发明名称 |
一种实现防火墙芯片参与SYN代理的方法 |
摘要 |
本发明公开了一种实现防火墙芯片参与SYN代理的方法,由运行在通用CPU上的软件完成SYN代理的协商过程;和服务器协商完成后,运行在通用CPU上的软件把TCP序列号的差值登记在连接表数据结构中,然后删除先前分配的SYN代理专用数据结构;对于已建立连接的正常通信,防火墙芯片在转换TCP序列号的基础上,快速处理通信报文。本发明中,TCP连接状态的维护、数据包的重传等消耗内存资源的复杂处理由运行在通用CPU上的软件承担,保证了SYN代理功能的完整性。本发明方法在抵御SYN Flood攻击的同时,合法的正常通信仍可以由芯片快速转发,提高了系统性能。 |
申请公布号 |
CN101296223A |
申请公布日期 |
2008.10.29 |
申请号 |
CN200710098399.1 |
申请日期 |
2007.04.25 |
申请人 |
北京天融信网络安全技术有限公司 |
发明人 |
吴亚飚 |
分类号 |
H04L29/06(2006.01);H04L9/00(2006.01) |
主分类号 |
H04L29/06(2006.01) |
代理机构 |
信息产业部电子专利中心 |
代理人 |
梁军 |
主权项 |
1、一种实现防火墙芯片参与SYN代理的方法,其特征在于:第一步,由运行在通用CPU上的软件完成SYN代理的协商过程;第二步,和服务器协商完成后,运行在通用CPU上的软件把TCP序列号的差值登记在连接表数据结构中,然后删除先前分配的SYN代理专用数据结构;第三步,对于已建立连接的正常通信,防火墙芯片在转换TCP序列号的基础上,快速处理通信报文。 |
地址 |
100085北京市海淀区上地东路1号华控大厦四层 |