CN100490438C - 防火墙包过滤动态开关h.323协议通信通道的方法 - Google Patents
防火墙包过滤动态开关h.323协议通信通道的方法 Download PDFInfo
- Publication number
- CN100490438C CN100490438C CNB021006954A CN02100695A CN100490438C CN 100490438 C CN100490438 C CN 100490438C CN B021006954 A CNB021006954 A CN B021006954A CN 02100695 A CN02100695 A CN 02100695A CN 100490438 C CN100490438 C CN 100490438C
- Authority
- CN
- China
- Prior art keywords
- execution
- packet
- port
- information
- search
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
一种防火墙包过滤动态开关H.323协议通信通道的方法,首先,在链路层或IP层进行对数据包进行预处理;然后,在链路层或IP层进行进行协议分析,并根据该协议分析的结果进行相应的数据包处理;具体包括在链路层动态开关H.323协议通信通道和在IP层动态开关H.323协议通信通道;本发明通过在网络链路层或IP层通过解析H.323协议通讯包,利用状态包过滤机制,实现防火墙动态地开放、关闭H.323协议通信通道,保证防火墙的运行安全,解决了传统防火墙包过滤技术无法动态开放和关闭H.323协议动态协商的端口的难题,可以让防火墙的使用具有更加透明的特点。
Description
技术领域:
本发明涉及一种防火墙包过滤动态开关H。323协议通信通道的方法,特别涉及一种应用于防火墙的包过滤中、并能动态开放或关闭H.323协议动态协商端口的方法。
背景技术:
H.323协议是一个国际电信联盟定义的协议族,是目前大部分视频会议使用的通信协议,该协议动态的协商所使用的端口,一个高安全性的防火墙必须能动态的开放它所使用的端口,通讯结束后能及时的关闭端口。但是,传统的防火墙包过滤技术无法动态地开放和关闭由H.323协议动态协商的端口;所以,如果要允许基于H.323协议的视频会议系统通讯信息通过防火墙就不得不开放1024以上的传输控制协议(Transfer ControlProtocol,简称TCP)、用户数据报协议(User Datagram Protocol,简称UDP)高端口。可这样一来,又会对防火墙的安全性产生很大的影响。为此我们需要一种动态解析H.323协议,并能动态开放、关闭H.323协议动态协商的端口的方法应用于防火墙的包过滤中。
在H.323多媒体通信系统中,控制信令和控制数据流的传送利用了面向连接的传输机制,将可靠的TCP用于H.245控制信道、T.120数据信道、H.225.0呼叫信令信道。视频和音频信息在采用实时传输协议(Real-timetransfer protocol,简称RTP协议)打包后,基于面向非连接的UDP来传输,传输时延较小。
参见图1,H.323的工作过程是这样的:首先,节点T1向节点T2的端口1720发起一个TCP连接。在这个连接上传送连接控制协议(其负责H.323协议呼叫的建立和中止,简称为Q.931)包;在Q.931中它们协商一个高于1024的端口号作为H.245控制信令(Control signaling)连接的端口号;其中,H.245控制信令通过交换点到点的控制消息来管理H.323端点的操作。当H.245连接成功以后,Q.931的连接将被关闭。H.245连接处理所有的调用参数协商,如编码方式等。一旦音频或视频编码和参数被协商,H.245执行开放逻辑通道(Open Logical Channel)序列,这个序列通过特殊的媒体流发送其发送者的实时控制协议(Real-time control protocol,简称RTCP)地址、端口号和接收者的RTP、RTCP地址及端口号,协商的RTP的端口号总是偶数,而RTCP的端口号总是在RTP的端口号上加1,为奇数。
H.323协议的特点如下:
1、H.323调用由一个以上不同的并发连接组成。至少两个TCP连接,一个以上个UDP连接。
2、呼叫可能从外部或内部发起;因此防火墙的网络地址传输(NetworkAddress Transmission,简称NAT)必须动态的支持H.323协议。
3、控制信息采用ASN.1编码,它的地址信息的位置不固定。同样的版本的应用连接到同样的目的地址可能会协商出不同的选项,导致地址信息的位置不固定。
发明内容:
本发明的主要的目在于提出一种防火墙包过滤动态开关H.323协议通信通道的方法,即在网络链路层或IP层通过解析H.323协议通讯包,利用状态包过滤机制,实现防火墙动态地开放、关闭H.323协议通信通道,保证防火墙的运行安全。
本发明的目的是这样实现的:
一种防火墙包过滤动态开关H.323协议通信通道的方法,它包括如下步骤:
步骤11:从防火墙接受数据包的缓冲区队列中取出数据包报文;
步骤12:检查状态表;
步骤13:如果状态表中已保存有该数据包报文中的H.245连接信息,则执行步骤21;否则,进行防火墙过滤规则的检查;
步骤14:如果该数据包符合该防火墙的过滤规则,则执行步骤21;
步骤15:丢弃该数据包;
步骤21:如果当前的数据包为TCP的1720端口的连接,则执行步骤22,否则执行步骤23;
步骤22:在链路层从Q.931报文中搜索H.245连接的端口号和地址信息,并将该信息写入状态表;执行步骤24;
步骤23:如果当前的数据包为TCP的H.245连接,则执行步骤24;否则执行步骤25;
步骤24:在链路层从H.245报文中搜索RTCP和RTP连接的端口号和地址信息,并将该信息写入状态表;
步骤25:链路层数据包转发;
或者包括如下步骤:
步骤11’:接收链路层发来的数据包;
步骤12’:去除该数据包中的头部;
步骤21’:如果当前的数据包为TCP的1720端口的连接,则执行步骤22’,否则执行步骤23’;
步骤22’:搜索H.245端口和地址信息,并将该信息写入伪装表;执行步骤24’;
步骤23’:如果当前的数据包为TCP的H.245连接,则执行步骤24’;否则执行步骤25’;
步骤24’:搜索RTP、RTCP的端口和地址信息,并将该信息写入伪装表;
步骤25’:IP层NAT处理。
所述的IP层NAT处理为:在IP层从Q.931报文和H.245报文中搜索端口号,并预分配伪装端口,同时将该伪装端口信息写入伪装表中。
本发明通过在网络链路层或IP层通过解析H.323协议通讯包,利用状态包过滤机制,实现防火墙动态地开放、关闭H.323协议通信通道,保证防火墙的运行安全,解决了传统防火墙包过滤技术无法动态开放和关闭H.323协议动态协商的端口的难题,可以让防火墙的使用具有更加透明的特点。
以下结合附图和具体的实施例对本发明做进一步的详细说明。
附图说明:
图1为H.323协议的工作原理流程示意图。
图2为本发明基于链路层开关H.323协议通信通道实施例的流程图。
图3为本发明基于IP层的开关H.323协议通信通道实施例的流程图。
具体实施方式:
参见图2,在链路层实现H.323协议的动态包过滤采用的是链路层的状态包过滤机制。当连接为TCP的1720端口时,则根据协议Q.931从该连接传输的数据中搜寻H.245连接的端口和地址信息,并将该端口和地址信息写入到状态表中;当下一次再发起H.245的连接时,由于状态表中已保存有该H.245连接的端口和地址信息的记录,该数据包则会被允许通过。当协议Q.931的处理步骤完成好,还要进一步在H.245的连接传输的数据中继续搜寻RTP和RTCP的端口和地址信息,并将该RTP和RTCP的端口和地址信息记录到状态表中。同样,当再次有发往上述地址和端口的数据包到来,该数据包就被直接允许通过。
具体的处理步骤是:
步骤11:从防火墙接受数据包的缓冲区队列中取出数据包报文;
步骤12:检查状态表;
步骤13:如果状态表中已保存有该数据包报文中的H.245连接信息,则执行步骤2;否则,进行防火墙过滤规则的检查;
步骤14:如果该数据包符合该防火墙的过滤规则,则执行步骤2;
步骤15:丢弃该数据包。
步骤21:如果当前的数据包为TCP的1720端口的连接,则执行步骤22,否则执行步骤23;
步骤22:在链路层从Q.931报文中搜索H.245连接的端口号和地址信息,并将该信息写入状态表;执行步骤24;
步骤23:如果当前的数据包为TCP的H.245连接,则执行步骤24;否则执行步骤25;
步骤24:在链路层从H.245报文中搜索RTCP和RTP连接的端口号和地址信息,并将该信息写入状态表;
步骤25:链路层数据包转发。
参见图3,在IP层NAT时对H.323协议的动态包过滤是在链路层H.323动态包过滤的基础上,在做地址转换的时候,采用与链路层一样方法搜寻地址和端口信息;并预先分配伪装端口并写入伪装表中。
具体的处理步骤为:
步骤11’:接收链路层发来的数据包;
步骤12’:去除该数据包中的头部;
步骤21’:如果当前的数据包为TCP的1720端口的连接,则执行步骤22’,否则执行步骤23’;
步骤22’:搜索H.245端口和地址信息,并将该信息写入伪装表;执行步骤24’;
步骤23’:如果当前的数据包为TCP的H.245连接,则执行步骤24’;否则执行步骤25’;
步骤24’:搜索RTP、RTCP的端口和地址信息,并将该信息写入伪装表;
步骤25’:IP层NAT处理。
本发明不仅解决了传统防火墙包过滤技术中无法动态开放和关闭H.323协议动态协商的端口的难题,提高了防火墙的安全性,并且由于是在链路层实现的,所以使防火墙的使用具有更加透明的特点。
最后所应说明的是:以上实施例仅用以说明而非限制本发明的技术方案,尽管参照上述实施例对本发明进行了详细说明,本领域的普通技术人员应当理解:依然可以对本发明进行修改或者等同替换,而不脱离本发明的精神和范围的任何修改或局部替换,其均应涵盖在本发明的权利要求范围当中。
Claims (2)
1、一种防火墙包过滤动态开关H.323协议通信通道的方法,其特征在于它包括如下步骤:
步骤11:从防火墙接受数据包的缓冲区队列中取出数据包报文;
步骤12:检查状态表;
步骤13:如果状态表中已保存有该数据包报文中的H.245连接信息,则执行步骤21;否则,进行防火墙过滤规则的检查;
步骤14:如果该数据包符合该防火墙的过滤规则,则执行步骤21;
步骤15:丢弃该数据包;
步骤21:如果当前的数据包为TCP的1720端口的连接,则执行步骤22,否则执行步骤23;
步骤22:在链路层从Q.931报文中搜索H.245连接的端口号和地址信息,并将该信息写入状态表;执行步骤24;
步骤23:如果当前的数据包为TCP的H.245连接,则执行步骤24;否则执行步骤25;
步骤24:在链路层从H.245报文中搜索RTCP和RTP连接的端口号和地址信息,并将该信息写入状态表;
步骤25:链路层数据包转发;
或者包括如下步骤:
步骤11’:接收链路层发来的数据包;
步骤12’:去除该数据包中的头部;
步骤21’:如果当前的数据包为TCP的1720端口的连接,则执行步骤22’,否则执行步骤23’;
步骤22’:搜索H.245端口和地址信息,并将该信息写入伪装表;执行步骤24’;
步骤23’:如果当前的数据包为TCP的H.245连接,则执行步骤24’;否则执行步骤25’;
步骤24’:搜索RTP、RTCP的端口和地址信息,并将该信息写入伪装表;
步骤25’:IP层NAT处理。
2、根据权利要求1所述的防火墙包过滤动态开关H.323协议通信通道的方法,其特征在于:所述的IP层NAT处理为:在IP层从Q.931报文和H.245报文中搜索端口号,并预分配伪装端口,同时将该伪装端口信息写入伪装表中。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNB021006954A CN100490438C (zh) | 2002-02-22 | 2002-02-22 | 防火墙包过滤动态开关h.323协议通信通道的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNB021006954A CN100490438C (zh) | 2002-02-22 | 2002-02-22 | 防火墙包过滤动态开关h.323协议通信通道的方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN1440172A CN1440172A (zh) | 2003-09-03 |
CN100490438C true CN100490438C (zh) | 2009-05-20 |
Family
ID=27792975
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNB021006954A Expired - Fee Related CN100490438C (zh) | 2002-02-22 | 2002-02-22 | 防火墙包过滤动态开关h.323协议通信通道的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN100490438C (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100568941B1 (ko) * | 2003-10-16 | 2006-04-07 | 학교법인 한양학원 | 동적 채널을 이용한 주문형 멀티미디어 데이터 서비스방법 및 장치 |
US7490235B2 (en) * | 2004-10-08 | 2009-02-10 | International Business Machines Corporation | Offline analysis of packets |
CN102136935B (zh) * | 2010-11-16 | 2014-06-11 | 华为技术有限公司 | 一种维护网口及其安全防护方法 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1187727A (zh) * | 1996-12-23 | 1998-07-15 | 国际商业机器公司 | 因特网防火墙上基于网的网间协议通道管理 |
-
2002
- 2002-02-22 CN CNB021006954A patent/CN100490438C/zh not_active Expired - Fee Related
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1187727A (zh) * | 1996-12-23 | 1998-07-15 | 国际商业机器公司 | 因特网防火墙上基于网的网间协议通道管理 |
Also Published As
Publication number | Publication date |
---|---|
CN1440172A (zh) | 2003-09-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP1693998B1 (en) | Method and system for a proxy-based network translation | |
US7835347B2 (en) | IP inter-working gateway in next generation network and method for implementing inter-working between IP domains | |
US7876674B2 (en) | Shared risk group handling within a media gateway | |
EP1724983B1 (en) | Method of providing a real-time communication connection | |
EP1687958B1 (en) | Method and system for filtering multimedia traffic based on ip address bindings | |
US20030091026A1 (en) | System and method for improving communication between a switched network and a packet network | |
CN100440850C (zh) | 多媒体业务网络地址转换穿越的方法及其系统 | |
US20150358252A1 (en) | Media stream management | |
CN101119270A (zh) | 网络边界处理方法 | |
US9294344B2 (en) | Shared risk group handling within a media gateway | |
US8089962B2 (en) | Method, system and apparatus for filtering packets | |
EP2037645B1 (en) | A media gateway and packet-filtering method thereof | |
CN105704137A (zh) | 一种VoIP中基于TCP传输语音的方法及系统 | |
CN100490438C (zh) | 防火墙包过滤动态开关h.323协议通信通道的方法 | |
US20080165782A1 (en) | Method for Data Interchange Between Network Elements | |
CN110636029B (zh) | 一种通信方法和通信装置 | |
CN100571189C (zh) | 在网络中实现设备间通讯的方法 | |
CN1783877B (zh) | 实时通讯数据流穿越网络地址转换设备和防火墙的方法 | |
CA2570188A1 (en) | Method, system and device for implementing interconnection between ip domains | |
CN1984029A (zh) | 一种媒体流穿越网络地址转换的方法 | |
EP2019555B1 (en) | Bridging enterprise advanced communication systems through the public Internet | |
Dongping et al. | Applying Application Level Gateways for Real-Time Service | |
CN109672692A (zh) | 一种VoIP通信网络中基于RTP的媒体数据加密方法 | |
CN1492680A (zh) | 网络可视电话跨网关解决方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
C17 | Cessation of patent right | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20090520 Termination date: 20100222 |