專利名稱:一種網(wǎng)絡(luò)安全設(shè)備的連接控制方法及設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)與信息安全技術(shù)領(lǐng)域,具體涉及一種網(wǎng)絡(luò)安全設(shè)備的 連接控制方法及設(shè)備。
背景技術(shù):
網(wǎng)絡(luò)安全設(shè)備(如,防火墻)包括服務(wù)訪問規(guī)則、驗(yàn)證工具、包過(guò)濾 和應(yīng)用網(wǎng)關(guān),通常設(shè)置在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間,通 過(guò)檢測(cè)過(guò)濾報(bào)文來(lái)保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入和惡意攻擊。為了有效 地過(guò)濾非法報(bào)文,網(wǎng)絡(luò)安全設(shè)備(防火墻)需要跟蹤并且記錄連接狀態(tài)以 實(shí)現(xiàn)對(duì)連接跟蹤的能力,但連接的建立、保持和刪除都要消耗系統(tǒng)資源。 隨著連接數(shù)增加,查找連接所消耗的時(shí)間也會(huì)增加,因此,當(dāng)連接數(shù)達(dá)到 一定數(shù)量后,防火墻的處理能力就會(huì)開始下降。特別是現(xiàn)有高端防火墻一 味追求最大連接數(shù),持續(xù)創(chuàng)建新連接直到系統(tǒng)的內(nèi)存空間都用完,這樣極
有可能使系統(tǒng)不穩(wěn)定。最典型的實(shí)例就是連接型DOS攻擊能夠很快讓防火 墻掛才幾。
衡量網(wǎng)絡(luò)安全設(shè)備(防火墻)處理能力的一個(gè)指標(biāo)是支持的并發(fā)連接 數(shù),即能夠同時(shí)處理的點(diǎn)對(duì)點(diǎn)連接的數(shù)目,它反映出防火墻設(shè)備對(duì)多 個(gè)連接的訪問控制能力和連接狀態(tài)跟蹤能力,直接影響到防火墻所能 支持的最大連接數(shù)。
現(xiàn)有技術(shù)中提供的控制連接能力的方法是限制并發(fā)連接數(shù)的方法,具 體為給系統(tǒng)設(shè)定一個(gè)并發(fā)連接數(shù)的閥值,當(dāng)防火墻并發(fā)連接數(shù)達(dá)到這個(gè) 閥值時(shí)就不再創(chuàng)建新連接了 。
傳統(tǒng)的高端防火墻不斷創(chuàng)建新連接直到其內(nèi)存都用完,以4是高防火墻
的并發(fā)連接能力。但是當(dāng)系統(tǒng)內(nèi)存都用完時(shí)會(huì)導(dǎo)致系統(tǒng)不穩(wěn)定,若擴(kuò)展內(nèi) 存來(lái)將導(dǎo)致成本增加,而且不能從根本上解決問題。為此,若給其設(shè)定一 個(gè)最大并發(fā)連接數(shù)的閥值,當(dāng)防火墻并發(fā)連接數(shù)達(dá)到這個(gè)閥值時(shí)就不再創(chuàng) 建新連接了。由于無(wú)法再創(chuàng)建新連接,網(wǎng)絡(luò)安全設(shè)備(防火墻)對(duì)后續(xù)的 ^^艮文就無(wú)法處理,這將導(dǎo)致網(wǎng)絡(luò)安全設(shè)備(防火墻)不能正常工作。
發(fā)明內(nèi)容
有鑒于此,本發(fā)明提供一種網(wǎng)絡(luò)安全設(shè)備的連接控制方法及設(shè)備,可 使得網(wǎng)絡(luò)安全設(shè)備最大限度的支持更多連接。
本發(fā)明實(shí)施例提供的一種網(wǎng)絡(luò)安全設(shè)備的連接控制方法,包括 當(dāng)接收到報(bào)文需要?jiǎng)?chuàng)建新連接,檢測(cè)并獲取當(dāng)前的并發(fā)連接數(shù);
將所述并發(fā)連接數(shù)與第一預(yù)定值、第二預(yù)定值比較,其中第一預(yù)定值 小于第二預(yù)定值;
若所述并發(fā)連接數(shù)小于所述第一預(yù)定值,則直接創(chuàng)建新連接; 若所述并發(fā)連接數(shù)大于所述第一預(yù)定值而小于第二預(yù)定值,則啟動(dòng)加 速老化進(jìn)程,再創(chuàng)建新連接;
若所述并發(fā)連接數(shù)大于所述第二預(yù)定值,則選擇并釋放一個(gè)連接,再 創(chuàng)建新連接。
本發(fā)明實(shí)施例還提供一種可控制連接的網(wǎng)絡(luò)安全設(shè)備,包括
接收單元,用于接收到報(bào)文,并通知需要?jiǎng)?chuàng)建新連接;
檢測(cè)單元,用于檢測(cè)并獲取當(dāng)前的并發(fā)連接數(shù);
比較單元,用于比較所述并發(fā)連接數(shù)與第一預(yù)定值、第二預(yù)定值,其
中第 一預(yù)定值小于第二預(yù)定值;
連接控制單元,用于釋放連接和創(chuàng)建新連接,以及控制連接老化進(jìn)程; 若所述并發(fā)連接數(shù)小于所述第一預(yù)定值,則所述連接控制單元直接創(chuàng)
建新連接;
若所述并發(fā)連接數(shù)大于所述第一預(yù)定值而小于第二預(yù)定值,則所述連 接控制單元啟動(dòng)加速老化進(jìn)程,再創(chuàng)建新連接;
若所述并發(fā)連接數(shù)大于所述第二預(yù)定值,則所述連接控制單元選擇并 釋放一個(gè)連接,再創(chuàng)建新連接。
綜上所述,本發(fā)明實(shí)施例提供的技術(shù)方案中,當(dāng)并發(fā)連接數(shù)達(dá)到或超 過(guò)加速老化閥值,則啟動(dòng)加速老化進(jìn)程;當(dāng)并發(fā)連接數(shù)達(dá)到并發(fā)連接閥值, 在創(chuàng)建新連接前先釋;^可釋放的連接再創(chuàng)建新連接。這樣,在達(dá)到最大并 發(fā)連接數(shù)的情況下,可將一些沒有完全關(guān)閉的和即將超時(shí)掉的連接提前老化,騰出內(nèi)存空間來(lái)創(chuàng)建新連接,使得網(wǎng)絡(luò)安全設(shè)備有能力繼續(xù)創(chuàng)建新連 接,最大限度的支持更多連接,進(jìn)而充分挖掘利用網(wǎng)絡(luò)安全設(shè)備的性能。
圖1為本發(fā)明實(shí)施例提供的連接控制方法流程圖2為本發(fā)明實(shí)施例中提供的網(wǎng)絡(luò)安全設(shè)備構(gòu)成示意圖。
具體實(shí)施例方式
本發(fā)明實(shí)施例提供的一種網(wǎng)絡(luò)安全設(shè)備的連接控制方法,在不斷創(chuàng)建 新連接達(dá)到最大并發(fā)連接數(shù)的情況下,有能力繼續(xù)創(chuàng)建新連接,從而使得 網(wǎng)絡(luò)安全設(shè)備可正常工作。
網(wǎng)絡(luò)安全設(shè)備中的每個(gè)網(wǎng)絡(luò)連接信息包括源地址、目的地址、源端 口和目的端口 (稱為套接字對(duì)),協(xié)議類型、連接狀態(tài)和超時(shí)時(shí)間等,即 防火墻上的每個(gè)會(huì)話的源I P地址、源端口、目的I P地址、目的端口、 協(xié)議號(hào)。防火墻為了進(jìn)行豐富的包過(guò)濾和狀態(tài)檢測(cè),需在其內(nèi)存中維護(hù)一 個(gè)跟蹤連接狀態(tài)的表,具體地,跟蹤并且記錄連接狀態(tài),仿火墻為每一個(gè) 連接的第一個(gè)經(jīng)過(guò)網(wǎng)絡(luò)堆棧的數(shù)據(jù)包,生成一個(gè)新的連接記錄項(xiàng),就是對(duì) 每一個(gè)這樣的連接的產(chǎn)生、傳輸及終止進(jìn)行跟蹤記錄,由所有記錄項(xiàng)產(chǎn)生 的表,即稱為連接跟蹤表。此后,所有屬于此連接的數(shù)據(jù)包都被唯一地分 配給這個(gè)連接,并標(biāo)識(shí)連接的狀態(tài)。連接跟蹤不只是防火墻狀態(tài)檢測(cè)的基 礎(chǔ),同時(shí)也是地址轉(zhuǎn)換中實(shí)現(xiàn)源地址轉(zhuǎn)換和目的地址轉(zhuǎn)換的前提。
防火墻可以將私有地址轉(zhuǎn)換為公有地址使數(shù)據(jù)包能夠發(fā)到因特網(wǎng) 上,同時(shí)從因特網(wǎng)上接收數(shù)據(jù)包時(shí),將公用地址轉(zhuǎn)換為私有地址。
據(jù)統(tǒng)計(jì)分析,網(wǎng)絡(luò)安全設(shè)備(防火墻)中并發(fā)連接數(shù)約有85Q/o是TCP 連接,而這些TCP連接中約有11%是即將關(guān)閉的連接,約有8%是即將超 時(shí)的連接,這些即將關(guān)閉和即將超時(shí)的連接是沒有數(shù)據(jù)流的連接,也就是 說(shuō),是很快就可以被老化的連接。
本發(fā)明通過(guò)加速縮短連接的老化時(shí)間,使連接快速老化以^皮提前釋 放,從而為系統(tǒng)騰出內(nèi)存空間以創(chuàng)建新連接。為此,預(yù)先設(shè)置一個(gè)加速老 化閥值,當(dāng)需要?jiǎng)?chuàng)建新連接時(shí),并發(fā)連接數(shù)達(dá)到該閥值時(shí),啟動(dòng)加速老化連接的進(jìn)程,預(yù)先設(shè)置一個(gè)可支持的并發(fā)連接數(shù)閥值,當(dāng)接近滿負(fù)荷運(yùn)轉(zhuǎn), 釋放原有連接,為建立新連接提供資源,顯然,加速老化閥值小于并發(fā)連 接數(shù)閥值。如果當(dāng)前并發(fā)連接數(shù)達(dá)到該并發(fā)連接數(shù)閥值,說(shuō)明系統(tǒng)已經(jīng)快 滿負(fù)荷運(yùn)轉(zhuǎn)了 ,這時(shí)就先找一個(gè)可以被釋放的連接把其釋放再創(chuàng)建新連 接,如果找不到,則直接丟棄報(bào)文,也就不用創(chuàng)建新連接,這樣,即使在 達(dá)到并發(fā)連接數(shù)閥值的情況下也能有能力繼續(xù)創(chuàng)建新連接。
本發(fā)明實(shí)施例提供的一種網(wǎng)絡(luò)安全設(shè)備的連接控制方法,包括 當(dāng)接收到報(bào)文需要?jiǎng)?chuàng)建新連接,檢測(cè)并獲取當(dāng)前的并發(fā)連接數(shù); 將所述并發(fā)連接數(shù)與第一預(yù)定值、第二預(yù)定值比較,其中第一預(yù)定值
小于第二預(yù)定值;
若所述并發(fā)連接數(shù)小于所述第一預(yù)定值,則直接創(chuàng)建新連接;
若所述并發(fā)連接數(shù)大于所述第一預(yù)定值而小于第二預(yù)定值,則啟動(dòng)加 速老化進(jìn)程,具體地,置一個(gè)需要進(jìn)行加速老化標(biāo)記用來(lái)告訴定時(shí)器要加 速老化連接,再創(chuàng)建新連接;
所述可被釋放的連接包括沒有完全建立的TCP連接、單向傳輸數(shù) 據(jù)流的非TCP連接。
若所述并發(fā)連接數(shù)大于所述第二預(yù)定值,則選擇并釋放一個(gè)連接,再 創(chuàng)建新連接;
若所述并發(fā)連接數(shù)大于所述第二預(yù)定值,無(wú)可釋放的連接,則丟棄所 接收到的報(bào)文。
所述第一預(yù)定值為預(yù)先設(shè)置的加速老化閥值,即需要加速老化連接的 并發(fā)連接數(shù),通常選取最大并發(fā)連接數(shù)的75%,所述第二預(yù)定值為可支持 的并發(fā)連接數(shù),根據(jù)總的內(nèi)存空間容量和是否做地址轉(zhuǎn)換來(lái)設(shè)定的, 一般 取最大并連接數(shù)的95%。
具體地,選擇可被釋放的連接可根據(jù)預(yù)先設(shè)置的標(biāo)識(shí)進(jìn)行判斷選擇, 因此,該方法還包括預(yù)先標(biāo)識(shí)所述可被釋放的連接的步驟,具體包括
將沒有完全建立的TCP連接、單向傳輸數(shù)據(jù)流的非TCP連接設(shè)置"可 被釋放"的標(biāo)記;
對(duì)于處于已連接狀態(tài)的TCP連接,標(biāo)記上"不能被釋^:"的標(biāo)記。對(duì)于非TCP連接且正反方向都有數(shù)據(jù)流,標(biāo)記上"不能被釋放"的標(biāo)記。
為使本發(fā)明的原理、優(yōu)點(diǎn)和特性更加清楚,下面結(jié)合具體實(shí)施例對(duì)本 發(fā)明進(jìn)行描述。 實(shí)施例一
本實(shí)施例中,預(yù)先設(shè)置一個(gè)加速老化閥值和一個(gè)并發(fā)連接數(shù)閥值,當(dāng) 需要?jiǎng)?chuàng)建新連接時(shí),并發(fā)連接數(shù)達(dá)到該閥值時(shí),啟動(dòng)加速老化連接的進(jìn)程, 預(yù)先設(shè)置當(dāng)接近滿負(fù)荷運(yùn)轉(zhuǎn),需要釋放原有連接,為建立新連接提供資源, 在此,加速老化閥值小于并發(fā)連接數(shù)閥值。
參照?qǐng)D1,本發(fā)明實(shí)施例4是供的連接控制方法,包括如下步驟 S01,防火墻接收到報(bào)文后需要?jiǎng)?chuàng)建新連接,檢測(cè)并獲取當(dāng)前的并發(fā) 連接數(shù);
S02,比較當(dāng)前并發(fā)連接數(shù)與加速老化閥值、并發(fā)連接數(shù)閥值; S03,根據(jù)比較結(jié)果處理連接,包括釋放連接、加快連接老化進(jìn)程 和創(chuàng)建新連"^妄。
若當(dāng)前并發(fā)連接數(shù)小于加速老化閥值,則直接創(chuàng)建新連接。
例如,TCP連接的同步狀態(tài)SYN的常規(guī)定時(shí)時(shí)間是120秒,假設(shè)這 個(gè)TCP連接剛由一方發(fā)起經(jīng)過(guò)防火墻,那么其狀態(tài)為SYN,當(dāng)前定時(shí)時(shí) 間是120秒。同時(shí)假設(shè)一個(gè)時(shí)鐘觸發(fā)信號(hào)周期是1秒,收到觸發(fā)信號(hào)后, 通常定時(shí)器會(huì)將TCP連接的當(dāng)前定時(shí)時(shí)間縮減1得119秒,然后判斷其當(dāng) 前定時(shí)時(shí)間是否為零,在此連接當(dāng)前定時(shí)時(shí)間為0秒時(shí),將該TCP連接 釋放掉,這樣可直接創(chuàng)建新連接。
若當(dāng)前并發(fā)連接數(shù)大于等于加速老化岡值且小于并發(fā)連接數(shù)閥值,則 通知定時(shí)器要加速老化連接(即每個(gè)觸發(fā)時(shí)鐘信號(hào)來(lái)之后,通過(guò)加速縮減 定時(shí)器上當(dāng)前連接的存活時(shí)間以對(duì)連接進(jìn)行加速老化)。
防火墻上的每一連接都有自己的常規(guī)定時(shí)時(shí)間(即存活時(shí)間),當(dāng)某個(gè) 連接狀態(tài)的定時(shí)時(shí)間到達(dá)之后,定時(shí)器會(huì)通知將這個(gè)連接釋放。隨著一個(gè) 連接的狀態(tài)變化,該連接的定時(shí)時(shí)間會(huì)更新為新狀態(tài)的存活時(shí)間。
當(dāng)防火墻當(dāng)前并發(fā)連接數(shù)達(dá)到或超過(guò)加速老化閥值時(shí),會(huì)置一個(gè)需要 進(jìn)行加速老化標(biāo)記用來(lái)通知定時(shí)器要加速老化連接。仍然以TCP連接為例,如果TCP連接狀態(tài)是TIME—WAIT狀態(tài)(即沒有完全關(guān)閉狀態(tài)),其 TIME—WAIT狀態(tài)的常規(guī)定時(shí)時(shí)間是120秒,奪支設(shè)這個(gè)TCP連接在此狀態(tài) 下當(dāng)前存活時(shí)間已經(jīng)變?yōu)?0秒,由于已置加速老化標(biāo)記,收到時(shí)鐘觸發(fā) 信號(hào)后需要進(jìn)行加速老化,定時(shí)器將TCP連接的當(dāng)前存活時(shí)間縮減5秒 的速率得75秒,在此按照原來(lái)的5倍速度縮減存活時(shí)間,從而快速老化 該連接,直到此連接的存活時(shí)間為0秒,定時(shí)器通知將TCP連接釋放掉。
需要說(shuō)明的是,加速老化連接的速率可根據(jù)具體情況設(shè)置,可按照原 來(lái)的N倍速度縮減存活時(shí)間,N大于l。
若當(dāng)前并發(fā)連接數(shù)大于等于并發(fā)連接數(shù)岡值且找到 一 個(gè)可以被釋放 的連接,那么先釋放一個(gè)可以被釋放的連接,然后再創(chuàng)建新連接。
若當(dāng)前并發(fā)連接數(shù)大于并發(fā)連接數(shù)閥值且沒有找到 一 個(gè)可以被釋放 的連接,則直接丟棄報(bào)文,不用創(chuàng)建新連接。
本發(fā)明實(shí)施例中,需要?jiǎng)?chuàng)建新連接時(shí),當(dāng)并發(fā)連接數(shù)達(dá)到或超過(guò)加速 老化閥值,通過(guò)縮短各連接狀態(tài)老化時(shí)間,在達(dá)到最大并發(fā)連接數(shù)的情況 下,加速可釋放連接的老化進(jìn)程,以騰出內(nèi)存空間來(lái)創(chuàng)建新連接,使得網(wǎng) 絡(luò)安全設(shè)備有能力繼續(xù)創(chuàng)建新連接,使得網(wǎng)絡(luò)安全設(shè)備正常工作。
實(shí)施例二
參照?qǐng)D2,本發(fā)明實(shí)施例提供的一種可控制連接的網(wǎng)絡(luò)安全設(shè)備200, 包括
接收單元210,用于接收到報(bào)文,并通知需要?jiǎng)?chuàng)建新連接;
檢測(cè)單元220,用于檢測(cè)并獲取當(dāng)前的并發(fā)連接數(shù);
比較單元230,用于比較所述并發(fā)連接數(shù)與第一預(yù)定值、第二預(yù)定值,
其中第 一預(yù)定值小于第二預(yù)定值;
連接控制單元240,用于釋放連接和創(chuàng)建新連接,以及控制連接老化
進(jìn)程;
若當(dāng)前并發(fā)連接數(shù)小于所述第一預(yù)定值,則連接控制單元240直接創(chuàng) 建新連接;
若當(dāng)前并發(fā)連接數(shù)大于所述第一預(yù)定值而小于第二預(yù)定值,則連接控 制單元240加快可被釋放連接的老化進(jìn)程;在老化完成后創(chuàng)建新連接;若當(dāng)前并發(fā)連接數(shù)大于所述第二預(yù)定值,則連接控制單元240釋放至 少 一個(gè)連接并創(chuàng)建新連接。 該網(wǎng)絡(luò)安全設(shè)備,還包括 判斷單元250,用于識(shí)別是否為可^皮釋放連接; 標(biāo)識(shí)單元260,用于標(biāo)識(shí)判斷單元250所確定的可^皮釋》文的連4^。 連接控制單元240根據(jù)標(biāo)識(shí)單元260提供的標(biāo)識(shí)選擇進(jìn)行釋放的連接。
所述可被釋放的連接包括
沒有完全建立的TCP連接、單向傳輸數(shù)據(jù)流的非TCP連接。 所述第一預(yù)定值為預(yù)先設(shè)置的需要加速老化連接的并發(fā)連接數(shù),所述 第二預(yù)定值為可支持的并發(fā)連接數(shù)。
綜上所述,本發(fā)明實(shí)施例提供的技術(shù)方案中,當(dāng)并發(fā)連接數(shù)達(dá)到或超 過(guò)加速老化閥值,通過(guò)縮短各連接狀態(tài)老化時(shí)間;當(dāng)并發(fā)連接數(shù)達(dá)到并發(fā) 連接閥值,在創(chuàng)建新連接前先釋放可釋放的連接再創(chuàng)建新連接。這樣,在 達(dá)到最大并發(fā)連接數(shù)的情況下,可將一些沒有完全關(guān)閉的和即將超時(shí)掉的 連接提前老化,騰出內(nèi)存空間來(lái)創(chuàng)建新連接,使得網(wǎng)絡(luò)安全設(shè)備有能力繼 續(xù)創(chuàng)建新連接,最大限度的支持更多連接,進(jìn)而充分挖掘利用網(wǎng)絡(luò)安全設(shè) 備的性能。
顯然,本領(lǐng)域的技術(shù)人員應(yīng)該明白,上述的本發(fā)明的各單元或各步驟 可以用通用的計(jì)算裝置來(lái)實(shí)現(xiàn),它們可以集中在單個(gè)的計(jì)算裝置上,或者 分布在多個(gè)計(jì)算裝置所組成的網(wǎng)絡(luò)上,可選地,它們可以用計(jì)算裝置可執(zhí) 行的程序代碼來(lái)實(shí)現(xiàn),從而,可以將它們存儲(chǔ)在存儲(chǔ)裝置中由計(jì)算裝置來(lái) 執(zhí)行,或者將它們分別制作成各個(gè)集成電路模塊,或者將它們中的多個(gè)單 元或步驟制作成單個(gè)集成電路模塊來(lái)實(shí)現(xiàn)。這樣,本發(fā)明不限制于任何特 定的硬件和軟件結(jié)合。
以上所述僅為本發(fā)明的較佳實(shí)施例而已,并非用于限定本發(fā)明的保護(hù) 范圍。凡在本發(fā)明的精神和原則之內(nèi)所作的任何修改、等同替換、改進(jìn)等, 均包含在本發(fā)明的保護(hù)范圍內(nèi)。
權(quán)利要求
1、一種網(wǎng)絡(luò)安全設(shè)備的連接控制方法,其特征在于,包括當(dāng)接收到報(bào)文需要?jiǎng)?chuàng)建新連接,檢測(cè)并獲取當(dāng)前的并發(fā)連接數(shù);將所述并發(fā)連接數(shù)與第一預(yù)定值、第二預(yù)定值比較,其中第一預(yù)定值小于第二預(yù)定值;若所述并發(fā)連接數(shù)小于所述第一預(yù)定值,則直接創(chuàng)建新連接;若所述并發(fā)連接數(shù)大于所述第一預(yù)定值而小于第二預(yù)定值,則啟動(dòng)加速老化進(jìn)程,再創(chuàng)建新連接;若所述并發(fā)連接數(shù)大于所述第二預(yù)定值,則選擇并釋放一個(gè)連接,再創(chuàng)建新連接。
2、 如權(quán)利要求l所述的方法,其特征在于,進(jìn)一步包括 若所述并發(fā)連接數(shù)大于所述第二預(yù)定值,無(wú)可釋放的連接,則丟棄所接收到的報(bào)文且不創(chuàng)建新連接。
3、 如權(quán)利要求l所述的方法,其特征在于,所述加快連接的老化進(jìn)程, 具體包括獲取所選擇連接的存活時(shí)間;基于周期性的觸發(fā)信號(hào)按照新步幅縮減存活時(shí)間,新步幅為原步幅的N 倍,N>1。
4、 如權(quán)利要求3所述的方法,其特征在于, 所述周期性的觸發(fā)信號(hào)為時(shí)鐘信號(hào)。
5、 如權(quán)利要求l所述的方法,其特征在于,所述可被釋放的連接包括 未完全建立的TCP連接、單向傳輸數(shù)據(jù)流的非TCP連接。
6、 如權(quán)利要求l所述的方法,其特征在于,還包括 預(yù)先標(biāo)識(shí)所述可纟皮釋放的連接的步驟。
7、 如權(quán)利要求1至5中任一項(xiàng)所述的方法,其特征在于, 所述第一預(yù)定值為預(yù)先設(shè)置的需要加速老化連接的并發(fā)連接數(shù),所述第二預(yù)定值為可支持的并發(fā)連接數(shù)。
8、 如權(quán)利要求7所述的方法,其特征在于,所述第一預(yù)定值為最大并發(fā)連接數(shù)的75%,所述第二預(yù)定值為最大并 發(fā)連接凄t的95%。
9、 一種可控制連接的網(wǎng)絡(luò)安全設(shè)備,其特征在于,包括 接收單元,用于接收到報(bào)文,并通知需要?jiǎng)?chuàng)建新連接; 檢測(cè)單元,用于檢測(cè)并獲取當(dāng)前的并發(fā)連接數(shù);比較單元,用于比較所述并發(fā)連接數(shù)與第一預(yù)定值、第二預(yù)定值,其中 第 一預(yù)定值小于第二預(yù)定值;連接控制單元,用于釋放連接和創(chuàng)建新連接,以及控制連接老化進(jìn)程;若所述并發(fā)連接數(shù)小于所述第一預(yù)定值,則所述連接控制單元直接創(chuàng)建 新連接;若所述并發(fā)連接數(shù)大于所述第一預(yù)定值而小于第二預(yù)定值,則所述連接 控制單元啟動(dòng)加速老化進(jìn)程,再創(chuàng)建新連接;若所述并發(fā)連接數(shù)大于所述第二預(yù)定值,則所述連接控制單元選擇并釋 放一個(gè)連接,再創(chuàng)建新連接。
10、 如權(quán)利要求9所述的網(wǎng)絡(luò)安全設(shè)備,其特征在于,還包括 判斷單元,用于識(shí)別是否為可被釋放連接;標(biāo)識(shí)單元,用于標(biāo)識(shí)所述判斷單元所確定的可^^皮釋^:的連4^; 所述連接控制單元根據(jù)所述標(biāo)識(shí)單元的標(biāo)識(shí)選擇可被釋放的連接。
11、 如權(quán)利要求9或IO所述的網(wǎng)絡(luò)安全設(shè)備,其特征在于,所述可被 釋放的連接包括沒有完全建立的TCP連接、單向傳輸數(shù)據(jù)流的非TCP連接。
12、 如權(quán)利要求9或IO所述的網(wǎng)絡(luò)安全設(shè)備,其特征在于, 所述第一預(yù)定值為預(yù)先設(shè)置的需要加速老化連接的并發(fā)連接數(shù),所述第二預(yù)定值為可支持的并發(fā)連接數(shù)。
全文摘要
本發(fā)明公開了一種網(wǎng)絡(luò)安全設(shè)備的連接控制方法,包括當(dāng)接收到報(bào)文需要?jiǎng)?chuàng)建新連接,檢測(cè)并獲取當(dāng)前的并發(fā)連接數(shù);將所述并發(fā)連接數(shù)與加速老化閥值、并發(fā)連接閥值比較;根據(jù)比較結(jié)果創(chuàng)建新連接;當(dāng)并發(fā)連接數(shù)達(dá)到或超過(guò)加速老化閥值,則啟動(dòng)加速老化進(jìn)程;當(dāng)并發(fā)連接數(shù)達(dá)到并發(fā)連接閥值,在創(chuàng)建新連接前先釋放可釋放的連接再創(chuàng)建新連接。這樣,在達(dá)到最大并發(fā)連接數(shù)的情況下,可將一些沒有完全關(guān)閉的和即將超時(shí)掉的連接提前老化,騰出內(nèi)存空間來(lái)創(chuàng)建新連接,使得網(wǎng)絡(luò)安全設(shè)備有能力繼續(xù)創(chuàng)建新連接,最大限度的支持更多連接,進(jìn)而充分挖掘利用網(wǎng)絡(luò)安全設(shè)備的性能。
文檔編號(hào)H04L12/56GK101547198SQ20091007684
公開日2009年9月30日 申請(qǐng)日期2009年1月22日 優(yōu)先權(quán)日2009年1月22日
發(fā)明者徐停芳 申請(qǐng)人:聯(lián)想網(wǎng)御科技(北京)有限公司