[发明专利]一种网络安全设备的连接控制方法及设备

说明书

技术领域

本发明涉及网络与信息安全技术领域，具体涉及一种网络安全设备的 连接控制方法及设备。

背景技术

网络安全设备(如，防火墙)包括服务访问规则、验证工具、包过滤 和应用网关，通常设置在内部网和外部网之间、专用网与公共网之间，通 过检测过滤报文来保护内部网免受非法用户的侵入和恶意攻击。为了有效 地过滤非法报文，网络安全设备(防火墙)需要跟踪并且记录连接状态以 实现对连接跟踪的能力，但连接的建立、保持和删除都要消耗系统资源。 随着连接数增加，查找连接所消耗的时间也会增加，因此，当连接数达到 一定数量后，防火墙的处理能力就会开始下降。特别是现有高端防火墙一 味追求最大连接数，持续创建新连接直到系统的内存空间都用完，这样极 有可能使系统不稳定。最典型的实例就是连接型DOS攻击能够很快让防火 墙挂机。

衡量网络安全设备(防火墙)处理能力的一个指标是支持的并发连接 数，即能够同时处理的点对点连接的数目，它反映出防火墙设备对多 个连接的访问控制能力和连接状态跟踪能力，直接影响到防火墙所能 支持的最大连接数。

现有技术中提供的控制连接能力的方法是限制并发连接数的方法，具 体为：给系统设定一个并发连接数的阀值，当防火墙并发连接数达到这个 阀值时就不再创建新连接了。

传统的高端防火墙不断创建新连接直到其内存都用完，以提高防火墙 的并发连接能力。但是当系统内存都用完时会导致系统不稳定，若扩展内 存来将导致成本增加，而且不能从根本上解决问题。为此，若给其设定一 个最大并发连接数的阀值，当防火墙并发连接数达到这个阀值时就不再创 建新连接了。由于无法再创建新连接，网络安全设备(防火墙)对后续的 报文就无法处理，这将导致网络安全设备(防火墙)不能正常工作。

发明内容

有鉴于此，本发明提供一种网络安全设备的连接控制方法及设备，可 使得网络安全设备最大限度的支持更多连接。

本发明实施例提供的一种网络安全设备的连接控制方法，包括：

当接收到报文需要创建新连接，检测并获取当前的并发连接数；

将所述并发连接数与第一预定值、第二预定值比较，其中第一预定值 小于第二预定值；

若所述并发连接数小于所述第一预定值，则直接创建新连接；

若所述并发连接数大于所述第一预定值而小于第二预定值，则启动加 速老化进程，再创建新连接；

若所述并发连接数大于所述第二预定值，则选择并释放一个连接，再 创建新连接。

本发明实施例还提供一种可控制连接的网络安全设备，包括：

接收单元，用于接收到报文，并通知需要创建新连接；

检测单元，用于检测并获取当前的并发连接数；

比较单元，用于比较所述并发连接数与第一预定值、第二预定值，其 中第一预定值小于第二预定值；

连接控制单元，用于释放连接和创建新连接，以及控制连接老化进程；

若所述并发连接数小于所述第一预定值，则所述连接控制单元直接创 建新连接；

若所述并发连接数大于所述第一预定值而小于第二预定值，则所述连 接控制单元启动加速老化进程，再创建新连接；

若所述并发连接数大于所述第二预定值，则所述连接控制单元选择并 释放一个连接，再创建新连接。

综上所述，本发明实施例提供的技术方案中，当并发连接数达到或超 过加速老化阀值，则启动加速老化进程；当并发连接数达到并发连接阀值， 在创建新连接前先释放可释放的连接再创建新连接。这样，在达到最大并 发连接数的情况下，可将一些没有完全关闭的和即将超时掉的连接提前老 化，腾出内存空间来创建新连接，使得网络安全设备有能力继续创建新连 接，最大限度的支持更多连接，进而充分挖掘利用网络安全设备的性能。

附图说明

图1为本发明实施例提供的连接控制方法流程图；

图2为本发明实施例中提供的网络安全设备构成示意图。

具体实施方式

本发明实施例提供的一种网络安全设备的连接控制方法，在不断创建 新连接达到最大并发连接数的情况下，有能力继续创建新连接，从而使得 网络安全设备可正常工作。