WO2014075485A1

WO2014075485A1 - 网络地址转换技术的处理方法、nat设备及bng设备

Info

Publication number: WO2014075485A1
Application number: PCT/CN2013/082397
Authority: WO
Inventors: 范亮; 袁博
Original assignee: 中兴通讯股份有限公司
Priority date: 2012-11-14
Filing date: 2013-08-27
Publication date: 2014-05-22
Also published as: US9998492B2; CN103812958B; US20160285908A1; EP2922263A4; EP2922263B1; EP2922263A1; ES2738106T3; CN103812958A

Abstract

本发明提供了一种网络地址转换技术的处理方法、NAT设备及BNG设备，其中，该法包括：网络地址转换NAT设备判断用户设备的会话建立是否达到预设阀值；若是，NAT设备通知宽带网络网关BNG设备对用户设备执行安全策略，其中，安全策略用于阻止用户设备的攻击行为，并通知用户设备存在攻击行为。本发明解决了相关技术中因用户主机本身异常行为而投诉运营商的问题，同时提醒用户对自身的主机安全性进行检查，从而在提高NAT设备的利用率的同时，改善用户体验。

Description

网络地址转换技术的处理方法、 NAT设备及 BNG设备技术领域本发明涉及通信领域，具体而言，涉及一种网络地址转换技术的处理方法、 NAT 设备及 BNG设备。背景技术随着接入因特网（Internet) 的宽带上网用户数量的不断猛增，网络协议版本 4 (Internet Protocol Version 4, 简称为 IPv4) 地址资源也就愈加显得捉襟见肘，能够在 Internet上传播的公网 IPv4地址越来越稀缺，显然，越来越稀缺的公网 IPv4地址根本无法满足网络用户的需求，于是也就产生了网络地址转换（Network Address Translation, 简称为 NAT) 技术。

NAT技术是一种将私网 IPv4地址转化为公网 IPv4地址的转换技术，它被广泛应用于各种类型的 Internet接入方式和各种类型的网络中。 NAT技术可以完美地解决网络协议（Internet Protocol, 简称为 IP)地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。 NAT设备是提供 NAT转换功能的设备， NAT设备分为 2种：

( 1 )如果 NAT设备和宽带网络网关（Broadband Network Gateway,简称为 BNG) 合一，叫做融合式 NAT设备， BNG同时提供宽带接入服务和 NAT功能

(2) 如果 NAT设备仅仅提供 NAT转换功能，叫做独立式 NAT设备，此时 NAT 设备在 BNG的上游，单独提供 NAT转换而不提供宽带接入功能。用户使用 NAT功能访问 Internet的过程如下：

( 1 ) 当宽带用户上线时，用户从宽带网络网关上获取一个私网 IPv4地址；

(2)宽带用户访问 Internet, 宽带用户的 IPv4数据包的源地址是获取的私网 IPv4 地址，用户的数据包被送到 NAT设备；

(3 ) NAT设备根据一定的规则，把用户报文的源 IP和源端口转换成公网 IP地址和端口后， NAT设备生成"源 IP+源端口 "和"转换后的源 IP+源端口 "的会话对应关系，并把用户的数据报文送到 Internet, 完成 NAT正向转换； (4) Internet上返回给用户的 IP报文，在 NAT设备上根据返程报文的目的 IP和目的端口，查找前面所述的公私网地址端口会话对应关系，再把返程报文的目的地址和目的端口再转换成用户发送报文的私网源 IP和源端口，完成 NAT反向转换；

(5 ) 反向数据包最终以用户的私网 IP和端口为目的，发送到用户主机。因此，在 NAT转换过程中，根据用户访问 Internet的报文， NAT设备会生成一个

"源 IP+源端口 "和"转换后的源 IP+源端口 "的会话对应关系，我们把这个关系叫做 Session (会话），当用户每次访问一次 Internet业务（标识为一个目的 IP+目的端口）， NAT设备上就生成一条会话条目，一个会话条目记录如下内容：

1 ) 用户访问的目的 IP和目的端口； 2) 用户的私网源 IP和源端口，和用户经过 NAT转换后的公网源 IP和源端口；

3 ) 使用的协议。私网用户每次访问 Internet, 只要 IP报文的 5元组（源 IP、源端口、协议、目的 IP、目的端口）不同， NAT设备就会建立一条 Session条目，通过 Session条目的公私网的对应关系， NAT设备可以进行正向或者反向的 NAT转换，用户必须通过 NAT转换把私网地址和端口替换成公网地址和端口后才能访问 Internet。这种 Session条目的容量在 NAT设备上受硬件资源的限制，也就是一个 NAT设备支持的 Session条目数目是有限的。那么此时面临一种问题，当私网用户主机中毒时，用户主机会不断高速向 Internet发送目的 IP和目的端口变化的攻击报文，比如可以高达每秒 1000个不同的目的 IP和目的端口的组合，由于攻击报文的 5元组是不断变化并且是由合法用户主机发送，因此， NAT设备会根据攻击报文生成不同的 Session, 由于攻击报文的发送速率很高，因此攻击报文生成的 Session会占据大量的 Session会话资源，并且有可能耗尽整个 NAT设备的 Session资源，导致正常的用户不能合法访问 Internet 同样， NAT设备对新建 Session的处理能力也是有限的，当攻击用户的 Session建立速率超过了 NAT设备的处理能力，正常的用户的 Session将无法建立，同样会导致正常用户不能合法访问 Intemet。针对上述问题，现有解决方案有 3种：

1 ) 设定攻击 Session会话的老化时间，加快无效的 Session老化; 2) 限制每用户可用 Session数目，这样即使用户主机中毒，也只是耗尽该用户自身的 Session而对其他正常用户没有影响；

3 ) 限制每用户的允许新建 Session速率，从而抑制高速的攻击行为。然而，即使通过上述 3种解决方案，当发生攻击行为时，用户的 Session数目耗尽后，现有设备往往只能通过网管或系统日志告警方式通知运营商，用户的宽带拨号网络连接依然有效，用户本身并不知道自己因为中毒导致了无法访问网络，用户仍然会投诉运营商，这样会导致因为用户主机本身异常行为的投诉大规模增加。针对相关技术中上述至少之一的问题，目前尚未提出有效的解决方案。发明内容本发明实施例提供了一种网络地址转换技术的处理方法、 NAT设备及 BNG设备，以至少解决相关技术中因用户主机本身异常行为而投诉运营商的问题。根据本发明实施例的一个方面，提供了一种网络地址转换技术的处理方法，其包括：网络地址转换 NAT设备判断用户设备的会话建立是否达到预设阀值；若是，上述 NAT设备通知宽带网络网关 BNG设备对上述用户设备执行安全策略，其中，上述安全策略用于阻止上述用户设备的攻击行为，并通知上述用户设备上述用户设备存在攻击行为。优选地，上述 BNG设备对上述用户设备执行上述安全策略包括：上述 BNG设备执行强推 Web页面策略，将上述用户设备发送的 HTTP请求重定向至第一提示页面，其中，上述第一提示页面用于提醒上述用户设备的访问存在攻击行为。优选地，上述 BNG设备将上述用户设备发送的 HTTP请求重定向至第一提示页面包括：上述 BNG设备间隔预设周期将上述用户设备发送的 HTTP请求重定向至上述第一提示页面。优选地，上述第一提示页面还作用提醒上述用户设备进行病毒和 /或木马的查杀。优选地，上述 BNG 设备对上述用户设备执行上述安全策略之后，上述网络地址转换技术的处理方法还包括：上述 NAT设备通知上述 BNG设备对上述用户设备的访问行为执行强制上述用户设备下线或将上述用户设备退回至未认证状态的操作，并通知认证授权计费 AAA服务器将上述用户设备标记或设置为存在攻击行为的用户设备，其中，上述第一提示页面还用于提醒上述用户设备将被强制下线或被退回至未认证状态；上述用户设备再次请求上线和 /或请求认证，上述 AAA服务器对上述用户设备的认证通过后，上述 AAA服务器通知上述 BNG设备对上述用户设备执行强推 Web页面策略，将上述用户设备的页面访问请求重定向至第二提示页面，其中，上述第二提示页面用于提醒上述用户设备此前被强制下线或被退回至未认证状态是因为用户设备发生了攻击行为，若上述用户设备仍然存在攻击行为，将再次被强制下线或被退回至未认证状态，并提醒上述用户设备进行病毒和 /或木马的查杀。优选地，上述 NAT设备包括以下之一：与 BNG设备合设的 NAT设备；与 BNG 设备分设的 NAT设备。优选地，上述 NAT设备为与 BNG设备合设的 NAT设备的情况下，上述 NAT设备通过以下方式之一通知 BNG设备对上述用户设备执行安全策略：上述 NAT设备将上述用户设备的标识信息发送给安全策略服务器，由安全策略服务器通知上述 BNG 设备对上述用户设备执行安全策略；上述 NAT设备将上述用户设备的标识信息发送给上述 BNG设备，来通知上述 BNG设备对上述用户设备执行安全策略。优选地，在上述 NAT设备通知 BNG设备对上述用户设备执行安全策略之后，上述网络地址转换技术的处理方法还包括：上述 NAT设备判断上述用户设备的会话建立不符合上述预设阀值的情况下，或上述用户设备通过强推的 Web页面取消执行上述安全策略的情况下，上述 NAT设备通知上述 BNG设备取消对上述用户设备执行上述安全策略。优选地，上述 NAT设备为与 BNG设备合设的 NAT设备的情况下，上述 NAT设备通过以下方式之一通知 BNG设备取消对上述用户设备执行安全策略：上述 NAT设备将上述用户设备的标识信息发送给安全策略服务器，由安全策略服务器通知上述 BNG设备取消对上述用户设备执行安全策略；上述 NAT设备将上述用户设备的标识信息发送给上述 BNG设备，来通知上述 BNG设备取消对上述用户设备执行安全策略。优选地，强推的万维网（World Wide Web，简称为 Web)页面位于公网的情况下，且上述 NAT设备对上述用户设备的访问行为执行强推 Web页面操作的情况下，上述 NAT设备为上述用户设备建立的会话包括：上述用户设备与强推 Web页面的 HTTP 连接建立的会话。优选地，用于上述 NAT设备判断用户设备的会话建立是否达到预设阀值的会话包括以下至少之一：上述用户设备的传输控制协议 TCP连接建立的会话；上述用户设备的网际控制信息协议 (Internet Control Message Protocol,简称为 ICMP)连接建立的会话；上述用户设备的用户数据协议 UDP连接建立的会话。优选地，上述预设阀值包括以下至少之一：上述用户设备建立会话的总数、上述用户设备建立会话的速率。优选地，上述方法还包括：上述 NAT设备通知上述 BNG设备对上述用户设备执行安全策略时，上述 NAT设备加快上述用户设备的会话的老化。根据本发明实施例的另一方面，提供了一种 NAT设备，其包括：判断模块，设置为判断用户设备的会话建立是否达到预设阀值；第一通知模块，设置为在上述用户设备的会话建立达到上述预设阀值的情况下，通知宽带网络网关 BNG 设备对上述用户设备执行安全策略，其中，上述安全策略用于阻止上述用户设备的攻击行为，并通知上述用户设备上述用户设备存在攻击行为。优选地，上述 NAT设备还包括：第二通知模块，设置为通知上述 BNG设备对上述用户设备的访问行为执行强制上述用户设备下线或将上述用户设备退回至未认证状态的操作，并通知认证授权计费 AAA服务器将上述用户设备标记或设置为存在攻击行为的用户设备，其中，上述第一提示页面还用于提醒上述用户设备将被强制下线或被退回至未认证状态，上述用户设备再次请求上线和 /或请求认证，上述 AAA服务器对上述用户设备的认证通过后，上述 AAA服务器通知上述 BNG设备对上述用户设备执行强推 Web页面策略，将上述用户设备的页面访问请求重定向至第二提示页面，其中，上述第二提示页面用于提醒上述用户设备此前被强制下线或被退回至未认证状态是因为用户设备发生了攻击行为，若上述用户设备仍然存在攻击行为，将再次被强制下线或被退回至未认证状态，并提醒上述用户设备进行病毒和 /或木马的查杀。优选地，上述 NAT设备还包括：第三通知模块，设置为判断出上述用户设备的会话建立不符合上述预设阀值的情况下，或上述用户设备通过强推的 Web页面取消执行上述安全策略的情况下，通知上述 BNG设备取消对上述用户设备执行上述安全策略。优选地，上述 NAT设备还包括：处理模块，设置为通知上述 BNG设备对上述用户设备执行安全策略时，加快上述用户设备的会话的老化。根据本发明实施例的又一方面，提供了一种 BNG设备，其包括：第一接收模块，设置为接收 NAT设备发送的对用户设备执行安全策略的第一通知，其中，上述用户设备的会话建立达到预设阀值，上述安全策略用于阻止上述用户设备的攻击行为，并通知上述用户设备上述用户设备存在攻击行为；重定向模块，设置为对上述用户设备执行强推 Web页面策略，将上述用户设备发送的 HTTP请求重定向至第一提示页面，其中，上述第一提示页面用于提醒上述用户设备的访问存在攻击行为。优选地，上述 BNG设备还包括：第二接收模块，设置为接收 NAT设备发送的对上述用户设备的访问行为执行强制上述用户设备下线或将上述用户设备退回至未认证状态的操作的第二通知；处理模块，设置为根据上述第二通知，对上述用户设备的访问行为执行强制上述用户设备下线或将上述用户设备退回至未认证状态的操作，并通知认证授权计费 AAA服务器将所述用户设备标记或设置为存在攻击行为的用户设备，其中，所述第一提示页面还用于提醒所述用户设备将被强制下线或被退回至未认证状态，所述用户设备再次请求上线和 /或请求认证，所述 AAA服务器对所述用户设备的认证通过后，所述 AAA服务器通知所述 BNG设备对所述用户设备执行强推 Web页面策略，将所述用户设备的页面访问请求重定向至第二提示页面，其中，所述第二提示页面用于提醒所述用户设备此前被强制下线或被退回至未认证状态是因为用户设备发生了攻击行为，若所述用户设备仍然存在攻击行为，将再次被强制下线或被退回至未认证状态，并提醒所述用户设备进行病毒和 /或木马的查杀。在本发明实施例中，通过 NAT设备判断用户设备的会话建立是否达到预设阀值，该预设阀值可以是会话建立的数目或频率等，若是，上述 NAT设备通知 BNG设备对上述用户设备执行安全策略，其中，该安全策略用于阻止上述用户设备的攻击行为，并通知上述用户设备该用户设备存在攻击行为，实现了在用户设备存在攻击行为时，通过执行上述安全策略来阻止上述用户设备的攻击行为，并提醒用户设备其存在攻击行为，以提醒用户对可能存在的病毒和木马进行查杀，避免用于投诉运营商，从而在提高 NAT设备的利用率的同时，改善用户体验。附图说明此处所说明的附图用来提供对本发明实施例的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中- 图 1是根据本发明实施例的网络地址转换技术的处理方法的流程图；图 2是根据本发明实施例的网络架构示意图 1 ; 图 3是根据本发明实施例的网络架构示意图 2; 图 4是根据本发明实施例的网络架构示意图 3; 图 5是根据本发明实施例的 NAT设备的结构框图; 图 6是根据本发明实施例的 BNG设备的结构框图; 图 7是根据本发明实施例的网络示意图 1 ; 图 8是根据本发明实施例的网络地址转换技术的处理方法的流程示意图；图 9是根据本发明实施例的网络地址转换技术的处理方法的流程示意图；图 10是根据本发明实施例的网络地址转换技术的处理方法的流程示意图；图 11是根据本发明实施例的网络示意图 2; 图 12是根据本发明实施例的网络地址转换技术的处理方法的流程示意图；图 13是根据本发明实施例的网络地址转换技术的处理方法的流程示意图；图 14是根据本发明实施例的网络示意图 3; 图 15是根据本发明实施例的网络地址转换技术的处理方法的流程示意图。具体实施方式下文中将参考附图并结合实施例来详细说明本发明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。本实施例提供了一种网络地址转换技术的处理方法，如图 1所示，该网络地址转换技术的处理方法包括步骤 S102至步骤 S104。步骤 S102: 网络地址转换 NAT设备判断用户设备的会话建立是否达到预设阀值。步骤 S104: 若是， NAT设备通知宽带网络网关 BNG设备对用户设备执行安全策略，其中，安全策略用于阻止用户设备的攻击行为，并通知用户设备用户设备存在攻击行为。通过上述步骤，通过 NAT设备判断用户设备的会话建立是否达到预设阀值，该预设阀值可以是会话建立的数目或频率等，若是，上述 NAT设备通知 BNG设备对上述用户设备执行安全策略，其中，该安全策略用于阻止上述用户设备的攻击行为，并通知上述用户设备该用户设备存在攻击行为，实现了在用户设备存在攻击行为时，通过执行上述安全策略来阻止上述用户设备的攻击行为，并提醒用户设备其存在攻击行为，以提醒用户对可能存在的病毒和木马进行查杀，避免用于投诉运营商，从而在提高 NAT 设备的利用率的同时，改善用户体验。为了提高执行安全策略的便捷性，在本优选实施例中，上述 BNG 设备对上述用户设备执行上述安全策略包括：上述 BNG设备执行强推 Web页面策略，将上述用户设备发送的超文本传输协议（Hypertext Transfer Protocol, 简称为 HTTP) 请求重定向至第一提示页面，其中，上述第一提示页面用于提醒上述用户设备的访问存在攻击行为。为了提高 BNG设备的利用率，在本优选实施例中，上述 BNG设备将上述用户设备发送的 HTTP请求重定向至第一提示页面包括：上述 BNG设备间隔预设周期将上述用户设备发送的 HTTP请求重定向至上述第一提示页面。即上述 BNG设备可以截获上述用户设备的所有 HTTP请求报文，并重定向至上述第一提示页面，也可以间隔预设周期截获上述用户设备的 HTTP请求报文，并重定向至上述第一提示页面。为了让用户设备可以快速地解除攻击行为，在本优选实施例中，所述第一提示页面还作用提醒所述用户设备进行病毒和 /或木马的查杀。为了有效地阻止用户设备的攻击行为，在本优选实施例中，上述 BNG 设备对上述用户设备执行上述安全策略之后，上述网络地址转换技术的处理方法还包括：上述 NAT设备通知上述 BNG设备对上述用户设备的访问行为执行强制上述用户设备下线或将上述用户设备退回至未认证状态的操作，并通知认证授权计费（Authentication Authorization and Accounting,简称为 AAA)服务器将上述用户设备标记或设置为存在攻击行为的用户设备，其中，上述第一提示页面还用于提醒上述用户设备将被强制下线或被退回至未认证状态；上述用户设备再次请求上线和 /或请求认证，上述 AAA服务器对上述用户设备的认证通过后，上述 AAA服务器通知上述 BNG设备对上述用户设备执行强推 Web页面策略，将上述用户设备的页面访问请求重定向至第二提示页面，其中，上述第二提示页面用于提醒上述用户设备此前被强制下线或被退回至未认证状态是因为用户设备发生了攻击行为，若上述用户设备仍然存在攻击行为，将再次被强制下线或被退回至未认证状态，并提醒上述用户设备进行病毒和 /或木马的查杀。优选地，上述 NAT设备可以包括以下之一：与 BNG设备合设的 NAT设备；与

BNG设备分设的 NAT设备。优选地，上述 NAT设备为与 BNG设备合设的 NAT设备的情况下，实施上述网络地址转换技术的处理方法的网络框架可以采用如图 2 所示的网络框架，上述 NAT设备可以通过以下方式之一通知 BNG设备对上述用户设备执行安全策略：上述 NAT设备将上述用户设备的标识信息（例如，上述用户设备的转换后的公网 IP 地址和端口号段）发送给安全策略服务器，由安全策略服务器通知上述 BNG 设备对上述用户设备执行安全策略；上述 NAT设备将上述用户设备的标识信息发送给上述 BNG设备，来通知上述 BNG设备对上述用户设备执行安全策略。优选地，当上述 NAT设备为与 BNG设备分设的 NAT设备，实施上述网络地址转换技术的处理方法的网络框架可以采用如图 3或 4所示的网络框架。为了满足不同应用场景的需求，在本优选实施例中，在上述 NAT设备通知 BNG 设备对上述用户设备执行安全策略之后，上述网络地址转换技术的处理方法还包括：上述 NAT设备判断上述用户设备的会话建立不符合上述预设阀值的情况下，或上述用户设备通过强推的 Web页面取消执行上述安全策略的情况下，上述 NAT设备通知上述 BNG设备取消对上述用户设备执行上述安全策略。优选地，上述 NAT设备为与 BNG设备合设的 NAT设备的情况下，上述 NAT设备可以通过以下方式之一通知 BNG设备取消对上述用户设备执行安全策略：上述 NAT 设备将上述用户设备的标识信息发送给安全策略服务器，由安全策略服务器通知上述 BNG设备取消对上述用户设备执行安全策略；上述 NAT设备将上述用户设备的标识信息发送给上述 BNG设备，来通知上述 BNG设备取消对上述用户设备执行安全策略。优选地，上述用户设备通过强推的 Web 页面取消执行上述安全策略可以包括：

Web服务器通过安全策略服务器发送用户策略给上述 NAT设备来取消执行上述安全策略；或者上述 Web服务器通知上述 NAT设备下发用户策略来取消执行上述安全策略。优选地，强推的 Web页面位于公网的情况下，且上述 NAT设备对上述用户设备的访问行为执行强推 Web页面操作的情况下，上述 NAT设备为上述用户设备建立的会话可以包括：上述用户设备与强推 Web页面的 HTTP连接建立的会话。为了准确地确定出上述用户设备是否达到的上述预设阀值，在本优选实施例中，用于上述 NAT 设备判断用户设备的会话建立是否达到预设阀值的会话可以包括以下至少之一：上述用户设备的传输控制协议（Transfer Control Protocol, 简称为 TCP)连接建立的会话；上述用户设备的网际控制消息协议（Internet Control Message Protocol, 简称为 ICMP)接建立的会话；上述用户设备的用户数据协议（User Date Protocol, 简称为 UDP) 连接建立的会话。优选地，上述预设阀值包括以下至少之一：上述用户设备建立会话的总数、上述用户设备建立会话的速率。为了缩短用户会话的老化时间，以及时地释放会话资源，在本优选实施例中，上述方法还可以包括：上述 NAT设备通知上述 BNG设备对上述用户设备执行安全策略时，上述 NAT设备加快上述用户设备的会话的老化。优选地，为了灵活地、实时地提醒用户设备其存在攻击行为，在本优选实施例中，在执行用户安全策略的同时，上述 NAT设备可以将上述用户设备的标识信息（例如，攻击 IP) 通知策略服务器，通过策略服务器的第三方接口以其它形式通知用户设备，例如，可以通过短信通知、电话通知、各种 IM工具通知等方式。本优选实施例提供了一种 NAT设备，如图 5所示，该 NAT设备包括：判断模块 502，用于判断用户设备的会话建立是否达到预设阀值；第一通知模块 504，连接至判断模块 502，设置为在上述用户设备的会话建立达到上述预设阀值的情况下，通知宽带网络网关 BNG 设备对上述用户设备执行安全策略，其中，上述安全策略用于阻止上述用户设备的攻击行为，并通知上述用户设备上述用户设备存在攻击行为。在上述优选实施例中，通过判断模块 502判断用户设备的会话建立是否达到预设阀值，该预设阀值可以是会话建立的数目或频率等，若是，第一通知模块 504通知 BNG 设备对上述用户设备执行安全策略，其中，该安全策略用于阻止上述用户设备的攻击行为，并通知上述用户设备该用户设备存在攻击行为，实现了在用户设备存在攻击行为时，通过执行上述安全策略来阻止上述用户设备的攻击行为，并提醒用户设备其存在攻击行为，以提醒用户对可能存在的病毒和木马进行查杀，避免用于投诉运营商，从而在提高 NAT设备的利用率的同时，改善用户体验。为了有效地阻止用户设备的攻击行为，在本优选实施例中，上述 NAT设备还包括：第二通知模块，设置为通知上述 BNG 设备对上述用户设备的访问行为执行强制上述用户设备下线或将上述用户设备退回至未认证状态的操作，并通知认证授权计费 AAA 服务器将上述用户设备标记或设置为存在攻击行为的用户设备，其中，上述第一提示页面还用于提醒上述用户设备将被强制下线或被退回至未认证状态，上述用户设备再次请求上线和 /或请求认证，上述 AAA服务器对上述用户设备的认证通过后，上述 AAA 服务器通知上述 BNG设备对上述用户设备执行强推 Web页面策略，将上述用户设备的页面访问请求重定向至第二提示页面，其中，上述第二提示页面用于提醒上述用户设备此前被强制下线或被退回至未认证状态是因为用户设备发生了攻击行为，若上述用户设备仍然存在攻击行为，将再次被强制下线或被退回至未认证状态，并提醒上述用户设备进行病毒和 /或木马的查杀。优选地，上述 NAT设备为与 BNG设备合设的 NAT设备的情况下，上述第一通知模块 504包括：第一发送单元，设置为将上述用户设备的标识信息（例如，上述用户设备的转换后的公网 IP地址和端口号段）发送给安全策略服务器，由安全策略服务器通知上述 BNG设备对上述用户设备执行安全策略；和 /或第二发送单元，设置为将上述用户设备的标识信息发送给上述 BNG设备，来通知上述 BNG设备对上述用户设备执行安全策略。为了满足不同应用场景的需求，在本优选实施例中，上述 NAT设备还包括：第三通知模块，设置为判断出上述用户设备的会话建立不符合上述预设阀值的情况下，或上述用户设备通过强推的 Web页面取消执行上述安全策略的情况下，通知上述 BNG 设备取消对上述用户设备执行上述安全策略。优选地，上述 NAT设备为与 BNG设备合设的 NAT设备的情况下，上述第三通知模块包括：第三发送单元，设置为将上述用户设备的标识信息发送给安全策略服务器，由安全策略服务器通知上述 BNG 设备取消对上述用户设备执行安全策略；第四发送单元，设置为将上述用户设备的标识信息发送给上述 BNG设备，来通知上述 BNG设备取消对上述用户设备执行安全策略。为了缩短用户会话的老化时间，以及时地释放会话资源，在本优选实施例中，上述网络地址转换设备还包括：处理模块，设置为通知上述 BNG 设备对上述用户设备执行安全策略时，加快上述用户设备的会话的老化。本优选实施例提供了一种 BNG设备，如图 6所示，该 BNG设备包括：第一接收模块 602，设置为接收 NAT设备发送的对用户设备执行安全策略的第一通知，其中，所述用户设备的会话建立达到预设阀值，所述安全策略用于阻止所述用户设备的攻击行为，并通知所述用户设备所述用户设备存在攻击行为；重定向模块 604，连接至第一接收模块 602，设置为对所述用户设备执行强推 Web页面策略，将所述用户设备发送的 HTTP请求重定向至第一提示页面，其中，所述第一提示页面用于提醒所述用户设备的访问存在攻击行为。为了提高 BNG设备的利用率，在本优选实施例中，上述重定向模块 604，设置为间隔预设周期将上述用户设备发送的 HTTP请求重定向至上述第一提示页面。即上述 BNG设备可以截获上述用户设备的所有 HTTP请求报文，并重定向至上述第一提示页面，也可以间隔预设周期截获上述用户设备的 HTTP请求报文，并重定向至上述第一提示页面。为了有效地阻止用户设备的攻击行为，在本优选实施例中，上述 BNG 设备还包括：第二接收模块，设置为接收 NAT设备发送的对上述用户设备的访问行为执行强制上述用户设备下线或将上述用户设备退回至未认证状态的操作的第二通知；处理模块，连接至第二接收模块，设置为根据上述第二通知，对上述用户设备的访问行为执行强制上述用户设备下线或将上述用户设备退回至未认证状态的操作，并通知认证授权计费 AAA服务器将上述用户设备标记或设置为存在攻击行为的用户设备，其中，上述第一提示页面还用于提醒上述用户设备将被强制下线或被退回至未认证状态，上述用户设备再次请求上线和 /或请求认证，上述 AAA服务器对上述用户设备的认证通过后，上述 AAA服务器通知上述 BNG设备对上述用户设备执行强推 Web页面策略，将上述用户设备的页面访问请求重定向至第二提示页面，其中，上述第二提示页面用于提醒上述用户设备此前被强制下线或被退回至未认证状态是因为用户设备发生了攻击行为，若上述用户设备仍然存在攻击行为，将再次被强制下线或被退回至未认证状态，并提醒上述用户设备进行病毒和 /或木马的查杀。优选地，上述用户设备可以是以太网上点对点协议（Point-to-Point Protocol over ethernet,简称为 PPPoE)用户设备、以太网上网络协议 (Internet Protocol over ethernet, 简称为 IPoE) 用户设备、移动互联网的用户设备等。以下结合附图对上述各个优选实施例进行详细地描述。在本优选实施例中，以图 7所示的网络示意场景为例，上述 NAT设备为融合式 NAT设备为例，当 NAT用户 TCP攻击消耗的 Session (会话）数目达到了安全策略生效的阀值（相当于上述预设阀值），总是强推 Web页面，用户通过 Web页面来主动取消安全策略，基于该网络场景，如图 8所示，上述网络地址转换技术的处理方法的流程包括如下步骤：步骤 S802， NAT 设备预先设置安全策略阀值为用户 Session数为最大允许值的 80%；步骤 S804，用户发生 TCP攻击行为， NAT设备判断已经到了安全策略生效阀值；步骤 S806， NAT设备给用户下发强推标记，随后截获用户所有到 80端口的 TCP 连接，通过 HTTP重定向标记，将用户所有的 HTTP访问请求重定向到运营商的 Web 提示页面（相当于第一提示页面）提醒用户对可能存在病毒和木马进行查杀； NAT设备同时动态加快用户的无效 Session的老化时间；步骤 S808，用户终端查杀病毒及木马后，用户在运营商 Web页面上要求取消安全策略；步骤 S810，运营商的 Web服务器告知策略服务器，要求通知 NAT设备取消安全策略；步骤 S812，策略服务器通知 NAT设备取消安全策略；步骤 S814，用户可以通过 NAT设备访问网络。

在本优选实施例中，以图 7所示的网络示意场景为例，上述 NAT设备为融合式 NAT设备为例，当 NAT用户 UDP攻击消耗的 Session达到了安全策略生效的阀值（相当于上述预设阀值）时，周期性强推 Web页面，当用户的攻击行为消失后 NAT设备主动取消安全策略，基于该网络场景，如图 9所示，上述网络地址转换技术的处理方法的流程包括如下步骤：步骤 S902， NAT设备预先设置安全策略阀值为用户 Session新建速率达到最大允许值的 80%; 步骤 S904，用户发生流量型操作系统攻击（UDP FLOOD)攻击行为， NAT设备判断已经到了安全策略生效阀值；步骤 S906， NAT设备给用户设置强推标记，随后截获用户到 80端口的 TCP连接，通过 HTTP重定向标记，定期将用户的 HTTP访问请求重定向到运营商的 Web提示页面。用户部分访问网页的 HTTP请求定期被重定向到运营商的 Web提示页面，提醒用户对可能存在病毒和木马进行查杀；步骤 S908，用户终端查杀病毒及木马后，用户的 UDP FLOOD攻击行为消失；步骤 S910， NAT设备判断用户的新建 Session速率低于阀值， NAT设备取消用户的安全策略；步骤 S912，用户可以通过 NAT设备访问网络。在本优选实施例中，以图 7所示的网络示意场景为例，上述 NAT设备为融合式

NAT设备为例，当 NAT用户 TCP攻击消耗的 Session数目达到了安全策略生效的阀值 (相当于上述预设阀值），强推 Web页面并强制用户下线，如图 10所示，上述网络地址转换技术的处理方法的流程包括如下步骤：步骤 S1002， NAT设备预先设置安全策略阀值为用户 Session数为最大允许值的 80%；步骤 S1004,用户发生 TCP攻击行为， NAT设备判断已经到了安全策略生效阀值；步骤 S1006， NAT设备强制用户下线或退回未认证状态，通知认证服务器下线原因为 NAT Session攻击；可选的， NAT设备在强制用户下线或退回未认证状态前，强推 Web页面提示用户即将下线或退回未认证状态，提醒用户对可能的病毒或木马进行查杀后重新上线或发起认证。步骤 S1008, 用户再次拨号上线或发起认证请求，认证成功后重新上线；步骤 S1010, AAA服务器通知 NAT设备将用户的 HTTP请求重定向到运营商的第二 Web提示页面（相当于第二提示页面）；步骤 S1012，NAT设备将用户的 HTTP请求重定向到运营商的第二 Web提示页面，提醒用户前次下线原因并提醒用户对可能存在病毒和木马进行查杀；步骤 S1014,第二 Web提示页面只强推一次，强推后用户可以通过 NAT设备访问网络。若用户未查杀病毒及木马或查杀不彻底，导致攻击行为仍旧发生，当用户 Session 数再次到达安全策略生效阀值，用户再次被强制下线。若用户成功进行了病毒及木马的查杀，攻击行为不再发生，则用户可以持续通过

NAT设备访问网络。在本优选实施例中，以图 11所示的网络示意场景为例，上述 NAT设备为独立 NAT 设备或地址族转换路由器（Address Family Transition Router,简称为 AFTR)为例， NAT 用户 TCP攻击消耗的 Session数目达到了安全策略生效的阀值 (相当于上述预设阀值），通过策略服务器通知 BNG执行用户安全策略，如图 12所示，上述网络地址转换技术的处理方法的流程包括如下步骤：步骤 S1202， NAT设备预先设置安全策略阀值为用户 Session数为最大允许值的 80%；步骤 S1204,用户发生 TCP攻击行为， NAT设备判断已经到了安全策略生效阀值；步骤 S1206， NAT设备将用户 IP通知给策略服务器；步骤 S1208, 策略服务器通知 BNG执行用户安全策略；步骤 S1210， BNG执行用户安全策略，通过重定向用户的 HTTP请求告知用户，提醒用户对可能存在病毒和木马进行查杀；步骤 S1212, 用户终端查杀病毒及木马后，用户的 UDP FLOOD攻击行为消失。 NAT设备判断用户攻击行为消失，将用户 IP通知给策略服务器；步骤 S1214, 策略服务器通知 BNG取消安全策略；步骤 S1216, 用户可以通过 NAT设备访问网络。在本优选实施例中，以图 11所示的网络示意场景为例，上述 NAT设备为独立 NAT 设备或 AFTR为例， NAT用户 TCP攻击消耗的 Session数目达到了安全策略生效的阀值（相当于上述预设阀值），通知 BNG执行用户安全策略，如图 13所示，上述网络地址转换技术的处理方法的流程包括如下步骤：步骤 S1302，NAT设备预先设置安全策略阀值为用户 Session新建速率达到最大允许值的 80% 步骤 S1304,用户发生 TCP攻击行为， NAT设备判断已经到了安全策略生效阀值；步骤 S1306， NAT设备将用户 IP发送给 BNG，通知 BNG执行用户安全策略；步骤 S1308， BNG执行用户安全策略，通过重定向用户的 HTTP请求告知用户，提醒用户对可能存在病毒和木马进行查杀；步骤 S1310, 用户终端查杀病毒及木马后，用户的 UDP FLOOD攻击行为消失。 NAT设备判断用户攻击行为消失，将用户 IP发送给 BNG，通知 BNG取消安全策略；步骤 S1312, 用户可以通过 NAT设备访问网络。在本优选实施例中，以图 14所示的网络示意场景为例，上述 NAT设备为独立 NAT 设备或 NAT与 AC融合设备为例， NAT用户 TCP攻击消耗的 Session数目达到了安全策略生效的阀值（相当于上述预设阀值），通过策略服务器通知 BNG执行用户安全策略，如图 15所示，上述网络地址转换技术的处理方法的流程包括如下步骤：步骤 S1502， NAT设备预先设置安全策略阀值为用户 Session数为最大允许值的

80%； NAT设备为用户的私网地址分配用户地址翻译的公网地址和端口号段；步骤 S1504,用户发生 TCP攻击行为， NAT设备判断已经到了安全策略生效阀值；步骤 S1506， NAT设备将用户地址翻译后的公网 IP地址和端口号段通知给策略服务器；步骤 S1508, 策略服务器将用户的地址翻译后的公网 IP 地址和端口号段发送给

BNG, 通知 BNG执行用户安全策略；步骤 S1510， BNG执行用户安全策略，通过重定向用户的 HTTP请求告知用户，提醒用户对可能存在病毒和木马进行查杀；步骤 S1512, 用户终端查杀病毒及木马后，用户的 UDP FLOOD攻击行为消失。 NAT设备判断用户攻击行为消失，将用户 IP通知给策略服务器；步骤 S1514, 策略服务器通知 BNG取消安全策略；步骤 S1516, 用户可以通过 NAT设备和 BNG访问网络。从以上的描述中，可以看出，上述优选实施例实现了如下技术效果：通过 NAT设备判断用户设备的会话建立是否达到预设阀值，该预设阀值可以是会话建立的数目或频率等，若是，上述 NAT设备通知 BNG设备对上述用户设备执行安全策略，其中，该安全策略用于阻止上述用户设备的攻击行为，并通知上述用户设备该用户设备存在攻击行为，实现了在用户设备存在攻击行为时，通过执行上述安全策略来阻止上述用户设备的攻击行为，并提醒用户设备其存在攻击行为，以提醒用户对可能存在的病毒和木马进行查杀，避免用于投诉运营商，从而在提高 NAT设备的利用率的同时，改善用户体验。显然，本领域的技术人员应该明白，上述的本发明实施例的各模块或各步骤可以用通用的计算装置来实现，它们可以集中在单个的计算装置上，或者分布在多个计算装置所组成的网络上，优选地，它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在存储装置中由计算装置来执行，并且在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本发明实施例不限制于任何特定的硬件和软件结合。以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。工业实用性本发明实施例提供的技术方案可以应用于网络地址转换领域，解决了因用户主机本身异常行为而投诉运营商的问题，实现了在用户设备存在攻击行为时，通过执行上述安全策略来阻止上述用户设备的攻击行为，并提醒用户设备其存在攻击行为，以提醒用户对可能存在的病毒和木马进行查杀，避免用于投诉运营商，从而使 NAT设备的利用率得到提高。

Claims

权利要求书

1. 一种网络地址转换技术的处理方法，包括：

网络地址转换 NAT设备判断用户设备的会话建立是否达到预设阀值；若是，所述 NAT设备通知宽带网络网关 BNG设备对所述用户设备执行安全策略，其中，所述安全策略用于阻止所述用户设备的攻击行为，并通知所述用户设备所述用户设备存在攻击行为。

2. 根据权利要求 1所述的方法，其中，所述 BNG设备对所述用户设备执行所述安全策略包括：

所述 BNG设备执行强推 Web页面策略，将所述用户设备发送的 HTTP请求重定向至第一提示页面，其中，所述第一提示页面用于提醒所述用户设备的访问存在攻击行为。

3. 根据权利要求 2所述的方法，其中，所述 BNG设备将所述用户设备发送的 HTTP 请求重定向至第一提示页面包括：

所述 BNG设备间隔预设周期将所述用户设备发送的 HTTP请求重定向至所述第一提示页面。

4. 根据权利要求 2所述的方法，其中，所述第一提示页面还作用提醒所述用户设备进行病毒和 /或木马的查杀。

5. 根据权利要求 2至 4中任一项所述的方法，其中，所述 BNG设备对所述用户设备执行所述安全策略之后，还包括：

所述 NAT设备通知所述 BNG设备对所述用户设备的访问行为执行强制所述用户设备下线或将所述用户设备退回至未认证状态的操作，并通知认证授权计费 AAA服务器将所述用户设备标记或设置为存在攻击行为的用户设备，其中，所述第一提示页面还用于提醒所述用户设备将被强制下线或被退回至未认证状态；

所述用户设备再次请求上线和 /或请求认证，所述 AAA服务器对所述用户设备的认证通过后，所述 AAA服务器通知所述 BNG设备对所述用户设备执行强推 Web页面策略，将所述用户设备的页面访问请求重定向至第二提示页面，其中，所述第二提示页面用于提醒所述用户设备此前被强制下线或被退回至未认证状态是因为用户设备发生了攻击行为，若所述用户设备仍然存在攻击行为，将再次被强制下线或被退回至未认证状态，并提醒所述用户设备进行病毒和 / 或木马的查杀。根据权利要求 1至 4中任一项所述的方法，其中，所述 NAT设备包括以下之一：与 BNG设备合设的 NAT设备；

与 BNG设备分设的 NAT设备。根据权利要求 6所述的方法，其中，所述 NAT设备为与 BNG设备合设的 NAT 设备的情况下，所述 NAT设备通过以下方式之一通知 BNG设备对所述用户设备执行安全策略：

所述 NAT设备将所述用户设备的标识信息发送给安全策略服务器，由安全策略服务器通知所述 BNG设备对所述用户设备执行安全策略；

所述 NAT设备将所述用户设备的标识信息发送给所述 BNG设备，来通知所述 BNG设备对所述用户设备执行安全策略。根据权利要求 2至 7中任一项所述的方法，其中，在所述 NAT设备通知 BNG 设备对所述用户设备执行安全策略之后，还包括：

所述 NAT 设备判断所述用户设备的会话建立不符合所述预设阀值的情况下，或所述用户设备通过强推的 Web页面取消执行所述安全策略的情况下，所述 NAT设备通知所述 BNG设备取消对所述用户设备执行所述安全策略。根据权利要求 8所述的方法，其中，所述 NAT设备为与 BNG设备合设的 NAT 设备的情况下，所述 NAT设备通过以下方式之一通知 BNG设备取消对所述用户设备执行安全策略：

所述 NAT设备将所述用户设备的标识信息发送给安全策略服务器，由安全策略服务器通知所述 BNG设备取消对所述用户设备执行安全策略；

所述 NAT设备将所述用户设备的标识信息发送给所述 BNG设备，来通知所述 BNG设备取消对所述用户设备执行安全策略。根据权利要求 1至 7中任一项所述的方法，其中，强推的 Web页面位于公网的情况下，且所述 NAT设备对所述用户设备的访问行为执行强推 Web页面操作的情况下，所述 NAT设备为所述用户设备建立的会话包括：所述用户设备与强推 Web页面的 HTTP连接建立的会话。

11. 根据权利要求 1至 7中任一项所述的方法，其中，用于所述 NAT设备判断用户设备的会话建立是否达到预设阀值的会话包括以下至少之一- 所述用户设备的传输控制协议 TCP连接建立的会话；

所述用户设备的网际控制信息协议 ICMP连接建立的会话；

所述用户设备的用户数据协议 UDP连接建立的会话。

12. 根据权利要求 1至 7中任一项所述的方法，其中，所述预设阀值包括以下至少之一：

所述用户设备建立会话的总数、所述用户设备建立会话的速率。

13. 根据权利要求 1至 7中任一项所述的方法，其中，所述方法还包括：

所述 NAT设备通知所述 BNG设备对所述用户设备执行安全策略时，所述 NAT设备加快所述用户设备的会话的老化。

14. 一种网络地址转换 NAT设备，包括：判断模块，设置为判断用户设备的会话建立是否达到预设阀值；第一通知模块，设置为在所述用户设备的会话建立达到所述预设阀值的情况下，通知宽带网络网关 BNG设备对所述用户设备执行安全策略，其中，所述安全策略用于阻止所述用户设备的攻击行为，并通知所述用户设备所述用户设备存在攻击行为。

15. 根据权利要求 14所述的 NAT设备，其中，还包括：

第二通知模块，设置为通知所述 BNG设备对所述用户设备的访问行为执行强制所述用户设备下线或将所述用户设备退回至未认证状态的操作，并通知认证授权计费 AAA服务器将所述用户设备标记或设置为存在攻击行为的用户设备，其中，所述第一提示页面还用于提醒所述用户设备将被强制下线或被退回至未认证状态，所述用户设备再次请求上线和 /或请求认证，所述 AAA服务器对所述用户设备的认证通过后，所述 AAA服务器通知所述 BNG设备对所述用户设备执行强推 Web页面策略，将所述用户设备的页面访问请求重定向至第二提示页面，其中，所述第二提示页面用于提醒所述用户设备此前被强制下线或被退回至未认证状态是因为用户设备发生了攻击行为，若所述用户设备仍然存在攻击行为，将再次被强制下线或被退回至未认证状态，并提醒所述用户设备进行病毒和 /或木马的查杀。

16. 根据权利要求 14或 15中任一项所述的 NAT设备，其中，还包括

第三通知模块，设置为判断出所述用户设备的会话建立不符合所述预设阀值的情况下，或所述用户设备通过强推的 Web页面取消执行所述安全策略的情况下，通知所述 BNG设备取消对所述用户设备执行所述安全策略。

17. 根据权利要求 14或 15中任一项所述的 NAT设备，其中，还包括：

处理模块，设置为通知所述 BNG设备对所述用户设备执行安全策略时，加快所述用户设备的会话的老化。

18. 一种宽带网络网关 BNG设备，包括：

第一接收模块，设置为接收 NAT设备发送的对用户设备执行安全策略的第一通知，其中，所述用户设备的会话建立达到预设阀值，所述安全策略用于阻止所述用户设备的攻击行为，并通知所述用户设备所述用户设备存在攻击行为；重定向模块，设置为对所述用户设备执行强推 Web页面策略，将所述用户设备发送的 HTTP请求重定向至第一提示页面，其中，所述第一提示页面用于提醒所述用户设备的访问存在攻击行为。

19. 根据权利要求 18所述的 BNG设备，其中，还包括：

第二接收模块，设置为接收 NAT设备发送的对所述用户设备的访问行为执行强制所述用户设备下线或将所述用户设备退回至未认证状态的操作的第二通知；

处理模块，设置为根据所述第二通知，对所述用户设备的访问行为执行强制所述用户设备下线或将所述用户设备退回至未认证状态的操作，并通知认证授权计费 AAA服务器将所述用户设备标记或设置为存在攻击行为的用户设备，其中，所述第一提示页面还用于提醒所述用户设备将被强制下线或被退回至未认证状态，所述用户设备再次请求上线和 /或请求认证，所述 AAA服务器对所述用户设备的认证通过后，所述 AAA服务器通知所述 BNG设备对所述用户设备执行强推 Web页面策略，将所述用户设备的页面访问请求重定向至第二提示页面，其中，所述第二提示页面用于提醒所述用户设备此前被强制下线或被退回至未认证状态是因为用户设备发生了攻击行为，若所述用户设备仍然存在攻击行为，将再次被强制下线或被退回至未认证状态，并提醒所述用户设备进行病毒和 /或木马的查杀。