技術(shù)領(lǐng)域

本申請(qǐng)涉及通信領(lǐng)域，特別是涉及防火墻及防止網(wǎng)絡(luò)攻擊方法。

背景技術(shù)

在網(wǎng)絡(luò)迅速發(fā)展的今天，網(wǎng)絡(luò)安全也成為一個(gè)越來(lái)越重要的問(wèn)題。黑客通常利用僵尸網(wǎng)絡(luò)向被攻擊者發(fā)送大量的數(shù)據(jù)流，造成被攻擊者鏈路擁塞，資源耗盡，從而無(wú)法正常運(yùn)作。在各種攻擊方法中，帶寬型攻擊是其中一種常用的攻擊方法，帶寬型攻擊主要是通過(guò)發(fā)送無(wú)狀態(tài)協(xié)議的大包來(lái)堵塞被攻擊者的鏈路，其中，大包是指長(zhǎng)度遠(yuǎn)大于正常報(bào)文長(zhǎng)度的特殊報(bào)文。

現(xiàn)有技術(shù)提供了一種防火墻，防火墻包括交換芯片和處理芯片，其中，交換芯片接收到報(bào)文后，將報(bào)文向處理芯片發(fā)送，處理芯片在接收到報(bào)文后，根據(jù)網(wǎng)絡(luò)攻擊的防范策略進(jìn)行處理，從而實(shí)現(xiàn)阻止因特網(wǎng)對(duì)受保護(hù)網(wǎng)絡(luò)的攻擊。

但是，由于交換芯片所接收到的報(bào)文都必須向處理芯片發(fā)送，在收到網(wǎng)絡(luò)攻擊時(shí)，大量的攻擊報(bào)文都一一向處理芯片發(fā)送，將導(dǎo)致處理芯片的資源將被耗盡，正常的報(bào)文沒(méi)法通過(guò)處理芯片向目的地發(fā)送，從而導(dǎo)致防火墻不能正常進(jìn)行業(yè)務(wù)轉(zhuǎn)發(fā)。

發(fā)明內(nèi)容

本申請(qǐng)主要解決的技術(shù)問(wèn)題是提供防火墻及防止網(wǎng)絡(luò)攻擊方法，能夠使防止主處理芯片收到攻擊影響，保證防火墻正常進(jìn)行業(yè)務(wù)轉(zhuǎn)發(fā)。

為解決上述技術(shù)問(wèn)題，本申請(qǐng)第一方面提供一種防止網(wǎng)絡(luò)攻擊方法，所述方法包括如下步驟：從因特網(wǎng)接收?qǐng)?bào)文，并判斷所述報(bào)文的長(zhǎng)度是否大于閾值；如果所述報(bào)文的長(zhǎng)度大于閾值，則將所述長(zhǎng)度大于閾值的報(bào)文鏡像到從處理芯片；根據(jù)鏡像到所述從處理芯片的所述長(zhǎng)度大于閾值的報(bào)文的數(shù)量和頻率判斷是否受到攻擊；如果受到攻擊，則對(duì)所述長(zhǎng)度大于閾值的報(bào)文進(jìn)行處理。

結(jié)合第一方面，本申請(qǐng)的第一方面的第一種可能的實(shí)施方式中，所述對(duì)所述長(zhǎng)度大于閾值的報(bào)文進(jìn)行處理包括如下步驟：阻止向主處理芯片發(fā)送所述長(zhǎng)度大于閾值的報(bào)文，或限制向所述主處理芯片發(fā)送所述長(zhǎng)度大于閾值的報(bào)文的流量。

結(jié)合第一方面以及第一方面的第一種可能的實(shí)施方式，本申請(qǐng)的第二種可能的實(shí)施方式中，所述判斷報(bào)文的長(zhǎng)度是否大于閾值的步驟之后包括如下步驟：如果所述報(bào)文的長(zhǎng)度小于或等于閾值，則將所述長(zhǎng)度小于或等于閾值的報(bào)文發(fā)送給主處理芯片。

結(jié)合第一方面，本申請(qǐng)第一方面的第二種可能的實(shí)施方式中，還包括：如果沒(méi)有受到攻擊或者攻擊停止，將接收到的所述報(bào)文發(fā)送給所述主處理芯片。

結(jié)合第一方面，本申請(qǐng)第一方面的第三種可能的實(shí)施方式中，所述判斷報(bào)文的長(zhǎng)度是否大于閾值的步驟包括如下步驟：判斷所述報(bào)文的類(lèi)型；如果所述報(bào)文的類(lèi)型為網(wǎng)際控制信息協(xié)議報(bào)文，則判斷所述報(bào)文的長(zhǎng)度是否大于256字節(jié)；如果所述報(bào)文的類(lèi)型為用戶(hù)數(shù)據(jù)報(bào)協(xié)議報(bào)文，則判斷所述報(bào)文的長(zhǎng)度是否大于1千字節(jié)。

為解決上述技術(shù)問(wèn)題，本申請(qǐng)第二方面還提供一種防火墻，包括：交換芯片、主處理芯片以及從處理芯片，其中，所述交換芯片耦接所述主處理芯片；所述交換芯片用于從因特網(wǎng)接收?qǐng)?bào)文，并判斷所述報(bào)文的長(zhǎng)度是否大于閾值，并在所述報(bào)文的長(zhǎng)度大于閾值時(shí)，將所述長(zhǎng)度大于閾值的報(bào)文鏡像到從處理芯片；所述從處理芯片用于接收長(zhǎng)度超過(guò)閾值的報(bào)文，根據(jù)鏡像到所述從處理芯片的所述長(zhǎng)度大于閾值的報(bào)文的數(shù)量和頻率判斷是否受到攻擊，并在受到攻擊時(shí)，通過(guò)所述交換芯片對(duì)所述長(zhǎng)度大于閾值的報(bào)文進(jìn)行處理。

結(jié)合第二方面，本申請(qǐng)的第二方面的第一種可能的實(shí)施方式中，所述交換芯片具體用于阻止向主處理芯片發(fā)送所述長(zhǎng)度大于閾值的報(bào)文，或限制向所述主處理芯片發(fā)送所述長(zhǎng)度大于閾值的報(bào)文的流量。

結(jié)合第二方面以及第二方面的第一種可能的實(shí)施方式，本申請(qǐng)的第二種可能的實(shí)施方式中，所述交換芯片還用于在所述報(bào)文的長(zhǎng)度小于或等于閾值時(shí)，將所述長(zhǎng)度小于或等于閾值的報(bào)文發(fā)送給所述主處理芯片。

結(jié)合第二方面，本申請(qǐng)第二方面的第二種可能的實(shí)施方式中，所述交換芯片還用于在沒(méi)有受到攻擊或者攻擊停止時(shí)，將接收到的所述報(bào)文發(fā)送給所述主處理芯片。

結(jié)合第二方面，本申請(qǐng)第二方面的第三種可能的實(shí)施方式中，所述從處理芯片還用于判斷所述報(bào)文的類(lèi)型，在所述報(bào)文的類(lèi)型為網(wǎng)際控制信息協(xié)議報(bào)文時(shí)，判斷所述報(bào)文的長(zhǎng)度是否大于256字節(jié)；在所述報(bào)文的類(lèi)型為用戶(hù)數(shù)據(jù)報(bào)協(xié)議報(bào)文時(shí)，判斷所述報(bào)文的長(zhǎng)度是否大于1千字節(jié)。

結(jié)合第二方面，本申請(qǐng)第二方面的第四種可能的實(shí)施方式中，所述從處理芯片集成在所述交換芯片內(nèi)。

結(jié)合第二方面，本申請(qǐng)第二方面的第五種可能的實(shí)施方式中，所述從處理芯片設(shè)置于所述交換芯片之外，所述從處理芯片耦接所述交換芯片。