網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)的處理方法���、nat設(shè)備及bng設(shè)備的制作方法
【專利摘要】本發(fā)明提供了一種網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)的處理方法�、NAT設(shè)備及BNG設(shè)備���,其中�,該法包括:網(wǎng)絡(luò)地址轉(zhuǎn)換NAT設(shè)備判斷用戶設(shè)備的會話建立是否達到預(yù)設(shè)閥值��;若是,NAT設(shè)備通知寬帶網(wǎng)絡(luò)網(wǎng)關(guān)BNG設(shè)備對用戶設(shè)備執(zhí)行安全策略�����,其中�,安全策略用于阻止用戶設(shè)備的攻擊行為,并通知用戶設(shè)備存在攻擊行為�����。本發(fā)明解決了相關(guān)技術(shù)中因用戶主機本身異常行為而投訴運營商的問題��,同時提醒用戶對自身的主機安全性進行檢查,從而在提高NAT設(shè)備的利用率的同時����,改善用戶體驗�����。
【專利說明】網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)的處理方法�、NAT設(shè)備及BNG設(shè)備
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及通信領(lǐng)域�����,具體而言�,涉及一種網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)的處理方法、NAT設(shè)備及BNG設(shè)備���。
【背景技術(shù)】
[0002]隨著接入Internet的寬帶上網(wǎng)用戶數(shù)量的不斷猛增�����,IPv4地址資源也就愈加顯得捉襟見肘,能夠在Internet上傳播的公網(wǎng)IPv4地址越來越稀缺���,顯然���,越來越稀缺的公網(wǎng)IPv4地址根本無法滿足網(wǎng)絡(luò)用戶的需求�����,于是也就產(chǎn)生了網(wǎng)絡(luò)地址轉(zhuǎn)換(NetworkAddress Translation,簡稱為 NAT)技術(shù)�。
[0003]NAT技術(shù)是一種將私網(wǎng)IPv4地址轉(zhuǎn)化為公網(wǎng)IPv4地址的轉(zhuǎn)換技術(shù),它被廣泛應(yīng)用于各種類型的Internet接入方式和各種類型的網(wǎng)絡(luò)中����。NAT技術(shù)可以完美地解決IP地址不足的問題,而且還能夠有效地避免來自網(wǎng)絡(luò)外部的攻擊���,隱藏并保護網(wǎng)絡(luò)內(nèi)部的計算機�����。
[0004]NAT設(shè)備是提供NAT轉(zhuǎn)換功能的設(shè)備��,NAT設(shè)備分為2種:
[0005](I)如果NAT設(shè)備和寬帶網(wǎng)絡(luò)網(wǎng)關(guān)(Broadband Network Gateway,簡稱為BNG)合一����,叫做融合式NAT設(shè)備�,BNG同時提供寬帶接入服務(wù)和NAT功能
[0006](2)如果NAT設(shè)備僅僅提供NAT轉(zhuǎn)換功能,叫做獨立式NAT設(shè)備��,此時NAT設(shè)備在BNG的上游�,單獨提供NAT轉(zhuǎn)換而不提供寬帶接入功能�����。
[0007]用戶使用NAT功能訪問Internet的過程如下:
[0008](I)當(dāng)寬帶用戶上線時�����,用戶從寬帶網(wǎng)絡(luò)網(wǎng)關(guān)上獲取一個私網(wǎng)IPv4地址;
[0009](2)寬帶用戶訪問Internet,寬帶用戶的IPv4數(shù)據(jù)包的源地址是獲取的私網(wǎng)IPv4地址��,用戶的數(shù)據(jù)包被送到NAT設(shè)備;
[0010](3)NAT設(shè)備根據(jù)一定的規(guī)則,把用戶報文的源IP和源端口轉(zhuǎn)換成公網(wǎng)IP地址和端口后,NAT設(shè)備生成“源IP+源端口 ”和“轉(zhuǎn)換后的源IP+源端口 ”的會話對應(yīng)關(guān)系���,并把用戶的數(shù)據(jù)報文送到Internet���,完成NAT正向轉(zhuǎn)換����;
[0011](4) Internet上返回給用戶的IP報文,在NAT設(shè)備上根據(jù)返程報文的目的IP和目的端口����,查找前面所述的公私網(wǎng)地址端口會話對應(yīng)關(guān)系,再把返程報文的目的地址和目的端口再轉(zhuǎn)換成用戶發(fā)送報文的私網(wǎng)源IP和源端口���,完成NAT反向轉(zhuǎn)換�����;
[0012](5)反向數(shù)據(jù)包最終以用戶的私網(wǎng)IP和端口為目的�,發(fā)送到用戶主機�����。
[0013]因此�����,在NAT轉(zhuǎn)換過程中���,根據(jù)用戶訪問Internet的報文����,NAT設(shè)備會生成一個“源IP+源端口 ”和“轉(zhuǎn)換后的源IP+源端口 ”的會話對應(yīng)關(guān)系�,我們把這個關(guān)系叫做Session(會話),當(dāng)用戶每次訪問一次Internet業(yè)務(wù)(標(biāo)識為一個目的IP+目的端口)�,NAT設(shè)備上就生成一條會話條目,一個會話條目記錄如下內(nèi)容:
[0014]I)用戶訪問的目的IP和目的端口 ���;
[0015]2)用戶的私網(wǎng)源IP和源端口�����,和用戶經(jīng)過NAT轉(zhuǎn)換后的公網(wǎng)源IP和源端口 ����;
[0016]3)使用的協(xié)議����。
[0017]私網(wǎng)用戶每次訪問Internet,只要IP報文的5元組(源IP�����、源端口、協(xié)議�、目的IP、目的端口)不同�,NAT設(shè)備就會建立一條Session條目,通過Session條目的公私網(wǎng)的對應(yīng)關(guān)系��,NAT設(shè)備可以進行正向或者反向的NAT轉(zhuǎn)換��,用戶必須通過NAT轉(zhuǎn)換把私網(wǎng)地址和端口替換成公網(wǎng)地址和端口后才能訪問Internet�����。
[0018]這種Session條目的容量在NAT設(shè)備上受硬件資源的限制�,也就是一個NAT設(shè)備支持的Session條目數(shù)目是有限的�。那么此時面臨一種問題,當(dāng)私網(wǎng)用戶主機中毒時���,用戶主機會不斷高速向Internet發(fā)送目的IP和目的端口變化的攻擊報文����,比如可以高達每秒1000個不同的目的IP和目的端口的組合���,由于攻擊報文的5元組是不斷變化并且是由合法用戶主機發(fā)送����,因此,NAT設(shè)備會根據(jù)攻擊報文生成不同的Session�,由于攻擊報文的發(fā)送速率很高,因此攻擊報文生成的Session會占據(jù)大量的Session會話資源����,并且有可能耗盡整個NAT設(shè)備的Session資源,導(dǎo)致正常的用戶不能合法訪問Internet。
[0019]同樣,NAT設(shè)備對新建Session的處理能力也是有限的���,當(dāng)攻擊用戶的Session建立速率超過了 NAT設(shè)備的處理能力��,正常的用戶的Session將無法建立��,同樣會導(dǎo)致正常用戶不能合法訪問Internet�。
[0020]針對上述問題�����,現(xiàn)有解決方案有3種:
[0021]I)設(shè)定攻擊Session會話的老化時間�,加快無效的Session老化;
[0022]2)限制每用戶可用Session數(shù)目����,這樣即使用戶主機中毒��,也只是耗盡該用戶自身的Session而對其他正常用戶沒有影響���;
[0023]3)限制每用戶的允許新建Session速率,從而抑制高速的攻擊行為�。
[0024]然而,即使通過上述3種解決方案�����,當(dāng)發(fā)生攻擊行為時���,用戶的Session數(shù)目耗盡后��,現(xiàn)有設(shè)備往往只能通過網(wǎng)管或系統(tǒng)日志告警方式通知運營商�,用戶的寬帶撥號網(wǎng)絡(luò)連接依然有效�����,用戶本身并不知道自己因為中毒導(dǎo)致了無法訪問網(wǎng)絡(luò)���,用戶仍然會投訴運營商,這樣會導(dǎo)致因為用戶主機本身異常行為的投訴大規(guī)模增加。
[0025]針對相關(guān)技術(shù)中上述至少之一的問題����,目前尚未提出有效的解決方案。
【發(fā)明內(nèi)容】
[0026]本發(fā)明提供了一種網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)的處理方法�����、NAT設(shè)備及BNG設(shè)備��,以至少解決相關(guān)技術(shù)中因用戶主機本身異常行為而投訴運營商的問題��。
[0027]根據(jù)本發(fā)明的一個方面����,提供了一種網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)的處理方法,其包括:網(wǎng)絡(luò)地址轉(zhuǎn)換NAT設(shè)備判斷用戶設(shè)備的會話建立是否達到預(yù)設(shè)閥值���;若是�,上述NAT設(shè)備通知寬帶網(wǎng)絡(luò)網(wǎng)關(guān)BNG設(shè)備對上述用戶設(shè)備執(zhí)行安全策略��,其中���,上述安全策略用于阻止上述用戶設(shè)備的攻擊行為�����,并通知上述用戶設(shè)備上述用戶設(shè)備存在攻擊行為��。
[0028]優(yōu)選地,上述BNG設(shè)備對上述用戶設(shè)備執(zhí)行上述安全策略包括:上述BNG設(shè)備執(zhí)行強推Web頁面策略���,將上述用戶設(shè)備發(fā)送的HTTP請求重定向至第一提示頁面��,其中����,上述第一提示頁面用于提醒上述用戶設(shè)備的訪問存在攻擊行為�。
[0029]優(yōu)選地,上述BNG設(shè)備將上述用戶設(shè)備發(fā)送的HTTP請求重定向至第一提示頁面包括:上述BNG設(shè)備間隔預(yù)設(shè)周期將上述用戶設(shè)備發(fā)送的HTTP請求重定向至上述第一提示頁面��。
[0030]優(yōu)選地�����,上述第一提示頁面還作用提醒上述用戶設(shè)備進行病毒和/或木馬的查殺���。[0031]優(yōu)選地,上述BNG設(shè)備對上述用戶設(shè)備執(zhí)行上述安全策略之后��,上述網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)的處理方法還包括:上述NAT設(shè)備通知上述BNG設(shè)備對上述用戶設(shè)備的訪問行為執(zhí)行強制上述用戶設(shè)備下線或?qū)⑸鲜鲇脩粼O(shè)備退回至未認證狀態(tài)的操作,并通知認證授權(quán)計費AAA服務(wù)器將上述用戶設(shè)備標(biāo)記或設(shè)置為存在攻擊行為的用戶設(shè)備��,其中�,上述第一提示頁面還用于提醒上述用戶設(shè)備將被強制下線或被退回至未認證狀態(tài);上述用戶設(shè)備再次請求上線和/或請求認證��,上述AAA服務(wù)器對上述用戶設(shè)備的認證通過后��,上述AAA服務(wù)器通知上述BNG設(shè)備對上述用戶設(shè)備執(zhí)行強推Web頁面策略���,將上述用戶設(shè)備的頁面訪問請求重定向至第二提示頁面�����,其中,上述第二提示頁面用于提醒上述用戶設(shè)備此前被強制下線或被退回至未認證狀態(tài)是因為用戶設(shè)備發(fā)生了攻擊行為���,若上述用戶設(shè)備仍然存在攻擊行為���,將再次被強制下線或被退回至未認證狀態(tài),并提醒上述用戶設(shè)備進行病毒和/或木馬的查殺�����。
[0032]優(yōu)選地,上述NAT設(shè)備包括以下之一:與BNG設(shè)備合設(shè)的NAT設(shè)備���;與BNG設(shè)備分設(shè)的NAT設(shè)備��。
[0033]優(yōu)選地�,上述NAT設(shè)備為與BNG設(shè)備合設(shè)的NAT設(shè)備的情況下��,上述NAT設(shè)備通過以下方式之一通知BNG設(shè)備對上述用戶設(shè)備執(zhí)行安全策略:上述NAT設(shè)備將上述用戶設(shè)備的標(biāo)識信息發(fā)送給安全策略服務(wù)器���,由安全策略服務(wù)器通知上述BNG設(shè)備對上述用戶設(shè)備執(zhí)行安全策略�;上述NAT設(shè)備將上述用戶設(shè)備的標(biāo)識信息發(fā)送給上述BNG設(shè)備��,來通知上述BNG設(shè)備對上述用戶設(shè)備執(zhí)行安全策略����。
[0034]優(yōu)選地,在上述NAT設(shè)備通知BNG設(shè)備對上述用戶設(shè)備執(zhí)行安全策略之后����,上述網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)的處理方法還包括:上述NAT設(shè)備判斷上述用戶設(shè)備的會話建立不符合上述預(yù)設(shè)閥值的情況下,或上述用戶設(shè)備通過強推的Web頁面取消執(zhí)行上述安全策略的情況下����,上述NAT設(shè)備通知上述BNG設(shè)備取消對上述用戶設(shè)備執(zhí)行上述安全策略�。
[0035]優(yōu)選地�����,上述NAT設(shè)備為與BNG設(shè)備合設(shè)的NAT設(shè)備的情況下�����,上述NAT設(shè)備通過以下方式之一通知BNG設(shè)備取消對上述用戶設(shè)備執(zhí)行安全策略:上述NAT設(shè)備將上述用戶設(shè)備的標(biāo)識信息發(fā)送給安全策略服務(wù)器�����,由安全策略服務(wù)器通知上述BNG設(shè)備取消對上述用戶設(shè)備執(zhí)行安全策略�����;上述NAT設(shè)備將上述用戶設(shè)備的標(biāo)識信息發(fā)送給上述BNG設(shè)備�,來通知上述BNG設(shè)備取消對上述用戶設(shè)備執(zhí)行安全策略���。
[0036]優(yōu)選地���,強推的Web頁面位于公網(wǎng)的情況下,且上述NAT設(shè)備對上述用戶設(shè)備的訪問行為執(zhí)行強推Web頁面操作的情況下����,上述NAT設(shè)備為上述用戶設(shè)備建立的會話包括:上述用戶設(shè)備與強推Web頁面的HTTP連接建立的會話�。
[0037]優(yōu)選地�����,用于上述NAT設(shè)備判斷用戶設(shè)備的會話建立是否達到預(yù)設(shè)閥值的會話包括以下至少之一:上述用戶設(shè)備的傳輸控制協(xié)議TCP連接建立的會話��;上述用戶設(shè)備的網(wǎng)際控制信息協(xié)議ICMP連接建立的會話�����;上述用戶設(shè)備的用戶數(shù)據(jù)協(xié)議m)P連接建立的會話���。
[0038]優(yōu)選地,上述預(yù)設(shè)閥值包括以下至少之一:上述用戶設(shè)備建立會話的總數(shù)����、上述用戶設(shè)備建立會話的速率。
[0039]優(yōu)選地����,上述方法還包括:上述NAT設(shè)備通知上述BNG設(shè)備對上述用戶設(shè)備執(zhí)行安全策略時,上述NAT設(shè)備加快上述用戶設(shè)備的會話的老化。
[0040]根據(jù)本發(fā)明的另一方面�,提供了一種NAT設(shè)備,其包括:判斷模塊���,用于判斷用戶設(shè)備的會話建立是否達到預(yù)設(shè)閥值����;第一通知模塊��,用于在上述用戶設(shè)備的會話建立達到上述預(yù)設(shè)閥值的情況下��,通知寬帶網(wǎng)絡(luò)網(wǎng)關(guān)BNG設(shè)備對上述用戶設(shè)備執(zhí)行安全策略��,其中,上述安全策略用于阻止上述用戶設(shè)備的攻擊行為���,并通知上述用戶設(shè)備上述用戶設(shè)備存在攻擊行為。
[0041]優(yōu)選地��,上述NAT設(shè)備還包括:第二通知模塊���,用于通知上述BNG設(shè)備對上述用戶設(shè)備的訪問行為執(zhí)行強制上述用戶設(shè)備下線或?qū)⑸鲜鲇脩粼O(shè)備退回至未認證狀態(tài)的操作�����,并通知認證授權(quán)計費AAA服務(wù)器將上述用戶設(shè)備標(biāo)記或設(shè)置為存在攻擊行為的用戶設(shè)備���,其中�,上述第一提示頁面還用于提醒上述用戶設(shè)備將被強制下線或被退回至未認證狀態(tài)��,上述用戶設(shè)備再次請求上線和/或請求認證�����,上述AAA服務(wù)器對上述用戶設(shè)備的認證通過后��,上述AAA服務(wù)器通知上述BNG設(shè)備對上述用戶設(shè)備執(zhí)行強推Web頁面策略���,將上述用戶設(shè)備的頁面訪問請求重定向至第二提示頁面�,其中��,上述第二提示頁面用于提醒上述用戶設(shè)備此前被強制下線或被退回至未認證狀態(tài)是因為用戶設(shè)備發(fā)生了攻擊行為�����,若上述用戶設(shè)備仍然存在攻擊行為����,將再次被強制下線或被退回至未認證狀態(tài),并提醒上述用戶設(shè)備進行病毒和/或木馬的查殺��。
[0042]優(yōu)選地�����,上述NAT設(shè)備還包括:第三通知模塊���,用于判斷出上述用戶設(shè)備的會話建立不符合上述預(yù)設(shè)閥值的情況下,或上述用戶設(shè)備通過強推的Web頁面取消執(zhí)行上述安全策略的情況下����,通知上述BNG設(shè)備取消對上述用戶設(shè)備執(zhí)行上述安全策略。
[0043]優(yōu)選地��,上述NAT設(shè)備還包括:處理模塊�,用于通知上述BNG設(shè)備對上述用戶設(shè)備執(zhí)行安全策略時,加快上述用戶設(shè)備的會話的老化�����。
[0044]根據(jù)本發(fā)明的又一方面,提供了一種BNG設(shè)備�����,其包括:第一接收模塊���,用于接收NAT設(shè)備發(fā)送的對用戶設(shè)備執(zhí)行安全策略的第一通知����,其中��,上述用戶設(shè)備的會話建立達到預(yù)設(shè)閥值��,上述安全策略用于阻止上述用戶設(shè)備的攻擊行為����,并通知上述用戶設(shè)備上述用戶設(shè)備存在攻擊行為;重定向模塊���,用于對上述用戶設(shè)備執(zhí)行強推Web頁面策略�����,將上述用戶設(shè)備發(fā)送的HTTP請求重定向至第一提示頁面�����,其中���,上述第一提示頁面用于提醒上述用戶設(shè)備的訪問存在攻擊行為�。
[0045]優(yōu)選地��,上述BNG設(shè)備還包括:第二接收模塊�����,用于接收NAT設(shè)備發(fā)送的對上述用戶設(shè)備的訪問行為執(zhí)行強制上述用戶設(shè)備下線或?qū)⑸鲜鲇脩粼O(shè)備退回至未認證狀態(tài)的操作的第二通知�����;處理模塊�����,用于根據(jù)上述第二通知���,對上述用戶設(shè)備的訪問行為執(zhí)行強制上述用戶設(shè)備下線或?qū)⑸鲜鲇脩粼O(shè)備退回至未認證狀態(tài)的操作,并通知認證授權(quán)計費AAA服務(wù)器將所述用戶設(shè)備標(biāo)記或設(shè)置為存在攻擊行為的用戶設(shè)備���,其中�����,所述第一提示頁面還用于提醒所述用戶設(shè)備將被強制下線或被退回至未認證狀態(tài)����,所述用戶設(shè)備再次請求上線和/或請求認證,所述AAA服務(wù)器對所述用戶設(shè)備的認證通過后���,所述AAA服務(wù)器通知所述BNG設(shè)備對所述用戶設(shè)備執(zhí)行強推Web頁面策略���,將所述用戶設(shè)備的頁面訪問請求重定向至第二提示頁面,其中�����,所述第二提示頁面用于提醒所述用戶設(shè)備此前被強制下線或被退回至未認證狀態(tài)是因為用戶設(shè)備發(fā)生了攻擊行為�,若所述用戶設(shè)備仍然存在攻擊行為,將再次被強制下線或被退回至未認證狀態(tài)�����,并提醒所述用戶設(shè)備進行病毒和/或木馬的查殺O
[0046]在本發(fā)明中��,通過NAT設(shè)備判斷用戶設(shè)備的會話建立是否達到預(yù)設(shè)閥值,該預(yù)設(shè)閥值可以是會話建立的數(shù)目或頻率等���,若是�����,上述NAT設(shè)備通知BNG設(shè)備對上述用戶設(shè)備執(zhí)行安全策略���,其中,該安全策略用于阻止上述用戶設(shè)備的攻擊行為��,并通知上述用戶設(shè)備該用戶設(shè)備存在攻擊行為�����,實現(xiàn)了在用戶設(shè)備存在攻擊行為時��,通過執(zhí)行上述安全策略來阻止上述用戶設(shè)備的攻擊行為���,并提醒用戶設(shè)備其存在攻擊行為,以提醒用戶對可能存在的病毒和木馬進行查殺�,避免用于投訴運營商,從而在提高NAT設(shè)備的利用率的同時���,改善用戶體驗��。
【專利附圖】
【附圖說明】
[0047]此處所說明的附圖用來提供對本發(fā)明的進一步理解��,構(gòu)成本申請的一部分��,本發(fā)明的示意性實施例及其說明用于解釋本發(fā)明�,并不構(gòu)成對本發(fā)明的不當(dāng)限定。在附圖中:
[0048]圖1是根據(jù)本發(fā)明實施例的網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)的處理方法的流程圖�;
[0049]圖2是根據(jù)本發(fā)明實施例的網(wǎng)絡(luò)架構(gòu)示意圖1;
[0050]圖3是根據(jù)本發(fā)明實施例的網(wǎng)絡(luò)架構(gòu)示意圖2;
[0051]圖4是根據(jù)本發(fā)明實施例的網(wǎng)絡(luò)架構(gòu)示意圖3;
[0052]圖5是根據(jù)本發(fā)明實施例的NAT設(shè)備的結(jié)構(gòu)框圖;
[0053]圖6是根據(jù)本發(fā)明實施例的BNG設(shè)備的結(jié)構(gòu)框圖��;
[0054]圖7是根據(jù)本發(fā)明實施例的網(wǎng)絡(luò)示意圖1 ;
[0055]圖8是根據(jù)本發(fā)明實施例的網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)的處理方法的流程示意圖����;
[0056]圖9是根據(jù)本發(fā)明實施例的網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)的處理方法的流程示意圖;
[0057]圖10是根據(jù)本發(fā)明實施例的網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)的處理方法的流程示意圖��;
[0058]圖11是根據(jù)本發(fā)明實施例的網(wǎng)絡(luò)示意圖2 ��;
[0059]圖12是根據(jù)本發(fā)明實施例的網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)的處理方法的流程示意圖���;
[0060]圖13是根據(jù)本發(fā)明實施例的網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)的處理方法的流程示意圖��;
[0061]圖14是根據(jù)本發(fā)明實施例的網(wǎng)絡(luò)示意圖3 �;
[0062]圖15是根據(jù)本發(fā)明實施例的網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)的處理方法的流程示意圖?!揪唧w實施方式】
[0063]下文中將參考附圖并結(jié)合實施例來詳細說明本發(fā)明。需要說明的是�,在不沖突的情況下,本申請中的實施例及實施例中的特征可以相互組合���。
[0064]本實施例提供了一種網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)的處理方法��,如圖1所示����,該網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)的處理方法包括步驟S102至步驟S104����。
[0065]步驟S102:網(wǎng)絡(luò)地址轉(zhuǎn)換NAT設(shè)備判斷用戶設(shè)備的會話建立是否達到預(yù)設(shè)閥值。
[0066]步驟S104:若是�,NAT設(shè)備通知寬帶網(wǎng)絡(luò)網(wǎng)關(guān)BNG設(shè)備對用戶設(shè)備執(zhí)行安全策略,其中��,安全策略用于阻止用戶設(shè)備的攻擊行為���,并通知用戶設(shè)備用戶設(shè)備存在攻擊行為。
[0067]通過上述步驟�,通過NAT設(shè)備判斷用戶設(shè)備的會話建立是否達到預(yù)設(shè)閥值����,該預(yù)設(shè)閥值可以是會話建立的數(shù)目或頻率等���,若是���,上述NAT設(shè)備通知BNG設(shè)備對上述用戶設(shè)備執(zhí)行安全策略,其中�,該安全策略用于阻止上述用戶設(shè)備的攻擊行為,并通知上述用戶設(shè)備該用戶設(shè)備存在攻擊行為���,實現(xiàn)了在用戶設(shè)備存在攻擊行為時�,通過執(zhí)行上述安全策略來阻止上述用戶設(shè)備的攻擊行為�����,并提醒用戶設(shè)備其存在攻擊行為�����,以提醒用戶對可能存在的病毒和木馬進行查殺�����,避免用于投訴運營商,從而在提高NAT設(shè)備的利用率的同時��,改善用戶體驗����。
[0068]為了提高執(zhí)行安全策略的便捷性,在本優(yōu)選實施例中�,上述BNG設(shè)備對上述用戶設(shè)備執(zhí)行上述安全策略包括:上述BNG設(shè)備執(zhí)行強推Web頁面策略,將上述用戶設(shè)備發(fā)送的超文本傳輸協(xié)議(Hypertext Transfer Protocol,簡稱為HTTP)請求重定向至第一提示頁面�����,其中����,上述第一提示頁面用于提醒上述用戶設(shè)備的訪問存在攻擊行為。
[0069]為了提高BNG設(shè)備的利用率��,在本優(yōu)選實施例中��,上述BNG設(shè)備將上述用戶設(shè)備發(fā)送的HTTP請求重定向至第一提示頁面包括:上述BNG設(shè)備間隔預(yù)設(shè)周期將上述用戶設(shè)備發(fā)送的HTTP請求重定向至上述第一提示頁面�����。即上述BNG設(shè)備可以截獲上述用戶設(shè)備的所有HTTP請求報文,并重定向至上述第一提示頁面���,也可以間隔預(yù)設(shè)周期截獲上述用戶設(shè)備的HTTP請求報文,并重定向至上述第一提示頁面�。
[0070]為了讓用戶設(shè)備可以快速地解除攻擊行為,在本優(yōu)選實施例中�,所述第一提示頁面還作用提醒所述用戶設(shè)備進行病毒和/或木馬的查殺。
[0071]為了有效地阻止用戶設(shè)備的攻擊行為�,在本優(yōu)選實施例中,上述BNG設(shè)備對上述用戶設(shè)備執(zhí)行上述安全策略之后��,上述網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)的處理方法還包括:上述NAT設(shè)備通知上述BNG設(shè)備對上述用戶設(shè)備的訪問行為執(zhí)行強制上述用戶設(shè)備下線或?qū)⑸鲜鲇脩粼O(shè)備退回至未認證狀態(tài)的操作�,并通知認證授權(quán)計費(Authentication、Authorizationand Accounting,簡稱為AAA)服務(wù)器將上述用戶設(shè)備標(biāo)記或設(shè)置為存在攻擊行為的用戶設(shè)備��,其中�,上述第一提示頁面還用于提醒上述用戶設(shè)備將被強制下線或被退回至未認證狀態(tài);上述用戶設(shè)備再次請求上線和/或請求認證����,上述AAA服務(wù)器對上述用戶設(shè)備的認證通過后,上述AAA服務(wù)器通知上述BNG設(shè)備對上述用戶設(shè)備執(zhí)行強推Web頁面策略��,將上述用戶設(shè)備的頁面訪問請求重定向至第二提示頁面����,其中�����,上述第二提示頁面用于提醒上述用戶設(shè)備此前被強制下線或被退回至未認證狀態(tài)是因為用戶設(shè)備發(fā)生了攻擊行為��,若上述用戶設(shè)備仍然存在攻擊行為��,將再次被強制下線或被退回至未認證狀態(tài)��,并提醒上述用戶設(shè)備進行病毒和/或木馬的查殺��。
[0072]優(yōu)選地��,上述NAT設(shè)備可以包括以下之一:與BNG設(shè)備合設(shè)的NAT設(shè)備���;與BNG設(shè)備分設(shè)的NAT設(shè)備。
[0073]優(yōu)選地��,上述NAT設(shè)備為與BNG設(shè)備合設(shè)的NAT設(shè)備的情況下���,實施上述網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)的處理方法的網(wǎng)絡(luò)框架可以采用如圖2所示的網(wǎng)絡(luò)框架��,上述NAT設(shè)備可以通過以下方式之一通知BNG設(shè)備對上述用戶設(shè)備執(zhí)行安全策略:上述NAT設(shè)備將上述用戶設(shè)備的標(biāo)識信息(例如����,上述用戶設(shè)備的轉(zhuǎn)換后的公網(wǎng)IP地址和端口號段)發(fā)送給安全策略服務(wù)器,由安全策略服務(wù)器通知上述BNG設(shè)備對上述用戶設(shè)備執(zhí)行安全策略��;上述NAT設(shè)備將上述用戶設(shè)備的標(biāo)識信息發(fā)送給上述BNG設(shè)備����,來通知上述BNG設(shè)備對上述用戶設(shè)備執(zhí)行安全策略�。
[0074]優(yōu)選地,當(dāng)上述NAT設(shè)備為與BNG設(shè)備分設(shè)的NAT設(shè)備�,實施上述網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)的處理方法的網(wǎng)絡(luò)框架可以采用如圖3或4所示的網(wǎng)絡(luò)框架。
[0075]為了滿足不同應(yīng)用場景的需求����,在本優(yōu)選實施例中,在上述NAT設(shè)備通知BNG設(shè)備對上述用戶設(shè)備執(zhí)行安全策略之后����,上述網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)的處理方法還包括:上述NAT設(shè)備判斷上述用戶設(shè)備的會話建立不符合上述預(yù)設(shè)閥值的情況下,或上述用戶設(shè)備通過強推的Web頁面取消執(zhí)行上述安全策略的情況下���,上述NAT設(shè)備通知上述BNG設(shè)備取消對上述用戶設(shè)備執(zhí)行上述安全策略���。
[0076]優(yōu)選地���,上述NAT設(shè)備為與BNG設(shè)備合設(shè)的NAT設(shè)備的情況下,上述NAT設(shè)備可以通過以下方式之一通知BNG設(shè)備取消對上述用戶設(shè)備執(zhí)行安全策略:上述NAT設(shè)備將上述用戶設(shè)備的標(biāo)識信息發(fā)送給安全策略服務(wù)器��,由安全策略服務(wù)器通知上述BNG設(shè)備取消對上述用戶設(shè)備執(zhí)行安全策略����;上述NAT設(shè)備將上述用戶設(shè)備的標(biāo)識信息發(fā)送給上述BNG設(shè)備,來通知上述BNG設(shè)備取消對上述用戶設(shè)備執(zhí)行安全策略�。
[0077]優(yōu)選地,上述用戶設(shè)備通過強推的Web頁面取消執(zhí)行上述安全策略可以包括:Web服務(wù)器通過安全策略服務(wù)器發(fā)送用戶策略給上述NAT設(shè)備來取消執(zhí)行上述安全策略��;或者上述Web服務(wù)器通知上述NAT設(shè)備下發(fā)用戶策略來取消執(zhí)行上述安全策略��。
[0078]優(yōu)選地�����,強推的Web頁面位于公網(wǎng)的情況下�,且上述NAT設(shè)備對上述用戶設(shè)備的訪問行為執(zhí)行強推Web頁面操作的情況下,上述NAT設(shè)備為上述用戶設(shè)備建立的會話可以包括:上述用戶設(shè)備與強推Web頁面的HTTP連接建立的會話���。
[0079]為了準(zhǔn)確地確定出上述用戶設(shè)備是否達到的上述預(yù)設(shè)閥值�,在本優(yōu)選實施例中�����,用于上述NAT設(shè)備判斷用戶設(shè)備的會話建立是否達到預(yù)設(shè)閥值的會話可以包括以下至少之一:上述用戶設(shè)備的傳輸控制協(xié)議(Transfer Control Protocol,簡稱為TCP)連接建立的會話;上述用戶設(shè)備的網(wǎng)際控制消息協(xié)議(nternet Control Message Protocol,簡稱為ICMP)接建立的會話�����;上述用戶設(shè)備的用戶數(shù)據(jù)協(xié)議(User Date Protocol�����,簡稱為UDP)連接建立的會話�。
[0080]優(yōu)選地��,上述預(yù)設(shè)閥值包括以下至少之一:上述用戶設(shè)備建立會話的總數(shù)��、上述用戶設(shè)備建立會話的速率�。
[0081]為了縮短用戶會話的老化時間,以及時地釋放會話資源�,在本優(yōu)選實施例中,上述方法還可以包括:上述NAT設(shè)備通知上述BNG設(shè)備對上述用戶設(shè)備執(zhí)行安全策略時���,上述NAT設(shè)備加快上述用戶設(shè)備的會話的老化����。
[0082]優(yōu)選地,為了靈活地��、實時地提醒用戶設(shè)備其存在攻擊行為�����,在本優(yōu)選實施例中�,在執(zhí)行用戶安全策略的同時,上述NAT設(shè)備可以將上述用戶設(shè)備的標(biāo)識信息(例如�����,攻擊IP)通知策略服務(wù)器���,通過策略服務(wù)器的第三方接口以其它形式通知用戶設(shè)備����,例如�,可以通過短信通知、電話通知����、各種頂工具通知等方式。
[0083]本優(yōu)選實施例提供了一種NAT設(shè)備,如圖5所示����,該NAT設(shè)備包括:判斷模塊502,用于判斷用戶設(shè)備的會話建立是否達到預(yù)設(shè)閥值�;第一通知模塊504,連接至判斷模塊502�,用于在上述用戶設(shè)備的會話建立達到上述預(yù)設(shè)閥值的情況下,通知寬帶網(wǎng)絡(luò)網(wǎng)關(guān)BNG設(shè)備對上述用戶設(shè)備執(zhí)行安全策略�����,其中�����,上述安全策略用于阻止上述用戶設(shè)備的攻擊行為����,并通知上述用戶設(shè)備上述用戶設(shè)備存在攻擊行為���。
[0084]在上述優(yōu)選實施例中����,通過判斷模塊502判斷用戶設(shè)備的會話建立是否達到預(yù)設(shè)閥值���,該預(yù)設(shè)閥值可以是會話建立的數(shù)目或頻率等���,若是���,第一通知模塊504通知BNG設(shè)備對上述用戶設(shè)備執(zhí)行安全策略,其中�,該安全策略用于阻止上述用戶設(shè)備的攻擊行為,并通知上述用戶設(shè)備該用戶設(shè)備存在攻擊行為����,實現(xiàn)了在用戶設(shè)備存在攻擊行為時,通過執(zhí)行上述安全策略來阻止上述用戶設(shè)備的攻擊行為�,并提醒用戶設(shè)備其存在攻擊行為,以提醒用戶對可能存在的病毒和木馬進行查殺���,避免用于投訴運營商�����,從而在提高NAT設(shè)備的利用率的同時����,改善用戶體驗。[0085]為了有效地阻止用戶設(shè)備的攻擊行為��,在本優(yōu)選實施例中��,上述NAT設(shè)備還包括:第二通知模塊�����,用于通知上述BNG設(shè)備對上述用戶設(shè)備的訪問行為執(zhí)行強制上述用戶設(shè)備下線或?qū)⑸鲜鲇脩粼O(shè)備退回至未認證狀態(tài)的操作��,并通知認證授權(quán)計費AAA服務(wù)器將上述用戶設(shè)備標(biāo)記或設(shè)置為存在攻擊行為的用戶設(shè)備�����,其中�����,上述第一提示頁面還用于提醒上述用戶設(shè)備將被強制下線或被退回至未認證狀態(tài)�����,上述用戶設(shè)備再次請求上線和/或請求認證���,上述AAA服務(wù)器對上述用戶設(shè)備的認證通過后,上述AAA服務(wù)器通知上述BNG設(shè)備對上述用戶設(shè)備執(zhí)行強推Web頁面策略,將上述用戶設(shè)備的頁面訪問請求重定向至第二提示頁面�,其中,上述第二提示頁面用于提醒上述用戶設(shè)備此前被強制下線或被退回至未認證狀態(tài)是因為用戶設(shè)備發(fā)生了攻擊行為�,若上述用戶設(shè)備仍然存在攻擊行為,將再次被強制下線或被退回至未認證狀態(tài)��,并提醒上述用戶設(shè)備進行病毒和/或木馬的查殺����。
[0086]優(yōu)選地,上述NAT設(shè)備為與BNG設(shè)備合設(shè)的NAT設(shè)備的情況下����,上述第一通知模塊504包括:第一發(fā)送單元,用于將上述用戶設(shè)備的標(biāo)識信息(例如����,上述用戶設(shè)備的轉(zhuǎn)換后的公網(wǎng)IP地址和端口號段)發(fā)送給安全策略服務(wù)器,由安全策略服務(wù)器通知上述BNG設(shè)備對上述用戶設(shè)備執(zhí)行安全策略�����;和/或第二發(fā)送單元���,用于將上述用戶設(shè)備的標(biāo)識信息發(fā)送給上述BNG設(shè)備����,來通知上述BNG設(shè)備對上述用戶設(shè)備執(zhí)行安全策略。
[0087]為了滿足不同應(yīng)用場景的需求�����,在本優(yōu)選實施例中��,上述NAT設(shè)備還包括:第三通知模塊���,用于判斷出上述用戶設(shè)備的會話建立不符合上述預(yù)設(shè)閥值的情況下��,或上述用戶設(shè)備通過強推的Web頁面取消執(zhí)行上述安全策略的情況下�����,通知上述BNG設(shè)備取消對上述用戶設(shè)備執(zhí)行上述安全策略�����。
[0088]優(yōu)選地���,上述NAT設(shè)備為與BNG設(shè)備合設(shè)的NAT設(shè)備的情況下,上述第三通知模塊包括:第三發(fā)送單元�����,用于將上述用戶設(shè)備的標(biāo)識信息發(fā)送給安全策略服務(wù)器����,由安全策略服務(wù)器通知上述BNG設(shè)備取消對上述用戶設(shè)備執(zhí)行安全策略;第四發(fā)送單元���,用于將上述用戶設(shè)備的標(biāo)識信息發(fā)送給上述BNG設(shè)備�����,來通知上述BNG設(shè)備取消對上述用戶設(shè)備執(zhí)行安全策略����。
[0089]為了縮短用戶會話的老化時間�,以及時地釋放會話資源,在本優(yōu)選實施例中���,上述網(wǎng)絡(luò)地址轉(zhuǎn)換設(shè)備還包括:處理模塊����,用于通知上述BNG設(shè)備對上述用戶設(shè)備執(zhí)行安全策略時�,加快上述用戶設(shè)備的會話的老化����。
[0090]本優(yōu)選實施例提供了一種BNG設(shè)備,如圖6所不,該BNG設(shè)備包括:第一接收模塊602��,用于接收NAT設(shè)備發(fā)送的對用戶設(shè)備執(zhí)行安全策略的第一通知��,其中����,所述用戶設(shè)備的會話建立達到預(yù)設(shè)閥值,所述安全策略用于阻止所述用戶設(shè)備的攻擊行為��,并通知所述用戶設(shè)備所述用戶設(shè)備存在攻擊行為��;重定向模塊604���,連接至第一接收模塊602�����,用于對所述用戶設(shè)備執(zhí)行強推Web頁面策略����,將所述用戶設(shè)備發(fā)送的HTTP請求重定向至第一提示頁面�����,其中,所述第一提示頁面用于提醒所述用戶設(shè)備的訪問存在攻擊行為����。
[0091 ] 為了提高BNG設(shè)備的利用率�,在本優(yōu)選實施例中,上述重定向模塊604���,用于間隔預(yù)設(shè)周期將上述用戶設(shè)備發(fā)送的HTTP請求重定向至上述第一提示頁面�。即上述BNG設(shè)備可以截獲上述用戶設(shè)備的所有HTTP請求報文����,并重定向至上述第一提示頁面,也可以間隔預(yù)設(shè)周期截獲上述用戶設(shè)備的HTTP請求報文�����,并重定向至上述第一提示頁面���。
[0092]為了有效地阻止用戶設(shè)備的攻擊行為��,在本優(yōu)選實施例中���,上述BNG設(shè)備還包括:第二接收模塊��,用于接收NAT設(shè)備發(fā)送的對上述用戶設(shè)備的訪問行為執(zhí)行強制上述用戶設(shè)備下線或?qū)⑸鲜鲇脩粼O(shè)備退回至未認證狀態(tài)的操作的第二通知��;處理模塊��,連接至第二接收模塊���,用于根據(jù)上述第二通知,對上述用戶設(shè)備的訪問行為執(zhí)行強制上述用戶設(shè)備下線或?qū)⑸鲜鲇脩粼O(shè)備退回至未認證狀態(tài)的操作�����,并通知認證授權(quán)計費AAA服務(wù)器將上述用戶設(shè)備標(biāo)記或設(shè)置為存在攻擊行為的用戶設(shè)備����,其中,上述第一提示頁面還用于提醒上述用戶設(shè)備將被強制下線或被退回至未認證狀態(tài)����,上述用戶設(shè)備再次請求上線和/或請求認證,上述AAA服務(wù)器對上述用戶設(shè)備的認證通過后�,上述AAA服務(wù)器通知上述BNG設(shè)備對上述用戶設(shè)備執(zhí)行強推Web頁面策略,將上述用戶設(shè)備的頁面訪問請求重定向至第二提示頁面,其中�,上述第二提示頁面用于提醒上述用戶設(shè)備此前被強制下線或被退回至未認證狀態(tài)是因為用戶設(shè)備發(fā)生了攻擊行為,若上述用戶設(shè)備仍然存在攻擊行為����,將再次被強制下線或被退回至未認證狀態(tài),并提醒上述用戶設(shè)備進行病毒和/或木馬的查殺�。
[0093]優(yōu)選地,上述用戶設(shè)備可以是PPPoE用戶設(shè)備、IPoE用戶設(shè)備����、移動互聯(lián)網(wǎng)的用戶設(shè)備等��。
[0094]以下結(jié)合附圖對上述各個優(yōu)選實施例進行詳細地描述�。
[0095]在本優(yōu)選實施例中,以圖7所示的網(wǎng)絡(luò)示意場景為例��,上述NAT設(shè)備為融合式NAT設(shè)備為例����,當(dāng)NAT用戶TCP攻擊消耗的Session (會話)數(shù)目達到了安全策略生效的閥值(相當(dāng)于上述預(yù)設(shè)閥值),總是強推Web頁面��,用戶通過Web頁面來主動取消安全策略��,基于該網(wǎng)絡(luò)場景,如圖8所示����,上述網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)的處理方法的流程包括如下步驟:
[0096]步驟S802,NAT設(shè)備預(yù)先設(shè)置安全策略閥值為用戶Session數(shù)為最大允許值的80% ��;
[0097]步驟S804�����,用戶發(fā)生TCP攻擊行為��,NAT設(shè)備判斷已經(jīng)到了安全策略生效閥值��;
[0098]步驟S806��,NAT設(shè)備給用戶下發(fā)強推標(biāo)記����,隨后截獲用戶所有到80端口的TCP連接,通過HTTP重定向標(biāo)記���,將用戶所有的HTTP訪問請求重定向到運營商的Web提示頁面(相當(dāng)于第一提示頁面)提醒用戶對可能存在病毒和木馬進行查殺�����;NAT設(shè)備同時動態(tài)加快用戶的無效Session的老化時間�;
[0099]步驟S808,用戶終端查殺病毒及木馬后��,用戶在運營商Web頁面上要求取消安全策略��;
[0100]步驟S810�����,運營商的Web服務(wù)器告知策略服務(wù)器��,要求通知NAT設(shè)備取消安全策略��;
[0101]步驟S812����,策略服務(wù)器通知NAT設(shè)備取消安全策略��;
[0102]步驟S814���,用戶可以通過NAT設(shè)備訪問網(wǎng)絡(luò)���。
[0103]在本優(yōu)選實施例中,以圖7所示的網(wǎng)絡(luò)示意場景為例,上述NAT設(shè)備為融合式NAT設(shè)備為例�,當(dāng)NAT用戶UDP攻擊消耗的Session達到了安全策略生效的閥值(相當(dāng)于上述預(yù)設(shè)閥值)時,周期性強推Web頁面�����,當(dāng)用戶的攻擊行為消失后NAT設(shè)備主動取消安全策略��,基于該網(wǎng)絡(luò)場景�,如圖9所示,上述網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)的處理方法的流程包括如下步驟:
[0104]步驟S902��,NAT設(shè)備預(yù)先設(shè)置安全策略閥值為用戶Session新建速率達到最大允許值的80% ���;
[0105]步驟S904�,用戶發(fā)生UDP FLOOD攻擊行為����,NAT設(shè)備判斷已經(jīng)到了安全策略生效閥值;
[0106]步驟S906����,NAT設(shè)備給用戶設(shè)置強推標(biāo)記,隨后截獲用戶到80端口的TCP連接�����,通過HTTP重定向標(biāo)記,定期將用戶的HTTP訪問請求重定向到運營商的Web提示頁面�。用戶部分訪問網(wǎng)頁的HTTP請求定期被重定向到運營商的Web提示頁面,提醒用戶對可能存在病毒和木馬進行查殺�����;
[0107]步驟S908���,用戶終端查殺病毒及木馬后���,用戶的UDP FLOOD攻擊行為消失;
[0108]步驟S910���,NAT設(shè)備判斷用戶的新建Session速率低于閥值��,NAT設(shè)備取消用戶的安全策略;
[0109]步驟S912�����,用戶可以通過NAT設(shè)備訪問網(wǎng)絡(luò)��。
[0110]在本優(yōu)選實施例中,以圖7所示的網(wǎng)絡(luò)示意場景為例����,上述NAT設(shè)備為融合式NAT設(shè)備為例,當(dāng)NAT用戶TCP攻擊消耗的Session數(shù)目達到了安全策略生效的閥值(相當(dāng)于上述預(yù)設(shè)閥值)���,強推Web頁面并強制用戶下線�,如圖10所示��,上述網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)的處理方法的流程包括如下步驟:
[0111]步驟S1002�����,NAT設(shè)備預(yù)先設(shè)置安全策略閥值為用戶Session數(shù)為最大允許值的80% �;
[0112]步驟S1004,用戶發(fā)生TCP攻擊行為��,NAT設(shè)備判斷已經(jīng)到了安全策略生效閥值���;
[0113]步驟S1006����,NAT設(shè)備強制用戶下線或退回未認證狀態(tài)�����,通知認證服務(wù)器下線原因為 NATSession 攻擊;
[0114]可選的�����,NAT設(shè)備在強制用戶下線或退回未認證狀態(tài)前����,強推Web頁面提示用戶即將下線或退回未認證狀態(tài),提醒用戶對可能的病毒或木馬進行查殺后重新上線或發(fā)起認證���。
[0115]步驟S1008����,用戶再次撥號上線或發(fā)起認證請求��,認證成功后重新上線�;
[0116]步驟S1010,AAA服務(wù)器通知NAT設(shè)備將用戶的HTTP請求重定向到運營商的第二Web提示頁面(相當(dāng)于第二提示頁面)��;
[0117]步驟S1012����,NAT設(shè)備將用戶的HTTP請求重定向到運營商的第二 Web提示頁面,提醒用戶前次下線原因并提醒用戶對可能存在病毒和木馬進行查殺��;
[0118]步驟S1014���,第二 Web提示頁面只強推一次����,強推后用戶可以通過NAT設(shè)備訪問網(wǎng)絡(luò)�����。
[0119]若用戶未查殺病毒及木馬或查殺不徹底���,導(dǎo)致攻擊行為仍舊發(fā)生�,當(dāng)用戶Session數(shù)再次到達安全策略生效閥值�����,用戶再次被強制下線��。
[0120]若用戶成功進行了病毒及木馬的查殺���,攻擊行為不再發(fā)生���,則用戶可以持續(xù)通過NAT設(shè)備訪問網(wǎng)絡(luò)��。
[0121]在本優(yōu)選實施例中�����,以圖11所示的網(wǎng)絡(luò)示意場景為例�,上述NAT設(shè)備為獨立NAT設(shè)備或AFTR為例���,NAT用戶TCP攻擊消耗的Session數(shù)目達到了安全策略生效的閥值(相當(dāng)于上述預(yù)設(shè)閥值)�,通過策略服務(wù)器通知BNG執(zhí)行用戶安全策略��,如圖12所示����,上述網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)的處理方法的流程包括如下步驟:
[0122]步驟S1202,NAT設(shè)備預(yù)先設(shè)置安全策略閥值為用戶Session數(shù)為最大允許值的80% ����;
[0123]步驟S1204,用戶發(fā)生TCP攻擊行為�����,NAT設(shè)備判斷已經(jīng)到了安全策略生效閥值�����;
[0124]步驟S1206��,NAT設(shè)備將用戶IP通知給策略服務(wù)器�����;
[0125]步驟S1208�,策略服務(wù)器通知BNG執(zhí)行用戶安全策略;[0126]步驟S1210���,BNG執(zhí)行用戶安全策略��,通過重定向用戶的HTTP請求告知用戶�����,提醒用戶對可能存在病毒和木馬進行查殺�;
[0127]步驟S1212��,用戶終端查殺病毒及木馬后,用戶的UDP FLOOD攻擊行為消失�����。NAT設(shè)備判斷用戶攻擊行為消失�����,將用戶IP通知給策略服務(wù)器��;
[0128]步驟S1214�,策略服務(wù)器通知BNG取消安全策略;
[0129]步驟S1216����,用戶可以通過NAT設(shè)備訪問網(wǎng)絡(luò)。
[0130]在本優(yōu)選實施例中�����,以圖11所示的網(wǎng)絡(luò)示意場景為例����,上述NAT設(shè)備為獨立NAT設(shè)備或AFTR為例,NAT用戶TCP攻擊消耗的Session數(shù)目達到了安全策略生效的閥值(相當(dāng)于上述預(yù)設(shè)閥值)�����,通知BNG執(zhí)行用戶安全策略,如圖13所示�,上述網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)的處理方法的流程包括如下步驟:
[0131]步驟S1302,NAT設(shè)備預(yù)先設(shè)置安全策略閥值為用戶Session新建速率達到最大允許值的80%
[0132]步驟S1304���,用戶發(fā)生TCP攻擊行為,NAT設(shè)備判斷已經(jīng)到了安全策略生效閥值���;
[0133]步驟S1306�����,NAT設(shè)備將用戶IP發(fā)送給BNG�����,通知BNG執(zhí)行用戶安全策略��;
[0134]步驟S1308���,BNG執(zhí)行用戶安全策略,通過重定向用戶的HTTP請求告知用戶�,提醒用戶對可能存在病毒和木馬進行查殺;
[0135]步驟S1310,用戶終端查殺病毒及木馬后��,用戶的UDP FLOOD攻擊行為消失��。NAT設(shè)備判斷用戶攻擊行為消失����,將用戶IP發(fā)送給BNG,通知BNG取消安全策略����;
[0136]步驟S1312,用戶可以通過NAT設(shè)備訪問網(wǎng)絡(luò)�。
[0137]在本優(yōu)選實施例中,以圖14所示的網(wǎng)絡(luò)示意場景為例����,上述NAT設(shè)備為獨立NAT設(shè)備或NAT與AC融合設(shè)備為例,NAT用戶TCP攻擊消耗的Session數(shù)目達到了安全策略生效的閥值(相當(dāng)于上述預(yù)設(shè)閥值)����,通過策略服務(wù)器通知BNG執(zhí)行用戶安全策略,如圖15所示�����,上述網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)的處理方法的流程包括如下步驟:
[0138]步驟S1502,NAT設(shè)備預(yù)先設(shè)置安全策略閥值為用戶Session數(shù)為最大允許值的80% ��;NAT設(shè)備為用戶的私網(wǎng)地址分配用戶地址翻譯的公網(wǎng)地址和端口號段�����;
[0139]步驟S1504�����,用戶發(fā)生TCP攻擊行為����,NAT設(shè)備判斷已經(jīng)到了安全策略生效閥值�����;
[0140]步驟S1506����,NAT設(shè)備將用戶地址翻譯后的公網(wǎng)IP地址和端口號段通知給策略服務(wù)器;
[0141]步驟S1508����,策略服務(wù)器將用戶的地址翻譯后的公網(wǎng)IP地址和端口號段發(fā)送給BNG,通知BNG執(zhí)行用戶安全策略���;
[0142]步驟S1510,BNG執(zhí)行用戶安全策略��,通過重定向用戶的HTTP請求告知用戶����,提醒用戶對可能存在病毒和木馬進行查殺;
[0143]步驟S1512�����,用戶終端查殺病毒及木馬后�,用戶的UDP FLOOD攻擊行為消失。NAT設(shè)備判斷用戶攻擊行為消失�,將用戶IP通知給策略服務(wù)器;
[0144]步驟S1514����,策略服務(wù)器通知BNG取消安全策略;
[0145]步驟S1516�����,用戶可以通過NAT設(shè)備和BNG訪問網(wǎng)絡(luò)����。
[0146]從以上的描述中�����,可以看出��,上述優(yōu)選實施例實現(xiàn)了如下技術(shù)效果:通過NAT設(shè)備判斷用戶設(shè)備的會話建立是否達到預(yù)設(shè)閥值�����,該預(yù)設(shè)閥值可以是會話建立的數(shù)目或頻率等����,若是����,上述NAT設(shè)備通知BNG設(shè)備對上述用戶設(shè)備執(zhí)行安全策略���,其中���,該安全策略用于阻止上述用戶設(shè)備的攻擊行為,并通知上述用戶設(shè)備該用戶設(shè)備存在攻擊行為�����,實現(xiàn)了在用戶設(shè)備存在攻擊行為時,通過執(zhí)行上述安全策略來阻止上述用戶設(shè)備的攻擊行為���,并提醒用戶設(shè)備其存在攻擊行為����,以提醒用戶對可能存在的病毒和木馬進行查殺��,避免用于投訴運營商��,從而在提高NAT設(shè)備的利用率的同時��,改善用戶體驗
[0147]顯然�����,本領(lǐng)域的技術(shù)人員應(yīng)該明白�����,上述的本發(fā)明的各模塊或各步驟可以用通用的計算裝置來實現(xiàn)����,它們可以集中在單個的計算裝置上�,或者分布在多個計算裝置所組成的網(wǎng)絡(luò)上����,可選地,它們可以用計算裝置可執(zhí)行的程序代碼來實現(xiàn)��,從而�,可以將它們存儲在存儲裝置中由計算裝置來執(zhí)行,并且在某些情況下�,可以以不同于此處的順序執(zhí)行所示出或描述的步驟,或者將它們分別制作成各個集成電路模塊��,或者將它們中的多個模塊或步驟制作成單個集成電路模塊來實現(xiàn)����。這樣,本發(fā)明不限制于任何特定的硬件和軟件結(jié)合�����。
[0148]以上所述僅為本發(fā)明的優(yōu)選實施例而已�,并不用于限制本發(fā)明��,對于本領(lǐng)域的技術(shù)人員來說�,本發(fā)明可以有各種更改和變化����。凡在本發(fā)明的精神和原則之內(nèi)�����,所作的任何修改�����、等同替換�����、改進等���,均應(yīng)包含在本發(fā)明的保護范圍之內(nèi)�。
【權(quán)利要求】
1.一種網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)的處理方法����,其特征在于,包括: 網(wǎng)絡(luò)地址轉(zhuǎn)換NAT設(shè)備判斷用戶設(shè)備的會話建立是否達到預(yù)設(shè)閥值�; 若是,所述NAT設(shè)備通知寬帶網(wǎng)絡(luò)網(wǎng)關(guān)BNG設(shè)備對所述用戶設(shè)備執(zhí)行安全策略,其中���,所述安全策略用于阻止所述用戶設(shè)備的攻擊行為���,并通知所述用戶設(shè)備所述用戶設(shè)備存在攻擊行為。
2.根據(jù)權(quán)利要求1所述的方法��,其特征在于���,所述BNG設(shè)備對所述用戶設(shè)備執(zhí)行所述安全策略包括: 所述BNG設(shè)備執(zhí)行強推Web頁面策略�����,將所述用戶設(shè)備發(fā)送的HTTP請求重定向至第一提示頁面�����,其中�,所述第一提示頁面用于提醒所述用戶設(shè)備的訪問存在攻擊行為�����。
3.根據(jù)權(quán)利要求2所述的方法�����,其特征在于���,所述BNG設(shè)備將所述用戶設(shè)備發(fā)送的HTTP請求重定向至第一提示頁面包括: 所述BNG設(shè)備間隔預(yù)設(shè)周期將所述用戶設(shè)備發(fā)送的HTTP請求重定向至所述第一提示頁面�����。
4.根據(jù)權(quán)利要求2所述的方法��,其特征在于�,所述第一提示頁面還作用提醒所述用戶設(shè)備進行病毒和/或木馬的查殺��。
5.根據(jù)權(quán)利要求2至4中任一項所述的方法��,其特征在于����,所述BNG設(shè)備對所述用戶設(shè)備執(zhí)行所述安全策略之后,還包括: 所述NAT設(shè)備通知所述BNG設(shè)備對所述用戶設(shè)備的訪問行為執(zhí)行強制所述用戶設(shè)備下線或?qū)⑺鲇脩粼O(shè)備退回至未認證狀態(tài)的操作��,并通知認證授權(quán)計費AAA服務(wù)器將所述用戶設(shè)備標(biāo)記或設(shè)置為存在攻擊行為的用戶設(shè)備�����,其中,所述第一提示頁面還用于提醒所述用戶設(shè)備將被強制下線或被退回至未認證狀態(tài)�; 所述用戶設(shè)備再次請求上線和/或請求認證,所述AAA服務(wù)器對所述用戶設(shè)備的認證通過后��,所述AAA服務(wù)器通知所述BNG設(shè)備對所述用戶設(shè)備執(zhí)行強推Web頁面策略��,將所述用戶設(shè)備的頁面訪問請求重定向至第二提示頁面��,其中��,所述第二提示頁面用于提醒所述用戶設(shè)備此前被強制下線或被退回至未認證狀態(tài)是因為用戶設(shè)備發(fā)生了攻擊行為���,若所述用戶設(shè)備仍然存在攻擊行為�����,將再次被強制下線或被退回至未認證狀態(tài)��,并提醒所述用戶設(shè)備進行病毒和/或木馬的查殺����。
6.根據(jù)權(quán)利要求1至4中任一項所述的方法��,其特征在于����,所述NAT設(shè)備包括以下之 與BNG設(shè)備合設(shè)的NAT設(shè)備��; 與BNG設(shè)備分設(shè)的NAT設(shè)備。
7.根據(jù)權(quán)利要求6所述的方法��,其特征在于��,所述NAT設(shè)備為與BNG設(shè)備合設(shè)的NAT設(shè)備的情況下��,所述NAT設(shè)備通過以下方式之一通知BNG設(shè)備對所述用戶設(shè)備執(zhí)行安全策略: 所述NAT設(shè)備將所述用戶設(shè)備的標(biāo)識信息發(fā)送給安全策略服務(wù)器����,由安全策略服務(wù)器通知所述BNG設(shè)備對所述用戶設(shè)備執(zhí)行安全策略; 所述NAT設(shè)備將所述用戶設(shè)備的標(biāo)識信息發(fā)送給所述BNG設(shè)備���,來通知所述BNG設(shè)備對所述用戶設(shè)備執(zhí)行安全策略���。
8.根據(jù)權(quán)利要求2至7中任一項所述的方法,其特征在于��,在所述NAT設(shè)備通知BNG設(shè)備對所述用戶設(shè)備執(zhí)行安全策略之后����,還包括: 所述NAT設(shè)備判斷所述用戶設(shè)備的會話建立不符合所述預(yù)設(shè)閥值的情況下�����,或所述用戶設(shè)備通過強推的Web頁面取消執(zhí)行所述安全策略的情況下�,所述NAT設(shè)備通知所述BNG設(shè)備取消對所述用戶設(shè)備執(zhí)行所述安全策略�����。
9.根據(jù)權(quán)利要求8所述的方法�����,其特征在于����,所述NAT設(shè)備為與BNG設(shè)備合設(shè)的NAT設(shè)備的情況下,所述NAT設(shè)備通過以下方式之一通知BNG設(shè)備取消對所述用戶設(shè)備執(zhí)行安全策略: 所述NAT設(shè)備將所述用戶設(shè)備的標(biāo)識信息發(fā)送給安全策略服務(wù)器�����,由安全策略服務(wù)器通知所述BNG設(shè)備取消對所述用戶設(shè)備執(zhí)行安全策略�����; 所述NAT設(shè)備將所述用戶設(shè)備的標(biāo)識信息發(fā)送給所述BNG設(shè)備����,來通知所述BNG設(shè)備取消對所述用戶設(shè)備執(zhí)行安全策略����。
10.根據(jù)權(quán)利要求1至7中任一項所述的方法��,其特征在于���,強推的Web頁面位于公網(wǎng)的情況下,且所述NAT設(shè)備對所述用戶設(shè)備的訪問行為執(zhí)行強推Web頁面操作的情況下�,所述NAT設(shè)備為所述用戶設(shè)備建立的會話包括:所述用戶設(shè)備與強推Web頁面的HTTP連接建立的會話。
11.根據(jù)權(quán)利要求1至7中任一項所述的方法�,其特征在于,用于所述NAT設(shè)備判斷用戶設(shè)備的會話建立是否達到預(yù)設(shè)閥值的會話包括以下至少之一: 所述用戶設(shè)備的傳輸控制 協(xié)議TCP連接建立的會話�����; 所述用戶設(shè)備的網(wǎng)際控制信息協(xié)議ICMP連接建立的會話����; 所述用戶設(shè)備的用戶數(shù)據(jù)協(xié)議UDP連接建立的會話。
12.根據(jù)權(quán)利要求1至7中任一項所述的方法���,其特征在于�,所述預(yù)設(shè)閥值包括以下至少之一: 所述用戶設(shè)備建立會話的總數(shù)、所述用戶設(shè)備建立會話的速率���。
13.根據(jù)權(quán)利要求1至7中任一項所述的方法�����,其特征在于�����,所述方法還包括: 所述NAT設(shè)備通知所述BNG設(shè)備對所述用戶設(shè)備執(zhí)行安全策略時�,所述NAT設(shè)備加快所述用戶設(shè)備的會話的老化��。
14.一種網(wǎng)絡(luò)地址轉(zhuǎn)換NAT設(shè)備���,其特征在于�,包括: 判斷模塊����,用于判斷用戶設(shè)備的會話建立是否達到預(yù)設(shè)閥值; 第一通知模塊���,用于在所述用戶設(shè)備的會話建立達到所述預(yù)設(shè)閥值的情況下�,通知寬帶網(wǎng)絡(luò)網(wǎng)關(guān)BNG設(shè)備對所述用戶設(shè)備執(zhí)行安全策略,其中�,所述安全策略用于阻止所述用戶設(shè)備的攻擊行為,并通知所述用戶設(shè)備所述用戶設(shè)備存在攻擊行為����。
15.根據(jù)權(quán)利要求14所述的NAT設(shè)備,其特征在于����,還包括: 第二通知模塊,用于通知所述BNG設(shè)備對所述用戶設(shè)備的訪問行為執(zhí)行強制所述用戶設(shè)備下線或?qū)⑺鲇脩粼O(shè)備退回至未認證狀態(tài)的操作��,并通知認證授權(quán)計費AAA服務(wù)器將所述用戶設(shè)備標(biāo)記或設(shè)置為存在攻擊行為的用戶設(shè)備�����,其中�����,所述第一提示頁面還用于提醒所述用戶設(shè)備將被強制下線或被退回至未認證狀態(tài)����,所述用戶設(shè)備再次請求上線和/或請求認證,所述AAA服務(wù)器對所述用戶設(shè)備的認證通過后����,所述AAA服務(wù)器通知所述BNG設(shè)備對所述用戶設(shè)備執(zhí)行強推Web頁面策略,將所述用戶設(shè)備的頁面訪問請求重定向至第二提示頁面�����,其中���,所述第二提示頁面用于提醒所述用戶設(shè)備此前被強制下線或被退回至未認證狀態(tài)是因為用戶設(shè)備發(fā)生了攻擊行為��,若所述用戶設(shè)備仍然存在攻擊行為�,將再次被強制下線或被退回至未認證狀態(tài)�,并提醒所述用戶設(shè)備進行病毒和/或木馬的查殺。
16.根據(jù)權(quán)利要求14或15中任一項所述的NAT設(shè)備����,其特征在于,還包括 第三通知模塊����,用于判斷出所述用戶設(shè)備的會話建立不符合所述預(yù)設(shè)閥值的情況下,或所述用戶設(shè)備通過強推的Web頁面取消執(zhí)行所述安全策略的情況下�����,通知所述BNG設(shè)備取消對所述用戶設(shè)備執(zhí)行所述安全策略。
17.根據(jù)權(quán)利要求14或15中任一項所述的NAT設(shè)備����,其特征在于,還包括: 處理模塊�����,用于通知所述BNG設(shè)備對所述用戶設(shè)備執(zhí)行安全策略時���,加快所述用戶設(shè)備的會話的老化����。
18.一種寬帶網(wǎng)絡(luò)網(wǎng)關(guān)BNG設(shè)備��,其特征在于���,包括: 第一接收模塊,用于接收NAT設(shè)備發(fā)送的對用戶設(shè)備執(zhí)行安全策略的第一通知��,其中���,所述用戶設(shè)備的會話建立達到預(yù)設(shè)閥值���,所述安全策略用于阻止所述用戶設(shè)備的攻擊行為�����,并通知所述用戶設(shè)備所述用戶設(shè)備存在攻擊行為����; 重定向模塊��,用于對所述用戶設(shè)備執(zhí)行強推Web頁面策略��,將所述用戶設(shè)備發(fā)送的HTTP請求重定向至第一提示頁面�,其中,所述第一提示頁面用于提醒所述用戶設(shè)備的訪問存在攻擊行為�。
19.根據(jù)權(quán)利要求18所述的BNG設(shè)備,其特征在于����,還包括: 第二接收模塊,用于接收NAT設(shè)備發(fā)送的對所述用戶設(shè)備的訪問行為執(zhí)行強制所述用戶設(shè)備下線或?qū)⑺鲇脩粼O(shè)備退回至未認證狀態(tài)的操作的第二通知�����; 處理模塊,用于根據(jù)所述第二通知����,對所述用戶設(shè)備的訪問行為執(zhí)行強制所述用戶設(shè)備下線或?qū)⑺鲇脩粼O(shè)備退回至未認證狀態(tài)的操作,并通知認證授權(quán)計費AAA服務(wù)器將所述用戶設(shè)備標(biāo)記或設(shè)置為存在攻擊行為的用戶設(shè)備����,其中,所述第一提示頁面還用于提醒所述用戶設(shè)備將被強制下線或被退回至未認證狀態(tài)��,所述用戶設(shè)備再次請求上線和/或請求認證�,所述AAA服務(wù)器對所述用戶設(shè)備的認證通過后,所述AAA服務(wù)器通知所述BNG設(shè)備對所述用戶設(shè)備執(zhí)行強推Web頁面策略�����,將所述用戶設(shè)備的頁面訪問請求重定向至第二提示頁面���,其中��,所述第二提示頁面用于提醒所述用戶設(shè)備此前被強制下線或被退回至未認證狀態(tài)是因為用戶設(shè)備發(fā)生了攻擊行為,若所述用戶設(shè)備仍然存在攻擊行為����,將再次被強制下線或被退回至未認證狀態(tài)�����,并提醒所述用戶設(shè)備進行病毒和/或木馬的查殺����。
【文檔編號】H04L29/06GK103812958SQ201210456758
【公開日】2014年5月21日 申請日期:2012年11月14日 優(yōu)先權(quán)日:2012年11月14日
【發(fā)明者】范亮, 袁博 申請人:中興通訊股份有限公司