[发明专利]一种防止攻击的方法和防火墙

说明书

本申请公开了一种防止攻击的方法，应用于网络地址转换NAT网络中的使能EIM模式的防火墙，所述方法包括：接收报文；在端点独立映射EIM表中查找外网地址和外网端口号与所述报文的目的地址和目的端口号匹配的EIM表项；确定所述EIM表项中的内网地址和内网端口对应的内网设备是否已建立所述报文所属的会话；若所述内网设备未建立所述报文所属的会话，则确定所述内网设备已建立的会话数量；若所述会话数量大于所述EIM表项中预设的第一会话数量阈值，则丢弃所述报文。本申请通过控制内网设备对应的会话数量来避免受到恶意攻击。

技术领域

本申请涉及网络技术领域，特别是涉及一种防止攻击的方法和防火墙。

背景技术

在防火墙内网侧接口上使能NAT(Network Address Translation，网络地址转换)hairpin功能后，若采用P2P方式进行报文转发，则内网的各内网设备首先向外网服务器注册自己的内网地址信息，以获取其对应的外网地址信息，然后内网设备之间通过使用彼此向外网服务器注册获得的外网地址信息进行互访。该方式下，外网侧的出方向地址转换必须配置为PAT(Port Address Translation，端口地址转换)转换方式，并使能EIM(Endpoint-Independent Mapping，端点独立映射)模式。

在EIM模式下，只要是来自相同源地址和源端口号的报文，不论其目的地址是否相同，通过PAT映射后，其源地址和源端口号都被转换为同一个外部地址和端口号，该映射关系(即内网地址信息和外网地址信息的映射关系)会被记录下来并生成一个EIM表项；并且防火墙允许所有外网设备和内网设备通过该转换后的地址和端口来访问源地址和源端口号对应的内网设备。也就是说，内网或者外网设备可以利用外网地址信息通过防火墙上的EIM表随意访问该外网地址信息转后的内网地址信息对应的内网设备，这样攻击者可以很容易通过EIM表对内网设备进行DDOS(Distributed Denial of service，分布式拒绝服务)攻击，使内网设备的安全得不到有效保障，同时还有可能会威胁到整个内网的安全。

发明内容

本申请提出一种防止攻击的方法，应用于NAT网络中的使能EIM模式的防火墙，所述方法包括：

接收报文；

在EIM表中查找外网地址和外网端口号与所述报文的目的地址和目的端口号匹配的EIM表项；

确定所述EIM表项中的内网地址和内网端口对应的内网设备是否已建立所述报文所属的会话；

若所述内网设备未建立所述报文所属的会话，则确定所述内网设备已建立的会话数量；

若所述会话数量大于所述EIM表项中预设的第一会话数量阈值，则丢弃所述报文。

一种防火墙，所述防火墙应用于NAT网络中，并且所述防火墙使能EIM模式，所述防火墙包括：

接收模块，用于接收报文；

查找模块，用于在EIM表中查找外网地址和外网端口号与所述报文的目的地址和目的端口号匹配的EIM表项；

判断模块，用于确定所述EIM表项中的内网地址和内网端口对应的内网设备是否已建立所述报文所属的会话；

确定模块，若所述内网设备未建立所述报文所属的会话，则用于确定所述内网设备已建立的会话数量；

第一丢弃模块，若所述会话数量大于所述EIM表项中预设的第一会话数量阈值，则用于丢弃所述报文。