CN105897702A - 一种媒体网关实现包过滤的方法及媒体网关 - Google Patents
一种媒体网关实现包过滤的方法及媒体网关 Download PDFInfo
- Publication number
- CN105897702A CN105897702A CN201610192525.9A CN201610192525A CN105897702A CN 105897702 A CN105897702 A CN 105897702A CN 201610192525 A CN201610192525 A CN 201610192525A CN 105897702 A CN105897702 A CN 105897702A
- Authority
- CN
- China
- Prior art keywords
- context
- packet filtering
- attribute
- rule
- filtering rules
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/10—Architectures or entities
- H04L65/102—Gateways
- H04L65/1043—Gateway controllers, e.g. media gateway control protocol [MGCP] controllers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/10—Architectures or entities
- H04L65/102—Gateways
- H04L65/1023—Media gateways
- H04L65/103—Media gateways in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/60—Network streaming of media packets
- H04L65/65—Network streaming protocols, e.g. real-time transport protocol [RTP] or real-time control protocol [RTCP]
Landscapes
- Engineering & Computer Science (AREA)
- Multimedia (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种媒体网关实现包过滤的方法及媒体网关,其中,上述方法包括根据媒体网关控制器发送的处理消息进行包过滤规则上下文维护,所述包过滤规则上下文中至少包括一条对所述媒体网关的接口传输报文进行包过滤处理的过滤规则;根据综合所述包过滤规则上下文中的过滤规则对收发的报文进行包过滤。采用本发明,可有效的实现媒体网关控制器对媒体网关接口上的包过滤规则进行管理。
Description
技术领域
本发明涉及网络通讯领域,尤其涉及一种媒体网关实现包过滤的方法及媒体网关。
背景技术
下一代网络(Next Generation Network,NGN)为分布式网络结构,能够有效承载语音、视频和多媒体业务,实现业务应用、业务控制和业务传送功能三者的分离。图1为现有NGN网络结构示意图,如图1所示,NGN网络主要包括媒体网关(Media Gateway,MG)和媒体网关控制器(Media Gateway Controller,MGC)。其中,MGC,用于实现呼叫状态的管理,以及对MG承载资源的控制;MG,用于将媒体流类型由一种格式转换为另一种格式,例如,将电路交换网中的E1时隙中的媒体信息转换为IP网络中的实时传输协议(Realtime TransportProtocol,RTP)媒体流,并在MGC的信令控制下实现媒体流的建立、修改、释放以及资源管理。
通常媒体网关作为边界网关时工作在背靠背(back-to-back,B2B)模式下。即在两个IP网络各创建一个终端,分配所在IP网络的地址。该地址在各自的IP网络中作为发出媒体流的源地址和接收媒体流的目的地址。对于每个终端来说,通常每个流都有确定的媒体流对端,一般情况下包过滤规则只需要针对该对端的地址进行过滤,所以过滤规则通常只有一条。
H.248.64协议中的媒体网关工作在路由模式,使用终端代表接口,即终端对应的是接口,而不是IP网络中的某一地址,相应的过滤规则则是设置在了代表接口的终端上。而要在接口上设置防火墙的包过滤规则,单条过滤规则是不够的,某个接口上的防火墙包过滤规则可能达到几万条。
在实现本发明过程中,发明人发现,在上述条件下,如果通过现有技术中定义的终端上的属性来描述接口上的包过滤规则,则由于某一终端上的属性中的过滤规则可能多达几万条,而导致该属性非常长;那么当媒体网关控制器需要新建或修改媒体网关接口的过滤规则时,由于上述终端上的属性是作为整体进行修改等操作的,因此,MGC向MG发送包含上述过滤规则的终端上的属性的修改消息时,该消息会变得很长,而MGC和MG通讯协议H.248中的消息在传输层允许的长度是有限。因此,通常情况下几乎不可能对终端上的属性中的过滤规则进行审计等控制操作。
发明内容
本发明所要解决的技术问题在于,提供一种媒体网关实现包过滤的方法及媒体网关。可有效的实现媒体网关控制器对媒体网关接口上的包过滤规则进行管理。
为了解决上述技术问题,一方面,本发明的实施例提供了一种媒体网关实现包过滤的方法,包括:根据媒体网关控制器发送的处理消息进行包过滤规则上下文维护,所述包过滤规则上下文中通过上下文属性等方式至少包含一条对所述媒体网关的接口传输报文进行包过滤的过滤规则;根据处理后的所述包过滤规则上下文中的过滤规则对收发的报文进行包过滤。
另一方面,本发明的实施例提供了一种媒体网关,包括:上下文处理单元,用于根据媒体网关控制器发送的处理消息进行包过滤规则上下文维护,所述包过滤规则上下文中至少包括一条对所述媒体网关的接口传输报文进行包过滤处理的过滤规则;过滤单元,用于根据处理后的所述包过滤规则上下文中的过滤规则对收发的报文进行包过滤。
在本发明实施例所提供的技术方案中,由于采用处理媒体网关中的包过滤规则上下文的方法对媒体网关的接口的包过滤规则进行控制,由于该上下文可以有多个,这样就可以分多次对多媒体网关的接口的所有过滤规则进行设置,使得可以通过媒体网关控制器和媒体网关之间的传递的消息多次对上下文进行设置,以有效的实现媒体网关控制器对媒体网关接口上的包过滤规则进行管理。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是现有NGN网络的一种具体结构的组成示意图;
图2是本发明实施例的媒体网关实现包过滤的方法的一个具体流程示意图;
图3是本发明实施例的媒体网关的一个具体组成示意图;
图4是图3中的上下文处理单元的第一具体组成示意图;
图5是本发明实施例的媒体网关的第二具体组成示意图;
图6是本发明实施例的媒体网关的第三具体组成示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图2所示,为本发明实施例中媒体网关实现包过滤的方法的一个具体流程示意图。该方法包括:
201、根据媒体网关控制器发送的处理消息进行包过滤规则上下文维护,所述包过滤规则上下文中至少包含一条对所述媒体网关的接口传输报文进行包过滤处理的过滤规则。将某个接口涉及到的所有的包过滤规则上下文中保存的单条或者多条包过滤规则汇总后,就是该接口上的完整的包过滤规则列表。
其中,处理消息可以是创建、修改或者删除上下文的消息,相应的媒体网关则可根据所述媒体网关控制器发送的处理消息创建新的包过滤规则上下文,或修改已创建的包过滤规则上下文、或删除已创建的包过滤规则上下文,并在所述创建、或修改、或删除完成后,向媒体网关控制器返回应答消息。创建包过滤规则上下文时可以同时通过设置上下文属性等方式设置该包过滤规则上下文包含的包过滤规则;对已创建的包过滤规则上下文进行修改包括增加、修改或删除所述包过滤上下文中通过上下文属性等方式包含的过滤规则。
其中,以H.248协议为例对MGC中的上下文的意义进行描述:在H.248协议中,MG上的各种资源被抽象表示为终端(Termination)。终端又分为物理(Physical)终端和临时(Ephemeral)终端,前者代表一些具有半永久存在性的物理实体,例如时分复用和复用(Time Division Multiplex,TDM)通道等,后者代表一些临时申请用后释放的公共资源,例如RTP流等。另以根(Root)终端代表MG整体。终端之间的组合可以表示为上下文(Context)。上下文可以包含多个终端,因而以拓扑(Topology)来描述终端间的相互关系。对于还未与其它终端发生关联的终端,由一个称为空(Null)上下文的特殊上下文来包含。
基于协议的这种抽象模型,呼叫的接续实际上就是对终端和上下文的操作。这种操作通过MGC和MG之间的命令(Command)、请求(Request)和响应(Reply)来完成。命令类型包括添加(Add)、修改(Modify)、删减(Subtract)、移动(Move)、审计值(AuditValue)、审计能力(AuditCapabilities)、通报(Notify)、服务改变(ServiceChange)。命令参数,也称为描述符(Descriptor),被分类为属性(Property)、信号(Signal)、事件(Event)、统计(Statistic)。具有业务相关性的参数逻辑上聚合成为包(Package)。
H.248协议消息中被创建的上下文中必须要加入终端,还可以在后续消息中加入新的终端,或者从上下文中删除或者挪走已有终端。如果上下文中所有终端都被删除或者挪走,则该上下文也就没有存在的价值,自动被删除。
本发明实施例中采用了一种的新的上下文,即包过滤规则上下文,来存储过滤规则。包过滤规则上下文中还包括下述属性中的一个或多个:过滤规则对象,用以标识过滤规则作用在的网络域信息或接口信息;标识属性,用以标识所述上下文为包过滤规则上下文;开关属性,用于标识所述包过滤规则上下文中的过滤规则是否有效;优先级属性,用于标识所述包过滤规则上下文中的过滤规则的优先级。
其中,在包过滤规则上下文中有一个或者多个终端,这是由上下文本身的特性决定。这些终端主要是为了保证包过滤规则上下文的存在而被加入,也可以在这些终端上保存一些信息,比如保存包过滤规则、过滤规则对象、标识属性、包过滤规则开关属性、优先级属性等信息。可以在增加,删除,修改,移动等命令中修改上下文属性,从上下文的角度理解,修改上下文属性可以说是对上下文的修改操作。
202、根据处理后的所述包过滤规则上下文中的过滤规则对收发的报文进行包过滤。
对上述包过滤规则上下文进一步进行举例如下,该上下文中包括:
1)标识属性,本属性为可选
该标识属性可为H.248协议的上下文属性FilterRule,数据类型为布尔(BOOL,或bool类型),其取值可以为“Yes”或者“No”,默认值可设为“No”。当该属性值为“Yes”时,表示该上下文为一个包过滤规则上下文;当该属性值为“No”时表示该上下文不是包过滤规则上下文。
该标识属性也可以在现有的H.248的属性上扩展,如,还H.248的IP路由包中有属性描述上下文的类型,例如为背靠背类型,IP路由类型或者NAT类型等,可以在该属性中新增一个类型枚举值为包过滤规则类型。
2)过滤规则,本属性为必选
该过滤规则可为H.248协议的上下文属性FilterRuleItem,该属性用于保存包过滤规则项。通过对该属性值的设置和修改,媒体网关控制器或媒体网关可以实现对包过滤规则的操作和维护。该属性的数据类型可为字符串,该字符串保存包过滤规则表的一项。
包过滤规则主要有:
拒绝来自某主机或某网段的连接
允许来自某主机或某网段的连接
拒绝来自某主机或某网段的指定端口的连接
允许来自某主机或某网段的指定端口的连接
拒绝本地主机或本地网络与其它主机或其它网络的所有连接
允许本地主机或本地网络与其它主机或其它网络的所有连接
拒绝本地主机或本地网络与其它主机或其它网络的指定端口的连接
允许本地主机或本地网络与其它主机或其它网络的指定端口的连接
任何进入内网的数据包不能将内部地址作为源地址
任何进入内网的数据包必须将内部地址作为目的地址
任何离开内网的数据包必须将内部地址作为源地址
任何离开内网的数据包不能将内部地址作为目的地址
任何进入或者离开内网的数据包不能把私有地址或者127.0.0.0/8作为源地址或者目的地址。DHCP自动配置和广播地址也要被阻塞。
属性FilterRuleItem的语法比较灵活,例如可以为:
“rein:138.76.28.0/24”表示拒绝来自网络地址138.76.28.0,掩码为255.255.255.0的网段的包;
“acin:138.76.28.0/24”表示允许来自网络地址138.76.28.0,掩码为255.255.255.0的网段的包;
“rein:138.76.28.100:10000”表示拒绝来自地址为138.76.28.100,端口为10000的主机的包;
“acin:138.76.28.100:10000”表示允许来自地址为138.76.28.100,端口为10000的主机的包;
“reout:138.76.28.0/24”表示拒绝发往网络地址138.76.28.0,掩码为255.255.255.0的网段的包;
“acout:138.76.28.0/24”表示允许发往网络地址138.76.28.0,掩码为255.255.255.0的网段的包;
“reout:138.76.28.100:10000”表示拒绝发往地址为138.76.28.100,端口为10000的主机的包;
“acout:138.76.28.100:10000”表示允许发往地址为138.76.28.100,端口为10000的主机的包;
“reInaddr”表示进入内网的数据包不能将内部地址作为源地址;
“acInaddr”表示进入内网的数据包必须将内部地址作为目的地址;
“acOutaddr”表示离开内网的数据包必须将内部地址作为源地址;
“reOutaddr”表示离开内网的数据包不能将内部地址作为目的地址;
类似的上述对属性具体内容的定义也可以有其他的方式,此处不做赘述。
其中,属性FilterRuleItem的一个字符串中可以保存一个包过滤规则项,也可以通过用分割符隔开的方式保存多个包过滤规则项。
上下文属性FilterRuleItem的数据类型还可以定义成字符串列表的形式,以保存多个包过滤规则项。
在建立新的包过滤上下文的时候,可以通过设置上下文属性FilterRuleItem的值的形式设置媒体网关的包过滤规则项目。
可以通过修改已有的包过滤上下文中的上下文属性FilterRuleItem的值,从而更改其保存的包过滤规则项。这种操作可以理解成对包过滤规则上下文的修改。
可以通过删除已有的包过滤上下文中所有终端的方式删除该包过滤规则上下文,该包过滤规则上下文中上下文属性FilterRuleItem携带的包过滤规则因此被删除。或直接则将上下文属性FilterRuleItem的值设置成空值的方式删除包过滤规则项。
3)包过滤规则开关属性,本属性为可选
包过滤规则开关属性可为H.248协议的上下文属性FilterRuleSwitch,该属性用于作为开关,表示该包过滤上下文中保存的包过滤规则是否被使用。该属性值可为BOOL类型。如果是“Yes”,表示该包过滤上下文中保存的包过滤规则有效,需要被使用。如果是“No”,表示该包过滤上下文中保存的包过滤规则无效。
4)优先级属性,本属性为可选
优先级属性可为H.248协议的上下文属性FilterRulePrior,该属性用于描述包过滤规则的优先级别,优先级别高的包过滤规则先被使用。该属性值可为整数类型,如当数字越小时表示对应的包过滤规则的优先级别越高。
5)过滤规则对象信息,本属性为可选
过滤规则对象信息可为H.248协议的上下文属性FilterRuleNetwork,该属性用于标识适用所述过滤规则的网络域信息或/和接口信息,如描述包过滤规则作用在的网络域信息,或者作用在的接口(逻辑接口或者物理接口)的信息,或者接口信息加网络域信息。
以上述对上下文中包含的具体内容为例对图2中描述的过程举例如下:
1)创建新的上下文的情况
步骤一:媒体网关控制器向媒体网关发送H.248消息创建一个新的上下文,创建包过滤规则上下文的过程是将一个或者多个终端加入一个用通配符作为上下文ID的上下文中,媒体网关在应答消息中返回媒体网关分配的上下文ID。在该消息中,上下文属性FilterRule的值为“Yes”,表示该上下文为包过滤规则上下文。上下文属性FilterRuleItem的值为“rein:138.76.28.0/24”表示拒绝来自网络地址138.76.28.0,掩码为255.255.255.0的网段的包。上下文属性FilterRuleSwitch的值为“yes”,表示该包过滤规则有效。上下文属性FilterRulePrior的值为100,表示优先级别为100。上下文属性FilterRuleNetwork的值为“interface1”表示该包过滤过则作用在接口interface1上。
步骤二:媒体网关接收到该H.248消息后,按照消息中的指示创建上述新的上下文C1,然后返回应答消息给媒体网关控制器。并根据该上下文中的上下文属性FilterRuleItem在接口interface1上增加该包过滤规则,以便对接口Interface1上传输的报文包进行过滤。
2)修改上下文的情况
步骤一:媒体网关控制器向媒体网关发送消息修改上下文C1的属性FilterRuleItem的值,将其由“rein:138.76.28.0/24”修改为“acin:138.76.28.0/24”,修改后的规则表示允许来自网络地址138.76.28.0,掩码为255.255.255.0的网段的包。
步骤二:媒体网关按照接收的消息修改所述上下文C1的属性,返回应答消息给媒体网关控制器。并修改在接口interface1上正在使用的相关包过滤规则,以便对接口Interface1上传输的报文包进行过滤。
3)删除上下文或删除上下文中的过滤规则的情况
步骤一:媒体网关控制器向媒体网关发送消息,删除上下文C1中的所有终端。
步骤二:媒体网关按照指示删除上下文C1或删除上下文C1中的所有过滤规则,返回应答消息给媒体网关控制器,并删除接口interface1上的包过滤规则“acin:138.76.28.0/24”。
以上的实施例中通过上下文属性维护包过滤规则,包过滤规则开关,优先级和过滤规则对象信息。也可以通过维护上下文中的终端属性的方式维护这些信息。则在终端属性中包括:
(1)过滤规则,本属性为必选
该过滤规则可为H.248协议的属性FilterRuleItemT,该属性在终端的localcontrol描述符中携带。该属性的数据类型以及保存的信息和前面实施例中的上下文属性FilterRuleItem相同。
(2)包过滤规则开关属性,本属性为可选
包过滤规则开关属性可为H.248协议的属性FilterRuleSwitchT,该属性在终端的localcontrol描述符中携带。该属性的数据类型以及保存的信息和前面实施例中的上下文属性FilterRuleSwitch相同。
(3)优先级属性,本属性为可选
优先级属性可为H.248协议的属性FilterRulePriorT,该属性在终端的localcontrol描述符中携带。该属性的数据类型以及保存的信息和前面实施例中的上下文属性FilterRulePrior相同。
(4)过滤规则对象信息,本属性为可选
过滤规则对象信息可为H.248协议的上下文属性FilterRuleNetworkT,该属性在终端的localcontrol描述符中携带。该属性的数据类型以及保存的信息和前面实施例中的上下文属性FilterRuleNetwork相同。
这些终端属性被设置到包过滤规则上下文中的终端上。对这些终端的操作也可以理解为对包过滤上下文的增加,修改和删除操作。
以上的过滤规则和增加的一些可选属性还可以部分通过上下文属性实现,部分通过终端属性实现。
在本发明实施例所提供的技术方案中,媒体网关控制器通过采用处理媒体网关中的包过滤规则上下文的方法对媒体网关的接口的包过滤规则进行控制,由于该上下文可以有多个,这样就可以分多次对多媒体网关的接口的所有过滤规则进行设置,使得可以通过媒体网关控制器和媒体网关之间的传递的消息多次对上下文进行设置,以有效的实现媒体网关控制器对媒体网关接口上的包过滤规则进行管理。
如图3所示,为相应的一种媒体网关,包括:
上下文处理单元12,用于根据媒体网关控制器发送的处理消息进行包过滤规则上下文处理,所述包过滤规则上下文中至少包括一条对所述媒体网关的接口传输报文进行包过滤处理的过滤规则;
过滤单元14,用于根据处理后的所述包过滤规则上下文中的过滤规则对收发的报文进行包过滤
其中,如图4所示,该上下文处理单元12包括下述创建模块120、修改模块122和删除模块124中的一种或多种:
创建模块120,用于根据所述媒体网关控制器发送的创建消息创建新的包过滤规则上下文;修改模块122,用于根据所述媒体网关控制器发送的修改消息修改已创建的包过滤规则上下文,其中,所述修改已创建的包过滤规则上下文包括增加、修改或删除所述包过滤上下文中的过滤规则;删除模块124,用于根据所述媒体网关控制器发送的删除消息删除已创建的包过滤规则上下文。图4中为3种模块都包括的情况。
同时,所述上下文处理单元12还包括应答模块126,用于在所述创建、或修改、或删除完成后,向媒体网关控制器返回应答消息。
如图5所示,媒体网关还可包括存储单元16用于存储所述包过滤规则上下文,该存储单元16包括规则模块160,用于存储过滤规则。进一步的,该存储单元16还可包括下述模块中的一个或多个:标识属性模块162,用于存储标识所述上下文为包过滤规则上下文的标识属性;包过滤规则开关属性模块164,用于存储标识所述包过滤规则上下文中的过滤规则是否有效的开关属性;优先级属性模块166,用于存储标识所述包过滤规则上下文中的过滤规则的优先级的优先级属性;对象模块168,用于存储过滤规则对象信息,所述过滤规则对象信息用以标识适用所述过滤规则的网络域信息或/和接口信息。图5中所示的为上述5个模块都包括的情况。
如图6所示,媒体网关可包括终端属性存储单元18,用于存储包过滤规则上下文中的终端的终端属性,该终端属性存储单元18包括终端规则存储模块180,用于在所述终端属性中存储所述过滤规则。进一步的,该终端属性存储单元18还包括下述模块中的一个或多个:终端对象模块182,用于在所述终端属性中存储过滤规则对象信息,所述过滤规则对象信息用以标识适用所述过滤规则的网络域信息或/和接口信息;终端标识属性模块184,用于在所述终端属性中存储标识所述上下文为包过滤规则上下文的标识属性;终端包过滤规则开关属性模块186,用于在所述终端属性中存储标识所述包过滤规则上下文中的过滤规则是否有效的开关属性;终端优先级属性模块188,用于在所述终端属性中存储标识所述包过滤规则上下文中的过滤规则的优先级的优先级属性。
其中,存储单元和终端属性存储单元中的各子模块可以交叉出现(即相应的过滤规则和增加的一些可选属性可以部分通过上下文属性实现,部分通过终端属性实现),只要具有存储过滤规则的模块,而其他相同属性存储模块不重叠的各种组合均是可以的。
在本发明实施例所提供的技术方案中,由于采用处理媒体网关中的包过滤规则上下文的方法对媒体网关的接口的包过滤规则进行控制,由于该上下文可以有多个,这样就可以分多次对多媒体网关的接口的所有过滤规则进行设置,使得可以通过媒体网关控制器和媒体网关之间的传递的消息多次对上下文进行设置,以有效的实现媒体网关控制器对媒体网关接口上的包过滤规则进行管理。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
以上所述的实施方式,并不构成对该技术方案保护范围的限定。任何在上述实施方式的精神和原则之内所作的修改、等同替换和改进等,均应包含在该技术方案的保护范围之内。
Claims (8)
1.一种媒体网关实现包过滤的方法,其特征在于,所述方法包括:
根据媒体网关控制器发送的处理消息进行包过滤规则上下文维护,其中所述包过滤规则上下文中至少包含一条对所述媒体网关的接口传输报文进行包过滤的过滤规则,所述处理消息包含用于创建所述包过滤规则上下文、修改所述包过滤规则上下文或删除所述包过滤规则上下文的消息;
其中,所述包过滤规则上下文中还包括下述上下文属性中的一个或多个:
过滤规则对象,用以标识过滤规则作用在的网络域信息或接口信息;
标识属性,用以标识所述上下文为包过滤规则上下文;
包过滤规则开关属性,用于标识所述包过滤规则上下文中的过滤规则是否有效;
优先级属性,用于标识所述包过滤规则上下文中的过滤规则的优先级。
2.如权利要求1所述的方法,其特征在于,所述根据媒体网关控制器发送的处理消息进行包过滤规则上下文维护包括:
根据所述媒体网关控制器发送的处理消息创建新的包过滤规则上下文、修改已创建的包过滤规则上下文或删除已创建的包过滤规则上下文;
在所述创建、或修改、或删除所述包过滤规则上下文完成后,向媒体网关控制器返回应答消息。
3.如权利要求1或2所述的方法,其特征在于,所述包过滤规则上下文中包括终端,所述终端的终端属性中包括所述过滤规则。
4.如权利要求1所述的方法,其特征在于,所述包过滤规则上下文中包括终端,所述终端属性中包括下述属性中的一个或多个:
过滤规则对象,用以标识过滤规则作用在的网络域信息或接口信息;
标识属性,用以标识所述上下文为包过滤规则上下文;
包过滤规则开关属性,用于标识所述包过滤规则上下文中的过滤规则是否有效;
优先级属性,用于标识所述包过滤规则上下文中的过滤规则的优先级。
5.一种媒体网关,其特征在于,所述媒体网关包括:
上下文处理单元,用于根据媒体网关控制器发送的处理消息进行包过滤规则上下文维护,所述包过滤规则上下文中至少包含一条对所述媒体网关的接口传输报文进行包过滤处理的过滤规则,所述处理消息包含用于创建所述包过滤规则上下文、修改所述包过滤规则上下文或删除所述包过滤规则上下文的消息;
存储单元,包括用于存储所述过滤规则的规则模块,;
或,所述存储单元还包括下述模块中的一个或多个:
对象模块,用于存储过滤规则对象信息,所述过滤规则对象信息用以标识适用所述过滤规则的网络域信息或/和接口信息;
标识属性模块,用于存储标识所述上下文为包过滤规则上下文的标识属性;
包过滤规则开关属性模块,用于存储标识所述包过滤规则上下文中的过滤规则是否有效的开关属性;
优先级属性模块,用于存储标识所述包过滤规则上下文中的过滤规则的优先级的优先级属性。
6.如权利要求5所述的媒体网关,其特征在于,所述上下文处理单元包括下述创建模块、修改模块和删除模块中的一种或多种:
创建模块,用于根据所述媒体网关控制器发送的创建消息创建新的包过滤规则上下文;
修改模块,用于根据所述媒体网关控制器发送的修改消息修改已创建的包过滤规则上下文,其中,所述修改已创建的包过滤规则上下文包括增加、修改或删除所述包过滤上下文中的过滤规则;
删除模块,用于根据所述媒体网关控制器发送的删除消息删除已创建的包过滤规则上下文;
所述上下文处理单元还包括:
应答模块,用于在所述创建、或修改、或删除完成后,向媒体网关控制器返回应答消息。
7.如权利要求6所述的媒体网关,其特征在于,所述媒体网关包括终端属性存储单元,用于存储包过滤规则上下文中的终端的终端属性;
所述终端属性存储单元包括终端规则存储模块,用于在所述终端属性中存储所述过滤规则。
8.如权利要求7所述的媒体网关,其特征在于,所述终端属性存储单元还包括下述模块中的一个或多个:
终端对象模块,用于在所述终端属性中存储过滤规则对象信息,所述过滤规则对象信息用以标识适用所述过滤规则的网络域信息或/和接口信息;
终端标识属性模块,用于在所述终端属性中存储标识所述上下文为包过滤规则上下文的标识属性;
终端包过滤规则开关属性模块,用于在所述终端属性中存储标识所述包过滤规则上下文中的过滤规则是否有效的开关属性;
终端优先级属性模块,用于在所述终端属性中存储标识所述包过滤规则上下文中的过滤规则的优先级的优先级属性。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610192525.9A CN105897702B (zh) | 2008-11-07 | 2008-11-07 | 一种媒体网关实现包过滤的方法及媒体网关 |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610192525.9A CN105897702B (zh) | 2008-11-07 | 2008-11-07 | 一种媒体网关实现包过滤的方法及媒体网关 |
CN200810218964.8A CN101741821A (zh) | 2008-11-07 | 2008-11-07 | 一种实现包过滤的方法、媒体网关及系统 |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN200810218964.8A Division CN101741821A (zh) | 2008-11-07 | 2008-11-07 | 一种实现包过滤的方法、媒体网关及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105897702A true CN105897702A (zh) | 2016-08-24 |
CN105897702B CN105897702B (zh) | 2019-03-19 |
Family
ID=42152487
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610192525.9A Active CN105897702B (zh) | 2008-11-07 | 2008-11-07 | 一种媒体网关实现包过滤的方法及媒体网关 |
CN200810218964.8A Pending CN101741821A (zh) | 2008-11-07 | 2008-11-07 | 一种实现包过滤的方法、媒体网关及系统 |
Family Applications After (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN200810218964.8A Pending CN101741821A (zh) | 2008-11-07 | 2008-11-07 | 一种实现包过滤的方法、媒体网关及系统 |
Country Status (5)
Country | Link |
---|---|
US (1) | US8571047B2 (zh) |
EP (1) | EP2339808B1 (zh) |
CN (2) | CN105897702B (zh) |
ES (1) | ES2573705T3 (zh) |
WO (1) | WO2010051731A1 (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112702311A (zh) * | 2020-11-30 | 2021-04-23 | 锐捷网络股份有限公司 | 一种基于端口的报文过滤方法和装置 |
Families Citing this family (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20130067488A1 (en) * | 2010-05-19 | 2013-03-14 | Hughes Systique India Private Limited | Method and system for efficient inter- process communication in a high availability system |
US9565213B2 (en) * | 2012-10-22 | 2017-02-07 | Centripetal Networks, Inc. | Methods and systems for protecting a secured network |
US9154414B2 (en) * | 2013-05-30 | 2015-10-06 | Cisco Technology, Inc. | Reverse path forwarding router system |
FR3034608A1 (fr) * | 2015-03-31 | 2016-10-07 | Orange | Procede de priorisation de flux medias dans un reseau de communications |
CN106301982B (zh) * | 2015-05-29 | 2020-01-07 | 中国移动通信集团公司 | 一种接口消息监测方法及装置 |
US9723027B2 (en) | 2015-11-10 | 2017-08-01 | Sonicwall Inc. | Firewall informed by web server security policy identifying authorized resources and hosts |
US9860259B2 (en) | 2015-12-10 | 2018-01-02 | Sonicwall Us Holdings Inc. | Reassembly free deep packet inspection for peer to peer networks |
US11134057B2 (en) * | 2018-08-27 | 2021-09-28 | The Boeing Company | Systems and methods for context-aware network message filtering |
CN109063199B (zh) * | 2018-09-11 | 2022-10-25 | 优视科技有限公司 | 资源过滤方法及其装置、电子设备、计算机可读介质 |
CN110278558B (zh) * | 2019-07-25 | 2022-09-13 | 迈普通信技术股份有限公司 | 报文的交互方法及wlan系统 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1870631A (zh) * | 2005-11-11 | 2006-11-29 | 华为技术有限公司 | 媒体网关的门控方法 |
CN101005496A (zh) * | 2006-06-27 | 2007-07-25 | 华为技术有限公司 | 媒体网关分组过滤方法及媒体网关 |
US20080244726A1 (en) * | 2002-09-05 | 2008-10-02 | Jean-Francois Le Pennec | Firewall system for interconnecting two ip networks managed by two different administrative entities |
EP1986399A1 (en) * | 2007-04-23 | 2008-10-29 | Secure Computing Corporation | System and method for detecting malicious program code |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7254832B1 (en) * | 2000-08-28 | 2007-08-07 | Nortel Networks Limited | Firewall control for secure private networks with public VoIP access |
US7380011B2 (en) * | 2003-10-01 | 2008-05-27 | Santera Systems, Inc. | Methods and systems for per-session network address translation (NAT) learning and firewall filtering in media gateway |
CN1905555B (zh) | 2005-07-30 | 2010-07-07 | 华为技术有限公司 | 基于ngn业务的防火墙控制系统及方法 |
-
2008
- 2008-11-07 CN CN201610192525.9A patent/CN105897702B/zh active Active
- 2008-11-07 CN CN200810218964.8A patent/CN101741821A/zh active Pending
-
2009
- 2009-10-20 WO PCT/CN2009/074538 patent/WO2010051731A1/zh active Application Filing
- 2009-10-20 ES ES09824386.8T patent/ES2573705T3/es active Active
- 2009-10-20 EP EP09824386.8A patent/EP2339808B1/en active Active
-
2011
- 2011-05-06 US US13/102,779 patent/US8571047B2/en active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20080244726A1 (en) * | 2002-09-05 | 2008-10-02 | Jean-Francois Le Pennec | Firewall system for interconnecting two ip networks managed by two different administrative entities |
CN1870631A (zh) * | 2005-11-11 | 2006-11-29 | 华为技术有限公司 | 媒体网关的门控方法 |
CN101005496A (zh) * | 2006-06-27 | 2007-07-25 | 华为技术有限公司 | 媒体网关分组过滤方法及媒体网关 |
EP1986399A1 (en) * | 2007-04-23 | 2008-10-29 | Secure Computing Corporation | System and method for detecting malicious program code |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112702311A (zh) * | 2020-11-30 | 2021-04-23 | 锐捷网络股份有限公司 | 一种基于端口的报文过滤方法和装置 |
Also Published As
Publication number | Publication date |
---|---|
US20110211586A1 (en) | 2011-09-01 |
ES2573705T3 (es) | 2016-06-09 |
CN101741821A (zh) | 2010-06-16 |
WO2010051731A1 (zh) | 2010-05-14 |
EP2339808A4 (en) | 2012-05-16 |
EP2339808B1 (en) | 2016-03-23 |
CN105897702B (zh) | 2019-03-19 |
US8571047B2 (en) | 2013-10-29 |
EP2339808A1 (en) | 2011-06-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105897702A (zh) | 一种媒体网关实现包过滤的方法及媒体网关 | |
CN106375384B (zh) | 一种虚拟网络环境中镜像网络流量的管理系统和控制方法 | |
CN106161335B (zh) | 一种网络数据包的处理方法和装置 | |
US7254832B1 (en) | Firewall control for secure private networks with public VoIP access | |
CN100446469C (zh) | 一种对软交换网实现分权分域管理的网管系统和方法 | |
CN101771619B (zh) | 实现一体化安全服务的网络系统 | |
CN101160886A (zh) | 下一代网络中的ip互通网关及其实现ip域互通的方法 | |
CN108234523A (zh) | 一种应用于电视台的多层次内外网数据交互系统 | |
CN101110719A (zh) | 一种ip多媒体子系统网络合法监听的方法和系统 | |
CN105471907A (zh) | 一种基于Openflow的虚拟防火墙传输控制方法及系统 | |
CN108810581A (zh) | 一种软件菜单的更新方法和装置 | |
CN1997010B (zh) | 一种包过滤的实现方法 | |
WO2024016642A1 (zh) | 一种基于sdn的智能船网络系统 | |
CN110138725A (zh) | 一种数据交换方法和安全网关 | |
CN100373898C (zh) | 基于megaco协议的信令代理实现方法 | |
CN1665238B (zh) | 下一代网络的组网系统 | |
CN109743522A (zh) | 基于视联网的通信方法和装置 | |
US10938740B2 (en) | System and methods for routing traffic in a telecommunications network using trunk group identification | |
CN110266638A (zh) | 信息处理方法、装置及存储介质 | |
CN101155148B (zh) | 媒体网关发布接收组播数据的方法、系统及装置 | |
CN100542094C (zh) | 一种网际协议报文的统计方法 | |
CN103139156B (zh) | 一种媒体流旁路实现方法和设备 | |
CN101753544A (zh) | 包过滤规则处理方法及系统、媒体网关和媒体网关控制器 | |
CN108574609A (zh) | 一种传输监控方法和装置 | |
CN102056111B (zh) | 实现增值业务平台信令统一接入和管理的系统与方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |