CN101547198B - 一种网络安全设备的连接控制方法及设备 - Google Patents
一种网络安全设备的连接控制方法及设备 Download PDFInfo
- Publication number
- CN101547198B CN101547198B CN2009100768458A CN200910076845A CN101547198B CN 101547198 B CN101547198 B CN 101547198B CN 2009100768458 A CN2009100768458 A CN 2009100768458A CN 200910076845 A CN200910076845 A CN 200910076845A CN 101547198 B CN101547198 B CN 101547198B
- Authority
- CN
- China
- Prior art keywords
- connection
- predetermined value
- concurrent
- connection number
- new
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种网络安全设备的连接控制方法,包括:当接收到报文需要创建新连接,检测并获取当前的并发连接数;将所述并发连接数与加速老化阀值、并发连接阀值比较;根据比较结果创建新连接;当并发连接数达到或超过加速老化阀值,则启动加速老化进程;当并发连接数达到并发连接阀值,在创建新连接前先释放可释放的连接再创建新连接。这样,在达到最大并发连接数的情况下,可将一些没有完全关闭的和即将超时掉的连接提前老化,腾出内存空间来创建新连接,使得网络安全设备有能力继续创建新连接,最大限度的支持更多连接,进而充分挖掘利用网络安全设备的性能。
Description
技术领域
本发明涉及网络与信息安全技术领域,具体涉及一种网络安全设备的连接控制方法及设备。
背景技术
网络安全设备(如,防火墙)包括服务访问规则、验证工具、包过滤和应用网关,通常设置在内部网和外部网之间、专用网与公共网之间,通过检测过滤报文来保护内部网免受非法用户的侵入和恶意攻击。为了有效地过滤非法报文,网络安全设备(防火墙)需要跟踪并且记录连接状态以实现对连接跟踪的能力,但连接的建立、保持和删除都要消耗***资源。随着连接数增加,查找连接所消耗的时间也会增加,因此,当连接数达到一定数量后,防火墙的处理能力就会开始下降。特别是现有高端防火墙一味追求最大连接数,持续创建新连接直到***的内存空间都用完,这样极有可能使***不稳定。最典型的实例就是连接型DOS攻击能够很快让防火墙挂机。
衡量网络安全设备(防火墙)处理能力的一个指标是支持的并发连接数,即能够同时处理的点对点连接的数目,它反映出防火墙设备对多个连接的访问控制能力和连接状态跟踪能力,直接影响到防火墙所能支持的最大连接数。
现有技术中提供的控制连接能力的方法是限制并发连接数的方法,具体为:给***设定一个并发连接数的阀值,当防火墙并发连接数达到这个阀值时就不再创建新连接了。
传统的高端防火墙不断创建新连接直到其内存都用完,以提高防火墙的并发连接能力。但是当***内存都用完时会导致***不稳定,若扩展内存来将导致成本增加,而且不能从根本上解决问题。为此,若给其设定一个最大并发连接数的阀值,当防火墙并发连接数达到这个阀值时就不再创建新连接了。由于无法再创建新连接,网络安全设备(防火墙)对后续的报文就无法处理,这将导致网络安全设备(防火墙)不能正常工作。
发明内容
有鉴于此,本发明提供一种网络安全设备的连接控制方法及设备,可使得网络安全设备最大限度的支持更多连接。
本发明实施例提供的一种网络安全设备的连接控制方法,包括:
当接收到报文需要创建新连接,检测并获取当前的并发连接数;
将所述并发连接数与第一预定值、第二预定值比较,其中第一预定值小于第二预定值;
若所述并发连接数小于所述第一预定值,则直接创建新连接;
若所述并发连接数大于所述第一预定值而小于第二预定值,则启动加速老化进程,再创建新连接;
若所述并发连接数大于所述第二预定值,则选择并释放一个连接,再创建新连接。
本发明实施例还提供一种可控制连接的网络安全设备,包括:
接收单元,用于接收到报文,并通知需要创建新连接;
检测单元,用于检测并获取当前的并发连接数;
比较单元,用于比较所述并发连接数与第一预定值、第二预定值,其中第一预定值小于第二预定值;
连接控制单元,用于释放连接和创建新连接,以及控制连接老化进程;
若所述并发连接数小于所述第一预定值,则所述连接控制单元直接创建新连接;
若所述并发连接数大于所述第一预定值而小于第二预定值,则所述连接控制单元启动加速老化进程,再创建新连接;
若所述并发连接数大于所述第二预定值,则所述连接控制单元选择并释放一个连接,再创建新连接。
综上所述,本发明实施例提供的技术方案中,当并发连接数达到或超过加速老化阀值,则启动加速老化进程;当并发连接数达到并发连接阀值,在创建新连接前先释放可释放的连接再创建新连接。这样,在达到最大并发连接数的情况下,可将一些没有完全关闭的和即将超时掉的连接提前老化,腾出内存空间来创建新连接,使得网络安全设备有能力继续创建新连接,最大限度的支持更多连接,进而充分挖掘利用网络安全设备的性能。
附图说明
图1为本发明实施例提供的连接控制方法流程图;
图2为本发明实施例中提供的网络安全设备构成示意图。
具体实施方式
本发明实施例提供的一种网络安全设备的连接控制方法,在不断创建新连接达到最大并发连接数的情况下,有能力继续创建新连接,从而使得网络安全设备可正常工作。
网络安全设备中的每个网络连接信息包括:源地址、目的地址、源端口和目的端口(称为套接字对),协议类型、连接状态和超时时间等,即防火墙上的每个会话的源IP地址、源端口、目的IP地址、目的端口、协议号。防火墙为了进行丰富的包过滤和状态检测,需在其内存中维护一个跟踪连接状态的表,具体地,跟踪并且记录连接状态,防火墙为每一个连接的第一个经过网络堆栈的数据包,生成一个新的连接记录项,就是对每一个这样的连接的产生、传输及终止进行跟踪记录,由所有记录项产生的表,即称为连接跟踪表。此后,所有属于此连接的数据包都被唯一地分配给这个连接,并标识连接的状态。连接跟踪不只是防火墙状态检测的基础,同时也是地址转换中实现源地址转换和目的地址转换的前提。
防火墙可以将私有地址转换为公有地址使数据包能够发到因特网上,同时从因特网上接收数据包时,将公用地址转换为私有地址。
据统计分析,网络安全设备(防火墙)中并发连接数约有85%是TCP连接,而这些TCP连接中约有11%是即将关闭的连接,约有8%是即将超时的连接,这些即将关闭和即将超时的连接是没有数据流的连接,也就是说,是很快就可以被老化的连接。
本发明通过加速缩短连接的老化时间,使连接快速老化以被提前释放,从而为***腾出内存空间以创建新连接。为此,预先设置一个加速老化阀值,当需要创建新连接时,并发连接数达到该阀值时,启动加速老化连接的进程,预先设置一个可支持的并发连接数阀值,当接近满负荷运转,释放原有连接,为建立新连接提供资源,显然,加速老化阀值小于并发连接数阀值。如果当前并发连接数达到该并发连接数阀值,说明***已经快满负荷运转了,这时就先找一个可以被释放的连接把其释放再创建新连接,如果找不到,则直接丢弃报文,也就不用创建新连接,这样,即使在达到并发连接数阀值的情况下也能有能力继续创建新连接。
本发明实施例提供的一种网络安全设备的连接控制方法,包括:
当接收到报文需要创建新连接,检测并获取当前的并发连接数;
将所述并发连接数与第一预定值、第二预定值比较,其中第一预定值小于第二预定值;
若所述并发连接数小于所述第一预定值,则直接创建新连接;
若所述并发连接数大于所述第一预定值而小于第二预定值,则启动加速老化进程,具体地,置一个需要进行加速老化标记用来告诉定时器要加速老化连接,再创建新连接;
所述可被释放的连接包括:没有完全建立的TCP连接、单向传输数据流的非TCP连接。
若所述并发连接数大于所述第二预定值,则选择并释放一个连接,再创建新连接;
若所述并发连接数大于所述第二预定值,无可释放的连接,则丢弃所接收到的报文。
所述第一预定值为预先设置的加速老化阀值,即需要加速老化连接的并发连接数,通常选取最大并发连接数的75%,所述第二预定值为可支持的并发连接数,根据总的内存空间容量和是否做地址转换来设定的,一般取最大并连接数的95%。
具体地,选择可被释放的连接可根据预先设置的标识进行判断选择,因此,该方法还包括预先标识所述可被释放的连接的步骤,具体包括:
将没有完全建立的TCP连接、单向传输数据流的非TCP连接设置“可被释放”的标记;
对于处于已连接状态的TCP连接,标记上“不能被释放”的标记。对于非TCP连接且正反方向都有数据流,标记上“不能被释放”的标记。
为使本发明的原理、优点和特性更加清楚,下面结合具体实施例对本发明进行描述。
实施例一
本实施例中,预先设置一个加速老化阀值和一个并发连接数阀值,当需要创建新连接时,并发连接数达到该阀值时,启动加速老化连接的进程,预先设置当接近满负荷运转,需要释放原有连接,为建立新连接提供资源,在此,加速老化阀值小于并发连接数阀值。
参照图1,本发明实施例提供的连接控制方法,包括如下步骤:
S01,防火墙接收到报文后需要创建新连接,检测并获取当前的并发连接数;
S02,比较当前并发连接数与加速老化阀值、并发连接数阀值;
S03,根据比较结果处理连接,包括:释放连接、加快连接老化进程和创建新连接。
若当前并发连接数小于加速老化阀值,则直接创建新连接。
例如,TCP连接的同步状态SYN的常规定时时间是120秒,假设这个TCP连接刚由一方发起经过防火墙,那么其状态为SYN,当前定时时间是120秒。同时假设一个时钟触发信号周期是1秒,收到触发信号后,通常定时器会将TCP连接的当前定时时间缩减1得119秒,然后判断其当前定时时间是否为零,在此连接当前定时时间为0秒时,将该TCP连接释放掉,这样可直接创建新连接。
若当前并发连接数大于等于加速老化阀值且小于并发连接数阀值,则通知定时器要加速老化连接(即每个触发时钟信号来之后,通过加速缩减定时器上当前连接的存活时间以对连接进行加速老化)。
防火墙上的每一连接都有自己的常规定时时间(即存活时间),当某个连接状态的定时时间到达之后,定时器会通知将这个连接释放。随着一个连接的状态变化,该连接的定时时间会更新为新状态的存活时间。
当防火墙当前并发连接数达到或超过加速老化阀值时,会置一个需要进行加速老化标记用来通知定时器要加速老化连接。仍然以TCP连接为例,如果TCP连接状态是TIME_WAIT状态(即没有完全关闭状态),其TIME_WAIT状态的常规定时时间是120秒,假设这个TCP连接在此状态下当前存活时间已经变为80秒,由于已置加速老化标记,收到时钟触发信号后需要进行加速老化,定时器将TCP连接的当前存活时间缩减5秒的速率得75秒,在此按照原来的5倍速度缩减存活时间,从而快速老化该连接,直到此连接的存活时间为0秒,定时器通知将TCP连接释放掉。
需要说明的是,加速老化连接的速率可根据具体情况设置,可按照原来的N倍速度缩减存活时间,N大于1。
若当前并发连接数大于等于并发连接数阀值且找到一个可以被释放的连接,那么先释放一个可以被释放的连接,然后再创建新连接。
若当前并发连接数大于并发连接数阀值且没有找到一个可以被释放的连接,则直接丢弃报文,不用创建新连接。
本发明实施例中,需要创建新连接时,当并发连接数达到或超过加速老化阀值,通过缩短各连接状态老化时间,在达到最大并发连接数的情况下,加速可释放连接的老化进程,以腾出内存空间来创建新连接,使得网络安全设备有能力继续创建新连接,使得网络安全设备正常工作。
实施例二
参照图2,本发明实施例提供的一种可控制连接的网络安全设备200,包括:
接收单元210,用于接收到报文,并通知需要创建新连接;
检测单元220,用于检测并获取当前的并发连接数;
比较单元230,用于比较所述并发连接数与第一预定值、第二预定值,其中第一预定值小于第二预定值;
连接控制单元240,用于释放连接和创建新连接,以及控制连接老化进程;
若当前并发连接数小于所述第一预定值,则连接控制单元240直接创建新连接;
若当前并发连接数大于所述第一预定值而小于第二预定值,则连接控制单元240加快可被释放连接的老化进程;在老化完成后创建新连接;
若当前并发连接数大于所述第二预定值,则连接控制单元240释放至少一个连接并创建新连接。
该网络安全设备,还包括:
判断单元250,用于识别是否为可被释放连接;
标识单元260,用于标识判断单元250所确定的可被释放的连接。
连接控制单元240根据标识单元260提供的标识选择进行释放的连接。
所述可被释放的连接包括:
没有完全建立的TCP连接、单向传输数据流的非TCP连接。
所述第一预定值为预先设置的需要加速老化连接的并发连接数,所述第二预定值为可支持的并发连接数。
综上所述,本发明实施例提供的技术方案中,当并发连接数达到或超过加速老化阀值,通过缩短各连接状态老化时间;当并发连接数达到并发连接阀值,在创建新连接前先释放可释放的连接再创建新连接。这样,在达到最大并发连接数的情况下,可将一些没有完全关闭的和即将超时掉的连接提前老化,腾出内存空间来创建新连接,使得网络安全设备有能力继续创建新连接,最大限度的支持更多连接,进而充分挖掘利用网络安全设备的性能。
显然,本领域的技术人员应该明白,上述的本发明的各单元或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们中的多个单元或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
Claims (12)
1.一种网络安全设备的连接控制方法,其特征在于,包括:
当接收到报文需要创建新连接,检测并获取当前的并发连接数;
将所述并发连接数与第一预定值、第二预定值比较,其中第一预定值小于第二预定值;
若所述并发连接数小于所述第一预定值,则直接创建新连接;
若所述并发连接数大于所述第一预定值而小于第二预定值,则启动加速老化进程,再创建新连接;
若所述并发连接数大于所述第二预定值,则选择并释放一个连接,再创建新连接。
2.如权利要求1所述的方法,其特征在于,进一步包括:
若所述并发连接数大于所述第二预定值,无可释放的连接,则丢弃所接收到的报文且不创建新连接。
3.如权利要求1所述的方法,其特征在于,所述加快连接的老化进程,具体包括:
获取所选择连接的存活时间;
基于周期性的触发信号按照新步幅缩减存活时间,新步幅为原步幅的N倍,N>1。
4.如权利要求3所述的方法,其特征在于,
所述周期性的触发信号为时钟信号。
5.如权利要求1所述的方法,其特征在于,被释放的连接包括:
未完全建立的TCP连接、单向传输数据流的非TCP连接。
6.如权利要求1所述的方法,其特征在于,还包括:
预先标识被释放的连接的步骤。
7.如权利要求1至5中任一项所述的方法,其特征在于,
所述第一预定值为预先设置的需要加速老化连接的并发连接数,所述第二预定值为可支持的并发连接数。
8.如权利要求7所述的方法,其特征在于,
所述第一预定值为最大并发连接数的75%,所述第二预定值为最大并发连接数的95%。
9.一种可控制连接的网络安全设备,其特征在于,包括:
接收单元,用于接收到报文,并通知需要创建新连接;
检测单元,用于检测并获取当前的并发连接数;
比较单元,用于比较所述并发连接数与第一预定值、第二预定值,其中第一预定值小于第二预定值;
连接控制单元,用于释放连接和创建新连接,以及控制连接老化进程;
若所述并发连接数小于所述第一预定值,则所述连接控制单元直接创建新连接;
若所述并发连接数大于所述第一预定值而小于第二预定值,则所述连接控制单元启动加速老化进程,再创建新连接;
若所述并发连接数大于所述第二预定值,则所述连接控制单元选择并释放一个连接,再创建新连接。
10.如权利要求9所述的网络安全设备,其特征在于,还包括:
判断单元,用于识别是否为可被释放连接;
标识单元,用于标识所述判断单元所确定的可被释放的连接;
所述连接控制单元根据所述标识单元的标识选择可被释放的连接。
11.如权利要求9或10所述的网络安全设备,其特征在于,被释放的连接包括:
没有完全建立的TCP连接、单向传输数据流的非TCP连接。
12.如权利要求9或10所述的网络安全设备,其特征在于,
所述第一预定值为预先设置的需要加速老化连接的并发连接数,所述第二预定值为可支持的并发连接数。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009100768458A CN101547198B (zh) | 2009-01-22 | 2009-01-22 | 一种网络安全设备的连接控制方法及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009100768458A CN101547198B (zh) | 2009-01-22 | 2009-01-22 | 一种网络安全设备的连接控制方法及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101547198A CN101547198A (zh) | 2009-09-30 |
| CN101547198B true CN101547198B (zh) | 2011-12-28 |
Family
ID=41194087
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009100768458A Expired - Fee Related CN101547198B (zh) | 2009-01-22 | 2009-01-22 | 一种网络安全设备的连接控制方法及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101547198B (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102752304B (zh) * | 2012-07-06 | 2015-11-18 | 汉柏科技有限公司 | 防止半连接攻击的方法及*** |
| CN102761485B (zh) * | 2012-07-06 | 2015-04-22 | 汉柏科技有限公司 | 网络设备处理连接的方法及*** |
| CN104519027A (zh) * | 2013-09-30 | 2015-04-15 | 宁夏先锋软件有限公司 | 一种计算机网络的安全设备 |
| CN106302090B (zh) * | 2015-05-25 | 2019-10-22 | 阿里巴巴集团控股有限公司 | 一种消息处理方法、装置及*** |
| CN105871539B (zh) * | 2016-03-18 | 2020-02-14 | 华为技术有限公司 | 一种密钥处理方法及装置 |
| CN107172036B (zh) * | 2017-05-11 | 2020-05-05 | 北京安赛创想科技有限公司 | 一种网络扫描控制方法及装置 |
| CN109729059B (zh) | 2017-10-31 | 2020-08-14 | 华为技术有限公司 | 数据处理方法、装置及计算机 |
| CN110213320B (zh) * | 2019-01-02 | 2021-11-02 | 腾讯科技(深圳)有限公司 | 通信连接的方法、装置、电子设备及计算机可读存储介质 |
| CN115334136B (zh) * | 2022-07-05 | 2024-02-02 | 北京天融信网络安全技术有限公司 | 一种连接老化控制方法、***、设备及存储介质 |
-
2009
- 2009-01-22 CN CN2009100768458A patent/CN101547198B/zh not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| CN101547198A (zh) | 2009-09-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101547198B (zh) | 一种网络安全设备的连接控制方法及设备 | |
| CN101170459B (zh) | 基于双向转发链路进行故障检测与链路恢复的方法 | |
| CN101060485B (zh) | 拓扑改变报文的处理方法和处理装置 | |
| CN101019405A (zh) | 用于在通信网络中缓解拒绝服务的方法和*** | |
| CN103117946B (zh) | 基于隔离装置与隔离网关结合应用的流量分担方法 | |
| EP1592197A2 (en) | Network amplification attack mitigation | |
| CN101163041B (zh) | 一种防范syn洪泛攻击的方法及*** | |
| CN100428697C (zh) | 旁路组合***及基于旁路组合***的业务处理方法 | |
| JP2015204533A (ja) | オープンフロースイッチおよびオープンフローネットワークの障害復旧方法 | |
| CN109246057A (zh) | 报文转发方法、装置、转发***、存储介质及电子设备 | |
| CN102932249B (zh) | 一种vrrp报文的传输方法和装置 | |
| CN101931550A (zh) | 用于主备同步的方法和装置 | |
| CN101854253B (zh) | 一种自动恢复监控和存储的方法及其监控*** | |
| CN101340276A (zh) | 防止IPv6数据报文攻击的方法、装置和交换路由设备 | |
| CN104125213A (zh) | 一种防火墙抗分布式拒绝服务ddos攻击的方法和装置 | |
| JP2014220551A (ja) | ノード装置および光通信システム | |
| CN103227733B (zh) | 一种拓扑发现方法及*** | |
| CN106790502B (zh) | 一种基于NAT64前缀的IPv4终端、IPv6服务互通业务的负载均衡*** | |
| US7257134B2 (en) | Method of pacing the synchronization of routing information in a data switching environment | |
| CN104081743A (zh) | 一种链路管理方法、设备和通信*** | |
| CN102695254A (zh) | 一种电源管理方法及网络接入设备 | |
| FI127540B (en) | Network resource management of communication resources | |
| CN100579038C (zh) | 一种照明设备的统一监控平台及实现方法 | |
| KR101139537B1 (ko) | 이동통신망의 스캐닝 트래픽 탐지방법 | |
| CN100429881C (zh) | 一种在透明模式下防止syn洪水攻击、保护网络的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20111228 Termination date: 20180122 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |