專利名稱：一種保護(hù)服務(wù)器和網(wǎng)絡(luò)方法
技術(shù)領(lǐng)域：
本發(fā)明涉及計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，更具體地說涉及一種使用部署在互聯(lián)網(wǎng)上的安全 節(jié)點(diǎn)形成一個(gè)虛擬安全網(wǎng)來保護(hù)互聯(lián)網(wǎng)上的網(wǎng)絡(luò)服務(wù)器或網(wǎng)絡(luò)安全的方法。
背景技術(shù)：
互聯(lián)網(wǎng)與人們生活越來越密切，人們會(huì)通過已知的域名或搜索引擎去尋找自己需要的信 息和各種服務(wù)。但與此同時(shí)，互聯(lián)網(wǎng)安全的問題也越來越成為迫切需要解決的問題。據(jù) 2007年9月的統(tǒng)計(jì)，國(guó)內(nèi)網(wǎng)站數(shù)量已達(dá)131萬，而這還是指的在一個(gè)二級(jí)域名下的所有網(wǎng)站只 算做一個(gè)網(wǎng)站的統(tǒng)計(jì)，加上子域名的網(wǎng)站，網(wǎng)站數(shù)量應(yīng)該已經(jīng)超千萬?；ヂ?lián)網(wǎng)上的網(wǎng)站會(huì)受到各種各樣的攻擊和入侵，比如利用網(wǎng)站操作系統(tǒng)、服務(wù)軟件或網(wǎng) 頁程序的安全漏洞的入侵，調(diào)動(dòng)大量肉機(jī)發(fā)起大量無效請(qǐng)求堵死服務(wù)器帶寬的 DDoS (Distributed Denial of Service,分布式拒絕服務(wù)攻擊)等等。為了防范這些入侵和攻擊，需要配備防火墻等安全設(shè)備，這不僅提高了采購(gòu)成本、托管 成本，還提供了維護(hù)人員的技術(shù)水平要求和維護(hù)成本。其實(shí)安全問題是突發(fā)性的，配備防火墻即使能夠保護(hù)服務(wù)器的安全，它在大部分時(shí)間其 實(shí)是擺設(shè)，而在攻擊和入侵發(fā)生時(shí)卻是極端重要。類似地，網(wǎng)站所需要的帶寬在正常訪問時(shí)和被攻擊時(shí)有數(shù)量級(jí)上的要求區(qū)別，比如一個(gè) 網(wǎng)站可能平時(shí)只有10兆的正常訪問量(這已經(jīng)是一個(gè)流量比較大的網(wǎng)站了)，在攻擊發(fā)生時(shí) ，可能100兆都會(huì)被堵死。這樣網(wǎng)站如果購(gòu)買的是10M帶寬，就不能承受任何攻擊流量；如果 購(gòu)買100兆帶寬，就會(huì)極大地浪費(fèi)。攻擊和入侵的非法流量一般都是突發(fā)性的，尤其是DDoS攻擊，是突發(fā)地從四面八方攻擊 同一個(gè)網(wǎng)站，用大批的流量將其網(wǎng)站帶寬沖死。這種情況下，即使網(wǎng)站服務(wù)器前面有防火墻 的保護(hù)都沒有效果，因?yàn)榫奂牧髁恳呀?jīng)把防火墻的出口帶寬堵死了。總結(jié)上述說明，我們可以發(fā)現(xiàn)目前的防火墻類安全產(chǎn)品在保護(hù)網(wǎng)絡(luò)和服務(wù)器時(shí)存在如下 問題1、 防火墻平時(shí)沒用、用時(shí)不夠，造成成本高、資源浪費(fèi)；2、 帶寬平時(shí)足夠、用時(shí)不夠，造成成本高、資源浪費(fèi)；43、單憑防火墻無法保護(hù)安全，還需要IPS等其他安全設(shè)備，但大部分網(wǎng)絡(luò)和服務(wù)器不可 能配全安全設(shè)備。發(fā)明內(nèi)容有鑒于此，本發(fā)明的目的是降低客戶安全成本、解決使用安全網(wǎng)關(guān)一對(duì)一保護(hù)時(shí)無法解 決的問題，比如被保護(hù)區(qū)有多項(xiàng)安全需求、DDoS等。本發(fā)明提供使用部署在互聯(lián)網(wǎng)上的大量 安全節(jié)點(diǎn)形成一個(gè)虛擬安全網(wǎng)來保護(hù)互聯(lián)網(wǎng)上的網(wǎng)絡(luò)服務(wù)器或網(wǎng)絡(luò)的方法，將攻擊和入侵的 非法流量阻擋在網(wǎng)站帶寬出口之外，讓多個(gè)網(wǎng)絡(luò)和服務(wù)器共享多臺(tái)防火墻等網(wǎng)絡(luò)安全設(shè)備， 使這些網(wǎng)絡(luò)安全設(shè)備能夠滿負(fù)荷運(yùn)轉(zhuǎn)、物盡其用，不僅降低每個(gè)網(wǎng)絡(luò)和服務(wù)器所需要的安全 成本和網(wǎng)絡(luò)帶寬，并阻擋傳統(tǒng)防火墻無法阻擋的攻擊。同時(shí)，原本位于客戶網(wǎng)絡(luò)和客戶服務(wù)器前面的邊界式防火墻也可以是用本發(fā)明的技術(shù)加 入這個(gè)虛擬安全網(wǎng)體系，以進(jìn)一步提高上述效果。本發(fā)明是這樣實(shí)現(xiàn)的當(dāng)互聯(lián)網(wǎng)用戶訪問被保護(hù)的服務(wù)器或網(wǎng)絡(luò)時(shí)，由預(yù)設(shè)的DNS解析服務(wù)器確定對(duì)應(yīng)的符合 預(yù)設(shè)條件的目標(biāo)安全節(jié)點(diǎn)，并將該目標(biāo)安全節(jié)點(diǎn)的IP地址提供給所述用戶；該用戶向所述被保護(hù)服務(wù)器或網(wǎng)絡(luò)的請(qǐng)求被指向所述目標(biāo)安全節(jié)點(diǎn)；該目標(biāo)安全節(jié)點(diǎn)在安全策略和智能控制部件的控制下，將該互聯(lián)網(wǎng)用戶的合法請(qǐng)求轉(zhuǎn)發(fā) 給所述被保護(hù)的網(wǎng)絡(luò)服務(wù)器或網(wǎng)絡(luò)，并接收所述網(wǎng)絡(luò)服務(wù)器或網(wǎng)絡(luò)的應(yīng)答數(shù)據(jù)，并在安全策 略和智能控制部件的控制下將合法應(yīng)答數(shù)據(jù)返回給所述用戶。預(yù)設(shè)的DNS解析服務(wù)器按照以下步驟確定符合預(yù)設(shè)條件的目標(biāo)安全節(jié)點(diǎn)根據(jù)該互聯(lián)網(wǎng)用戶的IP及所述被保護(hù)的服務(wù)器或網(wǎng)絡(luò)的IP確定對(duì)應(yīng)的地理和網(wǎng)絡(luò)拓?fù)湮?置，選擇最適合提供服務(wù)的安全節(jié)點(diǎn)；將所述安全節(jié)點(diǎn)按照其與互聯(lián)網(wǎng)用戶和被保護(hù)的服務(wù)器或網(wǎng)絡(luò)之間的數(shù)據(jù)包延時(shí)和丟包 率，延時(shí)和丟包率最小的安全節(jié)點(diǎn)確定為目標(biāo)安全節(jié)點(diǎn)。延時(shí)和丟包率最小的安全節(jié)點(diǎn)的網(wǎng)絡(luò)環(huán)境如果超過預(yù)設(shè)條件時(shí)，確定排列的下一個(gè)安全 節(jié)點(diǎn)為目標(biāo)安全節(jié)點(diǎn)。所述網(wǎng)絡(luò)環(huán)境為負(fù)荷，當(dāng)安全節(jié)點(diǎn)的負(fù)荷超過預(yù)先設(shè)置的門限時(shí)，確定該安全節(jié)點(diǎn)的網(wǎng) 絡(luò)環(huán)境超過預(yù)設(shè)條件。所述目標(biāo)安全節(jié)點(diǎn)在智能控制部件的控制下，將攻擊、入侵等非法數(shù)據(jù)包濾除后，將該 互聯(lián)網(wǎng)用戶的合法請(qǐng)求轉(zhuǎn)發(fā)給所述被保護(hù)的網(wǎng)絡(luò)服務(wù)器或網(wǎng)絡(luò)。一個(gè)安全節(jié)點(diǎn)對(duì)應(yīng)多臺(tái)被保護(hù)的服務(wù)器。多個(gè)安全節(jié)點(diǎn)也可以對(duì)應(yīng)同一臺(tái)服務(wù)器。 透過本發(fā)明組成的虛擬安全網(wǎng)，同一個(gè)網(wǎng)站的內(nèi)容分布到不同的服務(wù)器上、不同的位置 上，使所有的服務(wù)器可以變成虛擬的存儲(chǔ)點(diǎn)，是所有的網(wǎng)絡(luò)接入位置成為純粹的信號(hào)通道。 原來位于客戶服務(wù)器或客戶子網(wǎng)前面的安全網(wǎng)關(guān)保持原來位置或移入互聯(lián)網(wǎng)。 被保護(hù)區(qū)收到安全節(jié)點(diǎn)轉(zhuǎn)發(fā)過來的請(qǐng)求，直接將應(yīng)答數(shù)據(jù)返回給上述互聯(lián)網(wǎng)用戶。 本發(fā)明方法得到的好處有
降低客戶成本 一個(gè)安全節(jié)點(diǎn)可以保護(hù)多臺(tái)服務(wù)器以降低成本、提高網(wǎng)絡(luò)安全設(shè)備的使 用率；
分散流量多個(gè)安全節(jié)點(diǎn)可以保護(hù)同一臺(tái)服務(wù)器以分散攻擊流量、避免出口帶寬被堵死
透明后臺(tái)支持透過本發(fā)明組成的虛擬安全網(wǎng)，同一個(gè)網(wǎng)站的內(nèi)容可以分布到不同的服 務(wù)器上、不同的位置上，使所有的服務(wù)器可以變成虛擬的存儲(chǔ)點(diǎn)，是所有的網(wǎng)絡(luò)接入位置成 為純粹的信號(hào)通道。
保護(hù)已有投入原來位于客戶服務(wù)器或客戶子網(wǎng)前面的安全網(wǎng)關(guān)也可以納入本發(fā)明組成 的虛擬安全網(wǎng)體系，形成一個(gè)互助的安全保護(hù)網(wǎng)絡(luò)。


圖l為傳統(tǒng)的使用防火墻保護(hù)服務(wù)器或網(wǎng)絡(luò)的示意圖 圖2為本發(fā)明組成的虛擬安全網(wǎng)的實(shí)現(xiàn)方法的實(shí)施例一的示意圖
具體實(shí)施例方式
本發(fā)明可以在安全、成本和有效利用等諸多方面達(dá)成統(tǒng)一。
傳統(tǒng)的防火墻保護(hù)體系，見附圖l，是使用防火墻擋在被保護(hù)服務(wù)器或被保護(hù)網(wǎng)絡(luò)與互 聯(lián)網(wǎng)之間， 一般在連接互聯(lián)網(wǎng)的路由器與被保護(hù)服務(wù)器/網(wǎng)絡(luò)之間。
當(dāng)互聯(lián)網(wǎng)上的客戶端，比如C廣C4，要訪問Netl中的服務(wù)器Sl時(shí)，首先請(qǐng)求為S1所在域 服務(wù)的DNS服務(wù)器DNS1，得到S1的IP地址，然后請(qǐng)求包會(huì)通過互聯(lián)網(wǎng)、路由器l、防火墻FW1 到達(dá)S1， S1再反向地將應(yīng)答包返回給C1。
如果防火墻保護(hù)的是一個(gè)子網(wǎng)，例如S2 S4和PC1/PC2組成的子網(wǎng)都有FW2保護(hù)，情況也 類似。
防火墻可以禁止指定IP的客戶端訪問，擋住某些方式的攻擊例如SynFlood等。但有些攻擊和入侵方式防火墻可能無法阻擋，比如
應(yīng)用層入侵方式可能需要IPS (入侵防御系統(tǒng))等其他網(wǎng)絡(luò)安全設(shè)備。 在CrC4都被DDoS蠕蟲侵染而成為肉機(jī)(肉機(jī)，指被DDoS蠕蟲侵染、受DDoS總控中心控制 隨時(shí)可發(fā)起攻擊的計(jì)算機(jī))后，當(dāng)DDoS的總控中心控制他們?nèi)ス鬝l時(shí)，CrC4都會(huì)不停地、 自動(dòng)地給Sl發(fā)SynFlood等非法攻擊包，雖然防火墻FW1可以擋住這些攻擊數(shù)據(jù)包使之不到達(dá) Sl，但大量的非法攻擊流量會(huì)塞滿分配給Sl的帶寬甚至塞滿Netl的出口，這樣雖然S1有FW1 保護(hù)，仍然會(huì)被DDoS攻擊至不能訪問。
為此，本發(fā)明提供了一種改進(jìn)的技術(shù)方案，其基本思想是把防火墻、IPS等網(wǎng)絡(luò)安全 設(shè)備放到互聯(lián)網(wǎng)上而不是在被保護(hù)網(wǎng)絡(luò)或服務(wù)器前面。將原先的一對(duì)一保護(hù)變?yōu)槎鄬?duì)多保護(hù)
在互聯(lián)網(wǎng)上根據(jù)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)部署必要數(shù)量的防火墻類網(wǎng)絡(luò)安全設(shè)備，這些設(shè)備稱為安 全節(jié)點(diǎn)；
在互聯(lián)網(wǎng)上部署智能控制中心，包括智能DNS解析服務(wù)器、取得安全節(jié)點(diǎn)狀態(tài)控制安全
節(jié)點(diǎn)行為的智能控制部件；
使用虛擬安全網(wǎng)保護(hù)的網(wǎng)絡(luò)和服務(wù)器需要將DNS解析指向上述智能DNS解析服務(wù)器；
當(dāng)互聯(lián)網(wǎng)用戶訪問上述網(wǎng)絡(luò)服務(wù)器或網(wǎng)絡(luò)時(shí)，首先是上述智能DNS解析服務(wù)器給用戶解
析出網(wǎng)址對(duì)應(yīng)的IP地址，該IP地址不是上述網(wǎng)絡(luò)服務(wù)器的，而是最合適該互聯(lián)網(wǎng)用戶的安全
節(jié)點(diǎn)；
該互聯(lián)網(wǎng)用戶將訪問請(qǐng)求發(fā)給上述由智能DNS解析服務(wù)器指定的安全節(jié)點(diǎn)； 該安全節(jié)點(diǎn)在智能控制部件的控制下降該互聯(lián)網(wǎng)用戶的合法請(qǐng)求轉(zhuǎn)發(fā)給上述被保護(hù)的網(wǎng) 絡(luò)服務(wù)器；
上述網(wǎng)絡(luò)服務(wù)器收到安全節(jié)點(diǎn)轉(zhuǎn)發(fā)過來的請(qǐng)求，將應(yīng)答數(shù)據(jù)返回給安全節(jié)點(diǎn)，安全節(jié)點(diǎn) 再將合法應(yīng)答數(shù)據(jù)返回給上述互聯(lián)網(wǎng)用戶。
如果用戶方發(fā)出的是攻擊包或入侵包，這些包將被安全節(jié)點(diǎn)堵截，不會(huì)轉(zhuǎn)發(fā)給被保護(hù)的 網(wǎng)絡(luò)服務(wù)器。這樣，從四面八方來的攻擊流量就被分散地阻截在虛擬安全網(wǎng)的各個(gè)安全節(jié)點(diǎn) 上，不會(huì)聚集到攻擊目標(biāo)。
圖2示出了本發(fā)明一種使用部署大量安全節(jié)點(diǎn)形成虛擬安全網(wǎng)保護(hù)服務(wù)器或網(wǎng)絡(luò)的實(shí)施 例一的示意圖。
使用虛擬安全網(wǎng)保護(hù)服務(wù)器S1，需要S1的域名管理員將DNS服務(wù)器指向我們的智能DNS解 析服務(wù)器，而不是他原來的DNS1。而安全節(jié)點(diǎn)除了防火墻的功能，還會(huì)包括IPS等其他網(wǎng)絡(luò)安全設(shè)備的功能，由于是多個(gè) 被保護(hù)服務(wù)器共享這些安全節(jié)點(diǎn)，因此這些安全節(jié)點(diǎn)可以配備最完善的安全措施。
當(dāng)客戶端C 1所有訪問為正常訪問時(shí)，C1首先請(qǐng)求智能DNS解析服務(wù)器，智能DNS將根據(jù) Cl的網(wǎng)絡(luò)拓?fù)湮恢?、Sl的網(wǎng)絡(luò)拓?fù)湮恢谩⒉挤旁诨ヂ?lián)網(wǎng)中所有安全節(jié)點(diǎn)的網(wǎng)絡(luò)拓?fù)湮恢煤拓?fù) 荷等因素，根據(jù)數(shù)據(jù)包延遲、丟包率、安全節(jié)點(diǎn)和網(wǎng)絡(luò)帶寬的負(fù)荷等因素，選擇一個(gè)最合適 給C 1訪問S1做服務(wù)的安全節(jié)點(diǎn)。這里舉例說明上述選擇算法
例如S1和C1都處于上海同一網(wǎng)絡(luò)基礎(chǔ)運(yùn)營(yíng)商比如中國(guó)電信網(wǎng)絡(luò)中，則為它們提供通信 安全服務(wù)的安全節(jié)點(diǎn)選擇上海電信的Nodel是最合適的，這樣無論延遲還是丟包率，都會(huì)是 最低的；
但如果Nodel的負(fù)荷已經(jīng)非常大，雖然從網(wǎng)絡(luò)來說它是最合適的，但也許這時(shí)選擇處于 杭州電信的Node2更合適，如果此時(shí)Node2的負(fù)荷較??；雖然延遲和丟包率會(huì)稍大，但Node2 負(fù)荷低，且杭州比上海從網(wǎng)絡(luò)拓?fù)鋪碚f沒有增加太多；
一般來說，不應(yīng)該選擇北京網(wǎng)通的安全節(jié)點(diǎn)為上海電信的C1和S1通信提供服務(wù)。
如果S1處于北京網(wǎng)通而C1處于上海電信，可能就需要一臺(tái)具有雙網(wǎng)連接的安全節(jié)點(diǎn)提供 服務(wù)，這是才能保證數(shù)據(jù)包延遲和丟包率最低。
如果依據(jù)網(wǎng)絡(luò)狀況確定C 1訪問S1使用Node 1 ，智能DNS解析服務(wù)器會(huì)將Node 1的IP返回給 Cl，讓Cl誤以為Nodel是Sl把請(qǐng)求包發(fā)給Nodel。 Nodel收到的請(qǐng)求包的包頭中有目標(biāo)是S1的 信息，因此如果Nodel發(fā)現(xiàn)Cl發(fā)出的是合法請(qǐng)求，就轉(zhuǎn)發(fā)給S1。 Sl把響應(yīng)數(shù)據(jù)返回給Nodel， Node 1再轉(zhuǎn)發(fā)給C 1 ，這樣就完成了 一次合法的訪問。
當(dāng)客戶端被DDoS蠕蟲感染后，比如C廣C3受到了感染C4沒有感染正常訪問S1，當(dāng)DDoS總 控中心發(fā)出攻擊S1的命令后(實(shí)際DDoS肉機(jī)成千上萬時(shí)DDoS總控中心才會(huì)指令它們攻擊某臺(tái) 服務(wù)器，而不會(huì)只有3臺(tái)時(shí)就發(fā)出攻擊指令)，CrC3會(huì)不停地自動(dòng)向Sl發(fā)出攻擊包，但首先 它們會(huì)請(qǐng)求S1的DNS服務(wù)器，現(xiàn)在就是智能DNS解析服務(wù)器。由于C1到C4的網(wǎng)絡(luò)拓?fù)湮恢貌煌?，比如C1可能來自上海、C2可能來自北京，因此智能DNS響應(yīng)給C廣C4的可能是不同的安全節(jié) 點(diǎn)，比如分別指向NoderNode4， Nodel Node3會(huì)將攻擊數(shù)據(jù)包阻擋，不轉(zhuǎn)發(fā)給S1，而Node4 會(huì)轉(zhuǎn)發(fā)正常訪問數(shù)據(jù)包，這樣S1就只收到正常訪問請(qǐng)求、正常響應(yīng)數(shù)據(jù)，而不會(huì)收到攻擊數(shù) 據(jù)包。
假設(shè)Nodel-Node4和Sl的出口帶寬都是一樣的，CrC3的攻擊流量可以達(dá)到塞滿Sl的出口 帶寬，在使用虛擬安全網(wǎng)保護(hù)后，CrC3的攻擊流量就被分散到NoderNode3上，這樣就不會(huì) 被塞滿，網(wǎng)絡(luò)訪問可以保持正常，比如C4仍然可以正常訪問S1。這樣得到的好處有
降低客戶成本 一個(gè)安全節(jié)點(diǎn)可以保護(hù)多臺(tái)服務(wù)器以降低成本、提高網(wǎng)絡(luò)安全設(shè)備的使 用率；
分散流量多個(gè)安全節(jié)點(diǎn)可以保護(hù)同一臺(tái)服務(wù)器以分散攻擊流量、避免出口帶寬被堵死
透明后臺(tái)支持透過本發(fā)明組成的虛擬安全網(wǎng)，同一個(gè)網(wǎng)站的內(nèi)容可以分布到不同的服 務(wù)器上、不同的位置上，使所有的服務(wù)器可以變成虛擬的存儲(chǔ)點(diǎn)，是所有的網(wǎng)絡(luò)接入位置成 為純粹的信號(hào)通道。
保護(hù)已有投入原來位于客戶服務(wù)器或客戶子網(wǎng)前面的安全網(wǎng)關(guān)也可以納入本發(fā)明組成 的虛擬安全網(wǎng)體系，形成一個(gè)互助的安全保護(hù)網(wǎng)絡(luò)。
以上公開的僅為本發(fā)明的優(yōu)選實(shí)施方式，但本發(fā)明并非局限于此，任何本領(lǐng)域的技術(shù)人 員能思之的沒有創(chuàng)造性的變化，以及在不脫離本發(fā)明原理前提下所作的若干改進(jìn)和潤(rùn)飾，都 應(yīng)落在本發(fā)明的保護(hù)范圍內(nèi)。
權(quán)利要求
1.一種保護(hù)服務(wù)器或網(wǎng)絡(luò)的方法，其特征在于，包括當(dāng)互聯(lián)網(wǎng)用戶訪問被保護(hù)的服務(wù)器或網(wǎng)絡(luò)時(shí)，由預(yù)設(shè)的DNS解析服務(wù)器確定對(duì)應(yīng)的符合預(yù)設(shè)條件的目標(biāo)安全節(jié)點(diǎn)，并將該目標(biāo)安全節(jié)點(diǎn)的IP地址提供給所述用戶；該用戶向所述被保護(hù)服務(wù)器或網(wǎng)絡(luò)的請(qǐng)求被指向所述目標(biāo)安全節(jié)點(diǎn)；該目標(biāo)安全節(jié)點(diǎn)在安全策略和智能控制部件的控制下，將該互聯(lián)網(wǎng)用戶的合法請(qǐng)求轉(zhuǎn)發(fā)給所述被保護(hù)的網(wǎng)絡(luò)服務(wù)器或網(wǎng)絡(luò)，并接收所述網(wǎng)絡(luò)服務(wù)器或網(wǎng)絡(luò)的應(yīng)答數(shù)據(jù)，并在安全策略和智能控制部件的控制下將合法應(yīng)答數(shù)據(jù)返回給所述用戶。
2 如權(quán)利要求l所述的方法，其特征在于，預(yù)設(shè)的DNS解析服務(wù)器按照以下步驟確定符合 預(yù)設(shè)條件的目標(biāo)安全節(jié)點(diǎn)根據(jù)該互聯(lián)網(wǎng)用戶的IP及所述被保護(hù)的服務(wù)器或網(wǎng)絡(luò)的IP確定對(duì)應(yīng)的地理和網(wǎng)絡(luò)拓?fù)?位置，選擇最適合提供服務(wù)的安全節(jié)點(diǎn)；將所述安全節(jié)點(diǎn)按照其與互聯(lián)網(wǎng)用戶和被保護(hù)的服務(wù)器或網(wǎng)絡(luò)之間的數(shù)據(jù)包延時(shí)和丟 包率，延時(shí)和丟包率最小的安全節(jié)點(diǎn)確定為目標(biāo)安全節(jié)點(diǎn)。
3.如權(quán)利要求2所述的方法，其特征在于，延時(shí)和丟包率最小的安全節(jié)點(diǎn)的網(wǎng)絡(luò)環(huán)境如果超過預(yù)設(shè)條件時(shí)，確定排列的下一個(gè)安 全節(jié)點(diǎn)為目標(biāo)安全節(jié)點(diǎn)。
4.如權(quán)利要求3所述的方法，其特征在于，所述網(wǎng)絡(luò)環(huán)境為負(fù)荷，當(dāng)安全節(jié)點(diǎn)的負(fù)荷超過 預(yù)先設(shè)置的門限時(shí)，確定該安全節(jié)點(diǎn)的網(wǎng)絡(luò)環(huán)境超過預(yù)設(shè)條件。
5. 如權(quán)利要求l所述的方法，其特征在于，所述目標(biāo)安全節(jié)點(diǎn)在智能控制部件的控制下，將攻擊、入侵等非法數(shù)據(jù)包濾除后，將該互聯(lián)網(wǎng)用戶的合法請(qǐng)求轉(zhuǎn)發(fā)給所述被保護(hù)的網(wǎng)絡(luò)服 務(wù)器或網(wǎng)絡(luò)。
6.如權(quán)利要求l所述的方法，其特征在于， 一個(gè)安全節(jié)點(diǎn)對(duì)應(yīng)多臺(tái)被保護(hù)的服務(wù)器。
7.如權(quán)利要求l所述的方法，其特征在于，多個(gè)安全節(jié)點(diǎn)對(duì)應(yīng)同一臺(tái)服務(wù)器。
8.如權(quán)利要求l所述的方法，其特征在于，透過本發(fā)明組成的虛擬安全網(wǎng)，同一個(gè)網(wǎng)站的 內(nèi)容分布到不同的服務(wù)器上、不同的位置上，使所有的服務(wù)器可以變成虛擬的存儲(chǔ)點(diǎn)，是所 有的網(wǎng)絡(luò)接入位置成為純粹的信號(hào)通道。
9.如權(quán)利要求l所述的方法，其特征在于，原來位于客戶服務(wù)器或客戶子網(wǎng)前面的安全網(wǎng) 關(guān)保持原來位置或移入互聯(lián)網(wǎng)。
10.如權(quán)利要求l所述的方法，其特征在于，被保護(hù)區(qū)收到安全節(jié)點(diǎn)轉(zhuǎn)發(fā)過來的請(qǐng)求，直接 將應(yīng)答數(shù)據(jù)返回給上述互聯(lián)網(wǎng)用戶。
全文摘要
本發(fā)明公開一種保護(hù)服務(wù)器或網(wǎng)絡(luò)的方法，包括當(dāng)互聯(lián)網(wǎng)用戶訪問被保護(hù)的服務(wù)器或網(wǎng)絡(luò)時(shí)，由預(yù)設(shè)的DNS解析服務(wù)器確定對(duì)應(yīng)的符合預(yù)設(shè)條件的目標(biāo)安全節(jié)點(diǎn)，并將該目標(biāo)安全節(jié)點(diǎn)的IP地址提供給所述用戶；該用戶向被保護(hù)服務(wù)器或網(wǎng)絡(luò)發(fā)出的請(qǐng)求即被指向所述目標(biāo)安全節(jié)點(diǎn)；該目標(biāo)安全節(jié)點(diǎn)在安全策略和智能控制部件的控制下，將該互聯(lián)網(wǎng)用戶的合法請(qǐng)求轉(zhuǎn)發(fā)給所述被保護(hù)的網(wǎng)絡(luò)服務(wù)器或網(wǎng)絡(luò)，并接收所述網(wǎng)絡(luò)服務(wù)器或網(wǎng)絡(luò)的應(yīng)答數(shù)據(jù)，并在安全策略和智能控制部件的控制下將合法應(yīng)答數(shù)據(jù)返回給所述用戶。本發(fā)明可以降低客戶成本、分散流量，也就是說多個(gè)安全節(jié)點(diǎn)可以保護(hù)同一臺(tái)服務(wù)器以分散攻擊流量、避免出口帶寬被堵死。
文檔編號(hào)H04L29/06GK101257502SQ20081030029
公開日2008年9月3日 申請(qǐng)日期2008年1月31日 優(yōu)先權(quán)日2008年1月31日
發(fā)明者勇 陳 申請(qǐng)人:勇 陳