[发明专利]基于带宽管理的网络安全解决方法

说明书

技术领域

本发明涉及互联网，特别涉及基于带宽管理的网络安全解决方法。

背景技术

当前的网络安全解决方案主要分两种；集中式和全局式。

集中式：

该方案是在安全路由器中实现对网络安全的控制的。在这类安全路由器中通常包含控制网络安全的网络安全模块。系统管理员在路由器上配置安全策略，当网络中出现违反安全策略的流量时，路由器将根据事先配好的策略对该异常流量采取相应的动作，如告警，阻断等。网络拓扑图如图1：

集中式的安全解决方案特点如下：

●系统网络管理员在路由器上配置相应的安全策略。便于管理。

●能根据事先配置的安全策略对流经路由器的流量进行监控，当网络流量出现异常时能通过告警等方式通知给系统管理员，以便采取进一步措施。

全局式：

如图2所示，该方式利用多个网络组件来实现对网络的全面的安全管理，这些网络组件通常包括：安全路由器，网络安全客户端和多种类型的服务器，如网络安全管理服务器，用户认证服务器，网络安全修复服务器等等。

系统管理员事先在网络安全管理服务器上配置好安全策略，安全路由器根据这些安全策略监控网络流量，但发现网络出现异常流量时，安全路由器将根据策略处理该异常流量，同时就把该异常信息报告到网络安全管理服务器，网络安全管理服务器可以通过事先配好的策略，与其他网络组件一起完成对网络的修复工作，如当安全路由器发现流量中有病毒时，它将该信息通知给网络安全管理服务器，网络安全管理服务器可以将病毒信息告诉给网络安全修复服务器和安全客户端，安全客户端从安全修复服务器中下载病毒补丁，以自动修复系统。

全局式的安全解决方案特点如下：

●当网络中出现异常时，安全系统能够通过多个网络组件的联动来实现网络的自动修复。

●通过服务器的方式来实现安全策略，病毒库特征，病毒补丁的集中管理。

现有技术存在的问题是：

1)集中式

该网络安全解决方案只能提供异常流量的监控，不能对导致该异常的行为进行修复。

2)全局式

a)对于陌生的病毒，安全系统无法自动修复。

b)不能有效的防止病毒或恶意用户对内部网络的攻击，可能导致内部网络的瘫痪。

发明内容

针对现有的网络解决方法，本发明的目的是提供一种基于带宽管理的网络安全解决方法，

为实现上述目的，一种基于带宽管理的网络安全解决方法，包括步骤：

当带宽服务器接收到异常流量信息的消息时，通知至少一个主机的client；

Client将主机端口的速率降到网络管理员配置的最小带宽。

本发明对每个主机进行精细控制，保证LAN的安全。由于每台主机自我约束往外的带宽，避免了出口点的拥塞。本发明能有效避免恶意用户对网络的破坏和避免不知名病毒对网络的攻击。

附图说明

图1是集中式的网络拓扑图；

图2是全局式网络拓扑图；

图表3基于带宽管理的网络安全技术；

图表4基于带宽的网络安全解决方案-客户端控制面Registrar工作流程；

图表5基于带宽的网络安全解决方案-客户端数据面Shaper功能结构；

图表6基于带宽的网络安全解决方案-Server端维护的主机状态变迁。

具体实施方式

对于图表3基于带宽管理的网络安全技术，301、302、303表示个人主机，内部运行Client software部件，304表示LAN，305表示具有病毒检测和流量监控功能的Router，306表示Internet，307表示网络安全修复服务器，308表示网络安全管理服务器，309为新增的带宽管理服务器。

整个方案的设计方法如下：

1.整个管理系统由一个运行在带宽管理服务器和分布于各个主机的Client software部件组成。这个带宽管理服务器可以向主机下发指令来限制内部网的任一主机的traffic流量。

2.主机客户端软件功能：

1)主机端口流量限速：当client接受到server发来的端口流量异常的消息，client就自动把端口的速率降到网络管理员配置的最小带宽。这样就制约了主机恶意或在病毒影响下往内网发送异常流量，从而保护了LAN的安全。

2)当主机停止了恶意攻击行为或不知名的病毒被杀除后，client软件将通过消息告诉带宽管理服务器，就可以正常地访问内外网。

3.带宽管理服务器的功能是