CN101160774A - 基于下一代网络业务的防火墙控制系统及方法 - Google Patents
基于下一代网络业务的防火墙控制系统及方法 Download PDFInfo
- Publication number
- CN101160774A CN101160774A CN200680012307.7A CN200680012307A CN101160774A CN 101160774 A CN101160774 A CN 101160774A CN 200680012307 A CN200680012307 A CN 200680012307A CN 101160774 A CN101160774 A CN 101160774A
- Authority
- CN
- China
- Prior art keywords
- media stream
- level
- firewall
- security
- business
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 49
- 238000001914 filtration Methods 0.000 claims abstract description 82
- 238000001514 detection method Methods 0.000 claims description 50
- 238000012545 processing Methods 0.000 claims description 19
- 230000011664 signaling Effects 0.000 claims description 15
- 238000004321 preservation Methods 0.000 claims description 6
- 238000005469 granulation Methods 0.000 abstract 1
- 230000003179 granulation Effects 0.000 abstract 1
- 230000003068 static effect Effects 0.000 description 11
- 238000007689 inspection Methods 0.000 description 7
- 238000005516 engineering process Methods 0.000 description 6
- 238000004891 communication Methods 0.000 description 4
- 230000009545 invasion Effects 0.000 description 4
- 230000008859 change Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 230000003044 adaptive effect Effects 0.000 description 2
- 239000000284 extract Substances 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000005856 abnormality Effects 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000004069 differentiation Effects 0.000 description 1
- 238000002224 dissection Methods 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000005012 migration Effects 0.000 description 1
- 238000013508 migration Methods 0.000 description 1
- 230000011218 segmentation Effects 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 238000007619 statistical method Methods 0.000 description 1
- 230000014599 transmission of virus Effects 0.000 description 1
- 230000007306 turnover Effects 0.000 description 1
- 238000011100 viral filtration Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
- H04L63/0218—Distributed architectures, e.g. distributed firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Measuring Or Testing Involving Enzymes Or Micro-Organisms (AREA)
Abstract
本发明提供了一种基于NGN业务的防火墙控制系统及方法。首先,业务控制设备中的应用层代理模块解析应用层信令,进行信令流的安全检测,确定业务媒体流的安全级别需求信息,并提供给策略决策功能实体;策略决策功能实体根据媒体流的安全级别需求信息以及保存的策略信息确定相应的媒体流的安全级别控制信息,并提供给网络边界设备;网络边界设备中的基于包过滤的防火墙功能模块根据媒体流的安全级别控制信息对流经的业务媒体流进行安全检测。本发明使得基于包过滤的防火墙可以执行NGN每用户每会话细粒度的安全分级处理,可根据用户需求和会话类型动态选择不同安全级别的包过滤工作方式进行媒体流的安全检测,防止网络攻击。
Description
基于下一代网络业务的防火墙控制系统及方法
技术领域
本发明涉及网絡通信技术领域, 更具体地说, 涉及一种基于下一代 网络(NGN )业务的防火墙控制系统及方法。 发明背景
NGN ( Next Generation Network, 下一代网络) 实现了业务层与传 送层分离, 传送层基于分组和光技术, 业务层提供丰富的多媒体业务。 由于 NGN网络为基于网际协议 ( IP )分组技术, 因此, 解决 NGN业务的 安全和服务质量问题将备 重视.。 而防火墙功能作为最重要的也是使用 最广泛的网络安全技术, 其在解决 NGN业务的安全问题上将会继续应 用。
目前防火墙产品主要分为两种: 包过滤类防火墙和代理类防火墙。 其中, 包过滤类防火墙工作在传输层, 代理类防火墙工作在应用层。
所述的包过滤防火墙又进一步包括以下四种工作方式:
( 1 )静态包过滤( Static Packet Filter ) 防火墙
静态包过滤防火墙实现了根据数据包头信息的静态包过滤。 静态包 过滤防火墙对所接收的每个数据包做允许拒绝的决定。 防火墙审查每个 数据包以便确定其是否与某一条包过滤规则匹配。 过滤规则基于可以提 供给 IP转发过程的包头信息。 包过滤主要检查包头中的下列内容: IP源 地址、 IP目标地址、协议类型(TCP包、 UDP包和 ICMP包)、 TCP或 UDP 包的目的端口、 TCP或 UDP包的源端口、 ICMP消息类型、 TCP包头的 ACK 位等。
静态包过滤防火墙的缺点是: 维护比较困难; 不能有效防止黑客的 欺骗攻击; 不支持应用层的过滤, 不能防范数据驱动型攻击; 无法对网 絡上流动的信息提供全面的控制。 因此, 静态包过滤的安全性较低。
( 2 )动态包过滤( Dynamic Packet Filter ) 防火墙
采用动态设置包过滤规则的方法, 避免了静态包过滤所具有的问 题。 动态包过滤只有在用户的请求下才打开端口, 并且在服务完毕之后 关闭端口, 这样可以降低受到与开放端口相关的攻击的可能性。 防火墙 可以动态地决定哪些数据包可以通过内部网络的链路和应用程序层服 务。 可以配置相应的访问策略, 只有在允许范围之内才自动打开端口, 当通信结束时关闭端口。
动态包过滤防火墙在两个方向上都最小化了暴露端口的数量, 给网 络提供更高的安全性。 对于许多应用程序协议而言, 例如媒体流, 动态 IP包过滤提供了处理动态分配端'口的最安全方法。
( 3 )全状态检测 ( Statefbl Inspection ) 防火墙
全状态检测防火墙在包过滤的同时, 检查数据包之间的关联性, 检 查数据包中动态变化的状态码。 它有一个监测引擎, 采用抽取有关数据 的方法对网络通信的各层实施监测, 抽取状态信息, 并动态地保存起来 作为以后执行安全策略的参考。 当用户访问请求到达网关的操作系统 前, 状态监视器要抽取有关数据进行分析, 结合网络配置和安全规定做 出接纳、 拒绝、 身份认证、 报警或给该通信加密等处理动作。
全状态检测防火墙保留状态连接表, 并将进出网络的数据当成一个 个的会话, 利用状态表跟踪每一个会话状态。 状态监测对每一个包的检 查不仅根据规则表, 更考虑了数据包是否符合会话所处的状态, 因此提 供了完整的对传输层的控制能力。 目前市场上的主流防火墙, 一般都是 全状态检测防火墙。 全状态检测的防火墙的安全性得到一定程度的提
高, 但是在对付 DDoS攻击、 实现应用层内容过滤, 病毒过滤方面的表 现也不尽人意。
( 4 )深度包检测 ( Deep Packet Inspection ) 防火墙
深度包检测技术融合入侵检测和攻击防范的功能, 它能深入检查信 息包流, 查出恶意行为, 可以根据特征检测和内容过滤, 来寻找已知的 攻击。 并理解什么是 "正常的,,通信, 同时阻止异常的访问。 深度包检测 引擎以基于指紋匹配、 启发式技术、 异常检测以及统计学分析等技术来 决定如何处理数据包。 深度包检测防火墙能有效阻止 DDoS攻击、 病毒 传播问题和高级应用入侵问题。
目前, 所述的代理防火墙技术也经历了应用层代理(Proxy )、 电路 层代理( Circuit Proxy )到自适应代理( Application Proxy ) 防火墙的演 变。
其中, 所述的应用层代理也被称为应用层网关 (Application Gateway ) 。 代理服务是运行在防火墙主机上的专门的应用程序或者服 务器程序。 应用层代理为一特 用服务提供代理, 它对应用协议进行 解析并解释应用协议的命令。
应用层代理防火墙的能够解释应用协议, 支持用户认证, 从而能对 应用层的数据进行更细粒度的控制。 缺点是效率低, 不能支持大规模的 并发连接, 只适用于单一协议。
在网络安全解决方案中,应用代理和包过滤类防火墙得到了广泛应 用。 应用代理和包过滤类防火墙可以并存, 分别从两个层面对网络中传 输的数据包进行过滤处理。
在目前 NGN安全解决方案中以及正在研究的资源和准入控制框架 中, 只有动态包过滤会接受来自会话控制代理的打开 /关闭请求, 即业务 控制代理功能(SCPF )通过资源和准入控制功能(RACF )控制 (边界
网关功能) BGF上的动态包过滤的打开和关闭, 类似于自适应代理防火 墙设备中代理与包过滤器之间的控制和互动。
然而, NGN传送层中静态包过滤、状态检测和深度包检测的设置由 管理员进行, 只能是按运营策略配置的粗粒度安全分级处理, 其存在对 NGN业务层(包括会话控制代理)是不可见的。 当一个防火墙同时提供 静态包过滤、 动态包过滤、 '·状态检测和深度包检测等不同安全级别的包 过滤功能时, 无法根据用户需求和会话类型动态选择和执行不同安全级 别的包过滤功能。 发明内容 鉴于上述现有技术所存在的问题, 本发明的主要目的是提供一种基 于 NGN业务的防火墙控制系统,使得基于包过滤的防火墙可以执行 NGN 每用户每会话细粒度的安全分级处理。
本发明的另一目的是提供一种基于 NGN业务的防火墙控制方法,使 得基于包过滤的防火墙可! ^执行 NGN每用户每会话细粒度的安全分级 处理。 '
本发明的目的是通过以下技术方案实现的:
本发明提供了一种基于 NGN业务的防火墙控制系统, 包括: 应用层代理模块: 包含基于应用代理的防火墙功能, 位于 NGN业务 控制设备中, 用于解析应用层信令, 进行信令流的安全检测, 确定业务 媒体流的安全级别需求信息, 并提供给策略决策功能实体;
策略决策功能实体: 根据业务媒体流的安全级别需求信息及保存的 策略信息确定业务媒体流的安全级别控制信息, 并提供给基于包过滤的 防火墙功能模块;
防火墙功能模块: 设置于网络边界设备中, 用于根据所述的媒体流
的安全级别控制信息对流经的业务媒体流进行安全检测。
所述的业务控制设备包括:
NGN的多媒体子系统 IMS中的代理呼叫会话控制功能实体 P-CSCF , 或者, NGN的软交换系统中的呼叫代理设备, 或者, NGN其他业务系统 中含有应用层代理功能的业务控制设备。
所述的策略决策功能实体设置于业务控制设备或网络边界设备中, 或者设置为独立的设备。
所述的防火墙功能模块具体包括:
包过滤方式选择模块: 用于根据策略决策功能实体提供的媒体流安 全级别控制信息确定针对业务媒体流进行安全检测的防火墙包过滤工 作方式, 并启用相应的包过滤处理模块中相应的基于包过滤的防火墙处 理功能;
包过滤处理模块: 包括设置的各种防火墙包过滤工作方式的防火墙 功能, 各种防火墙包过滤工作方式的防火墙功能在包过滤方式选择模块 的控制下启用, 并对相应的业务进行安全检测。
所述的包过滤处理模块所设置的防火墙包过滤工作方式包括: 动态 包过滤、 全状态检测、 深度包检测中的任意一种或者其中一种以上的任 意组合。
本发明提供了一种基于 NGN业务的防火墙控制方法, 包括:
A、 业务控制设备中的应用层代理模块解析应用层信令, 进行信令 流的安全检测, 确定业务媒体流的安全级别需求信息, 并提供给策略决 策功能实体;
B、 策略决策功能实体根据所述的媒体流的安全级别需求信息以及 保存的策略信息确定媒体流的安全级别控制信息, 并提供给网络边界设 备;
C、 网络边界设备中的防火墙功能模块根据所述的媒体流的安全级 别控制信息对流经的业务媒体流进行安全检测。
所述的步骤 A包括:
应用层代理模块对应用层信令进行解析 , 进行信令流的安全检测, 并根据应用属性或者用户属性确定业务媒体流的安全级别需求信息; 将所述的业务的媒体流标识信息和所述的媒体流的安全级别需求 信息一起提供给策略决策功能实体。
所述的步驟 A还包括: '.
将业务的媒体流标识信息和安全級别需求信息连同业务的服务质 量参数需求信息一同提供给策略决策功能实体。
所述的步骤 B包括:
策略决策功能实体根据所述的媒体流的安全级别需求信息以及保 存的策略信息将业务媒体流的安全级别需求信息映射为媒体流的安全 级别控制信息, 并提供给相应的网络边界设备。
所述的步骤 C包括:
网络边界设备中的防火墙功能模块根据所述的媒体流的安全级别 控制信息选择确定对流经的业务媒体流进行安全检测的防火墙包过滤 工作方式; '
根据选择确定的防火墙包过滤工作方式对流经的业务媒体流进行 安全检测。
所述的防火墙包过滤工作方式包括:
动态包过滤方式防火墙、全状态检测方式防火墙和 /或深度包检测方 式防火墙中的任意一种或者其中一种以上的任意组合。
由上述本发明提供的技术方案可以看出, 本发明通过业务层的会话 控制代理功能与传送层的基于包过滤的防火墙功能之间的协同工作 , 使
得基于包过滤的防火墙可以执行 NGN每用户每会话细粒度的安全分级 处理, 可根据用户需求和会话类型动态选择不同安全级别的包过滤工作 方式来防止资源盗用、 IP地址伪装、 拒绝服务和高级应用入侵等网络攻 击。
而且, 本发明中, 业务安全级别需求信息和网络安全级别控制信息 可以独立定义, 由策略决策功能依据策略规则进行映射, 实现了 NGN业 务层和传送层的分离特点。
另外, 本发明中, 应用代理防火墙功能和基于包过滤的防火墙功能 分别位于业务控制设备和网络边界设备上, 各自的技术演进和功能增强 独立进行, 不会互相影响, 只需修改策略决策功能上的策略规则即可协 同工作。 附图简要说明
图 1为才 居本发明实施例的防火墙动态控制系统的示范性结构示意 图;
图 2为根据本发明实施例的防火墙动态控制方法的实现示范性流程 示意图。 实施本发明的方式
为使本发明的目的、 技术方案和优点表达得更加清楚明白, 下面结 合附图及具体实施例对本发明再作进一步详细的说明。
在 NGN业务层体系架构中, 会话控制代理功能是一个必不可少的 部件, 如 IMS (多媒体业务子系统) 中的 P-CSCF (代理呼叫会话控制 功能), 本质上就是应用代理, 是多媒体会话业务的第一个接触点, 进 行用户认证、 应用协议解析和代理、 以及应用层的 NAPT (网絡地址和
端口转换器)。 在 NGN传送层体系架构中, 基于包过滤的防火墙功能是 必不可少的安全部件, 包括静态包过滤、 动态包过滤、 状态检测和深度 包检测功能, 通常部署在网络边缘, 保护网络内部部件不受攻击。
为此, 本发明提供了一种支持 NGN业务安全级别的防火墙动态控 制系统和方法。 通过业务层的会话控制代理功能与传送层的基于包过滤 的防火墙功能之间的协同工作 ,使得基于包过滤的防火墙可以执行 NGN 针对每个用户每个会话的细粒度的安全分级处理, 可根据用户需求和会 话类型动态选择不同安全级别的包过滤工作方式来防止资源盗用、 IP地 址伪装、 拒绝服务和高级应用入侵等网络攻击, 如选择动态包过滤、 状 态检测或深度包检测等包过滤工作方式。
本发明提供了一种支持 NGN业务安全级别的防火墙动态控制系统 和方法。 本发明所提供的系统和方法可以独立应用作为 NGN业务的安 全方案,也可以集成在 NGN的资源和准入控制框架中作为 NGN业务的 传送服务质量、 安全和 NAPT穿越的综合方案。
本发明所述的防火墙动态控制系统的示范性结构框图如图 1所示, 具体包括:
( 1 )应用层代理(Application Proxy )模块, 包含基于应用代理的 防火墙功能, 优选位于业务控制设备中 , 用于对应用层信令进行解析处 理, 进行信令流的安全检测, 确定业务媒体流的安全级别需求信息, 并 提供给策略决策功能实体;
所述的业务控制代理设备可以为: NGN IP多媒体子系统(IMS )中 的 P-CSCF (代理呼叫会话控制功能)设备, 或者 NGN软交换系统 ( Softswitch ) 中的 CallAgent (呼叫代理)设备, 或者, NGN其他业务 系统中含有应用层代理功能的业务控制设备。
( 2 )策略决策功能实体,用于将所述的业务媒体流的安全级别需求
信息映射为媒体流的安全级别控制信息, 并提供给网络边界设备中的基 于包过滤的防火墙功能模块;
策略决策功能实体可以是一个独立设备, 也可以是集成在业务控制 设备或网络边界设备中的一个功能模块。
( 3 )防火墙功能模块, 设置于网络边界设备中, 用于根据所述的媒 体流的安全级别控制信息对流经的业务媒体流进行基于包过滤的安全 检测, 该模块具体包括:
包过滤方式选择模块: 用于根据策略决策功能实体提供的媒体流的 安全级别控制信息确定针对业务媒体流进行安全检测的防火墙包过滤 工作方式, 并启用相应的包过滤处理模块中相应的基于包过滤的防火墙 处理功能;
包过滤处理模块: 包括设置的各种防火墙包过滤工作方式的防火墙 功能, 各种防火墙包过滤工作方式的防火墙功能在包过滤方式选择模块 的控制下启用 , 并对相应的业务媒体流进行安全检测。
所述的各种防火墙包过滤工作方式包括: Dynamic packet filter (动 态包过滤 )、 Stateful inspection (全状态检测 )和 Deep packet inspection (深度包检测) 防火墙功能, 等等。
基于上述防火墙动态控制系统, 本发明所述的方法的具体实现方式 如图 2所示, 具体包括:
步骤 21 : 业务控制设务执行应用层代理功能, 对应用层信令流进行 解析、 安全检测和代理, 即实现基于应用代理的防火墙技术。 基于应用 代理的防火墙功能包含于"应用层代理"功能模块中, 同时, 支持用户认 证, 用于对接入的用户进行安全检查, 及接入认证处理;
步骤 22: 业务控制设备根据应用属性或者用户属性确定本次应用业 务的媒体流安全级别, 并将该业务的媒体流标识信息和安全级别需求信
息提供给策略决策功能实体;
所述的应用属性或用户属性包括: 业务类型 (语音流可能比视频流 的安全要求高), 用户向运营商预定的安全要求(比如企业用户的安全 要求高), 等等, 相应的应用属性或用户属性信息可能保存在用户数据 库或业务数据库中, 也可能是配置在业务控制设备中的粗分类信息, 由 商业运营模式决定, 艮难标准化或专利保护;
根据需要还可以连同其它 QoS (服务质量)和优先级等需求信息一 同提供给策略决策功能实体;
步骤 23: 策略决策功能基于策略规则将所收到的该业务的媒体流的 安全级别需求信息映射为媒体流的安全级别控制信息;
所述的策略规则具体可以由运营商根据设备部署和商业运营模式确 定; '
步骤 24: 策略决策功能将该业务的媒体流标识信息和媒体流的安全 级别控制信息提供给网络边界设备, 以控制网络边界设备中的基于包过 滤的防火墙功能; 根据应用需要, 在策略决策功能实体上还可以连同其 它 QoS和 NAPT控制信息一同提供给网络边界设备;
步骤 25: 网络边界设备根据所收到的媒体流的安全级别控制信息选 择相应安全级别的防火墙包过滤工作方式,例如,可以选择动态包过滤、 状态检测或深度包检测等防火墙包过滤工作方式, 对该业务的媒体流执 行基于包过滤的防火墙功能, 以防止资源盗用、 IP地址伪装、 拒绝服务 和高级应用入侵等网络攻击。
综上所述, 本发明中通过业务层的会话控制代理功能与传送层的基 于包过滤的防火墙功能之间的协同工作 , 使得基于包过滤的防火墙可以 执行 NGN每用户每会话细粒度的安全分级处理, 可根据用户需求和会 话类型动态选择不同安全级別的防火墙包过滤工作方式来防止资源盗
用、 IP地址伪装、 拒绝服务和高级应用入侵等网络攻击。
以上所述, 仅为本发明较佳的具体实施方式, 但本发明的保护范围 并不局限于此, 任何熟悉本技术领域的技术人员在本发明揭露的技术范 围内, 可轻易想到的变化或替换, 都应涵盖在本发明的保护范围之内。 因此, 本发明的保护范围应该以权利要求的保护范围为准。
Claims (1)
- 权利要求书1、一种基于下一代网络 NGN业务的防火墙控制系统,其特征在于, 包括:应用层代理模块: 包含基于应用代理的防火墙功能, 位于 NGN业 务控制设备中, 用于解析应用层信令, 进行信令流的安全检测, 确定业 务媒体流的安全级别需求信息, 并提供给策略决策功能实体;策略决策功能实体: 根据业务媒体流的安全级别需求信息及保存的 策略信息确定业务媒体流的安全级别控制信息, 并提供给基于包过滤的 防火墙功能模块;防火墙功能模块: 设置于网络边界设备中, 用于根据所述的媒体流 的安全级别控制信息对流经的业务媒体流进行安全检测。2、 根据权利要求 1所述的基于 NGN业务的防火墙控制系统, 其特 征在于, 所述的业务控制设备包括:NGN 的多媒体子系统 IMS 中的代理呼叫会话控制功能实体 P-CSCF, 或者, NGN的软交换系统中的呼叫代理设备, 或者, NGN其 他业务系统中含有应用层代理功能的业务控制设备。3、 根据权利要求 1所述的基于 NGN业务的防火墙控制系统, 其特 征在于, 所述的策略决策功能实体设置于业务控制设备或网络边界设备 中, 或者设置为独立的设备。4、 根据权利要求 1、 2或 3所述的基于 NGN业务的防火墙控制系 统, 其特征在于, 所述的防火墙功能模块具体包括:包过滤方式选择模块: 用于根据策略决策功能实体提供的媒体流安 全级别控制信息确定针对业务媒体流进行安全检测的防火墙包过滤工 作方式, 并启用相应的包过滤处理模块中相应的基于包过滤的防火墙处 理功能;包过滤处理模块: 包括设置的各种防火墙包过滤工作方式的防火墙 功能, 各种防火墙包过滤工作方式的防火墙功能在包过滤方式选择模块 的控制下启用, 并对相应的业务进行安全检测。5、 根据权利要求 4所述的基于 NGN业务的防火墙控制系统, 其特 征在于, 所述的包过滤处理模块所设置的防火墙包过滤工作方式包括: 动态包过滤、 全状态检测、 深度包检测中的任意一种或者其中一种以上 的任意组合。6、 一种基于 NGN业务的防火墙控制方法, 其特征在于, 包括:A、 业务控制设备中的应用层代理模块解析应用层信令, 进行信令 流的安全检测, 确定业务媒体流的安全级别需求信息, 并提供给策略决 策功能实体;B、 策略决策功能实体根据所述的媒体流的安全级别需求信息以及 保存的策略信息确定媒体流的安全级别控制信息, 并提供给网络边界设 备;C、 网络边界设备中的防火墙功能模块根据所述的媒体流的安全级 别控制信息对流经的业务媒体流进行安全检测。7、 根据权利要求 6所述的基于 NGN业务的防火墙控制方法, 其特 征在于, 所述的步骤 A包括:应用层代理模块对应用层信令进行解析, 进行信令流的安全检测, 并根据应用属性或者用户属性确定业务媒体流的安全级别需求信息; 将所述的业务的: ¾某体流标识信息和所述的媒体流的安全级别需求信 息一起提供给策略决策功能实体。8、 根据权利要求 7所述的基于 NGN业务的防火墙控制方法, 其特 征在于, 所述的步骤 A还包括: 将业务的媒体流标识信息和安全级别需求信息连同业务的服务质量 参数需求信息一同提供给策略决策功能实体。9、 根据权利要求 6所述的基于 NGN业务的防火墙控制方法, 其特 征在于, 所述的步骤 B包括:策略决策功能实体根据所述的媒体流的安全级别需求信息以及保存 的策略信息将业务媒体流的安全级别需求信息映射为媒体流的安全级 别控制信息, 并提供给相应的网络边界设备。10、 根据权利要求 6至 9任一项所述的基于 NGN业务的防火墙控 制方法, 其特征在于, 所述的步骤 C包括:网络边界设备中的防火墙功能模块根据所述的媒体流的安全级别控 制信息选择确定对流经的业务媒体流进行安全检测的防火墙包过滤工 作方式;根据选择确定的防火墙包过滤工作方式对流经的业务媒体流进行安 全检测。11、 根据权利要求 10所述的基于 NGN业务的防火墙控制方法, 其 特征在于, 所述的防火墙包过滤工作方式包括:动态包过滤方式防火墙、 全状态检测方式防火墙、 深度包检测方式 防火墙中的任意一种或者其中一种以上的任意组合。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200510085721.8 | 2005-07-30 | ||
| CN200510085721.8A CN1905555B (zh) | 2005-07-30 | 2005-07-30 | 基于ngn业务的防火墙控制系统及方法 |
| PCT/CN2006/001141 WO2007014507A1 (en) | 2005-07-30 | 2006-05-29 | System and method for controling ngn service-based firewall |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101160774A true CN101160774A (zh) | 2008-04-09 |
| CN101160774B CN101160774B (zh) | 2010-09-29 |
Family
ID=37674681
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200510085721.8A Expired - Fee Related CN1905555B (zh) | 2005-07-30 | 2005-07-30 | 基于ngn业务的防火墙控制系统及方法 |
| CN200680012307.7A Expired - Fee Related CN101160774B (zh) | 2005-07-30 | 2006-05-29 | 基于下一代网络业务的防火墙控制系统及方法 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200510085721.8A Expired - Fee Related CN1905555B (zh) | 2005-07-30 | 2005-07-30 | 基于ngn业务的防火墙控制系统及方法 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US7987503B2 (zh) |
| EP (1) | EP1802023B1 (zh) |
| CN (2) | CN1905555B (zh) |
| AT (1) | ATE454781T1 (zh) |
| DE (1) | DE602006011569D1 (zh) |
| ES (1) | ES2355047T3 (zh) |
| WO (1) | WO2007014507A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8571047B2 (en) | 2008-11-07 | 2013-10-29 | Huawei Technologies Co., Ltd. | Method, media gateway and system for managing a filter rule |
| CN111585957A (zh) * | 2020-04-01 | 2020-08-25 | 新华三信息安全技术有限公司 | 报文处理方法、装置、网络设备及存储介质 |
Families Citing this family (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7739403B1 (en) | 2003-10-03 | 2010-06-15 | Juniper Networks, Inc. | Synchronizing state information between control units |
| GB0518578D0 (en) * | 2005-09-13 | 2005-10-19 | Qinetiq Ltd | Communications systems firewall |
| US8316429B2 (en) * | 2006-01-31 | 2012-11-20 | Blue Coat Systems, Inc. | Methods and systems for obtaining URL filtering information |
| US8166534B2 (en) * | 2007-05-18 | 2012-04-24 | Microsoft Corporation | Incorporating network connection security levels into firewall rules |
| WO2009030172A1 (fr) * | 2007-09-06 | 2009-03-12 | Huawei Technologies Co., Ltd. | Procédé et système pour contrôler un service de réseau |
| US8955088B2 (en) * | 2007-11-07 | 2015-02-10 | Futurewei Technologies, Inc. | Firewall control for public access networks |
| CN101459660A (zh) | 2007-12-13 | 2009-06-17 | 国际商业机器公司 | 用于集成多个威胁安全服务的方法及其设备 |
| US8266673B2 (en) | 2009-03-12 | 2012-09-11 | At&T Mobility Ii Llc | Policy-based privacy protection in converged communication networks |
| US8363549B1 (en) * | 2009-09-02 | 2013-01-29 | Juniper Networks, Inc. | Adaptively maintaining sequence numbers on high availability peers |
| CN102035847B (zh) * | 2010-12-14 | 2014-03-12 | 华为数字技术(成都)有限公司 | 用户访问行为处理方法、系统和客户端 |
| US8938795B2 (en) * | 2012-11-19 | 2015-01-20 | Owl Computing Technologies, Inc. | System for real-time cross-domain system packet filtering |
| CN104580168B (zh) * | 2014-12-22 | 2019-02-26 | 华为技术有限公司 | 一种攻击数据包的处理方法、装置及系统 |
| US9825909B2 (en) * | 2015-01-30 | 2017-11-21 | Aruba Networks, Inc. | Dynamic detection and application-based policy enforcement of proxy connections |
| US10587698B2 (en) * | 2015-02-25 | 2020-03-10 | Futurewei Technologies, Inc. | Service function registration mechanism and capability indexing |
| TW201724800A (zh) * | 2015-12-07 | 2017-07-01 | Nec Corp | 資料通信裝置、通信系統、資料中繼方法及程式 |
| US10432650B2 (en) | 2016-03-31 | 2019-10-01 | Stuart Staniford | System and method to protect a webserver against application exploits and attacks |
| US10284521B2 (en) * | 2016-08-17 | 2019-05-07 | Cisco Technology, Inc. | Automatic security list offload with exponential timeout |
| CN111224996A (zh) * | 2020-01-17 | 2020-06-02 | 国网福建省电力有限公司 | 一种防火墙集中辅助维护系统 |
| FR3114212B1 (fr) * | 2020-09-14 | 2023-02-10 | Mbda France | Procédé et pare-feu configurés pour contrôler des messages transitant entre deux éléments de communication. |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1192310C (zh) * | 1999-08-26 | 2005-03-09 | 网观科技(加拿大)有限公司 | 互联网络防火墙 |
| US6978383B2 (en) * | 2001-07-18 | 2005-12-20 | Crystal Voice Communications | Null-packet transmission from inside a firewall to open a communication window for an outside transmitter |
| CN1301607C (zh) * | 2002-02-01 | 2007-02-21 | 联想网御科技(北京)有限公司 | 实现支持虚拟局域网防火墙的方法 |
| US8166533B2 (en) * | 2002-08-17 | 2012-04-24 | Rockstar Bidco Lp | Method for providing media communication across firewalls |
| US7260840B2 (en) * | 2003-06-06 | 2007-08-21 | Microsoft Corporation | Multi-layer based method for implementing network firewalls |
| US7328451B2 (en) * | 2003-06-30 | 2008-02-05 | At&T Delaware Intellectual Property, Inc. | Network firewall policy configuration facilitation |
| CN1555170A (zh) * | 2003-12-23 | 2004-12-15 | 沈阳东软软件股份有限公司 | 流过滤防火墙 |
-
2005
- 2005-07-30 CN CN200510085721.8A patent/CN1905555B/zh not_active Expired - Fee Related
-
2006
- 2006-05-29 CN CN200680012307.7A patent/CN101160774B/zh not_active Expired - Fee Related
- 2006-05-29 EP EP06742029A patent/EP1802023B1/en not_active Not-in-force
- 2006-05-29 WO PCT/CN2006/001141 patent/WO2007014507A1/zh active Application Filing
- 2006-05-29 AT AT06742029T patent/ATE454781T1/de not_active IP Right Cessation
- 2006-05-29 DE DE602006011569T patent/DE602006011569D1/de active Active
- 2006-11-23 ES ES06842029T patent/ES2355047T3/es active Active
-
2007
- 2007-04-23 US US11/785,991 patent/US7987503B2/en not_active Expired - Fee Related
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8571047B2 (en) | 2008-11-07 | 2013-10-29 | Huawei Technologies Co., Ltd. | Method, media gateway and system for managing a filter rule |
| CN111585957A (zh) * | 2020-04-01 | 2020-08-25 | 新华三信息安全技术有限公司 | 报文处理方法、装置、网络设备及存储介质 |
| CN111585957B (zh) * | 2020-04-01 | 2023-03-28 | 新华三信息安全技术有限公司 | 报文处理方法、装置、网络设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP1802023A4 (en) | 2008-01-23 |
| WO2007014507A1 (en) | 2007-02-08 |
| CN1905555B (zh) | 2010-07-07 |
| EP1802023A1 (en) | 2007-06-27 |
| CN101160774B (zh) | 2010-09-29 |
| US7987503B2 (en) | 2011-07-26 |
| ES2355047T3 (es) | 2011-03-22 |
| US20070234414A1 (en) | 2007-10-04 |
| ATE454781T1 (de) | 2010-01-15 |
| CN1905555A (zh) | 2007-01-31 |
| EP1802023B1 (en) | 2010-01-06 |
| DE602006011569D1 (de) | 2010-02-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101160774A (zh) | 基于下一代网络业务的防火墙控制系统及方法 | |
| KR101111433B1 (ko) | 능동 네트워크 방어 시스템 및 방법 | |
| KR101107742B1 (ko) | 에스아이피(sip) 기반 서비스의 보호를 위한 sip 침입 탐지 및 대응 시스템 | |
| EP1790131B1 (en) | Methods of and systems for network traffic security | |
| US20060272018A1 (en) | Method and apparatus for detecting denial of service attacks | |
| CN100550912C (zh) | 对非法头域进行检测和过滤的系统和方法 | |
| US9531673B2 (en) | High availability security device | |
| US20060285493A1 (en) | Controlling access to a host processor in a session border controller | |
| CN103036733A (zh) | 非常规网络接入行为的监测系统及监测方法 | |
| Huang et al. | Countering denial-of-service attacks using congestion triggered packet sampling and filtering | |
| US20140331311A1 (en) | Security processing in active security devices | |
| Haggerty et al. | DiDDeM: a system for early detection of TCP SYN flood attacks | |
| Haggerty et al. | Early detection and prevention of denial-of-service attacks: a novel mechanism with propagated traced-back attack blocking | |
| US7929443B1 (en) | Session based resource allocation in a core or edge networking device | |
| JP4322179B2 (ja) | サービス拒絶攻撃防御方法およびシステム | |
| JP2006099590A (ja) | アクセス制御装置、アクセス制御方法およびアクセス制御プログラム | |
| Mao et al. | Current state and future development trend of firewall technology | |
| CN105827630A (zh) | 僵尸网络属性识别方法、防御方法及装置 | |
| Tahirou et al. | A Survey of the Security and DDoS Attacks in the Software Defined Network | |
| Alimi | Effective Multi-Layer Security for Campus Network | |
| Woodall | Firewall design principles | |
| García de la Villa | Distributed Denial of Service Attacks defenses and OpenFlow: Implementing denial-of-service defense mechanisms with software defined networking | |
| Choi et al. | Network Intrusion Detection & Response System | |
| WO2010013098A1 (en) | Data path debugging |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100929 |