CN105592141B - 一种连接数控制方法及装置 - Google Patents
一种连接数控制方法及装置 Download PDFInfo
- Publication number
- CN105592141B CN105592141B CN201510746182.1A CN201510746182A CN105592141B CN 105592141 B CN105592141 B CN 105592141B CN 201510746182 A CN201510746182 A CN 201510746182A CN 105592141 B CN105592141 B CN 105592141B
- Authority
- CN
- China
- Prior art keywords
- connection
- priority
- application type
- user
- application
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/60—Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources
- H04L67/61—Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources taking into account QoS or priority requirements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种连接数控制方法及装置,所述方法包括:检测到用户建立新的连接时,判断用户对应的并发连接数是否大于预设阈值;若用户对应的并发连接数不大于预设阈值,将连接标记为正常连接,并识别连接对应的应用类型,根据预先为应用类型设置的应用优先级更新所述连接的优先级;若用户对应的并发连接数大于预设阈值,则将连接标记为超阈值连接,并识别连接对应的应用类型,根据预先为应用类型设置的应用优先级更新连接的优先级,若连接的优先级高于标记为正常连接的连接中优先级最低的连接的优先级,则将连接标记为正常连接,将标记为正常连接的连接中优先级最低的连接断开。因此可以保证优先级较高的应用建立的连接能够正常建立。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种连接数控制方法及装置。
背景技术
防火墙一般部署在大中型企业的网络出口、企业内部网络间或者数据中心的出口,用于保护内部网络安全以及实现访问信息监控。
现有技术中,为了防止单个用户或者IP地址滥用带宽资源,通常在防火墙上使用最大连接数进行访问控制。所谓的最大连接数是指单个用户或者IP地址允许同时建立的会话并发连接数的最大值。一般情况下,当用户建立的并发连接数没有超过规定的最大连接数时,新建的连接都会被允许,用户可以正常使用相关应用;当用户建立的并发连接数超过规定的最大连接数时,新建连接都会被阻断,导致相关应用无法正常使用。
但是在实际应用中用户通常会同时使用多个应用,每个应用具有不同的优先级,而应用的优先级与连接数并不相关。如果根据全部应用建立的连接总数进行控制,则当优先级较低的应用建立的连接数达到最大连接数时,后续优先级较高的应用请求建立连接时就会被拒绝,从而会造成部分重要的应用无法正常使用。
发明内容
有鉴于此,本发明提供一种连接数控制方法及装置来解决低优先级应用占用高优先级的连接资源的问题。
具体地,本发明是通过如下技术方案实现的:
本发明提供一种连接数控制方法,所述方法应用于网络防护设备,所述方法包括:
检测到用户建立新的连接时,判断所述用户对应的并发连接数是否大于预设阈值;
若所述用户对应的并发连接数不大于预设阈值,将所述连接标记为正常连接,并识别所述连接对应的应用类型,根据预先为所述应用类型设置的应用优先级更新所述连接的优先级;
若所述用户对应的并发连接数大于预设阈值,则将所述连接标记为超阈值连接,并识别所述连接对应的应用类型,根据预先为所述应用类型设置的应用优先级更新所述连接的优先级,若所述连接的优先级高于标记为正常连接的连接中优先级最低的连接的优先级,则将所述连接标记为正常连接,将所述标记为正常连接的连接中优先级最低的连接断开。
进一步的,在所述将所述连接标记为超阈值连接,并识别所述连接对应的应用类型,根据预先为所述应用类型设置的应用优先级更新所述连接的优先级之后,所述方法还包括:
若所述连接的优先级不高于所述标记为正常连接的连接中优先级最低的连接的优先级,则将所述连接断开。
进一步的,所述识别所述连接对应的应用类型时,还包括:
当识别所述连接的次数超过预设识别次数且仍未识别到应用类型时,将所述连接断开。
进一步的,所述识别所述连接对应的应用类型时,还包括:
当识别所述连接的时间超过预设识别时间且仍未识别到应用类型时,将所连接断开。
进一步的,所述网络防护设备预先设置有用户信息、应用类型和应用优先级之间的对应关系,所述用户信息包括:用户身份信息和/或IP地址;
所述根据预先为所述应用类型设置的应用优先级更新所述连接的优先级,包括:
当识别到连接的应用类型时,根据所述连接对应的用户信息及所述连接的应用类型在所述对应关系中查找对应的应用优先级;
将查找到的应用优先级更新为所述连接当前的优先级。
基于相同的构思,本发明还提供一种连接数控制装置,所述装置应用于网络防护设备,所述装置包括:
连接判断单元,用于在检测到用户建立新的连接时,判断所述用户对应的并发连接数是否大于预设阈值;
第一标记单元,用于在所述用户对应的并发连接数不大于预设阈值时,将所述连接标记为正常连接,并识别所述连接对应的应用类型,根据预先为所述应用类型设置的应用优先级更新所述连接的优先级;
第二标记单元,用于在所述用户对应的并发连接数大于预设阈值时,将所述连接标记为超阈值连接,并识别所述连接对应的应用类型,根据预先为所述应用类型设置的应用优先级更新所述连接的优先级,若所述连接的优先级高于标记为正常连接的连接中优先级最低的连接的优先级,则将所述连接标记为正常连接,将所述标记为正常连接的连接中优先级最低的连接断开。
进一步的,所述第二标记单元,还用于在所述连接的优先级不高于所述标记为正常连接的连接中优先级最低的连接的优先级,则将所述连接断开。
进一步的,所述装置还包括:
连接终止单元,用于在识别所述连接的次数超过预设识别次数且仍未识别到应用类型时,将所述连接断开。
进一步的,所述装置还包括:
连接终止单元,用于在识别所述连接的时间超过预设识别时间且仍未识别到应用类型时,将所述连接断开。
进一步的,所述装置预先设置有用户信息、应用类型和应用优先级之间的对应关系,所述用户信息包括:用户身份信息和/或IP地址;
所述第二标记单元根据预先为所述应用类型设置的应用优先级更新所述连接的优先级,包括:
当识别到连接的应用类型时,根据所述连接对应的用户信息及所述连接的应用类型在所述对应关系中查找对应的应用优先级;
将查找到的应用优先级更新为所述连接当前的优先级。
由此可见,本发明可以在用户当前对应的并发连接数大于为该用户设置的最大连接数(即预设阈值)时,将该用户的新连接标记为超阈值连接,并通过识别该超阈值连接的应用类型,根据应用类型确定该超阈值连接预设的优先级,当超阈值连接的优先级大于正常连接中优先级最低的连接的优先级,则将所述超阈值连接标记为正常连接,将所述正常连接中优先级最低的连接断开,因此可以保证优先级较高的应用建立的连接能够正常建立,增强了带宽利用的灵活性,提高了网络资源利用率,提升了用户体验。
附图说明
图1是本发明一种示例性实施方式中的一种连接数控制方法的处理流程图;
图2是本发明一种示例性实施方式中的另一种连接数控制方法的处理流程图;
图3本发明一种示例性实施方式中的连接数控制装置所在的网络防护设备的硬件结构图;
图4本发明一种示例性实施方式中的一种连接数控制装置的逻辑结构图。
具体实施方式
为了防止单个用户或者IP地址滥用带宽资源,传统的防火墙上会使用最大连接数进行访问控制。通常当用户建立的并发连接数没有超过规定的最大连接数时,新建的连接都会被允许,用户可以正常使用相关应用;当用户建立的并发连接数超过规定的最大连接数时,新建连接都会被阻断,导致相关应用无法正常使用。但是在实际应用中用户通常会同时使用多个应用,每个应用具有不同的优先级,而应用的优先级与连接数并不相关。当优先级较低的应用建立的连接数达到最大连接数时,后续优先级较高的应用请求建立连接时就会被拒绝,从而会造成部分重要的应用无法正常使用。举例来讲,假设预先在防火墙上规定某用户允许的最大连接数为100,优先级低的应用A建立了100个连接后,优先级高的应用B则无法建立新连接,从而导致用户无法使用应用B。
相对于上述的比较粗暴的管理方法,还有一些防火墙可以对每个应用对应的最大连接数进行限制。例如,预先在防火墙上规定某用户允许的最大连接数为100,优先级低的应用A被分配的最大连接数为50,优先级高的应用B被分配的最大连接数为50,当应用B建立的连接数超过50时,则无法建立新连接;而此时应用A可能并未建立连接,因此会浪费应用A对应的带宽资源,并且影响用户体验。
为了解决现有技术存在的问题,本发明提供一种连接数控制方法及装置,可以在当前并发连接数大于最大连接数时,将新连接标记为超阈值连接,并通过识别该超阈值连接的应用类型获取为该超阈值连接预设的优先级,当超阈值连接的优先级高于标记为正常连接的连接中优先级最低的连接的优先级,则将所述超阈值连接标记为正常连接,将所述标记为正常连接的连接中优先级最低的连接断开,因此可以保证优先级较高的应用建立的连接能够正常建立,增强了带宽利用的灵活性,提升了用户体验。
请参考图1,是本发明一种示例性实施方式中的一种连接数控制方法的处理流程图,其中该方法应用于网络防护设备,该网络防护设备可以具体为防火墙。所述方法包括:
步骤101、检测到用户建立新的连接时,判断所述用户对应的并发连接数是否大于预设阈值;
在本实施例中,网络防护设备是指,对于用户通过客户端与服务器的交互过程具有监管功能的网络设备,通常网络防护设备网关、防火墙等设备。当网络防护设备检测到用户通过客户端与服务器建立新的连接时,可以判断该用户当前建立的并发连接数是否大于该用户所能够建立并发连接数的预设阈值,所谓的预设阈值可以是系统默认的最大连接数,也可以是管理员为该用户指定的最大连接数。
步骤102、若所述用户对应的并发连接数不大于预设阈值,将所述连接标记为正常连接,并识别所述连接对应的应用类型,根据预先为所述应用类型设置的应用优先级更新所述连接的优先级;
如果当前用户建立的并发连接数不大于预设阈值,则允许该用户建立连接,并将该连接标记为正常连接。
由于多数情况下,连接的优先级并不等同于该连接所属的应用的优先级。因此无法仅根据连接原始的优先级来判断该连接对于用户的重要程度。因此在本实施例中,网络防护设备需要会对该连接重新标记优先级。首先网络防护设备需要识别该连接的应用类型,具体的,可以通过现有的负载检测等方式进行应用类型识别,此处不做赘述。识别到该连接的应用类型后,网络防护设备可以根据预先为所述应用类型设置的应用优先级更新所述连接的优先级。
具体来讲,管理员可以根据经验或是用户的使用需求,例如数据库软件的应用优先级高于游戏的应用优先级,游戏的应用优先级高于P2P的应用优先级等等。
另外,用户的身份不同对应的权限也可能不同,则该不同身份的用户对于同一应用类型对应的应用等级可能不同,或者同一个用户使用不同主机时,不同主机上同一应用类型对应的应用等级也可能不同,从而使连接数控制可以同时满足各种身份的用户需求。因此,网络防护设备可以预先设置有用户信息、应用类型和应用优先级之间的对应关系,其中所述用户信息通常包括用户身份信息和/或客户端的IP地址。当网络防护设备识别到连接的应用类型时,可根据所述连接对应的用户信息及所述连接的应用类型在所述对应关系中查找对应的应用优先级,然后将查找到的应用优先级更新为所述连接当前的优先级。另外,管理员可以在特征库的应用优先级中预先为连接设置一个优先级默认值,用户可以根据实际需求去修改连接的优先级。因此,本发明可以将连接的优先级与应用程序的优先级统一,从而在管理连接时,可以尽量保证应用优先级较高的应用能够正常建立连接,以确保相对重要的应用功能可以正常使用。
步骤103、若所述用户对应的并发连接数大于预设阈值,则将所述连接标记为超阈值连接,并识别所述连接对应的应用类型,根据预先为所述应用类型设置的应用优先级更新所述连接的优先级,若所述连接的优先级高于标记为正常连接的连接中优先级最低的连接的优先级,则将所述连接标记为正常连接,将所述标记为正常连接的连接中优先级最低的连接断开。
如果当前用户建立的并发连接数大于预设阈值,则允许该用户建立该连接,并将该连接标记为超阈值连接。由于现有技术中,当用户的并发连接数超过最大连接数时后续的连接就会被阻止,而本发明可以在用户的并发连接数超过最大连接数时继续允许建立新连接,从而保证用户所需的应用能够正常建立连接。
之后,该网络防护设备可以识别该连接的应用类型,识别到该连接的应用类型后,该网络防护设备可以根据预先为所述应用类型设置的应用优先级更新所述连接的优先级。具体实现方式可参照标记为正常连接后的优先级更新方法,此处不再重复说明。
此外,在本发明可选的实施例中,在网络防护设备识别连接的应用类型时可以进行一定的限制,从而可以提高识别效率,避免识别过程无限进行而影响正常业务运行。具体来讲,网络防护设备在开始识别连接的应用类型时,可以开启计数器,当识别连接的次数超过预设识别次数且仍未识别到应用类型时,可以将该连接断开,其中识别次数可以按照识别的报文数计算;或者在开始识别连接的应用类型时开启定时器,当定时器超过预设识别时间且仍未识别到应用类型时,可以将该连接断开。
在本实施例中,网络防护设备可以获取该标记为超阈值连接的连接(为描述方便,后续将标记为超阈值连接的连接简称为超阈值连接)的优先级,并将该超阈值连接的优先级与所述标记为正常连接的连接(为描述方便,后续将标记为正常连接的连接简称为正常连接)中优先级最低的连接进行比较。如果超阈值连接的优先级高于正常连接中优先级最低的连接的优先级,则可以认为该超阈值连接对应的应用比较重要,因此可以将该连接标记为正常连接,而将该正常连接中优先级最低的连接断开。如果该超阈值连接的优先级不高于正常连接中优先级最低的连接的优先级,则将该超阈值连接断开。通过优先级比较后,断开优先级较低的连接可以同时满足对并发连接数的控制,以及优先保证用户重要业务正常运行的使用需求。
由此可见,本发明可以在当前并发连接数大于最大连接数时,将新连接标记为超阈值连接,并通过识别该超阈值连接的应用类型,根据应用类型确定该超阈值连接预设的优先级,当超阈值连接的优先级大于正常连接中优先级最低的连接的优先级,则将所述超阈值连接标记为正常连接,将所述正常连接中优先级最低的连接断开,因此可以保证优先级较高的应用建立的连接能够正常建立,增强了带宽利用的灵活性,提高了网络资源利用率,提升了用户体验。
为使本发明的目的、技术方案及优点更加清楚明白,下面对本发明该方案作进一步地详细说明。
举例来说,在防火墙设备中为某个用户进行如下配置:最大并发连接数为100,并且预先设置P2P软件优先级为10,炒股软件优先级为20,数据库软件优先级为30。当该用户使用上述三种应用且已建立的并发连接个数为100时,处理过程如图2所示,其中包括:
步骤201、检测到用户产生一条新建连接;
步骤202、判断该用户的并发连接数是否达到阈值,若是,则转步骤203,若否,则转步骤204;
步骤203、连接建立,并标识为超阈值连接,并启动检测定时器或计数器,转步骤205;
步骤204、连接建立,并标识为正常连接,并启动检测定时器或计数器,在定时器超时之前或计数超过阈值之前,未识别出该链接的应用类型,则转步骤209,在定时器超时之前或计数超过阈值之前,识别出该连接的应用类型,则转步骤210;
步骤205、在定时器超时之前或计数超过阈值之前,未识别出该链接的应用类型,则转步骤209,在定时器超时之前或计数超过阈值之前,识别出该连接的应用类型,则转步骤206;
步骤206、根据预先为识别出的应用类型设置的应用优先级更新该连接的优先级,转至步骤207;
步骤207、判断该连接的优先级是否高于所有正常连接(即标记为正常连接的连接)的优先级的最小值,若是,则转步骤208,若否,则转步骤209;
步骤208、断开优先级最小的正常连接,并标识该连接为正常连接;
步骤209、断开该连接,并结束;
步骤210、根据预先为识别出的应用类型设置的应用优先级更新该连接的优先级,并结束。
根据上述处理流程,当该用户目前建立了50个P2P类型的连接和50个炒股软件的连接后,该用户的并发连接数已达到预设的最大并发连接数100,此时的连接均为正常连接。以下通过两个典型的示例,进一步结合实际应用场景来说明本发明在实际应用时的处理过程。
示例一:
当用户新建立了一个P2P类型的连接时,当前的并发连接数增加至101,超过为该用户预设的最大并发连接数100,因此防火墙将该连接标识为超阈值连接。防火墙可以通过识别该超阈值连接承载的报文获知该连接的应用类型为P2P,因此根据用户设置的应用优先级可知P2P的应用优先级为10,则将该超阈值连接的优先级更新为10。之后,将该超阈值连接的优先级与所有正常连接的优先级最小值比较。由于正常连接的类型有P2P和炒股软件,又知P2P的优先级为10,炒股软件的优先级为20,因此该超阈值的优先级不高于所有正常连接的优先级的最小值,因此将该超阈值连接断开。
示例二:
当用户建立了一个新的数据库软件连接时,当前的并发连接数增加至101,超过为该用户预设的最大并发连接数100,因此防火墙将该连接标识为超阈值连接。防火墙可以通过识别该超阈值连接承载的报文获知该连接的应用类型为数据库,因此根据用户设置的应用优先级可知数据库的应用优先级为30,则将该超阈值连接的优先级更新为30。之后,将该超阈值连接的优先级与所有正常连接的优先级最小值比较。由于正常连接的类型有P2P和炒股软件,又知P2P的优先级为10,炒股软件的优先级为20,因此该超阈值连接的优先级高于所有正常连接的优先级的最小值,因此将该超阈值连接更改为正常连接,并将正常连接中优先级最低的一个连接断开,即P2P软件产生的一条连接将被断开,具体的选择规则可以按照用户实际需求而定。
采用本方案后,在默认情况下管理员只需要配置指定用户的最大并发连接数即可。如果该用户只使用P2P软件,那么P2P流量可以占用所有可用连接数。如果该用户使用多种应用软件,那么所有应用产生的流量共同占用所有可用连接数。并且无论高优先级的应用何时使用,都能确保该应用的连接正常建立,而不受已经建立连接的低优先级应用的连接数影响。从而使连接数的控制更加灵活,且提高网络资源的利用率,进一步提升了用户体验。
基于相同的构思,本发明还提供一种连接数控制装置,该装置可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,本发明的连接数控制装置作为一个逻辑意义上的装置,是通过其所在设备的CPU将存储器中对应的计算机程序指令读取后运行而成。
请参考图3及图4,是本发明一种示例性实施方式中的一种连接数控制装置400,所述装置应用于网络防护设备,该装置基本运行环境包括CPU,存储器以及其他硬件,从逻辑层面上来看,该装置400包括:
连接判断单元401,用于在检测到用户建立新的连接时,判断所述用户对应的并发连接数是否大于预设阈值;
第一标记单元402,用于在所述用户对应的并发连接数不大于预设阈值时,将所述连接标记为正常连接,并识别所述连接对应的应用类型,根据预先为所述应用类型设置的应用优先级更新所述连接的优先级;
第二标记单元403,用于在所述用户对应的并发连接数大于预设阈值时,将所述连接标记为超阈值连接,并识别所述连接对应的应用类型,根据预先为所述应用类型设置的应用优先级更新所述连接的优先级,若所述连接的优先级高于标记为正常连接的连接中优先级最低的连接的优先级,则将所述连接标记为正常连接,将所述标记为正常连接的连接中优先级最低的连接断开。
可选的,所述第二标记单元403,还用于在所述连接的优先级不高于所述标记为正常连接的连接中优先级最低的连接的优先级,则将所述连接断开。
可选的,所述装置400还包括:
连接终止单元404,用于在识别所述连接的次数超过预设识别次数且仍未识别到应用类型时,将所述连接断开。
可选的,所述装置400还包括:
连接终止单元404,用于在识别所述连接的时间超过预设识别时间且仍未识别到应用类型时,将所述连接断开。
可选的,所述装置预先设置有用户信息、应用类型和应用优先级之间的对应关系,所述用户信息包括:用户身份信息和/或IP地址;
所述第二标记单元根据预先为所述应用类型设置的应用优先级更新所述连接的优先级,包括:
当识别到连接的应用类型时,根据所述连接对应的用户信息及所述连接的应用类型在所述对应关系中查找对应的应用优先级;
将查找到的应用优先级更新为所述连接当前的优先级。
由此可见,本发明可以在当前并发连接数大于最大连接数时,将新连接标记为超阈值连接,并通过识别该超阈值连接的应用类型获取为该超阈值连接预设的优先级,当超阈值连接的优先级大于标记为正常连接的连接中优先级最低的连接的优先级,则将所述超阈值连接标记为正常连接,将所述标记为正常连接的连接中优先级最低的连接断开,因此可以保证优先级较高的应用建立的连接能够正常建立,增强了带宽利用的灵活性,提高了网络资源利用率,提升了用户体验。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (10)
1.一种连接数控制方法,其特征在于,所述方法应用于网络防护设备,所述方法包括:
检测到用户建立新的连接时,判断所述用户对应的并发连接数是否大于预设阈值;
若所述用户对应的并发连接数不大于预设阈值,将所述连接标记为正常连接,并识别所述连接对应的应用类型,根据预先为所述应用类型设置的应用优先级更新所述连接的优先级;
若所述用户对应的并发连接数大于预设阈值,则将所述连接标记为超阈值连接,并识别所述连接对应的应用类型,根据预先为所述应用类型设置的应用优先级更新所述连接的优先级,若所述连接的优先级高于标记为正常连接的连接中优先级最低的连接的优先级,则将所述连接标记为正常连接,将所述标记为正常连接的连接中优先级最低的连接断开。
2.根据权利要求1所述的方法,其特征在于,在所述将所述连接标记为超阈值连接,并识别所述连接对应的应用类型,根据预先为所述应用类型设置的应用优先级更新所述连接的优先级之后,所述方法还包括:
若所述连接的优先级不高于所述标记为正常连接的连接中优先级最低的连接的优先级,则将所述连接断开。
3.根据权利要求1所述的方法,其特征在于,所述识别所述连接对应的应用类型时,还包括:
当识别所述连接的次数超过预设识别次数且仍未识别到应用类型时,将所述连接断开。
4.根据权利要求1所述的方法,其特征在于,所述识别所述连接对应的应用类型时,还包括:
当识别所述连接的时间超过预设识别时间且仍未识别到应用类型时,将所连接断开。
5.根据权利要求1所述的方法,其特征在于,所述网络防护设备预先设置有用户信息、应用类型和应用优先级之间的对应关系,所述用户信息包括:用户身份信息和/或IP地址;
所述根据预先为所述应用类型设置的应用优先级更新所述连接的优先级,包括:
当识别到连接的应用类型时,根据所述连接对应的用户信息及所述连接的应用类型在所述对应关系中查找对应的应用优先级;
将查找到的应用优先级更新为所述连接当前的优先级。
6.一种连接数控制装置,其特征在于,所述装置应用于网络防护设备,所述装置包括:
连接判断单元,用于在检测到用户建立新的连接时,判断所述用户对应的并发连接数是否大于预设阈值;
第一标记单元,用于在所述用户对应的并发连接数不大于预设阈值时,将所述连接标记为正常连接,并识别所述连接对应的应用类型,根据预先为所述应用类型设置的应用优先级更新所述连接的优先级;
第二标记单元,用于在所述用户对应的并发连接数大于预设阈值时,将所述连接标记为超阈值连接,并识别所述连接对应的应用类型,根据预先为所述应用类型设置的应用优先级更新所述连接的优先级,若所述连接的优先级高于标记为正常连接的连接中优先级最低的连接的优先级,则将所述连接标记为正常连接,将所述标记为正常连接的连接中优先级最低的连接断开。
7.根据权利要求6所述的装置,其特征在于,
所述第二标记单元,还用于在所述连接的优先级不高于所述标记为正常连接的连接中优先级最低的连接的优先级,则将所述连接断开。
8.根据权利要求6所述的装置,其特征在于,所述装置还包括:
连接终止单元,用于在识别所述连接的次数超过预设识别次数且仍未识别到应用类型时,将所述连接断开。
9.根据权利要求6所述的装置,其特征在于,所述装置还包括:
连接终止单元,用于在识别所述连接的时间超过预设识别时间且仍未识别到应用类型时,将所述连接断开。
10.根据权利要求6所述的装置,其特征在于,所述装置预先设置有用户信息、应用类型和应用优先级之间的对应关系,所述用户信息包括:用户身份信息和/或IP地址;
所述第二标记单元根据预先为所述应用类型设置的应用优先级更新所述连接的优先级,包括:
当识别到连接的应用类型时,根据所述连接对应的用户信息及所述连接的应用类型在所述对应关系中查找对应的应用优先级;
将查找到的应用优先级更新为所述连接当前的优先级。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510746182.1A CN105592141B (zh) | 2015-11-05 | 2015-11-05 | 一种连接数控制方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510746182.1A CN105592141B (zh) | 2015-11-05 | 2015-11-05 | 一种连接数控制方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105592141A CN105592141A (zh) | 2016-05-18 |
| CN105592141B true CN105592141B (zh) | 2019-05-07 |
Family
ID=55931346
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510746182.1A Active CN105592141B (zh) | 2015-11-05 | 2015-11-05 | 一种连接数控制方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105592141B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106357836B (zh) * | 2016-09-07 | 2019-09-06 | 新华三技术有限公司 | 一种连接建立方法和装置 |
| CN107547634B (zh) * | 2017-07-28 | 2020-11-03 | 新华三信息安全技术有限公司 | 一种会话管理方法及装置 |
| CN111983984B (zh) * | 2020-08-19 | 2022-05-17 | 安徽鸿程光电有限公司 | 控制权分配方法、装置、设备和介质 |
| CN114553936B (zh) * | 2022-02-18 | 2024-01-30 | 北京达佳互联信息技术有限公司 | 连接方法、装置、电子设备和计算机可读存储介质 |
| CN115334136B (zh) * | 2022-07-05 | 2024-02-02 | 北京天融信网络安全技术有限公司 | 一种连接老化控制方法、系统、设备及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102238088A (zh) * | 2011-06-23 | 2011-11-09 | 苏州阔地网络科技有限公司 | 一种设置优先级的组件访问控制方法及服务器 |
| CN102325100A (zh) * | 2011-10-31 | 2012-01-18 | 太仓市同维电子有限公司 | 基于ip地址优先级实现网关设备的网络连接接入管理方法 |
| CN102984815A (zh) * | 2012-12-07 | 2013-03-20 | 华为终端有限公司 | 分组数据连接的处理方法、终端设备、网络侧设备及系统 |
| CN103441947A (zh) * | 2013-08-23 | 2013-12-11 | 深信服网络科技(深圳)有限公司 | 基于桌面虚拟化的流量控制方法及装置 |
| CN104917810A (zh) * | 2015-04-14 | 2015-09-16 | 天脉聚源(北京)教育科技有限公司 | 一种基于全局变量的用户设备的连接方法及连接装置 |
-
2015
- 2015-11-05 CN CN201510746182.1A patent/CN105592141B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102238088A (zh) * | 2011-06-23 | 2011-11-09 | 苏州阔地网络科技有限公司 | 一种设置优先级的组件访问控制方法及服务器 |
| CN102325100A (zh) * | 2011-10-31 | 2012-01-18 | 太仓市同维电子有限公司 | 基于ip地址优先级实现网关设备的网络连接接入管理方法 |
| CN102984815A (zh) * | 2012-12-07 | 2013-03-20 | 华为终端有限公司 | 分组数据连接的处理方法、终端设备、网络侧设备及系统 |
| CN103441947A (zh) * | 2013-08-23 | 2013-12-11 | 深信服网络科技(深圳)有限公司 | 基于桌面虚拟化的流量控制方法及装置 |
| CN104917810A (zh) * | 2015-04-14 | 2015-09-16 | 天脉聚源(北京)教育科技有限公司 | 一种基于全局变量的用户设备的连接方法及连接装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105592141A (zh) | 2016-05-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105592141B (zh) | 一种连接数控制方法及装置 | |
| CN107079003B (zh) | 在多租户环境中提供用于安全网络通信的集成防火墙的系统和方法 | |
| CA3026781C (en) | A method for tee access control and a mobile terminal for implementing the method | |
| CN110489417A (zh) | 一种数据处理方法及相关设备 | |
| CN111258627B (zh) | 一种接口文档生成方法和装置 | |
| US20140331280A1 (en) | Network Privilege Manager for a Dynamically Programmable Computer Network | |
| US11252196B2 (en) | Method for managing data traffic within a network | |
| CN110213212A (zh) | 一种设备的分类方法和装置 | |
| CN103404103A (zh) | 将访问控制系统与业务管理系统相结合的系统和方法 | |
| US9113031B2 (en) | Call control for conferencing calls | |
| CN101577671A (zh) | 一种对等联网业务自动流量控制方法及系统 | |
| CA2973249C (en) | System and method for providing fraud control | |
| CN109587156A (zh) | 异常网络访问连接识别与阻断方法、系统、介质和设备 | |
| US20110258261A1 (en) | Phase based prioritization of ims signaling messages for overload throttling | |
| US20170149821A1 (en) | Method And System For Protection From DDoS Attack For CDN Server Group | |
| US20150304340A1 (en) | Early Policy Evaluation of Multiphase Attributes in High-Performance Firewalls | |
| US20220255898A1 (en) | Systems and methods for monitoring and securing networks using a shared buffer | |
| US7218714B2 (en) | Method of calling service among devices in home network | |
| CN110099015A (zh) | 确定设备属性 | |
| US10511494B2 (en) | Network control method and apparatus | |
| CN104902497B (zh) | 一种管理手机热点连接的方法及装置 | |
| US6823378B2 (en) | Method and apparatus in network management system for performance-based network protocol layer firewall | |
| CN113596105B (zh) | 内容的获取方法、边缘节点及计算机可读存储介质 | |
| US11546235B2 (en) | Action based on advertisement indicator in network packet | |
| CN113055427A (zh) | 一种基于业务的服务器集群接入方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant after: Xinhua three Technology Co., Ltd. Address before: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant before: Huasan Communication Technology Co., Ltd. |
|
| CB02 | Change of applicant information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |