户访问被保护的服务器或网络时,由预设的DNS解析服务器确定对应的符合预设条件的目标安全节点,并将该目标安全节点的IP地址提供给所述用户;
该用户向所述被保护服务器或网络的请求被指向所述目标安全节点;
该目标安全节点在安全策略和智能控制部件的控制下,将该互联网用户的合法请求转发给所述被保护的网络服务器或网络,并接收所述网络服务器或网络的应答数据,并在安全策略和智能控制部件的控制下将合法应答数据返回给所述用户。
2.
如权利要求1所述的方法,其特征在于,预设的DNS解析服务器按照以下步骤确定符合预设条件的目标安全节点:
根据该互联网用户的IP及所述被保护的服务器或网络的IP确定对应的地理和网络拓扑位置,选择最适合提供服务的安全节点;
将所述安全节点按照其与互联网用户和被保护的服务器或网络之间的数据包延时和丢包率,延时和丢包率最小的安全节点确定为目标安全节点。
3.
如权利要求2所述的方法,其特征在于,
延时和丢包率最小的安全节点的网络环境如果超过预设条件时,确定排列的下一个安全节点为目标安全节点。
4.
如权利要求3所述的方法,其特征在于,所述网络环境为负荷,当安全节点的负荷超过预先设置的门限时,确定该安全节点的网络环境超过预设条件。
5.
如权利要求1所述的方法,其特征在于,所述目标安全节点在智能控制部件的控制下,将攻击、入侵等非法数据包滤除后,将该互联网用户的合法请求转发给所述被保护的网络服务器或网络。
6.
如权利要求1所述的方法,其特征在于,一个安全节点对应多台被保护的服务器。
7.
如权利要求1所述的方法,其特征在于,多个安全节点对应同一台服务器。
8.
如权利要求1所述的方法,其特征在于,透过本发明组成的虚拟安全网,同一个网站的内容分布到不同的服务器上、不同的位置上,使所有的服务器可以变成虚拟的存储点,是所有的网络接入位置成为纯粹的信号通道。
9.
如权利要求1所述的方法,其特征在于,原来位于客户服务器或客户子网前面的安全网关保持原来位置或移入互联网。
10.
如权利要求1所述的方法,其特征在于,被保护区收到安全节点转发过来的请求,直接将应答数据返回给上述互联网用户。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200810300296 CN101257502B (zh) | 2008-01-31 | 2008-01-31 | 一种保护服务器和网络方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200810300296 CN101257502B (zh) | 2008-01-31 | 2008-01-31 | 一种保护服务器和网络方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101257502A true CN101257502A (zh) | 2008-09-03 |
| CN101257502B CN101257502B (zh) | 2013-10-23 |
Family
ID=39891971
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 200810300296 Expired - Fee Related CN101257502B (zh) | 2008-01-31 | 2008-01-31 | 一种保护服务器和网络方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101257502B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101567815B (zh) * | 2009-05-27 | 2011-05-11 | 清华大学 | 域名服务器dns放大攻击的有效检测与抵御方法 |
| CN105120462A (zh) * | 2015-09-11 | 2015-12-02 | 中国联合网络通信集团有限公司 | 网络接入方法及装置 |
| CN106471772A (zh) * | 2014-06-20 | 2017-03-01 | 徐正焕 | 利用客户机路由控制系统检测问题起因客户机的方法和系统 |
| WO2017041666A1 (zh) * | 2015-09-11 | 2017-03-16 | 阿里巴巴集团控股有限公司 | 一种针对访问请求的处理方法和装置 |
| CN108199958A (zh) * | 2017-12-29 | 2018-06-22 | 深信服科技股份有限公司 | 一种通用的安全资源池服务链实现方法及系统 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1510872A (zh) * | 2002-12-24 | 2004-07-07 | 中联绿盟信息技术(北京)有限公司 | 一种dns和应用代理相结合对抗拒绝服务攻击的方法 |
-
2008
- 2008-01-31 CN CN 200810300296 patent/CN101257502B/zh not_active Expired - Fee Related
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1510872A (zh) * | 2002-12-24 | 2004-07-07 | 中联绿盟信息技术(北京)有限公司 | 一种dns和应用代理相结合对抗拒绝服务攻击的方法 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101567815B (zh) * | 2009-05-27 | 2011-05-11 | 清华大学 | 域名服务器dns放大攻击的有效检测与抵御方法 |
| CN106471772A (zh) * | 2014-06-20 | 2017-03-01 | 徐正焕 | 利用客户机路由控制系统检测问题起因客户机的方法和系统 |
| CN105120462A (zh) * | 2015-09-11 | 2015-12-02 | 中国联合网络通信集团有限公司 | 网络接入方法及装置 |
| WO2017041666A1 (zh) * | 2015-09-11 | 2017-03-16 | 阿里巴巴集团控股有限公司 | 一种针对访问请求的处理方法和装置 |
| CN105120462B (zh) * | 2015-09-11 | 2018-10-02 | 中国联合网络通信集团有限公司 | 网络接入方法及装置 |
| CN108199958A (zh) * | 2017-12-29 | 2018-06-22 | 深信服科技股份有限公司 | 一种通用的安全资源池服务链实现方法及系统 |
| CN108199958B (zh) * | 2017-12-29 | 2021-04-09 | 深信服科技股份有限公司 | 一种通用的安全资源池服务链实现方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101257502B (zh) | 2013-10-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102263788B (zh) | 一种用于防御指向多业务系统的DDoS攻击的方法与设备 | |
| US10785257B2 (en) | Data center redundancy in a network | |
| Du et al. | DDoS defense as a network service | |
| US7251692B1 (en) | Process to thwart denial of service attacks on the internet | |
| CN101257502B (zh) | 一种保护服务器和网络方法 | |
| WO2017223104A1 (en) | Infrastructure distributed denial of service protection | |
| WO2014131048A1 (en) | Ip reflection | |
| CN106210057A (zh) | 一种基于cdn的云安全防护方法 | |
| Du et al. | OverCourt: DDoS mitigation through credit-based traffic segregation and path migration | |
| CN101136917B (zh) | 一种传输控制协议拦截模块及其软切换方法 | |
| Al-Qudah et al. | DDoS protection as a service: hiding behind the giants | |
| US11115435B2 (en) | Local DDOS mitigation announcements in a telecommunications network | |
| Al-Duwairi et al. | A novel scheme for mitigating botnet-based DDoS attacks | |
| CN105850091B (zh) | 用于提供通信服务提供方和提供服务的ip服务器之间的连接的方法、边界网络装置以及ip服务器 | |
| KR101069341B1 (ko) | 분산 서비스 거부 공격 생성 방지 장치 | |
| Saharan et al. | Prevention of DrDoS amplification attacks by penalizing the attackers in SDN environment | |
| Freet et al. | An overview of architectural and security considerations for named data networking (ndn) | |
| Kang et al. | sShield: small DDoS defense system using RIP-based traffic deflection in autonomous system | |
| Wang et al. | Using web-referral architectures to mitigate denial-of-service threats | |
| Bossardt et al. | Enhanced Internet security by a distributed traffic control service based on traffic ownership | |
| Khor et al. | Overfort: Combating DDoS with peer-to-peer DDoS puzzle | |
| Buvaneswari et al. | Ihoneycol: a collaborative technique for mitigation of DDoS attack | |
| Bagnulo et al. | Secure neighbor discovery (send) source address validation improvement (savi) | |
| Chen et al. | AID: A global anti-DoS service | |
| Kim et al. | Active edge-tagging (ACT): An intruder identification and isolation scheme in active networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20131023 Termination date: 20170131 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |