CN105939368B - 一种会话数限制方法和装置 - Google Patents
一种会话数限制方法和装置 Download PDFInfo
- Publication number
- CN105939368B CN105939368B CN201510566248.9A CN201510566248A CN105939368B CN 105939368 B CN105939368 B CN 105939368B CN 201510566248 A CN201510566248 A CN 201510566248A CN 105939368 B CN105939368 B CN 105939368B
- Authority
- CN
- China
- Prior art keywords
- session
- target session
- magic number
- updated
- strategies
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供一种会话数限制方法和装置,所述方法包括:当发生策略集更新时,将更新后的策略集更新到备表中;当策略集更新完成时,更新全局魔术字,将更新后的全局魔术字更新至所述备表中,并进行主备表切换;当接收到目标会话的访问请求,且确定目标会话中包括魔术字信息时,判断所述目标会话中包括的魔术字信息与当前的全局魔术字是否一致;若一致,则对所述目标会话进行会话数限制处理;否则,则不对所述目标会话进行会话数限制。应用本发明实施例可以避免由于从会话匹配策略集成功之后,以及会话老化之前发生过策略集更新而导致的会话计数发生错误。
Description
技术领域
本发明涉及网络通信技术领域,尤其涉及一种会话数限制方法和装置。
背景技术
会话数限制通过对网络设备上的连接数进行统计并根据预先配置的策略集,对会话加以限制,以使设备系统资源得到保护,且系统资源分配更加合理。
现有会话数限制方案中,策略集更新时使用双表,即有策略更新时将新策略集更新到备表,再主备表切换,此后会话匹配新主表。此种方案在策略更新时允许访问备表,有效提高了策略集更新期间会话匹配的效率。
然而实践发现,上述会话数限制方案中,若从会话匹配策略集成功之后,会话老化之前发生过策略集更新时,可能会导致命中策略对应的会话计数发生错误。例如,会话1创建时,命中的为表A中的策略集中的策略,且被允许通过,而当会话1老化时,命中的为表B(表A和表B为主备表关系,且会话1创建之后,老化之前发生过主备表切换)中的策略集中的策略,此时,会话1老化需要回减表B中的命中策略对应的会话计数,导致表B中的命中策略对应的会话计数发生错误。
发明内容
本发明提供一种会话数限制方法和装置,以解决现有会话数限制方案中若从会话匹配策略集成功之后,会话老化之前发生过策略集更新时,可能会导致命中策略对应的会话计数发生错误的问题。
根据本发明实施例的第一方面,提供一种会话数限制方法,包括:
当发生策略集更新时,将更新后的策略集更新到备表中;
当策略集更新完成时,更新全局魔术字,将更新后的全局魔术字更新至所述备表中,并进行主备表切换;
当接收到目标会话的访问请求,且确定目标会话中包括魔术字信息时,判断所述目标会话中包括的魔术字信息与当前的全局魔术字是否一致;
若一致,则对所述目标会话进行会话数限制处理;
否则,则不对所述目标会话进行会话数限制。
根据本发明实施例的第二方面,提供一种会话数限制装置,包括:
更新单元,用于当发生策略集更新时,将更新后的策略集更新到备表中;当策略集更新完成时,更新全局魔术字,将更新后的全局魔术字更新至所述备表中,并进行主备表切换;
判断单元,用于当所述装置接收到目标会话的访问请求,且确定目标会话中包括魔术字信息时,判断所述目标会话中包括的魔术字信息与当前的全局魔术字是否一致;
处理单元,用于当所述判断单元判断为是时,对所述目标会话进行会话数限制处理;当所述判断单元判断为否时,不对所述目标会话进行会话数限制。
应用本发明实施例,通过设置全局魔术字,该魔术字在发生策略更新时进行更新,且与更新后的主表中的魔术字信息一致,当接收到目标会话,且该目标会话中包括魔术字信息时,可以判断该目标会话中包括的魔术字信息与当前的全局魔术字是否一致,若一致,则对该目标会话进行会话数限制处理;否则,不对该目标会话进行会话数限制处理。由于目标会话中包括魔术字信息,且魔术字信息与当前的全局魔术字信息不一致时,可以认为此次访问请求不是该目标会话的第一次访问请求,且目标会话第一次访问请求之后,以及此次访问请求之前,发生了主备表切换,此时,不对该目标会话进行会话限制,可以避免由于从会话匹配策略集成功之后,以及会话老化之前发生过策略集更新而导致的会话计数发生错误。
附图说明
图1是本发明实施例提供的一种会话数限制方法的流程示意图;
图2是本发明实施例提供的另一种会话数限制方法的流程示意图;
图3是本发明实施例提供的会话数限制装置所在设备的一种硬件结构图;
图4是本发明实施例提供的一种会话数限制装置的结构示意图;
图5是本发明实施例提供的另一种会话数限制装置的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明实施例的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明实施例中技术方案作进一步详细的说明。
请参见图1,为本发明实施例提供的一种会话数限制方法的流程示意图,如图1所示,该会话数限制方法可以包括以下步骤:
步骤101、当发生策略集更新时,将更新后的策略集更新到备表中。
本发明实施例中,上述方法的执行主体可以为防火墙或防火墙中的处理器,如CPU(Center Process Unit,中央处理单元),该防火墙可以包括硬件防火墙,或软件防火墙等。为便于描述,以下以上述方法的执行主体为防火墙为例进行描述。
本发明实施例中,策略集更新时使用双表,即发生策略集更新时,将更新后的策略更新到备表中。
作为一种优选的实施方式,上述步骤101中,将更新后的策略集更新到备表中,包括:
将更新后的策略集按照策略属性以及限制条件进行多维编译,并将编辑结果下发到备表。
在该实施方式中,为了提高会话匹配策略集时的匹配效率,策略集下发之前,可以根据策略集的策略属性以及限制条件进行多维编译,并将编译后的策略集下发,从而,当会话需要匹配策略集时,可以不需要遍历整个策略集,有效地提高了会话匹配策略集的匹配效率。其中,策略属性可以包括但不限于源IP(Internet Protocol,互联网协议)地址、目的IP地址、服务等;限制条件可以包括但不限于限制的IP地址范围、IP地址域等。
步骤102、当策略集更新完成时,更新全局魔术字,并将更新后的全局魔术字更新至备表中,并进行主备表切换。
本发明实施例中,为了使防火墙能够及时获知策略集是否更新完成,以及主备表是否完成切换,可以在系统中新增全局魔术字,并在主备表中分别记录魔术字,当未发生策略集更新时,系统中的全局魔术字与主表中的魔术字一致。当发生策略集更新时,防火墙可以在策略集更新完成时,更新全局魔术字并将更新后的全局魔术字更新至备表中,即将备表中记录的魔术字更新为与更新后的全局魔术字一致,并进行主备表切换。从而防火墙可以通过比较主备表中的魔术字与全局魔术字确定策略集更新是否完成,以及主备表切换是否完成。
步骤103、当接收到目标会话的访问请求,且确定目标会话中包括魔术字信息时,判断目标会话中包括的魔术字信息与当前的全局魔术字是否一致。若是,转至步骤104;否则,转至步骤105。
本发明实施例中,考虑到会话从创建到老化需要三次访问防火墙中的会话数限制模块:第一次访问是会话预处理;第二次访问时会话创建;第三次访问是会话老化。现有会话数限制方案中在第二次访问时对会话进行限制,即在会话创建完成后,进行会话匹配,确定是否允许会话通过,而会话创建过程本身对系统性能消耗较大,因此,为了提升系统性能,本发明实施例提供的技术方案中在会话第一次访问时即进行会话限制。
相应地,作为一种可选地实施方式,本发明实施例提供的会话数限制方案中,还可以包括以下步骤:
11)、当第一次接收到目标会话的访问请求时,根据目标会话查询主表中的策略集;
12)、若查询到命中策略,且命中策略对应的会话计数未超过预设会话数阈值时,则在该目标会话中记录命中策略,以及全局魔术字,并允许该目标会话通过。
本该实施方式中,当目标会话第一次访问防火墙中的会话限制模块时,即目标会话处于预处理阶段时,防火墙就可以根据目标会话中包括的五元组、虚拟系统、安全域等信息查询主表中的策略集。
在该实施方式中,可以在会话中添加一个结构字体,用于存储魔术字与命中的策略信息。若查询到命中策略,且命中策略对应的会话计数未超过预设会话数阈值时,可以在该目标会话中记录该命中策略,以及全局魔术字,并允许该目标会话通过。
若未查询到命中策略,则可以认为该目标会话不是会话数限制的目标,允许该目标会话通过;若查询到命中策略,且该命中策略对应的会话计数达到预设会话数阈值,则丢弃该目标会话。
本发明实施例中,当防火墙接收到目标会话的访问请求时,可以确定该目标会话中是否包括魔术字信息,若包括,则可以认为该目标会话不是第一次访问会话数限制模块,此时,防火墙可以判断该目标会话中包括的魔术字信息与当前的全局魔术字是否一致。若是,转至步骤104;否则,转至步骤105。
作为一种可选的实施方式,上述步骤103中,当接收到目标会话的访问请求,且确定目标会话中包括魔术字信息时,上述判断目标会话中包括的魔术字信息与当前的全局魔术字是否一致之前,还可以包括以下步骤:
21)、判断主表中包括的魔术字信息与当前的全局魔术字是否一致;
22)、若一致,则确定执行判断目标会话中包括的魔术字信息与当前的全局魔术字是否一致的步骤;
23)、否则,不对目标会话进行会话数限制。
在该实施方式中,当防火墙接收到目标会话的访问请求,且确定该目标会话中包括魔术字信息时,可以先判断当前的主表中包括的魔术字信息与当前的全局魔术字是否一致。若一致,则表明当前未发生主备表切换,或主备表切换已完成,防火墙可以进一步判断目标会话中包括的魔术字信息与当前的全局魔术字是否一致;否则,可以认为当前正在进行主备表切换,且主备表切换尚未完成(进行了全局魔术字更新,但主备表切换尚未完成),此时,防火墙可以不对该目标会话进行会话数限制。
步骤104、对目标会话进行会话数限制处理。
本发明实施例中,当防火墙确定目标会话中包括的魔术字信息与当前全局魔术字一致时,则可以认为目标会话此次访问会话数限制模块之前,第一次访问会话限制模块之后,未发生过双表切换,从而,防火墙可以对该目标会话进行会话数限制处理。
作为一种实施方式,在本发明实施例中,对目标会话进行会话数限制处理,可以包括:
当该访问请求为接收到的目标会话的第二次访问请求时,更新该目标会话中包括的命中策略对应的会话计数;
当该访问请求为接收到的目标会话的第三次访问请求时,回减目标会话中包括的命中策略对应的会话计数。
在该实施方式中,当防火墙确定目标会话的访问请求为第二次访问请求时,即该目标会话处于会话创建阶段时,防火墙可以更新该目标会话中包括的命中策略对应的会话计数。
举例来说,假设目标会话中包括的命中策略为策略A,即目标会话在第一次访问会话数限制模块时命中策略为策略A,则当目标会话第二次访问会话数限制模块,且防火墙确定未发生过双表切换时,防火墙可以将策略A对应的会话计数由N更新为N+1。
需要注意的是,在本发明实施例中,当访问请求为接收到的目标会话的第二次访问请求时,防火墙在更新该目标会话包括的命中策略对应的会话计数之前,还可以先判断该命中策略对应的会话计数是否达到预设的会话数阈值,若达到,则可以丢弃该目标会话;否则,确定更新目标会话中包括的命中策略对应的会话计数。
在该实施方式中,当防火墙确定目标会话的访问请求为该目标会话的第三次访问请求时,即该目标会话处于老化阶段时,防火墙可以回减该目标会话中包括的命中策略对应的会话计数。
举例来说,假设目标会话中包括的命中策略为策略A,即目标会话在第一次访问会话数限制模块时命中策略为策略A,则当目标会话第三次访问会话数限制模块,且防火墙确定未发生过双表切换时,防火墙可以将策略A对应的会话计数由N更新为N-1。
步骤105、不对该目标会话进行会话数限制。
本发明实施例中,当防火墙确定目标会话中包括的魔术字信息与当前的全局魔术字不一致时,即目标会话第一次访问会话数限制模块之后,此次访问会话数限制模块之前,发生了主备表切换,此时,防火墙可以不对该目标会话进行会话数限制。
可见,在图1所描述的方法流程中,通过设置全局魔术字,该魔术字在发生策略更新时进行更新,且与更新后的主表中的魔术字信息一致,当接收到目标会话,且该目标会话中包括魔术字信息时,可以判断该目标会话中包括的魔术字信息与当前的全局魔术字是否一致,若一致,则对该目标会话进行会话数限制处理;否则,不对该目标会话进行会话数限制处理。由于目标会话中包括魔术字信息,且魔术字信息与当前的全局魔术字信息不一致时,可以认为此次访问请求不是该目标会话的第一次访问请求,且目标会话第一次访问请求之后,以及此次访问请求之前,发生了主备表切换,此时,不对该目标会话进行会话限制,可以避免由于从会话匹配策略集成功之后,以及会话老化之前发生过策略集更新而导致的会话计数发生错误。
请参见图2,为本发明实施例提供的另一种会话数限制方法的流程示意图,如图2所示,该会话数限制方法可以包括以下步骤:
步骤201、当接收到目标会话的访问请求时,判断该访问请求是否为目标会话的第一次访问请求。若是,转至步骤202;否则,转至步骤204。
步骤202、根据目标会话查询主表中的策略集。若查询到命中策略,且命中策略对应的会话计数未超过预设会话数阈值时,则转至步骤203;否则,结束当前流程。
步骤203、在目标会话中记录该命中策略,以及全局魔术字,并允许该目标会话通过。
本发明实施例中,当防火墙接收到目标会话的访问请求,且确定该访问请求为该目标会话的第一次访问请求,即该目标会话处于预处理阶段时,防火墙可以根据该目标会话中包括的五元组、虚拟系统、安全域等信息查询主表中的策略集。
本发明实施例中,可以在会话中添加一个结构字体,用于存储魔术字与命中的策略信息。若查询到命中策略,且命中策略对应的会话计数未超过预设会话数阈值时,可以在该目标会话中记录该命中策略,以及全局魔术字,并允许该目标会话通过。
若未查询到命中策略,则可以认为该目标会话不是会话数限制的目标,允许该目标会话通过;若查询到命中策略,且该命中策略对应的会话计数达到预设会话数阈值,则丢弃该目标会话。
可见,在该实施例中,通过在会话预处理阶段对会话进行限制处理,从而可以直接在预处理阶段对命中策略,且该命中策略对应的会话计数超过预设会话数阈值的会话进行丢弃处理,减少了由于该部分会话的创建造成的资源消耗以及对系统性能的影响。
步骤204、判断该目标会话中是否包括魔术字信息。若是,转至步骤205;否则,结束当前流程。
步骤205、判断目标会话中包括的魔术字信息与当前的全局魔术字是否一致。若是,转至步骤206;否则,转至步骤207。
本发明实施例中,当防火墙确定目标会话的访问请求不是第一次访问请求时,防火墙可以确定该目标会话中是否包括魔术字信息。若该目标会话中包括魔术字信息,则防火墙可以认为该目标会话属于需要进行会话限制的会话,进而,防火墙可以判断目标会话中包括的魔术字信息与当前的全局魔术字是否一致。
若该目标会话中不包括魔术字信息,则防火墙可以认为该目标会话不属于需要进行会话限制的会话,进而,防火墙可以直接允许该会话通过,其具体实现本发明不做限定。
作为一种可选的实施方式,在本发明实施例中,当确定目标会话的访问请求不是第一次访问请求时,在判断该目标会话中是否包括魔术字信息之前,还可以包括:
31)、判断主表中包括的魔术字信息与当前的全局魔术字是否一致;
32)、若一致,则确定执行判断目标会话中包括的魔术字信息与当前的全局魔术字是否一致的步骤;
33)、否则,不对目标会话进行会话数限制。
在该实施方式中,当防火墙接收到目标会话的访问请求,且确定该目标会话中包括魔术字信息时,可以先判断当前的主表中包括的魔术字信息与当前的全局魔术字是否一致。若一致,则表明当前未发生主备表切换,或主备表切换已完成,防火墙可以进一步判断目标会话中包括的魔术字信息与当前的全局魔术字是否一致;否则,可以认为当前正在进行主备表切换,且主备表切换尚未完成(进行了全局魔术字更新,但主备表切换尚未完成),此时,防火墙可以不对该目标会话进行会话数限制。
步骤206、对目标会话进行会话数限制处理。
本发明实施例中,当防火墙确定目标会话中包括的魔术字信息与当前全局魔术字一致时,则可以认为目标会话此次访问会话数限制模块之前,第一次访问会话限制模块之后,未发生过双表切换,从而,防火墙可以对该目标会话进行会话数限制处理。
作为一种实施方式,在本发明实施例中,对目标会话进行会话数限制处理,可以包括:
当该访问请求为接收到的目标会话的第二次访问请求时,更新该目标会话中包括的命中策略对应的会话计数;
当该访问请求为接收到的目标会话的第三次访问请求时,回减目标会话中包括的命中策略对应的会话计数。
在该实施方式中,当防火墙确定目标会话的访问请求为第二次访问请求时,即该目标会话处于会话创建阶段时,防火墙可以更新该目标会话中包括的命中策略对应的会话计数。
举例来说,假设目标会话中包括的命中策略为策略A,即目标会话在第一次访问会话数限制模块时命中策略为策略A,则当目标会话第二次访问会话数限制模块,且防火墙确定未发生过双表切换时,防火墙可以将策略A对应的会话计数由N更新为N+1。
需要注意的是,在本发明实施例中,当访问请求为接收到的目标会话的第二次访问请求时,防火墙在更新该目标会话包括的命中策略对应的会话计数之前,还可以先判断该命中策略对应的会话计数是否达到预设的会话数阈值,若达到,则可以丢弃该目标会话;否则,确定更新目标会话中包括的命中策略对应的会话计数。
在该实施方式中,当防火墙确定目标会话的访问请求为该目标会话的第三次访问请求时,即该目标会话处于老化阶段时,防火墙可以回减该目标会话中包括的命中策略对应的会话计数。
举例来说,假设目标会话中包括的命中策略为策略A,即目标会话在第一次访问会话数限制模块时命中策略为策略A,则当目标会话第三次访问会话数限制模块,且防火墙确定未发生过双表切换时,防火墙可以将策略A对应的会话计数由N更新为N-1。
步骤207、不对该目标会话进行会话数限制。
本发明实施例中,当防火墙确定目标会话中包括的魔术字信息与当前的全局魔术字不一致时,即目标会话第一次访问会话数限制模块之后,此次访问会话数限制模块之前,发生了主备表切换,此时,防火墙可以不对该目标会话进行会话数限制。
通过以上描述可以看出,在本发明实施例提供的技术方案中,通过设置全局魔术字,该魔术字在发生策略更新时进行更新,且与更新后的主表中的魔术字信息一致,当接收到目标会话,且该目标会话中包括魔术字信息时,可以判断该目标会话中包括的魔术字信息与当前的全局魔术字是否一致,若一致,则对该目标会话进行会话数限制处理;否则,不对该目标会话进行会话数限制处理。由于目标会话中包括魔术字信息,且魔术字信息与当前的全局魔术字信息不一致时,可以认为此次访问请求不是该目标会话的第一次访问请求,且目标会话第一次访问请求之后,以及此次访问请求之前,发生了主备表切换,此时,不对该目标会话进行会话限制,可以避免由于从会话匹配策略集成功之后,以及会话老化之前发生过策略集更新而导致的会话计数发生错误。
与前述会话数限制方法实施例相对应,本发明还提供了会话数限制装置的实施例。
装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在设备的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言,如图3所示,为本发明实施例提供的会话数限制装置所在设备的一种硬件结构图,除了图3所示的处理器、网络接口、内存以及非易失性存储器之外,实施例中装置所在的设备通常还可以包括其他硬件,如负责处理报文的转发芯片等等;从硬件结构上来讲该设备还可能是分布式的设备,可能包括多个接口卡,以便在硬件层面进行报文处理的扩展。
请参见图4,为本发明实施例提供的一种会话数限制装置的结构示意图,其中,所述装置可以应用于可以上述方法实施例中的防火墙或防火墙中的处理器,如图4所示,该会话数限制装置可以包括:
更新单元410,用于当发生策略集更新时,将更新后的策略集更新到备表中;当策略集更新完成时,更新全局魔术字,将更新后的全局魔术字更新至所述备表中,并进行主备表切换;
判断单元420,用于当所述装置接收到目标会话的访问请求,且确定目标会话中包括魔术字信息时,判断所述目标会话中包括的魔术字信息与当前的全局魔术字是否一致;
处理单元430,用于当所述判断单元420判断为是时,对所述目标会话进行会话数限制处理;当所述判断单元420判断为否时,不对所述目标会话进行会话数限制。
在可选实施例中,所述判断单元420,还可以用于当所述装置接收到目标会话的访问请求,且确定目标会话中包括魔术字信息时,判断主表中包括的魔术字信息与当前的全局魔术字是否一致;
所述判断单元420,可以具体用于当所述主表中包括的魔术字信息与当前的全局魔术字一致时,判断所述目标会话中包括的魔术字信息与当前的全局魔术字是否一致;
所述处理单元430,还可以用于当所述主表中包括的魔术字信息与当前的全局魔术字不一致时,不对所述目标会话进行会话数限制。
请一并参见图5,为本发明实施例提供的另一种会话数限制装置的结构示意图,该实施例在前述图4所示实施例的基础上,所述装置还可以包括:查询单元440。其中:
查询单元440,用于当所述装置第一次接收到目标会话的访问请求时,根据所述目标会话查询主表中的策略集;
相应地,所述处理单元430,还用于当所述查询单元440查询到命中策略,且所述命中策略对应的会话计数未超过预设会话数阈值时,在该目标会话中记录所述命中策略,以及全局魔术字,并允许该目标会话通过。
在可选实施例中,所述处理单元430,具体用于当所述访问请求为接收到的所述目标会话的第二次访问请求时,更新所述目标会话中包括的命中策略对应的会话计数;当所述访问请求为接收到的所述目标会话的第三次访问请求时,回减所述目标会话中包括的命中策略对应的会话计数。
在可选实施例中,所述更新单元410,具体用于将所述更新后的策略集按照策略属性以及限制条件进行多维编译,并将编译结果下发到备表。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本发明方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
由上述实施例可见,通过设置全局魔术字,该魔术字在发生策略更新时进行更新,且与更新后的主表中的魔术字信息一致,当接收到目标会话,且该目标会话中包括魔术字信息时,可以判断该目标会话中包括的魔术字信息与当前的全局魔术字是否一致,若一致,则对该目标会话进行会话数限制处理;否则,不对该目标会话进行会话数限制处理。由于目标会话中包括魔术字信息,且魔术字信息与当前的全局魔术字信息不一致时,可以认为此次访问请求不是该目标会话的第一次访问请求,且目标会话第一次访问请求之后,以及此次访问请求之前,发生了主备表切换,此时,不对该目标会话进行会话限制,可以避免由于从会话匹配策略集成功之后,以及会话老化之前发生过策略集更新而导致的会话计数发生错误。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本发明的其它实施方案。本申请旨在涵盖本发明的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本发明未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本发明的真正范围和精神由下面的权利要求指出。
应当理解的是,本发明并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本发明的范围仅由所附的权利要求来限制。
Claims (10)
1.一种会话数限制方法,其特征在于,包括:
当发生策略集更新时,将更新后的策略集更新到备表中;
当策略集更新完成时,更新全局魔术字,将更新后的全局魔术字更新至所述备表中,并进行主备表切换;
当接收到目标会话的访问请求,确定目标会话中包括魔术字信息,且确定主表中包括的魔术字信息与当前的全局魔术字一致时,判断所述目标会话中包括的魔术字信息与所述当前的全局魔术字是否一致;
若一致,则对所述目标会话进行会话数限制处理;
否则,则不对所述目标会话进行会话数限制。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
当确定主表中包括的魔术字信息与当前的全局魔术字不一致时,不对所述目标会话进行会话数限制。
3.根据权利要求1或2所述的方法,其特征在于,所述方法还包括:
当第一次接收到目标会话的访问请求时,根据所述目标会话查询主表中的策略集;
若查询到命中策略,且所述命中策略对应的会话计数未超过预设会话数阈值时,则在该目标会话中记录所述命中策略,以及全局魔术字,并允许该目标会话通过。
4.根据权利要求1或2所述的方法,其特征在于,所述对所述目标会话进行会话数限制处理,包括:
当所述访问请求为接收到的所述目标会话的第二次访问请求时,更新所述目标会话中包括的命中策略对应的会话计数;
当所述访问请求为接收到的所述目标会话的第三次访问请求时,回减所述目标会话中包括的命中策略对应的会话计数。
5.根据权利要求1或2所述的方法,其特征在于,所述将更新后的策略集更新到备表中,包括:
将所述更新后的策略集按照策略属性以及限制条件进行多维编译,并将编译结果下发到备表。
6.一种会话数限制装置,其特征在于,包括:
更新单元,用于当发生策略集更新时,将更新后的策略集更新到备表中;当策略集更新完成时,更新全局魔术字,将更新后的全局魔术字更新至所述备表中,并进行主备表切换;
判断单元,用于当所述装置接收到目标会话的访问请求,确定目标会话中包括魔术字信息,且确定主表中包括的魔术字信息与当前的全局魔术字一致时,判断所述目标会话中包括的魔术字信息与所述当前的全局魔术字是否一致;
处理单元,用于当所述判断单元判断为是时,对所述目标会话进行会话数限制处理;当所述判断单元判断为否时,不对所述目标会话进行会话数限制。
7.根据权利要求6所述的装置,其特征在于,
所述处理单元,还用于当确定主表中包括的魔术字信息与当前的全局魔术字不一致时,不对所述目标会话进行会话数限制。
8.根据权利要求6或7所述的装置,其特征在于,所述装置还包括:
查询单元,用于当所述装置第一次接收到目标会话的访问请求时,根据所述目标会话查询主表中的策略集;
所述处理单元,还用于当所述查询单元查询到命中策略,且所述命中策略对应的会话计数未超过预设会话数阈值时,在该目标会话中记录所述命中策略,以及全局魔术字,并允许该目标会话通过。
9.根据权利要求6或7所述的装置,其特征在于,
所述处理单元,具体用于当所述访问请求为接收到的所述目标会话的第二次访问请求时,更新所述目标会话中包括的命中策略对应的会话计数;当所述访问请求为接收到的所述目标会话的第三次访问请求时,回减所述目标会话中包括的命中策略对应的会话计数。
10.根据权利要求6或7所述的装置,其特征在于,
所述更新单元,具体用于将所述更新后的策略集按照策略属性以及限制条件进行多维编译,并将编译结果下发到备表。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510566248.9A CN105939368B (zh) | 2015-09-08 | 2015-09-08 | 一种会话数限制方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510566248.9A CN105939368B (zh) | 2015-09-08 | 2015-09-08 | 一种会话数限制方法和装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105939368A CN105939368A (zh) | 2016-09-14 |
CN105939368B true CN105939368B (zh) | 2019-05-07 |
Family
ID=57152742
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510566248.9A Active CN105939368B (zh) | 2015-09-08 | 2015-09-08 | 一种会话数限制方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105939368B (zh) |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101083665A (zh) * | 2007-07-30 | 2007-12-05 | 杭州华三通信技术有限公司 | 限制会话数的方法及装置 |
CN101212483A (zh) * | 2006-12-31 | 2008-07-02 | 华为技术有限公司 | 一种控制用户会话个数的方法以及系统 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5214402B2 (ja) * | 2008-10-22 | 2013-06-19 | 沖電気工業株式会社 | パケット転送装置、パケット転送方法、パケット転送プログラム及び通信装置 |
-
2015
- 2015-09-08 CN CN201510566248.9A patent/CN105939368B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101212483A (zh) * | 2006-12-31 | 2008-07-02 | 华为技术有限公司 | 一种控制用户会话个数的方法以及系统 |
CN101083665A (zh) * | 2007-07-30 | 2007-12-05 | 杭州华三通信技术有限公司 | 限制会话数的方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN105939368A (zh) | 2016-09-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109343963B (zh) | 一种容器集群的应用访问方法、装置及相关设备 | |
US20190020722A1 (en) | System and Method for Using VoLTE Session Continuity Information using Logical Scalable Units | |
US10411951B2 (en) | Network policy conflict detection and resolution | |
US20160191363A1 (en) | System and method for managing VoLTE session continuity information using logical scalable units | |
US10417014B2 (en) | System service reloading method and apparatus | |
US11323453B2 (en) | Data processing method, device, access control system, and storage media | |
CN109981493B (zh) | 一种用于配置虚拟机网络的方法和装置 | |
US20070162968A1 (en) | Rule-based network address translation | |
CN108363621B (zh) | numa架构下的报文转发方法、装置、存储介质及电子设备 | |
CN106331065B (zh) | 一种用于具有服务容器的主机系统的代理应用以及系统 | |
CN108259425A (zh) | 攻击请求的确定方法、装置及服务器 | |
CN107666473B (zh) | 一种攻击检测的方法及控制器 | |
CN105939284B (zh) | 报文控制策略的匹配方法及装置 | |
CN107508836B (zh) | 一种acl规则下发的方法及装置 | |
CN110224947A (zh) | 一种多核转发系统中的报文处理方法、装置及设备 | |
CN111526225B (zh) | 会话管理方法和装置 | |
US20210084100A1 (en) | Packet Processing Method, Related Device, and Computer Storage Medium | |
CN108540387A (zh) | 网络访问控制方法和装置 | |
CN102158406B (zh) | 面向计算机网络链路的智能选路方法 | |
CN114915587B (zh) | 流表老化管理方法及相关设备 | |
CN107547400B (zh) | 一种虚拟机迁移方法和装置 | |
US11750564B2 (en) | Systems and methods for monitoring and securing networks using a shared buffer | |
CN105991442B (zh) | 报文转发方法及装置 | |
CN109413224A (zh) | 报文转发方法和装置 | |
WO2017219982A1 (zh) | 清除缓存的方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information |
Address after: Binjiang District and Hangzhou city in Zhejiang Province Road 310051 No. 68 in the 6 storey building Applicant after: Hangzhou Dipu Polytron Technologies Inc Address before: Binjiang District and Hangzhou city in Zhejiang Province Road 310051 No. 68 in the 6 storey building Applicant before: Hangzhou Dipu Technology Co., Ltd. |
|
CB02 | Change of applicant information | ||
GR01 | Patent grant | ||
GR01 | Patent grant |