專利名稱:對(duì)非法客戶端進(jìn)行隔離提示的方法和系統(tǒng)以及網(wǎng)關(guān)設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)通信技術(shù),特別是涉及對(duì)非法客戶端進(jìn)行隔離提示的方法和系統(tǒng)以及網(wǎng)關(guān)i殳備�����。
技術(shù)背景隨著網(wǎng)絡(luò)技術(shù)的蓬勃發(fā)展以及全球信息化進(jìn)程的加速����,人類生活模式已 發(fā)生改變。然而伴隨著信息便利而來(lái)的�����,則是出現(xiàn)了各種形形色色的網(wǎng)絡(luò)攻 擊和破壞���,產(chǎn)生了日益令人擔(dān)憂的網(wǎng)絡(luò)安全問(wèn)題�。圖1是使用網(wǎng)關(guān)設(shè)備保證網(wǎng)絡(luò)安全的網(wǎng)絡(luò)結(jié)構(gòu)示意圖�。參見圖1,目前, 為了避免非法客戶端對(duì)網(wǎng)絡(luò)中的服務(wù)器進(jìn)行攻擊���,保證網(wǎng)絡(luò)的安全����,在客戶 端和服務(wù)器之間設(shè)置了網(wǎng)關(guān)設(shè)備����,由網(wǎng)關(guān)設(shè)備對(duì)非法客戶端進(jìn)行識(shí)別并隔 離,從而阻斷非法客戶端與服務(wù)器之間的信息交互�����,保證服務(wù)器不會(huì)受到攻 擊��。下面描述對(duì)非法客戶端進(jìn)行識(shí)別和隔離的具體過(guò)程�����。圖2是利用網(wǎng)關(guān)設(shè)備識(shí)別非法客戶端的流程圖���。參見圖l和圖2�����,目前���, 利用網(wǎng)關(guān)設(shè)備識(shí)別非法客戶端的過(guò)程具體包括以下步驟步驟201:客戶端1發(fā)送建立連接的請(qǐng)求報(bào)文�,稱為同步序列編號(hào) (synchronize sequence Numbers, SYN )才艮文�。步驟202:網(wǎng)關(guān)設(shè)備接收到客戶端1發(fā)送的SYN報(bào)文�����,根據(jù)預(yù)設(shè)策略 判斷該客戶端1是否為非法客戶端�����,如果是�,則執(zhí)行步驟210,否則,執(zhí)行 步驟203��。步驟203:網(wǎng)關(guān)設(shè)備將SYN報(bào)文發(fā)送至服務(wù)器�����,服務(wù)器將同步應(yīng)答 (synchronize sequence Numbers Acknowledgment, SYN ACK)才艮文發(fā)送至 客戶端1����。
步驟204:客戶端l發(fā)送應(yīng)答(ACK)報(bào)文。步驟205:網(wǎng)關(guān)設(shè)備接收到客戶端1發(fā)送的ACK報(bào)文,根據(jù)預(yù)設(shè)策略 判斷該客戶端1是否為非法客戶端��,如果是�����,則執(zhí)行步驟210,否則��,執(zhí)行 步驟206��。步驟206:網(wǎng)關(guān)設(shè)備將ACK報(bào)文發(fā)送至服務(wù)器���。上述步驟201至步驟206的過(guò)程完成了客戶端1與服務(wù)器之間TCP連 接的三次握手過(guò)程����,從而建立了客戶端1與服務(wù)器之間的連接�����。 步驟207:客戶端1發(fā)送業(yè)務(wù)請(qǐng)求凈艮文�。步驟208:網(wǎng)關(guān)設(shè)備接收到客戶端1發(fā)送的業(yè)務(wù)請(qǐng)求報(bào)文,根據(jù)預(yù)設(shè)策 略判斷該客戶端1是否為非法客戶端�����,如果是,則執(zhí)行步驟210�,否則,執(zhí) 行步驟209����。步驟209:網(wǎng)關(guān)設(shè)備將業(yè)務(wù)請(qǐng)求報(bào)文發(fā)送至服務(wù)器,服務(wù)器向客戶端1 提供相應(yīng)的業(yè)務(wù)服務(wù)�,結(jié)束當(dāng)前流程。步驟210:網(wǎng)關(guān)設(shè)備將該客戶端1標(biāo)識(shí)為非法客戶端�,并中斷客戶端l 與服務(wù)器之間的連接����。本步驟中,將客戶端1標(biāo)識(shí)為非法客戶端的具體實(shí)現(xiàn)可以是網(wǎng)關(guān)設(shè)備 將該客戶端1的標(biāo)識(shí)加入預(yù)設(shè)的隔離表中���。在利用上述圖2所示過(guò)程識(shí)別出客戶端1為非法客戶端后�,如果該客戶 端1再次向服務(wù)器請(qǐng)求業(yè)務(wù)�,那么,網(wǎng)關(guān)設(shè)備則會(huì)對(duì)該客戶端1進(jìn)行隔離提 示�,參見圖1和圖3,在現(xiàn)有技術(shù)中��,對(duì)非法客戶端進(jìn)行隔離提示的過(guò)程具 體包括以下步驟步驟301:客戶端1在一個(gè)新建會(huì)話上發(fā)送SYN報(bào)文��。步驟302:網(wǎng)關(guān)設(shè)備接收到SYN報(bào)文,確定是非法的客戶端1發(fā)來(lái)的��, 則直接將SYN ACK報(bào)文發(fā)送至客戶端1 ����。步驟303:客戶端1返回ACK報(bào)文。上述步驟301至步驟303的過(guò)程完成了客戶端與網(wǎng)關(guān)設(shè)備之間新建會(huì)話 的三次握手過(guò)程��,從而建立了客戶端1與網(wǎng)關(guān)設(shè)備之間的會(huì)話連接����。
步驟304:客戶端1發(fā)送業(yè)務(wù)請(qǐng)求報(bào)文。步驟305:網(wǎng)關(guān)設(shè)備接收到客戶端l發(fā)來(lái)的業(yè)務(wù)請(qǐng)求報(bào)文后�����,直接中斷 本次連接�����,并向客戶端1發(fā)送隔離提示�����。由上述圖3所示流程可以看出�,在網(wǎng)關(guān)設(shè)備識(shí)別出 一個(gè)客戶端為非法客 戶端之后���,如果該非法客戶端再次發(fā)起請(qǐng)求,那么����,為了向非法客戶端發(fā)送 隔離提示,使得非法客戶端能夠獲知自身已被隔離��,避免該非法客戶端重復(fù) 無(wú)謂地發(fā)送請(qǐng)求���,目前�����,必須首先由網(wǎng)關(guān)設(shè)備與非法客戶端進(jìn)行三次握手過(guò) 程,建立連接���,然后���,網(wǎng)關(guān)設(shè)備才能利用該建立的連接向非法客戶端發(fā)送隔 離提示。然而�,在現(xiàn)有技術(shù)中,當(dāng)被識(shí)別出的非法客戶端再次發(fā)起連接時(shí)�����,為了 能夠向非法客戶端發(fā)送隔離提示,網(wǎng)關(guān)設(shè)備需要與非法客戶端進(jìn)行三次握手 過(guò)程��,這樣���,則要求網(wǎng)關(guān)設(shè)備具有較高的處理能力�。比如����,為了能夠代替服 務(wù)器與非法客戶端進(jìn)行三次握手過(guò)程中報(bào)文的交互,網(wǎng)關(guān)設(shè)備必須具備各種 協(xié)議的代理功能����,而不同協(xié)議的代理機(jī)制又有所不同,因此�����,對(duì)網(wǎng)關(guān)設(shè)備的 處理能力提出了較高要求���。再如���,網(wǎng)關(guān)設(shè)備在與非法客戶端進(jìn)行每次握手過(guò) 程時(shí)���,均需要維護(hù)各種復(fù)雜的握手狀態(tài),因此�����,也對(duì)網(wǎng)關(guān)設(shè)備的處理能力提 出了較高要求��?����?梢?�,現(xiàn)有技術(shù)對(duì)非法客戶端進(jìn)行隔離提示的方法����,要求網(wǎng)關(guān)設(shè)備具有 較高的處理能力,增加了網(wǎng)關(guān)設(shè)備的實(shí)現(xiàn)難度��,不易于業(yè)務(wù)的開展和實(shí)現(xiàn)��。發(fā)明內(nèi)容有鑒于此�,本發(fā)明的一個(gè)目的在于提供一種對(duì)非法客戶端進(jìn)行隔離提示 的方法�,本發(fā)明的另 一個(gè)目的在于提供一種對(duì)非法客戶端進(jìn)行隔離提示的系 統(tǒng)����,本發(fā)明的再一個(gè)目的在于提供一種網(wǎng)關(guān)設(shè)備����,以便于降低網(wǎng)關(guān)設(shè)備的實(shí) 現(xiàn)難度。為了達(dá)到上述目的����,本發(fā)明的技術(shù)方案是這樣實(shí)現(xiàn)的 一種對(duì)非法客戶端進(jìn)行隔離提示的方法,該方法包括
網(wǎng)關(guān)設(shè)備接收到已被識(shí)別出的非法客戶端在新建會(huì)話上發(fā)送的握手報(bào)文�����,將該握手報(bào)文發(fā)送給服務(wù)器��;服務(wù)器與非法客戶端進(jìn)行所述會(huì)話的握手 過(guò)程����;網(wǎng)關(guān)設(shè)備將所述會(huì)話記錄為隔離會(huì)話;在所述握手過(guò)程結(jié)束后�����,網(wǎng)關(guān) 設(shè)備在所述會(huì)話上監(jiān)聽報(bào)文,當(dāng)監(jiān)聽到后����,根據(jù)記錄確定所述會(huì)話為隔離會(huì) 話,則向非法客戶端發(fā)送隔離提示���。 一種網(wǎng)關(guān)設(shè)備�,包括握手報(bào)文處理單元���,用于在接收到已被識(shí)別出的非法客戶端在新建會(huì)話 上發(fā)送的握手報(bào)文后��,將該握手報(bào)文發(fā)送給服務(wù)器��,并向隔離會(huì)話標(biāo)記單元 發(fā)送標(biāo)記通知����,將服務(wù)器發(fā)送的所述會(huì)話的握手報(bào)文發(fā)送給所述非法客戶 端�;隔離會(huì)話標(biāo)記單元,用于在接收到標(biāo)記通知后�����,將所述會(huì)話記錄為隔離 會(huì)話�;隔離處理單元,在所述會(huì)話上監(jiān)聽報(bào)文����,當(dāng)監(jiān)聽到后,根據(jù)隔離會(huì)話標(biāo) 記單元的記錄確定所述會(huì)話為隔離會(huì)話���,向非法客戶端發(fā)送隔離提示�。一種對(duì)非法客戶端進(jìn)行隔離提示的系統(tǒng)����,包括非法客戶端、服務(wù)器和 網(wǎng)關(guān)設(shè)備��。由此可見�����,在本發(fā)明中��,在識(shí)別出一個(gè)客戶端為非法客戶端之后���,當(dāng)該 非法客戶端發(fā)起后續(xù)連接時(shí)�����,為了能夠向非法客戶端發(fā)送隔離提示���,由服務(wù) 器與該非法的客戶端進(jìn)行三次握手過(guò)程��,網(wǎng)關(guān)設(shè)備無(wú)需再參與握手過(guò)程�,因 此�,降低了對(duì)網(wǎng)關(guān)設(shè)備處理能力的要求。比如�,由于網(wǎng)關(guān)設(shè)備無(wú)需參與握手 過(guò)程,因此使得網(wǎng)關(guān)設(shè)備無(wú)需具備各種協(xié)議的代理功能�。再如,由于網(wǎng)關(guān)設(shè) 備無(wú)需參與握手過(guò)程���,因此��,網(wǎng)關(guān)設(shè)備無(wú)需執(zhí)行現(xiàn)有技術(shù)中維護(hù)各種復(fù)雜的 握手狀態(tài)的處理�����??梢?,本發(fā)明降低了網(wǎng)關(guān)設(shè)備的實(shí)現(xiàn)難度,有易于業(yè)務(wù)的 開展和實(shí)現(xiàn)����。
圖1是使用網(wǎng)關(guān)設(shè)備保證網(wǎng)絡(luò)安全的網(wǎng)絡(luò)結(jié)構(gòu)示意圖��。 圖2是利用網(wǎng)關(guān)設(shè)備識(shí)別非法客戶端的流程圖。圖3是在現(xiàn)有技術(shù)中對(duì)非法客戶端進(jìn)行隔離提示的流程圖����。圖4是在本發(fā)明 一個(gè)實(shí)施例中對(duì)非法客戶端進(jìn)行隔離提示的流程圖。圖5是在本發(fā)明實(shí)施例中提出的網(wǎng)關(guān)設(shè)備的內(nèi)部結(jié)構(gòu)示意圖��。
具體實(shí)施方式
為使本發(fā)明的目的��、技術(shù)方案和優(yōu)點(diǎn)更加清楚����,下面結(jié)合附圖及具體實(shí) 施例對(duì)本發(fā)明作進(jìn) 一 步地詳細(xì)描述。本發(fā)明提出了一種對(duì)非法客戶端進(jìn)行隔離提示的方法����,該方法包括網(wǎng) 關(guān)設(shè)備接收到已被識(shí)別出的非法客戶端在新建會(huì)話上發(fā)送的握手報(bào)文,將該 握手報(bào)文發(fā)送給服務(wù)器��;服務(wù)器與非法客戶端進(jìn)行所述會(huì)話的握手過(guò)程���;網(wǎng) 關(guān)設(shè)備將所述會(huì)話記錄為隔離會(huì)話��;在所述握手過(guò)程結(jié)束后��,網(wǎng)關(guān)設(shè)備在所 述會(huì)話上監(jiān)聽報(bào)文����,當(dāng)監(jiān)聽到后,根據(jù)記錄確定所述會(huì)話為隔離會(huì)話��,則向 非法客戶端發(fā)送隔離提示�。圖4是在本發(fā)明一個(gè)實(shí)施例中對(duì)非法客戶端進(jìn)行隔離提示的流程圖。參 見圖4,在本發(fā)明一個(gè)實(shí)施例中���,在通過(guò)圖2所示流程識(shí)別出一個(gè)客戶端如 客戶端1為非法客戶端之后����,如果該客戶端l再次發(fā)起連接����,那么,對(duì)該非 法的客戶端1進(jìn)行隔離提示的過(guò)程具體包括以下步驟步驟401:非法的客戶端1在一個(gè)新建會(huì)話上發(fā)送SYN報(bào)文�。這里,SYN報(bào)文是已被識(shí)別為非法客戶端的客戶端1在新建會(huì)話上發(fā) 送的第一個(gè)握手報(bào)文��。步驟402:網(wǎng)關(guān)設(shè)備在新建會(huì)話上接收到SYN報(bào)文��,確定是非法的客 戶端l發(fā)來(lái)的,則將該新建會(huì)話記錄為隔離會(huì)話��。這里�,將新建會(huì)話記錄為隔離會(huì)話的具體實(shí)現(xiàn)過(guò)程可以是網(wǎng)關(guān)設(shè)備從 SYN報(bào)文中提取標(biāo)識(shí)該新建會(huì)話的信息,將提取的會(huì)話的信息記錄在預(yù)先 設(shè)置的隔離會(huì)話表中。其中,提取的標(biāo)識(shí)該新建會(huì)話的信息可以是包括源IP地址在內(nèi)的會(huì)話
五元組中的任意一個(gè)或多個(gè)�,比如,源IP地址和協(xié)i義類型�,再如,源IP地 址����、源端口號(hào)以及目的IP地址。較佳地�,可以是報(bào)文中攜帶的源IP地址和 源端口號(hào),即握手報(bào)文中攜帶的非法客戶端1的IP地址和端口號(hào)�。步驟403:網(wǎng)關(guān)設(shè)備將SYN報(bào)文發(fā)送至服務(wù)器。 步驟404:服務(wù)器接收到SYN報(bào)文后��,返回SYNACK報(bào)文��。 這里�����,SYNACK報(bào)文是新建會(huì)話的第二個(gè)握手報(bào)文。 步驟405:網(wǎng)關(guān)設(shè)備接收到SYN ACK報(bào)文后�,將該SYN ACK報(bào)文發(fā) 送至非法的客戶端1。步驟406:非法的客戶端l接收到SYNACK報(bào)文后����,返回ACK報(bào)文。 這里�����,ACK報(bào)文是新建會(huì)話的第三個(gè)握手報(bào)文�����。步驟407:網(wǎng)關(guān)設(shè)備在新建會(huì)話上接收到ACK報(bào)文���,將該ACK報(bào)文發(fā)送至服務(wù)器�����。至此����,則完成了新建會(huì)話的全部握手過(guò)程,建立了服務(wù)器與非法的客戶 端1的會(huì)話連接���。步驟408:在握手過(guò)程結(jié)束后�,網(wǎng)關(guān)設(shè)備在所述新建會(huì)話上監(jiān)聽報(bào)文�����。 步驟409:當(dāng)網(wǎng)關(guān)設(shè)備監(jiān)聽到報(bào)文后����,根據(jù)記錄確定該新建會(huì)話為隔離 會(huì)話。在步驟408和步驟409中�����,網(wǎng)關(guān)設(shè)備所監(jiān)聽的報(bào)文可以根據(jù)非法的客戶 端1與服務(wù)器之間的通信機(jī)制來(lái)確定�����。其中�,當(dāng)非法的客戶端1與服務(wù)器采用客戶端先發(fā)送請(qǐng)求報(bào)文的機(jī)制時(shí)��,比如 超文本傳輸協(xié)議(HTTP),那么��,為了保證網(wǎng)關(guān)設(shè)備能夠在建立與非法的 客戶端1的連接后,及時(shí)對(duì)非法的客戶端1進(jìn)行隔離提示處理�,網(wǎng)關(guān)設(shè)備在 所述新建會(huì)話上監(jiān)聽的報(bào)文為非法的客戶端1發(fā)送的第一個(gè)業(yè)務(wù)請(qǐng)求報(bào)文 (Request);當(dāng)非法的客戶端1與服務(wù)器采用服務(wù)器端先發(fā)送回應(yīng)報(bào)文的機(jī)制時(shí),比 如FTP或SMTP�,那么,為了保證網(wǎng)關(guān)設(shè)備能夠在建立與非法的客戶端1的 連接后�,及時(shí)對(duì)非法的客戶端1進(jìn)行隔離提示處理,網(wǎng)關(guān)設(shè)備在所述新建會(huì) 話上監(jiān)聽的報(bào)文可以為服務(wù)器發(fā)送的應(yīng)答報(bào)文�����。另外�����,在本步驟中�����,根據(jù)記錄確定該新建會(huì)話為隔離會(huì)話的具體實(shí)現(xiàn)包括網(wǎng)關(guān)設(shè)備從監(jiān)聽到的報(bào)文中提取會(huì)話的信息���,在從隔離會(huì)話表中查找到 該會(huì)話的信息后��,確定所述會(huì)話為隔離會(huì)話��。當(dāng)然�����,本步驟中提取的會(huì)話的 信息與步驟402中提取的會(huì)話的信息相同�����,比如��,均提取報(bào)文中攜帶的源IP ;也址和源端口號(hào)�。步驟410:網(wǎng)關(guān)設(shè)備將隔離提示發(fā)送至非法的客戶端1,并中斷本次新 建會(huì)話的連接。這里�����,如果非法的客戶端1與服務(wù)器采用客戶端先發(fā)送請(qǐng)求報(bào)文的機(jī) 制��,比如超文本傳輸協(xié)議(HTTP),那么���,隔離提示是由網(wǎng)關(guān)設(shè)備構(gòu)造的。 如果非法的客戶端1與服務(wù)器采用服務(wù)器端先發(fā)送回應(yīng)報(bào)文的機(jī)制�,那么,另外��,網(wǎng)關(guān)設(shè)備中斷本次新建會(huì)話的連接的方法為網(wǎng)關(guān)設(shè)備將Reset 報(bào)文分別發(fā)送至非法的客戶端1和服務(wù)器���。需要說(shuō)明的是���,在上述圖4所示流程中�����,網(wǎng)關(guān)設(shè)備是在接收到非法的客 戶端1發(fā)來(lái)的第一個(gè)握手報(bào)文時(shí)�����,執(zhí)行將所述的新建會(huì)話記錄為隔離會(huì)話的 處理���。在本發(fā)明的其他實(shí)施例中,網(wǎng)關(guān)設(shè)備也可以在接收到其他握手報(bào)文時(shí) 執(zhí)行將所述的新建會(huì)話記錄為隔離會(huì)話的處理�,只需保證該處理在三次握手 過(guò)程中進(jìn)行即可。另外�����,本發(fā)明還提出了一種網(wǎng)關(guān)設(shè)備�����。圖5是在本發(fā)明實(shí)施例中提出的 網(wǎng)關(guān)設(shè)備的內(nèi)部結(jié)構(gòu)示意圖����。參見圖5�,該網(wǎng)關(guān)設(shè)備包括握手報(bào)文處理單元��,用于在接收到已被識(shí)別出的非法客戶端在新建會(huì)話 上發(fā)送的握手報(bào)文后����,將該握手報(bào)文發(fā)送給服務(wù)器,并向隔離會(huì)話標(biāo)記單元 發(fā)送標(biāo)記通知��,將服務(wù)器發(fā)送的所述會(huì)話的握手報(bào)文發(fā)送給所述非法客戶 端���;隔離會(huì)話標(biāo)記單元�����,用于在4妻收到標(biāo)記通知后���,將所述會(huì)話記錄為隔離 會(huì)話;
隔離處理單元�����,在所述會(huì)話上監(jiān)聽報(bào)文�,當(dāng)監(jiān)聽到后,根據(jù)隔離會(huì)話標(biāo) 記單元的記錄確定所述會(huì)話為隔離會(huì)話�,向非法客戶端發(fā)送隔離提示。參見圖5��,所述握手報(bào)文處理單元��,進(jìn)一步從非法客戶端發(fā)來(lái)的握手報(bào) 文中提取所述會(huì)話的信息�,將提取的所述會(huì)話的信息攜帶在所述標(biāo)記通知中發(fā)送至所述隔離會(huì)話標(biāo)記單元;所述隔離會(huì)話標(biāo)記單元�����,用于從標(biāo)記通知中獲取所述會(huì)話的信息����,將獲 取的所述會(huì)話的信息記錄在隔離會(huì)話表中;所述隔離處理單元���,用于從監(jiān)聽到的報(bào)文中提取會(huì)話的信息���,在所述隔 離會(huì)話標(biāo)記單元保存的隔離會(huì)話表中查找到所提取的會(huì)話的信息后,確定所 述會(huì)話為隔離會(huì)話���。參見圖5,當(dāng)所述非法客戶端與服務(wù)器采用客戶端先發(fā)送請(qǐng)求報(bào)文的機(jī) 制時(shí)���,所述隔離處理單元用于在所述會(huì)話上監(jiān)聽所述非法客戶端發(fā)送的第一 個(gè)業(yè)務(wù)請(qǐng)求報(bào)文���;當(dāng)所述非法客戶端與服務(wù)器采用服務(wù)器端先發(fā)送回應(yīng)報(bào)文的機(jī)制時(shí),所 述隔離處理單元用于在所述會(huì)話上監(jiān)聽所述服務(wù)器發(fā)送的應(yīng)答報(bào)文��。另外���,本發(fā)明還提出了一種對(duì)非法客戶端進(jìn)行隔離提示的系統(tǒng)�,包括 非法客戶端����、服務(wù)器和網(wǎng)關(guān)設(shè)備。其中����,網(wǎng)關(guān)設(shè)備可以采用本發(fā)明上述實(shí)施 例提供的任意 一種網(wǎng)關(guān)設(shè)備來(lái)實(shí)現(xiàn)。在本發(fā)明的各種實(shí)施例中��,網(wǎng)關(guān)設(shè)備可以是任意 一種能夠?qū)Ψ?wù)器進(jìn)行 安全保護(hù)的設(shè)備��,比如�����,IPSi殳備���、防病毒墻i殳備或UTM設(shè)備���。總之���,以上所述僅為本發(fā)明的較佳實(shí)施例而已�,并非用于限定本發(fā)明的 保護(hù)范圍�����。凡在本發(fā)明的精神和原則之內(nèi)��,所作的任何修改����、等同替換、改 進(jìn)等���,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)���。
權(quán)利要求
1�����、一種對(duì)非法客戶端進(jìn)行隔離提示的方法���,其特征在于,該方法包括網(wǎng)關(guān)設(shè)備接收到已被識(shí)別出的非法客戶端在新建會(huì)話上發(fā)送的握手報(bào)文����,將該握手報(bào)文發(fā)送給服務(wù)器;服務(wù)器與非法客戶端進(jìn)行所述會(huì)話的握手過(guò)程��;網(wǎng)關(guān)設(shè)備將所述會(huì)話記錄為隔離會(huì)話��;在所述握手過(guò)程結(jié)束后�,網(wǎng)關(guān)設(shè)備在所述會(huì)話上監(jiān)聽報(bào)文,當(dāng)監(jiān)聽到后�,根據(jù)記錄確定所述會(huì)話為隔離會(huì)話,則向非法客戶端發(fā)送隔離提示�����。
2�、 根據(jù)權(quán)利要求1所述的方法,其特征在于,所述網(wǎng)關(guān)設(shè)備將所述會(huì)話記 錄為隔離會(huì)話的步驟包括所述網(wǎng)關(guān)設(shè)備從握手報(bào)文中提取標(biāo)識(shí)所述會(huì)話的信 息���,將提取的所述會(huì)話的信息記錄在隔離會(huì)話表中�;所述根據(jù)記錄確定所述會(huì)話為隔離會(huì)話的步驟包括所述網(wǎng)關(guān)設(shè)備從監(jiān)聽 到的報(bào)文中提取會(huì)話的信息��,在從隔離會(huì)話表中查找到該會(huì)話的信息后��,確定 所述會(huì)話為隔離會(huì)話�����。
3�、 根據(jù)權(quán)利要求2所述的方法����,其特征在于,所述提取的會(huì)話的信息為報(bào) 文中攜帶的非法客戶端的IP地址和端口號(hào)�。
4、 根據(jù)權(quán)利要求1所述的方法���,其特征在于����,所述網(wǎng)關(guān)設(shè)備在接收到所述 非法客戶端發(fā)來(lái)的第一次握手報(bào)文時(shí),執(zhí)行將所述會(huì)話記錄為隔離會(huì)話的處理�����。
5�、 根據(jù)權(quán)利要求1至4中任意一項(xiàng)所述的方法,其特征在于�,當(dāng)所述非法 客戶端與服務(wù)器釆用客戶端先發(fā)送請(qǐng)求報(bào)文的機(jī)制時(shí),所述網(wǎng)關(guān)設(shè)備在所述會(huì) 話上監(jiān)聽報(bào)文的步驟包括所述網(wǎng)關(guān)設(shè)備在所述會(huì)話上監(jiān)聽所述非法客戶端發(fā) 送的第 一個(gè)業(yè)務(wù)請(qǐng)求報(bào)文����;當(dāng)所述非法客戶端與服務(wù)器采用服務(wù)器端先發(fā)送回應(yīng)報(bào)文的機(jī)制時(shí),所述 網(wǎng)關(guān)設(shè)備在所述會(huì)話上監(jiān)聽報(bào)文的步驟包括所述網(wǎng)關(guān)設(shè)備在所述會(huì)話上監(jiān)聽 所述服務(wù)器發(fā)送的應(yīng)答報(bào)文�����。
6�、 根據(jù)權(quán)利要求5所述的方法,其特征在于��,所述客戶端先發(fā)送請(qǐng)求報(bào)文 的機(jī)制為超文本傳輸協(xié)議HTTP; 所述服務(wù)器端先發(fā)送回應(yīng)報(bào)文的機(jī)制為FTP或SMTP���。
7�、 一種網(wǎng)關(guān)設(shè)備����,其特征在于��,包括握手報(bào)文處理單元���,用于在接收到已被識(shí)別出的非法客戶端在新建會(huì)話上 發(fā)送的握手報(bào)文后,將該握手報(bào)文發(fā)送給服務(wù)器���,并向隔離會(huì)話標(biāo)記單元發(fā)送 標(biāo)記通知,將服務(wù)器發(fā)送的所述會(huì)話的握手報(bào)文發(fā)送給所述非法客戶端�;隔離會(huì)話標(biāo)記單元,用于在接收到標(biāo)記通知后���,將所述會(huì)話記錄為隔離會(huì)話�;隔離處理單元�,在所述會(huì)話上監(jiān)聽報(bào)文,當(dāng)監(jiān)聽到后����,根據(jù)隔離會(huì)話標(biāo)記 單元的記錄確定所述會(huì)話為隔離會(huì)話,向非法客戶端發(fā)送隔離提示��。
8����、 根據(jù)權(quán)利要求7所述的網(wǎng)關(guān)設(shè)備���,其特征在于,所述握手報(bào)文處理單元��, 進(jìn)一步從非法客戶端發(fā)來(lái)的握手報(bào)文中提取所述會(huì)話的信息���,將提取的所述會(huì) 話的信息攜帶在所述標(biāo)記通知中發(fā)送至所述隔離會(huì)話標(biāo)記單元���;所述隔離會(huì)話標(biāo)記單元,用于從標(biāo)記通知中獲取所述會(huì)話的信息�����,將獲取 的所述會(huì)話的信息記錄在隔離會(huì)話表中����;所述隔離處理單元,用于從監(jiān)聽到的報(bào)文中提取會(huì)話的信息�,在所述隔離 會(huì)話標(biāo)記單元保存的隔離會(huì)話表中查找到所提取的會(huì)話的信息后,確定所述會(huì) 話為隔離會(huì)話�����。
9、 根據(jù)權(quán)利要求7或8所述的網(wǎng)關(guān)設(shè)備���,其特征在于�����,當(dāng)所述非法客戶端 與服務(wù)器采用客戶端先發(fā)送請(qǐng)求報(bào)文的機(jī)制時(shí)��,所述隔離處理單元用于在所述 會(huì)話上監(jiān)聽所述非法客戶端發(fā)送的第 一個(gè)業(yè)務(wù)請(qǐng)求報(bào)文��;當(dāng)所述非法客戶端與服務(wù)器采用服務(wù)器端先發(fā)送回應(yīng)報(bào)文的機(jī)制時(shí)��,所述 隔離處理單元用于在所述會(huì)話上監(jiān)聽所述服務(wù)器發(fā)送的應(yīng)答報(bào)文。
10��、 一種對(duì)非法客戶端進(jìn)行隔離提示的系統(tǒng)���,其特征在于�����,包括非法客 戶端���、服務(wù)器和如權(quán)利要求7至9中任意一項(xiàng)所述的網(wǎng)關(guān)設(shè)備����。
全文摘要
本發(fā)明公開了一種對(duì)非法客戶端進(jìn)行隔離提示的方法����,該方法包括網(wǎng)關(guān)設(shè)備接收到已被識(shí)別出的非法客戶端在新建會(huì)話上發(fā)送的握手報(bào)文,將該握手報(bào)文發(fā)送給服務(wù)器����;服務(wù)器與非法客戶端進(jìn)行所述會(huì)話的握手過(guò)程;網(wǎng)關(guān)設(shè)備將所述會(huì)話記錄為隔離會(huì)話�����;在所述握手過(guò)程結(jié)束后�,網(wǎng)關(guān)設(shè)備在所述會(huì)話上監(jiān)聽報(bào)文,當(dāng)監(jiān)聽到后����,根據(jù)記錄確定所述會(huì)話為隔離會(huì)話,則向非法客戶端發(fā)送隔離提示�����。本發(fā)明還公開了一種網(wǎng)關(guān)設(shè)備以及一種對(duì)非法客戶端進(jìn)行隔離提示的系統(tǒng)����。本發(fā)明降低了網(wǎng)關(guān)設(shè)備的實(shí)現(xiàn)難度��,有易于業(yè)務(wù)的開展和實(shí)現(xiàn)���。
文檔編號(hào)H04L1/16GK101127744SQ20071017543
公開日2008年2月20日 申請(qǐng)日期2007年9月29日 優(yōu)先權(quán)日2007年9月29日
發(fā)明者雷公武 申請(qǐng)人:杭州華三通信技術(shù)有限公司