[发明专利]一种防火墙攻击防御方法在审
| 申请号: | 201810024379.8 | 申请日: | 2018-01-11 |
| 公开(公告)号: | CN109327426A | 公开(公告)日: | 2019-02-12 |
| 发明(设计)人: | 白令海 | 申请(专利权)人: | 白令海 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06;H04L29/08 |
| 代理公司: | 暂无信息 | 代理人: | 暂无信息 |
| 地址: | 100045 *** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 攻击 防火墙 泛洪攻击 攻击防御 扫描 网络攻击检测 源站选路选项 告警 安全区域 报文管理 地址扫描 丢弃报文 端口扫描 攻击防范 会话管理 路由记录 模块应用 配置管理 网络攻击 有效防御 重定向 检测 联动 日志 选项 输出 防范 配置 | ||
1.一种防火墙攻击防御方法,其特征在于:
所述防御方法由配置攻击防范策略的方法、单包攻击检测与防范方法、扫描攻击检测与防范方法、泛洪攻击检测与防范方法、SYN洪水攻击检测与防范方法组成;
配置攻击防范策略的方法包括以下步骤:
接收到配置消息;
对配置消息进行解析并提取配置参数,同时对配置参数进行合法性检查;
对于不合法的配置显示错误提示信息,对于合法的配置,使新配置的策略应用生效;
单包攻击检测与防范方法包括以下步骤:
接收报文;
根据当前配置的策略检查报文字段,判断报文的合法性;
检测到攻击后,根据当前配置的策略返回报文处理结果为丢弃或放行;
输出告警日志;
扫描攻击检测与防范方法包括以下步骤:
接收到报文;
查询源 IP 地址的新建连接速率,判断是否超过阈值;
检测到攻击后,根据当前配置的策略返回报文处理结果为丢弃或放行;
将攻击者 IP 地址列入黑名单;
输出告警日志;
泛洪攻击检测与防范包括以下步骤:
接收报文;
查询目的 IP 地址的新建连接速率,判断是否超过阈值;
检测到攻击后,根据当前配置的策略返回报文处理结果为丢弃或放行;
接口输出告警日志;
SYN洪水攻击检测与防范方法包括以下步骤:
接收TCP SYN报文;
查询目的 IP 地址的半开连接数和新建连接速率,若超过阈值则检测为 SYN 洪水攻击;
检测到攻击后,如果启用了 TCP 代理,则将目的 IP 添加到受保护 IP 地址列表,否则根据当前配置的策略返回报文处理结果为丢弃或放行;
输出告警日志。
2.根据权利要求1所述的攻击防御方法,其特征在于:
所述SYN洪水攻击检测与防范方法中,目的 IP 地址添加到受保护 IP 地址列表后,应用 Safe Reset 技术实施保护,在不影响正常流量的同时拦截攻击流量,实现SYN洪水攻击防范。
3.根据权利要求1所述的攻击防御方法,其特征在于:
通过将一攻击防范模块应用于防火墙实现攻击防范策略配置处理,以及各种网络攻击的检测并通过调用防火墙的功能模块接口采取相应的攻击防范措施,所述防火墙具备安全区域管理、配置管理、报文管理、黑名单管理、策略管理、日志管理和会话管理功能模块,所述攻击防范模块包括配置处理子模块、攻击检测子模块和TCP 代理子模块。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于白令海,未经白令海许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201810024379.8/1.html,转载请声明来源钻瓜专利网。
- 上一篇:客户端设备票据
- 下一篇:一种面对未知威胁的动态网络变化决策方法及其系统
