CN101160774B - 基于下一代网络业务的防火墙控制系统及方法 - Google Patents
基于下一代网络业务的防火墙控制系统及方法 Download PDFInfo
- Publication number
- CN101160774B CN101160774B CN200680012307.7A CN200680012307A CN101160774B CN 101160774 B CN101160774 B CN 101160774B CN 200680012307 A CN200680012307 A CN 200680012307A CN 101160774 B CN101160774 B CN 101160774B
- Authority
- CN
- China
- Prior art keywords
- security
- level
- firewall
- media stream
- business
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims abstract description 52
- 238000001914 filtration Methods 0.000 claims abstract description 90
- 238000001514 detection method Methods 0.000 claims description 47
- 230000011664 signaling Effects 0.000 claims description 15
- 238000012545 processing Methods 0.000 claims description 7
- 238000004321 preservation Methods 0.000 claims description 6
- 238000005469 granulation Methods 0.000 abstract 1
- 230000003179 granulation Effects 0.000 abstract 1
- 230000003068 static effect Effects 0.000 description 11
- 239000003795 chemical substances by application Substances 0.000 description 8
- 238000005516 engineering process Methods 0.000 description 8
- 238000007689 inspection Methods 0.000 description 7
- 230000009545 invasion Effects 0.000 description 5
- 238000004891 communication Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 3
- 230000003044 adaptive effect Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 239000000284 extract Substances 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 230000005856 abnormality Effects 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 230000004069 differentiation Effects 0.000 description 1
- 238000002224 dissection Methods 0.000 description 1
- 239000012467 final product Substances 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000000047 product Substances 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 238000007619 statistical method Methods 0.000 description 1
- 238000011100 viral filtration Methods 0.000 description 1
- 230000003612 virological effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
- H04L63/0218—Distributed architectures, e.g. distributed firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Measuring Or Testing Involving Enzymes Or Micro-Organisms (AREA)
Abstract
本发明提供了一种基于NGN业务的防火墙控制系统及方法。首先,业务控制设备中的应用层代理模块解析应用层信令,进行信令流的安全检测,确定业务媒体流的安全级别需求信息,并提供给策略决策功能实体;策略决策功能实体根据媒体流的安全级别需求信息以及保存的策略信息确定相应的媒体流的安全级别控制信息,并提供给网络边界设备;网络边界设备中的基于包过滤的防火墙功能模块根据媒体流的安全级别控制信息对流经的业务媒体流进行安全检测。本发明使得基于包过滤的防火墙可以执行NGN每用户每会话细粒度的安全分级处理,可根据用户需求和会话类型动态选择不同安全级别的包过滤工作方式进行媒体流的安全检测,防止网络攻击。
Description
技术领域
本发明涉及网络通信技术领域,更具体地说,涉及一种基于下一代网络(NGN)业务的防火墙控制系统及方法。
发明背景
NGN(Next Generation Network,下一代网络)实现了业务层与传送层分离,传送层基于分组和光技术,业务层提供丰富的多媒体业务。由于NGN网络为基于网际协议(IP)分组技术,因此,解决NGN业务的安全和服务质量问题将备受重视。而防火墙功能作为最重要的也是使用最广泛的网络安全技术,其在解决NGN业务的安全问题上将会继续应用。
目前防火墙产品主要分为两种:包过滤类防火墙和代理类防火墙。其中,包过滤类防火墙工作在传输层,代理类防火墙工作在应用层。
所述的包过滤防火墙又进一步包括以下四种工作方式:
(1)静态包过滤(Static Packet Filter)防火墙
静态包过滤防火墙实现了根据数据包头信息的静态包过滤。静态包过滤防火墙对所接收的每个数据包做允许拒绝的决定。防火墙审查每个数据包以便确定其是否与某一条包过滤规则匹配。过滤规则基于可以提供给IP转发过程的包头信息。包过滤主要检查包头中的下列内容:IP源地址、IP目标地址、协议类型(TCP包、UDP包和ICMP包)、TCP或UDP包的目的端口、TCP或UDP包的源端口、ICMP消息类型、TCP包头的ACK位等。
静态包过滤防火墙的缺点是:维护比较困难;不能有效防止黑客的欺骗攻击;不支持应用层的过滤,不能防范数据驱动型攻击;无法对网络上流动的信息提供全面的控制。因此,静态包过滤的安全性较低。
(2)动态包过滤(Dynamic Packet Filter)防火墙
采用动态设置包过滤规则的方法,避免了静态包过滤所具有的问题。动态包过滤只有在用户的请求下才打开端口,并且在服务完毕之后关闭端口,这样可以降低受到与开放端口相关的攻击的可能性。防火墙可以动态地决定哪些数据包可以通过内部网络的链路和应用程序层服务。可以配置相应的访问策略,只有在允许范围之内才自动打开端口,当通信结束时关闭端口。
动态包过滤防火墙在两个方向上都最小化了暴露端口的数量,给网络提供更高的安全性。对于许多应用程序协议而言,例如媒体流,动态IP包过滤提供了处理动态分配端口的最安全方法。
(3)全状态检测(Stateful Inspection)防火墙
全状态检测防火墙在包过滤的同时,检查数据包之间的关联性,检查数据包中动态变化的状态码。它有一个监测引擎,采用抽取有关数据的方法对网络通信的各层实施监测,抽取状态信息,并动态地保存起来作为以后执行安全策略的参考。当用户访问请求到达网关的操作系统前,状态监视器要抽取有关数据进行分析,结合网络配置和安全规定做出接纳、拒绝、身份认证、报警或给该通信加密等处理动作。
全状态检测防火墙保留状态连接表,并将进出网络的数据当成一个个的会话,利用状态表跟踪每一个会话状态。状态监测对每一个包的检查不仅根据规则表,更考虑了数据包是否符合会话所处的状态,因此提供了完整的对传输层的控制能力。目前市场上的主流防火墙,一般都是全状态检测防火墙。全状态检测的防火墙的安全性得到一定程度的提高,但是在对付DDoS攻击、实现应用层内容过滤,病毒过滤方面的表现也不尽人意。
(4)深度包检测(Deep Packet Inspection)防火墙
深度包检测技术融合入侵检测和攻击防范的功能,它能深入检查信息包流,查出恶意行为,可以根据特征检测和内容过滤,来寻找已知的攻击。并理解什么是“正常的”通信,同时阻止异常的访问。深度包检测引擎以基于指纹匹配、启发式技术、异常检测以及统计学分析等技术来决定如何处理数据包。深度包检测防火墙能有效阻止DDoS攻击、病毒传播问题和高级应用入侵问题。
目前,所述的代理防火墙技术也经历了应用层代理(Proxy)、电路层代理(Circuit Proxy)到自适应代理(Application Proxy)防火墙的演变。
其中,所述的应用层代理也被称为应用层网关(ApplicationGateway)。代理服务是运行在防火墙主机上的专门的应用程序或者服务器程序。应用层代理为一特定应用服务提供代理,它对应用协议进行解析并解释应用协议的命令。
应用层代理防火墙的能够解释应用协议,支持用户认证,从而能对应用层的数据进行更细粒度的控制。缺点是效率低,不能支持大规模的并发连接,只适用于单一协议。
在网络安全解决方案中,应用代理和包过滤类防火墙得到了广泛应用。应用代理和包过滤类防火墙可以并存,分别从两个层面对网络中传输的数据包进行过滤处理。
在目前NGN安全解决方案中以及正在研究的资源和准入控制框架中,只有动态包过滤会接受来自会话控制代理的打开/关闭请求,即业务控制代理功能(SCPF)通过资源和准入控制功能(RACF)控制(边界网关功能)BGF上的动态包过滤的打开和关闭,类似于自适应代理防火墙设备中代理与包过滤器之间的控制和互动。
然而,NGN传送层中静态包过滤、状态检测和深度包检测的设置由管理员进行,只能是按运营策略配置的粗粒度安全分级处理,其存在对NGN业务层(包括会话控制代理)是不可见的。当一个防火墙同时提供静态包过滤、动态包过滤、状态检测和深度包检测等不同安全级别的包过滤功能时,无法根据用户需求和会话类型动态选择和执行不同安全级别的包过滤功能。
发明内容
鉴于上述现有技术所存在的问题,本发明的主要目的是提供一种基于NGN业务的防火墙控制系统,使得基于包过滤的防火墙可以执行NGN每用户每会话细粒度的安全分级处理。
本发明的另一目的是提供一种基于NGN业务的防火墙控制方法,使得基于包过滤的防火墙可以执行NGN每用户每会话细粒度的安全分级处理。
本发明的目的是通过以下技术方案实现的:
本发明提供了一种基于NGN业务的防火墙控制系统,包括:
应用层代理模块:包含基于应用代理的防火墙功能,位于NGN业务控制设备中,用于解析应用层信令流,对所述应用层信令流进行安全检测,根据应用属性或者用户属性确定业务媒体流的安全级别需求信息,并提供给策略决策功能实体;
策略决策功能实体:根据业务媒体流的安全级别需求信息及保存的策略信息确定业务媒体流的安全级别控制信息,并提供给基于包过滤的防火墙功能模块;
防火墙功能模块:设置于网络边界设备中,用于根据所述的媒体流的安全级别控制信息为流经的业务媒体流选择相应安全级别的防火墙包过滤工作方式,并启用相应的基于包过滤的防火墙功能对所述流经的业务媒体流进行安全检测,所述防火墙包过滤工作方式包括动态包过滤、全状态检测、深度包检测中的任意一种或者其中一种以上的任意组合。
所述的业务控制设备包括:
NGN的多媒体子系统IMS中的代理呼叫会话控制功能实体P-CSCF,或者,NGN的软交换系统中的呼叫代理设备,或者,NGN其他业务系统中含有应用层代理功能的业务控制设备。
所述的策略决策功能实体设置于业务控制设备或网络边界设备中,或者设置为独立的设备。
所述的防火墙功能模块具体包括:
包过滤方式选择模块:用于根据策略决策功能实体提供的媒体流安全级别控制信息确定针对业务媒体流进行安全检测的所述防火墙包过滤工作方式,并启用相应的包过滤处理模块中相应的基于包过滤的防火墙功能;
包过滤处理模块:包括设置的各种所述防火墙包过滤工作方式的防火墙功能,各种所述防火墙包过滤工作方式的防火墙功能在包过滤方式选择模块的控制下启用,并对相应的业务进行安全检测。
本发明提供了一种基于NGN业务的防火墙控制方法,包括:
A、业务控制设备中的应用层代理模块解析应用层信令流,对所述应用层信令流进行安全检测,根据应用属性或者用户属性确定业务媒体流的安全级别需求信息,并提供给策略决策功能实体;
B、策略决策功能实体根据所述的媒体流的安全级别需求信息以及保存的策略信息确定媒体流的安全级别控制信息,并提供给网络边界设备;
C、网络边界设备中的防火墙功能模块根据所述的媒体流的安全级别控制信息为流经的业务媒体流选择相应安全级别的防火墙包过滤工作方式,并启用相应的基于包过滤的防火墙功能对所述流经的业务媒体流进行安全检测,所述防火墙包过滤工作方式包括动态包过滤、全状态检测、深度包检测中的任意一种或者其中一种以上的任意组合。
所述的步骤A包括:
应用层代理模块对应用层信令进行解析,进行信令流的安全检测,并根据应用属性或者用户属性确定业务媒体流的安全级别需求信息;
将所述的业务的媒体流标识信息和所述的媒体流的安全级别需求信息一起提供给策略决策功能实体。
所述的步骤A还包括:
将业务的媒体流标识信息和安全级别需求信息连同业务的服务质量参数需求信息一同提供给策略决策功能实体。
所述的步骤B包括:
策略决策功能实体根据所述的媒体流的安全级别需求信息以及保存的策略信息将业务媒体流的安全级别需求信息映射为媒体流的安全级别控制信息,并提供给相应的网络边界设备。
所述的步骤C包括:
网络边界设备中的防火墙功能模块根据所述的媒体流的安全级别控制信息选择确定对流经的业务媒体流进行安全检测的所述防火墙包过滤工作方式;
根据选择确定的所述防火墙包过滤工作方式对流经的业务媒体流进行安全检测。
所述的防火墙包过滤工作方式包括:
动态包过滤方式防火墙、全状态检测方式防火墙和/或深度包检测方式防火墙中的任意一种或者其中一种以上的任意组合。
由上述本发明提供的技术方案可以看出,本发明通过业务层的会话控制代理功能与传送层的基于包过滤的防火墙功能之间的协同工作,使得基于包过滤的防火墙可以执行NGN每用户每会话细粒度的安全分级处理,可根据用户需求和会话类型动态选择不同安全级别的包过滤工作方式来防止资源盗用、IP地址伪装、拒绝服务和高级应用入侵等网络攻击。
而且,本发明中,业务安全级别需求信息和网络安全级别控制信息可以独立定义,由策略决策功能依据策略规则进行映射,实现了NGN业务层和传送层的分离特点。
另外,本发明中,应用代理防火墙功能和基于包过滤的防火墙功能分别位于业务控制设备和网络边界设备上,各自的技术演进和功能增强独立进行,不会互相影响,只需修改策略决策功能上的策略规则即可协同工作。
附图简要说明
图1为根据本发明实施例的防火墙动态控制系统的示范性结构示意图;
图2为根据本发明实施例的防火墙动态控制方法的实现示范性流程示意图。
实施本发明的方式
为使本发明的目的、技术方案和优点表达得更加清楚明白,下面结合附图及具体实施例对本发明再作进一步详细的说明。
在NGN业务层体系架构中,会话控制代理功能是一个必不可少的部件,如IMS(多媒体业务子系统)中的P-CSCF(代理呼叫会话控制功能),本质上就是应用代理,是多媒体会话业务的第一个接触点,进行用户认证、应用协议解析和代理、以及应用层的NAPT(网络地址和端口转换器)。在NGN传送层体系架构中,基于包过滤的防火墙功能是必不可少的安全部件,包括静态包过滤、动态包过滤、状态检测和深度包检测功能,通常部署在网络边缘,保护网络内部部件不受攻击。
为此,本发明提供了一种支持NGN业务安全级别的防火墙动态控制系统和方法。通过业务层的会话控制代理功能与传送层的基于包过滤的防火墙功能之间的协同工作,使得基于包过滤的防火墙可以执行NGN针对每个用户每个会话的细粒度的安全分级处理,可根据用户需求和会话类型动态选择不同安全级别的包过滤工作方式来防止资源盗用、IP地址伪装、拒绝服务和高级应用入侵等网络攻击,如选择动态包过滤、状态检测或深度包检测等包过滤工作方式。
本发明提供了一种支持NGN业务安全级别的防火墙动态控制系统和方法。本发明所提供的系统和方法可以独立应用作为NGN业务的安全方案,也可以集成在NGN的资源和准入控制框架中作为NGN业务的传送服务质量、安全和NAPT穿越的综合方案。
本发明所述的防火墙动态控制系统的示范性结构框图如图1所示,具体包括:
(1)应用层代理(Application Proxy)模块,包含基于应用代理的防火墙功能,优选位于业务控制设备中,用于对应用层信令进行解析处理,进行信令流的安全检测,确定业务媒体流的安全级别需求信息,并提供给策略决策功能实体;
所述的业务控制代理设备可以为:NGN IP多媒体子系统(IMS)中的P-CSCF(代理呼叫会话控制功能)设备,或者NGN软交换系统(Softswitch)中的CallAgent(呼叫代理)设备,或者,NGN其他业务系统中含有应用层代理功能的业务控制设备。
(2)策略决策功能实体,用于将所述的业务媒体流的安全级别需求信息映射为媒体流的安全级别控制信息,并提供给网络边界设备中的基于包过滤的防火墙功能模块;
策略决策功能实体可以是一个独立设备,也可以是集成在业务控制设备或网络边界设备中的一个功能模块。
(3)防火墙功能模块,设置于网络边界设备中,用于根据所述的媒体流的安全级别控制信息对流经的业务媒体流进行基于包过滤的安全检测,该模块具体包括:
包过滤方式选择模块:用于根据策略决策功能实体提供的媒体流的安全级别控制信息确定针对业务媒体流进行安全检测的防火墙包过滤工作方式,并启用相应的包过滤处理模块中相应的基于包过滤的防火墙处理功能;
包过滤处理模块:包括设置的各种防火墙包过滤工作方式的防火墙功能,各种防火墙包过滤工作方式的防火墙功能在包过滤方式选择模块的控制下启用,并对相应的业务媒体流进行安全检测。
所述的各种防火墙包过滤工作方式包括:Dynamic packet filter(动态包过滤)、Stateful inspection(全状态检测)和Deep packet inspection(深度包检测)防火墙功能,等等。
基于上述防火墙动态控制系统,本发明所述的方法的具体实现方式如图2所示,具体包括:
步骤21:业务控制设备执行应用层代理功能,对应用层信令流进行解析、安全检测和代理,即实现基于应用代理的防火墙技术。基于应用代理的防火墙功能包含于“应用层代理”功能模块中,同时,支持用户认证,用于对接入的用户进行安全检查,及接入认证处理;
步骤22:业务控制设备根据应用属性或者用户属性确定本次应用业务的媒体流安全级别,并将该业务的媒体流标识信息和安全级别需求信息提供给策略决策功能实体;
所述的应用属性或用户属性包括:业务类型(语音流可能比视频流的安全要求高),用户向运营商预定的安全要求(比如企业用户的安全要求高),等等,相应的应用属性或用户属性信息可能保存在用户数据库或业务数据库中,也可能是配置在业务控制设备中的粗分类信息,由商业运营模式决定,很难标准化或专利保护;
根据需要还可以连同其它QoS(服务质量)和优先级等需求信息一同提供给策略决策功能实体;
步骤23:策略决策功能基于策略规则将所收到的该业务的媒体流的安全级别需求信息映射为媒体流的安全级别控制信息;
所述的策略规则具体可以由运营商根据设备部署和商业运营模式确定;
步骤24:策略决策功能将该业务的媒体流标识信息和媒体流的安全级别控制信息提供给网络边界设备,以控制网络边界设备中的基于包过滤的防火墙功能;根据应用需要,在策略决策功能实体上还可以连同其它QoS和NAPT控制信息一同提供给网络边界设备;
步骤25:网络边界设备根据所收到的媒体流的安全级别控制信息选择相应安全级别的防火墙包过滤工作方式,例如,可以选择动态包过滤、状态检测或深度包检测等防火墙包过滤工作方式,对该业务的媒体流执行基于包过滤的防火墙功能,以防止资源盗用、IP地址伪装、拒绝服务和高级应用入侵等网络攻击。
综上所述,本发明中通过业务层的会话控制代理功能与传送层的基于包过滤的防火墙功能之间的协同工作,使得基于包过滤的防火墙可以执行NGN每用户每会话细粒度的安全分级处理,可根据用户需求和会话类型动态选择不同安全级别的防火墙包过滤工作方式来防止资源盗用、IP地址伪装、拒绝服务和高级应用入侵等网络攻击。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
Claims (9)
1.一种基于下一代网络NGN业务的防火墙控制系统,其特征在于,包括:
应用层代理模块:包含基于应用代理的防火墙功能,位于NGN业务控制设备中,用于解析应用层信令流,对所述应用层信令流进行安全检测,根据应用属性或者用户属性确定业务媒体流的安全级别需求信息,并提供给策略决策功能实体;
策略决策功能实体:根据业务媒体流的安全级别需求信息及保存的策略信息确定业务媒体流的安全级别控制信息,并提供给基于包过滤的防火墙功能模块;
防火墙功能模块:设置于网络边界设备中,用于根据所述的媒体流的安全级别控制信息为流经的业务媒体流选择相应安全级别的防火墙包过滤工作方式,并启用相应的基于包过滤的防火墙功能对所述流经的业务媒体流进行安全检测,所述防火墙包过滤工作方式包括动态包过滤、全状态检测、深度包检测中的任意一种或者其中一种以上的任意组合。
2.根据权利要求1所述的基于NGN业务的防火墙控制系统,其特征在于,所述的业务控制设备包括:
NGN的多媒体子系统IMS中的代理呼叫会话控制功能实体P-CSCF,或者,NGN的软交换系统中的呼叫代理设备,或者,NGN其他业务系统中含有应用层代理功能的业务控制设备。
3.根据权利要求1所述的基于NGN业务的防火墙控制系统,其特征在于,所述的策略决策功能实体设置于业务控制设备或网络边界设备中,或者设置为独立的设备。
4.根据权利要求1、2或3所述的基于NGN业务的防火墙控制系统,其特征在于,所述的防火墙功能模块具体包括:
包过滤方式选择模块:用于根据策略决策功能实体提供的媒体流安全级别控制信息确定针对业务媒体流进行安全检测的所述防火墙包过滤工作方式,并启用相应的包过滤处理模块中相应的基于包过滤的防火墙功能;
包过滤处理模块:包括设置的各种所述防火墙包过滤工作方式的防火墙功能,各种所述防火墙包过滤工作方式的防火墙功能在包过滤方式选择模块的控制下启用,并对相应的业务进行安全检测。
5.一种基于NGN业务的防火墙控制方法,其特征在于,包括:
A、业务控制设备中的应用层代理模块解析应用层信令流,对所述应用层信令流进行安全检测,根据应用属性或者用户属性确定业务媒体流的安全级别需求信息,并提供给策略决策功能实体;
B、策略决策功能实体根据所述的媒体流的安全级别需求信息以及保存的策略信息确定媒体流的安全级别控制信息,并提供给网络边界设备;
C、网络边界设备中的防火墙功能模块根据所述的媒体流的安全级别控制信息为流经的业务媒体流选择相应安全级别的防火墙包过滤工作方式,并启用相应的基于包过滤的防火墙功能对所述流经的业务媒体流进行安全检测,所述防火墙包过滤工作方式包括动态包过滤、全状态检测、深度包检测中的任意一种或者其中一种以上的任意组合。
6.根据权利要求5所述的基于NGN业务的防火墙控制方法,其特征在于,所述的步骤A包括:
应用层代理模块对应用层信令进行解析,对所述应用层信令流进行安全检测,并根据应用属性或者用户属性确定业务媒体流的安全级别需求信息;
将所述的业务的媒体流标识信息和所述的媒体流的安全级别需求信息一起提供给策略决策功能实体。
7.根据权利要求6所述的基于NGN业务的防火墙控制方法,其特征在于,所述的步骤A还包括:
将业务的媒体流标识信息和安全级别需求信息连同业务的服务质量参数需求信息一同提供给策略决策功能实体。
8.根据权利要求5所述的基于NGN业务的防火墙控制方法,其特征在于,所述的步骤B包括:
策略决策功能实体根据所述的媒体流的安全级别需求信息以及保存的策略信息将业务媒体流的安全级别需求信息映射为媒体流的安全级别控制信息,并提供给相应的网络边界设备。
9.根据权利要求5至8任一项所述的基于NGN业务的防火墙控制方法,其特征在于,所述的步骤C包括:
网络边界设备中的防火墙功能模块根据所述的媒体流的安全级别控制信息选择确定对流经的业务媒体流进行安全检测的所述防火墙包过滤工作方式;
根据选择确定的所述防火墙包过滤工作方式对流经的业务媒体流进行安全检测。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200510085721.8A CN1905555B (zh) | 2005-07-30 | 2005-07-30 | 基于ngn业务的防火墙控制系统及方法 |
| CN200510085721.8 | 2005-07-30 | ||
| PCT/CN2006/001141 WO2007014507A1 (en) | 2005-07-30 | 2006-05-29 | System and method for controling ngn service-based firewall |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101160774A CN101160774A (zh) | 2008-04-09 |
| CN101160774B true CN101160774B (zh) | 2010-09-29 |
Family
ID=37674681
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200510085721.8A Expired - Fee Related CN1905555B (zh) | 2005-07-30 | 2005-07-30 | 基于ngn业务的防火墙控制系统及方法 |
| CN200680012307.7A Expired - Fee Related CN101160774B (zh) | 2005-07-30 | 2006-05-29 | 基于下一代网络业务的防火墙控制系统及方法 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200510085721.8A Expired - Fee Related CN1905555B (zh) | 2005-07-30 | 2005-07-30 | 基于ngn业务的防火墙控制系统及方法 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US7987503B2 (zh) |
| EP (1) | EP1802023B1 (zh) |
| CN (2) | CN1905555B (zh) |
| AT (1) | ATE454781T1 (zh) |
| DE (1) | DE602006011569D1 (zh) |
| ES (1) | ES2355047T3 (zh) |
| WO (1) | WO2007014507A1 (zh) |
Families Citing this family (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7739403B1 (en) | 2003-10-03 | 2010-06-15 | Juniper Networks, Inc. | Synchronizing state information between control units |
| GB0518578D0 (en) * | 2005-09-13 | 2005-10-19 | Qinetiq Ltd | Communications systems firewall |
| US8316429B2 (en) * | 2006-01-31 | 2012-11-20 | Blue Coat Systems, Inc. | Methods and systems for obtaining URL filtering information |
| US8166534B2 (en) * | 2007-05-18 | 2012-04-24 | Microsoft Corporation | Incorporating network connection security levels into firewall rules |
| WO2009030172A1 (fr) * | 2007-09-06 | 2009-03-12 | Huawei Technologies Co., Ltd. | Procédé et système pour contrôler un service de réseau |
| US8955088B2 (en) * | 2007-11-07 | 2015-02-10 | Futurewei Technologies, Inc. | Firewall control for public access networks |
| CN101459660A (zh) | 2007-12-13 | 2009-06-17 | 国际商业机器公司 | 用于集成多个威胁安全服务的方法及其设备 |
| CN105897702B (zh) | 2008-11-07 | 2019-03-19 | 华为技术有限公司 | 一种媒体网关实现包过滤的方法及媒体网关 |
| US8266673B2 (en) * | 2009-03-12 | 2012-09-11 | At&T Mobility Ii Llc | Policy-based privacy protection in converged communication networks |
| US8363549B1 (en) * | 2009-09-02 | 2013-01-29 | Juniper Networks, Inc. | Adaptively maintaining sequence numbers on high availability peers |
| CN102035847B (zh) * | 2010-12-14 | 2014-03-12 | 华为数字技术(成都)有限公司 | 用户访问行为处理方法、系统和客户端 |
| US8938795B2 (en) * | 2012-11-19 | 2015-01-20 | Owl Computing Technologies, Inc. | System for real-time cross-domain system packet filtering |
| CN104580168B (zh) * | 2014-12-22 | 2019-02-26 | 华为技术有限公司 | 一种攻击数据包的处理方法、装置及系统 |
| US9825909B2 (en) * | 2015-01-30 | 2017-11-21 | Aruba Networks, Inc. | Dynamic detection and application-based policy enforcement of proxy connections |
| US10587698B2 (en) * | 2015-02-25 | 2020-03-10 | Futurewei Technologies, Inc. | Service function registration mechanism and capability indexing |
| TW201724800A (zh) * | 2015-12-07 | 2017-07-01 | Nec Corp | 資料通信裝置、通信系統、資料中繼方法及程式 |
| US10432650B2 (en) | 2016-03-31 | 2019-10-01 | Stuart Staniford | System and method to protect a webserver against application exploits and attacks |
| US10284521B2 (en) * | 2016-08-17 | 2019-05-07 | Cisco Technology, Inc. | Automatic security list offload with exponential timeout |
| CN111224996A (zh) * | 2020-01-17 | 2020-06-02 | 国网福建省电力有限公司 | 一种防火墙集中辅助维护系统 |
| CN111585957B (zh) * | 2020-04-01 | 2023-03-28 | 新华三信息安全技术有限公司 | 报文处理方法、装置、网络设备及存储介质 |
| FR3114212B1 (fr) * | 2020-09-14 | 2023-02-10 | Mbda France | Procédé et pare-feu configurés pour contrôler des messages transitant entre deux éléments de communication. |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1286430A (zh) * | 1999-08-26 | 2001-03-07 | 网观科技(加拿大)有限公司 | 互联网络防火墙 |
| CN1435969A (zh) * | 2002-02-01 | 2003-08-13 | 联想(北京)有限公司 | 实现支持虚拟局域网防火墙的方法 |
| CN1574792A (zh) * | 2003-06-06 | 2005-02-02 | 微软公司 | 用于执行网络防火墙的基于多层的方法 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6978383B2 (en) * | 2001-07-18 | 2005-12-20 | Crystal Voice Communications | Null-packet transmission from inside a firewall to open a communication window for an outside transmitter |
| US8166533B2 (en) * | 2002-08-17 | 2012-04-24 | Rockstar Bidco Lp | Method for providing media communication across firewalls |
| US7328451B2 (en) * | 2003-06-30 | 2008-02-05 | At&T Delaware Intellectual Property, Inc. | Network firewall policy configuration facilitation |
| CN1555170A (zh) * | 2003-12-23 | 2004-12-15 | 沈阳东软软件股份有限公司 | 流过滤防火墙 |
-
2005
- 2005-07-30 CN CN200510085721.8A patent/CN1905555B/zh not_active Expired - Fee Related
-
2006
- 2006-05-29 CN CN200680012307.7A patent/CN101160774B/zh not_active Expired - Fee Related
- 2006-05-29 WO PCT/CN2006/001141 patent/WO2007014507A1/zh active Application Filing
- 2006-05-29 AT AT06742029T patent/ATE454781T1/de not_active IP Right Cessation
- 2006-05-29 DE DE602006011569T patent/DE602006011569D1/de active Active
- 2006-05-29 EP EP06742029A patent/EP1802023B1/en not_active Ceased
- 2006-11-23 ES ES06842029T patent/ES2355047T3/es active Active
-
2007
- 2007-04-23 US US11/785,991 patent/US7987503B2/en not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1286430A (zh) * | 1999-08-26 | 2001-03-07 | 网观科技(加拿大)有限公司 | 互联网络防火墙 |
| CN1435969A (zh) * | 2002-02-01 | 2003-08-13 | 联想(北京)有限公司 | 实现支持虚拟局域网防火墙的方法 |
| CN1574792A (zh) * | 2003-06-06 | 2005-02-02 | 微软公司 | 用于执行网络防火墙的基于多层的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| US7987503B2 (en) | 2011-07-26 |
| EP1802023B1 (en) | 2010-01-06 |
| EP1802023A1 (en) | 2007-06-27 |
| ES2355047T3 (es) | 2011-03-22 |
| US20070234414A1 (en) | 2007-10-04 |
| CN101160774A (zh) | 2008-04-09 |
| CN1905555B (zh) | 2010-07-07 |
| WO2007014507A1 (en) | 2007-02-08 |
| ATE454781T1 (de) | 2010-01-15 |
| EP1802023A4 (en) | 2008-01-23 |
| DE602006011569D1 (de) | 2010-02-25 |
| CN1905555A (zh) | 2007-01-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101160774B (zh) | 基于下一代网络业务的防火墙控制系统及方法 | |
| EP1558937B1 (en) | Active network defense system and method | |
| US7764612B2 (en) | Controlling access to a host processor in a session border controller | |
| US6003084A (en) | Secure network proxy for connecting entities | |
| KR101107742B1 (ko) | 에스아이피(sip) 기반 서비스의 보호를 위한 sip 침입 탐지 및 대응 시스템 | |
| EP2213045B1 (en) | Security state aware firewall | |
| US8495726B2 (en) | Trust based application filtering | |
| US8904514B2 (en) | Implementing a host security service by delegating enforcement to a network device | |
| US20040187032A1 (en) | Method, data carrier, computer system and computer progamme for the identification and defence of attacks in server of network service providers and operators | |
| US20030065943A1 (en) | Method and apparatus for recognizing and reacting to denial of service attacks on a computerized network | |
| CN100550912C (zh) | 对非法头域进行检测和过滤的系统和方法 | |
| EA004423B1 (ru) | Система, устройство и способ быстрой фильтрации и обработки пакетов | |
| CN110881023A (zh) | 一种基于sdn/nfv提供网络区分安全服务的方法 | |
| JP2006331015A (ja) | サーバ装置保護システム | |
| KR101287588B1 (ko) | 에스아이피 기반 인터넷 전화 서비스의 보안 시스템 | |
| CN101714958A (zh) | 多功能综合安全网关系统 | |
| CN213693762U (zh) | 一种网络入侵防御系统 | |
| JP2006023934A (ja) | サービス拒絶攻撃防御方法およびシステム | |
| CN105827630A (zh) | 僵尸网络属性识别方法、防御方法及装置 | |
| Woodall | Firewall design principles | |
| McRae | High speed packet classification | |
| Alimi | Effective Multi-Layer Security for Campus Network | |
| Kiesel et al. | An operating system independent API for firewall control: design and implementation for Linux | |
| Reid et al. | Denial of Service in Voice Over IP Networks | |
| Mariani | Firewall strategies using network processors |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100929 |