CN103905413A - 一种核心网信令传输方法及系统 - Google Patents
一种核心网信令传输方法及系统 Download PDFInfo
- Publication number
- CN103905413A CN103905413A CN201210590349.6A CN201210590349A CN103905413A CN 103905413 A CN103905413 A CN 103905413A CN 201210590349 A CN201210590349 A CN 201210590349A CN 103905413 A CN103905413 A CN 103905413A
- Authority
- CN
- China
- Prior art keywords
- security
- access
- territory
- firewall device
- security domain
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种核心网信令传输方法及系统。其中该系统包括:接入侧设备、第一防火墙装置、第二防火墙装置、核心网内的接入代理服务器及核心网内的其他设备;其中,接入侧设备通过第一防火墙装置发送接入信令到核心网内的接入代理服务器;所述接入代理服务器通过第二防火墙装置与核心网内的其他设备交互信令。本发明的核心网信令传输方法及系统,通过引入双层防火墙,即在接入代理服务器与核心网其他设备之间增加一个防火墙,提高了核心网内部设备的安全性。
Description
技术领域
本发明涉及核心网技术领域,尤其涉及一种核心网信令传输方法及系统。
背景技术
目前业界IMS核心网络面向公网侧的安全是由CMNET防火墙和SBC实现。SBC相当于做了一次NAT转换(应用层防火墙)。SBC与核心网间通讯是靠IMS用户网络边缘设备(Customer Edge,CE)进行访问控制。
核心网内部各个网元间信令通讯也是依靠IMS CE进行疏通,如CSCF访问HSS或AS,通过在IMS CE上部署ACL实现访问控制。
由于CE属于路由器,只能实现单向会话控制,如果做双向控制会导致CE路由条目非常多,影响其路由性能。单向会话控制就会导致IMS核心网络受某些攻击的可能性(如盲攻,不需要收响应便发送大量数据包)。
另外IMS核心网络根据不同的业务功能和安全需求划分了许多安全域,不同域内的网元具有不同的安全等级,如果采用CE进行域间业务疏通是无法进行区分安全等级保护的,从而无法实现安全域间设备通讯的有效访问控制。
发明内容
为了解决现有技术中核心网内部设备之间访问安全性较低的技术问题,本发明提出一种核心网信令传输方法及系统。
本发明的一个方面,提供一种核心网信令传输方法,包括:接入侧设备通过第一防火墙装置发送接入信令到核心网内的接入代理服务器;所述接入代理服务器通过第二防火墙装置与所述核心网内的其他设备交互信令。
本发明的另一个方面,提供一种核心网信令传输系统,其特征在于,包括:接入侧设备、第一防火墙装置、第二防火墙装置、核心网内的接入代理服务器及核心网内的其他设备;其中,接入侧设备通过第一防火墙装置发送接入信令到核心网内的接入代理服务器;所述接入代理服务器通过第二防火墙装置与所述核心网内的其他设备交互信令。
本发明的核心网信令传输方法及系统,通过引入双层防火墙,即在接入代理服务器与核心网其他设备之间增加一个防火墙,提高了核心网内部设备的安全性。
另外,通过为核心网内不同设备划分不同安全等级的安全域,有效地在不同安全域之间通过核心网内部防火墙进行双向访问控制,进一步提高了核心网内部设备的安全性。
附图说明
图1是本发明各个接入点安全风险分析示意图;
图2是本发明安全域划分示意图;
图3是本发明核心网信令传输系统实施例的结构图;
图4是本发明核心网信令传输系统实施例的网络拓扑图;
图5是本发明AS业务的组网拓扑图。
具体实施方式
IMS系统是全IP的开放式系统,所以安全问题是IMS系统的首要问题,关系着最终商业应用能否成功。IMS网络严格意义上是运营商第一个运营的VOIP系统,网络安全因素涉及众多,必须有效防护、才能确保集团业务的稳定安全。
由于靠CE疏通IMS核心网元的信令业务无法实现双向访问控制和和根据不同安全域的等级区分保护等缺陷,我们在IMS核心网络中研究使用防火墙代替CE,来疏通IMS核心网不同安全域的网元间信令互访业务,从而实现IMS网元真正的信令双向会话访问控制,达到IMS应用层面精细化安全管控。
也就是说,在IMS核心网中面向CMNET侧引入双层异构防火墙架构:外侧仍沿用CMNET防火墙,内侧新增安全域防火墙、代替CE负责信令疏通,旨在对IMS不同安全域间的访问进行有效控制,做到真正的双向会话控制,根据承载业务等级进行区分对待。
首先,我们需要找到IMS核心网络可能有安全问题的接入点,并分析威胁:
如图1所示,不同接入点的安全风险由大到小,排列顺序如下:
CMnet接入点、AS接入点、MDCN接入点、MDN接入点、IPBB接入点。
下面就各个接入点的安全风险进行描述:
1、CMNet接入点Gm,可能遇到来自Internet的攻击,尤其是DoS。
2、AS(Portal)接入点ISC,由于部分AS有WEB Portal直接连CMNET或Internet,所以一旦AS被攻破,就会对IMS核心网造成威胁。
3、IPBB接入点,IPBB上连有企业专网,如果IPBB出现问题,造成企业专网和IMS专网连通,就会有安全隐患。
4、MDCN接入点,BOSS通过MDCN接到IMS。由于涉及开销户和计费,所以对安全要求很高。
5、MDN接入点,网管通过MDN网络连接IMS,由于涉及告警和性能数据上传,安全需求较高。
根据安全威胁,在核心网络侧部署防火墙,以杜绝这些安全风险。各个接入点对防火墙的部署要求如下:
(1)CMNet接入点Gm:双层异构防火墙加SBC,全部由IMS核心网负责建设。
(2)AS接入点ISC:双层异构防火墙。其中第1层由AS负责,第2层由IMS核心网负责。
(3)IPBB接入点:单层防火墙,由IMS核心网负责。
(4)MDCN接入点:单层防火墙,由IMS核心网负责。
(5)MDN接入点:单层防火墙,由IMS核心网负责。
考虑到成本因素,需要几个接入点共用防火墙:
一、IMS信令防火墙(即安全域防火墙):布署在IMS核心网,负责以下接入点:
(1)CMNET接入点,SBC和IMS核心网之间;
(2)AS接入点,AS和IMS核心网间;
(3)IPBB接入点,IPBB和IMS核心网之间。
二、MDCN/MDN防火墙,负责IMS核心网接入网管、计费网络:
(1)MDCN虚拟防火墙;
(2)MDN虚拟防火墙。
IMS网络按照主要承载的业务类型,可以分为以下几类:
1、控制信令:
包括用户外部信令(UE-SBC间信令)、Gm接口信令(SBC-P-CSCF间信令)、IMS Core信令(IP专网IMS域及CS域信令)和用户数据相关消息(CSCF&HSS与AS间及CSCF-HSS间消息)。
2、媒体:
包括外部媒体(用户到IMS核心网媒体)和内部媒体(IP专网IMS域及CS域媒体)。
3、网管。
4、计费&业务开通。
5、用户接入(http访问)。
上述业务在站点内部可通过LAN/VLAN及子网进行隔离。
在不同站点间可以通过IP专网IMS域信令/媒体VPN,及CS域信令/媒体VPN分别承载控制信令和内部媒体。通过MDN网络承载网管信息;MDCN网承载计费&业务开通数据;CMNET及用户接入专线承载用户外部信令/媒体及用户接入。
故根据不同的业务功能和安全需求,在IMS核心网内部划分了不同的安全域。安全域根据不同平面的划分结果如下:
一、IMS业务平面内部划分为IMS控制安全域、IMS媒体安全域、IMS内部AS安全域、HSS数据安全域、IMS网间互联安全域;
二、IMS管理维护平面内部划分为IMS网管安全域、IMS运营支撑安全域(计费及业务开通);
三、IMS用户平面分为用户/会话接入域
四、IMS承载平面划分为IMS网络承载域。
安全域的引入可以将IMS系统内的网元根据功能及访问信任程度进行区域的划分,多个安全域可以在同一站点部署,但需要做到业务隔离;单个安全域也可以分布在不同站点。
在IMS核心网内部,安全域的划分和边界防护将主要采用如下技术手段:
1、IMS的安全域划分针对不同的网元接口,如网管接口,业务接口(包括媒体和信令接口)。
2、IMS系统内部承载网的二层交换机上采用划分VLAN的方式来隔离不同网络安全域的不同数据流量。
3、IMS系统内部承载网的汇聚三层交换机采用部署ACL和路由策略来对不同安全域间IP地址间的访问进行控制。
4、对于重要区域(如SBC所在的DMZ区,HSS数据区)通过部署防火墙来实现不同平面间的物理边界隔离。
本发明核心网信令传输方法实施例包括:接入侧设备通过第一防火墙装置发送接入信令到核心网内的接入代理服务器(SBC);SBC通过第二防火墙装置与核心网内的其他设备如HSS、CSCF等交互信令。
优选地,该方法实施例还包括:将核心网内的设备划分到不同安全域;不同安全域的设备之间通过第二防火墙装置交互信令,同一安全域内的设备通过数据交换设备交互信令。
本实施例中,如图2所示,划分的安全域包括:控制安全域、媒体安全域、会话接入安全域、数据安全域、网间互联安全域、应用接入安全域和应用安全域。
具体地,如图2所示,第二防火墙装置对访问控制的策略如下:
(1)第二防火墙装置只允许控制安全域和应用安全域访问数据安全域,其它安全域的数据禁止访问数据安全域;
(2)第二防火墙装置只允许媒体安全域、应用安全域、数据安全域和网间互联安全域发送业务数据到控制安全域;
(3)第二防火墙装置只允许会话/应用接入安全域的源IP地址的为SBC/P-CSCF的数据接入控制安全域;
(4)第二防火墙装置只允许控制安全域中源IP地址为S-CSCF的数据、媒体安全域、应用安全域、数据安全域和网间互联安全域访问应用安全域;
(5)第二防火墙装置只允许会话/应用接入安全域的源IP地址的为WEBportral和WEB Proxy的数据访问应用安全域;
(6)第二防火墙装置只允许网间互联安全域与控制安全域进行数据交互;
(7)第二防火墙装置只允许媒体安全域接收控制安全域和网间互联安全域的数据;
(8)第二防火墙装置只允许会话接入安全域接收控制安全域的数据;
(9)第二防火墙装置只允许应用接入安全域接收应用安全域的数据。
基于同一发明构思,如图3所示,本发明还提供一种核心网信令传输系统实施例,包括:接入侧设备31、第一防火墙装置32、核心网内的接入代理服务器33、第二防火墙装置34及核心网内的其他设备,如HSS35、CSCF36等。
其中,接入侧设备通过第一防火墙装置发送接入信令到核心网内的接入代理服务器;接入代理服务器通过第二防火墙装置与核心网内的其他设备交互信令。
该系统实施例还包括:数据交换设备,将核心网内的设备划分到不同安全域。其中,不同安全域的设备之间通过第二防火墙装置交互信令,同一安全域内的设备通过数据交换设备交互信令。
本发明的核心网信令传输方法及系统,通过引入双层防火墙,即在接入代理服务器与核心网其他设备之间增加一个防火墙,提高了核心网内部设备的安全性。
另外,通过为核心网内不同设备划分不同安全等级的安全域,有效地在不同安全域之间通过核心网内部防火墙进行双向访问控制,进一步提高了核心网内部设备的安全性。
如图4所示,具体实现中,每个局址在IMS核心网与CMNET交界处部署了一套Juniper SRX3600防火墙,用于IMS用户从公网上的安全接入。即沿用现网CMNET防火墙做双层异构里的外侧防火墙。
由于SBC是用户访问IMS网络的唯一入口点,用户只能访问SBC、而看不到IMS核心网络的其他网元,即SBC涉及公网用户直接调用,故把SBC放在停火DMZ区,其他IMS核心网设备放在信任trust区。而trust区和DMZ区的隔离就是通过信令防火墙H3C F5000实现(即本发明新增的用于替代CE疏通IMS核心网信令业务的安全域防火墙,作为双层异构里的内侧防火墙)。
IMS核心网面向接入侧引入双层异构后,对于同属于trust区内的2个安全域的网元信令互访业务也需要通过内侧的安全域防火墙实施隔离。比如IMS core(I/S-CSCF)访问数据域(HSS)或应用域(AS),均需要通过H3CF5000防火墙进行域间访问保护。
防火墙过滤掉IMS媒体域,IMS数据域,IMS用户会话/应用接入域间的数据交互。另外禁止网管协议数据在信令控制接口区内各个安全域内的传输。
作为双层异构下的内侧安全域防火墙H3C F5000,在IMS核心网整个信令交互中处于非常重要的地位,几乎每一步的信令流程都会经过此FW,故H3C要实施严格的信令和媒体安全策略,以及流量控制策略,防止来自外界的攻击或非法访问对IMS核心网络及数据造成无法挽回的影响。以下是在H3C上需配置的策略:
一、信令接口(隔离控制域,数据域,接入域)域边界控制策略,将允许下列域间数据传送:
控制域和数据域:diameter协议(TCP/SCTP3868端口)
控制域和应用域:SIP(TCP/UDP5060,5061端口)
控制域和媒体域:SIP,H.248(UDP2944,2945),MGCP(UDP2427,2727)
应用域和数据域:Diameter(TCP/SCTP3868)
用户接入域与控制域:SIP(UDP5060,5061)
控制域内CSCF和MGCF:SIP(UDP5060,5061)
将过滤下列域间的数据流量:
用户接入域和非控制域的其他域的数据流量:全部过滤
应用域和媒体域:全部过滤
数据域和媒体域:全部过滤
Ping包中的Unreachable
过滤所有业务端口的网管业务数据(TCP21,22,23,TCP/UDP161..)。
二、媒体域边界控制策略,只允许下列域间数据传送:用户接入域和媒体域,开放rtp端口(UDP10000以上);
过滤所有业务端口的网管业务数据(TCP21,22,23,TCP/UDP161..)。
对于部署在外侧的Juniper SRX3600防火墙,由于是隔离SBC和CMNET,和大多数方案一样,信令域只允许目的地IP为SBC地址的流量通过,且只允许用户接入信令域SIP(TCP/UDP5060,5061)信令的访问;对于用户接入域和非控制域的其他安全域的数据流量,以及有业务端口的网管业务数据(TCP21,22,23,TCP/UDP161..)都将全部过滤。媒体域只允许用户接入域和媒体域的媒体通过(开放rtp端口,包括UDP10000以上端口,或5004和5005),过滤所有业务端口的网管业务数据。
不管是内侧安全域防火墙H3C F5000,还是外侧CMNET防火墙JuniperSRX3600,都需要启用流量控制策略,防止TCP flood大流量攻击(如TCPSYN攻击)、UDP flood和ping flood攻击。但对于SIP/RTP flood,防火墙不能识别,只能作为UDP flood去防范。
除此以外,双层异构防火墙上还启用如下策略:
1)建立白名单,对已知用户地址段不做数据包过滤,对其它未知地址做flood流量限制。
2)带宽限制,给UDP(语音及AS)流量预留一定带宽。
3)http sql注入和DDOS攻击通过在防火墙上限制端口解决。
如图5所示,对于AS业务平台(涉及internet业务能力调用)的双层异构防火墙,和业界的设置方法是一样,外网可以复用SBC的CMNET防火墙,内网新建一对FW用于AS平台DMZ和trust两个区域里的设备互相调用通讯。DMZ区里的设备负责接收客户业务的鉴权请求、访问请求等。核心区的设备负责执行具体业务逻辑。AS防火墙和网管/计费防火墙在业界已有先例,这里就不再详细叙述。
在IMS核心网络引入双层异构防火墙架构后,可以实现真正的双向会话访问控制,并且可以根据IMS核心网不同安全域的承载业务特性制定安全等级,由安全等级展开域间网元访问的有效策略管控,做到真正的业务层面安全控制,保障集团客户业务的安全可靠运行。
应说明的是:以上实施例仅用以说明本发明而非限制,本发明也并不仅限于上述举例,一切不脱离本发明的精神和范围的技术方案及其改进,其均应涵盖在本发明的权利要求范围中。
Claims (7)
1.一种核心网信令传输方法,其特征在于,包括:
接入侧设备通过第一防火墙装置发送接入信令到核心网内的接入代理服务器;
所述接入代理服务器通过第二防火墙装置与所述核心网内的其他设备交互信令。
2.根据权利要求1所述的方法,其特征在于,还包括:
将所述核心网内的设备划分到不同安全域;
不同安全域的设备之间通过所述第二防火墙装置交互信令,同一安全域内的设备通过数据交换设备交互信令。
3.根据权利要求2所述的方法,其特征在于,将所述核心网内的设备划分到不同安全等级的安全域包括:
将所述核心网内的设备划分为控制安全域、媒体安全域、会话接入安全域、数据安全域、网间互联安全域、应用接入安全域和应用安全域。
4.根据权利要求3所述的方法,其特征在于,不同安全域的设备之间通过所述第二防火墙装置交互信令包括:
所述第二防火墙装置只允许控制安全域和应用安全域访问数据安全域,其它安全域的数据禁止访问数据安全域;
所述第二防火墙装置只允许媒体安全域、应用安全域、数据安全域和网间互联安全域发送业务数据到所述控制安全域;
所述第二防火墙装置只允许会话/应用接入安全域的源IP地址的为SBC/P-CSCF的数据接入控制安全域;
所述第二防火墙装置只允许控制安全域中源IP地址为S-CSCF的数据、媒体安全域、应用安全域、数据安全域和网间互联安全域访问应用安全域;
所述第二防火墙装置只允许会话/应用接入安全域的源IP地址的为WEBportral和WEB Proxy的数据访问应用安全域;
所述第二防火墙装置只允许网间互联安全域与控制安全域进行数据交互;
所述第二防火墙装置只允许媒体安全域接收控制安全域和网间互联安全域的数据;
所述第二防火墙装置只允许会话接入安全域接收控制安全域的数据;
所述第二防火墙装置只允许应用接入安全域接收应用安全域的数据。
5.一种核心网信令传输系统,其特征在于,包括:接入侧设备、第一防火墙装置、第二防火墙装置、核心网内的接入代理服务器及核心网内的其他设备;
其中,接入侧设备通过第一防火墙装置发送接入信令到核心网内的接入代理服务器;所述接入代理服务器通过第二防火墙装置与所述核心网内的其他设备交互信令。
6.根据权利要求5所述的系统,其特征在于,还包括:数据交换设备;
将所述核心网内的设备划分到不同安全域;
其中,不同安全域的设备之间通过所述第二防火墙装置交互信令,同一安全域内的设备通过数据交换设备交互信令。
7.根据权利要求5所述的系统,其特征在于,核心网内的安全域包括:
控制安全域、媒体安全域、会话接入安全域、数据安全域、网间互联安全域、接入安全域和应用安全域。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210590349.6A CN103905413B (zh) | 2012-12-28 | 2012-12-28 | 一种核心网信令传输方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210590349.6A CN103905413B (zh) | 2012-12-28 | 2012-12-28 | 一种核心网信令传输方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103905413A true CN103905413A (zh) | 2014-07-02 |
| CN103905413B CN103905413B (zh) | 2017-05-03 |
Family
ID=50996568
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210590349.6A Active CN103905413B (zh) | 2012-12-28 | 2012-12-28 | 一种核心网信令传输方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103905413B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105610813A (zh) * | 2015-12-28 | 2016-05-25 | 中国人民解放军信息工程大学 | 一种移动通信网间蜜罐系统及方法 |
| CN110365778A (zh) * | 2019-07-17 | 2019-10-22 | 腾讯科技(深圳)有限公司 | 一种通信控制的方法、装置、电子设备和存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101106802A (zh) * | 2006-07-12 | 2008-01-16 | 中兴通讯股份有限公司 | 一种防止呼叫会话控制功能实体活动资源挂死的方法 |
| CN101110693A (zh) * | 2006-07-17 | 2008-01-23 | 上海华虹Nec电子有限公司 | 一种互联网网站安全架构系统 |
| WO2010083648A1 (zh) * | 2009-01-22 | 2010-07-29 | 阿尔卡特朗讯公司 | 用于为ims网络的终端提供防火墙的方法及防火墙系统 |
| US20120023569A1 (en) * | 2000-03-01 | 2012-01-26 | Steven Spicer | Secure network resource access system |
| CN102461274A (zh) * | 2009-05-01 | 2012-05-16 | 英特尔公司 | 用于接入网和核心网之间的通信的技术 |
-
2012
- 2012-12-28 CN CN201210590349.6A patent/CN103905413B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120023569A1 (en) * | 2000-03-01 | 2012-01-26 | Steven Spicer | Secure network resource access system |
| CN101106802A (zh) * | 2006-07-12 | 2008-01-16 | 中兴通讯股份有限公司 | 一种防止呼叫会话控制功能实体活动资源挂死的方法 |
| CN101110693A (zh) * | 2006-07-17 | 2008-01-23 | 上海华虹Nec电子有限公司 | 一种互联网网站安全架构系统 |
| WO2010083648A1 (zh) * | 2009-01-22 | 2010-07-29 | 阿尔卡特朗讯公司 | 用于为ims网络的终端提供防火墙的方法及防火墙系统 |
| CN102461274A (zh) * | 2009-05-01 | 2012-05-16 | 英特尔公司 | 用于接入网和核心网之间的通信的技术 |
Non-Patent Citations (1)
| Title |
|---|
| 侯国超: "《一种改进的基于双防火墙的内网安全防护策略研究》", 《计算机安全》 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105610813A (zh) * | 2015-12-28 | 2016-05-25 | 中国人民解放军信息工程大学 | 一种移动通信网间蜜罐系统及方法 |
| CN105610813B (zh) * | 2015-12-28 | 2018-10-16 | 中国人民解放军信息工程大学 | 一种移动通信网间蜜罐系统及方法 |
| CN110365778A (zh) * | 2019-07-17 | 2019-10-22 | 腾讯科技(深圳)有限公司 | 一种通信控制的方法、装置、电子设备和存储介质 |
| CN110365778B (zh) * | 2019-07-17 | 2021-09-07 | 腾讯科技(深圳)有限公司 | 一种通信控制的方法、装置、电子设备和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103905413B (zh) | 2017-05-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11012474B2 (en) | Methods and systems for protecting a secured network | |
| US10567437B2 (en) | Methods and systems for protecting a secured network | |
| CN103650436B (zh) | 业务路径分配方法、路由器和业务执行实体 | |
| CN111385326B (zh) | 轨道交通通信系统 | |
| CN103973700A (zh) | 移动终端预设联网地址防火墙隔离应用系统 | |
| US20090094691A1 (en) | Intranet client protection service | |
| CN101599904B (zh) | 一种虚拟拨号安全接入的方法和系统 | |
| CN108234523A (zh) | 一种应用于电视台的多层次内外网数据交互系统 | |
| CN102571738A (zh) | 基于虚拟局域网交换的入侵防御方法与系统 | |
| CN106027491B (zh) | 基于隔离ip地址的独立链路式通信处理方法和系统 | |
| Durante et al. | A model for the analysis of security policies in service function chains | |
| Kantola | 6G network needs to support embedded trust | |
| CN102664804B (zh) | 网络设备实现网桥功能的方法及系统 | |
| CN103905413B (zh) | 一种核心网信令传输方法及系统 | |
| CN105850091A (zh) | 用于提供通信服务提供方和提供服务的互联网协议ip服务器之间的连接的方法、包括ip服务器的边界网络以及提供服务的ip服务器 | |
| Akashi et al. | A vulnerability of dynamic network address translation to denial-of-service attacks | |
| US20060230431A1 (en) | System and method for implementing a private virtual backbone on a common network infrastructure | |
| CN107547659A (zh) | 报文安全转发方法及装置 | |
| Torshizi et al. | New secure and low-cost design for defense in depth implementation using open source software | |
| Woodall | Firewall design principles | |
| Narasimha et al. | Increasing network efficiency by preventing attacks at access layer | |
| CN117354041A (zh) | 基于云waf流量调度方法、装置、设备及介质 | |
| Sodhani et al. | MLF: A Technology beyond ALF for Network Security | |
| Abro | Software Defined Mobile Network Security | |
| Sharma et al. | Network Security and Networking Protocols |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |