[发明专利]一种单向环境中的网络安全防护方法和装置

权利要求书

1.一种单向环境中的网络安全防护方法，其特征在于，包括：

接收第二节点发送给第一节点的SYN_ACK应答数据包；

根据预置的记录表对所述第二节点的IP地址和端口号进行验证，如果通 过验证，则将所述SYN_ACK应答数据包转发给第一节点；

如果没通过验证，根据所述SYN_ACK应答数据包中的ACK值判断所述 第二节点的IP地址和端口号是否合法，如果合法则将所述第二节点的IP地址 和端口号存储于所述记录表中，否则，向所述第二节点发送构造的包含特征值 的SYN请求数据包对所述第二节点进行验证。

2.根据权利要求1所述网络安全防护方法，其特征在于：所述构造的SYN 请求数据包中的特征值根据所述SYN_ACK应答数据包中的源IP、目的IP、 源端口号和目的端口号获得。

3.根据权利要求1所述网络安全防护方法，其特征在于：判断所述第二 节点的IP地址和端口号是否合法的方法包括所述ACK值等于根据所述 SYN_ACK应答数据包中的IP地址和端口号获得的特征值加1。

4.根据权利要求1所述网络安全防护方法，其特征在于：所述记录表中 包括通过验证的第二节点的IP地址和端口号。

5.根据权利要求1所述网络安全防护方法，其特征在于，还包括：向所 述第二节点发送构造的包含特征值的SYN请求数据包后丢弃所述SYN_ACK 应答数据包。

6.根据权利要求1所述网络安全防护方法，其特征在于，还包括：将所 述合法的第二节点的IP地址和端口号存储于所述记录表中后向所述第二节点 发送RST数据包，所述RST数据包用于拒绝所述第二节点的SYN_ACK应答 数据包。

7.一种单向环境中的网络安全防护装置，其特征在于，包括：

接收单元，用于接收第二节点发送给第一节点的SYN_ACK应答数据包；

匹配发送单元，用于根据预置的记录表判断所述接收单元接收的 SYN_ACK应答数据包中的第二节点的IP地址和端口号是否通过验证，如果 通过验证，则将所述SYN_ACK应答数据包转发给第一节点；

验证单元，用于根据所述SYN_ACK应答数据包中的ACK值判断所述第 二节点的IP地址和端口号是否合法，如果合法则将所述第二节点的IP地址和 端口号存储于所述记录表中，否则，向所述第二节点发送构造的包含特征值的 SYN请求数据包对所述第二节点进行验证。

8.根据权利要求7所述网络安全防护装置，其特征在于，所述匹配发送 单元包括：

第一判断子单元，用于判断发送所述SYN_ACK应答数据包的第二节点 是否通过验证，通过验证则触发发送子单元，否则触发验证单元；

发送子单元，用于将所述SYN_ACK数据包发送给第一节点。

9.根据权利要求7所述网络安全防护装置，其特征在于，所述验证单元 包括：

第二判断子单元，用于根据所述SYN_ACK应答数据包中的ACK值判断 所述第二节点的IP地址和端口号是否合法，如果合法则触发存储子单元，否 则触发验证子单元；

验证子单元，用于向所述第二节点发送构造的包含特征值的SYN请求数 据包对所述第二节点进行验证；

存储子单元，用于将所述合法的第二节点的IP地址和端口号存储于所述 记录表中。

10.根据权利要求7所述网络安全防护装置，其特征在于：所述验证单元 构造的特征值根据所述SYN_ACK应答数据包中的源IP、目的IP、源端口号 和目的端口号获得。

11.一种网络安全防护设备，其特征在于，包括单向环境中的网络安全防 护装置，所述单向环境中的网络安全防护装置包括：

接收单元，用于接收第二节点发送给第一节点的SYN_ACK应答数据包；

匹配发送单元，用于根据预置的记录表判断所述接收单元接收的 SYN_ACK应答数据包中的第二节点的IP地址和端口号是否通过验证，如果 通过验证，则将所述SYN_ACK应答数据包转发给第一节点；

验证单元，用于根据所述SYN_ACK应答数据包中的ACK值判断所述第 二节点的IP地址和端口号是否合法，如果合法则将所述第二节点的IP地址和 端口号存储于所述记录表中，否则，向所述第二节点发送构造的包含特征值的 SYN请求数据包对所述第二节点进行验证。