CN103812958A - 网络地址转换技术的处理方法、nat设备及bng设备 - Google Patents
网络地址转换技术的处理方法、nat设备及bng设备 Download PDFInfo
- Publication number
- CN103812958A CN103812958A CN201210456758.7A CN201210456758A CN103812958A CN 103812958 A CN103812958 A CN 103812958A CN 201210456758 A CN201210456758 A CN 201210456758A CN 103812958 A CN103812958 A CN 103812958A
- Authority
- CN
- China
- Prior art keywords
- subscriber equipment
- equipment
- described subscriber
- mentioned
- bng
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/2854—Wide area networks, e.g. public data networks
- H04L12/2856—Access arrangements, e.g. Internet access
- H04L12/2869—Operational details of access network equipments
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2517—Translation of Internet protocol [IP] addresses using port numbers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2557—Translation policies or rules
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/55—Push-based network services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/128—Anti-malware arrangements, e.g. protection against SMS fraud or mobile malware
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
- H04L67/563—Data redirection of data network streams
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供了一种网络地址转换技术的处理方法、NAT设备及BNG设备,其中,该法包括:网络地址转换NAT设备判断用户设备的会话建立是否达到预设阀值;若是,NAT设备通知宽带网络网关BNG设备对用户设备执行安全策略,其中,安全策略用于阻止用户设备的攻击行为,并通知用户设备存在攻击行为。本发明解决了相关技术中因用户主机本身异常行为而投诉运营商的问题,同时提醒用户对自身的主机安全性进行检查,从而在提高NAT设备的利用率的同时,改善用户体验。
Description
技术领域
本发明涉及通信领域,具体而言,涉及一种网络地址转换技术的处理方法、NAT设备及BNG设备。
背景技术
随着接入Internet的宽带上网用户数量的不断猛增,IPv4地址资源也就愈加显得捉襟见肘,能够在Internet上传播的公网IPv4地址越来越稀缺,显然,越来越稀缺的公网IPv4地址根本无法满足网络用户的需求,于是也就产生了网络地址转换(Network Address Translation,简称为NAT)技术。
NAT技术是一种将私网IPv4地址转化为公网IPv4地址的转换技术,它被广泛应用于各种类型的Internet接入方式和各种类型的网络中。NAT技术可以完美地解决lP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。
NAT设备是提供NAT转换功能的设备,NAT设备分为2种:
(1)如果NAT设备和宽带网络网关(Broadband Network Gateway,简称为BNG)合一,叫做融合式NAT设备,BNG同时提供宽带接入服务和NAT功能
(2)如果NAT设备仅仅提供NAT转换功能,叫做独立式NAT设备,此时NAT设备在BNG的上游,单独提供NAT转换而不提供宽带接入功能。
用户使用NAT功能访问Internet的过程如下:
(1)当宽带用户上线时,用户从宽带网络网关上获取一个私网IPv4地址;
(2)宽带用户访问Internet,宽带用户的IPv4数据包的源地址是获取的私网IPv4地址,用户的数据包被送到NAT设备;
(3)NAT设备根据一定的规则,把用户报文的源IP和源端口转换成公网IP地址和端口后,NAT设备生成“源IP+源端口”和“转换后的源IP+源端口”的会话对应关系,并把用户的数据报文送到Internet,完成NAT正向转换;
(4)Internet上返回给用户的IP报文,在NAT设备上根据返程报文的目的IP和目的端口,查找前面所述的公私网地址端口会话对应关系,再把返程报文的目的地址和目的端口再转换成用户发送报文的私网源IP和源端口,完成NAT反向转换;
(5)反向数据包最终以用户的私网IP和端口为目的,发送到用户主机。
因此,在NAT转换过程中,根据用户访问Internet的报文,NAT设备会生成一个“源IP+源端口”和“转换后的源IP+源端口”的会话对应关系,我们把这个关系叫做Session(会话),当用户每次访问一次Internet业务(标识为一个目的IP+目的端口),NAT设备上就生成一条会话条目,一个会话条目记录如下内容:
1)用户访问的目的IP和目的端口;
2)用户的私网源IP和源端口,和用户经过NAT转换后的公网源IP和源端口;
3)使用的协议。
私网用户每次访问Internet,只要IP报文的5元组(源IP、源端口、协议、目的IP、目的端口)不同,NAT设备就会建立一条Session条目,通过Session条目的公私网的对应关系,NAT设备可以进行正向或者反向的NAT转换,用户必须通过NAT转换把私网地址和端口替换成公网地址和端口后才能访问Internet。
这种Session条目的容量在NAT设备上受硬件资源的限制,也就是一个NAT设备支持的Session条目数目是有限的。那么此时面临一种问题,当私网用户主机中毒时,用户主机会不断高速向Internet发送目的IP和目的端口变化的攻击报文,比如可以高达每秒1000个不同的目的IP和目的端口的组合,由于攻击报文的5元组是不断变化并且是由合法用户主机发送,因此,NAT设备会根据攻击报文生成不同的Session,由于攻击报文的发送速率很高,因此攻击报文生成的Session会占据大量的Session会话资源,并且有可能耗尽整个NAT设备的Session资源,导致正常的用户不能合法访问Internet。
同样,NAT设备对新建Session的处理能力也是有限的,当攻击用户的Session建立速率超过了NAT设备的处理能力,正常的用户的Session将无法建立,同样会导致正常用户不能合法访问Internet。
针对上述问题,现有解决方案有3种:
1)设定攻击Session会话的老化时间,加快无效的Session老化;
2)限制每用户可用Session数目,这样即使用户主机中毒,也只是耗尽该用户自身的Session而对其他正常用户没有影响;
3)限制每用户的允许新建Session速率,从而抑制高速的攻击行为。
然而,即使通过上述3种解决方案,当发生攻击行为时,用户的Session数目耗尽后,现有设备往往只能通过网管或系统日志告警方式通知运营商,用户的宽带拨号网络连接依然有效,用户本身并不知道自己因为中毒导致了无法访问网络,用户仍然会投诉运营商,这样会导致因为用户主机本身异常行为的投诉大规模增加。
针对相关技术中上述至少之一的问题,目前尚未提出有效的解决方案。
发明内容
本发明提供了一种网络地址转换技术的处理方法、NAT设备及BNG设备,以至少解决相关技术中因用户主机本身异常行为而投诉运营商的问题。
根据本发明的一个方面,提供了一种网络地址转换技术的处理方法,其包括:网络地址转换NAT设备判断用户设备的会话建立是否达到预设阀值;若是,上述NAT设备通知宽带网络网关BNG设备对上述用户设备执行安全策略,其中,上述安全策略用于阻止上述用户设备的攻击行为,并通知上述用户设备上述用户设备存在攻击行为。
优选地,上述BNG设备对上述用户设备执行上述安全策略包括:上述BNG设备执行强推Web页面策略,将上述用户设备发送的HTTP请求重定向至第一提示页面,其中,上述第一提示页面用于提醒上述用户设备的访问存在攻击行为。
优选地,上述BNG设备将上述用户设备发送的HTTP请求重定向至第一提示页面包括:上述BNG设备间隔预设周期将上述用户设备发送的HTTP请求重定向至上述第一提示页面。
优选地,上述第一提示页面还作用提醒上述用户设备进行病毒和/或木马的查杀。
优选地,上述BNG设备对上述用户设备执行上述安全策略之后,上述网络地址转换技术的处理方法还包括:上述NAT设备通知上述BNG设备对上述用户设备的访问行为执行强制上述用户设备下线或将上述用户设备退回至未认证状态的操作,并通知认证授权计费AAA服务器将上述用户设备标记或设置为存在攻击行为的用户设备,其中,上述第一提示页面还用于提醒上述用户设备将被强制下线或被退回至未认证状态;上述用户设备再次请求上线和/或请求认证,上述AAA服务器对上述用户设备的认证通过后,上述AAA服务器通知上述BNG设备对上述用户设备执行强推Web页面策略,将上述用户设备的页面访问请求重定向至第二提示页面,其中,上述第二提示页面用于提醒上述用户设备此前被强制下线或被退回至未认证状态是因为用户设备发生了攻击行为,若上述用户设备仍然存在攻击行为,将再次被强制下线或被退回至未认证状态,并提醒上述用户设备进行病毒和/或木马的查杀。
优选地,上述NAT设备包括以下之一:与BNG设备合设的NAT设备;与BNG设备分设的NAT设备。
优选地,上述NAT设备为与BNG设备合设的NAT设备的情况下,上述NAT设备通过以下方式之一通知BNG设备对上述用户设备执行安全策略:上述NAT设备将上述用户设备的标识信息发送给安全策略服务器,由安全策略服务器通知上述BNG设备对上述用户设备执行安全策略;上述NAT设备将上述用户设备的标识信息发送给上述BNG设备,来通知上述BNG设备对上述用户设备执行安全策略。
优选地,在上述NAT设备通知BNG设备对上述用户设备执行安全策略之后,上述网络地址转换技术的处理方法还包括:上述NAT设备判断上述用户设备的会话建立不符合上述预设阀值的情况下,或上述用户设备通过强推的Web页面取消执行上述安全策略的情况下,上述NAT设备通知上述BNG设备取消对上述用户设备执行上述安全策略。
优选地,上述NAT设备为与BNG设备合设的NAT设备的情况下,上述NAT设备通过以下方式之一通知BNG设备取消对上述用户设备执行安全策略:上述NAT设备将上述用户设备的标识信息发送给安全策略服务器,由安全策略服务器通知上述BNG设备取消对上述用户设备执行安全策略;上述NAT设备将上述用户设备的标识信息发送给上述BNG设备,来通知上述BNG设备取消对上述用户设备执行安全策略。
优选地,强推的Web页面位于公网的情况下,且上述NAT设备对上述用户设备的访问行为执行强推Web页面操作的情况下,上述NAT设备为上述用户设备建立的会话包括:上述用户设备与强推Web页面的HTTP连接建立的会话。
优选地,用于上述NAT设备判断用户设备的会话建立是否达到预设阀值的会话包括以下至少之一:上述用户设备的传输控制协议TCP连接建立的会话;上述用户设备的网际控制信息协议ICMP连接建立的会话;上述用户设备的用户数据协议UDP连接建立的会话。
优选地,上述预设阀值包括以下至少之一:上述用户设备建立会话的总数、上述用户设备建立会话的速率。
优选地,上述方法还包括:上述NAT设备通知上述BNG设备对上述用户设备执行安全策略时,上述NAT设备加快上述用户设备的会话的老化。
根据本发明的另一方面,提供了一种NAT设备,其包括:判断模块,用于判断用户设备的会话建立是否达到预设阀值;第一通知模块,用于在上述用户设备的会话建立达到上述预设阀值的情况下,通知宽带网络网关BNG设备对上述用户设备执行安全策略,其中,上述安全策略用于阻止上述用户设备的攻击行为,并通知上述用户设备上述用户设备存在攻击行为。
优选地,上述NAT设备还包括:第二通知模块,用于通知上述BNG设备对上述用户设备的访问行为执行强制上述用户设备下线或将上述用户设备退回至未认证状态的操作,并通知认证授权计费AAA服务器将上述用户设备标记或设置为存在攻击行为的用户设备,其中,上述第一提示页面还用于提醒上述用户设备将被强制下线或被退回至未认证状态,上述用户设备再次请求上线和/或请求认证,上述AAA服务器对上述用户设备的认证通过后,上述AAA服务器通知上述BNG设备对上述用户设备执行强推Web页面策略,将上述用户设备的页面访问请求重定向至第二提示页面,其中,上述第二提示页面用于提醒上述用户设备此前被强制下线或被退回至未认证状态是因为用户设备发生了攻击行为,若上述用户设备仍然存在攻击行为,将再次被强制下线或被退回至未认证状态,并提醒上述用户设备进行病毒和/或木马的查杀。
优选地,上述NAT设备还包括:第三通知模块,用于判断出上述用户设备的会话建立不符合上述预设阀值的情况下,或上述用户设备通过强推的Web页面取消执行上述安全策略的情况下,通知上述BNG设备取消对上述用户设备执行上述安全策略。
优选地,上述NAT设备还包括:处理模块,用于通知上述BNG设备对上述用户设备执行安全策略时,加快上述用户设备的会话的老化。
根据本发明的又一方面,提供了一种BNG设备,其包括:第一接收模块,用于接收NAT设备发送的对用户设备执行安全策略的第一通知,其中,上述用户设备的会话建立达到预设阀值,上述安全策略用于阻止上述用户设备的攻击行为,并通知上述用户设备上述用户设备存在攻击行为;重定向模块,用于对上述用户设备执行强推Web页面策略,将上述用户设备发送的HTTP请求重定向至第一提示页面,其中,上述第一提示页面用于提醒上述用户设备的访问存在攻击行为。
优选地,上述BNG设备还包括:第二接收模块,用于接收NAT设备发送的对上述用户设备的访问行为执行强制上述用户设备下线或将上述用户设备退回至未认证状态的操作的第二通知;处理模块,用于根据上述第二通知,对上述用户设备的访问行为执行强制上述用户设备下线或将上述用户设备退回至未认证状态的操作,并通知认证授权计费AAA服务器将所述用户设备标记或设置为存在攻击行为的用户设备,其中,所述第一提示页面还用于提醒所述用户设备将被强制下线或被退回至未认证状态,所述用户设备再次请求上线和/或请求认证,所述AAA服务器对所述用户设备的认证通过后,所述AAA服务器通知所述BNG设备对所述用户设备执行强推Web页面策略,将所述用户设备的页面访问请求重定向至第二提示页面,其中,所述第二提示页面用于提醒所述用户设备此前被强制下线或被退回至未认证状态是因为用户设备发生了攻击行为,若所述用户设备仍然存在攻击行为,将再次被强制下线或被退回至未认证状态,并提醒所述用户设备进行病毒和/或木马的查杀。
在本发明中,通过NAT设备判断用户设备的会话建立是否达到预设阀值,该预设阀值可以是会话建立的数目或频率等,若是,上述NAT设备通知BNG设备对上述用户设备执行安全策略,其中,该安全策略用于阻止上述用户设备的攻击行为,并通知上述用户设备该用户设备存在攻击行为,实现了在用户设备存在攻击行为时,通过执行上述安全策略来阻止上述用户设备的攻击行为,并提醒用户设备其存在攻击行为,以提醒用户对可能存在的病毒和木马进行查杀,避免用于投诉运营商,从而在提高NAT设备的利用率的同时,改善用户体验。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本发明实施例的网络地址转换技术的处理方法的流程图;
图2是根据本发明实施例的网络架构示意图1;
图3是根据本发明实施例的网络架构示意图2;
图4是根据本发明实施例的网络架构示意图3;
图5是根据本发明实施例的NAT设备的结构框图;
图6是根据本发明实施例的BNG设备的结构框图;
图7是根据本发明实施例的网络示意图1;
图8是根据本发明实施例的网络地址转换技术的处理方法的流程示意图;
图9是根据本发明实施例的网络地址转换技术的处理方法的流程示意图;
图10是根据本发明实施例的网络地址转换技术的处理方法的流程示意图;
图11是根据本发明实施例的网络示意图2;
图12是根据本发明实施例的网络地址转换技术的处理方法的流程示意图;
图13是根据本发明实施例的网络地址转换技术的处理方法的流程示意图;
图14是根据本发明实施例的网络示意图3;
图15是根据本发明实施例的网络地址转换技术的处理方法的流程示意图。
具体实施方式
下文中将参考附图并结合实施例来详细说明本发明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
本实施例提供了一种网络地址转换技术的处理方法,如图1所示,该网络地址转换技术的处理方法包括步骤S102至步骤S104。
步骤S102:网络地址转换NAT设备判断用户设备的会话建立是否达到预设阀值。
步骤S104:若是,NAT设备通知宽带网络网关BNG设备对用户设备执行安全策略,其中,安全策略用于阻止用户设备的攻击行为,并通知用户设备用户设备存在攻击行为。
通过上述步骤,通过NAT设备判断用户设备的会话建立是否达到预设阀值,该预设阀值可以是会话建立的数目或频率等,若是,上述NAT设备通知BNG设备对上述用户设备执行安全策略,其中,该安全策略用于阻止上述用户设备的攻击行为,并通知上述用户设备该用户设备存在攻击行为,实现了在用户设备存在攻击行为时,通过执行上述安全策略来阻止上述用户设备的攻击行为,并提醒用户设备其存在攻击行为,以提醒用户对可能存在的病毒和木马进行查杀,避免用于投诉运营商,从而在提高NAT设备的利用率的同时,改善用户体验。
为了提高执行安全策略的便捷性,在本优选实施例中,上述BNG设备对上述用户设备执行上述安全策略包括:上述BNG设备执行强推Web页面策略,将上述用户设备发送的超文本传输协议(Hypertext Transfer Protocol,简称为HTTP)请求重定向至第一提示页面,其中,上述第一提示页面用于提醒上述用户设备的访问存在攻击行为。
为了提高BNG设备的利用率,在本优选实施例中,上述BNG设备将上述用户设备发送的HTTP请求重定向至第一提示页面包括:上述BNG设备间隔预设周期将上述用户设备发送的HTTP请求重定向至上述第一提示页面。即上述BNG设备可以截获上述用户设备的所有HTTP请求报文,并重定向至上述第一提示页面,也可以间隔预设周期截获上述用户设备的HTTP请求报文,并重定向至上述第一提示页面。
为了让用户设备可以快速地解除攻击行为,在本优选实施例中,所述第一提示页面还作用提醒所述用户设备进行病毒和/或木马的查杀。
为了有效地阻止用户设备的攻击行为,在本优选实施例中,上述BNG设备对上述用户设备执行上述安全策略之后,上述网络地址转换技术的处理方法还包括:上述NAT设备通知上述BNG设备对上述用户设备的访问行为执行强制上述用户设备下线或将上述用户设备退回至未认证状态的操作,并通知认证授权计费(Authentication、Authorization and Accounting,简称为AAA)服务器将上述用户设备标记或设置为存在攻击行为的用户设备,其中,上述第一提示页面还用于提醒上述用户设备将被强制下线或被退回至未认证状态;上述用户设备再次请求上线和/或请求认证,上述AAA服务器对上述用户设备的认证通过后,上述AAA服务器通知上述BNG设备对上述用户设备执行强推Web页面策略,将上述用户设备的页面访问请求重定向至第二提示页面,其中,上述第二提示页面用于提醒上述用户设备此前被强制下线或被退回至未认证状态是因为用户设备发生了攻击行为,若上述用户设备仍然存在攻击行为,将再次被强制下线或被退回至未认证状态,并提醒上述用户设备进行病毒和/或木马的查杀。
优选地,上述NAT设备可以包括以下之一:与BNG设备合设的NAT设备;与BNG设备分设的NAT设备。
优选地,上述NAT设备为与BNG设备合设的NAT设备的情况下,实施上述网络地址转换技术的处理方法的网络框架可以采用如图2所示的网络框架,上述NAT设备可以通过以下方式之一通知BNG设备对上述用户设备执行安全策略:上述NAT设备将上述用户设备的标识信息(例如,上述用户设备的转换后的公网IP地址和端口号段)发送给安全策略服务器,由安全策略服务器通知上述BNG设备对上述用户设备执行安全策略;上述NAT设备将上述用户设备的标识信息发送给上述BNG设备,来通知上述BNG设备对上述用户设备执行安全策略。
优选地,当上述NAT设备为与BNG设备分设的NAT设备,实施上述网络地址转换技术的处理方法的网络框架可以采用如图3或4所示的网络框架。
为了满足不同应用场景的需求,在本优选实施例中,在上述NAT设备通知BNG设备对上述用户设备执行安全策略之后,上述网络地址转换技术的处理方法还包括:上述NAT设备判断上述用户设备的会话建立不符合上述预设阀值的情况下,或上述用户设备通过强推的Web页面取消执行上述安全策略的情况下,上述NAT设备通知上述BNG设备取消对上述用户设备执行上述安全策略。
优选地,上述NAT设备为与BNG设备合设的NAT设备的情况下,上述NAT设备可以通过以下方式之一通知BNG设备取消对上述用户设备执行安全策略:上述NAT设备将上述用户设备的标识信息发送给安全策略服务器,由安全策略服务器通知上述BNG设备取消对上述用户设备执行安全策略;上述NAT设备将上述用户设备的标识信息发送给上述BNG设备,来通知上述BNG设备取消对上述用户设备执行安全策略。
优选地,上述用户设备通过强推的Web页面取消执行上述安全策略可以包括:Web服务器通过安全策略服务器发送用户策略给上述NAT设备来取消执行上述安全策略;或者上述Web服务器通知上述NAT设备下发用户策略来取消执行上述安全策略。
优选地,强推的Web页面位于公网的情况下,且上述NAT设备对上述用户设备的访问行为执行强推Web页面操作的情况下,上述NAT设备为上述用户设备建立的会话可以包括:上述用户设备与强推Web页面的HTTP连接建立的会话。
为了准确地确定出上述用户设备是否达到的上述预设阀值,在本优选实施例中,用于上述NAT设备判断用户设备的会话建立是否达到预设阀值的会话可以包括以下至少之一:上述用户设备的传输控制协议(Transfer Control Protocol,简称为TCP)连接建立的会话;上述用户设备的网际控制消息协议(nternet Control Message Protocol,简称为ICMP)接建立的会话;上述用户设备的用户数据协议(User Date Protocol,简称为UDP)连接建立的会话。
优选地,上述预设阀值包括以下至少之一:上述用户设备建立会话的总数、上述用户设备建立会话的速率。
为了缩短用户会话的老化时间,以及时地释放会话资源,在本优选实施例中,上述方法还可以包括:上述NAT设备通知上述BNG设备对上述用户设备执行安全策略时,上述NAT设备加快上述用户设备的会话的老化。
优选地,为了灵活地、实时地提醒用户设备其存在攻击行为,在本优选实施例中,在执行用户安全策略的同时,上述NAT设备可以将上述用户设备的标识信息(例如,攻击IP)通知策略服务器,通过策略服务器的第三方接口以其它形式通知用户设备,例如,可以通过短信通知、电话通知、各种IM工具通知等方式。
本优选实施例提供了一种NAT设备,如图5所示,该NAT设备包括:判断模块502,用于判断用户设备的会话建立是否达到预设阀值;第一通知模块504,连接至判断模块502,用于在上述用户设备的会话建立达到上述预设阀值的情况下,通知宽带网络网关BNG设备对上述用户设备执行安全策略,其中,上述安全策略用于阻止上述用户设备的攻击行为,并通知上述用户设备上述用户设备存在攻击行为。
在上述优选实施例中,通过判断模块502判断用户设备的会话建立是否达到预设阀值,该预设阀值可以是会话建立的数目或频率等,若是,第一通知模块504通知BNG设备对上述用户设备执行安全策略,其中,该安全策略用于阻止上述用户设备的攻击行为,并通知上述用户设备该用户设备存在攻击行为,实现了在用户设备存在攻击行为时,通过执行上述安全策略来阻止上述用户设备的攻击行为,并提醒用户设备其存在攻击行为,以提醒用户对可能存在的病毒和木马进行查杀,避免用于投诉运营商,从而在提高NAT设备的利用率的同时,改善用户体验。
为了有效地阻止用户设备的攻击行为,在本优选实施例中,上述NAT设备还包括:第二通知模块,用于通知上述BNG设备对上述用户设备的访问行为执行强制上述用户设备下线或将上述用户设备退回至未认证状态的操作,并通知认证授权计费AAA服务器将上述用户设备标记或设置为存在攻击行为的用户设备,其中,上述第一提示页面还用于提醒上述用户设备将被强制下线或被退回至未认证状态,上述用户设备再次请求上线和/或请求认证,上述AAA服务器对上述用户设备的认证通过后,上述AAA服务器通知上述BNG设备对上述用户设备执行强推Web页面策略,将上述用户设备的页面访问请求重定向至第二提示页面,其中,上述第二提示页面用于提醒上述用户设备此前被强制下线或被退回至未认证状态是因为用户设备发生了攻击行为,若上述用户设备仍然存在攻击行为,将再次被强制下线或被退回至未认证状态,并提醒上述用户设备进行病毒和/或木马的查杀。
优选地,上述NAT设备为与BNG设备合设的NAT设备的情况下,上述第一通知模块504包括:第一发送单元,用于将上述用户设备的标识信息(例如,上述用户设备的转换后的公网IP地址和端口号段)发送给安全策略服务器,由安全策略服务器通知上述BNG设备对上述用户设备执行安全策略;和/或第二发送单元,用于将上述用户设备的标识信息发送给上述BNG设备,来通知上述BNG设备对上述用户设备执行安全策略。
为了满足不同应用场景的需求,在本优选实施例中,上述NAT设备还包括:第三通知模块,用于判断出上述用户设备的会话建立不符合上述预设阀值的情况下,或上述用户设备通过强推的Web页面取消执行上述安全策略的情况下,通知上述BNG设备取消对上述用户设备执行上述安全策略。
优选地,上述NAT设备为与BNG设备合设的NAT设备的情况下,上述第三通知模块包括:第三发送单元,用于将上述用户设备的标识信息发送给安全策略服务器,由安全策略服务器通知上述BNG设备取消对上述用户设备执行安全策略;第四发送单元,用于将上述用户设备的标识信息发送给上述BNG设备,来通知上述BNG设备取消对上述用户设备执行安全策略。
为了缩短用户会话的老化时间,以及时地释放会话资源,在本优选实施例中,上述网络地址转换设备还包括:处理模块,用于通知上述BNG设备对上述用户设备执行安全策略时,加快上述用户设备的会话的老化。
本优选实施例提供了一种BNG设备,如图6所示,该BNG设备包括:第一接收模块602,用于接收NAT设备发送的对用户设备执行安全策略的第一通知,其中,所述用户设备的会话建立达到预设阀值,所述安全策略用于阻止所述用户设备的攻击行为,并通知所述用户设备所述用户设备存在攻击行为;重定向模块604,连接至第一接收模块602,用于对所述用户设备执行强推Web页面策略,将所述用户设备发送的HTTP请求重定向至第一提示页面,其中,所述第一提示页面用于提醒所述用户设备的访问存在攻击行为。
为了提高BNG设备的利用率,在本优选实施例中,上述重定向模块604,用于间隔预设周期将上述用户设备发送的HTTP请求重定向至上述第一提示页面。即上述BNG设备可以截获上述用户设备的所有HTTP请求报文,并重定向至上述第一提示页面,也可以间隔预设周期截获上述用户设备的HTTP请求报文,并重定向至上述第一提示页面。
为了有效地阻止用户设备的攻击行为,在本优选实施例中,上述BNG设备还包括:第二接收模块,用于接收NAT设备发送的对上述用户设备的访问行为执行强制上述用户设备下线或将上述用户设备退回至未认证状态的操作的第二通知;处理模块,连接至第二接收模块,用于根据上述第二通知,对上述用户设备的访问行为执行强制上述用户设备下线或将上述用户设备退回至未认证状态的操作,并通知认证授权计费AAA服务器将上述用户设备标记或设置为存在攻击行为的用户设备,其中,上述第一提示页面还用于提醒上述用户设备将被强制下线或被退回至未认证状态,上述用户设备再次请求上线和/或请求认证,上述AAA服务器对上述用户设备的认证通过后,上述AAA服务器通知上述BNG设备对上述用户设备执行强推Web页面策略,将上述用户设备的页面访问请求重定向至第二提示页面,其中,上述第二提示页面用于提醒上述用户设备此前被强制下线或被退回至未认证状态是因为用户设备发生了攻击行为,若上述用户设备仍然存在攻击行为,将再次被强制下线或被退回至未认证状态,并提醒上述用户设备进行病毒和/或木马的查杀。
优选地,上述用户设备可以是PPPoE用户设备、IPoE用户设备、移动互联网的用户设备等。
以下结合附图对上述各个优选实施例进行详细地描述。
在本优选实施例中,以图7所示的网络示意场景为例,上述NAT设备为融合式NAT设备为例,当NAT用户TCP攻击消耗的Session(会话)数目达到了安全策略生效的阀值(相当于上述预设阀值),总是强推Web页面,用户通过Web页面来主动取消安全策略,基于该网络场景,如图8所示,上述网络地址转换技术的处理方法的流程包括如下步骤:
步骤S802,NAT设备预先设置安全策略阀值为用户Session数为最大允许值的80%;
步骤S804,用户发生TCP攻击行为,NAT设备判断已经到了安全策略生效阀值;
步骤S806,NAT设备给用户下发强推标记,随后截获用户所有到80端口的TCP连接,通过HTTP重定向标记,将用户所有的HTTP访问请求重定向到运营商的Web提示页面(相当于第一提示页面)提醒用户对可能存在病毒和木马进行查杀;NAT设备同时动态加快用户的无效Session的老化时间;
步骤S808,用户终端查杀病毒及木马后,用户在运营商Web页面上要求取消安全策略;
步骤S810,运营商的Web服务器告知策略服务器,要求通知NAT设备取消安全策略;
步骤S812,策略服务器通知NAT设备取消安全策略;
步骤S814,用户可以通过NAT设备访问网络。
在本优选实施例中,以图7所示的网络示意场景为例,上述NAT设备为融合式NAT设备为例,当NAT用户UDP攻击消耗的Session达到了安全策略生效的阀值(相当于上述预设阀值)时,周期性强推Web页面,当用户的攻击行为消失后NAT设备主动取消安全策略,基于该网络场景,如图9所示,上述网络地址转换技术的处理方法的流程包括如下步骤:
步骤S902,NAT设备预先设置安全策略阀值为用户Session新建速率达到最大允许值的80%;
步骤S904,用户发生UDP FLOOD攻击行为,NAT设备判断已经到了安全策略生效阀值;
步骤S906,NAT设备给用户设置强推标记,随后截获用户到80端口的TCP连接,通过HTTP重定向标记,定期将用户的HTTP访问请求重定向到运营商的Web提示页面。用户部分访问网页的HTTP请求定期被重定向到运营商的Web提示页面,提醒用户对可能存在病毒和木马进行查杀;
步骤S908,用户终端查杀病毒及木马后,用户的UDP FLOOD攻击行为消失;
步骤S910,NAT设备判断用户的新建Session速率低于阀值,NAT设备取消用户的安全策略;
步骤S912,用户可以通过NAT设备访问网络。
在本优选实施例中,以图7所示的网络示意场景为例,上述NAT设备为融合式NAT设备为例,当NAT用户TCP攻击消耗的Session数目达到了安全策略生效的阀值(相当于上述预设阀值),强推Web页面并强制用户下线,如图10所示,上述网络地址转换技术的处理方法的流程包括如下步骤:
步骤S1002,NAT设备预先设置安全策略阀值为用户Session数为最大允许值的80%;
步骤S1004,用户发生TCP攻击行为,NAT设备判断已经到了安全策略生效阀值;
步骤S1006,NAT设备强制用户下线或退回未认证状态,通知认证服务器下线原因为NATSession攻击;
可选的,NAT设备在强制用户下线或退回未认证状态前,强推Web页面提示用户即将下线或退回未认证状态,提醒用户对可能的病毒或木马进行查杀后重新上线或发起认证。
步骤S1008,用户再次拨号上线或发起认证请求,认证成功后重新上线;
步骤S1010,AAA服务器通知NAT设备将用户的HTTP请求重定向到运营商的第二Web提示页面(相当于第二提示页面);
步骤S1012,NAT设备将用户的HTTP请求重定向到运营商的第二Web提示页面,提醒用户前次下线原因并提醒用户对可能存在病毒和木马进行查杀;
步骤S1014,第二Web提示页面只强推一次,强推后用户可以通过NAT设备访问网络。
若用户未查杀病毒及木马或查杀不彻底,导致攻击行为仍旧发生,当用户Session数再次到达安全策略生效阀值,用户再次被强制下线。
若用户成功进行了病毒及木马的查杀,攻击行为不再发生,则用户可以持续通过NAT设备访问网络。
在本优选实施例中,以图11所示的网络示意场景为例,上述NAT设备为独立NAT设备或AFTR为例,NAT用户TCP攻击消耗的Session数目达到了安全策略生效的阀值(相当于上述预设阀值),通过策略服务器通知BNG执行用户安全策略,如图12所示,上述网络地址转换技术的处理方法的流程包括如下步骤:
步骤S1202,NAT设备预先设置安全策略阀值为用户Session数为最大允许值的80%;
步骤S1204,用户发生TCP攻击行为,NAT设备判断已经到了安全策略生效阀值;
步骤S1206,NAT设备将用户IP通知给策略服务器;
步骤S1208,策略服务器通知BNG执行用户安全策略;
步骤S1210,BNG执行用户安全策略,通过重定向用户的HTTP请求告知用户,提醒用户对可能存在病毒和木马进行查杀;
步骤S1212,用户终端查杀病毒及木马后,用户的UDP FLOOD攻击行为消失。NAT设备判断用户攻击行为消失,将用户IP通知给策略服务器;
步骤S1214,策略服务器通知BNG取消安全策略;
步骤S1216,用户可以通过NAT设备访问网络。
在本优选实施例中,以图11所示的网络示意场景为例,上述NAT设备为独立NAT设备或AFTR为例,NAT用户TCP攻击消耗的Session数目达到了安全策略生效的阀值(相当于上述预设阀值),通知BNG执行用户安全策略,如图13所示,上述网络地址转换技术的处理方法的流程包括如下步骤:
步骤S1302,NAT设备预先设置安全策略阀值为用户Session新建速率达到最大允许值的80%
步骤S1304,用户发生TCP攻击行为,NAT设备判断已经到了安全策略生效阀值;
步骤S1306,NAT设备将用户IP发送给BNG,通知BNG执行用户安全策略;
步骤S1308,BNG执行用户安全策略,通过重定向用户的HTTP请求告知用户,提醒用户对可能存在病毒和木马进行查杀;
步骤S1310,用户终端查杀病毒及木马后,用户的UDP FLOOD攻击行为消失。NAT设备判断用户攻击行为消失,将用户IP发送给BNG,通知BNG取消安全策略;
步骤S1312,用户可以通过NAT设备访问网络。
在本优选实施例中,以图14所示的网络示意场景为例,上述NAT设备为独立NAT设备或NAT与AC融合设备为例,NAT用户TCP攻击消耗的Session数目达到了安全策略生效的阀值(相当于上述预设阀值),通过策略服务器通知BNG执行用户安全策略,如图15所示,上述网络地址转换技术的处理方法的流程包括如下步骤:
步骤S1502,NAT设备预先设置安全策略阀值为用户Session数为最大允许值的80%;NAT设备为用户的私网地址分配用户地址翻译的公网地址和端口号段;
步骤S1504,用户发生TCP攻击行为,NAT设备判断已经到了安全策略生效阀值;
步骤S1506,NAT设备将用户地址翻译后的公网IP地址和端口号段通知给策略服务器;
步骤S1508,策略服务器将用户的地址翻译后的公网IP地址和端口号段发送给BNG,通知BNG执行用户安全策略;
步骤S1510,BNG执行用户安全策略,通过重定向用户的HTTP请求告知用户,提醒用户对可能存在病毒和木马进行查杀;
步骤S1512,用户终端查杀病毒及木马后,用户的UDP FLOOD攻击行为消失。NAT设备判断用户攻击行为消失,将用户IP通知给策略服务器;
步骤S1514,策略服务器通知BNG取消安全策略;
步骤S1516,用户可以通过NAT设备和BNG访问网络。
从以上的描述中,可以看出,上述优选实施例实现了如下技术效果:通过NAT设备判断用户设备的会话建立是否达到预设阀值,该预设阀值可以是会话建立的数目或频率等,若是,上述NAT设备通知BNG设备对上述用户设备执行安全策略,其中,该安全策略用于阻止上述用户设备的攻击行为,并通知上述用户设备该用户设备存在攻击行为,实现了在用户设备存在攻击行为时,通过执行上述安全策略来阻止上述用户设备的攻击行为,并提醒用户设备其存在攻击行为,以提醒用户对可能存在的病毒和木马进行查杀,避免用于投诉运营商,从而在提高NAT设备的利用率的同时,改善用户体验
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (19)
1.一种网络地址转换技术的处理方法,其特征在于,包括:
网络地址转换NAT设备判断用户设备的会话建立是否达到预设阀值;
若是,所述NAT设备通知宽带网络网关BNG设备对所述用户设备执行安全策略,其中,所述安全策略用于阻止所述用户设备的攻击行为,并通知所述用户设备所述用户设备存在攻击行为。
2.根据权利要求1所述的方法,其特征在于,所述BNG设备对所述用户设备执行所述安全策略包括:
所述BNG设备执行强推Web页面策略,将所述用户设备发送的HTTP请求重定向至第一提示页面,其中,所述第一提示页面用于提醒所述用户设备的访问存在攻击行为。
3.根据权利要求2所述的方法,其特征在于,所述BNG设备将所述用户设备发送的HTTP请求重定向至第一提示页面包括:
所述BNG设备间隔预设周期将所述用户设备发送的HTTP请求重定向至所述第一提示页面。
4.根据权利要求2所述的方法,其特征在于,所述第一提示页面还作用提醒所述用户设备进行病毒和/或木马的查杀。
5.根据权利要求2至4中任一项所述的方法,其特征在于,所述BNG设备对所述用户设备执行所述安全策略之后,还包括:
所述NAT设备通知所述BNG设备对所述用户设备的访问行为执行强制所述用户设备下线或将所述用户设备退回至未认证状态的操作,并通知认证授权计费AAA服务器将所述用户设备标记或设置为存在攻击行为的用户设备,其中,所述第一提示页面还用于提醒所述用户设备将被强制下线或被退回至未认证状态;
所述用户设备再次请求上线和/或请求认证,所述AAA服务器对所述用户设备的认证通过后,所述AAA服务器通知所述BNG设备对所述用户设备执行强推Web页面策略,将所述用户设备的页面访问请求重定向至第二提示页面,其中,所述第二提示页面用于提醒所述用户设备此前被强制下线或被退回至未认证状态是因为用户设备发生了攻击行为,若所述用户设备仍然存在攻击行为,将再次被强制下线或被退回至未认证状态,并提醒所述用户设备进行病毒和/或木马的查杀。
6.根据权利要求1至4中任一项所述的方法,其特征在于,所述NAT设备包括以下之一:
与BNG设备合设的NAT设备;
与BNG设备分设的NAT设备。
7.根据权利要求6所述的方法,其特征在于,所述NAT设备为与BNG设备合设的NAT设备的情况下,所述NAT设备通过以下方式之一通知BNG设备对所述用户设备执行安全策略:
所述NAT设备将所述用户设备的标识信息发送给安全策略服务器,由安全策略服务器通知所述BNG设备对所述用户设备执行安全策略;
所述NAT设备将所述用户设备的标识信息发送给所述BNG设备,来通知所述BNG设备对所述用户设备执行安全策略。
8.根据权利要求2至7中任一项所述的方法,其特征在于,在所述NAT设备通知BNG设备对所述用户设备执行安全策略之后,还包括:
所述NAT设备判断所述用户设备的会话建立不符合所述预设阀值的情况下,或所述用户设备通过强推的Web页面取消执行所述安全策略的情况下,所述NAT设备通知所述BNG设备取消对所述用户设备执行所述安全策略。
9.根据权利要求8所述的方法,其特征在于,所述NAT设备为与BNG设备合设的NAT设备的情况下,所述NAT设备通过以下方式之一通知BNG设备取消对所述用户设备执行安全策略:
所述NAT设备将所述用户设备的标识信息发送给安全策略服务器,由安全策略服务器通知所述BNG设备取消对所述用户设备执行安全策略;
所述NAT设备将所述用户设备的标识信息发送给所述BNG设备,来通知所述BNG设备取消对所述用户设备执行安全策略。
10.根据权利要求1至7中任一项所述的方法,其特征在于,强推的Web页面位于公网的情况下,且所述NAT设备对所述用户设备的访问行为执行强推Web页面操作的情况下,所述NAT设备为所述用户设备建立的会话包括:所述用户设备与强推Web页面的HTTP连接建立的会话。
11.根据权利要求1至7中任一项所述的方法,其特征在于,用于所述NAT设备判断用户设备的会话建立是否达到预设阀值的会话包括以下至少之一:
所述用户设备的传输控制协议TCP连接建立的会话;
所述用户设备的网际控制信息协议ICMP连接建立的会话;
所述用户设备的用户数据协议UDP连接建立的会话。
12.根据权利要求1至7中任一项所述的方法,其特征在于,所述预设阀值包括以下至少之一:
所述用户设备建立会话的总数、所述用户设备建立会话的速率。
13.根据权利要求1至7中任一项所述的方法,其特征在于,所述方法还包括:
所述NAT设备通知所述BNG设备对所述用户设备执行安全策略时,所述NAT设备加快所述用户设备的会话的老化。
14.一种网络地址转换NAT设备,其特征在于,包括:
判断模块,用于判断用户设备的会话建立是否达到预设阀值;
第一通知模块,用于在所述用户设备的会话建立达到所述预设阀值的情况下,通知宽带网络网关BNG设备对所述用户设备执行安全策略,其中,所述安全策略用于阻止所述用户设备的攻击行为,并通知所述用户设备所述用户设备存在攻击行为。
15.根据权利要求14所述的NAT设备,其特征在于,还包括:
第二通知模块,用于通知所述BNG设备对所述用户设备的访问行为执行强制所述用户设备下线或将所述用户设备退回至未认证状态的操作,并通知认证授权计费AAA服务器将所述用户设备标记或设置为存在攻击行为的用户设备,其中,所述第一提示页面还用于提醒所述用户设备将被强制下线或被退回至未认证状态,所述用户设备再次请求上线和/或请求认证,所述AAA服务器对所述用户设备的认证通过后,所述AAA服务器通知所述BNG设备对所述用户设备执行强推Web页面策略,将所述用户设备的页面访问请求重定向至第二提示页面,其中,所述第二提示页面用于提醒所述用户设备此前被强制下线或被退回至未认证状态是因为用户设备发生了攻击行为,若所述用户设备仍然存在攻击行为,将再次被强制下线或被退回至未认证状态,并提醒所述用户设备进行病毒和/或木马的查杀。
16.根据权利要求14或15中任一项所述的NAT设备,其特征在于,还包括
第三通知模块,用于判断出所述用户设备的会话建立不符合所述预设阀值的情况下,或所述用户设备通过强推的Web页面取消执行所述安全策略的情况下,通知所述BNG设备取消对所述用户设备执行所述安全策略。
17.根据权利要求14或15中任一项所述的NAT设备,其特征在于,还包括:
处理模块,用于通知所述BNG设备对所述用户设备执行安全策略时,加快所述用户设备的会话的老化。
18.一种宽带网络网关BNG设备,其特征在于,包括:
第一接收模块,用于接收NAT设备发送的对用户设备执行安全策略的第一通知,其中,所述用户设备的会话建立达到预设阀值,所述安全策略用于阻止所述用户设备的攻击行为,并通知所述用户设备所述用户设备存在攻击行为;
重定向模块,用于对所述用户设备执行强推Web页面策略,将所述用户设备发送的HTTP请求重定向至第一提示页面,其中,所述第一提示页面用于提醒所述用户设备的访问存在攻击行为。
19.根据权利要求18所述的BNG设备,其特征在于,还包括:
第二接收模块,用于接收NAT设备发送的对所述用户设备的访问行为执行强制所述用户设备下线或将所述用户设备退回至未认证状态的操作的第二通知;
处理模块,用于根据所述第二通知,对所述用户设备的访问行为执行强制所述用户设备下线或将所述用户设备退回至未认证状态的操作,并通知认证授权计费AAA服务器将所述用户设备标记或设置为存在攻击行为的用户设备,其中,所述第一提示页面还用于提醒所述用户设备将被强制下线或被退回至未认证状态,所述用户设备再次请求上线和/或请求认证,所述AAA服务器对所述用户设备的认证通过后,所述AAA服务器通知所述BNG设备对所述用户设备执行强推Web页面策略,将所述用户设备的页面访问请求重定向至第二提示页面,其中,所述第二提示页面用于提醒所述用户设备此前被强制下线或被退回至未认证状态是因为用户设备发生了攻击行为,若所述用户设备仍然存在攻击行为,将再次被强制下线或被退回至未认证状态,并提醒所述用户设备进行病毒和/或木马的查杀。
Priority Applications (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210456758.7A CN103812958B (zh) | 2012-11-14 | 2012-11-14 | 网络地址转换技术的处理方法、nat设备及bng设备 |
US14/442,549 US9998492B2 (en) | 2012-11-14 | 2013-08-27 | Processing method for network address translation technology, NAT device and BNG device |
ES13854514T ES2738106T3 (es) | 2012-11-14 | 2013-08-27 | Procedimiento de procesamiento para tecnología de traducción de direcciones de red, dispositivo de NAT y dispositivo de BNG |
PCT/CN2013/082397 WO2014075485A1 (zh) | 2012-11-14 | 2013-08-27 | 网络地址转换技术的处理方法、nat设备及bng设备 |
EP13854514.0A EP2922263B1 (en) | 2012-11-14 | 2013-08-27 | Processing method for network address translation technology, nat device and bng device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210456758.7A CN103812958B (zh) | 2012-11-14 | 2012-11-14 | 网络地址转换技术的处理方法、nat设备及bng设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103812958A true CN103812958A (zh) | 2014-05-21 |
CN103812958B CN103812958B (zh) | 2019-05-07 |
Family
ID=50709150
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201210456758.7A Expired - Fee Related CN103812958B (zh) | 2012-11-14 | 2012-11-14 | 网络地址转换技术的处理方法、nat设备及bng设备 |
Country Status (5)
Country | Link |
---|---|
US (1) | US9998492B2 (zh) |
EP (1) | EP2922263B1 (zh) |
CN (1) | CN103812958B (zh) |
ES (1) | ES2738106T3 (zh) |
WO (1) | WO2014075485A1 (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2016206042A1 (en) * | 2015-06-25 | 2016-12-29 | Thomson Licensing | Gateway and diagnosing method thereof |
CN106453350A (zh) * | 2016-10-31 | 2017-02-22 | 杭州华三通信技术有限公司 | 一种防攻击的方法及装置 |
CN111431935A (zh) * | 2020-04-16 | 2020-07-17 | 山东省计算中心(国家超级计算济南中心) | 一种识别网站登录口令数据传输安全性的方法 |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10523715B1 (en) * | 2016-08-26 | 2019-12-31 | Symantec Corporation | Analyzing requests from authenticated computing devices to detect and estimate the size of network address translation systems |
CN108683652A (zh) * | 2018-05-04 | 2018-10-19 | 北京奇安信科技有限公司 | 一种基于行为权限的处理网络攻击行为的方法及装置 |
CN112887265B (zh) * | 2020-12-31 | 2024-03-26 | 浙江远望信息股份有限公司 | 一种针对nat下防止未注册终端伪造为合法通信的准入方法 |
CN116527628B (zh) * | 2023-07-03 | 2023-09-29 | 北京左江科技股份有限公司 | 一种基于安全态势感知的网络地址转换方法及系统 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040047356A1 (en) * | 2002-09-06 | 2004-03-11 | Bauer Blaine D. | Network traffic monitoring |
US20040128539A1 (en) * | 2002-12-30 | 2004-07-01 | Intel Corporation | Method and apparatus for denial of service attack preemption |
CN1543115A (zh) * | 2003-04-30 | 2004-11-03 | ��Ϊ��������˾ | 一种防止网络用户对网络地址转换(nat)设备攻击的方法 |
CN101483515A (zh) * | 2009-02-26 | 2009-07-15 | 杭州华三通信技术有限公司 | Dhcp攻击防护方法和客户端设备 |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8255681B2 (en) * | 2005-03-10 | 2012-08-28 | Ibahn General Holdings Corporation | Security for mobile devices in a wireless network |
US9130974B2 (en) * | 2007-04-18 | 2015-09-08 | Mcafee, Inc. | System and method for limiting spyware activity |
CN101437021B (zh) * | 2007-11-16 | 2013-08-07 | 华为技术有限公司 | 一种对接入提示信息的处理方法、系统及装置 |
US9710645B2 (en) * | 2010-12-23 | 2017-07-18 | Ebay Inc. | Systems and methods to detect and neutralize malware infected electronic communications |
US8990891B1 (en) * | 2011-04-19 | 2015-03-24 | Pulse Secure, Llc | Provisioning layer two network access for mobile devices |
JP5957612B2 (ja) * | 2012-09-25 | 2016-07-27 | トムソン ライセンシングThomson Licensing | マイグラントによって引き起こされるコアネットワークトラフィックの低減 |
-
2012
- 2012-11-14 CN CN201210456758.7A patent/CN103812958B/zh not_active Expired - Fee Related
-
2013
- 2013-08-27 EP EP13854514.0A patent/EP2922263B1/en not_active Not-in-force
- 2013-08-27 US US14/442,549 patent/US9998492B2/en not_active Expired - Fee Related
- 2013-08-27 WO PCT/CN2013/082397 patent/WO2014075485A1/zh active Application Filing
- 2013-08-27 ES ES13854514T patent/ES2738106T3/es active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040047356A1 (en) * | 2002-09-06 | 2004-03-11 | Bauer Blaine D. | Network traffic monitoring |
US20040128539A1 (en) * | 2002-12-30 | 2004-07-01 | Intel Corporation | Method and apparatus for denial of service attack preemption |
CN1543115A (zh) * | 2003-04-30 | 2004-11-03 | ��Ϊ��������˾ | 一种防止网络用户对网络地址转换(nat)设备攻击的方法 |
CN101483515A (zh) * | 2009-02-26 | 2009-07-15 | 杭州华三通信技术有限公司 | Dhcp攻击防护方法和客户端设备 |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2016206042A1 (en) * | 2015-06-25 | 2016-12-29 | Thomson Licensing | Gateway and diagnosing method thereof |
CN106453350A (zh) * | 2016-10-31 | 2017-02-22 | 杭州华三通信技术有限公司 | 一种防攻击的方法及装置 |
CN106453350B (zh) * | 2016-10-31 | 2021-06-11 | 新华三技术有限公司 | 一种防攻击的方法及装置 |
CN111431935A (zh) * | 2020-04-16 | 2020-07-17 | 山东省计算中心(国家超级计算济南中心) | 一种识别网站登录口令数据传输安全性的方法 |
CN111431935B (zh) * | 2020-04-16 | 2021-04-30 | 山东省计算中心(国家超级计算济南中心) | 一种识别网站登录口令数据传输安全性的方法 |
Also Published As
Publication number | Publication date |
---|---|
US9998492B2 (en) | 2018-06-12 |
EP2922263B1 (en) | 2019-04-24 |
EP2922263A4 (en) | 2015-12-02 |
WO2014075485A1 (zh) | 2014-05-22 |
ES2738106T3 (es) | 2020-01-20 |
CN103812958B (zh) | 2019-05-07 |
EP2922263A1 (en) | 2015-09-23 |
US20160285908A1 (en) | 2016-09-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103812958A (zh) | 网络地址转换技术的处理方法、nat设备及bng设备 | |
CN100566294C (zh) | 单播反向路径转发方法 | |
CN108551446A (zh) | 防攻击的syn报文处理方法、装置、防火墙及存储介质 | |
CN104484259A (zh) | 应用程序的流量监控方法、装置和移动终端 | |
CN101018233B (zh) | 会话的控制方法及控制装置 | |
Gilad et al. | Off-Path Attacking the Web. | |
CN100420197C (zh) | 一种实现网络设备防攻击的方法 | |
CN106656648B (zh) | 基于家庭网关的应用流量动态保护方法、系统及家庭网关 | |
CN102137073B (zh) | 一种防止仿冒ip地址进行攻击的方法和接入设备 | |
CN103124290B (zh) | 基于反向隔离装置与隔离网关结合应用的负载均衡方法 | |
CN101409654B (zh) | 一种网络管理系统中处理snmp信息的方法 | |
CN107454065B (zh) | 一种UDP Flood攻击的防护方法及装置 | |
CN101729310B (zh) | 实现业务监控的方法、系统以及信息获取设备 | |
CN105848149B (zh) | 一种无线局域网的安全认证方法 | |
CN101330353B (zh) | 远程视频无线传输系统 | |
CN101127744B (zh) | 对非法客户端进行隔离提示的方法和系统以及网关设备 | |
KR101088867B1 (ko) | 네트워크 스위치 및 그 네트워크 스위치의 보안공지방법 | |
CN108833410A (zh) | 一种针对HTTP Flood攻击的防护方法及系统 | |
JP2019152912A (ja) | 不正通信対処システム及び方法 | |
US20130104233A1 (en) | Network data control device and network data control method for controling network data that generates malicious code in mobile equipment | |
CN112134845A (zh) | 一种抗拒绝服务系统 | |
CN107332649B (zh) | 802.1x客户端下线方法及802.1x系统 | |
CN113014530A (zh) | Arp欺骗攻击防范方法及系统 | |
CN1321511C (zh) | 用户终端的代理服务检测方法 | |
CN113098704B (zh) | 一种网络拓扑结构确定方法、装置和电子设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
EXSB | Decision made by sipo to initiate substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20190507 Termination date: 20201114 |
|
CF01 | Termination of patent right due to non-payment of annual fee |