[发明专利]一种防范SYN Flood攻击的方法及安全代理装置

权利要求书

1.一种防范SYN Flood攻击的安全代理装置，其应用于网络安全设备中，该装置包括：

报文检查单元，用于检查发出TCP SYN报文的客户端是否在客户端白名单中有对应的表项；如果是，允许该报文通过并删除该客户端对应的表项；如果否，则转客户端验证单元处理；

客户端验证单元，用于向发出TCP SYN报文的客户端发出验证请求报文并通过客户端返回的验证响应报文检验客户端是否为合法客户端，若客户端为合法客户端，则在客户端白名单中增加对应的表项，否则丢弃该丢弃该验证响应报文。

2.根据权利要求1所述的装置，其特征在于，所述客户端白名单的表项包括IP地址以及源端口号。

3.根据权利要求1所述的装置，其特征在于，所述验证请求报文为携带Cookie的SYN ACK报文。

4.根据权利要求1所述的装置，其特征在于，所述验证响应报文为RST报文。

5.根据权利要求1所述的装置，其特征在于，其中所述网络安全设备还包括访问控制单元，用于从接收到的报文中筛选出TCP SYN报文并提交给报文检查单元，以及用于从接收到的报文中筛选出验证响应报文并提交给客户端验证单元。

6.一种防范SYN Flood攻击的方法，其应用于网络安全设备中，该方法包括：

A、检查发出TCP SYN报文的客户端是否在客户端白名单中有对应的表项；如果是，允许该报文通过并删除该客户端对应的表项；如果否，则转步骤B处理；

B、向发出TCP SYN报文的客户端发出验证请求报文并通过客户端返回的验证响应报文检验客户端是否为合法客户端，若客户端为合法客户端，则在客户端白名单中增加对应的表项，否则丢弃该验证响应报文。

7.根据权利要求6所述的方法，其特征在于，所述客户端白名单的表项包括IP地址以及源端口号。

8.根据权利要求6所述的方法，其特征在于，所述验证请求报文为携带Cookie的SYN ACK报文。

9.根据权利要求6所述的方法，其特征在于，所述验证响应报文为RST报文。

10.根据权利要求6所述的方法，其特征在于，还包括：

C、从接收到的报文中筛选出TCP SYN报文并转步骤A处理，以及

D、从接收到的报文中筛选出验证响应报文并转步骤B处理。