網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)的處理方法、nat設(shè)備及bng設(shè)備的制作方法
【專利摘要】本發(fā)明提供了一種網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)的處理方法、NAT設(shè)備及BNG設(shè)備,其中,該法包括:網(wǎng)絡(luò)地址轉(zhuǎn)換NAT設(shè)備判斷用戶設(shè)備的會(huì)話建立是否達(dá)到預(yù)設(shè)閥值;若是,NAT設(shè)備通知寬帶網(wǎng)絡(luò)網(wǎng)關(guān)BNG設(shè)備對(duì)用戶設(shè)備執(zhí)行安全策略,其中,安全策略用于阻止用戶設(shè)備的攻擊行為,并通知用戶設(shè)備存在攻擊行為。本發(fā)明解決了相關(guān)技術(shù)中因用戶主機(jī)本身異常行為而投訴運(yùn)營(yíng)商的問(wèn)題,同時(shí)提醒用戶對(duì)自身的主機(jī)安全性進(jìn)行檢查,從而在提高NAT設(shè)備的利用率的同時(shí),改善用戶體驗(yàn)。
【專利說(shuō)明】網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)的處理方法、NAT設(shè)備及BNG設(shè)備
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及通信領(lǐng)域,具體而言,涉及一種網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)的處理方法、NAT設(shè)備及BNG設(shè)備。
【背景技術(shù)】
[0002]隨著接入Internet的寬帶上網(wǎng)用戶數(shù)量的不斷猛增,IPv4地址資源也就愈加顯得捉襟見(jiàn)肘,能夠在Internet上傳播的公網(wǎng)IPv4地址越來(lái)越稀缺,顯然,越來(lái)越稀缺的公網(wǎng)IPv4地址根本無(wú)法滿足網(wǎng)絡(luò)用戶的需求,于是也就產(chǎn)生了網(wǎng)絡(luò)地址轉(zhuǎn)換(NetworkAddress Translation,簡(jiǎn)稱為 NAT)技術(shù)。
[0003]NAT技術(shù)是一種將私網(wǎng)IPv4地址轉(zhuǎn)化為公網(wǎng)IPv4地址的轉(zhuǎn)換技術(shù),它被廣泛應(yīng)用于各種類型的Internet接入方式和各種類型的網(wǎng)絡(luò)中。NAT技術(shù)可以完美地解決IP地址不足的問(wèn)題,而且還能夠有效地避免來(lái)自網(wǎng)絡(luò)外部的攻擊,隱藏并保護(hù)網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)。
[0004]NAT設(shè)備是提供NAT轉(zhuǎn)換功能的設(shè)備,NAT設(shè)備分為2種:
[0005](I)如果NAT設(shè)備和寬帶網(wǎng)絡(luò)網(wǎng)關(guān)(Broadband Network Gateway,簡(jiǎn)稱為BNG)合一,叫做融合式NAT設(shè)備,BNG同時(shí)提供寬帶接入服務(wù)和NAT功能
[0006](2)如果NAT設(shè)備僅僅提供NAT轉(zhuǎn)換功能,叫做獨(dú)立式NAT設(shè)備,此時(shí)NAT設(shè)備在BNG的上游,單獨(dú)提供NAT轉(zhuǎn)換而不提供寬帶接入功能。
[0007]用戶使用NAT功能訪問(wèn)Internet的過(guò)程如下:
[0008](I)當(dāng)寬帶用戶上線時(shí),用戶從寬帶網(wǎng)絡(luò)網(wǎng)關(guān)上獲取一個(gè)私網(wǎng)IPv4地址;
[0009](2)寬帶用戶訪問(wèn)Internet,寬帶用戶的IPv4數(shù)據(jù)包的源地址是獲取的私網(wǎng)IPv4地址,用戶的數(shù)據(jù)包被送到NAT設(shè)備;
[0010](3)NAT設(shè)備根據(jù)一定的規(guī)則,把用戶報(bào)文的源IP和源端口轉(zhuǎn)換成公網(wǎng)IP地址和端口后,NAT設(shè)備生成“源IP+源端口 ”和“轉(zhuǎn)換后的源IP+源端口 ”的會(huì)話對(duì)應(yīng)關(guān)系,并把用戶的數(shù)據(jù)報(bào)文送到Internet,完成NAT正向轉(zhuǎn)換;
[0011](4) Internet上返回給用戶的IP報(bào)文,在NAT設(shè)備上根據(jù)返程報(bào)文的目的IP和目的端口,查找前面所述的公私網(wǎng)地址端口會(huì)話對(duì)應(yīng)關(guān)系,再把返程報(bào)文的目的地址和目的端口再轉(zhuǎn)換成用戶發(fā)送報(bào)文的私網(wǎng)源IP和源端口,完成NAT反向轉(zhuǎn)換;
[0012](5)反向數(shù)據(jù)包最終以用戶的私網(wǎng)IP和端口為目的,發(fā)送到用戶主機(jī)。
[0013]因此,在NAT轉(zhuǎn)換過(guò)程中,根據(jù)用戶訪問(wèn)Internet的報(bào)文,NAT設(shè)備會(huì)生成一個(gè)“源IP+源端口 ”和“轉(zhuǎn)換后的源IP+源端口 ”的會(huì)話對(duì)應(yīng)關(guān)系,我們把這個(gè)關(guān)系叫做Session(會(huì)話),當(dāng)用戶每次訪問(wèn)一次Internet業(yè)務(wù)(標(biāo)識(shí)為一個(gè)目的IP+目的端口),NAT設(shè)備上就生成一條會(huì)話條目,一個(gè)會(huì)話條目記錄如下內(nèi)容:
[0014]I)用戶訪問(wèn)的目的IP和目的端口 ;
[0015]2)用戶的私網(wǎng)源IP和源端口,和用戶經(jīng)過(guò)NAT轉(zhuǎn)換后的公網(wǎng)源IP和源端口 ;
[0016]3)使用的協(xié)議。
[0017]私網(wǎng)用戶每次訪問(wèn)Internet,只要IP報(bào)文的5元組(源IP、源端口、協(xié)議、目的IP、目的端口)不同,NAT設(shè)備就會(huì)建立一條Session條目,通過(guò)Session條目的公私網(wǎng)的對(duì)應(yīng)關(guān)系,NAT設(shè)備可以進(jìn)行正向或者反向的NAT轉(zhuǎn)換,用戶必須通過(guò)NAT轉(zhuǎn)換把私網(wǎng)地址和端口替換成公網(wǎng)地址和端口后才能訪問(wèn)Internet。
[0018]這種Session條目的容量在NAT設(shè)備上受硬件資源的限制,也就是一個(gè)NAT設(shè)備支持的Session條目數(shù)目是有限的。那么此時(shí)面臨一種問(wèn)題,當(dāng)私網(wǎng)用戶主機(jī)中毒時(shí),用戶主機(jī)會(huì)不斷高速向Internet發(fā)送目的IP和目的端口變化的攻擊報(bào)文,比如可以高達(dá)每秒1000個(gè)不同的目的IP和目的端口的組合,由于攻擊報(bào)文的5元組是不斷變化并且是由合法用戶主機(jī)發(fā)送,因此,NAT設(shè)備會(huì)根據(jù)攻擊報(bào)文生成不同的Session,由于攻擊報(bào)文的發(fā)送速率很高,因此攻擊報(bào)文生成的Session會(huì)占據(jù)大量的Session會(huì)話資源,并且有可能耗盡整個(gè)NAT設(shè)備的Session資源,導(dǎo)致正常的用戶不能合法訪問(wèn)Internet。
[0019]同樣,NAT設(shè)備對(duì)新建Session的處理能力也是有限的,當(dāng)攻擊用戶的Session建立速率超過(guò)了 NAT設(shè)備的處理能力,正常的用戶的Session將無(wú)法建立,同樣會(huì)導(dǎo)致正常用戶不能合法訪問(wèn)Internet。
[0020]針對(duì)上述問(wèn)題,現(xiàn)有解決方案有3種:
[0021]I)設(shè)定攻擊Session會(huì)話的老化時(shí)間,加快無(wú)效的Session老化;
[0022]2)限制每用戶可用Session數(shù)目,這樣即使用戶主機(jī)中毒,也只是耗盡該用戶自身的Session而對(duì)其他正常用戶沒(méi)有影響;
[0023]3)限制每用戶的允許新建Session速率,從而抑制高速的攻擊行為。
[0024]然而,即使通過(guò)上述3種解決方案,當(dāng)發(fā)生攻擊行為時(shí),用戶的Session數(shù)目耗盡后,現(xiàn)有設(shè)備往往只能通過(guò)網(wǎng)管或系統(tǒng)日志告警方式通知運(yùn)營(yíng)商,用戶的寬帶撥號(hào)網(wǎng)絡(luò)連接依然有效,用戶本身并不知道自己因?yàn)橹卸緦?dǎo)致了無(wú)法訪問(wèn)網(wǎng)絡(luò),用戶仍然會(huì)投訴運(yùn)營(yíng)商,這樣會(huì)導(dǎo)致因?yàn)橛脩糁鳈C(jī)本身異常行為的投訴大規(guī)模增加。
[0025]針對(duì)相關(guān)技術(shù)中上述至少之一的問(wèn)題,目前尚未提出有效的解決方案。
【發(fā)明內(nèi)容】
[0026]本發(fā)明提供了一種網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)的處理方法、NAT設(shè)備及BNG設(shè)備,以至少解決相關(guān)技術(shù)中因用戶主機(jī)本身異常行為而投訴運(yùn)營(yíng)商的問(wèn)題。
[0027]根據(jù)本發(fā)明的一個(gè)方面,提供了一種網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)的處理方法,其包括:網(wǎng)絡(luò)地址轉(zhuǎn)換NAT設(shè)備判斷用戶設(shè)備的會(huì)話建立是否達(dá)到預(yù)設(shè)閥值;若是,上述NAT設(shè)備通知寬帶網(wǎng)絡(luò)網(wǎng)關(guān)BNG設(shè)備對(duì)上述用戶設(shè)備執(zhí)行安全策略,其中,上述安全策略用于阻止上述用戶設(shè)備的攻擊行為,并通知上述用戶設(shè)備上述用戶設(shè)備存在攻擊行為。
[0028]優(yōu)選地,上述BNG設(shè)備對(duì)上述用戶設(shè)備執(zhí)行上述安全策略包括:上述BNG設(shè)備執(zhí)行強(qiáng)推Web頁(yè)面策略,將上述用戶設(shè)備發(fā)送的HTTP請(qǐng)求重定向至第一提示頁(yè)面,其中,上述第一提示頁(yè)面用于提醒上述用戶設(shè)備的訪問(wèn)存在攻擊行為。
[0029]優(yōu)選地,上述BNG設(shè)備將上述用戶設(shè)備發(fā)送的HTTP請(qǐng)求重定向至第一提示頁(yè)面包括:上述BNG設(shè)備間隔預(yù)設(shè)周期將上述用戶設(shè)備發(fā)送的HTTP請(qǐng)求重定向至上述第一提示頁(yè)面。
[0030]優(yōu)選地,上述第一提示頁(yè)面還作用提醒上述用戶設(shè)備進(jìn)行病毒和/或木馬的查殺。[0031]優(yōu)選地,上述BNG設(shè)備對(duì)上述用戶設(shè)備執(zhí)行上述安全策略之后,上述網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)的處理方法還包括:上述NAT設(shè)備通知上述BNG設(shè)備對(duì)上述用戶設(shè)備的訪問(wèn)行為執(zhí)行強(qiáng)制上述用戶設(shè)備下線或?qū)⑸鲜鲇脩粼O(shè)備退回至未認(rèn)證狀態(tài)的操作,并通知認(rèn)證授權(quán)計(jì)費(fèi)AAA服務(wù)器將上述用戶設(shè)備標(biāo)記或設(shè)置為存在攻擊行為的用戶設(shè)備,其中,上述第一提示頁(yè)面還用于提醒上述用戶設(shè)備將被強(qiáng)制下線或被退回至未認(rèn)證狀態(tài);上述用戶設(shè)備再次請(qǐng)求上線和/或請(qǐng)求認(rèn)證,上述AAA服務(wù)器對(duì)上述用戶設(shè)備的認(rèn)證通過(guò)后,上述AAA服務(wù)器通知上述BNG設(shè)備對(duì)上述用戶設(shè)備執(zhí)行強(qiáng)推Web頁(yè)面策略,將上述用戶設(shè)備的頁(yè)面訪問(wèn)請(qǐng)求重定向至第二提示頁(yè)面,其中,上述第二提示頁(yè)面用于提醒上述用戶設(shè)備此前被強(qiáng)制下線或被退回至未認(rèn)證狀態(tài)是因?yàn)橛脩粼O(shè)備發(fā)生了攻擊行為,若上述用戶設(shè)備仍然存在攻擊行為,將再次被強(qiáng)制下線或被退回至未認(rèn)證狀態(tài),并提醒上述用戶設(shè)備進(jìn)行病毒和/或木馬的查殺。
[0032]優(yōu)選地,上述NAT設(shè)備包括以下之一:與BNG設(shè)備合設(shè)的NAT設(shè)備;與BNG設(shè)備分設(shè)的NAT設(shè)備。
[0033]優(yōu)選地,上述NAT設(shè)備為與BNG設(shè)備合設(shè)的NAT設(shè)備的情況下,上述NAT設(shè)備通過(guò)以下方式之一通知BNG設(shè)備對(duì)上述用戶設(shè)備執(zhí)行安全策略:上述NAT設(shè)備將上述用戶設(shè)備的標(biāo)識(shí)信息發(fā)送給安全策略服務(wù)器,由安全策略服務(wù)器通知上述BNG設(shè)備對(duì)上述用戶設(shè)備執(zhí)行安全策略;上述NAT設(shè)備將上述用戶設(shè)備的標(biāo)識(shí)信息發(fā)送給上述BNG設(shè)備,來(lái)通知上述BNG設(shè)備對(duì)上述用戶設(shè)備執(zhí)行安全策略。
[0034]優(yōu)選地,在上述NAT設(shè)備通知BNG設(shè)備對(duì)上述用戶設(shè)備執(zhí)行安全策略之后,上述網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)的處理方法還包括:上述NAT設(shè)備判斷上述用戶設(shè)備的會(huì)話建立不符合上述預(yù)設(shè)閥值的情況下,或上述用戶設(shè)備通過(guò)強(qiáng)推的Web頁(yè)面取消執(zhí)行上述安全策略的情況下,上述NAT設(shè)備通知上述BNG設(shè)備取消對(duì)上述用戶設(shè)備執(zhí)行上述安全策略。
[0035]優(yōu)選地,上述NAT設(shè)備為與BNG設(shè)備合設(shè)的NAT設(shè)備的情況下,上述NAT設(shè)備通過(guò)以下方式之一通知BNG設(shè)備取消對(duì)上述用戶設(shè)備執(zhí)行安全策略:上述NAT設(shè)備將上述用戶設(shè)備的標(biāo)識(shí)信息發(fā)送給安全策略服務(wù)器,由安全策略服務(wù)器通知上述BNG設(shè)備取消對(duì)上述用戶設(shè)備執(zhí)行安全策略;上述NAT設(shè)備將上述用戶設(shè)備的標(biāo)識(shí)信息發(fā)送給上述BNG設(shè)備,來(lái)通知上述BNG設(shè)備取消對(duì)上述用戶設(shè)備執(zhí)行安全策略。
[0036]優(yōu)選地,強(qiáng)推的Web頁(yè)面位于公網(wǎng)的情況下,且上述NAT設(shè)備對(duì)上述用戶設(shè)備的訪問(wèn)行為執(zhí)行強(qiáng)推Web頁(yè)面操作的情況下,上述NAT設(shè)備為上述用戶設(shè)備建立的會(huì)話包括:上述用戶設(shè)備與強(qiáng)推Web頁(yè)面的HTTP連接建立的會(huì)話。
[0037]優(yōu)選地,用于上述NAT設(shè)備判斷用戶設(shè)備的會(huì)話建立是否達(dá)到預(yù)設(shè)閥值的會(huì)話包括以下至少之一:上述用戶設(shè)備的傳輸控制協(xié)議TCP連接建立的會(huì)話;上述用戶設(shè)備的網(wǎng)際控制信息協(xié)議ICMP連接建立的會(huì)話;上述用戶設(shè)備的用戶數(shù)據(jù)協(xié)議m)P連接建立的會(huì)話。
[0038]優(yōu)選地,上述預(yù)設(shè)閥值包括以下至少之一:上述用戶設(shè)備建立會(huì)話的總數(shù)、上述用戶設(shè)備建立會(huì)話的速率。
[0039]優(yōu)選地,上述方法還包括:上述NAT設(shè)備通知上述BNG設(shè)備對(duì)上述用戶設(shè)備執(zhí)行安全策略時(shí),上述NAT設(shè)備加快上述用戶設(shè)備的會(huì)話的老化。
[0040]根據(jù)本發(fā)明的另一方面,提供了一種NAT設(shè)備,其包括:判斷模塊,用于判斷用戶設(shè)備的會(huì)話建立是否達(dá)到預(yù)設(shè)閥值;第一通知模塊,用于在上述用戶設(shè)備的會(huì)話建立達(dá)到上述預(yù)設(shè)閥值的情況下,通知寬帶網(wǎng)絡(luò)網(wǎng)關(guān)BNG設(shè)備對(duì)上述用戶設(shè)備執(zhí)行安全策略,其中,上述安全策略用于阻止上述用戶設(shè)備的攻擊行為,并通知上述用戶設(shè)備上述用戶設(shè)備存在攻擊行為。
[0041]優(yōu)選地,上述NAT設(shè)備還包括:第二通知模塊,用于通知上述BNG設(shè)備對(duì)上述用戶設(shè)備的訪問(wèn)行為執(zhí)行強(qiáng)制上述用戶設(shè)備下線或?qū)⑸鲜鲇脩粼O(shè)備退回至未認(rèn)證狀態(tài)的操作,并通知認(rèn)證授權(quán)計(jì)費(fèi)AAA服務(wù)器將上述用戶設(shè)備標(biāo)記或設(shè)置為存在攻擊行為的用戶設(shè)備,其中,上述第一提示頁(yè)面還用于提醒上述用戶設(shè)備將被強(qiáng)制下線或被退回至未認(rèn)證狀態(tài),上述用戶設(shè)備再次請(qǐng)求上線和/或請(qǐng)求認(rèn)證,上述AAA服務(wù)器對(duì)上述用戶設(shè)備的認(rèn)證通過(guò)后,上述AAA服務(wù)器通知上述BNG設(shè)備對(duì)上述用戶設(shè)備執(zhí)行強(qiáng)推Web頁(yè)面策略,將上述用戶設(shè)備的頁(yè)面訪問(wèn)請(qǐng)求重定向至第二提示頁(yè)面,其中,上述第二提示頁(yè)面用于提醒上述用戶設(shè)備此前被強(qiáng)制下線或被退回至未認(rèn)證狀態(tài)是因?yàn)橛脩粼O(shè)備發(fā)生了攻擊行為,若上述用戶設(shè)備仍然存在攻擊行為,將再次被強(qiáng)制下線或被退回至未認(rèn)證狀態(tài),并提醒上述用戶設(shè)備進(jìn)行病毒和/或木馬的查殺。
[0042]優(yōu)選地,上述NAT設(shè)備還包括:第三通知模塊,用于判斷出上述用戶設(shè)備的會(huì)話建立不符合上述預(yù)設(shè)閥值的情況下,或上述用戶設(shè)備通過(guò)強(qiáng)推的Web頁(yè)面取消執(zhí)行上述安全策略的情況下,通知上述BNG設(shè)備取消對(duì)上述用戶設(shè)備執(zhí)行上述安全策略。
[0043]優(yōu)選地,上述NAT設(shè)備還包括:處理模塊,用于通知上述BNG設(shè)備對(duì)上述用戶設(shè)備執(zhí)行安全策略時(shí),加快上述用戶設(shè)備的會(huì)話的老化。
[0044]根據(jù)本發(fā)明的又一方面,提供了一種BNG設(shè)備,其包括:第一接收模塊,用于接收NAT設(shè)備發(fā)送的對(duì)用戶設(shè)備執(zhí)行安全策略的第一通知,其中,上述用戶設(shè)備的會(huì)話建立達(dá)到預(yù)設(shè)閥值,上述安全策略用于阻止上述用戶設(shè)備的攻擊行為,并通知上述用戶設(shè)備上述用戶設(shè)備存在攻擊行為;重定向模塊,用于對(duì)上述用戶設(shè)備執(zhí)行強(qiáng)推Web頁(yè)面策略,將上述用戶設(shè)備發(fā)送的HTTP請(qǐng)求重定向至第一提示頁(yè)面,其中,上述第一提示頁(yè)面用于提醒上述用戶設(shè)備的訪問(wèn)存在攻擊行為。
[0045]優(yōu)選地,上述BNG設(shè)備還包括:第二接收模塊,用于接收NAT設(shè)備發(fā)送的對(duì)上述用戶設(shè)備的訪問(wèn)行為執(zhí)行強(qiáng)制上述用戶設(shè)備下線或?qū)⑸鲜鲇脩粼O(shè)備退回至未認(rèn)證狀態(tài)的操作的第二通知;處理模塊,用于根據(jù)上述第二通知,對(duì)上述用戶設(shè)備的訪問(wèn)行為執(zhí)行強(qiáng)制上述用戶設(shè)備下線或?qū)⑸鲜鲇脩粼O(shè)備退回至未認(rèn)證狀態(tài)的操作,并通知認(rèn)證授權(quán)計(jì)費(fèi)AAA服務(wù)器將所述用戶設(shè)備標(biāo)記或設(shè)置為存在攻擊行為的用戶設(shè)備,其中,所述第一提示頁(yè)面還用于提醒所述用戶設(shè)備將被強(qiáng)制下線或被退回至未認(rèn)證狀態(tài),所述用戶設(shè)備再次請(qǐng)求上線和/或請(qǐng)求認(rèn)證,所述AAA服務(wù)器對(duì)所述用戶設(shè)備的認(rèn)證通過(guò)后,所述AAA服務(wù)器通知所述BNG設(shè)備對(duì)所述用戶設(shè)備執(zhí)行強(qiáng)推Web頁(yè)面策略,將所述用戶設(shè)備的頁(yè)面訪問(wèn)請(qǐng)求重定向至第二提示頁(yè)面,其中,所述第二提示頁(yè)面用于提醒所述用戶設(shè)備此前被強(qiáng)制下線或被退回至未認(rèn)證狀態(tài)是因?yàn)橛脩粼O(shè)備發(fā)生了攻擊行為,若所述用戶設(shè)備仍然存在攻擊行為,將再次被強(qiáng)制下線或被退回至未認(rèn)證狀態(tài),并提醒所述用戶設(shè)備進(jìn)行病毒和/或木馬的查殺O
[0046]在本發(fā)明中,通過(guò)NAT設(shè)備判斷用戶設(shè)備的會(huì)話建立是否達(dá)到預(yù)設(shè)閥值,該預(yù)設(shè)閥值可以是會(huì)話建立的數(shù)目或頻率等,若是,上述NAT設(shè)備通知BNG設(shè)備對(duì)上述用戶設(shè)備執(zhí)行安全策略,其中,該安全策略用于阻止上述用戶設(shè)備的攻擊行為,并通知上述用戶設(shè)備該用戶設(shè)備存在攻擊行為,實(shí)現(xiàn)了在用戶設(shè)備存在攻擊行為時(shí),通過(guò)執(zhí)行上述安全策略來(lái)阻止上述用戶設(shè)備的攻擊行為,并提醒用戶設(shè)備其存在攻擊行為,以提醒用戶對(duì)可能存在的病毒和木馬進(jìn)行查殺,避免用于投訴運(yùn)營(yíng)商,從而在提高NAT設(shè)備的利用率的同時(shí),改善用戶體驗(yàn)。
【專利附圖】
【附圖說(shuō)明】
[0047]此處所說(shuō)明的附圖用來(lái)提供對(duì)本發(fā)明的進(jìn)一步理解,構(gòu)成本申請(qǐng)的一部分,本發(fā)明的示意性實(shí)施例及其說(shuō)明用于解釋本發(fā)明,并不構(gòu)成對(duì)本發(fā)明的不當(dāng)限定。在附圖中:
[0048]圖1是根據(jù)本發(fā)明實(shí)施例的網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)的處理方法的流程圖;
[0049]圖2是根據(jù)本發(fā)明實(shí)施例的網(wǎng)絡(luò)架構(gòu)示意圖1;
[0050]圖3是根據(jù)本發(fā)明實(shí)施例的網(wǎng)絡(luò)架構(gòu)示意圖2;
[0051]圖4是根據(jù)本發(fā)明實(shí)施例的網(wǎng)絡(luò)架構(gòu)示意圖3;
[0052]圖5是根據(jù)本發(fā)明實(shí)施例的NAT設(shè)備的結(jié)構(gòu)框圖;
[0053]圖6是根據(jù)本發(fā)明實(shí)施例的BNG設(shè)備的結(jié)構(gòu)框圖;
[0054]圖7是根據(jù)本發(fā)明實(shí)施例的網(wǎng)絡(luò)示意圖1 ;
[0055]圖8是根據(jù)本發(fā)明實(shí)施例的網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)的處理方法的流程示意圖;
[0056]圖9是根據(jù)本發(fā)明實(shí)施例的網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)的處理方法的流程示意圖;
[0057]圖10是根據(jù)本發(fā)明實(shí)施例的網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)的處理方法的流程示意圖;
[0058]圖11是根據(jù)本發(fā)明實(shí)施例的網(wǎng)絡(luò)示意圖2 ;
[0059]圖12是根據(jù)本發(fā)明實(shí)施例的網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)的處理方法的流程示意圖;
[0060]圖13是根據(jù)本發(fā)明實(shí)施例的網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)的處理方法的流程示意圖;
[0061]圖14是根據(jù)本發(fā)明實(shí)施例的網(wǎng)絡(luò)示意圖3 ;
[0062]圖15是根據(jù)本發(fā)明實(shí)施例的網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)的處理方法的流程示意圖?!揪唧w實(shí)施方式】
[0063]下文中將參考附圖并結(jié)合實(shí)施例來(lái)詳細(xì)說(shuō)明本發(fā)明。需要說(shuō)明的是,在不沖突的情況下,本申請(qǐng)中的實(shí)施例及實(shí)施例中的特征可以相互組合。
[0064]本實(shí)施例提供了一種網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)的處理方法,如圖1所示,該網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)的處理方法包括步驟S102至步驟S104。
[0065]步驟S102:網(wǎng)絡(luò)地址轉(zhuǎn)換NAT設(shè)備判斷用戶設(shè)備的會(huì)話建立是否達(dá)到預(yù)設(shè)閥值。
[0066]步驟S104:若是,NAT設(shè)備通知寬帶網(wǎng)絡(luò)網(wǎng)關(guān)BNG設(shè)備對(duì)用戶設(shè)備執(zhí)行安全策略,其中,安全策略用于阻止用戶設(shè)備的攻擊行為,并通知用戶設(shè)備用戶設(shè)備存在攻擊行為。
[0067]通過(guò)上述步驟,通過(guò)NAT設(shè)備判斷用戶設(shè)備的會(huì)話建立是否達(dá)到預(yù)設(shè)閥值,該預(yù)設(shè)閥值可以是會(huì)話建立的數(shù)目或頻率等,若是,上述NAT設(shè)備通知BNG設(shè)備對(duì)上述用戶設(shè)備執(zhí)行安全策略,其中,該安全策略用于阻止上述用戶設(shè)備的攻擊行為,并通知上述用戶設(shè)備該用戶設(shè)備存在攻擊行為,實(shí)現(xiàn)了在用戶設(shè)備存在攻擊行為時(shí),通過(guò)執(zhí)行上述安全策略來(lái)阻止上述用戶設(shè)備的攻擊行為,并提醒用戶設(shè)備其存在攻擊行為,以提醒用戶對(duì)可能存在的病毒和木馬進(jìn)行查殺,避免用于投訴運(yùn)營(yíng)商,從而在提高NAT設(shè)備的利用率的同時(shí),改善用戶體驗(yàn)。
[0068]為了提高執(zhí)行安全策略的便捷性,在本優(yōu)選實(shí)施例中,上述BNG設(shè)備對(duì)上述用戶設(shè)備執(zhí)行上述安全策略包括:上述BNG設(shè)備執(zhí)行強(qiáng)推Web頁(yè)面策略,將上述用戶設(shè)備發(fā)送的超文本傳輸協(xié)議(Hypertext Transfer Protocol,簡(jiǎn)稱為HTTP)請(qǐng)求重定向至第一提示頁(yè)面,其中,上述第一提示頁(yè)面用于提醒上述用戶設(shè)備的訪問(wèn)存在攻擊行為。
[0069]為了提高BNG設(shè)備的利用率,在本優(yōu)選實(shí)施例中,上述BNG設(shè)備將上述用戶設(shè)備發(fā)送的HTTP請(qǐng)求重定向至第一提示頁(yè)面包括:上述BNG設(shè)備間隔預(yù)設(shè)周期將上述用戶設(shè)備發(fā)送的HTTP請(qǐng)求重定向至上述第一提示頁(yè)面。即上述BNG設(shè)備可以截獲上述用戶設(shè)備的所有HTTP請(qǐng)求報(bào)文,并重定向至上述第一提示頁(yè)面,也可以間隔預(yù)設(shè)周期截獲上述用戶設(shè)備的HTTP請(qǐng)求報(bào)文,并重定向至上述第一提示頁(yè)面。
[0070]為了讓用戶設(shè)備可以快速地解除攻擊行為,在本優(yōu)選實(shí)施例中,所述第一提示頁(yè)面還作用提醒所述用戶設(shè)備進(jìn)行病毒和/或木馬的查殺。
[0071]為了有效地阻止用戶設(shè)備的攻擊行為,在本優(yōu)選實(shí)施例中,上述BNG設(shè)備對(duì)上述用戶設(shè)備執(zhí)行上述安全策略之后,上述網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)的處理方法還包括:上述NAT設(shè)備通知上述BNG設(shè)備對(duì)上述用戶設(shè)備的訪問(wèn)行為執(zhí)行強(qiáng)制上述用戶設(shè)備下線或?qū)⑸鲜鲇脩粼O(shè)備退回至未認(rèn)證狀態(tài)的操作,并通知認(rèn)證授權(quán)計(jì)費(fèi)(Authentication、Authorizationand Accounting,簡(jiǎn)稱為AAA)服務(wù)器將上述用戶設(shè)備標(biāo)記或設(shè)置為存在攻擊行為的用戶設(shè)備,其中,上述第一提示頁(yè)面還用于提醒上述用戶設(shè)備將被強(qiáng)制下線或被退回至未認(rèn)證狀態(tài);上述用戶設(shè)備再次請(qǐng)求上線和/或請(qǐng)求認(rèn)證,上述AAA服務(wù)器對(duì)上述用戶設(shè)備的認(rèn)證通過(guò)后,上述AAA服務(wù)器通知上述BNG設(shè)備對(duì)上述用戶設(shè)備執(zhí)行強(qiáng)推Web頁(yè)面策略,將上述用戶設(shè)備的頁(yè)面訪問(wèn)請(qǐng)求重定向至第二提示頁(yè)面,其中,上述第二提示頁(yè)面用于提醒上述用戶設(shè)備此前被強(qiáng)制下線或被退回至未認(rèn)證狀態(tài)是因?yàn)橛脩粼O(shè)備發(fā)生了攻擊行為,若上述用戶設(shè)備仍然存在攻擊行為,將再次被強(qiáng)制下線或被退回至未認(rèn)證狀態(tài),并提醒上述用戶設(shè)備進(jìn)行病毒和/或木馬的查殺。
[0072]優(yōu)選地,上述NAT設(shè)備可以包括以下之一:與BNG設(shè)備合設(shè)的NAT設(shè)備;與BNG設(shè)備分設(shè)的NAT設(shè)備。
[0073]優(yōu)選地,上述NAT設(shè)備為與BNG設(shè)備合設(shè)的NAT設(shè)備的情況下,實(shí)施上述網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)的處理方法的網(wǎng)絡(luò)框架可以采用如圖2所示的網(wǎng)絡(luò)框架,上述NAT設(shè)備可以通過(guò)以下方式之一通知BNG設(shè)備對(duì)上述用戶設(shè)備執(zhí)行安全策略:上述NAT設(shè)備將上述用戶設(shè)備的標(biāo)識(shí)信息(例如,上述用戶設(shè)備的轉(zhuǎn)換后的公網(wǎng)IP地址和端口號(hào)段)發(fā)送給安全策略服務(wù)器,由安全策略服務(wù)器通知上述BNG設(shè)備對(duì)上述用戶設(shè)備執(zhí)行安全策略;上述NAT設(shè)備將上述用戶設(shè)備的標(biāo)識(shí)信息發(fā)送給上述BNG設(shè)備,來(lái)通知上述BNG設(shè)備對(duì)上述用戶設(shè)備執(zhí)行安全策略。
[0074]優(yōu)選地,當(dāng)上述NAT設(shè)備為與BNG設(shè)備分設(shè)的NAT設(shè)備,實(shí)施上述網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)的處理方法的網(wǎng)絡(luò)框架可以采用如圖3或4所示的網(wǎng)絡(luò)框架。
[0075]為了滿足不同應(yīng)用場(chǎng)景的需求,在本優(yōu)選實(shí)施例中,在上述NAT設(shè)備通知BNG設(shè)備對(duì)上述用戶設(shè)備執(zhí)行安全策略之后,上述網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)的處理方法還包括:上述NAT設(shè)備判斷上述用戶設(shè)備的會(huì)話建立不符合上述預(yù)設(shè)閥值的情況下,或上述用戶設(shè)備通過(guò)強(qiáng)推的Web頁(yè)面取消執(zhí)行上述安全策略的情況下,上述NAT設(shè)備通知上述BNG設(shè)備取消對(duì)上述用戶設(shè)備執(zhí)行上述安全策略。
[0076]優(yōu)選地,上述NAT設(shè)備為與BNG設(shè)備合設(shè)的NAT設(shè)備的情況下,上述NAT設(shè)備可以通過(guò)以下方式之一通知BNG設(shè)備取消對(duì)上述用戶設(shè)備執(zhí)行安全策略:上述NAT設(shè)備將上述用戶設(shè)備的標(biāo)識(shí)信息發(fā)送給安全策略服務(wù)器,由安全策略服務(wù)器通知上述BNG設(shè)備取消對(duì)上述用戶設(shè)備執(zhí)行安全策略;上述NAT設(shè)備將上述用戶設(shè)備的標(biāo)識(shí)信息發(fā)送給上述BNG設(shè)備,來(lái)通知上述BNG設(shè)備取消對(duì)上述用戶設(shè)備執(zhí)行安全策略。
[0077]優(yōu)選地,上述用戶設(shè)備通過(guò)強(qiáng)推的Web頁(yè)面取消執(zhí)行上述安全策略可以包括:Web服務(wù)器通過(guò)安全策略服務(wù)器發(fā)送用戶策略給上述NAT設(shè)備來(lái)取消執(zhí)行上述安全策略;或者上述Web服務(wù)器通知上述NAT設(shè)備下發(fā)用戶策略來(lái)取消執(zhí)行上述安全策略。
[0078]優(yōu)選地,強(qiáng)推的Web頁(yè)面位于公網(wǎng)的情況下,且上述NAT設(shè)備對(duì)上述用戶設(shè)備的訪問(wèn)行為執(zhí)行強(qiáng)推Web頁(yè)面操作的情況下,上述NAT設(shè)備為上述用戶設(shè)備建立的會(huì)話可以包括:上述用戶設(shè)備與強(qiáng)推Web頁(yè)面的HTTP連接建立的會(huì)話。
[0079]為了準(zhǔn)確地確定出上述用戶設(shè)備是否達(dá)到的上述預(yù)設(shè)閥值,在本優(yōu)選實(shí)施例中,用于上述NAT設(shè)備判斷用戶設(shè)備的會(huì)話建立是否達(dá)到預(yù)設(shè)閥值的會(huì)話可以包括以下至少之一:上述用戶設(shè)備的傳輸控制協(xié)議(Transfer Control Protocol,簡(jiǎn)稱為TCP)連接建立的會(huì)話;上述用戶設(shè)備的網(wǎng)際控制消息協(xié)議(nternet Control Message Protocol,簡(jiǎn)稱為ICMP)接建立的會(huì)話;上述用戶設(shè)備的用戶數(shù)據(jù)協(xié)議(User Date Protocol,簡(jiǎn)稱為UDP)連接建立的會(huì)話。
[0080]優(yōu)選地,上述預(yù)設(shè)閥值包括以下至少之一:上述用戶設(shè)備建立會(huì)話的總數(shù)、上述用戶設(shè)備建立會(huì)話的速率。
[0081]為了縮短用戶會(huì)話的老化時(shí)間,以及時(shí)地釋放會(huì)話資源,在本優(yōu)選實(shí)施例中,上述方法還可以包括:上述NAT設(shè)備通知上述BNG設(shè)備對(duì)上述用戶設(shè)備執(zhí)行安全策略時(shí),上述NAT設(shè)備加快上述用戶設(shè)備的會(huì)話的老化。
[0082]優(yōu)選地,為了靈活地、實(shí)時(shí)地提醒用戶設(shè)備其存在攻擊行為,在本優(yōu)選實(shí)施例中,在執(zhí)行用戶安全策略的同時(shí),上述NAT設(shè)備可以將上述用戶設(shè)備的標(biāo)識(shí)信息(例如,攻擊IP)通知策略服務(wù)器,通過(guò)策略服務(wù)器的第三方接口以其它形式通知用戶設(shè)備,例如,可以通過(guò)短信通知、電話通知、各種頂工具通知等方式。
[0083]本優(yōu)選實(shí)施例提供了一種NAT設(shè)備,如圖5所示,該NAT設(shè)備包括:判斷模塊502,用于判斷用戶設(shè)備的會(huì)話建立是否達(dá)到預(yù)設(shè)閥值;第一通知模塊504,連接至判斷模塊502,用于在上述用戶設(shè)備的會(huì)話建立達(dá)到上述預(yù)設(shè)閥值的情況下,通知寬帶網(wǎng)絡(luò)網(wǎng)關(guān)BNG設(shè)備對(duì)上述用戶設(shè)備執(zhí)行安全策略,其中,上述安全策略用于阻止上述用戶設(shè)備的攻擊行為,并通知上述用戶設(shè)備上述用戶設(shè)備存在攻擊行為。
[0084]在上述優(yōu)選實(shí)施例中,通過(guò)判斷模塊502判斷用戶設(shè)備的會(huì)話建立是否達(dá)到預(yù)設(shè)閥值,該預(yù)設(shè)閥值可以是會(huì)話建立的數(shù)目或頻率等,若是,第一通知模塊504通知BNG設(shè)備對(duì)上述用戶設(shè)備執(zhí)行安全策略,其中,該安全策略用于阻止上述用戶設(shè)備的攻擊行為,并通知上述用戶設(shè)備該用戶設(shè)備存在攻擊行為,實(shí)現(xiàn)了在用戶設(shè)備存在攻擊行為時(shí),通過(guò)執(zhí)行上述安全策略來(lái)阻止上述用戶設(shè)備的攻擊行為,并提醒用戶設(shè)備其存在攻擊行為,以提醒用戶對(duì)可能存在的病毒和木馬進(jìn)行查殺,避免用于投訴運(yùn)營(yíng)商,從而在提高NAT設(shè)備的利用率的同時(shí),改善用戶體驗(yàn)。[0085]為了有效地阻止用戶設(shè)備的攻擊行為,在本優(yōu)選實(shí)施例中,上述NAT設(shè)備還包括:第二通知模塊,用于通知上述BNG設(shè)備對(duì)上述用戶設(shè)備的訪問(wèn)行為執(zhí)行強(qiáng)制上述用戶設(shè)備下線或?qū)⑸鲜鲇脩粼O(shè)備退回至未認(rèn)證狀態(tài)的操作,并通知認(rèn)證授權(quán)計(jì)費(fèi)AAA服務(wù)器將上述用戶設(shè)備標(biāo)記或設(shè)置為存在攻擊行為的用戶設(shè)備,其中,上述第一提示頁(yè)面還用于提醒上述用戶設(shè)備將被強(qiáng)制下線或被退回至未認(rèn)證狀態(tài),上述用戶設(shè)備再次請(qǐng)求上線和/或請(qǐng)求認(rèn)證,上述AAA服務(wù)器對(duì)上述用戶設(shè)備的認(rèn)證通過(guò)后,上述AAA服務(wù)器通知上述BNG設(shè)備對(duì)上述用戶設(shè)備執(zhí)行強(qiáng)推Web頁(yè)面策略,將上述用戶設(shè)備的頁(yè)面訪問(wèn)請(qǐng)求重定向至第二提示頁(yè)面,其中,上述第二提示頁(yè)面用于提醒上述用戶設(shè)備此前被強(qiáng)制下線或被退回至未認(rèn)證狀態(tài)是因?yàn)橛脩粼O(shè)備發(fā)生了攻擊行為,若上述用戶設(shè)備仍然存在攻擊行為,將再次被強(qiáng)制下線或被退回至未認(rèn)證狀態(tài),并提醒上述用戶設(shè)備進(jìn)行病毒和/或木馬的查殺。
[0086]優(yōu)選地,上述NAT設(shè)備為與BNG設(shè)備合設(shè)的NAT設(shè)備的情況下,上述第一通知模塊504包括:第一發(fā)送單元,用于將上述用戶設(shè)備的標(biāo)識(shí)信息(例如,上述用戶設(shè)備的轉(zhuǎn)換后的公網(wǎng)IP地址和端口號(hào)段)發(fā)送給安全策略服務(wù)器,由安全策略服務(wù)器通知上述BNG設(shè)備對(duì)上述用戶設(shè)備執(zhí)行安全策略;和/或第二發(fā)送單元,用于將上述用戶設(shè)備的標(biāo)識(shí)信息發(fā)送給上述BNG設(shè)備,來(lái)通知上述BNG設(shè)備對(duì)上述用戶設(shè)備執(zhí)行安全策略。
[0087]為了滿足不同應(yīng)用場(chǎng)景的需求,在本優(yōu)選實(shí)施例中,上述NAT設(shè)備還包括:第三通知模塊,用于判斷出上述用戶設(shè)備的會(huì)話建立不符合上述預(yù)設(shè)閥值的情況下,或上述用戶設(shè)備通過(guò)強(qiáng)推的Web頁(yè)面取消執(zhí)行上述安全策略的情況下,通知上述BNG設(shè)備取消對(duì)上述用戶設(shè)備執(zhí)行上述安全策略。
[0088]優(yōu)選地,上述NAT設(shè)備為與BNG設(shè)備合設(shè)的NAT設(shè)備的情況下,上述第三通知模塊包括:第三發(fā)送單元,用于將上述用戶設(shè)備的標(biāo)識(shí)信息發(fā)送給安全策略服務(wù)器,由安全策略服務(wù)器通知上述BNG設(shè)備取消對(duì)上述用戶設(shè)備執(zhí)行安全策略;第四發(fā)送單元,用于將上述用戶設(shè)備的標(biāo)識(shí)信息發(fā)送給上述BNG設(shè)備,來(lái)通知上述BNG設(shè)備取消對(duì)上述用戶設(shè)備執(zhí)行安全策略。
[0089]為了縮短用戶會(huì)話的老化時(shí)間,以及時(shí)地釋放會(huì)話資源,在本優(yōu)選實(shí)施例中,上述網(wǎng)絡(luò)地址轉(zhuǎn)換設(shè)備還包括:處理模塊,用于通知上述BNG設(shè)備對(duì)上述用戶設(shè)備執(zhí)行安全策略時(shí),加快上述用戶設(shè)備的會(huì)話的老化。
[0090]本優(yōu)選實(shí)施例提供了一種BNG設(shè)備,如圖6所不,該BNG設(shè)備包括:第一接收模塊602,用于接收NAT設(shè)備發(fā)送的對(duì)用戶設(shè)備執(zhí)行安全策略的第一通知,其中,所述用戶設(shè)備的會(huì)話建立達(dá)到預(yù)設(shè)閥值,所述安全策略用于阻止所述用戶設(shè)備的攻擊行為,并通知所述用戶設(shè)備所述用戶設(shè)備存在攻擊行為;重定向模塊604,連接至第一接收模塊602,用于對(duì)所述用戶設(shè)備執(zhí)行強(qiáng)推Web頁(yè)面策略,將所述用戶設(shè)備發(fā)送的HTTP請(qǐng)求重定向至第一提示頁(yè)面,其中,所述第一提示頁(yè)面用于提醒所述用戶設(shè)備的訪問(wèn)存在攻擊行為。
[0091 ] 為了提高BNG設(shè)備的利用率,在本優(yōu)選實(shí)施例中,上述重定向模塊604,用于間隔預(yù)設(shè)周期將上述用戶設(shè)備發(fā)送的HTTP請(qǐng)求重定向至上述第一提示頁(yè)面。即上述BNG設(shè)備可以截獲上述用戶設(shè)備的所有HTTP請(qǐng)求報(bào)文,并重定向至上述第一提示頁(yè)面,也可以間隔預(yù)設(shè)周期截獲上述用戶設(shè)備的HTTP請(qǐng)求報(bào)文,并重定向至上述第一提示頁(yè)面。
[0092]為了有效地阻止用戶設(shè)備的攻擊行為,在本優(yōu)選實(shí)施例中,上述BNG設(shè)備還包括:第二接收模塊,用于接收NAT設(shè)備發(fā)送的對(duì)上述用戶設(shè)備的訪問(wèn)行為執(zhí)行強(qiáng)制上述用戶設(shè)備下線或?qū)⑸鲜鲇脩粼O(shè)備退回至未認(rèn)證狀態(tài)的操作的第二通知;處理模塊,連接至第二接收模塊,用于根據(jù)上述第二通知,對(duì)上述用戶設(shè)備的訪問(wèn)行為執(zhí)行強(qiáng)制上述用戶設(shè)備下線或?qū)⑸鲜鲇脩粼O(shè)備退回至未認(rèn)證狀態(tài)的操作,并通知認(rèn)證授權(quán)計(jì)費(fèi)AAA服務(wù)器將上述用戶設(shè)備標(biāo)記或設(shè)置為存在攻擊行為的用戶設(shè)備,其中,上述第一提示頁(yè)面還用于提醒上述用戶設(shè)備將被強(qiáng)制下線或被退回至未認(rèn)證狀態(tài),上述用戶設(shè)備再次請(qǐng)求上線和/或請(qǐng)求認(rèn)證,上述AAA服務(wù)器對(duì)上述用戶設(shè)備的認(rèn)證通過(guò)后,上述AAA服務(wù)器通知上述BNG設(shè)備對(duì)上述用戶設(shè)備執(zhí)行強(qiáng)推Web頁(yè)面策略,將上述用戶設(shè)備的頁(yè)面訪問(wèn)請(qǐng)求重定向至第二提示頁(yè)面,其中,上述第二提示頁(yè)面用于提醒上述用戶設(shè)備此前被強(qiáng)制下線或被退回至未認(rèn)證狀態(tài)是因?yàn)橛脩粼O(shè)備發(fā)生了攻擊行為,若上述用戶設(shè)備仍然存在攻擊行為,將再次被強(qiáng)制下線或被退回至未認(rèn)證狀態(tài),并提醒上述用戶設(shè)備進(jìn)行病毒和/或木馬的查殺。
[0093]優(yōu)選地,上述用戶設(shè)備可以是PPPoE用戶設(shè)備、IPoE用戶設(shè)備、移動(dòng)互聯(lián)網(wǎng)的用戶設(shè)備等。
[0094]以下結(jié)合附圖對(duì)上述各個(gè)優(yōu)選實(shí)施例進(jìn)行詳細(xì)地描述。
[0095]在本優(yōu)選實(shí)施例中,以圖7所示的網(wǎng)絡(luò)示意場(chǎng)景為例,上述NAT設(shè)備為融合式NAT設(shè)備為例,當(dāng)NAT用戶TCP攻擊消耗的Session (會(huì)話)數(shù)目達(dá)到了安全策略生效的閥值(相當(dāng)于上述預(yù)設(shè)閥值),總是強(qiáng)推Web頁(yè)面,用戶通過(guò)Web頁(yè)面來(lái)主動(dòng)取消安全策略,基于該網(wǎng)絡(luò)場(chǎng)景,如圖8所示,上述網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)的處理方法的流程包括如下步驟:
[0096]步驟S802,NAT設(shè)備預(yù)先設(shè)置安全策略閥值為用戶Session數(shù)為最大允許值的80% ;
[0097]步驟S804,用戶發(fā)生TCP攻擊行為,NAT設(shè)備判斷已經(jīng)到了安全策略生效閥值;
[0098]步驟S806,NAT設(shè)備給用戶下發(fā)強(qiáng)推標(biāo)記,隨后截獲用戶所有到80端口的TCP連接,通過(guò)HTTP重定向標(biāo)記,將用戶所有的HTTP訪問(wèn)請(qǐng)求重定向到運(yùn)營(yíng)商的Web提示頁(yè)面(相當(dāng)于第一提示頁(yè)面)提醒用戶對(duì)可能存在病毒和木馬進(jìn)行查殺;NAT設(shè)備同時(shí)動(dòng)態(tài)加快用戶的無(wú)效Session的老化時(shí)間;
[0099]步驟S808,用戶終端查殺病毒及木馬后,用戶在運(yùn)營(yíng)商Web頁(yè)面上要求取消安全策略;
[0100]步驟S810,運(yùn)營(yíng)商的Web服務(wù)器告知策略服務(wù)器,要求通知NAT設(shè)備取消安全策略;
[0101]步驟S812,策略服務(wù)器通知NAT設(shè)備取消安全策略;
[0102]步驟S814,用戶可以通過(guò)NAT設(shè)備訪問(wèn)網(wǎng)絡(luò)。
[0103]在本優(yōu)選實(shí)施例中,以圖7所示的網(wǎng)絡(luò)示意場(chǎng)景為例,上述NAT設(shè)備為融合式NAT設(shè)備為例,當(dāng)NAT用戶UDP攻擊消耗的Session達(dá)到了安全策略生效的閥值(相當(dāng)于上述預(yù)設(shè)閥值)時(shí),周期性強(qiáng)推Web頁(yè)面,當(dāng)用戶的攻擊行為消失后NAT設(shè)備主動(dòng)取消安全策略,基于該網(wǎng)絡(luò)場(chǎng)景,如圖9所示,上述網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)的處理方法的流程包括如下步驟:
[0104]步驟S902,NAT設(shè)備預(yù)先設(shè)置安全策略閥值為用戶Session新建速率達(dá)到最大允許值的80% ;
[0105]步驟S904,用戶發(fā)生UDP FLOOD攻擊行為,NAT設(shè)備判斷已經(jīng)到了安全策略生效閥值;
[0106]步驟S906,NAT設(shè)備給用戶設(shè)置強(qiáng)推標(biāo)記,隨后截獲用戶到80端口的TCP連接,通過(guò)HTTP重定向標(biāo)記,定期將用戶的HTTP訪問(wèn)請(qǐng)求重定向到運(yùn)營(yíng)商的Web提示頁(yè)面。用戶部分訪問(wèn)網(wǎng)頁(yè)的HTTP請(qǐng)求定期被重定向到運(yùn)營(yíng)商的Web提示頁(yè)面,提醒用戶對(duì)可能存在病毒和木馬進(jìn)行查殺;
[0107]步驟S908,用戶終端查殺病毒及木馬后,用戶的UDP FLOOD攻擊行為消失;
[0108]步驟S910,NAT設(shè)備判斷用戶的新建Session速率低于閥值,NAT設(shè)備取消用戶的安全策略;
[0109]步驟S912,用戶可以通過(guò)NAT設(shè)備訪問(wèn)網(wǎng)絡(luò)。
[0110]在本優(yōu)選實(shí)施例中,以圖7所示的網(wǎng)絡(luò)示意場(chǎng)景為例,上述NAT設(shè)備為融合式NAT設(shè)備為例,當(dāng)NAT用戶TCP攻擊消耗的Session數(shù)目達(dá)到了安全策略生效的閥值(相當(dāng)于上述預(yù)設(shè)閥值),強(qiáng)推Web頁(yè)面并強(qiáng)制用戶下線,如圖10所示,上述網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)的處理方法的流程包括如下步驟:
[0111]步驟S1002,NAT設(shè)備預(yù)先設(shè)置安全策略閥值為用戶Session數(shù)為最大允許值的80% ;
[0112]步驟S1004,用戶發(fā)生TCP攻擊行為,NAT設(shè)備判斷已經(jīng)到了安全策略生效閥值;
[0113]步驟S1006,NAT設(shè)備強(qiáng)制用戶下線或退回未認(rèn)證狀態(tài),通知認(rèn)證服務(wù)器下線原因?yàn)?NATSession 攻擊;
[0114]可選的,NAT設(shè)備在強(qiáng)制用戶下線或退回未認(rèn)證狀態(tài)前,強(qiáng)推Web頁(yè)面提示用戶即將下線或退回未認(rèn)證狀態(tài),提醒用戶對(duì)可能的病毒或木馬進(jìn)行查殺后重新上線或發(fā)起認(rèn)證。
[0115]步驟S1008,用戶再次撥號(hào)上線或發(fā)起認(rèn)證請(qǐng)求,認(rèn)證成功后重新上線;
[0116]步驟S1010,AAA服務(wù)器通知NAT設(shè)備將用戶的HTTP請(qǐng)求重定向到運(yùn)營(yíng)商的第二Web提示頁(yè)面(相當(dāng)于第二提示頁(yè)面);
[0117]步驟S1012,NAT設(shè)備將用戶的HTTP請(qǐng)求重定向到運(yùn)營(yíng)商的第二 Web提示頁(yè)面,提醒用戶前次下線原因并提醒用戶對(duì)可能存在病毒和木馬進(jìn)行查殺;
[0118]步驟S1014,第二 Web提示頁(yè)面只強(qiáng)推一次,強(qiáng)推后用戶可以通過(guò)NAT設(shè)備訪問(wèn)網(wǎng)絡(luò)。
[0119]若用戶未查殺病毒及木馬或查殺不徹底,導(dǎo)致攻擊行為仍舊發(fā)生,當(dāng)用戶Session數(shù)再次到達(dá)安全策略生效閥值,用戶再次被強(qiáng)制下線。
[0120]若用戶成功進(jìn)行了病毒及木馬的查殺,攻擊行為不再發(fā)生,則用戶可以持續(xù)通過(guò)NAT設(shè)備訪問(wèn)網(wǎng)絡(luò)。
[0121]在本優(yōu)選實(shí)施例中,以圖11所示的網(wǎng)絡(luò)示意場(chǎng)景為例,上述NAT設(shè)備為獨(dú)立NAT設(shè)備或AFTR為例,NAT用戶TCP攻擊消耗的Session數(shù)目達(dá)到了安全策略生效的閥值(相當(dāng)于上述預(yù)設(shè)閥值),通過(guò)策略服務(wù)器通知BNG執(zhí)行用戶安全策略,如圖12所示,上述網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)的處理方法的流程包括如下步驟:
[0122]步驟S1202,NAT設(shè)備預(yù)先設(shè)置安全策略閥值為用戶Session數(shù)為最大允許值的80% ;
[0123]步驟S1204,用戶發(fā)生TCP攻擊行為,NAT設(shè)備判斷已經(jīng)到了安全策略生效閥值;
[0124]步驟S1206,NAT設(shè)備將用戶IP通知給策略服務(wù)器;
[0125]步驟S1208,策略服務(wù)器通知BNG執(zhí)行用戶安全策略;[0126]步驟S1210,BNG執(zhí)行用戶安全策略,通過(guò)重定向用戶的HTTP請(qǐng)求告知用戶,提醒用戶對(duì)可能存在病毒和木馬進(jìn)行查殺;
[0127]步驟S1212,用戶終端查殺病毒及木馬后,用戶的UDP FLOOD攻擊行為消失。NAT設(shè)備判斷用戶攻擊行為消失,將用戶IP通知給策略服務(wù)器;
[0128]步驟S1214,策略服務(wù)器通知BNG取消安全策略;
[0129]步驟S1216,用戶可以通過(guò)NAT設(shè)備訪問(wèn)網(wǎng)絡(luò)。
[0130]在本優(yōu)選實(shí)施例中,以圖11所示的網(wǎng)絡(luò)示意場(chǎng)景為例,上述NAT設(shè)備為獨(dú)立NAT設(shè)備或AFTR為例,NAT用戶TCP攻擊消耗的Session數(shù)目達(dá)到了安全策略生效的閥值(相當(dāng)于上述預(yù)設(shè)閥值),通知BNG執(zhí)行用戶安全策略,如圖13所示,上述網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)的處理方法的流程包括如下步驟:
[0131]步驟S1302,NAT設(shè)備預(yù)先設(shè)置安全策略閥值為用戶Session新建速率達(dá)到最大允許值的80%
[0132]步驟S1304,用戶發(fā)生TCP攻擊行為,NAT設(shè)備判斷已經(jīng)到了安全策略生效閥值;
[0133]步驟S1306,NAT設(shè)備將用戶IP發(fā)送給BNG,通知BNG執(zhí)行用戶安全策略;
[0134]步驟S1308,BNG執(zhí)行用戶安全策略,通過(guò)重定向用戶的HTTP請(qǐng)求告知用戶,提醒用戶對(duì)可能存在病毒和木馬進(jìn)行查殺;
[0135]步驟S1310,用戶終端查殺病毒及木馬后,用戶的UDP FLOOD攻擊行為消失。NAT設(shè)備判斷用戶攻擊行為消失,將用戶IP發(fā)送給BNG,通知BNG取消安全策略;
[0136]步驟S1312,用戶可以通過(guò)NAT設(shè)備訪問(wèn)網(wǎng)絡(luò)。
[0137]在本優(yōu)選實(shí)施例中,以圖14所示的網(wǎng)絡(luò)示意場(chǎng)景為例,上述NAT設(shè)備為獨(dú)立NAT設(shè)備或NAT與AC融合設(shè)備為例,NAT用戶TCP攻擊消耗的Session數(shù)目達(dá)到了安全策略生效的閥值(相當(dāng)于上述預(yù)設(shè)閥值),通過(guò)策略服務(wù)器通知BNG執(zhí)行用戶安全策略,如圖15所示,上述網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)的處理方法的流程包括如下步驟:
[0138]步驟S1502,NAT設(shè)備預(yù)先設(shè)置安全策略閥值為用戶Session數(shù)為最大允許值的80% ;NAT設(shè)備為用戶的私網(wǎng)地址分配用戶地址翻譯的公網(wǎng)地址和端口號(hào)段;
[0139]步驟S1504,用戶發(fā)生TCP攻擊行為,NAT設(shè)備判斷已經(jīng)到了安全策略生效閥值;
[0140]步驟S1506,NAT設(shè)備將用戶地址翻譯后的公網(wǎng)IP地址和端口號(hào)段通知給策略服務(wù)器;
[0141]步驟S1508,策略服務(wù)器將用戶的地址翻譯后的公網(wǎng)IP地址和端口號(hào)段發(fā)送給BNG,通知BNG執(zhí)行用戶安全策略;
[0142]步驟S1510,BNG執(zhí)行用戶安全策略,通過(guò)重定向用戶的HTTP請(qǐng)求告知用戶,提醒用戶對(duì)可能存在病毒和木馬進(jìn)行查殺;
[0143]步驟S1512,用戶終端查殺病毒及木馬后,用戶的UDP FLOOD攻擊行為消失。NAT設(shè)備判斷用戶攻擊行為消失,將用戶IP通知給策略服務(wù)器;
[0144]步驟S1514,策略服務(wù)器通知BNG取消安全策略;
[0145]步驟S1516,用戶可以通過(guò)NAT設(shè)備和BNG訪問(wèn)網(wǎng)絡(luò)。
[0146]從以上的描述中,可以看出,上述優(yōu)選實(shí)施例實(shí)現(xiàn)了如下技術(shù)效果:通過(guò)NAT設(shè)備判斷用戶設(shè)備的會(huì)話建立是否達(dá)到預(yù)設(shè)閥值,該預(yù)設(shè)閥值可以是會(huì)話建立的數(shù)目或頻率等,若是,上述NAT設(shè)備通知BNG設(shè)備對(duì)上述用戶設(shè)備執(zhí)行安全策略,其中,該安全策略用于阻止上述用戶設(shè)備的攻擊行為,并通知上述用戶設(shè)備該用戶設(shè)備存在攻擊行為,實(shí)現(xiàn)了在用戶設(shè)備存在攻擊行為時(shí),通過(guò)執(zhí)行上述安全策略來(lái)阻止上述用戶設(shè)備的攻擊行為,并提醒用戶設(shè)備其存在攻擊行為,以提醒用戶對(duì)可能存在的病毒和木馬進(jìn)行查殺,避免用于投訴運(yùn)營(yíng)商,從而在提高NAT設(shè)備的利用率的同時(shí),改善用戶體驗(yàn)
[0147]顯然,本領(lǐng)域的技術(shù)人員應(yīng)該明白,上述的本發(fā)明的各模塊或各步驟可以用通用的計(jì)算裝置來(lái)實(shí)現(xiàn),它們可以集中在單個(gè)的計(jì)算裝置上,或者分布在多個(gè)計(jì)算裝置所組成的網(wǎng)絡(luò)上,可選地,它們可以用計(jì)算裝置可執(zhí)行的程序代碼來(lái)實(shí)現(xiàn),從而,可以將它們存儲(chǔ)在存儲(chǔ)裝置中由計(jì)算裝置來(lái)執(zhí)行,并且在某些情況下,可以以不同于此處的順序執(zhí)行所示出或描述的步驟,或者將它們分別制作成各個(gè)集成電路模塊,或者將它們中的多個(gè)模塊或步驟制作成單個(gè)集成電路模塊來(lái)實(shí)現(xiàn)。這樣,本發(fā)明不限制于任何特定的硬件和軟件結(jié)合。
[0148]以上所述僅為本發(fā)明的優(yōu)選實(shí)施例而已,并不用于限制本發(fā)明,對(duì)于本領(lǐng)域的技術(shù)人員來(lái)說(shuō),本發(fā)明可以有各種更改和變化。凡在本發(fā)明的精神和原則之內(nèi),所作的任何修改、等同替換、改進(jìn)等,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。
【權(quán)利要求】
1.一種網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)的處理方法,其特征在于,包括: 網(wǎng)絡(luò)地址轉(zhuǎn)換NAT設(shè)備判斷用戶設(shè)備的會(huì)話建立是否達(dá)到預(yù)設(shè)閥值; 若是,所述NAT設(shè)備通知寬帶網(wǎng)絡(luò)網(wǎng)關(guān)BNG設(shè)備對(duì)所述用戶設(shè)備執(zhí)行安全策略,其中,所述安全策略用于阻止所述用戶設(shè)備的攻擊行為,并通知所述用戶設(shè)備所述用戶設(shè)備存在攻擊行為。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述BNG設(shè)備對(duì)所述用戶設(shè)備執(zhí)行所述安全策略包括: 所述BNG設(shè)備執(zhí)行強(qiáng)推Web頁(yè)面策略,將所述用戶設(shè)備發(fā)送的HTTP請(qǐng)求重定向至第一提示頁(yè)面,其中,所述第一提示頁(yè)面用于提醒所述用戶設(shè)備的訪問(wèn)存在攻擊行為。
3.根據(jù)權(quán)利要求2所述的方法,其特征在于,所述BNG設(shè)備將所述用戶設(shè)備發(fā)送的HTTP請(qǐng)求重定向至第一提示頁(yè)面包括: 所述BNG設(shè)備間隔預(yù)設(shè)周期將所述用戶設(shè)備發(fā)送的HTTP請(qǐng)求重定向至所述第一提示頁(yè)面。
4.根據(jù)權(quán)利要求2所述的方法,其特征在于,所述第一提示頁(yè)面還作用提醒所述用戶設(shè)備進(jìn)行病毒和/或木馬的查殺。
5.根據(jù)權(quán)利要求2至4中任一項(xiàng)所述的方法,其特征在于,所述BNG設(shè)備對(duì)所述用戶設(shè)備執(zhí)行所述安全策略之后,還包括: 所述NAT設(shè)備通知所述BNG設(shè)備對(duì)所述用戶設(shè)備的訪問(wèn)行為執(zhí)行強(qiáng)制所述用戶設(shè)備下線或?qū)⑺鲇脩粼O(shè)備退回至未認(rèn)證狀態(tài)的操作,并通知認(rèn)證授權(quán)計(jì)費(fèi)AAA服務(wù)器將所述用戶設(shè)備標(biāo)記或設(shè)置為存在攻擊行為的用戶設(shè)備,其中,所述第一提示頁(yè)面還用于提醒所述用戶設(shè)備將被強(qiáng)制下線或被退回至未認(rèn)證狀態(tài); 所述用戶設(shè)備再次請(qǐng)求上線和/或請(qǐng)求認(rèn)證,所述AAA服務(wù)器對(duì)所述用戶設(shè)備的認(rèn)證通過(guò)后,所述AAA服務(wù)器通知所述BNG設(shè)備對(duì)所述用戶設(shè)備執(zhí)行強(qiáng)推Web頁(yè)面策略,將所述用戶設(shè)備的頁(yè)面訪問(wèn)請(qǐng)求重定向至第二提示頁(yè)面,其中,所述第二提示頁(yè)面用于提醒所述用戶設(shè)備此前被強(qiáng)制下線或被退回至未認(rèn)證狀態(tài)是因?yàn)橛脩粼O(shè)備發(fā)生了攻擊行為,若所述用戶設(shè)備仍然存在攻擊行為,將再次被強(qiáng)制下線或被退回至未認(rèn)證狀態(tài),并提醒所述用戶設(shè)備進(jìn)行病毒和/或木馬的查殺。
6.根據(jù)權(quán)利要求1至4中任一項(xiàng)所述的方法,其特征在于,所述NAT設(shè)備包括以下之 與BNG設(shè)備合設(shè)的NAT設(shè)備; 與BNG設(shè)備分設(shè)的NAT設(shè)備。
7.根據(jù)權(quán)利要求6所述的方法,其特征在于,所述NAT設(shè)備為與BNG設(shè)備合設(shè)的NAT設(shè)備的情況下,所述NAT設(shè)備通過(guò)以下方式之一通知BNG設(shè)備對(duì)所述用戶設(shè)備執(zhí)行安全策略: 所述NAT設(shè)備將所述用戶設(shè)備的標(biāo)識(shí)信息發(fā)送給安全策略服務(wù)器,由安全策略服務(wù)器通知所述BNG設(shè)備對(duì)所述用戶設(shè)備執(zhí)行安全策略; 所述NAT設(shè)備將所述用戶設(shè)備的標(biāo)識(shí)信息發(fā)送給所述BNG設(shè)備,來(lái)通知所述BNG設(shè)備對(duì)所述用戶設(shè)備執(zhí)行安全策略。
8.根據(jù)權(quán)利要求2至7中任一項(xiàng)所述的方法,其特征在于,在所述NAT設(shè)備通知BNG設(shè)備對(duì)所述用戶設(shè)備執(zhí)行安全策略之后,還包括: 所述NAT設(shè)備判斷所述用戶設(shè)備的會(huì)話建立不符合所述預(yù)設(shè)閥值的情況下,或所述用戶設(shè)備通過(guò)強(qiáng)推的Web頁(yè)面取消執(zhí)行所述安全策略的情況下,所述NAT設(shè)備通知所述BNG設(shè)備取消對(duì)所述用戶設(shè)備執(zhí)行所述安全策略。
9.根據(jù)權(quán)利要求8所述的方法,其特征在于,所述NAT設(shè)備為與BNG設(shè)備合設(shè)的NAT設(shè)備的情況下,所述NAT設(shè)備通過(guò)以下方式之一通知BNG設(shè)備取消對(duì)所述用戶設(shè)備執(zhí)行安全策略: 所述NAT設(shè)備將所述用戶設(shè)備的標(biāo)識(shí)信息發(fā)送給安全策略服務(wù)器,由安全策略服務(wù)器通知所述BNG設(shè)備取消對(duì)所述用戶設(shè)備執(zhí)行安全策略; 所述NAT設(shè)備將所述用戶設(shè)備的標(biāo)識(shí)信息發(fā)送給所述BNG設(shè)備,來(lái)通知所述BNG設(shè)備取消對(duì)所述用戶設(shè)備執(zhí)行安全策略。
10.根據(jù)權(quán)利要求1至7中任一項(xiàng)所述的方法,其特征在于,強(qiáng)推的Web頁(yè)面位于公網(wǎng)的情況下,且所述NAT設(shè)備對(duì)所述用戶設(shè)備的訪問(wèn)行為執(zhí)行強(qiáng)推Web頁(yè)面操作的情況下,所述NAT設(shè)備為所述用戶設(shè)備建立的會(huì)話包括:所述用戶設(shè)備與強(qiáng)推Web頁(yè)面的HTTP連接建立的會(huì)話。
11.根據(jù)權(quán)利要求1至7中任一項(xiàng)所述的方法,其特征在于,用于所述NAT設(shè)備判斷用戶設(shè)備的會(huì)話建立是否達(dá)到預(yù)設(shè)閥值的會(huì)話包括以下至少之一: 所述用戶設(shè)備的傳輸控制 協(xié)議TCP連接建立的會(huì)話; 所述用戶設(shè)備的網(wǎng)際控制信息協(xié)議ICMP連接建立的會(huì)話; 所述用戶設(shè)備的用戶數(shù)據(jù)協(xié)議UDP連接建立的會(huì)話。
12.根據(jù)權(quán)利要求1至7中任一項(xiàng)所述的方法,其特征在于,所述預(yù)設(shè)閥值包括以下至少之一: 所述用戶設(shè)備建立會(huì)話的總數(shù)、所述用戶設(shè)備建立會(huì)話的速率。
13.根據(jù)權(quán)利要求1至7中任一項(xiàng)所述的方法,其特征在于,所述方法還包括: 所述NAT設(shè)備通知所述BNG設(shè)備對(duì)所述用戶設(shè)備執(zhí)行安全策略時(shí),所述NAT設(shè)備加快所述用戶設(shè)備的會(huì)話的老化。
14.一種網(wǎng)絡(luò)地址轉(zhuǎn)換NAT設(shè)備,其特征在于,包括: 判斷模塊,用于判斷用戶設(shè)備的會(huì)話建立是否達(dá)到預(yù)設(shè)閥值; 第一通知模塊,用于在所述用戶設(shè)備的會(huì)話建立達(dá)到所述預(yù)設(shè)閥值的情況下,通知寬帶網(wǎng)絡(luò)網(wǎng)關(guān)BNG設(shè)備對(duì)所述用戶設(shè)備執(zhí)行安全策略,其中,所述安全策略用于阻止所述用戶設(shè)備的攻擊行為,并通知所述用戶設(shè)備所述用戶設(shè)備存在攻擊行為。
15.根據(jù)權(quán)利要求14所述的NAT設(shè)備,其特征在于,還包括: 第二通知模塊,用于通知所述BNG設(shè)備對(duì)所述用戶設(shè)備的訪問(wèn)行為執(zhí)行強(qiáng)制所述用戶設(shè)備下線或?qū)⑺鲇脩粼O(shè)備退回至未認(rèn)證狀態(tài)的操作,并通知認(rèn)證授權(quán)計(jì)費(fèi)AAA服務(wù)器將所述用戶設(shè)備標(biāo)記或設(shè)置為存在攻擊行為的用戶設(shè)備,其中,所述第一提示頁(yè)面還用于提醒所述用戶設(shè)備將被強(qiáng)制下線或被退回至未認(rèn)證狀態(tài),所述用戶設(shè)備再次請(qǐng)求上線和/或請(qǐng)求認(rèn)證,所述AAA服務(wù)器對(duì)所述用戶設(shè)備的認(rèn)證通過(guò)后,所述AAA服務(wù)器通知所述BNG設(shè)備對(duì)所述用戶設(shè)備執(zhí)行強(qiáng)推Web頁(yè)面策略,將所述用戶設(shè)備的頁(yè)面訪問(wèn)請(qǐng)求重定向至第二提示頁(yè)面,其中,所述第二提示頁(yè)面用于提醒所述用戶設(shè)備此前被強(qiáng)制下線或被退回至未認(rèn)證狀態(tài)是因?yàn)橛脩粼O(shè)備發(fā)生了攻擊行為,若所述用戶設(shè)備仍然存在攻擊行為,將再次被強(qiáng)制下線或被退回至未認(rèn)證狀態(tài),并提醒所述用戶設(shè)備進(jìn)行病毒和/或木馬的查殺。
16.根據(jù)權(quán)利要求14或15中任一項(xiàng)所述的NAT設(shè)備,其特征在于,還包括 第三通知模塊,用于判斷出所述用戶設(shè)備的會(huì)話建立不符合所述預(yù)設(shè)閥值的情況下,或所述用戶設(shè)備通過(guò)強(qiáng)推的Web頁(yè)面取消執(zhí)行所述安全策略的情況下,通知所述BNG設(shè)備取消對(duì)所述用戶設(shè)備執(zhí)行所述安全策略。
17.根據(jù)權(quán)利要求14或15中任一項(xiàng)所述的NAT設(shè)備,其特征在于,還包括: 處理模塊,用于通知所述BNG設(shè)備對(duì)所述用戶設(shè)備執(zhí)行安全策略時(shí),加快所述用戶設(shè)備的會(huì)話的老化。
18.一種寬帶網(wǎng)絡(luò)網(wǎng)關(guān)BNG設(shè)備,其特征在于,包括: 第一接收模塊,用于接收NAT設(shè)備發(fā)送的對(duì)用戶設(shè)備執(zhí)行安全策略的第一通知,其中,所述用戶設(shè)備的會(huì)話建立達(dá)到預(yù)設(shè)閥值,所述安全策略用于阻止所述用戶設(shè)備的攻擊行為,并通知所述用戶設(shè)備所述用戶設(shè)備存在攻擊行為; 重定向模塊,用于對(duì)所述用戶設(shè)備執(zhí)行強(qiáng)推Web頁(yè)面策略,將所述用戶設(shè)備發(fā)送的HTTP請(qǐng)求重定向至第一提示頁(yè)面,其中,所述第一提示頁(yè)面用于提醒所述用戶設(shè)備的訪問(wèn)存在攻擊行為。
19.根據(jù)權(quán)利要求18所述的BNG設(shè)備,其特征在于,還包括: 第二接收模塊,用于接收NAT設(shè)備發(fā)送的對(duì)所述用戶設(shè)備的訪問(wèn)行為執(zhí)行強(qiáng)制所述用戶設(shè)備下線或?qū)⑺鲇脩粼O(shè)備退回至未認(rèn)證狀態(tài)的操作的第二通知; 處理模塊,用于根據(jù)所述第二通知,對(duì)所述用戶設(shè)備的訪問(wèn)行為執(zhí)行強(qiáng)制所述用戶設(shè)備下線或?qū)⑺鲇脩粼O(shè)備退回至未認(rèn)證狀態(tài)的操作,并通知認(rèn)證授權(quán)計(jì)費(fèi)AAA服務(wù)器將所述用戶設(shè)備標(biāo)記或設(shè)置為存在攻擊行為的用戶設(shè)備,其中,所述第一提示頁(yè)面還用于提醒所述用戶設(shè)備將被強(qiáng)制下線或被退回至未認(rèn)證狀態(tài),所述用戶設(shè)備再次請(qǐng)求上線和/或請(qǐng)求認(rèn)證,所述AAA服務(wù)器對(duì)所述用戶設(shè)備的認(rèn)證通過(guò)后,所述AAA服務(wù)器通知所述BNG設(shè)備對(duì)所述用戶設(shè)備執(zhí)行強(qiáng)推Web頁(yè)面策略,將所述用戶設(shè)備的頁(yè)面訪問(wèn)請(qǐng)求重定向至第二提示頁(yè)面,其中,所述第二提示頁(yè)面用于提醒所述用戶設(shè)備此前被強(qiáng)制下線或被退回至未認(rèn)證狀態(tài)是因?yàn)橛脩粼O(shè)備發(fā)生了攻擊行為,若所述用戶設(shè)備仍然存在攻擊行為,將再次被強(qiáng)制下線或被退回至未認(rèn)證狀態(tài),并提醒所述用戶設(shè)備進(jìn)行病毒和/或木馬的查殺。
【文檔編號(hào)】H04L29/06GK103812958SQ201210456758
【公開(kāi)日】2014年5月21日 申請(qǐng)日期:2012年11月14日 優(yōu)先權(quán)日:2012年11月14日
【發(fā)明者】范亮, 袁博 申請(qǐng)人:中興通訊股份有限公司