[发明专利]防火墙及防止网络攻击方法

说明书

技术领域

本申请涉及通信领域，特别是涉及防火墙及防止网络攻击方法。

背景技术

在网络迅速发展的今天，网络安全也成为一个越来越重要的问题。黑客通常利用僵尸网络向被攻击者发送大量的数据流，造成被攻击者链路拥塞，资源耗尽，从而无法正常运作。在各种攻击方法中，带宽型攻击是其中一种常用的攻击方法，带宽型攻击主要是通过发送无状态协议的大包来堵塞被攻击者的链路，其中，大包是指长度远大于正常报文长度的特殊报文。

现有技术提供了一种防火墙，防火墙包括交换芯片和处理芯片，其中，交换芯片接收到报文后，将报文向处理芯片发送，处理芯片在接收到报文后，根据网络攻击的防范策略进行处理，从而实现阻止因特网对受保护网络的攻击。

但是，由于交换芯片所接收到的报文都必须向处理芯片发送，在收到网络攻击时，大量的攻击报文都一一向处理芯片发送，将导致处理芯片的资源将被耗尽，正常的报文没法通过处理芯片向目的地发送，从而导致防火墙不能正常进行业务转发。

发明内容

本申请主要解决的技术问题是提供防火墙及防止网络攻击方法，能够使防止主处理芯片收到攻击影响，保证防火墙正常进行业务转发。

为解决上述技术问题，本申请第一方面提供一种防止网络攻击方法，所述方法包括如下步骤：从因特网接收报文，并判断所述报文的长度是否大于阈值；如果所述报文的长度大于阈值，则将所述长度大于阈值的报文镜像到从处理芯片；根据镜像到所述从处理芯片的所述长度大于阈值的报文的数量和频率判断是否受到攻击；如果受到攻击，则对所述长度大于阈值的报文进行处理。

结合第一方面，本申请的第一方面的第一种可能的实施方式中，所述对所述长度大于阈值的报文进行处理包括如下步骤：阻止向主处理芯片发送所述长度大于阈值的报文，或限制向所述主处理芯片发送所述长度大于阈值的报文的流量。

结合第一方面以及第一方面的第一种可能的实施方式，本申请的第二种可能的实施方式中，所述判断报文的长度是否大于阈值的步骤之后包括如下步骤：如果所述报文的长度小于或等于阈值，则将所述长度小于或等于阈值的报文发送给主处理芯片。

结合第一方面，本申请第一方面的第二种可能的实施方式中，还包括：如果没有受到攻击或者攻击停止，将接收到的所述报文发送给所述主处理芯片。

结合第一方面，本申请第一方面的第三种可能的实施方式中，所述判断报文的长度是否大于阈值的步骤包括如下步骤：判断所述报文的类型；如果所述报文的类型为网际控制信息协议报文，则判断所述报文的长度是否大于256字节；如果所述报文的类型为用户数据报协议报文，则判断所述报文的长度是否大于1千字节。

为解决上述技术问题，本申请第二方面还提供一种防火墙，包括：交换芯片、主处理芯片以及从处理芯片，其中，所述交换芯片耦接所述主处理芯片；所述交换芯片用于从因特网接收报文，并判断所述报文的长度是否大于阈值，并在所述报文的长度大于阈值时，将所述长度大于阈值的报文镜像到从处理芯片；所述从处理芯片用于接收长度超过阈值的报文，根据镜像到所述从处理芯片的所述长度大于阈值的报文的数量和频率判断是否受到攻击，并在受到攻击时，通过所述交换芯片对所述长度大于阈值的报文进行处理。

结合第二方面，本申请的第二方面的第一种可能的实施方式中，所述交换芯片具体用于阻止向主处理芯片发送所述长度大于阈值的报文，或限制向所述主处理芯片发送所述长度大于阈值的报文的流量。

结合第二方面以及第二方面的第一种可能的实施方式，本申请的第二种可能的实施方式中，所述交换芯片还用于在所述报文的长度小于或等于阈值时，将所述长度小于或等于阈值的报文发送给所述主处理芯片。

结合第二方面，本申请第二方面的第二种可能的实施方式中，所述交换芯片还用于在没有受到攻击或者攻击停止时，将接收到的所述报文发送给所述主处理芯片。

结合第二方面，本申请第二方面的第三种可能的实施方式中，所述从处理芯片还用于判断所述报文的类型，在所述报文的类型为网际控制信息协议报文时，判断所述报文的长度是否大于256字节；在所述报文的类型为用户数据报协议报文时，判断所述报文的长度是否大于1千字节。

结合第二方面，本申请第二方面的第四种可能的实施方式中，所述从处理芯片集成在所述交换芯片内。

结合第二方面，本申请第二方面的第五种可能的实施方式中，所述从处理芯片设置于所述交换芯片之外，所述从处理芯片耦接所述交换芯片。