技術(shù)領(lǐng)域

本發(fā)明涉及數(shù)據(jù)業(yè)務(wù)技術(shù)領(lǐng)域，尤其涉及一種清除防火墻會話的方法、裝置及網(wǎng)絡(luò)設(shè)備。

背景技術(shù)

2G/3G/4G用戶通過GPRS/LTE上網(wǎng)進(jìn)行數(shù)據(jù)業(yè)務(wù)已經(jīng)滲透到人們工作和生活的各個方面，成為移動終端的一項(xiàng)重要業(yè)務(wù)，然而在以流量計(jì)價的上網(wǎng)計(jì)費(fèi)方式中，隱藏于GPRS/LTE網(wǎng)絡(luò)中的惡意攻擊GOA（GPRS?Over-Billing?Attack，也叫GPRS用戶流量攻擊），不僅使得用戶的上網(wǎng)費(fèi)用暴增，更引發(fā)用戶對運(yùn)營商的計(jì)費(fèi)投訴與紛爭。

參照圖1，GOA擊原理說明如下：

惡意攻擊者先通過GPRS或者LTE網(wǎng)絡(luò)（由于2/3/4G協(xié)議原理基本相同以下統(tǒng)稱GPRS）上網(wǎng)INTERNET訪問攻擊服務(wù)器202.1.1.1，GGSN/SAE-GW（以下統(tǒng)稱GGSN）設(shè)備分配私網(wǎng)IP地址10.1.1.1給惡意攻擊者，防火墻將其到INTERNET公網(wǎng)地址映射成202.10.1.1，則此地址可能存在UDP視頻等數(shù)據(jù)下行。惡意攻擊者下線后，此時當(dāng)有正常用戶通過GPRS網(wǎng)絡(luò)上網(wǎng)并分配相同私網(wǎng)地址10.1.1.1，同時防火墻也將其映射為202.10.1.1公網(wǎng)地址。一般防火墻需要幾分鐘到幾十分鐘才能自已拆除防火墻NAT轉(zhuǎn)換映射，則此時的防火墻NAT轉(zhuǎn)換映射并未拆除，于是，該公網(wǎng)地址仍有UDP視頻等數(shù)據(jù)下行，將立即接收攻擊服務(wù)器202.1.1.1數(shù)據(jù)流（如UDP高速數(shù)據(jù)流等），導(dǎo)致無辜的正常用戶產(chǎn)生超大流量問題，進(jìn)而爆發(fā)流量攻擊。

參照圖2，當(dāng)前GPRS用戶流量攻擊控制方案主要是利用專用GPRS網(wǎng)絡(luò)防火墻，在GPRS體系結(jié)構(gòu)中，對運(yùn)營商網(wǎng)絡(luò)構(gòu)成安全威脅的基本原因是“GPRS通道協(xié)議”(GTP)中缺少固有的安全性，GTP是在“GPRS支持節(jié)點(diǎn)”(GSN)之間使用的協(xié)議，不同GPRS網(wǎng)絡(luò)之間的通信并不安全，因?yàn)镚TP不提供任何認(rèn)證、數(shù)據(jù)完整性或機(jī)密性保護(hù)，使用GPRS網(wǎng)絡(luò)防火墻對GTP協(xié)議安全增強(qiáng)可以防止GPRS流量攻擊。專用GPRS網(wǎng)絡(luò)防火墻采用狀態(tài)檢測技術(shù)，結(jié)合流量速率限制、流量完整性檢查、流量日志、流量計(jì)費(fèi)等策略提供了一種不但能夠保護(hù)GPRS網(wǎng)絡(luò)基礎(chǔ)設(shè)施使之免受拒絕服務(wù)攻擊和用戶信息竊取攻擊，而且能控制外部網(wǎng)絡(luò)用戶接入權(quán)限、控制漫游合作伙伴的網(wǎng)絡(luò)接入的解決方案。

但是，現(xiàn)有的這種方案主要針對GTP協(xié)議缺陷進(jìn)行設(shè)計(jì)，缺乏通用性。

相關(guān)術(shù)語說明：

GPRS：通用無線分組業(yè)務(wù)GPRS（General?Packet?Radio?Service）是一種基于GSM系統(tǒng)的無線分組交換技術(shù)，提供端到端的、廣域的無線IP連接。

LTE：是由3GPP組織制定的UMTS技術(shù)標(biāo)準(zhǔn)的長期演進(jìn)（Long?Trem?Evolation），即通常所說的4G通信協(xié)議技術(shù)。

GGSN：GGSN（Gateway?GSN，網(wǎng)關(guān)GSN）主要是起網(wǎng)關(guān)作用，它可以和多種不同的數(shù)據(jù)網(wǎng)絡(luò)連接，如ISDN、PSPDN和LAN等。

SAE-GW：當(dāng)S-GW和P-GW合設(shè)為一個網(wǎng)元時，稱之為SAE-GW。其中：S-GW：SAE網(wǎng)絡(luò)用戶面接入服務(wù)網(wǎng)關(guān)，相當(dāng)于傳統(tǒng)SGSN的用戶面功能。P-GW：SAE網(wǎng)絡(luò)的邊界網(wǎng)關(guān)，提供承載控制、計(jì)費(fèi)、地址分配和非3GPP接入等功能，相當(dāng)于傳統(tǒng)的GGSN。

GTP：GTP（GPRS?Tunnel?Protocol）協(xié)議是2/3/4G通信中的重要協(xié)議。

3GPP協(xié)議：release99，release4至release9及其之后版本。

發(fā)明內(nèi)容

有鑒于此，本發(fā)明實(shí)施例的目的是提供一種清除防火墻會話的方法、裝置及網(wǎng)絡(luò)設(shè)備，以提供不針對特定協(xié)議的防止流量攻擊的方式。

為解決上述技術(shù)問題，本發(fā)明實(shí)施例提供方案如下：

本發(fā)明實(shí)施例提供一種清除防火墻會話的方法，包括：

用戶下線時，獲取所述用戶對應(yīng)的第一防火墻會話的第一會話標(biāo)識；

根據(jù)所述第一會話標(biāo)識，控制防火墻清除所述第一防火墻會話。

優(yōu)選地，所述獲取所述用戶對應(yīng)的第一防火墻會話的第一會話標(biāo)識包括：

獲取網(wǎng)關(guān)設(shè)備發(fā)送的所述用戶的終端號碼和私網(wǎng)IP地址；

根據(jù)所述終端號碼和所述私網(wǎng)IP地址，確定所述第一會話標(biāo)識。

優(yōu)選地，所述根據(jù)所述終端號碼和所述私網(wǎng)IP地址，確定所述第一會話標(biāo)識包括：

根據(jù)所述終端號碼和所述私網(wǎng)IP地址，確定所述用戶對應(yīng)的所有防火墻會話的會話標(biāo)識；

根據(jù)預(yù)設(shè)的防火墻會話選擇策略，從所述所有防火墻會話的會話標(biāo)識中選擇出所述第一會話標(biāo)識。