本發明實施例提供了一種互聯網防攻擊方法及認證服務器，包括：認證服務器通過WEB接口從內容分發網絡節點組接收用戶發送的業務接入請求，業務接入請求中攜帶用戶的互聯網協議IP地址。認證服務器向安全網關發送接入認證請求，接入認證請求中攜帶用戶的IP地址，接入認證請求用于指示安全網關允許攜帶用戶的IP地址的業務服務請求發送至業務服務器。由于安全網關根據認證服務器發送的用戶的IP地址對業務服務請求進行判決，而不是根據設置的單一的防范規則對用戶的業務服務請求進行判決，從而提高了判決的準確性，增強了防攻擊能力。本發明提出的互聯網防攻擊方法隱藏認證服務器的IP地址，防止攻擊者直接對認證服務器IP進行攻擊。

技術領域

本發明實施例涉及網絡安全技術領域，尤其涉及一種互聯網防攻擊方法及認證服務器。

背景技術

隨著互聯網的發展，網絡惡意攻擊也越來越多，CC(Challenge Collapsar)攻擊、流量攻擊等攻擊方式層出不窮。面對各種各樣的攻擊方式，傳統的防攻擊方式中利用內容分發網絡(Content Delivery Network，簡稱CDN)隱藏源站互聯網協議(InternetProtocol，簡稱IP)和分布式多節點扛攻擊流量的方式來進行保護，但是對于一些專有應用等互聯網服務，由于需要將源站的IP直接暴露給用戶，就沒辦法采用CDN等方式進行防護。對于不能采用CDN進行防護的互聯網應用可以采用防火墻技術進行防護。傳統防火墻上根據設置的安全規則，判斷是否屬于攻擊，如果是攻擊，則防火墻禁止訪問，若不是攻擊，則放行請求，源站正常響應。但是傳統的防火墻防范規則比較單一，防攻擊能力有限，只能識別并禁止部分的攻擊，其它攻擊進入源站后，源站將需要對攻擊進行判決和響應，從而占用源站的資源，影響源站的正常工作。

發明內容

本發明實施例提供一種互聯網防攻擊方法及認證服務器，用于解決現有技術中部分互聯網服務不能使用CDN進行防攻擊以及傳統的防火墻由于防范規則單一導致防攻擊能力有限的問題。

本發明實施例提供了一種互聯網防攻擊方法，包括：

認證服務器從內容分發網絡節點組接收用戶發送的業務接入請求，所述業務接入請求中攜帶了用戶的IP地址；

所述認證服務器向安全網關發送接入認證請求，所述接入認證請求中攜帶所述用戶的IP地址，所述接入認證請求用于指示所述安全網關允許攜帶所述用戶的IP地址的業務服務請求發送至所述業務服務器。

可選地，所述業務接入請求是經過所述內容分發網絡節點組驗證通過后的請求。

可選地，所述業務接入請求中攜帶了所述用戶的驗證信息；

所述認證服務器向安全網關發送接入認證請求之前，還包括：

所述認證服務器對所述業務接入請求中攜帶的用戶的驗證信息進行驗證。

可選地，所述業務接入請求為登錄請求，所述驗證信息為登錄信息；或

所述業務接入請求為驗證請求，所述驗證信息為登錄成功消息；所述登錄成功消息是登錄服務器確定所述用戶的登錄請求驗證通過后發送的。

可選地，還包括：

所述認證服務器通過全球廣域網(World Wide Web，簡稱WEB)WEB接口接收所述用戶發送的所述業務接入請求。

本發明實施例提供了一種互聯網防攻擊方法，包括：

安全網關接收認證服務器發送的接入認證請求，所述接入認證請求攜帶有用戶的IP地址，所述用戶的IP地址是從用戶發送的業務接入請求中獲取的；

所述安全網關確認所述認證服務器具有訪問權限后，將所述用戶的IP地址確定為具有訪問所述業務服務器的權限的IP地址。

可選地，還包括：