專利名稱：：一種保護網絡安全的方法和網絡安全保護設備的制作方法
技術領域：
：本發明涉及通信
技術領域：
，尤其涉及一種保護網絡安全的方法和網絡安全保護設備。
背景技術：
：隨著通信技術的發展，人們開始大量使用ping程序，它是一種應用程序。Ping程序的目的是發送一種網絡控制信息協議(ICMP,InternetControlMessageProtocol)查詢報文(回顯請求數據)給某臺主機，并等待返回ICMP回顯應答數據，用來測試這臺主機是否可達。但是，人們在使用ping程序的過程中，受到一些網絡攻擊行為的困護L，比如pingflood攻擊，pingflood攻擊是指攻擊者將大量ICMP回顯請求(pingrequest)或回顯應答(pingreply)數據包通過外網發送給內網的受害主機或網絡，這種攻擊可能會導致許多不良后果，例如內網帶寬被嚴重消耗，正常業務無法運作；受害主機性能嚴重受影響，甚至產生拒絕服務；可能使局域網成為反射攻擊工具。現有技術中，對這種攻擊的防御方法主要有對個別特征明顯的攻擊方法，如pingofdeath,采用特征4全查方法，防御效果比較好；對特征不明顯的攻擊方式，釆用"會話記錄"、"限流"等方式，防御效果不理想。例如,在雙向環境應用的防御方案是在防火墻(或其它網絡安全保護設備)中記錄從內網發出的ping回顯請求數據包，并存儲在防火墻內存或其它存儲區域，當ping回顯應答數據包到達防火墻時，進行一個記錄匹配比對工作,把與記錄不一致的ping回顯應答數據包丟棄，把能匹配的ping回顯應答數據包接收下來。這種方法稱之為"會話記錄"方法，其有一些局限性或缺點在某些網絡條件下這種方法并不適用，比如單向環境；當從內網發出的ping回顯請求數據較多時，會占用大量網絡安全保護設備內存。而在單向數據流環境中應用的防御方案中，網絡安全保護設備不能串行接入到用戶網絡中，網絡安全保護設備只能監控從外網進入內網的數據包，而不能監控從內網發出去的數據包，所以也就無法鑒別從內網發送出去的ping回顯請求數據包，因而上述"會話記錄"方法無效，此時大部分網絡安全保護設備釆用了簡單的"限流"方法，即限制ping數據包的通過流量。這種"限流"方法的主要局限性或缺點主要有誤判率高，ping攻擊發生時，正確、合法的ping數據包可能無法通過，而攻擊性的數據包可能通過網絡安全保護設備進入內網。
發明內容本發明實施例提供了一種保護網絡安全的方法和網絡安全保護設備，使用本發明實施例提供的技術方案，有效地防范pingflood攻擊。本發明實施例的目的是通過以下技術方案實現的一種保護網絡安全的方法，包括接收原始ping數據包；獲取驗證值，在所述原始ping數據包的選項數據字段加入所述驗證值；對加入了所述驗證值的原始ping數據包進行編碼，得到ping回顯請求數據包；向外網發送所述ping回顯請求數據包；驗證來自外網的ping回顯應答數據包的選項數據字段是否包含有與所述驗證值匹配的值；當所述選項數據字段包含有與所述驗證值匹配的值時，對所述ping回顯應答數據包進行解碼；向內網發送解碼后的ping回顯應答數據包。一種網絡安全保護設備，包括接收單元，用于接收原始ping數據包以及來自外網的ping回顯應答數據包；驗證設置單元，用于獲取驗證值，在所述接收單元接收的所述原始ping數據包的選項數據字段加入所述驗證值；驗證單元，用于驗證來自外網的ping回顯應答數據包的選項數據字段是否包含有與所述驗證值匹配的值；編解碼單元，用于對加入了所述驗證值的原始ping數據包進行編碼，得到ping回顯請求數據包，當所述驗證單元驗證所述選項數據字段包含有與所述驗證值匹配的值時，對所述ping回顯應答數據包進行解碼；發送單元，用于向外網發送所述編解碼單元編碼得到的ping回顯請求數據包以及向內網發送所述編解碼單元解碼后的ping回顯應答數據包。從本發明實施例可知，由于網絡安全保護設備利用ping數據包中的選項數據字段往返不變的特性，對在單向或雙向的數據流環境下接收到的ping回顯應答數據包中的選項數據字段與所獲取的驗證值是否匹配進行驗證，能有效地防范pingflood攻擊，并且能少占用或不占用網絡安全保護設備較多內存就能實現對ping數據包的監控。圖l是本發明實施例中保護網絡安全的方法的實施例一的流程示意圖；圖2是本發明實施例中保護網絡安全的方法的實施例二的流程示意圖；圖3是本發明實施例中保護網絡安全的方法的實施例三的流程示意圖；圖4是本發明實施例中保護網絡安全的方法的實施例四的流程示意圖；圖5是本發明實施例中保護網絡安全的方法的實施例五的流程示意圖；圖6是本發明實施例中保護網絡安全的方法在雙向環境中的示意圖；圖7是本發明實施例中保護網絡安全的方法在單向環境中的示意圖；圖8是本發明實施例中網絡安全保護設備的實施例一的結構示意圖；圖9是本發明實施例中網絡安全保護設備的實施例一的具體結構示意圖。具體實施例方式為使本發明的目的、技術方案、及優點更加清楚明白，以下參照附圖并舉實施例，對本發明進一步詳細說明。在陳述本發明的實施例之前，先筒要介紹ping數據包的報文格式ping數據包的才艮文才各式如下078151631<table>tableseeoriginaldocumentpage10</column></row><table>如果是Ping回顯請求數據包，則[類型]字4殳為8，如果是Ping回顯應答數據包，則[類型]字段為0;[代碼]字段在兩種情況下都為O;報文中的[標識符]、[序號]字段由發送端(Client)任意選擇設定，這些值在應答中將被返回，這樣，發送端就可以把回顯應答數據包與回顯請求數據包進行匹配；[選項數據]字段可以有，也可以沒有，也是由發送端(Client)任意設定，接收端(Server)必須將[選項數據]字段原樣返回。保護網絡安全的方法的實施例一如圖l所示，保護網絡安全的方法步驟包括步驟IOI:網絡安全保護設備接收原始ping數據包。所述原始ping數據包是指網絡安全保護設備還未加入驗證值的ping數據包，原始ping數據包可以是來自內網的原始ping回顯請求數據包或者來自外網的原始ping回顯應答數據包，下同。步驟102:網絡安全保護設備獲取驗證值，在所述原始ping數據包的選項數據字段加入驗證值。步驟103:網絡安全保護設備對加入了所述驗證值的原始ping數據包進行編碼，得到ping回顯請求數據包。步驟104:網絡安全保護設備向外網發送所述ping回顯請求數據包。數據字段是否包含有與所述驗證值匹配的值。所述匹配是指ping回顯應答數據包的選項數據字段中包括有與在所述原始ping數據包的選項數據字段加入的驗證值相同的值，或者指利用特定算法對提取的ping回顯應答數據包的特性數據進行計算，得到的值與ping回顯應答數據包的選項數據字段帶有的-驗證值是相同的等多種情況，本實施例對此不作限制。步驟106:當選項數據字段包含有與所述驗證值匹配的值時，網絡安全保護設備對所述ping回顯應答數據包進行解碼。步驟107:網絡安全保護設備向內網發送解碼后的ping回顯應答數據包。從本實施例可知，利用ping數據包的選項數據字段由發送端(Client)設定，接收端(Server)必須將選項數據字^1原樣返回的原理，網絡安全保護設備在對ping回顯請求數據包的選項數據字段加入驗證值，網絡安全保護設備對在單11向或雙向的數據流環境下接收到的ping回顯應答數據包中的選項數據字段是否包含有與所述驗證值匹配的值進行驗證，由于不用在網絡安全保護設備的內存中記錄通過的原始ping凄l據包的完整內容，所以可以少占用或不占用網絡安全保護設備內存，就能實現對ping數據包的監控及有效地防范pingflood攻擊。由于在選項數據字段中加入了驗證值，因而必須進行適應性的編碼，以便對加入了驗證值的數據包進行正常的發送與接收。編碼方式將在下文中舉例力n以i兌明。保護網絡安全的方法的實施例二(以預先設定好的固定值作為-瞼證值)如圖2所示，保護網絡安全的方法步驟包括步驟101-1包括網絡安全保護設備接收原始ping數據包。步驟102-1包括網絡安全保護設備獲取預先設定的固定值，網絡安全保護設備在原始ping數據包的選項數據字段加入所述固定值作為驗證值。步驟103-1包括網絡安全保護設備對加入了所述固定值的原始ping數據包進行編碼，得到ping回顯請求數據包。步驟104-1包括網絡安全保護設備向外網發送所述ping回顯請求數據包。步驟105-1包括網絡安全保護設備驗證ping回顯應答數據包的選項數據字段是否含有所述固定值。步驟106-1包括當所述選項數據字段含有所述固定值時，網絡安全保護i殳備對所述ping回顯應答數據包進行解碼。步驟107-1包括網絡安全保護設備向內網發送解碼后的ping回顯應答數據包。所述固定值的數量不限，可以是一個，也可以是多個，所述固定值的獲取方式可以是用戶在網絡安全保護設備上保存的固定的值，也可以是網絡安全設備隨機計算的值。使用固定值作為驗證值，優點在于簡便易行，不用在網絡安全設備上保存原始ping數據包的完整內容，只需要在網絡安全保護設備保存固定值，對于經過的原始ping數據包只需打上固定值的印跡，出于安全考慮要進行檢查時，網絡安全保護設備檢查接收的ping回顯應答數據包是否有匹配的固定值即可。這種方法相對于保存原始ping數據包的完整內容來說，只保存固定值即可以達到節約網絡安全保護設備的內存資源的目的。保護網絡安全的方法的實施例三(通過特定算法計算特性數據得到的驗證值)如圖3所示，保護網絡安全的方法步驟包括步驟101-2包括網絡安全保護設備接收原始ping數據包。步驟102-2包括網絡安全保護設備根據接收到的原始ping數據包攜帶的特性數據以特定算法進行運算得到驗證值；在所述原始ping數據包的選項數據字段中加入所述驗證值。步驟103-2包括網絡安全保護設備對加入了所述-驗證值的原始ping數據包進行編碼，得到ping回顯請求數據包。步驟104-2包括網絡安全保護設備向外網發送所述ping回顯請求數據包。步驟105-2包括網絡安全保護設備當ping回顯應答數據包的選項數據字段含有所述驗證值時，利用所述特定算法根據ping回顯應答數據包攜帶的特性數據進行運算得到值，驗證所述值是否與所述驗證值相同。步驟106-2包括當利用所述特定算法根據ping回顯應答數據包攜帶的特性數據進行運算，得到的值與所述驗證值相同時，網絡安全保護設備對所述ping回顯應答數據包進行解碼。步驟107-2包括網絡安全保護設備向內網發送解碼后的ping回顯應答數據包。使用根據原始ping數據包攜帶的特性數據以特定算法進行運算得到驗證值的方法，優點在于當即使欲通過網絡安全保護設備進入內網，進行攻擊活動的惡意的數據包能在選項數據字段偽造與加入原始ping數據包的驗證值相同的值，但是，由于數據包自身的特性數據往往是特定的，也即是數據包如果被篡改成或原來就是惡意的數據包，它的特性數據也會發生變化或者與安全的數據包的特性數據不一樣，利用這種不一樣的特性數據進行計算，得到的值往往與惡意的數據包在選項數據字段偽造的值是不一樣的，因而無法通過驗證，根據特定的特性數據計算而得的驗證值具有較高的安全性。與"第一種方式以用戶事先設定好的固定值作為驗證值，，相比，更優的是，在網絡安全保護設備上不用保存驗證值，對于經過的原始ping數據包只需打上驗證值的印跡，出于安全考慮要進行檢查時，網絡安全保護設備利用特定算法對接收的ping回顯應答數據包攜帶的特性數據進行計算得到一個值，當這個值與在ping回顯應答數據包選項數據字段呈現的所述驗證值一致時，判定ping回顯應答數據包是安全的。這種方法相對于保存原始ping數據包的完整內容來說，可以達到節約網絡安全保護設備的內存資源的目的。保護網絡安全的方法的實施例四(通過特定算法計算特性數據與固定值得到的驗證值)如圖4所示，保護網絡安全的方法步驟包括步驟101-3包括網絡安全保護設備接收原始ping數據包。步驟102-3包括網絡安全保護設備根據預先設定的固定值和原始ping數據包攜帶的特性數據以特定算法進行運算得到驗證值；在所述原始ping數據包的選項數據字段中加入所述驗證值。步驟103-3包括網絡安全保護設備對加入了所述驗證值的原始ping數據包進行編碼，得到ping回顯i會求li據包。步驟104-3包括網絡安全保護設備向外網發送所述ping回顯請求數據包。步驟105-3包括網絡安全保護設備當接收的ping回顯應答數據包的選項數據字段含有所述驗證值時，利用所述特定算法根據所述固定值和所述ping回顯應答數據包攜帶的特性數據進行運算得到值，驗證所述值是否與所述驗i正-f直相同。步驟106-3包括當利用所述特定算法根據所述固定值和所述ping回顯應答數據包攜帶的特性數據進行運算，得到的值與所述驗證值相同時，網絡安全保護設備對所述ping回顯應答數據包進行解碼。步驟107-3包括網絡安全保護設備向內網發送解碼后的ping回顯應答數據包。在驗證值的計算中加入固定值的因素，由于該固定值是由網絡安全保護設備所掌握，外網無法得知固定值，可以使得計算的復雜性增加，成功偽裝并通過驗證的機率下降，增加了攻擊者進行數據包偽造的難度。這種方法需要在網絡安全保護設備上保存固定值，相對于保存原始ping數據包的完整內容來說，可以達到節約網絡安全保護設備的內存資源的目的。保護網絡安全的方法的實施例五(通過特定算法計算特性數據與固定值得到的第一驗證值并且在選項數據字段中加入所述第一驗證值和固定值作為驗證值)如圖5所示，保護網絡安全的方法步驟包括步驟101-4包括網絡安全保護設備接收原始ping數據包。步驟102-4包括網絡安全保護設備根據預先設定的固定值和原始ping數據包攜帶的特性數據以特定算法進行運算得到第一驗證值；在所述原始ping數據包的選項數據字段中加入所述第一驗證值和所述固定值作為驗證值。步驟103-4包括網絡安全保護設備對加入了所述驗證值的原始ping數據包進行編碼，得到ping回顯請求數據包。步驟104-4包括網絡安全保護設備向外網發送所述ping回顯請求數據包；步驟105-4包括網絡安全保護設備當ping回顯應答數據包的選項數據字段含有所述固定值且當所述選項數據字段含有所述第一驗證值時，利用所述特定算法沖艮據所述固定值和所述ping回顯應答數據包攜帶的特性數據進行運算得到值，驗證所述值是否與所述第一驗證值相同。步驟106-4包括網絡安全保護設備當利用所述特定算法根據所述固定值和所述ping回顯應答數據包攜帶的特性數據進行運算，得到的值與所述第一驗證值相同時，對所述ping回顯應答數據包進行解碼。步驟107-4包括網絡安全保護設備向內網發送解碼后的ping回顯應答數據包。在選項數據字段中加入固定值和第一驗證值作為驗證值，先對是否是正確的固定值進行驗證，再對是否是有匹配的第一驗證值進行驗證，可以對接收的ping回顯應^lt據包進行兩次驗證，這種方法除了具有"第三種方式，，的優點即相對于保存原始ping數據包的完整內容來說，可以達到節約網絡安全保護設備的內存資源的目的之外，還具有更好的防范效果。以上四種方式中的原始ping數據包如前所述，可以是來自外網的原始ping回顯應答數據包或來自內網的原始ping回顯請求數據包。上述特定算法可以是哈希算法。哈希算法是一種單向函數，運算該原理，可將任意長度的二進制值映射為固定長度的較小二進制值，這個小的二進制值就稱為哈希值。哈希值是一段數據的數值表示形式。舉例，當將一段純文本進行哈希運算后，得到一個哈希值，即使只更改該段純文本中的一個字母，得到的哈希值都幾乎不一樣。即是要找到經過哈希運算后得到相同哈希值的數據，在計算上是不太可行的。進而，可以得到這樣的結論當對一個數據包提取其特征數據進行哈希運算后得到的哈希值與數據包在選項數據字段呈現的哈希值相同時，說明該數據包的數據未被篡改，即是原來的數據。例如，當所述原始ping數據包是來自外網的原始ping回顯應答數據包時，哈希算法利用的所述特征數據可以是源IP地址，目的IP地址，所述原始ping回顯應答數據包的數據包生存時間。當所述原始ping數據包是來自內網的原始ping回顯請求數據包時，哈希算法利用的所述特征數據可以是源IP地址，目的IP地址。例如，在選項數據后加入2字節的固定值FLAG和2字節的哈希值H，共4個字節，H的計算方法如下H=Hash(FLAQSIP，DIP，TTL),其中，SIP為客戶的IP地址，DIP為服務器的IP地址，TTL為IP包生存期。FLAG值相對固定，可以由預先設定在網絡安全保護設備中，可以用于區別是否是經過編碼的Ping請求應敘艮文。FLAG和H值的長度可根據需要進行擴展，比如各占4個字節。使用哈希算法可以有相當大的彈性去控制驗證值的復雜程度，實現更優地防止ping惡意攻擊。當然，哈希算法只是特定算法中的一種，該例并不構成對特定算法的限定，只要是能達到本發明的目的的特定算法都在此列。現舉例說明單向環境下對哈希算法的利用如圖6所示，步驟l:外網向網絡安全保護設備發送原始ping回顯應答數據包。步驟2:網絡安全保護設備構造驗證值，在所述原始ping回顯應答數據包的選項數據字段中加入驗證值，網絡安全保護設備向外網發送所述編碼構造的ping回顯請求數據包，如前所述，將類型字^:從0變到8，就可以將所述原始ping回顯應答數據包的類型改變為ping回顯請求數據包，再對所述原始ping回顯應答數據包的網絡協議(IP,InternetProtocol)頭的源IP地址與目的IP地址交換，重新計算并修改原始ping回顯應答數據包的網絡控制信息協議ICMP報文校驗和與IP頭校驗和字段，修改所述IP頭的長度字段，編碼構造出ping回顯請求數據包，該步驟中的從將類型字段從0變到8，直到修改所述IP頭的長度字段這一部分內容即是前文提到的編碼，這是由于在選項數據字段中加入了驗證值，進而數據包會自行地改變數據包一些用于安全檢查之用的數據如校驗和字段的值，為了能對數據包進行順利的發送，在這個環節需要進行對前述的多種字段進行交換或修改，對于通過了驗證的數據包，就需要進行過程相對應的解碼步驟，才能得到能對之進行順利發送的數據包。步驟3:外網向網絡安全保護設備發送ping回顯應答數據包。步驟4:對于通過驗證的ping回顯應答數據包，網絡安全保護設備經過解碼后，向內網發送解碼后的ping回顯應答數據包。步驟5:對于未通過驗證的ping回顯應答數據包，網絡安全保護設備丟棄。對于來自外網的原始ping回顯應答數據包，采取在網絡安全保護設備中構建驗證值和將原始ping回顯應答數據包構建成一個已經通過網絡安全保護設備的ping回顯請求數據包，并向外網發送所述ping回顯請求數據包的方案，由于現有的大部分ping攻擊包的有一個共性，就是采用這種方案后，就不會再次回來要求進入內網，因此，可以減少ping攻擊包的進攻。現舉例說明雙向環境下對哈希算法的利用如圖7所示，步驟01:內網的用戶設備向網絡安全保護設備發送原始ping回顯請求數據包。步驟02:網絡安全保護設備構造驗證值，在所述原始ping回顯請求數據包的選項數據字段中加入驗證值，類型字段不變，重新計算并修改原始ping回顯請求數據包的網絡控制信息協議ICMP報文校驗和與IP頭校驗和字段，修改所述IP頭的長度字段，編碼構造出ping回顯請求數據包，網絡安全保護設備向外網發送ping回顯請求數據包。步驟03:外網向網絡安全保護設備發送ping回顯應答數據包。步驟04:對于通過驗證的ping回顯應答數據包，網絡安全保護設備經過解碼后，向內網發送解碼后的ping回顯應答數據包。步驟05:對于未通過驗證的ping回顯應答數據包，網絡安全保護設備丟棄。本發明實施例還提供網絡安全保護設備，網絡安全保護設備的實施例可以包括^旦不限于以下幾種網絡安全保護設備的實施例一如圖8所示，該網絡安全保護設備包括接收單元201,用于接收原始ping數據包以及來自外網的ping回顯應答數據包。驗證設置單元202，用于獲取驗證值，在所述接收單元201接收的所述原始ping數據包的選項數據字段加入驗證值。驗證單元204，用于驗證來自外網的ping回顯應答數據包的選項數據字段是否包含有與所述驗證值匹配的值。編解碼單元205,用于對加入了所述驗證值的原始ping數據包進行編碼，得到ping回顯請求數據包，當所述驗證單元204驗證所述選項數據字段包含有與所述驗證值匹配的值時，對所述ping回顯應答數據包進行解碼。發送單元203,用于向外網發送所述編解碼單元205編碼得到的ping回顯請求數據包以及向內網發送所述編解碼單元解碼后的ping回顯應答數據包。從本實施例可知，由于利用了ping數據包的選項數據字段由發送端(Client)設定，接收端(Server)必須將選項數據字段原樣返回的原理，網絡安全保護設備在對ping回顯請求數據包的選項數據字段加入驗證值，網絡安全保護設備對在單向或雙向的數據流環境下接收到的ping回顯應答數據包中的選項數據字段是否匹配進行驗證，能有效地防范pingflood攻擊，并且由于不用在網絡安全保護設備的內存中記錄通過的原始ping數據包的完整內容，所以可以少占用或不占用網絡安全保護i更備4支多內存就能實現對ping數據包的監控。如圖9所示網絡安全保護設備的實施例一的具體結構包括接收單元201包括原始接收單元201-01與外網接收單元201-02。原始接收單元201-01用于接收原始ping數據包；夕卜網接收單元201-02用于接收來自外網的ping回顯應答it據包。驗證設置單元202包括獲取單元202-01和設置單元202-02。獲取單元202-01用于獲取驗證值；設置單元202-02用于在所述原始接收單元20-01接收的原始ping數據包的選項數據字段加入驗證值。驗證單元204-0用于驗證來自外網的ping回顯應答數據包的選項數據字段是否包含有與所述驗證值匹配的值。編解碼單元205包括編碼單元205-01和解碼單元205-02。編碼單元205-01用于對所述設置單元202-02加入了所述驗證值的原始ping數據包進行編碼，得到ping回顯請求數據包；解碼單元205-02用于當所述驗證單元204-0驗證所述選項數據字段包含有與所述驗證值匹配的值時，對所述ping回顯應答數據包進行解碼。發送單元203包括向外發送單元203-01和向內發送單元203-02。向外發數據包；向內發送單元203-02用于向內網發送所述解碼單元205-02解碼后的ping回顯應答數據包。網絡安全保護設備的實施例二(以預先設定好的固定值作為驗證值)網絡安全保護設備的實施例二的具體結構示意圖與圖9相同，該網絡安全保護設備包括所述原始接收單元201-01用于接收原始ping數據包。所述外網接收單元201-02用于接收來自外網的ping回顯應答數據包。所述獲取單元202-01用于獲取預先設定的固定值作為驗證值。所述設置單元202-02用于在所述原始接收單元201-01接收的原始ping數據包的選項數據字段加入所述固定值。所述編碼單元205-01用于對加入了所述固定值的原始ping數據包進行編碼，得到ping回顯請求數據包。所述驗證單元204-0用于驗證所述外網接收單元201-02接收的來自外網的ping回顯應答數據包的選項數據字段是否含與所述固定值相同的值。有與所述固定值相同的值時，對所述ping回顯應答數據包進行解碼。的ping回顯請求數據包。ping回顯應答數據包。使用固定值作為驗證值，優點在于簡便易行，不用在網絡安全設備上保存經過的原始ping數據包的完整內容，只需要在網絡安全保護設備保存固定值，對于經過的原始ping數據包只需打上固定值的印跡，出于安全考慮要進行檢查時，網絡安全保護設備只檢查經過的ping回顯應答數據包是否有匹配的固定值即可。這種網絡安全保護設備相對于保存原始ping數據包的完整內容來說，只保存固定值是可以達到節約網絡安全保護設備的內存資源的目的的。網絡安全保護設備的實施例三(通過特定算法計算特性數據得到驗證值)網絡安全保護設備的實施例三的具體結構示意圖與圖9相同，該網絡安全保護設備包括所述原始接收單元201-01用于接收原始ping數據包。所述外網接收單元20卜02用于接收來自外網的ping回顯應答數據包。所述獲取單元202-01用于根據所述原始接收單元201-01接收的原始ping數據包攜帶的特性數據以特定算法進行運算得到驗證值。所述設置單元202-02用于在所述原始接收單元201-01接收的原始ping數據包的的選項數據字段中加入運算得到的所述驗證值。所述編碼單元205-01用于對加入了運算得到的所述驗證值的原始ping數據包進行編碼，得到ping回顯請求數據包。所述驗證單元204-0用于當所述外網接收單元201-02接收的來自外網的ping回顯應答數據包的選項數據字段含有所述驗證值時，利用所述特定算法根據ping回顯應答數據包攜帶的特性數據進行運算以驗證運算得到的值是否與所述驗證值相同。據ping回顯應答數據包攜帶的特性數據進行運算得到的值與所述驗證值相同時，對所述ping回顯應答數據包進行解碼。的ping回顯請求數據包。所述向內發送單元203-02用于向內網發送所述解碼單元205-02解碼后的ping回顯應答數據包。使用根據原始ping數據包攜帶的特性數據以特定算法進行運算得到驗證值的方法，優點在于當即使欲通過網絡安全保護設備進入內網，進行攻擊活動的惡意的數據包能在選項數據字段偽造與加入原始ping數據包的驗證值相同的值，但是，由于數據包自身的特性數據往往是特定的，也即是數據包如果被墓改成或原來就是惡意的數據包，它的特性數據也會發生變化或者與安全的數據包的特性數據不一樣，利用這種不一樣的特性數據進行計算是往往無法通過驗證的，因而，根據特定的特性數據計算而得的驗證值具有較高的安全性。與"第一種方式"相比，第二種方式更優的是，在網絡安全保護設備上不用保存驗證值，對于經過的原始ping數據包只需打上驗證值的印跡，出于安全考慮要進行檢查時，網絡安全保護設備利用特定算法對接收的ping回顯應答數據包攜帶的特性數據進行計算得到一個值，當這個值與在ping回顯應答數據包選項數據字段呈現的驗證值一致時，判定ping回顯應答數據包是安全的。這種網絡安全保護設備相對于保存原始ping數據包的完整內容來說或第二種方式來說，可以達到節約網絡安全保護設備的內存資源的目的。網絡安全保護設備的實施例四(通過特定算法計算特性數據與固定值得到驗證值)網絡安全保護設備的實施例四的具體結構示意圖與圖9相同，該網絡安全保護設備包括所述原始接收單元201-01用于接收原始ping數據包。所述外網接收單元201-02用于接收來自外網的ping回顯應答數據包。所述獲取單元202-01用于根據預先設定的固定值和所述原始接收單元201-01接收的原始ping數據包攜帶的特性數據以特定算法進行運算得到驗證值。所述設置單元202-02用于在所述原始接收單元201-01接收的原始ping數據包的選項數據字段中加入運算得到的所述驗證值。所述編碼單元205-01用于對加入了運算得到的所述驗證值的原始ping數據包進行編碼，得到ping回顯請求數據包。所述驗證單元204-0用于當所述外網接收單元201-02接收的來自外網的ping回顯應答數據包的選項數據字段含有所述驗證值時，利用所述特定算法根據所述固定值和所述ping回顯應答數據包攜帶的特性數據進行運算以驗證運算得到的值是否與所述驗證值相同。據所述固定值和所述ping回顯應答數據包攜帶的特性數據進行運算得到的值與所述驗證值相同時，對所述ping回顯應答數據包進行解碼。的ping回顯請求數據包。所述向內發送單元203-02用于向內網發送所述解碼單元205-02解碼后的ping回顯應答it據包。在驗證值的計算中加入固定值的因素，由于該固定值是由網絡安全保護設備所掌握，外網無法得知固定值，可以使得計算的復雜性增加，成功偽裝并通過驗證的機率下降，增加了攻擊者進行數據包偽造的難度。這種網絡安全保護設備需要保存固定值，相對于保存原始ping數據包的完整內容來說，可以達到節約絡安全保護設備的內存資源的目的。網絡安全保護設備的實施例五(通過特定算法計算特性數據與固定值得到第一驗證值，在選項數據字段中加入固定值和第一驗證值作為驗證值)網絡安全保護設備的實施例五的具體結構示意圖與圖9相同，該網絡安全保護設備包括所述原始接收單元201-01用于接收原始ping數據包。所述外網接收單元201-02用于接收來自外網的ping回顯應答數據包。所述獲取單元202-01用于根據預先設定的固定值和原始ping數據包攜帶的特性數據以特定算法進行運算得到第一驗證值。所述設置單元202-02用于在所述原始接收單元201-01接收的原始ping數據包的選項數據字段中加入所述第一驗證值和所述固定值作為驗證值。所述編碼單元205-01用于對加入了所述-瞼證值的原始ping數據包進行編碼，得到ping回顯請求數據包。所述驗證單元204-0用于當所述外網接收單元201-02接收的來自外網的含有;斤述第一驗證值時:利用^所iT特定算法根據所述固定值和所述ping回:應答數據包攜帶的特性數據進行運算以驗證運算得到的值是否與所述第一驗證值相同。據所述固定值和所述ping回顯應答數據包攜帶的特性數據進行運算得到的值與所述第一驗證值相同時，對所述ping回顯應答數據包進行解碼。的ping回顯請求數據包。所述向內發送單元203-02用于向內網發送所述解碼單元205-02解碼后的ping回顯應答數據包。在選項數據字段中加入固定值和第一驗證值，先對是否是正確的固定值進行驗證，再對是否是有匹配的第一驗證值進行驗證，可以對接收的ping回顯應答數據包進行兩次驗證，這種網絡安全保護設備除了具有"第三種方式"的優點，即相對于保存原始ping數據包的完整內容來說，可以達到節約網絡安全保護設備的內存資源的目的之外，還具有更好的防范效果。以上四種網絡安全保護設備的方式中，提及的特定算法和對數據包的編解碼與保護網絡安全的方法中的論述內容相同。另外，在有些保密性要求較高的網絡環境中，由于選項數據字段可以被利用來傳輸秘密數據，當對選項數據字段進行編碼后，就對獲取秘密數據加大了難度，這可以有效地阻斷通過建立"ping通道(PingTunnel)"進行秘密數據的傳輸。由于網絡安全保護設備利用ping數據包中的選項數據字段往返不變的特性，對在單向或雙向的數據流環境下接收到的ping回顯應答數據包中的選項數據字段與所獲取的驗證值是否匹配進行驗證，能有效地防范pingflood攻擊，并且能少占用或不占用網絡安全保護設備較多內存就能實現對ping數據包的監控。本領域普通技術人員可以理解實現上述實施例方法中的全部或部分步驟是可以通過程序來指令相關的硬件完成，所述的程序可以存儲于一種計算機可讀存儲介質中，所述存儲介質可以是只讀存儲器，磁盤或光盤等。以上對本發明實施例所提供的一種保護網絡安全的方法和網絡安全保護行了闡述，以上實施例的說明只是用于幫助理解本發明的方法及其核心思想；同時，對于本領域的一般技術人員，依據本發明的思想，在具體實施方式及應用范圍上均會有改變之處，綜上所述，本說明書內容不應理解為對本發明的限制。權利要求1、一種保護網絡安全的方法，其特征在于，包括接收原始ping數據包；獲取驗證值，在所述原始ping數據包的選項數據字段加入所述驗證值；對加入了所述驗證值的原始ping數據包進行編碼，得到ping回顯請求數據包；向外網發送所述ping回顯請求數據包；驗證來自外網的ping回顯應答數據包的選項數據字段是否包含有與所述驗證值匹配的值；當所述選項數據字段包含有與所述驗證值匹配的值時，對所述ping回顯應答數據包進行解碼；向內網發送解碼后的ping回顯應答數據包。2、根據權利要求l所述的保護網絡安全的方法，其特征在于，所述獲取驗證值，在所述原始ping數據包的選項數據字段加入驗證值的步驟包括獲取預先設定的固定值作為驗證值，在所述原始ping數據包的選項數據字段加入所述固定值；所述驗證來自外網的ping回顯應答數據包的選項數據字段是否包含有與所述驗證值匹配的值的步驟包括驗證來自外網的ping回顯應答數據包的選項數據字段是否含有所述固定值；回顯應答凄t據包進行解碼的步驟包括當所述選項數據字段含有所述固定值時，對所述ping回顯應答數據包進行解碼。3、根據權利要求l所述的保護網絡安全的方法，其特征在于，所述獲取驗證值，在所述原始ping數據包的選項數據字段加入驗證值的步驟包括根據所述原始ping數據包攜帶的特性數據以特定算法進行運算得到驗證值；在所述原始ping數據包的選項數據字段中加入所述驗證值；所述驗證來自外網的ping回顯應答數據包的選項數據字段是否包含有與所述驗證值匹配的值的步驟包括當來自外網的ping回顯應答數據包的選項數據字段含有所述驗證值時，利用所述特定算法根據ping回顯應答數據包攜帶的特性數據進行運算以驗證運算得到的值是否與所述驗證值相同；回顯應答數據包進行解碼的步驟包括當利用所述特定算法根據ping回顯應答數據包攜帶的特性數據進行運算得到的值與所述驗證值相同時，對所述ping回顯應答數據包進行解碼。4、根據權利要求l所述的保護網絡安全的方法，其特征在于，所述獲取驗證值，在所述原始ping數據包的選項數據字段加入驗證值的步驟包括根據預先設定的固定值和原始ping數據包攜帶的特性數據以特定算法進行運算得到驗證值；在所述原始ping數據包的選項數據字段中加入所述驗證值；所述驗證來自外網的ping回顯應答數據包的選項數據字段是否包含有與所述驗證值匹配的值的步驟包括當來自外網的ping回顯應答數據包的選項數據字段含有所述驗證值時，利用所述特定算法才艮據所述固定值和所述ping回顯應答數據包攜帶的特性l史據進行運算以驗證運算得到的值是否與所述驗證值相同；所述當所述選項數據字段包含有與所述驗證值匹配的值時，對所述ping回顯應答數據包進行解碼的步驟包括當利用所述特定算法根據所述固定值和所述ping回顯應答數據包攜帶的特性數據進行運算得到的值與所述馬&〖正值相同時，對所述ping回顯應答數據包進行解碼。5、根據權利要求l所述的保護網絡安全的方法，其特征在于，所述獲取驗證值，在所述原始ping數據包的選項數據字段加入驗證值的步驟包括根據預先設定的固定值和原始ping數據包攜帶的特性數據以特定算法進行運算得到第一驗證值；在所述原始ping數據包的選項數據字段中加入所述第一驗證值和所述固定值作為驗證值；所述驗證來自外網的ping回顯應答數據包的選項數據字段是否包含有與所述驗證值匹配的值的步驟包括當來自外網的ping回顯應答數據包的選項數據字段含有所述固定值且當所述選項數據字段含有所述第一驗證值時，利用所述特定算法根據所述固定值和所述ping回顯應答數據包攜帶的特性數據進行運算以驗證運算得到的值是否與所述第一驗證值相同；回顯應答數據包進行解碼的步驟包括當利用所述特定算法根據所述固定值和所述ping回顯應答數據包攜帶的特性數據進行運算得到的值與所述第一驗證值相同時，對所述ping回顯應答數據包進行解碼。6、根據權利要求2至5任一所述的保護網絡安全的方法，其特征在于，所述原始ping數據包是來自外網的原始ping回顯應答數據包或來自內網的原始ping回顯請求數據包。7、根據權利要求6所述的保護網絡安全的方法，其特征在于，所述特定算法是哈希算法。8、一種網絡安全保護設備，其特征在于，包括接收單元，用于接收原始ping數據包以及來自外網的ping回顯應答數據包；驗證設置單元，用于獲取驗證值，在所述接收單元接收的所述原始ping數據包的選項數據字段加入所述驗證值；驗證單元，用于驗證來自外網的ping回顯應答數據包的選項數據字段是否包含有與所述驗證值匹配的值；編解碼單元，用于對加入了所述驗證值的原始ping數據包進行編碼，得到ping回顯請求數據包，當所述騶、〖正單元驗證所述選項數據字段包含有與所述驗證值匹配的值時，對所述ping回顯應答數據包進行解碼；發送單元，用于向外網發送所述編解碼單元編碼得到的ping回顯請求數據包以及向內網發送所述編解碼單元解碼后的ping回顯應答數據包。9、根據權利要求8所述的網絡安全保護設備，其特征在于，所述接收單元包括原始接收單元，用于接收原始ping數據包；外網接收單元，用于接收來自外網的ping回顯應答數據包；所述驗證設置單元包括獲取單元，用于獲取-險證值；設置單元，用于在所述原始接收單元接收的原始ping數據包的選項數據字段加入驗證值；所述編解碼單元包括編碼單元，用于對所述設置單元加入了所述驗證值的原始ping數據包進行編碼，得到ping回顯請求數據包；解碼單元，用于當所述驗證單元驗證所述選項數據字段包含有與所述驗證值匹配的值時，對所述ping回顯應答數據包進4亍解碼；所述發送單元包括向外發送單元，用于向外網發送所述編碼單元編碼得到的ping回顯請求數據包；向內發送單元，用于向內網發送所述解碼單元解碼后的ping回顯應答數據包。10、根據權利要求9所述的網絡安全保護設備，其特征在于，所述獲取單元用于獲取預先設定的固定值作為驗證值；所述設置單元用于在所述原始接收單元接收的原始ping數據包的選項數據字段加入所述固定值；所述編碼單元用于對加入了所述固定值的原始ping數據包進行編碼，得到ping回顯請求數據包；答數據包的選項數據字段是否含與所述固定值相同的值；'口；所述解碼單元用于當所述驗證單元驗證所述選項數據字段含有與所述固定值相同的值時，對所述ping回顯應答數據包進行解碼。11、根據權利要求9所述的網絡安全保護設備，其特征在于，所述獲取單元用于根據所述原始接收單元接收的原始ping數據包攜帶的特性數據以特定算法進行運算得到驗證值；所述設置單元用于在所述原始接收單元接收的原始ping數據包的的選項數據字段中加入進行運算得到的所述驗證值；所述編碼單元用于對加入了進行運算得到的所述驗證值的原始ping數據包進行編碼，得到ping回顯請求數據包；所述驗證單元用于當所述外網接收單元接收的來自外網的ping回顯應答數據包的選項數據字段含有所述驗證值時，利用所述特定算法根據ping回顯應答數據包攜帶的特性數據進行運算以驗證運算得到的值是否與所述驗證值相同；所述解碼單元用于當所述驗證單元驗證利用所述特定算法根據ping回顯應答數據包攜帶的特性數據進行運算得到的值與所述驗證值相同時，對所述ping回顯應答數據包進4亍解碼。12、根據權利要求9所述的網絡安全保護設備，其特征在于，始ping數據包攜帶的特性數據以特定算法進行運算得到驗證值；所述設置單元用于在所述原始接收單元接收的原始ping數據包的選項數據字段中加入進行運算得到的所述驗證值；所述編碼單元用于對加入了進行運算得到的所述驗證值的原始ping數據包進行編碼，得到ping回顯請求數據包；數據包的選項數據字段含有所述驗證值時，利用所述特定算法根據所述固定值和所述ping回顯應答數據包攜帶的特性數據進行運算以驗證運算得到的值是否與所述驗證值相同；所述解碼單元用于當所述-驗證單元-險證利用所述特定算法#4居所述固定值和所述ping回顯應答數據包攜帶的特性數據進行運算得到的值與所述驗證值相同時，對所述ping回顯應^#據包進4亍解碼。13、根據權利要求9所述的網絡安全保護設備，其特征在于，所述獲取單元用于根據預先設定的固定值和原始ping數據包攜帶的特性數據以特定算法進行運算得到第一驗證值；所述設置單元用于在所述原始接收單元接收的原始ping數據包的選項數據字段中加入所述固定值和進行運算得到的所述第一驗證值作為驗證值；所述編碼單元用于對加入了所述驗證值的原始ping數據包進行編碼，得到ping回顯請求數據包；所述驗證單元用于當所述外網接收單元接收的來自外網的ping回顯應答驗證值時，利用所述特定算法根據所述固定值和所述ping回顯應答數據包攜帶的特性數據進行運算以驗證運算得到的值是否與所述第一驗證值相同；值和所述ping回顯應答數據包攜帶的特性數據進行運算得到的值與所述第一驗證值相同時，對所述ping回顯應答數據包進行解碼。14、根據權利要求10至13任一所述的網絡安全保護設備，其特征在于，所述原始ping數據包是來自外網的原始ping回顯應答數據包或來自內網的原始ping回顯請求數據包。15、根據權利要求14所述的網絡安全保護設備，其特征在于，所述特定算法是哈希算法。全文摘要本發明提供一種保護網絡安全的方法，方法主要包括接收原始ping數據包；獲取驗證值，在原始ping數據包的選項數據字段加入驗證值；對加入了驗證值的原始ping數據包進行編碼，得到ping回顯請求數據包；向外網發送ping回顯請求數據包；驗證來自外網的ping回顯應答數據包的選項數據字段是否包含有與驗證值匹配的值；當選項數據字段包含有與驗證值匹配的值時，對ping回顯應答數據包進行解碼；向內網發送解碼后的ping回顯應答數據包。采用該方法，能夠在單向或雙向的數據流環境下，利用選項數據字段的特性，不以占用網絡安全保護設備的內存的會話記錄方法而實現對ping數據包的監控，節約了網絡安全保護設備的內存。文檔編號H04L29/06GK101478546SQ20091000845公開日2009年7月8日申請日期2009年1月23日優先權日2009年1月23日發明者馬勺布申請人:成都市華為賽門鐵克科技有限公司