CN101534289A - 防火墙穿越方法、节点设备和系统 - Google Patents
防火墙穿越方法、节点设备和系统 Download PDFInfo
- Publication number
- CN101534289A CN101534289A CN200810085044A CN200810085044A CN101534289A CN 101534289 A CN101534289 A CN 101534289A CN 200810085044 A CN200810085044 A CN 200810085044A CN 200810085044 A CN200810085044 A CN 200810085044A CN 101534289 A CN101534289 A CN 101534289A
- Authority
- CN
- China
- Prior art keywords
- firewall
- information
- compartment wall
- fire compartment
- node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
本发明公开了防火墙穿越方法、节点设备和系统,属于通信领域。所述方法包括:带有防火墙的节点收到查询消息后,将本节点的防火墙信息记录在查询消息中,向下游方向转发查询消息;目的节点收到上游方向发送的查询消息后,根据查询消息中的防火墙信息确认路径上是否存在防火墙,向查询消息的发起节点返回路径上的防火墙整体信息,当路径上存在防火墙时,所述目的节点或发起节点发起防火墙穿越。所述节点设备包括:发送模块、接收模块和处理模块。所述系统包括:发起节点、中间节点和目的节点。本发明能够与现有基于NSIS的防火墙穿越机制无缝结合,避免使用其它不基于NSIS的防火墙发现机制所增加的额外信令开销,进而降低了网络时延。
Description
技术领域
本发明涉及通信领域,特别涉及一种防火墙穿越方法、节点设备和系统。
背景技术
随着网络技术和无线通信设备的迅速发展,人们迫切希望能够随时随地从Internet上获取信息。针对这种情况,现有技术提供了支持移动Internet的协议,即移动IP协议。移动IP协议是一种在Internet上提供移动功能的网络层方案,使节点在切换链路时不中断正在进行的通信。简单来说,移动IP在网络层提供了一种使移动节点(MN,Mobile Node)可以以一个永久的IP地址连接到任何链路上的路由机制,目的是将数据包路由到那些可能一直在快速地改变位置的移动节点上。
为了更好地支持移动节点的移动性,现有技术提供了一种移动IPv6机制,参见图1,当MN在家乡网络时,其工作方式如同位置固定的主机,移动IP不需要进行任何特别的操作。当MN离开家乡网络进入外地网络时,其工作原理如下:
(1)MN通过常规的IPv6无状态或有状态的自动配置机制,获得转交地址(CoA,Care-of-Address);
(2)MN获得CoA后,向家乡代理(HA,Home Agent)申请注册,即由MN向HA发送一个用于汇报CoA的绑定更新(BU,Binding Update)消息,为MN的家乡地址(HoA,Home Address)和CoA在HA上建立绑定;
这样,在MN移动后,对端通信节点(CN,Correspondent Node)发送到MN的数据包,将会被HA转发到MN新的转交地址上,这种路由方式称为双向隧道方式。
由于以双向隧道方式进行数据传递的时候,会带来额外的隧道开销以及三角路由问题,因此为了节省资源,在MIPv6中提出了Route Opitimazation(路由优化)方式进行数据传递。传递方式如下:
(1)MN和CN之间完成返回路径可达过程(RRP,Return Routability Procedure),主要过程是MN以其HoA向CN发送HoTI消息,并以其CoA向CN发送CoTI消息,CN分别向MN的HoA返回HoT消息,向MN的CoA返回CoT消息。RRP的目的是确认与CN进行后续BU/BA(Binding Acknowledge,绑定确认)过程的MN确实拥有其所声称的[HoA,CoA]地址对,并且进行密钥交互。
(2)MN向CN发送绑定更新消息(BU)建立绑定,CN向MN返回绑定确认消息(BA),该过程使用上一个步骤中交互的密钥进行保护。
这样MN设置分组数据的源地址为移动节点的当前CoA,家乡地址选项中是MN的HoA,就可以直接发送分组数据给CN,而无需HA中转。这种方式称为路由优化方式。
目前大量的防火墙是在IPv4网络占主流的情况下部署的,因此,防火墙对于IPv6的报文处理能力有限,至于移动IPv6的信令则更是无法识别,例如:MN移动到外地网络之后,通过隧道向HA发送的移动IP消息等需要再经ESP(Encapsulatiing Security Payload,封装安全载荷)封装,而现存网络中的防火墙会丢弃ESP封装的包,从而造成移动IP的消息无法到达。为此,需要在发送正常的数据包之前,利用信令对防火墙进行穿越,对防火墙的过滤规则做出合法修改,从而达到防火墙穿越的目的。
NSIS(Next Steps In Signaling,下一代信令)工作组提出了一种防火墙穿越方法。NSIS基本思想是把信令传输和信令应用分离开来,参见图2,NSIS协议体系将信令协议分为两层:NSLP(NSIS Signaling Layer Protocol,NSIS信令应用层协议)层和NTLP(NSIS Transport LayerProtocol,NSIS信令传输层协议)层。防火墙穿越将被实现在NSLP中。
其中,NTLP层的主要任务是把信令消息从NSIS发起方NI(NSIS Initiator)传输到NSIS响应方NR(NSIS Responder),如果终端系统本身不支持NSIS,可以通过代理(proxy)实现。其具体实现协议为GIST(General Internet Signaling Transport Protocol,通用消息层)协议。
GIST是一种软状态协议,即网络节点中的控制状态必须不断更新,否则将超时无效。GIST运行于标准的传输和控制协议之上,例如:UDP(User Datagram Protocol,用户报文协议)、TCP(Transmission Control Protocol,传输控制协议)、SCTP(Stream Control TransmissionProtocol,流控制传输协议)或DCCP(Datagram Congestion Control Protocol,报文拥塞控制协议)。
GIST的基本消息类型包括:
·与三次握手相关的消息GIST-Query、GIST-Response、GIST-Confirm消息;
·传输NSLP数据的GIST-Data消息;
·用于错误指示和保持消息关联的GIST-Error/GIST-MA-Hello消息。
NSLP层用于执行特定的信令应用功能,包括NSLP对等实体间交换消息的格式和处理规则,一个NSLP只能对应于一个特定的信令应用,NSLP信令消息通过NTLP传送。防火墙穿越由NAT/FW NSLP完成,主要是通过发送信令的方式,来配置路径上的NAT(NetworkAddress Translators,网络地址转换器)/FW(FireWall,防火墙)。当信令经过路径中支持NSIS的节点时,该节点的NAT/FW NSLP对信令作出反应,通过创建防火墙规则(例如:FW的pinhole和NAT的binding)来修改防火墙策略或配置NAT。
NAT/FW NSLP的消息类型包括:
·CREAT:主要用于数据流发端发起的NAT/FW穿越,路径上的中间节点在收到该消息后进入等待RESPONSE消息状态;
·EXTERNAL消息多用于私有网络内部节点通过预留方式穿越NAT。在由公有网络向私有网络发送数据时,发端节点无法得知私有网络地址,因此首先向边缘路由器发送EXTERNAL消息来预留公网地址;
·RESPONSE:用于报告一个操作的成功或者失败,或者与会话或者节点相关的一些信息;当收到表示成功的RESPONSE消息时,则在该节点上配置防火墙的相关策略;
·NOTIFY:NAT/FW节点使用的一个异步消息,用于向上行的NAT/FW节点,告警特定事件
参见图3,为现有技术中基于NSIS的防火墙穿越信令流程图,具体信令流程如下:
1)NI(NSIS Initiator,NSIS信令发起方)发起NSLP层的CREAT信令消息,在到达NTLP层时,先通过GIST-query、GIST-response、GIST-confirm消息与NF(NSIS Forward,NSIS信令转发)节点进行NTLP层的三次握手;
2)NTLP层将CREAT消息封装成GIST-data-CREAT格式发送到下一个NF节点,该节点将穿越策略缓存在本地;
3)这样逐跳的建立信令状态,NR(NSIS Responder,NSIS信令响应方)成功收到GIST-data-CREAT消息后,会发送一个RESPONSE消息,该RESPONSE消息被封装成GIST-data-RESPONSE格式;
4)路径上的NF节点在收到GIST-data-RESPONSE消息后,根据缓存的策略会配置本节点的防火墙策略,从而实现穿越流程。
穿越NAT/FW的前提是发现NAT/FW,针对NAT,已经有了STUN(Simple Traversal ofUDPThrough Network Address Translators,UDP简单穿越NAT)协议处理NAT发现的问题。但是针对防火墙,NSIS机制中定义了穿越防火墙的信令流程,但如何判断路径上是否存在防火墙,并且找到路径上存在哪些防火墙,以确定信令交互的对象,尚未有定义。
现有技术中有一种和NSIS无关的防火墙发现方法,该方法如下:
1)MN将一个ESP封装的包和一个UDP封装的包作为探测包,将此探测包发送给HA(称为FD消息),如果路径上存在防火墙,则ESP封装的包会被阻塞,而UDP封装的包则可以通过,如果路径上不存在防火墙,则两个探测报均可通过;
2)HA对接收到的探测包返回一个相应封装的应答IP包(称为FDr消息)。即,收到的探测包为ESP封装的包时,对应答IP包进行ESP封装;收到的探测包为UDP封装的包时,对应答IP包进行UDP封装;
3)MN根据HA所返回的应答IP包的封装类型判断路径上是否具有防火墙,如果该应答IP包为ESP封装格式时,则MN与HA间的路径上没有防火墙,如果该应答IP包为UDP封装格式时,则MN与HA间的路径上有防火墙。
在实现本发明的过程中,发明人发现现有防火墙发现方法至少存在以下问题:
1)利用了新的信令做防火墙发现,带来了额外的信令开销,会增加网络的时延。NSIS协议通过信令来配置防火墙的策略,本身已有较为复杂的流程,若利用该技术的方案,则增加了新的信令流程;
2)对于某些类型的防火墙(如状态防火墙)无效,具有实际应用的局限性;
3)该方案能够发现防火墙的前提是配置的防火墙策略允许UDP封装的包通过,这样会带来安全问题。
发明内容
本发明通过扩展NSIS发现防火墙并对防火墙进行穿越,提供了防火墙穿越方法、节点设备和系统,实现简单,节省了防火墙穿越的开销和降低了网络时延,能够降低现有防火墙穿越信令的复杂度。
所述技术方案如下:
一种防火墙穿越方法,所述方法包括:
带有防火墙的节点收到查询消息后,将本节点的防火墙信息记录在所述查询消息中,向下游方向转发所述查询消息;
目的节点收到上游方向发送的查询消息后,根据所述查询消息中的防火墙信息确认路径上是否存在防火墙;
所述目的节点根据确认的结果向所述查询消息的发起节点返回路径上的防火墙的整体信息;
当路径上存在防火墙时,所述目的节点或所述发起节点发起防火墙穿越。
一种节点设备,所述设备包括:
发送模块,用于向下游方向发送查询消息,所述查询消息携带有防火墙信息对象;
接收模块,用于接收目的节点返回的路径上的防火墙整体信息,所述防火墙的整体信息包括所述查询消息中的防火墙信息和发起防火墙的实体信息;
处理模块,用于根据所述接收模块接收的发起防火墙的实体信息判断是否需要进行防火墙穿越,如果是,根据所述防火墙信息发起防火墙穿越。
一种节点设备,所述设备带有防火墙,所述设备包括:
接收模块,用于接收查询消息;
信息记录模块,用于将本节点的防火墙信息记录在所述接收模块接收到的查询消息中;
发送模块,用于发送所述信息记录模块记录防火墙信息后的查询消息。
一种节点设备,所述设备包括:
接收模块,接收上游节点发送的查询消息;
防火墙发现模块,用于根据所述接收模块接收到的查询消息中的防火墙信息判断路径上是否存在防火墙;
处理模块,用于根据所述防火墙发现模块的判断结果向所述查询消息的发起节点返回路径上的防火墙的整体信息,所述防火墙的整体信息包括所述查询消息中的防火墙信息和发起防火墙的实体信息,当路径上存在防火墙时,且防火墙穿越的实体为自身时,发起防火墙穿越。
一种系统,所述系统包括:
发起节点,用于向下游方向发送查询消息;
中间节点,用于接收从上游方向来的查询消息,当本节点带有防火墙时,将本节点的防火墙信息记录在所述查询消息中,并发送所述查询消息;
目的节点,用于接收从上游方向来的查询消息,根据所述查询消息中的防火墙信息判断路径上是否存在防火墙,向所述发起节点返回路径上的防火墙的整体信息,所述防火墙的整体信息包括所述查询消息中的防火墙信息和发起防火墙的实体信息,当路径上存在防火墙时,发起防火墙穿越。
一种系统,所述系统包括:
发起节点,用于向下游方向发送查询消息;以及接收来自下游方向返回的路径上的防火墙的整体信息,所述防火墙的整体信息包括防火墙信息和发起防火墙的实体信息,根据发起防火墙的实体信息判断是否需要进行防火墙穿越,如果是,根据所述防火墙信息发起防火墙穿越;
中间节点,用于接收从上游方向来的查询消息,当本节点带有防火墙时,将本节点的防火墙信息记录在所述查询消息中,并发送所述查询消息;
目的节点,用于接收从上游方向来的查询消息,根据所述查询消息中的防火墙信息判断路径上是否存在防火墙,向所述发起节点返回路径上的防火墙的整体信息。
本实施例通过在查询消息中携带防火墙信息,能够发现路径上的防火墙,并进行防火墙穿越,能够与现有基于NSIS的防火墙穿越机制无缝结合,避免了使用其它不基于NSIS的防火墙发现机制所增加的额外信令开销,进而节省了开销,降低了网络时延。
附图说明
图1是现有技术提供的移动IPv6的组网结构示意图;
图2是现有技术中提供的NSIS协议体系结构示意图;
图3是现有技术中基于NSIS的防火墙穿越信令流程图;
图4是本发明实施例提供的防火墙穿越方法流程图;
图5是本发明实施例提供的防火墙信息对象的格式示意图;
图6是本发明实施例1提供的防火墙穿越信令流程图;
图7是本发明实施例2提供的防火墙穿越信令流程图;
图8是本发明实施例3提供的防火墙穿越信令流程图;
图9是本发明实施例4提供的节点设备示意图;
图10是本发明实施例5提供的节点设备示意图;
图11是本发明实施例6提供的节点设备示意图;
图12是本发明实施例7提供的系统示意图;
图13是本发明实施例8提供的系统示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
本发明实施例基于NSIS发现防火墙,并对防火墙进行穿越,具体包括:
带有防火墙的节点收到查询消息后,将本节点的防火墙信息记录在查询消息中,向下游方向转发该查询消息;
目的节点收到上游方向发送的查询消息后,根据查询消息中的防火墙信息确认路径上是否存在防火墙;
根据确认的结果向查询消息的发起节点返回路径上的防火墙的整体信息;
当路径上存在防火墙时,目的节点或发起节点发起防火墙穿越。
本发明实施例主要针对移动IPv6中的防火墙穿越,在利用NSIS穿越防火墙时,首先发送NTLP层的Query消息,同时通过扩展Query消息,使Query消息带有防火墙发现请求,当Query消息通过存在防火墙的NTLP节点时,该节点的NTLP状态机将防火墙信息添加到Query消息中,NTLP状态在路径上完全建立(路径上的防火墙信息都添加在Query消息中)后,根据Query消息中记录的路径上的防火墙信息,向发起节点返回路径上的防火墙信息,并且判断路径上是否存在防火墙,若不存在防火墙,NSIS信令终止,若存在防火墙,则根据路径上防火墙的特性,通告上层NAT/FW NSLP发起正向或者反向的防火墙穿越,此时下层NTLP状态不必重复建立。
以MN进行移动后,需要穿越和HA之间的防火墙为例,参见图4,该方法包含以下步骤:
步骤101:MN移动到一个新的外地网络后,获得CoA地址,MN将此移动事件报告给本节点上的NSIS模块,NSIS模块发送扩展后的Query消息,建立NTLP层的连接,用于防火墙的发现和穿越。
步骤102:该Query消息在到达沿途的中间节点(支持NSIS信令)时,在经过NTLP层消息的鉴权后,当前节点将防火墙信息构造为一个防火墙信息对象(FW Information Object)追加在Query消息后面继续转发,其中,防火墙信息对象用于记录路径中存在防火墙节点的标识信息。
参见图5,防火墙信息对象中含有如下字段:
1)NAT/FW的个数字段(Number),收到Query消息的节点将会把该字段的数值加1,用以指明路径上的NAT/FW个数;
2)保留字段(Reserved);
3)地址字段(Address),收到Query消息的节点将会把其防火墙的地址信息添加在该字段。
4)Cookie信息字段:为NAT/FW NSLP信令鉴权信息字段;
5)防火墙类型:描述防火墙的基本运行机制,例如包过滤防火墙、状态防火墙、应用程序代理防火墙;
6)防火墙方向,用于表示Query消息来源是在防火墙的内部或者外部,通过该字段可以获得哪个实体被防火墙保护;
步骤103:HA从收到的Query消息中提取携带的防火墙信息对象,并存储防火墙信息对象;
步骤104:HA在NTLP信令的三次握手完成后(收到GIST-Confirm),根据存储的防火墙信息对象,判断路径上是否存在防火墙,如果没有防火墙,执行步骤105;否则执行步骤106。
步骤105:向MN返回Firewall Detection Notification(防火墙检测通知)消息,该消息携带路径上的防火墙的整体信息,该防火墙的整体信息中通知MN路径上没有防火墙,不需要进行穿越。
步骤106:向MN发送Firewall Detection Notification消息,告知MN路径上的防火墙的整体信息,该防火墙的整体信息包括Query消息中携带的防火墙信息对象和由哪个实体(HA或者MN)发起防火墙穿越信息。本实施例中的Firewall Detection Notification消息中包括以下字段:
操作码(ActionCode),该值告知是否发起防火墙穿越过程,以及由那个实体发起穿越;
防火墙信息对象(FW Information Object),该字段含有路径上防火墙的信息,用于帮助防火墙穿越;
如果需要HA发起防火墙穿越,转步骤107;如果需要MN发起防火墙穿越,转步骤108;
步骤107:HA发起反向的防火墙穿越NSLP信令。
步骤108:MN发起正向的防火墙穿越NSLP信令。
其中,步骤107与步骤108中的防火墙穿越过程同现有技术图3中的NSIS的防火墙穿越信令的过程类似,这里不再详述。
本实施例通过扩展NTLP协议引进了防火墙的发现方法,该方法基于NSIS协议,没有引入新的防火墙发现机制,能够与现有基于NSIS的防火墙穿越机制无缝结合,避免了使用其它不基于NSIS的防火墙发现机制所增加的额外信令开销,具体体现参见如下实施例1、实施例2和实施例3。
实施例1
MN移动后,需要穿越和HA之间的防火墙,其中HA被防火墙保护。
在本实施例中,MN就是信令发起方NI,HA就是信令接收方NR。参见图6,该流程图是正向发现反向穿越防火墙的过程,具体信令流程如下:
1)信令发起方NI需要发起防火墙穿越信令时,首先发送NTLP层扩展的带有防火墙信息对象的GIST-query消息,通过三次握手的方式逐跳的在信令路径上建立NTLP信令状态;
2)路径上存在防火墙的节点NF收到GIST-query消息后,将本节点的地址记录到防火墙信息对象中;
3)当信令接收方NR收到GIST-Query消息后,检查到存在FW Information Object,并且需要由NR发起防火墙穿越流程,则在GIST的三次握手完成后,发送Firewall DetectionNotification通知给NI,告知NI路径上存在防火墙,并由NR反向发起上层NSLP的GIST-data-CREAT消息,通过已建立的NTLP状态传送NSLP信令,以达到配置路径上防火墙策略的目的。
实施例2
参见图7,为本发明实施例提供的防火墙穿越的信令流程图,在本实施例中,MN就是信令发起方NI,HA就是信令接收方NR。该流程图是正向发现正向穿越防火墙的过程,具体信令流程如下:
1)信令发起方NI需要发起防火墙穿越信令时,首先发送NTLP层扩展的带有防火墙信息对象的GIST-query消息,通过三次握手的方式逐跳的在信令路径上建立NTLP信令状态;
2)路径上存在防火墙的节点NF收到GIST-query消息后,将本节点的地址记录到防火墙信息对象中;
3)当信令接收方NR收到GIST-Query消息后,检查到存在FW Information Object,并且需要由NI发起防火墙穿越流程,则在GIST的三次握手完成后,发送Firewall Detection Notification通知给NI,告知NI路径上存在防火墙以及防火墙的信息,并由NI正向发起上层NSLP的GIST-data-CREAT消息,通过已建立的NTLP状态传送NSLP信令,以达到配置路径上防火墙策略的目的。
实施例3
参见图8,以MN向HA发送BU过程为例,其中MN和HA之间不存在防火墙,但MN并不知道防火墙是否存在。和前面的过程基本相似,差别在于HA在Firewall DetectionNotification消息的ActionCode中告知MN,路径上不存在防火墙,不需要进行防火墙穿越。
信令发起方MN收到HA发送的Firewall Detection Notification消息后,检查FirewallDetection Notification消息,如果路径上不存在防火墙,NSIS防火墙发现与穿越信令操作中止。
本实施例在NTLP层进行防火墙发现过程之后,若通信路径上不存在防火墙,则NSIS信令流程终止,避免了现有基于NSIS的防火墙穿越机制的信令浪费,进而节省了开销,降低了网络时延。
实施例4
参见图9,本实施例提供了一种节点设备,作为发起节点,该设备包括:
发送模块,用于向下游方向发送查询消息,该查询消息携带有防火墙信息对象;
接收模块,用于接收目的节点返回的路径上的防火墙整体信息,所述防火墙的整体信息包括查询消息中的防火墙信息和发起防火墙的实体信息;
处理模块,用于根据所述接收模块接收的发起防火墙的实体信息判断是否需要进行防火墙穿越,如果是,根据防火墙信息发起防火墙穿越。
本实施例通过发送查询消息,能够使路径上有防火墙的节点将防火墙信息记录在查询消息中,进而通知其它节点设备路径上的防火墙信息,该设备基于NSIS协议,没有引入新的防火墙发现机制,能够与现有基于NSIS的防火墙穿越机制无缝结合,避免了使用其它不基于NSIS的防火墙发现机制所增加的额外信令开销,降低了信令的复杂度和网络时延。
实施例5
参见图10,本实施例提供了一种节点设备,设备带有防火墙,具体包括:
接收模块,用于接收查询消息;
信息记录模块,用于将本节点的防火墙信息记录在接收模块接收到的查询消息中;
发送模块,用于发送所信息记录模块记录防火墙信息后的查询消息。
进一步地,接收模块接收到的查询消息为下一跳信令的信令传输层协议中的Query消息,携带有防火墙信息对象,相应地,信息记录模块具体用于将本节点的防火墙信息记录在Query消息携带的防火墙信息对象中。
本实施例通过在查询消息中记录防火墙信息,能够通知其它节点设备路径上是否存在防火墙,使其它节点在有防火墙时进行防火墙穿越,降低了信令的复杂度,进而节省了开销,降低了网络时延。
实施例6
参见图11,本发明实施例提供了一种节点设备,为目的节点设备,该设备包括:
接收模块,接收上游节点发送的查询消息;
防火墙发现模块,用于根据接收模块接收到的查询消息中的防火墙信息判断路径上是否存在防火墙;
处理模块,用于根据防火墙发现模块的判断结果向查询消息的发起节点返回路径上的防火墙的整体信息,其中,防火墙的整体信息包括所述查询消息中的防火墙信息和发起防火墙的实体信息,当路径上存在防火墙时,且防火墙穿越的实体为自身时,发起防火墙穿越。
本实施例通过检查查询消息判断路径上是否存在防火墙,根据判断的结果向发起节点返回防火墙信息,或在有防火墙时,发起防火墙穿越,降低了信令的复杂度,进而节省了开销,降低了网络时延。
实施例7
参见图12,本实施例提供了一种系统,该系统基于NSIS,用于正向发现防火墙方向穿越防火墙,具体包括:
发起节点,用于向下游方向发送查询消息;
中间节点,用于接收从上游方向来的查询消息,当本节点带有防火墙时,将本节点的防火墙信息记录在查询消息中,并发送查询消息;
目的节点,用于接收从上游方向来的查询消息,根据查询消息中的防火墙信息判断路径上是否存在防火墙,向发起节点返回路径上的防火墙的整体信息,其中,防火墙的整体信息包括所述查询消息中的防火墙信息和发起防火墙的实体信息;当路径上存在防火墙时,发起防火墙穿越。
本实施例通过扩展NTLP协议引进了防火墙的发现机制,该系统基于NSIS协议,没有引入新的防火墙发现机制,能够与现有基于NSIS的防火墙穿越机制无缝结合,避免了使用其它不基于NSIS的防火墙发现机制所增加的额外信令开销。
实施例8
参见图13,本实施例提供了一种系统,该系统基于NSIS,用于正向发现防火墙方向穿越防火墙,具体包括:
发起节点,用于向下游方向发送查询消息;以及接收来自下游方向返回的路径上的防火墙的整体信息,其中,防火墙的整体信息包括防火墙信息和发起防火墙的实体信息,根据发起防火墙的实体信息判断是否需要进行防火墙穿越,如果是,根据防火墙信息发起防火墙穿越;
中间节点,用于接收从上游方向来的查询消息,当本节点带有防火墙时,将本节点的防火墙信息记录在查询消息中,并发送查询消息;
目的节点,用于接收从上游方向来的查询消息,根据查询消息中的防火墙信息判断路径上是否存在防火墙,向发起节点返回路径上的防火墙信息,防火墙信息包括路径上的防火墙位置和发起防火墙的实体信息。
本实施例通过检查查询消息判断路径上是否存在防火墙,根据判断的结果向发起节点返回防火墙信息,或在有防火墙时,发起防火墙穿越,降低了信令的复杂度,进而节省了开销,降低了网络时延。
以上实施例提供的技术方案同样适用于SPF防火墙,能够有效地实现SPF防火墙的发现与穿越。
以上实施例提供的技术方案中的全部或部分内容可以通过软件编程实现,其软件程序存储在可读取的存储介质中,存储介质例如:计算机中的硬盘、光盘或软盘。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种防火墙穿越方法,其特征在于,所述方法包括:
带有防火墙的节点收到查询消息后,将本节点的防火墙信息记录在所述查询消息中,向下游方向转发所述查询消息;
目的节点收到上游方向发送的查询消息后,根据所述查询消息中的防火墙信息确认路径上是否存在防火墙;
所述目的节点根据确认的结果向所述查询消息的发起节点返回路径上的防火墙的整体信息;
当路径上存在防火墙时,所述目的节点或所述发起节点发起防火墙穿越。
2.如权利要求1所述的防火墙穿越方法,其特征在于,所述防火墙的整体信息包括所述查询消息中的防火墙信息和发起防火墙的实体信息,相应地,所述目的节点或所述发起节点发起防火墙穿越为:
根据所述发起防火墙的实体信息判断是否需要进行防火墙穿越,如果是,根据所述防火墙信息发起防火墙穿越。
3.如权利要求1或2所述的防火墙穿越方法,其特征在于,所述防火墙信息包括:
防火墙的个数信息、防火墙的地址信息、防火墙的类型信息和防火墙的方向信息。
4.如权利要求1所述的防火墙穿越方法,其特征在于,所述查询消息为下一代信令的信令传输层协议中的Query消息,携带有防火墙信息对象,相应地,所述将本节点的防火墙信息记录在所述查询消息中包括:
将本节点的防火墙信息记录在所述Query消息携带的防火墙信息对象中。
5.如权利要求4所述的防火墙穿越方法,其特征在于,所述根据所述防火墙信息发起防火墙穿越包括;
根据所述防火墙信息,使用所述下一代信令的信令传输层协议中的防火墙穿越机制传送信令应用层协议信令进行防火墙穿越。
6.一种节点设备,其特征在于,所述设备包括:
发送模块,用于向下游方向发送查询消息,所述查询消息携带有防火墙信息对象;
接收模块,用于接收目的节点返回的路径上的防火墙整体信息,所述防火墙的整体信息包括所述查询消息中的防火墙信息和发起防火墙的实体信息;
处理模块,用于根据所述接收模块接收的发起防火墙的实体信息判断是否需要进行防火墙穿越,如果是,根据所述防火墙信息发起防火墙穿越。
7.一种节点设备,所述设备带有防火墙,其特征在于,所述设备包括:
接收模块,用于接收查询消息;
信息记录模块,用于将本节点的防火墙信息记录在所述接收模块接收到的查询消息中;
发送模块,用于发送所述信息记录模块记录防火墙信息后的查询消息。
8.一种节点设备,其特征在于,所述设备包括:
接收模块,接收上游节点发送的查询消息;
防火墙发现模块,用于根据所述接收模块接收到的查询消息中的防火墙信息判断路径上是否存在防火墙;
处理模块,用于根据所述防火墙发现模块的判断结果向所述查询消息的发起节点返回路径上的防火墙的整体信息,所述防火墙的整体信息包括所述查询消息中的防火墙信息和发起防火墙的实体信息,当路径上存在防火墙时,且防火墙穿越的实体为自身时,发起防火墙穿越。
9.一种系统,其特征在于,所述系统包括:
发起节点,用于向下游方向发送查询消息;
中间节点,用于接收从上游方向来的查询消息,当本节点带有防火墙时,将本节点的防火墙信息记录在所述查询消息中,并发送所述查询消息;
目的节点,用于接收从上游方向来的查询消息,根据所述查询消息中的防火墙信息判断路径上是否存在防火墙,向所述发起节点返回路径上的防火墙的整体信息,所述防火墙的整体信息包括所述查询消息中的防火墙信息和发起防火墙的实体信息,当路径上存在防火墙时,发起防火墙穿越。
10.一种系统,其特征在于,所述系统包括:
发起节点,用于向下游方向发送查询消息;以及接收来自下游方向返回的路径上的防火墙的整体信息,所述防火墙的整体信息包括防火墙信息和发起防火墙的实体信息,根据发起防火墙的实体信息判断是否需要进行防火墙穿越,如果是,根据所述防火墙信息发起防火墙穿越;
中间节点,用于接收从上游方向来的查询消息,当本节点带有防火墙时,将本节点的防火墙信息记录在所述查询消息中,并发送所述查询消息;
目的节点,用于接收从上游方向来的查询消息,根据所述查询消息中的防火墙信息判断路径上是否存在防火墙,向所述发起节点返回路径上的防火墙的整体信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008100850443A CN101534289B (zh) | 2008-03-14 | 2008-03-14 | 防火墙穿越方法、节点设备和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008100850443A CN101534289B (zh) | 2008-03-14 | 2008-03-14 | 防火墙穿越方法、节点设备和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101534289A true CN101534289A (zh) | 2009-09-16 |
| CN101534289B CN101534289B (zh) | 2012-05-23 |
Family
ID=41104677
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008100850443A Active CN101534289B (zh) | 2008-03-14 | 2008-03-14 | 防火墙穿越方法、节点设备和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101534289B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101848235A (zh) * | 2010-04-16 | 2010-09-29 | 北京航空航天大学 | 一种支持nat穿越的实时多媒体数据p2p传输方案 |
| CN101873324A (zh) * | 2010-06-22 | 2010-10-27 | 北京神州泰岳软件股份有限公司 | 穿越防火墙的方法 |
| CN103634305A (zh) * | 2013-11-15 | 2014-03-12 | 北京奇虎科技有限公司 | 网站防火墙的识别方法及设备 |
| CN113992369A (zh) * | 2021-10-18 | 2022-01-28 | 北京天融信网络安全技术有限公司 | 一种网络安全设备拓扑管理方法及系统 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1200340C (zh) * | 2002-04-26 | 2005-05-04 | 联想(北京)有限公司 | 一种通过网络对防火墙设备进行安全管理的方法 |
| CN100414929C (zh) * | 2005-03-15 | 2008-08-27 | 华为技术有限公司 | 一种移动互联网协议网络中的报文传送方法 |
-
2008
- 2008-03-14 CN CN2008100850443A patent/CN101534289B/zh active Active
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101848235A (zh) * | 2010-04-16 | 2010-09-29 | 北京航空航天大学 | 一种支持nat穿越的实时多媒体数据p2p传输方案 |
| CN101848235B (zh) * | 2010-04-16 | 2012-10-17 | 北京航空航天大学 | 一种支持nat穿越的实时多媒体数据p2p传输方案 |
| CN101873324A (zh) * | 2010-06-22 | 2010-10-27 | 北京神州泰岳软件股份有限公司 | 穿越防火墙的方法 |
| CN101873324B (zh) * | 2010-06-22 | 2013-11-06 | 北京神州泰岳软件股份有限公司 | 穿越防火墙的方法 |
| CN103634305A (zh) * | 2013-11-15 | 2014-03-12 | 北京奇虎科技有限公司 | 网站防火墙的识别方法及设备 |
| CN113992369A (zh) * | 2021-10-18 | 2022-01-28 | 北京天融信网络安全技术有限公司 | 一种网络安全设备拓扑管理方法及系统 |
| CN113992369B (zh) * | 2021-10-18 | 2023-07-18 | 北京天融信网络安全技术有限公司 | 一种网络安全设备拓扑管理方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101534289B (zh) | 2012-05-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9271315B2 (en) | Data transmission method, system and related network device based on proxy mobile (PM) IPV6 | |
| JP4981164B2 (ja) | 通信システム及び通信ノード | |
| EP1139632B1 (en) | Method for packet communication with mobile node | |
| JP4896038B2 (ja) | ネットワークシステムにおける通信方法及びモバイル通信ノード並びにアクセスルータ | |
| KR100689500B1 (ko) | 이동 네트워크에서 피기배킹을 이용한 경로 최적화 시스템및 방법 | |
| US8279807B2 (en) | Communication control method, network node, and mobile terminal | |
| US7424295B2 (en) | Handover control apparatus, base station, edge router, relay router, radio terminal unit, mobile communication system, and handover control method | |
| US20100189103A1 (en) | Header Size Reduction of Data Packets | |
| EP1956755A1 (en) | Network controlled overhead reduction of data packets by route optimization procedure | |
| CN101507308A (zh) | 用于一隧道解决方案的ggsn代理 | |
| CN101448252A (zh) | 网络切换实现方法及系统以及移动节点 | |
| KR20050101693A (ko) | 이동 네트워크에서 손상된 라우팅 경로 복구 방법 | |
| JPWO2009057296A1 (ja) | 移動端末及びネットワークノード並びにパケット転送管理ノード | |
| KR101176391B1 (ko) | 네트워크 기반 이동성 관리에서 2 개의 노드들 사이에서 라우팅 최적화를 수행하는 방법 | |
| CN101534289B (zh) | 防火墙穿越方法、节点设备和系统 | |
| US20100046558A1 (en) | Header reduction of data packets by route optimization procedure | |
| JP2010502036A (ja) | 複数のアドレスを登録する際にアドレスを検証するための方法及び装置 | |
| JP2006005607A (ja) | ネットワークシステムおよび移動ルータ | |
| EP2020783A1 (en) | Mobile communication control system | |
| CN101123575B (zh) | 一种支持混合ip的多主机接入方法、系统及设备 | |
| US8195807B2 (en) | System and method for providing a distributed virtual mobility agent | |
| JP2007533279A (ja) | Ip移動ネットワーク等のルーティング方法及びシステム、対応するネットワーク及びコンピュータプログラムプロダクト | |
| US20110110306A1 (en) | Network system, mobile gateway, location management server, and communication control method of mobile node | |
| WO2008145035A1 (fr) | Entité de gestion de mobilité, système de communication et procédé de mise à jour de route ip mobile | |
| WO2008032373A1 (fr) | Appareil de passerelle d'accès, appareil de station de base, système de commande de communication et procédé de commande de communication associé |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |