本发明专利技术公开了一种抗拒绝服务防护策略配置方法、装置及相关设备,该方法包括:A.探测用户输入的标识信息对应的主机设备,确定在线主机设备,并获取所述在线主机设备开启的端口信息;B.将开启端口相同的在线主机设备作为一组;C.根据每组在线主机设备开启端口对应的服务类型,开启与服务类型对应的防护策略。该方案配置的防护策略对每个主机设备都有很好的防护效果。
【技术实现步骤摘要】
本专利技术涉及网络安全
,尤指一种抗拒绝服务防护策略配置方法、装置及相关设备。
技术介绍
拒绝服务(Denial of service,DOS)攻击是目前常被黑客使用的且不易防范的攻击手段之一,其原理是通过使网络过载来干扰甚至阻断正常的网络通信,具体的是通过向主机设备提交大量的合法请求,使主机设备超负荷,从而阻断主机设备接收正常访问。而抗DOS设备正是为了保证正常的网络通信而出现的,抗DOS设备上的防护策略可以阻止用户所要防护的主机设备上的大量异常访问,因此,合理精确地配置防护策略,不仅可以使抗DOS设备的功能发挥到最大,而且还可以保证正常的网络通信。 对于用户来说,由于不太了解抗DOS的相关知识,不明白专业性很强的参数指标的具体含义,通常会直接使用通用的防护策略模板来配置防护策略,事实上,DOS攻击的范围非常广泛,用户所属的行业也千差万别,并且即使是同一个行业,用户所要防护的主机设备的端口对应的服务类型、流量大小等也可能存在很大差异,因而,用户所要防护的主机设备需要的防护策略通常不同,而通用的防护策略模版是针对广泛通用的用户的主机设备制定的,只能保护大多数的一般用户的主机设备,并不能完全适用于用户所要防护的主机设备,甚至对有些异常访问并不能起到防护作用。因此,采用通用的防护策略模板为用户所要防护的主机设备配置的防护策略,防护效果较差。
技术实现思路
本专利技术实施例提供一种抗拒绝服务防护策略配置方法、装置及相关设备,用以解决现有技术中存在的采用通用防护策略配置模板为用户的主机设备配置的防护策略,防护效果较差的问题。一种抗拒绝服务防护策略配置方法,包括A、探测用户输入的标识信息对应的主机设备,确定在线主机设备,并获取所述在线主机设备开启的端口信息;B、将开启端口相同的在线主机设备作为一组;C、根据每组在线主机设备开启端口对应的服务类型,开启与服务类型对应的防护策略。一种抗拒绝服务防护策略配置装置,包括探测单元,用于探测用户输入的标识信息对应的主机设备,确定在线主机设备,并获取所述在线主机设备开启的端口信息;分组单元,用于将开启端口相同的在线主机设备作为一组;开启单元,用于根据每组在线主机设备开启端口对应的服务类型,开启与服务类型对应的防护策略。一种抗拒绝服务数据中心,包括上述抗拒绝服务防护策略配置装置。本专利技术有益效果如下本专利技术实施例提供的抗拒绝服务防护策略配置方法、装置及相关设备,通过探测用户输入的标识信息对应的主机设备,确定在线主机设备,并获取所述在线主机设备开启的端口信息;将开启端口相同的在线主机设备作为一组;根据每组在线主机设备开启端口对应的服务类型,开启与服务类型对应的防护策略。该方案中不再采用通用的抗拒绝服务防护策略模板,而是首先确定用户输入的标识信息对应的主机设备中的在线主机设备,以及在线主机设备开启的端口信息,然后将在线主机设备进行分组,开启端口相同的在线主机设备分为一组,然后根据每组在线主机设备开启端口对应的服务类型,开启与服务类型对应的防护策略,由于针对不同类型的在线主机设备开启不同的防护策略,这样配置的防护策略就可以保证对每个主机设备都有很好的防护效果。附图说明图I为本专利技术实施例中抗拒绝服务防护策略配置方法的流程图;·图2为本专利技术实施例中抗拒绝服务防护策略配置装置的结构示意图;图3为本专利技术实施例中优选的抗拒绝服务防护策略配置装置的结构示意图。具体实施例方式针对现有技术中存在的采用通用防护策略配置模板为用户的主机设备配置的防护策略,防护效果较差的问题,本专利技术实施例提供的抗拒绝服务防护策略配置方法,该方法的流程如图I所示,具体执行步骤如下SlO :探测用户输入的标识信息对应的主机设备,确定在线主机设备,并获取在线主机设备开启的端口信息。Sll :将开启端口相同的在线主机设备作为一组。S12:根据每组在线主机设备开启端口对应的服务类型,开启与服务类型对应的防护策略。该方案中不再采用通用的抗拒绝服务防护策略模板,而是首先确定用户输入的标识信息对应的主机设备中的在线主机设备,以及在线主机设备开启的端口信息,然后将在线主机设备进行分组,开启端口相同的在线主机设备分为一组,然后根据每组在线主机设备开启端口对应的服务类型,开启与服务类型对应的防护策略,由于针对不同类型的在线主机设备开启不同的防护策略,这样配置的防护策略就可以保证对每个主机设备都有很好的防护效果。具体的,当上述SlO中的标识信息为IP地址时,上述SlO中的探测用户输入的标识信息对应的主机设备,确定在线主机设备,具体包括向用户输入的IP地址对应的主机设备发送携带其IP地址的探测报文,将返回应答报文的主机设备确定为在线主机设备。用户可以直接输入要防护的主机设备的互联网协议(IP,Internet Protocol)地址,除了用户直接输入要防护的主机设备的IP地址之外,也可以通过其他方式提供要防护的主机设备的IP地址,在这里标识信息是以IP地址为例进行说明的,当然也可以是其它标识信息,在这里不再赘述。确定在线主机设备时,可以向用户输入的所有IP地址对应的主机设备发送探测报文,在探测报文中携带相应主机设备的IP地址,若某个主机设备返回应答报文,就证明该主机设备目前是在线的,也就确定为在线主机设备;反之,就证明该主机设备目前不是在线的,不用对其进行防护。在线主机设备上一般会设有很多的端口,扫描这些端口,获取在线设备开启的端口信息。可以向每个在线设备发送目前已知的所有端口对应的探测报文,当某个端口返回应答报文时,则确定该端口处于开启状态;反之,确定该端口未开启。相应的也就不用开启该端口对应的服务类型的防护策略,这样可以精确的确定主机设备所需的防护策略,从而可以提闻主机设备处理业务的效率和能力。具体的,上述S12中的根据每组在线主机设备开启端口对应的服务类型,开启与服务类型对应的防护策略,具体包括根据预设的服务类型与防护策略的对应关系,获取与服务类型对应的防护策略;开启获取的防护策略。可以预设服务类型与防护策略的对应关系,也就是说针对主机设备开启的端口对 应的服务类型,可以开启的所有的防护策略的对应关系。当需要开启防护策略时,可以查询该对应关系,从该对应关系中获取与服务类型对应的防护策略,然后开启获取的防护策略就可以了。这样就实现了针对不同的主机设备可以开启不同的防护策略,而不用再像现有技术中,每个主机设备开启通用的防护策略了。较佳的,上述S12中的开启与服务类型对应的防护策略之后,还包括在第一监控周期内,监控每组在线主机设备及其开启端口的流量;根据监控的每组在线主机设备及其开启端口的流量,重新确定开启的防护策略中的参数值。在开启与服务类型对应的防护策略时,其中的参数值通常是采用默认值,或者用户依据经验输入的数值,这些默认值和用户输入的数值并不一定是最合适的数值,如果想确定最合适的数值,可以设定第一监控周期,在该第一监控周期内监控每组在线主机设备及其开启端口的流量,根据监控到的流量就可以重新确定开启的防护策略中的参数值了,这样重新确定的参数值是非常符合当时的应用场景的数值。可以采用netflow/sflow技术来监控每组在线主机设备及其开启端口的流量,其中netflow/sflow技术为现有技术,其具体的原理和实现过程在这里不再赘述。较本文档来自技高网...
【技术保护点】
一种抗拒绝服务防护策略配置方法,其特征在于,包括:A、探测用户输入的标识信息对应的主机设备,确定在线主机设备,并获取所述在线主机设备开启的端口信息;B、将开启端口相同的在线主机设备作为一组;C、根据每组在线主机设备开启端口对应的服务类型,开启与服务类型对应的防护策略。
【技术特征摘要】
1.一种抗拒绝服务防护策略配置方法,其特征在于,包括 A、探测用户输入的标识信息对应的主机设备,确定在线主机设备,并获取所述在线主机设备开启的端口信息; B、将开启端口相同的在线主机设备作为一组; C、根据每组在线主机设备开启端口对应的服务类型,开启与服务类型对应的防护策略。2.如权利要求I所述的方法,其特征在于,当所述标识信息为互联网协议IP地址时,探测用户输入的标识信息对应的主机设备,确定在线主机设备,具体包括 向用户输入的IP地址对应的主机设备发送携带其IP地址的探测报文,将返回应答报文的主机设备确定为在线主机设备。3.如权利要求I所述的方法,其特征在于,根据每组在线主机设备开启端口对应的服务类型,开启与服务类型对应的防护策略,具体包括 根据预设的服务类型与防护策略的对应关系,获取与服务类型对应的防护策略; 开启获取的防护策略。4.如权利要求I所述的方法,其特征在于,开启与服务类型对应的防护策略之后,还包括 在第一监控周期内,监控每组在线主机设备及其开启端口的流量; 根据监控的每组在线主机设备及其开启端口的流量,重新确定开启的防护策略中的参数值。5.如权利要求4所述的方法,其特征在于,还包括 在第二监控周期到期后,重新执行步骤A。6.一种抗拒绝服务防护策...
【专利技术属性】
技术研发人员:李志豪,
申请(专利权)人:北京神州绿盟信息安全科技股份有限公司,北京神州绿盟科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。