CN104363234A - 基于公网ip地址拨号上网的防护方法及装置及系统 - Google Patents

Abstract

本发明实施例提供了一种基于公网IP地址拨号上网的防护方法及装置及系统，改善了现有技术中采用公网上网所分配的地址为公网IP地址，使得上网设备直接“裸露”在公众网络中，容易遭受网络攻击，安全性和稳定性亟待提高的问题。所述方法包括：所述防护装置获得请求访问所述服务器的请求装置发送的第一IP数据报，所述第一IP数据报中存储有源IP地址；判断所述第一IP数据报中存储的所述源IP地址是否为所述允许访问的IP地址列表中的地址，是则允许所述请求装置进行访问；否则拒绝所述请求装置进行访问。使用该方法，可以显著提高公网上网的安全性和稳定性，实施方便，易于推广应用。

Description

基于公网IP地址拨号上网的防护方法及装置及系统

技术领域

本发明涉及网络安全技术，具体而言，涉及一种基于公网IP地址拨号上网的防护方法及装置及系统。

背景技术

现有技术中，基于公网上网时，上网设备得到的IP地址是网络上的非保留地址，公网设备和网络上的其他设备可随意互相访问，发明人经研究发现，这种公网上网方式，使得上网设备直接“裸露”在公众网络中，容易遭受网络攻击。

发明内容

有鉴于此，本发明实施例的目的在于提供一种基于公网IP地址拨号上网的防护方法及装置及系统，以改善现有技术中采用公网上网所分配的地址为公网IP地址，使得上网设备直接“裸露”在公众网络中，容易遭受网络攻击，安全性和稳定性亟待提高的问题。

为了实现上述目的，本发明实施例采用的技术方案如下：

第一方面，本发明实施例提供了一种基于公网IP地址拨号上网的防护方法，应用于防护装置，所述防护装置安装于基于公网IP地址拨号上网的服务器中，所述防护装置中预先存储有允许访问的IP地址列表，所述方法包括：

所述防护装置获得请求访问所述服务器的请求装置发送的第一IP数据报，所述第一IP数据报中存储有源IP地址；

判断所述第一IP数据报中存储的所述源IP地址是否为所述允许访问的IP地址列表中的地址，是则允许所述请求装置进行访问；否则拒绝所述请求装置进行访问。

上述步骤中，对基于公网IP地址拨号上网的服务器进行了安全防护，对请求访问该服务器的请求装置进行了“过滤”，仅让符合条件的请求装置进行访问，且“过滤”过程在IP层进行，即在请求装置请求访问之初便会对其进行“过滤”，不会将不符合条件的请求继续上传至更上层，能显著减少服务器资源占用，确保防护的可靠性。

结合第一方面，本发明实施例提供了第一方面的第一种可能的实施方式，其中，所述方法还包括：

所述防护装置获得所述服务器主动向待访问装置发送的第二IP数据报，所述第二IP数据报中存储有目标IP地址；

将所述第二IP数据报中的目标IP地址添加至所述允许访问的IP地址列表中；

允许所述待访问装置对所述服务器进行访问。

对于服务器主动向待访问装置发出访问请求的，默认为，允许该待访问装置对服务器进行访问，如此设置，更能提高服务器进行数据交互的便利性。

结合第一方面的第一种可能的实施方式，本发明实施例提供了第一方面的第二种可能的实施方式，其中，所述方法还包括：

在所述待访问装置对所述服务器进行访问结束后，将所述服务器主动向所述待访问装置发送的第二IP数据报中存储的目标IP地址从所述允许访问的IP地址列表中删除。

本发明实施例中，对于服务器主动向待访问装置发出访问请求的，默认为，仅允许该待访问装置对服务器进行一次访问，之后未经允许则无法对服务器进行访问，在确保服务器进行数据交互的便利性的同时，有效确保了服务器的安全性。

结合第一方面的第二种可能的实施方式，本发明实施例提供了第一方面的第三种可能的实施方式，其中，所述将所述第二IP数据报中的目标IP地址添加至所述允许访问的IP地址列表中，包括：

将所述第二IP数据报中的目标IP地址和所述待访问装置的允许访问次数添加至所述允许访问的IP地址列表中；

所述在所述待访问装置对所述服务器进行访问结束后，将所述服务器主动向所述待访问装置发送的第二IP数据报中存储的目标IP地址从所述允许访问的IP地址列表中删除，包括：

在允许所述待访问装置访问所述服务器允许访问次数之后，将所述服务器主动向所述待访问装置发送的第二IP数据报中存储的目标IP地址从所述允许访问的IP地址列表中删除。

本发明实施例中，对于服务器主动向待访问装置发出访问请求的，允许该待访问装置对服务器进行访问，并设定允许访问次数，允许该待访问装置对服务器进行允许访问次数次访问，之后未经允许则无法对服务器进行访问，在确保服务器进行数据交互的便利性的同时，进一步增加了服务器进行数据交互的灵活性，有效确保了服务器的安全性。

第二方面，本发明实施例提供了一种防护装置，所述防护装置安装于基于公网IP地址拨号上网的服务器中，所述防护装置包括：

获得单元，用于获得请求访问所述服务器的请求装置发送的第一IP数据报，所述第一IP数据报中存储有源IP地址；

存储单元，用于存储允许访问的IP地址列表；

判断单元，用于判断所述获得单元获得的所述第一IP数据报中存储的所述源IP地址是否为所述存储单元存储的所述允许访问的IP地址列表中的地址，是则允许所述请求装置进行访问；否则拒绝所述请求装置进行访问。

本发明实施例中，防护装置对基于公网IP地址拨号上网的服务器进行了安全防护，对请求访问该服务器的请求装置进行了“过滤”，仅让符合条件的请求装置进行访问，且“过滤”过程在IP层进行，即在请求装置请求访问之初便会对其进行“过滤”，不会将不符合条件的请求继续上传至更上层，能显著减少服务器资源占用，确保防护的可靠性。

结合第二方面，本发明实施例提供了第二方面的第一种可能的实施方式，其中，所述获得单元还用于，获得所述服务器主动向待访问装置发送的第二IP数据报，所述第二IP数据报中存储有目标IP地址；

所述存储单元还用于，将所述第二IP数据报中的目标IP地址添加至所述允许访问的IP地址列表中；

所述判断单元还用于，允许所述待访问装置对所述服务器进行访问。

对于服务器主动向待访问装置发出访问请求的，默认为，允许该待访问装置对服务器进行访问，如此设置，更能提高服务器进行数据交互的便利性。

结合第二方面的第一种可能的实施方式，本发明实施例提供了第二方面的第二种可能的实施方式，其中，所述存储单元还用于，在所述待访问装置对所述服务器进行访问结束后，将所述服务器主动向所述待访问装置发送的第二IP数据报中存储的目标IP地址从所述允许访问的IP地址列表中删除。

本发明实施例中，对于服务器主动向待访问装置发出访问请求的，默认为，仅允许该待访问装置对服务器进行一次访问，之后未经允许则无法对服务器进行访问，在确保服务器进行数据交互的便利性的同时，有效确保了服务器的安全性。

结合第二方面的第二种可能的实施方式，本发明实施例提供了第二方面的第三种可能的实施方式，其中，所述存储单元具体用于，将所述第二IP数据报中的目标IP地址和所述待访问装置的允许访问次数添加至所述允许访问的IP地址列表中；在允许所述待访问装置访问所述服务器允许访问次数之后，将所述服务器主动向所述待访问装置发送的第二IP数据报中存储的目标IP地址从所述允许访问的IP地址列表中删除。

本发明实施例中，对于服务器主动向待访问装置发出访问请求的，允许该待访问装置对服务器进行访问，并设定允许访问次数，允许该待访问装置对服务器进行允许访问次数次访问，之后未经允许则无法对服务器进行访问，在确保服务器进行数据交互的便利性的同时，进一步增加了服务器进行数据交互的灵活性，有效确保了服务器的安全性。

第三方面，本发明实施例提供了一种基于公网IP地址拨号上网的防护系统，包括：

请求装置，用于发送第一IP数据报，所述第一IP数据报中存储有源IP地址；

服务器，用于获得请求访问所述服务器的所述请求装置发送的所述第一IP数据报；

防护装置，安装于所述服务器中，存储有允许访问的IP地址列表，用于判断所述第一IP数据报中存储的所述源IP地址是否为所述允许访问的IP地址列表中的地址，是则允许所述请求装置进行访问；否则拒绝所述请求装置进行访问。

本发明实施例中，防护装置对基于公网IP地址拨号上网的服务器进行了安全防护，对请求访问该服务器的请求装置进行了“过滤”，仅让符合条件的请求装置进行访问，且“过滤”过程在IP层进行，即在请求装置请求访问之初便会对其进行“过滤”，不会将不符合条件的请求继续上传至更上层，能显著减少服务器资源占用，确保防护的可靠性。

结合第三方面，本发明实施例提供了第三方面的第一种可能的实施方式，其中，所述系统还包括待访问装置，所述服务器还用于，主动向所述待访问装置发送第二IP数据报，所述第二IP数据报中存储有目标IP地址；

所述防护装置还用于，获得所述服务器主动向所述待访问装置发送的第二IP数据报，将所述第二IP数据报中的目标IP地址添加至所述允许访问的IP地址列表中，允许所述待访问装置对所述服务器进行访问。

对于服务器主动向待访问装置发出访问请求的，默认为，允许该待访问装置对服务器进行访问，如此设置，更能提高服务器进行数据交互的便利性。

本发明实施例中，防护装置对基于公网IP地址拨号上网的服务器进行了安全防护，对请求访问该服务器的请求装置进行了“过滤”，仅让符合条件的请求装置进行访问，且“过滤”过程在IP层进行，即在请求装置请求访问之初便会对其进行“过滤”，不会将不符合条件的请求继续上传至更上层，能显著减少服务器资源占用，确保防护的可靠性。

本发明实施例构思巧妙，实施方便，具有突出的实质性特点和显著进步，适合大规模推广应用。

为使本发明的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本发明的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1示出了本发明实施例1所提供的流程示意图一；

图2示出了本发明实施例1所提供的流程示意图二；

图3示出了本发明实施例1所提供的流程示意图三；

图4示出了本发明实施例2所提供的一种结构框图；

图5示出了本发明实施例2所提供的一种另一种结构框图；

图6示出了本发明实施例3所提供的一种系统框图。

具体实施方式

下面将结合本发明实施例中附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。因此，以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围，而是仅仅表示本发明的选定实施例。基于本发明的实施例，本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

实施例1

经研究发现，通过公网互联网协议地址(Internet ProtocolAddress，IP地址)上网存在很多隐患，例如：常见的基于码分多址(Code Division Multiple Access，CDMA)拨号上网所分配的地址均为公网IP地址，现有技术中，很多系统(服务器、主机)均未对通过公网IP地址上网采取任何防护措施，仅有少数系统在应用层对相应访问数据进行处理，允许符合一定条件的请求装置进行访问。由于应用层为网络七层协议中的最上层，在应用层建立访问连接或关闭访问连接需进行多次握手，如：传输控制(Transmission ControlProtocol，TCP)协议建立访问连接需进行三次握手，关闭访问连接需进行四次握手，因而，在应用层进行处理会造成较大的资源占用，特别是对于一些小型嵌入式系统来说，这种资源的占用是“致命”的，会直接导致系统崩溃。

基于此，发明人经多方研究与验证得出，若将公网IP地址上网的处理过程设置在七层协议中更为靠前的层能有效改善这一问题，发明人经研究发现，物理层和数据链路层工作较为复杂，不适合进行防护处理，而网络层中的IP层工作相对单一，且为向上传递访问连接的“必经之路”，在IP层进行防护处理在显著减少系统资源占用的同时，更能确保防护的可靠性，因而，如图1所示，本发明实施例公开了一种基于公网IP地址拨号上网的防护方法，应用于防护装置，所述防护装置安装于基于公网IP地址拨号上网的服务器中，所述防护装置中预先存储有允许访问的IP地址列表，所述方法包括：步骤S100：所述防护装置获得请求访问所述服务器的请求装置发送的第一IP数据报，所述第一IP数据报中存储有源IP地址；步骤S101：判断所述第一IP数据报中存储的所述源IP地址是否为所述允许访问的IP地址列表中的地址；步骤S102：是则允许所述请求装置进行访问；步骤S103：否则拒绝所述请求装置进行访问。

通过上述步骤，对基于公网IP地址拨号上网的服务器进行了安全防护，对请求访问该服务器的请求装置进行了“过滤”，仅让符合条件的请求装置进行访问，且“过滤”过程在IP层进行，即在请求装置请求访问之初便会对其进行“过滤”，不会将不符合条件的请求继续上传至更上层，能显著减少服务器资源占用，确保防护的可靠性。在IP层即对请求访问服务器的请求装置发送的IP数据报进行处理、过滤，在IP层即识别出期望数据报和非期望数据报，仅将期望数据报往上层协议传送，这样，可大大减少处理时间和资源占用，使得系统工作在预定的工作状态中，稳定、安全、可靠。其中，IP数据报为通过网络传输的数据的基本单元，包含一个报头(header)和数据本身，源IP地址存储在IP数据报的报头中；期望数据报为报头中的源IP地址在允许访问的IP地址列表中的IP数据报，非期望数据报为报头中的源IP地址不在允许访问的IP地址列表中的IP数据报。

其中，允许访问的IP地址列表中的地址可为用户自定义的地址，亦可根据一定规则进行增减，例如：服务器关联的客户端、运营商、主机等可直接加入允许访问的IP地址列表中，并默认一直纳入允许访问的IP地址列表中。

为了提高服务器进行数据交互的便利性，本发明实施例中，服务器主动向待访问装置发出访问请求的，默认为，允许该待访问装置对服务器进行访问，如图2所示，步骤S200：防护装置获得服务器主动向待访问装置发送的第二IP数据报，第二IP数据报中存储有目标IP地址；步骤S201：将第二IP数据报中的目标IP地址添加至允许访问的IP地址列表中；步骤S202：允许待访问装置对所述服务器进行访问。

通过上述可知，向服务器发出访问请求的请求装置的IP数据报均需通过允许访问的IP地址列表进行过滤，但是，对于服务器主动发出访问请求的待访问装置，则会将待访问装置的IP数据报中的源IP地址添加至允许访问的IP地址列表中(对于服务器来说，待访问装置的IP数据报中的源IP地址即为服务器发出访问请求的IP数据报中的目标IP地址)，允许待访问装置进行访问。

为了确保访问的安全性，对于服务器主动向待访问装置发出访问请求的，默认为，仅允许待访问装置进行一次访问，如图3所示，步骤S203：在待访问装置对服务器进行访问结束后，将服务器主动向待访问装置发送的第二IP数据报中存储的目标IP地址从允许访问的IP地址列表中删除，该待访问装置再请求访问，则不再允许。

为了确保服务器与其余装置数据交互的灵活性，服务器主动向待访问装置发出访问请求的，可将该待访问装置的源IP地址(对于服务器来说，待访问装置的IP数据报中的源IP地址即为服务器发出访问请求的IP数据报中的目标IP地址)和该待访问装置的允许访问次数添加至允许访问的IP地址列表中，在允许待访问装置访问服务器允许访问次数之后，将服务器主动向待访问装置发送的第二IP数据报中存储的目标IP地址从允许访问的IP地址列表中删除，其中，允许访问次数可为一次、多次或永久等，可根据实际情况灵活设置。

本发明实施例中，对于服务器主动向待访问装置发出访问请求的，允许该待访问装置对服务器进行访问，并设定允许访问次数，允许该待访问装置对服务器进行允许访问次数次访问，之后未经允许则无法对服务器进行访问，在确保服务器进行数据交互的便利性的同时，进一步增加了服务器进行数据交互的灵活性，有效确保了服务器的安全性。

其中，请求装置和待访问装置均可为服务器，为了使本发明实施例中的技术方案更为清楚，本实施例中进行以下举例说明：

设存在第一服务器和第二服务器，第一服务器中安装有安防装置，在第一服务器接收到第二服务器请求访问该第一服务器的第一IP数据报时，防护装置暂时拦截该访问请求，判断第一IP数据报中的源IP地址是否为允许访问的IP地址列表中的地址，是则解除拦截，将该请求装置的第一IP数据报向上层传递，否则丢弃该第一IP数据报，拒绝且向上层传递；在第一服务器向第二服务器发送请求访问该第二服务器的第二IP数据报时，防护装置将该第二IP数据报的目标IP地址添加至允许访问的IP地址列表中(第一服务器发送的第二IP数据报中的目标IP地址即为第二服务器发送的第一IP数据报的源IP地址)，这样，当第一服务器接收到第二服务器请求访问该第一服务器的第一IP数据报时，该第一IP数据报的源IP地址已添加至防护装置的允许访问的IP地址列表中，第二服务器得以访问第一服务器。

同理，亦可在第二服务器中安装防护装置，在基于公网IP地址上网的各服务器、装置、设备、主机中均安装防护装置，便可显著提高公网IP地址上网的安全性、稳定性。

实施例2

经研究发现，通过公网互联网协议地址(Internet ProtocolAddress，IP地址)上网存在很多隐患，例如：常见的基于码分多址(Code Division Multiple Access，CDMA)拨号上网所分配的地址均为公网IP地址，现有技术中，很多系统均未对通过公网IP地址上网采取任何防护措施，仅有少数系统在应用层对相应访问数据进行处理，允许符合一定条件的请求装置进行访问。由于应用层为网络七层协议中的最上层，在应用层建立访问连接或关闭访问连接需进行多次握手，如：传输控制(Transmission Control Protocol，TCP)协议建立访问连接需进行三次握手，关闭访问连接需进行四次握手，因而，在应用层进行处理会造成较大的资源占用，特别是对于一些小型嵌入式系统来说，这种资源的占用是“致命”的，会直接导致系统崩溃。

基于此，发明人经多方研究与验证得出，若将公网IP地址上网的处理过程设置在七层协议中更为靠前的层能有效改善这一问题，发明人经研究发现，物理层和数据链路层工作较为复杂，不适合进行防护处理，而网络层中的IP层工作相对单一，且为向上传递访问连接的“必经之路”，在IP层进行防护处理在显著减少系统资源占用的同时，更能确保防护的可靠性，因而，如图4所示，本发明实施例公开了一种防护装置，所述防护装置安装于基于公网IP地址拨号上网的服务器中，所述防护装置包括：获得单元500，用于获得请求访问所述服务器的请求装置发送的第一IP数据报，所述第一IP数据报中存储有源IP地址，获得所述服务器主动向待访问装置发送的第二IP数据报，所述第二IP数据报中存储有目标IP地址；存储单元501，用于存储允许访问的IP地址列表，将所述第二IP数据报中的目标IP地址添加至所述允许访问的IP地址列表中；判断单元502，用于判断所述获得单元500获得的所述第一IP数据报中存储的所述源IP地址是否为所述存储单元501存储的所述允许访问的IP地址列表中的地址，是则允许所述请求装置进行访问；否则拒绝所述请求装置进行访问，允许所述待访问装置对所述服务器进行访问。

上述防护装置，对基于公网IP地址拨号上网的服务器进行了安全防护，对请求访问该服务器的请求装置进行了“过滤”，仅让符合条件的请求装置进行访问，且“过滤”过程在IP层进行，即在请求装置请求访问之初便会对其进行“过滤”，不会继续上传至更上层，能显著减少服务器资源占用，确保防护的可靠性。在IP层即对请求访问服务器的请求装置发送的IP数据报进行处理、过滤，在IP层即识别出期望数据报和非期望数据报，仅将期望数据报往上层协议传送，这样，可大大减少处理时间和资源占用，使得系统工作在预定的工作状态中，稳定、安全、可靠。其中，IP数据报为通过网络传输的数据的基本单元，包含一个报头(header)和数据本身，源IP地址存储在IP数据报的报头中；期望数据报为报头中的源IP地址在允许访问的IP地址列表中的IP数据报，非期望数据报为报头中的源IP地址不在允许访问的IP地址列表中的IP数据报。

其中，允许访问的IP地址列表中的地址可为用户自定义的地址，亦可根据一定规则进行增减，例如：服务器关联的客户端、运营商、装置等可直接加入允许访问的IP地址列表中，并默认一直纳入允许访问的IP地址列表中。将服务器主动向待访问装置发出访问请求的，默认为，允许该待访问装置对服务器进行访问，这种设置，在确保服务器安全性的同时，有效提高了服务器进行数据访问的灵活性。

为了确保访问的安全性，对于服务器主动向待访问装置发出访问请求的，默认为，仅允许待访问装置进行一次访问，即：存储单元501在待访问装置对服务器进行访问结束后，会将服务器主动向待访问装置发送的第二IP数据报中存储的目标IP地址从允许访问的IP地址列表中删除，该待访问装置再请求访问，则不再允许。

为了确保服务器与其余装置数据交互的灵活性，服务器主动向待访问装置发出访问请求的，存储单元501会将该待访问装置的源IP地址(对于服务器来说，待访问装置的IP数据报中的源IP地址即为服务器发出访问请求的IP数据报中的目标IP地址)和该待访问装置的允许访问次数添加至允许访问的IP地址列表中，在允许待访问装置访问服务器允许访问次数之后，将服务器主动向待访问装置发送的第二IP数据报中存储的目标IP地址从允许访问的IP地址列表中删除，其中，允许访问次数可为一次、多次或永久等，可根据实际情况灵活设置。

本发明实施例所提供的装置，其实现原理及产生的技术效果和前述方法实施例相同，为简要描述，装置实施例部分未提及之处，可参考前述方法实施例中相应内容。

如图5所示，本发明实施例还提供了一种防护装置的结构示意图，包括：处理器400，存储器404，总线402和通信接口403，所述处理器400、通信接口403和存储器404通过总线402连接；。

其中，存储器404可能包含高速随机存取存储器(RAM：Random Access Memory)，也可能还包括非不稳定的存储器(non-volatile memory)，例如至少一个磁盘存储器。通过至少一个通信接口403(可以是有线或者无线)实现该系统网元与至少一个其他网元之间的通信连接，可以使用互联网，广域网，本地网，城域网等。

处理器400用于执行存储器404中的可执行模块，例如计算机程序401；处理器400通过通信接口403接收数据流；

总线402可以是ISA总线、PCI总线或EISA总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示，图5中仅用一个双向箭头表示，但并不表示仅有一根总线或一种类型的总线。

其中，存储器404用于存储程序401，所述处理器400在接收到执行指令后，执行所述程序401，前述本发明实施例任一实施例揭示的过程定义的装置所执行的方法可以应用于处理器400中，或者由处理器400实现。

在具体实现中，程序401可以包括程序代码，所述程序代码包括计算机操作指令和算法等；

处理器400可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法的各步骤可以通过处理器400中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器400可以是通用处理器，包括中央处理器(Central Processing Unit，简称CPU)、网络处理器(Network Processor，简称NP)等；还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器404，处理器400读取存储器404中的信息，结合其硬件完成上述方法的步骤。

本发明实施例所提供的进行装置中的计算机程序产品，包括存储了程序代码的计算机可读存储介质，所述程序代码包括的指令可用于执行前面方法实施例中所述的方法，具体实现可参见方法实施例，在此不再赘述。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

实施例3

经研究发现，通过公网互联网协议地址(Internet ProtocolAddress，IP地址)上网存在很多隐患，例如：常见的基于码分多址(Code Division Multiple Access，CDMA)拨号上网所分配的地址均为公网IP地址，现有技术中，很多系统均未对通过公网IP地址上网采取任何防护措施，仅有少数系统在应用层对相应访问数据进行处理，允许符合一定条件的请求装置300进行访问。由于应用层为网络七层协议中的最上层，在应用层建立访问连接或关闭访问连接需进行多次握手，如：传输控制(Transmission Control Protocol，TCP)协议建立访问连接需进行三次握手，关闭访问连接需进行四次握手，因而，在应用层进行处理会造成较大的资源占用，特别是对于一些小型嵌入式系统来说，这种资源的占用是“致命”的，会直接导致系统崩溃。

基于此，发明人经多方研究与验证得出，若将公网IP地址上网的处理过程设置在七层协议中更为靠前的层能有效改善这一问题，发明人经研究发现，物理层和数据链路层工作较为复杂，不适合进行防护处理，而网络层中的IP层工作相对单一，且为向上传递访问连接的“必经之路”，在IP层进行防护处理在显著减少系统资源占用的同时，更能确保防护的可靠性，因而，如图6所示，本发明实施例提供了一种基于公网IP地址拨号上网的防护系统，包括：请求装置300，用于发送第一IP数据报，所述第一IP数据报中存储有源IP地址；服务器301，用于获得请求访问所述服务器301的所述请求装置300发送的所述第一IP数据报；防护装置，安装于所述服务器301中，存储有允许访问的IP地址列表，用于判断所述第一IP数据报中存储的所述源IP地址是否为所述允许访问的IP地址列表中的地址，是则允许所述请求装置300进行访问；否则拒绝所述请求装置300进行访问。

为了提高服务器301进行数据交互的便利性，所述系统还包括待访问装置302，所述服务器301还用于，主动向所述待访问装置302发送第二IP数据报，所述第二IP数据报中存储有目标IP地址；所述防护装置还用于，获得所述服务器301主动向所述待访问装置302发送的第二IP数据报，将所述第二IP数据报中的目标IP地址添加至所述允许访问的IP地址列表中，允许所述待访问装置302对所述服务器301进行访问。

在本申请所提供的几个实施例中，应该理解到，所揭露的装置、系统和方法，可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，附图中的流程图和框图显示了根据本发明的多个实施例的装置、系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应所述以权利要求的保护范围为准。

Claims (10)

1.一种基于公网IP地址拨号上网的防护方法，其特征在于，应用于防护装置，所述防护装置安装于基于公网IP地址拨号上网的服务器中，所述防护装置中预先存储有允许访问的IP地址列表，所述方法包括：

所述防护装置获得请求访问所述服务器的请求装置发送的第一IP数据报，所述第一IP数据报中存储有源IP地址；

判断所述第一IP数据报中存储的所述源IP地址是否为所述允许访问的IP地址列表中的地址，是则允许所述请求装置进行访问；否则拒绝所述请求装置进行访问。

2.根据权利要求1所述的基于公网IP地址拨号上网的防护方法，其特征在于，所述方法还包括：

所述防护装置获得所述服务器主动向待访问装置发送的第二IP数据报，所述第二IP数据报中存储有目标IP地址；

将所述第二IP数据报中的目标IP地址添加至所述允许访问的IP地址列表中；

允许所述待访问装置对所述服务器进行访问。

3.根据权利要求2所述的基于公网IP地址拨号上网的防护方法，其特征在于，所述方法还包括：

在所述待访问装置对所述服务器进行访问结束后，将所述服务器主动向所述待访问装置发送的第二IP数据报中存储的目标IP地址从所述允许访问的IP地址列表中删除。

4.根据权利要求3所述的基于公网IP地址拨号上网的防护方法，其特征在于，所述将所述第二IP数据报中的目标IP地址添加至所述允许访问的IP地址列表中，包括：

将所述第二IP数据报中的目标IP地址和所述待访问装置的允许访问次数添加至所述允许访问的IP地址列表中；

所述在所述待访问装置对所述服务器进行访问结束后，将所述服务器主动向所述待访问装置发送的第二IP数据报中存储的目标IP地址从所述允许访问的IP地址列表中删除，包括：

在允许所述待访问装置访问所述服务器允许访问次数之后，将所述服务器主动向所述待访问装置发送的第二IP数据报中存储的目标IP地址从所述允许访问的IP地址列表中删除。

5.一种防护装置，其特征在于，所述防护装置安装于基于公网IP地址拨号上网的服务器中，所述防护装置包括：

获得单元，用于获得请求访问所述服务器的请求装置发送的第一IP数据报，所述第一IP数据报中存储有源IP地址；

存储单元，用于存储允许访问的IP地址列表；

判断单元，用于判断所述获得单元获得的所述第一IP数据报中存储的所述源IP地址是否为所述存储单元存储的所述允许访问的IP地址列表中的地址，是则允许所述请求装置进行访问；否则拒绝所述请求装置进行访问。

6.根据权利要求5所述的防护装置，其特征在于，所述获得单元还用于，获得所述服务器主动向待访问装置发送的第二IP数据报，所述第二IP数据报中存储有目标IP地址；

所述存储单元还用于，将所述第二IP数据报中的目标IP地址添加至所述允许访问的IP地址列表中；

所述判断单元还用于，允许所述待访问装置对所述服务器进行访问。

7.根据权利要求6所述的防护装置，其特征在于，所述存储单元还用于，在所述待访问装置对所述服务器进行访问结束后，将所述服务器主动向所述待访问装置发送的第二IP数据报中存储的目标IP地址从所述允许访问的IP地址列表中删除。

8.根据权利要求7所述的防护装置，其特征在于，所述存储单元具体用于，将所述第二IP数据报中的目标IP地址和所述待访问装置的允许访问次数添加至所述允许访问的IP地址列表中；在允许所述待访问装置访问所述服务器允许访问次数之后，将所述服务器主动向所述待访问装置发送的第二IP数据报中存储的目标IP地址从所述允许访问的IP地址列表中删除。

9.一种基于公网IP地址拨号上网的防护系统，其特征在于，包括：

请求装置，用于发送第一IP数据报，所述第一IP数据报中存储有源IP地址；

服务器，用于获得请求访问所述服务器的所述请求装置发送的所述第一IP数据报；

防护装置，安装于所述服务器中，存储有允许访问的IP地址列表，用于判断所述第一IP数据报中存储的所述源IP地址是否为所述允许访问的IP地址列表中的地址，是则允许所述请求装置进行访问；否则拒绝所述请求装置进行访问。

10.根据权利要求9所述的基于公网IP地址拨号上网的防护系统，其特征在于，所述系统还包括待访问装置，所述服务器还用于，主动向所述待访问装置发送第二IP数据报，所述第二IP数据报中存储有目标IP地址；

所述防护装置还用于，获得所述服务器主动向所述待访问装置发送的第二IP数据报，将所述第二IP数据报中的目标IP地址添加至所述允许访问的IP地址列表中，允许所述待访问装置对所述服务器进行访问。