[发明专利]基于传输通道覆盖的网络安全防火墙系统及其工作方法

说明书

基于传输通道覆盖的网络安全防火墙系统及其工作方法，包括：若干普通通道模块，在外部数据进入计算机时对外部数据提供一个暂时的传输通道；第一IP地址检验模块，检验外部数据的IP地址的数值；若干特征通道模块，根据第一IP地址检验模块检验的IP地址的数值进行外部数据的传输；防火墙模块，判定外部数据是否为ddos攻击数据以及对外部数据进行响应；若干防火墙扩展模块，控制特征通道模块的开启与关闭；时间记录模块，按照互联网时间进行外部数据传输的时间记录；流量检测模块，检测当前外部数据的流量；流量记录模块，记录流量检测模块检测的每一天内外部数据流量以及根据时间记录模块的记录时间对外部数据的流量的变化状况进行记录。

技术领域

本发明涉及网络安全领域，尤其涉及一种基于传输通道覆盖的网络安全防火墙系统及其工作方法。

背景技术

自从计算机问世以来，网络安全问题一直存在，使用者并未给予足够的重视，但是随着信息技术的发展，网络安全问题日益突出。网络安全中最大和最具挑战性的问题之一是分布式拒绝服务(Distributed Denial of Service，简称DDoS)攻击，DDoS攻击是一种分布式大规模流量攻击方式，通过控制互联网上傀儡机对目标服务器发动攻击，产生的大量数据流涌向目标服务器，消耗服务器系统资源和带宽，或把链接占满，从而影响合法用户的访问。DDoS攻击对网络上的主机，服务器乃至网络基础设施均会造成严重危害，大多数情况下，DDoS攻击是无规律可寻的，攻击者利用TCP，UDP和ICMP协议发动攻击，或者是发送合理的数据请求，造成企业和用户的网络瘫痪，无法提供正常的服务，因此，亟需提供一种可以有效预防DDoS的网络安全系统。

发明内容

发明目的：

针对亟需提供一种可以有效预防DDoS的网络安全系统的问题，本发明提供一种基于传输通道覆盖的网络安全防火墙系统及其工作方法。

技术方案：

一种基于传输通道覆盖的网络安全防火墙系统，用于针对ddos攻击进行计算机安全防御，包括：

若干普通通道模块，用于在外部数据进入计算机时对外部数据提供一个暂时的传输通道；

第一IP地址检验模块，用于检验外部数据的IP地址的数值；

若干特征通道模块，用于根据第一IP地址检验模块检验的IP地址的数值进行外部数据的传输；

防火墙模块，用于判定外部数据是否为ddos攻击数据以及对外部数据进行响应；

若干防火墙扩展模块，用于控制所述特征通道模块的开启与关闭，且与所述特征通道模块一一对应，且受所述防火墙模块控制；

时间记录模块，用于按照互联网时间进行外部数据传输的时间记录；

流量检测模块，用于检测当前外部数据的流量；

流量记录模块，用于记录所述流量检测模块检测的每一天内外部数据流量以及根据所述时间记录模块的记录时间对外部数据的流量的变化状况进行记录。

作为本发明的一种优选方式，所述防火墙模块包括：

对比模块，用于对比所述流量检测模块检测的当前计时时间的外部数据流量与所述流量记录模块在相同计时时间上的外部数据流量；

第一解析模块，用于对所述普通通道模块中传输的外部数据的IP地址进行解析；

第二解析模块，用于对所述特征通道模块中传输的外部数据的IP地址进行解析并拦截未成功解析的IP地址；

判定模块，用于在所述对比模块的对比结果以及所述解析模块的解析结果下判断当前外部数据流量是否为ddos攻击数据；

衔接模块，用于衔接所述普通通道模块与所述特征通道模块。