CN114710337B - 基于sctp的信令防火墙处理方法、装置、系统、设备及介质 - Google Patents
基于sctp的信令防火墙处理方法、装置、系统、设备及介质 Download PDFInfo
- Publication number
- CN114710337B CN114710337B CN202210295987.9A CN202210295987A CN114710337B CN 114710337 B CN114710337 B CN 114710337B CN 202210295987 A CN202210295987 A CN 202210295987A CN 114710337 B CN114710337 B CN 114710337B
- Authority
- CN
- China
- Prior art keywords
- data
- network element
- data packet
- packet
- sctp
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/26—Special purpose or proprietary protocols or architectures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请涉及一种基于SCTP的信令防火墙处理方法、装置、系统、设备及介质,方法包括步骤在普通网元和目标网元之间串接信令防火墙;当信令防火墙接收到数据包时,判断数据包是否为SCTP数据包;若数据包为SCTP数据包,则获取并保存目标网元侧和普通网元侧的参数数据;当信令防火墙接收到SCTP数据包为DATA数据包时,基于参数数据向发出DATA数据包的普通网元发出响应消息;调用规则策略对DATA数据包进行判断,若判断DATA数据包为正常数据,则将DATA数据包关联普通网元侧的参数数据,并发送至目标网元,若判断DATA数据包为异常数据,丢弃DATA数据包。本申请具有实现信令防火墙在信令网中的无感知接入的效果。
Description
技术领域
本申请涉及信令的技术领域,尤其是涉及一种基于SCTP的信令防火墙处理方法、装置、系统、设备及介质。
背景技术
信令网是电信网络的重要组成部分,负责在系统各部分中传递控制和交换信息,协调各网元的协同运行,共同完成呼叫控制、资源分配、路由等通信任务。
而SCTP(流传输控制协议)是信令网中一个面向连接的可靠传输层协议,基于C/S(Client/Server)通信方式,用于在IP网上提供可靠的消息包传输;但随着各类平台的接入,在信令传输维度,非法信令流程的访问给信令网带来了较大的风险。
目前,针对非法信令访问的应对措施中,一方面是对现有的选用加强防护的信令点或信令转接点系统进行升级,增加其信令防火墙功能,但采用此方法需对系统进行升级改造,增加了信令节点的负担;另一方面是需要保护的信令点或者信令转接点之间接入专门的信令防火墙设备,但新增网元设备,则需修改原来网元的网络参数,因此,非法信令访问应对措施的应用效果较差,需要改进。
发明内容
为了使信令防火墙的接入无需升级网元系统或修改网络参数,实现信令防火墙在信令网中的无感知接入,使非法信令访问的应对措施的应用效果较好,对本申请提供了一种基于SCTP的信令防火墙处理方法、装置、系统、设备及介质。
本申请的上述发明目的一是通过以下技术方案得以实现的:
一种基于SCTP的信令防火墙处理方法,包括步骤:
在普通网元和需要保护的目标网元之间串接具有驱动接管功能的信令防火墙,普通网元用于发送或转发数据包至目标网元;
当信令防火墙接收到数据包时,接管普通网元的访问,解析并判断数据包是否为SCTP数据包;
若数据包为SCTP数据包,则获取并保存目标网元侧和普通网元侧的参数数据;
当信令防火墙接收到SCTP数据包为DATA数据包时,基于参数数据向发出DATA数据包的普通网元发出响应消息;
调用规则策略对DATA数据包进行判断,若判断DATA数据包为正常数据,则将DATA数据包关联普通网元侧的参数数据,并发送至目标网元,若判断DATA数据包为异常数据,丢弃DATA数据包。
通过采用上述技术方案,通过将信令防火墙设置驱动接管的功能,接管操作系统网络驱动对网口的访问,当信令防火墙接收到数据包时,绕过协议层直接对数据包进行解包,解析并判断信令防火墙接收到的数据包是否为SCTP协议的数据包,若是,则获取目标网元和普通网元的参数数据,即网络参数,使得目标网元和普通网元在信令传输层中的位置相对前移;即信令传输过程中,DATA数据包则关联普通网元的参数数据,使得在目标网元看来,是直接接收了由普通网元发送的数据包,由于响应消息,在普通网元看来则是直接将数据包发送至目标网元,即信令防火墙对于普通网元和目标网元来说均是完全透明无感的存在,实现信令防火墙在信令网中的无感知接入,直接获取并使用目标网元和普通网元的参数数据,则信令防火墙接入后无需修改网络参数。
当非法信令访问时,则通过预设的规则策略进行判断,若判断DATA数据包为异常数据,信令防火墙节点即将DATA数据包丢弃,此时,对于目标网元而言并没有接收到该异常数据,对于普通网元而言是接收到响应消息,实现了对非法访问的无感拦截,非法信令访问的应对措施得应用效果较好。
本申请在一较佳示例中可以进一步配置为:普通网元侧的参数数据包括初始化包序号TSN_A和验证标签TAG_A,目标网元侧的参数数据包括初始化包序号TSN_B和验证标签TAG_B;若数据包为SCTP数据包,则获取并保存目标网元侧和普通网元侧的参数数据的步骤,包括步骤:
若数据包为SCTP数据包,则当信令防火墙接收到普通网元发送的INIT数据包时,创建SCTP_ASSOC上下文并保存普通网元侧的初始化包序号TSN_A和验证标签TAG_A;
将INIT数据包转发至目标网元;
当信令防火墙接收到目标网元发送的INIT ACK数据包时,将目标网元侧的初始化包序号TSN_B和验证标签TAG_B保存于SCTP_ASSOC上下文;
将INIT ACK数据包发送至普通网元。
通过采用上述技术方案,当信令防火墙接收并解析发现数据包为INIT数据包时,认定普通网元和目标网元之间发起握手连接,用来让客户端及服务器确认彼此的身份,协助双方选择连接时所使用的加密算法、MAC算法及相关密钥,进一步创建SCTP_ASSOC上下文用于保存普通网元侧和目标网元侧的初始化包序号和验证标签,通过初始化包序号和验证标签,实现SCTP数据包身份的伪装,通过普通网元侧的初始化包序号TSN_A和验证标签TAG_A,使得由信令防火墙发送至目标网元的传输路径伪装为从普通网元直接发送至目标网元,由信令防火墙发送至普通网元的传输路径伪装为从目标网元直接发送至普通网元,实现信令防火墙的无感接入。
本申请在一较佳示例中可以进一步配置为:当信令防火墙接收到SCTP数据包为DATA数据包时,基于参数数据向发出DATA数据包的普通网元发出响应消息的步骤,包括步骤:
当信令防火墙接收到SCTP数据包为DATA数据包时,将DATA数据包的包序号修改为SCTP_ASSOC上下文中普通网元侧的初始化包序号TSN_A;
向普通网元发送响应消息,响应消息的包序号为TSN_A。
通过采用上述技术方案,当信令防火墙接收到DATA数据包时,将DATA数据包的包序号修改为SCTP_ASSOC上下文中普通网元侧的初始化包序号TSN_A,并向发出该正常数据的普通网元发出响应消息;实现对普通网元的参数数据的获取,进而实现对于目标网元而言,普通网元身份前置的功能;
同时,响应消息的包序号和普通网元发出DATA数据包的包序号一致,对于普通网元而言发出的DATA数据包的包序号均为正常,进而不易发现信令防火墙的接入。
本申请在一较佳示例中可以进一步配置为:调用规则策略对DATA数据包进行判断,若判断DATA数据包为正常数据,则将DATA数据包关联普通网元侧的参数数据,并发送至目标网元,若判断DATA数据包为异常数据,丢弃DATA数据包的步骤,包括步骤:
若判断DATA数据为异常数据,则丢弃DATA数据包;
将SCTP_ASSOC上下文中的初始化包序号TSN_A递增为初始化包序号TSN_A+1并保存。
通过采用上述技术方案,若判断DATA数据包为异常数据,则SCTP_ASSOC上下文中的初始化包序号TSN_A递增为初始化包序号TSN_A+1,当DATA数据为异常,目标网元无法接收到该DATA数据包,但对于普通网元而言,包序号的正常递增,进而普通网元并不能察觉被拦截的DATA数据包,因为发出的包序号一直是顺延增加的状态,因此实现信令防火墙的无感拦截,阻止了发送异常消息的普通网元的进一步骚扰。
本申请在一较佳示例中可以进一步配置为:将SCTP_ASSOC上下文中的初始化包序号TSN_A递增为初始化包序号TSN_A+1并保存的步骤之后,还包括步骤:
若信令防火墙接再次接收到来自普通网元的DATA数据包,则将DATA数据包的包序号修改为SCTP_ASSOC上下文中普通网元侧的初始化包序号TSN_A+1;
向普通网元发送响应消息,响应消息的包序号为TSN_A+1;
若判断DATA数据包为正常数据,则将DATA数据包的包序号修改回TSN_A后再发送至目标网元;若判断DATA数据包仍为异常数据,则再次丢弃DATA数据包;
将SCTP_ASSOC上下文中的初始化包序号TSN_A递增为初始化包序号TSN_A+2并保存。
通过采用上述技术方案,在上一次判断DATA数据为异常数据的前提下,再次接收到DATA数据包时,DATA数据包以及响应至普通网元的包序号应均为TSN_A+1,以保证普通网元发出的DATA数据包的包序号正常递增。
进一步判断DATA数据包为正常数据时,发送至目标网元的DATA数据包的包序号应修改回TSN_A,以顺延目标网元侧接收DATA数据包的包序号顺序,由于上一次的DATA数据异常被丢弃,目标网元接收DATA数据包的包序号停留在TSN_A,因此本次的包序号应递增为初始化包序号TSN_A;
若进一步判断DATA数据包仍旧为异常数据时,丢弃DATA数据包,而普通网元下一次发送的DATA数据包的包序号修改为TSN_A+2,但目标网元接收DATA数据包的包序号依旧停留在TSN_A;进而使得普通网元侧与目标网元侧发出或接收的DATA数据包序号均正常递增;进而实现信令防火墙无感知地对异常数据进行拦截,即信令防火墙的无感知接入。
本申请在一较佳示例中可以进一步配置为:调用规则策略对DATA数据包进行判断,若判断DATA数据包为正常数据,则将DATA数据包关联普通网元侧的参数数据,并发送至目标网元,若判断DATA数据包为异常数据,丢弃DATA数据包的步骤,还包括步骤:
当信令防火墙接收到SCTP数据包为DATA数据包时,将DATA数据包发送至判断模型中;
基于判断模型预设的数据黑白名单,解析DATA数据包中的数据是否落入黑名单数据,生成判断结果。
通过采用上述技术方案,通过采用数据黑白名单的方式,解析DATA数据包中的数据是否落入黑名单数据,若落入黑名单数据则判断结果为异常数据,若未落入黑名单数据,即落入白名单数据,则判断结果为正常数据,实现对DATA数据包的异常情况的判断。
本申请的上述发明目的二是通过以下技术方案得以实现的:
一种基于SCTP的信令防火墙处理装置,包括:
防火墙串入模块,用于在普通网元和需要保护的目标网元之间串接具有驱动接管功能的信令防火墙,普通网元用于发送或转发数据包至目标网元;
数据包判断模块,用于当信令防火墙接收到数据包时,接管普通网元的访问,解析并判断数据包是否为SCTP数据包;
参数获取模块,用于若数据包为SCTP数据包,则获取并保存目标网元侧和普通网元侧的参数数据;
DATA响应模块,用于当信令防火墙接收到SCTP数据包为DATA数据包时,基于参数数据向发出DATA数据包的普通网元发出响应消息;
异常处理模块,用于调用规则策略对DATA数据包进行判断,若判断DATA数据包为正常数据,则将DATA数据包关联普通网元侧的参数数据,并发送至目标网元,若判断DATA数据包为异常数据,丢弃DATA数据包。
通过采用上述技术方案,通过将信令防火墙设置驱动接管的功能,接管操作系统网络驱动对网口的访问;当信令防火墙接收到数据包时,绕过协议层直接对数据包进行解包,解析并判断信令防火墙接收到的数据包是否为SCTP协议的数据包,若是,则获取目标网元和普通网元的参数数据,即网络参数,使得目标网元和普通网元在信令传输层中的位置相对前移;即信令传输过程中,DATA数据包关联了普通网元的参数数据,使得在目标网元看来,是直接接收了由普通网元发送的数据包,由于响应消息,在普通网元看来则是直接将数据包发送至目标网元,即信令防火墙对于普通网元和目标网元来说均是完全透明无感的存在,实现信令防火墙在信令网中的无感知接入,直接获取并使用目标网元和普通网元的参数数据,则信令防火墙接入后无需修改网络参数。
当非法信令访问时,则通过预设的规则策略进行判断,若判断DATA数据包为异常数据,信令防火墙节点即将DATA数据包丢弃,此时,对于目标网元而言并没有接收到该异常数据,对于普通网元而言是接收到响应消息,实现了对非法访问的无感拦截,非法信令访问的应对措施得应用效果较好。
本申请的上述发明目的三是通过以下技术方案得以实现的:
一种基于SCTP的信令防火墙处理系统,包括具有驱动接管功能的信令防火墙,所述信令防火墙用于通信连接于普通网元以接收数据包;所述信令防火墙用于通信连接于目标网元;
所述信令防火墙用于解析并判断数据包是否为SCTP数据包;当所述信令防火墙接收到INIT数据包时,获取目标网元和普通网元的参数数据并创建SCTP_ASSOC上下文用于保存参数数据;
当所述信令防火墙接收DATA数据包时,向普通网元回复响应消息,所述信令防火墙预设有用于判断DATA数据包是否为异常数据的规则策略,当判断DATA数据包为正常数据时,则将DATA数据包关联普通网元侧的参数数据,并发送至目标网元,
当判断DATA数据包为异常数据时,丢弃DATA数据包。
通过采用上述技术方案,信令防火墙具有驱动接管功能,当普通网元向目标网元发送数据包时,信令防火墙绕过系统协议栈直接接管数据包并判断数据包是否为SCTP数据包,若是,则对SCTP数据包进行解析,若SCTP数据为INIT数据包,则创建用于保存目标网元和普通网元的参数数据的SCTP_ASSOC上下文,通过规则策略拦截非法访问的异常数据,通过SCTP_ASSOC上下文中保存的参数数据关联DATA数据包的包序号,即参数的获取使得对于普通网元而言,其发出的DATA数据包接收到响应消息表示DATA数据包已发送至目标网元,对于目标网元而言,其接收的正常的DATA数据包是来自普通网元,使得信令防火墙的接入后,无需修改原有网元的网络参数,同时也无需对原网元进行升级,进而信令防火墙实现了在普通网元和目标网元之间的无感知接入。
本申请的上述目的四是通过以下技术方案得以实现的:
一种计算机设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述基于SCTP的信令防火墙处理方法的步骤。
本申请的上述目的五是通过以下技术方案得以实现的:
一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现上述基于SCTP的信令防火墙处理方法的步骤。
综上所述,本申请包括以下至少一种有益技术效果:
1.信令传输过程中,DATA数据包替换了普通网元的参数数据,使得在目标网元看来,是直接接收了由普通网元发送的数据包,由于响应消息,在普通网元看来则是直接将数据包发送至目标网元,即信令防火墙对于普通网元和目标网元来说均是完全透明无感的存在,实现信令防火墙在信令网中的无感知接入,直接获取并使用目标网元和普通网元的参数数据,则信令防火墙接入后无需修改网络参数;
2.响应消息的包序号和普通网元发出DATA数据包的包序号一致,对于普通网元而言发出的DATA数据包的包序号均为正常,进而不易发现信令防火墙的接入;
3.目标网元无法接收到该DATA数据包,但对于普通网元而言,包序号的正常递增,进而普通网元并不能察觉被拦截的DATA数据包,因为发出的包序号一直是顺延增加的状态,因此实现信令防火墙的无感拦截,阻止了发送异常消息的普通网元的进一步骚扰;
4.普通网元侧与目标网元侧发出或接收的DATA数据包序号均正常递增;进而实现信令防火墙无感知地对异常数据进行拦截,即信令防火墙的无感知接入。
附图说明
图1是本申请基于SCTP的信令防火墙处理方法实施例的一实现流程图;
图2是本申请基于SCTP的信令防火墙处理方法另一实施例的一实现流程图;
图3是本申请基于SCTP的信令防火墙处理方法另一实施例的另一实现流程图;
图4是本申请基于SCTP的信令防火墙处理系统的原理框图;
图5是本申请基于SCTP的信令防火墙处理系统的交互图;
图6是本申请一种计算机设备的原理框图。
附图标记说明:105、第一网线;106、第二网线;107、第一以太网卡;108、第二以太网卡;109、第三以太网卡;110、第四以太网卡;113、控制模块;114、Dpdk模块。
具体实施方式
以下结合附图1-6对本申请作进一步详细说明。
在以实施例中,如图1所示,本申请公开了一种基于SCTP的信令防火墙处理方法,具体包括如下步骤:
S10:在普通网元和需要保护的目标网元之间串接具有驱动接管功能的信令防火墙,普通网元用于发送或转发数据包至目标网元;
在本实施例中,在本实施例中,普通网元是指信令网中用于发出信令消息的SCTP客户端,目标网元是指信令点SP或信令中转节点STP等SCTP的服务端;数据包即信令消息。
具有驱动接管功能的信令防火墙是指配置有Dpdk的信令防火墙,在收到数据包时,经Dpdk重载的网卡驱动不会通过中断通知CPU,而是直接将数据包存入内存,交付应用层软件通过Dpdk提供的接口来直接处理,实现信令防火墙直接绕过系统协议栈,接管操作系统网络驱动对网口的访问。
具体的,在信令网中的SCTP客户端和需要保护的信令点SP或信令中转节点STP之间串入配置好Dpdk的信令防火墙,且SCTP客户端用于发送信令消息至信令点SP或信令中转节点STP。
S20:当信令防火墙接收到数据包时,接管普通网元的访问,解析并判断数据包是否为SCTP数据包;
在本实施例中,SCTP数据包是符合用SCTP协议处理的数据包,信令防火墙配置有Dpdk即能够对数据包进行解析。
具体的,当信令防火墙接收到来自普通网元的数据包时,Dpdk把接收到的数据包发送至解析模块进行解析,并根据解析的结果判断数据包是否为SCTP数据包,若为SCTP数据包,则进入SCTP协议处理流程。
进一步的,若数据包不属于SCTP数据包,则通过Dpdk将数据包发送至对应类型的处理网口。
S30:若数据包为SCTP数据包,则获取并保存目标网元侧和普通网元侧的参数数据;
在本实施例中,普通网元侧的参数数据即SCTP客户端的参数数据,目标网元侧的参数数据即信令点SP或信令中转节点STP的参数数据,参数数据包括了初始化包序号和验证标签。
具体的,若数据包经过解析判断为SCTP数据包,则获取并保存普通网元侧和目标网元侧的初始化包序号和验证标签。
S40:当信令防火墙接收到SCTP数据包为DATA数据包时,基于参数数据向发出DATA数据包的普通网元发出响应消息;
在本实施例中,DATA数据包是指数据文件,例如计算机中程序、文稿、数字、图像、声音等信息等,响应消息是指SACK(Selective ACK)消息,即选择确认消息,用于提示普通网元已接收到该SCTP数据包。
具体的,基于保存的普通网元侧和目标网元侧的初始化包序号和验证标签,当信令防火墙节点接收到SCTP数据包为DATA数据包时,向普通网元回复SACK消息,用于提示普通网元已接收到该SCTP数据包。
S50:调用规则策略对DATA数据包进行判断,若判断DATA数据包为正常数据,则将DATA数据包关联普通网元侧的参数数据,并发送至目标网元,若判断DATA数据包为异常数据,丢弃DATA数据包。
在本实施例中,规则策略是指用于判断DATA数据包是否属于异常数据的判断规则,例如黑白名单,用于判断特殊字符、IP地址、用户号码、操作码、网页链接等数据;正常数据即正常的信令消息,异常消息是指非法访问的信令消息,例如涉及诈骗、广告、恶意攻击的消息。
具体的,调用规则策略对DATA数据包进行判断,若判断DATA数据包属于正常数据,则将DATA数据包关联普通网元的参数数据后发送至目标网元,即将DATA数据包的包序号修改为普通网元的初始化包序号和标签,并将DATA数据包发送至目标网元;若判断DATA数据包为异常数据,则在信令防火墙节点即将DATA数据包丢弃。
进一步的,丢弃DATA数据包后,目标网元未接收到异常消息,普通网元接收到SACK消息,诱导普通网元消息包已被接收,实现信令防火墙的无感接入,且用普通网元的初始化包序号代替DATA数据包的包序号进行信令传输,无需修改网络参数。
在另一实施例中,参照图2,普通网元侧的参数数据包括初始化包序号TSN_A和验证标签TAG_A,目标网元侧的参数数据包括初始化包序号TSN_B和验证标签TAG_B。
步骤S30包括步骤:
S31:若数据包为SCTP数据包,则当信令防火墙接收到普通网元发送的INIT数据包时,创建SCTP_ASSOC上下文并保存普通网元侧的初始化包序号TSN_A和验证标签TAG_A;
S32:将INIT数据包转发至目标网元;
S33:当信令防火墙接收到目标网元发送的INIT ACK数据包时,将目标网元侧的初始化包序号TSN_B和验证标签TAG_B保存于SCTP_ASSOC上下文;
S34:将INIT ACK数据包发送至普通网元。
在本实施例中,INIT数据包是用于使客户端及服务器确认彼此的身份的网络协议,即握手协议,目标网元接收到INIT数据时,SCTP_ASSOC上下文获取和保存普通网元侧的参数数据,普通网元接收到INIT ACK数据包时获取和保存目标网元侧的参数数据,SCTP_ASSOC上下文用于保存初始化包序号TSN_A、验证标签TAG_A、初始化包序号TSN_B和验证标签TAG_B。
具体的,当信令防火墙接收到普通网元发送的INIT数据包时,发起普通网元和目标网元之间的握手连接,信令防火墙接收到普通网元发送的INIT数据包时,创建SCTP_ASSOC上下文并保存普通网元侧的初始化包序号TSN_A和验证标签TAG_A;然后将INIT数据包转发至目标网元;信令防火墙接收到目标网元发送的INIT ACK数据包时,获取到目标网元侧的初始化包序号TSN_B和验证标签TAG_B并保存于SCTP_ASSOC上下文,完成握手连接。
进一步的,当信令防火墙接收到普通网元发出的COOKIE ECHO数据包时,将COOKIEECHO数据包转发至目标网元,当信令防火墙接收到目标网元发出的COOKIE ACK数据包时,将COOKIE ACK数据包发送回普通网元,实现SCTP的偶联创建过程。
在另一实施例中,步骤S50包括步骤:
S51:当信令防火墙接收到SCTP数据包为DATA数据包时,将DATA数据包发送至判断模型中;
S52:基于判断模型预设的数据黑白名单,解析DATA数据包中的数据是否落入黑名单数据,生成判断结果。
在本实施例中,判断模型是经过训练用于判断DATA数据包落入黑白名单的模型,当DATA数据包落入黑名单数据,则判断结果为异常数据,当DATA数据包落入白名单数据,则判断结果为正常数据。
具体的,当信令防火墙接收到SCTP数据包为DATA数据包时,将DATA数据包发送至判断模型中,判断模型解析DATA数据包的内容,并判断DATA数据包是否落入黑名单数据,当DATA数据包落入黑名单数据,则判断结果为异常数据,当DATA数据包落入白名单数据,则判断结果为正常数据。
进一步的,数据黑白名单可根据用户的需求进行设定。
在另一实施例中,进一步的,当DATA数据包中数据即落入黑名单数据,同时也落入了白名单数据,则判断结果仍然为异常数据。
在另一实施例中,步骤S40包括步骤:
S41:当信令防火墙接收到SCTP数据包为DATA数据包时,将DATA数据包的包序号修改为SCTP_ASSOC上下文中普通网元侧的初始化包序号TSN_A;
S42:向普通网元发送响应消息,响应消息的包序号为TSN_A。
在本实施例中,基于参数数据发出响应消息,即响应消息的包序号为与普通网元发出的DATA数据包的包序号一致。
在另一实施例中,参照图3,步骤S50包括步骤:
S53:若判断DATA数据为异常数据,则丢弃DATA数据包;
S54:将SCTP_ASSOC上下文中的初始化包序号TSN_A递增为初始化包序号TSN_A+1并保存;
在本实施例中,对于目标网元而言并无接收到该异常数据,因此SCTP_ASSOC递增为初始化包序号TSN_A+1并保存,此时包序号TSN_A+1是对于普通网元而言的增加,对于目标网元仍是TSN_A,因为目标网元并未接收到任何消息,响应消息指SACK消息。
具体的,若判断DATA数据包为异常数据,则将异常的DATA数据包丢弃,目标网元并未接收到该DATA数据包,进一步将SCTP_ASSOC上下文中的初始化包序号TSN_A递增为初始化包序号TSN_A+1。
在另一实施例中,步骤S54之后,还包括步骤:
S56:若信令防火墙接再次接收到来自普通网元的DATA数据包,则将DATA数据包的包序号修改为SCTP_ASSOC上下文中普通网元侧的初始化包序号TSN_A+1;
S57:向普通网元发送响应消息,响应消息的包序号为TSN_A+1;
S58:若判断DATA数据包为正常数据,则将DATA数据包的包序号修改回TSN_A后再发送至目标网元;若判断DATA数据包仍为异常数据,则再次丢弃DATA数据包;
S59:将SCTP_ASSOC上下文中的初始化包序号TSN_A递增为初始化包序号TSN_A+2并保存。
在本实施例中,在上一次判断DATA数据为异常数据的前提下,再次接收到DATA数据包时,DATA数据包以及响应至普通网元的包序号应均为TSN_A+1,以保证普通网元发出的DATA数据包的包序号正常递增;
进一步判断DATA数据包为正常数据时,发送至目标网元的DATA数据包的包序号应修改回TSN_A,以顺延目标网元侧接收DATA数据包的包序号顺序,由于上一次的DATA数据异常被丢弃,目标网元接收DATA数据包的包序号停留在TSN_A,因此本次的包序号应为初始化包序号TSN_A;
进一步的,目标网元接收到正常的DATA数据包后,发出SACK(TSN_A)至信令防火墙,信令防火墙接收到SACK(TSN_A)后直接丢弃,以保证普通网元不会接收到不同包序号的响应消息,实现信令防火墙的无感接入。
若进一步判断DATA数据包仍旧为异常数据时,丢弃DATA数据包,而普通网元下一次发送的DATA数据包的包序号修改为TSN_A+2,但目标网元接收DATA数据包的包序号依旧停留在TSN_A;进而使得普通网元侧与目标网元侧发出或接收的DATA数据包序号均正常递增。
在一实施例中,当普通网元向目标网元发出数据包时,信令防火墙的Dpdk网口直接接管访问,将数据包发送至解析模块并判断数据包是否为SCTP数据包,若是SCTP数据包,则判断SCTP数据包是否为INIT数据包,若为INIT数据包则创建SCTP_ASSOC上下文并保存普通网元侧的初始化包序号TSN_A和验证标签TAG_A;然后将INIT数据包转发至目标网元;信令防火墙接收到目标网元发送的INIT ACK数据包时,获取到目标网元侧的初始化包序号TSN_B和验证标签TAG_B并保存于SCTP_ASSOC上下文,进一步信令防火墙接收到普通网元发出的COOKIE ECHO数据包时,将COOKIE ECHO数据包转发至目标网元,当信令防火墙接收到目标网元发出的COOKIE ACK数据包时,将COOKIE ACK数据包发送回普通网元,实现SCTP的偶联创建过程,
当信令防火墙接收到DATA数据包时,将DATA数据包输入判断模型中,根据黑白名单判断DATA数据包是否为正常数据,若为正常数据,则将DATA数据包的包序号修改为SCTP_ASSOC上下文中普通网元侧的初始化包序号TSN_A,将DATA数据包转发至目标网元;并将SCTP_ASSOC上下文中的初始化包序号TSN_A递增为初始化包序号TSN_A+1并保存。
再次接收到DATA数据包时,则响应普通网元SACK(TSN_A+1),判断DATA数据包若为异常数据时,信令防火墙将DATA数据包丢弃,并递增SCTP_ASSOC上下文中普通网元侧的初始化包序号TSN_A+2。
再次接收到DATA数据包时,则响应普通网元SACK(TSN_A+2),判断DATA数据包若为正常数据时,信令防火墙将DATA数据包的包序号修改为TSN_A+1后再次发送至目标网元,并递增SCTP_ASSOC上下文中普通网元侧的初始化包序号TSN_A+3。
应理解,上述实施例中各步骤的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。
在一实施例中,提供一种基于SCTP的信令防火墙处理装置,该基于SCTP的信令防火墙处理装置与上述实施例中基于SCTP的信令防火墙处理方法一一对应。该基于SCTP的信令防火墙处理装置包括:
防火墙串入模块,用于在普通网元和需要保护的目标网元之间串接具有驱动接管功能的信令防火墙,普通网元用于发送或转发数据包至目标网元;
数据包判断模块,用于当信令防火墙接收到数据包时,接管普通网元的访问,解析并判断数据包是否为SCTP数据包;
参数获取模块,用于若数据包为SCTP数据包,则获取并保存目标网元侧和普通网元侧的参数数据;
DATA响应模块,用于当信令防火墙接收到SCTP数据包为DATA数据包时,基于参数数据向发出DATA数据包的普通网元发出响应消息;
异常处理模块,用于调用规则策略对DATA数据包进行判断,若判断DATA数据包为正常数据,则将DATA数据包关联普通网元侧的参数数据,并发送至目标网元,若判断DATA数据包为异常数据,丢弃DATA数据包。
可选的,普通网元侧的参数数据包括初始化包序号TSN_A和验证标签TAG_A,目标网元侧的参数数据包括初始化包序号TSN_B和验证标签TAG_B;
参数获取模块还包括:
TSN_A获取子模块,用于若数据包为SCTP数据包,则当信令防火墙接收到普通网元发送的INIT数据包时,创建SCTP_ASSOC上下文并保存普通网元侧的初始化包序号TSN_A和验证标签TAG_A;
INIT转发模块,用于将INIT数据包转发至目标网元;
TSN_B获取子模块,用于当信令防火墙接收到目标网元发送的INIT ACK数据包时,将目标网元侧的初始化包序号TSN_B和验证标签TAG_B保存于SCTP_ASSOC上下文;
INIT ACK转发模块,用于将INIT ACK数据包发送至普通网元。
可选的,异常处理模块包括:
判断子模块,用于当信令防火墙接收到SCTP数据包为DATA数据包时,将DATA数据包发送至判断模型中;
结果生成子模块,用于基于判断模型预设的数据黑白名单,解析DATA数据包中的数据是否落入黑名单数据,生成判断结果。
可选的,DATA响应模块包括:
包序号修改子模块,用于当信令防火墙接收到SCTP数据包为DATA数据包时,将DATA数据包的包序号修改为SCTP_ASSOC上下文中普通网元侧的初始化包序号TSN_A;
响应子模块,用于向普通网元发送响应消息,响应消息的包序号为TSN_A。
可选的,异常处理模块包括:
异常丢弃子模块,用于若判断DATA数据为异常数据,则丢弃DATA数据包;
递增子模块,用于将SCTP_ASSOC上下文中的初始化包序号TSN_A递增为初始化包序号TSN_A+1并保存。
可选的,异常处理模块还包括:
递增应用子模块,用于若信令防火墙接再次接收到来自普通网元的DATA数据包,则将DATA数据包的包序号修改为SCTP_ASSOC上下文中普通网元侧的初始化包序号TSN_A+1;
递增响应子模块,用于向普通网元发送响应消息,响应消息的包序号为TSN_A+1;
异常丢弃子模块还用于若判断DATA数据包为正常数据,则将DATA数据包的包序号修改回TSN_A后再发送至目标网元;若判断DATA数据包仍为异常数据,则再次丢弃DATA数据包;
递增子模块还用于将SCTP_ASSOC上下文中的初始化包序号TSN_A递增为初始化包序号TSN_A+2并保存。
关于基于SCTP的信令防火墙处理装置的具体限定可以参见上文中基于SCTP的信令防火墙处理方法的限定,在此不再赘述。上述基于SCTP的信令防火墙处理装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种基于SCTP的信令防火墙处理系统,如图4所示,包括具有驱动接管功能的信令防火墙,信令防火墙用于通信连接于普通网元以接收数据包;信令防火墙用于通信连接于目标网元,普通网元为信令节点SPA(0-0-1),目标网元为信令节点为SPB(0-0-2),SPA(0-0-1)包括第一以太网卡107,信令防火墙包括第二以太网卡108和第三以太网卡109,SPB(0-0-2)包括第四以太网卡110,第一以太网卡107与第二以太网卡108通过第一网线105串联,第三以太网卡109与第四以太网卡110通过第二网线106串联,第二以太网卡108和第三以太网卡109采用Dpdk管理和访问。
信令防火墙用于解析并判断数据包是否为SCTP数据包;信令防火墙包括控制模块113和Dpdk模块114,控制模块113和Dpdk模块114通过socket进行通信和交互。Dpdk模块114具有转发控制、数据解析和数据收发的功能,Dpdk模块114设置有规则策略且包含了第二以太网卡108和第三以太网卡109。
参照图5,SPA(0-0-1)为A网元,SPB(0-0-2)为B网元,当信令防火墙接收到INIT数据包时,创建SCTP_ASSOC上下文用于保存初始化包序号和验证标签,将INIT数据包发送至B网元,再将B网元发出的INIT ACK数据包发送回A网元,实现获取A网元和B网元的初始化包序号和验证标签。
当信令防火墙接收到COOKIE ECHO数据包时,将COOKIE ECHO数据包转发至B网元,当信令防火墙接收到B网元发出的COOKIE ACK数据包时,将COOKIE ACK数据包发送A网元,实现SCTP的偶联创建过程。
当所述信令防火墙接收DATA数据包时,向A网元回复响应消息,即回复SACK消息,当信令防火墙根据规则策略判断DATA数据包为正常数据时,将DATA数据包的包序号修改为SCTP_ASSOC上下文中A网元的初始化包序号TSN_A后发送至B网元,并将SCTP_ASSOC上下文中A网元的初始化包序号TSN_A递增为初始化包序号TSN_A+1,B网元回复SACK消息后,信令防火墙将SACK丢弃。
当判断DATA数据包为异常数据时,信令防火墙向A网元回SACK消息,并丢弃DATA数据包。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是服务器,其内部结构图可以如图6所示。该计算机设备包括通过系统总线连接的处理器、存储器、网络接口和数据库。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储SCPT数据包的待分析数据,以及判断结果。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现基于SCTP的信令防火墙处理方法。
在一个实施例中,提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行计算机程序时实现基于SCTP的信令防火墙处理方法。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现基于SCTP的信令防火墙处理方法。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink) DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,仅以上述各功能单元、模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能单元、模块完成,即将所述装置的内部结构划分成不同的功能单元或模块,以完成以上描述的全部或者部分功能。
以上所述实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围,均应包含在本申请的保护范围之内。
Claims (8)
1.一种基于SCTP的信令防火墙处理方法,其特征在于:包括步骤:
在普通网元和需要保护的目标网元之间串接具有驱动接管功能的信令防火墙,普通网元用于发送或转发数据包至目标网元;
当信令防火墙接收到数据包时,接管普通网元的访问,解析并判断数据包是否为SCTP数据包;
若数据包为SCTP数据包,则获取并保存目标网元侧和普通网元侧的参数数据,其中,普通网元侧的参数数据包括初始化包序号TSN_A和验证标签TAG_A,目标网元侧的参数数据包括初始化包序号TSN_B和验证标签TAG_B;
若数据包为SCTP数据包,则获取并保存目标网元侧和普通网元侧的参数数据的步骤,包括步骤:
若数据包为SCTP数据包,则当信令防火墙接收到普通网元发送的INIT数据包时,创建SCTP_ASSOC上下文并保存普通网元侧的初始化包序号TSN_A和验证标签TAG_A;
将INIT数据包转发至目标网元;
当信令防火墙接收到目标网元发送的INIT ACK数据包时,将目标网元侧的初始化包序号TSN_B和验证标签TAG_B保存于SCTP_ASSOC上下文;
将INITACK数据包发送至普通网元;
当信令防火墙接收到SCTP数据包为DATA数据包时,基于参数数据向发出DATA数据包的普通网元发出响应消息;
当信令防火墙接收到SCTP数据包为DATA数据包时,基于参数数据向发出DATA数据包的普通网元发出响应消息的步骤,包括步骤:
当信令防火墙接收到SCTP数据包为DATA数据包时,将DATA数据包的包序号修改为SCTP_ASSOC上下文中普通网元侧的初始化包序号TSN_A;
向普通网元发送响应消息,响应消息的包序号为TSN_A;
调用规则策略对DATA数据包进行判断,若判断DATA数据包为正常数据,则将DATA数据包关联普通网元侧的参数数据,并发送至目标网元,若判断DATA数据包为异常数据,丢弃DATA数据包。
2.根据权利要求1所述的一种基于SCTP的信令防火墙处理方法,其特征在于:调用规则策略对DATA数据包进行判断,若判断DATA数据包为正常数据,则将DATA数据包关联普通网元侧的参数数据,并发送至目标网元,若判断DATA数据包为异常数据,丢弃DATA数据包的步骤,包括步骤:
若判断DATA数据为异常数据,则丢弃DATA数据包;
将SCTP_ASSOC上下文中的初始化包序号TSN_A递增为初始化包序号TSN_A+1并保存。
3.根据权利要求2所述的一种基于SCTP的信令防火墙处理方法,其特征在于:将SCTP_ASSOC上下文中的初始化包序号TSN_A递增为初始化包序号TSN_A+1并保存的步骤之后,还包括步骤:
若信令防火墙接再次接收到来自普通网元的DATA数据包,则将DATA数据包的包序号修改为SCTP_ASSOC上下文中普通网元侧的初始化包序号TSN_A+1;
向普通网元发送响应消息,响应消息的包序号为TSN_A+1;
若判断DATA数据包为正常数据,则将DATA数据包的包序号修改回TSN_A后再发送至目标网元;若判断DATA数据包仍为异常数据,则再次丢弃DATA数据包;
将SCTP_ASSOC上下文中的初始化包序号TSN_A递增为初始化包序号TSN_A+2并保存。
4.根据权利要求1所述的一种基于SCTP的信令防火墙处理方法,其特征在于:调用规则策略对DATA数据包进行判断,若判断DATA数据包为正常数据,则将DATA数据包关联普通网元侧的参数数据,并发送至目标网元,若判断DATA数据包为异常数据,丢弃DATA数据包的步骤,还包括步骤:
当信令防火墙接收到SCTP数据包为DATA数据包时,将DATA数据包发送至判断模型中;基于判断模型预设的数据黑白名单,解析DATA数据包中的数据是否落入黑名单数据,生成判断结果。
5.一种基于SCTP的信令防火墙处理装置,其特征在于:包括:
防火墙串入模块,用于在普通网元和需要保护的目标网元之间串接具有驱动接管功能的信令防火墙,普通网元用于发送或转发数据包至目标网元;
数据包判断模块,用于当信令防火墙接收到数据包时,接管普通网元的访问,解析并判断数据包是否为SCTP数据包;
参数获取模块,用于若数据包为SCTP数据包,则获取并保存目标网元侧和普通网元侧的参数数据,其中,普通网元侧的参数数据包括初始化包序号TSN_A和验证标签TAG_A,目标网元侧的参数数据包括初始化包序号TSN_B和验证标签TAG_B;
参数获取模块还包括:
TSN_A获取子模块,用于若数据包为SCTP数据包,则当信令防火墙接收到普通网元发送的INIT数据包时,创建SCTP_ASSOC上下文并保存普通网元侧的初始化包序号TSN_A和验证标签TAG_A;
INIT转发模块,用于将INIT数据包转发至目标网元;
TSN_B获取子模块,用于当信令防火墙接收到目标网元发送的INITACK数据包时,将目标网元侧的初始化包序号TSN_B和验证标签TAG_B保存于SCTP_ASSOC上下文;
INITACK转发模块,用于将INITACK数据包发送至普通网元;
DATA响应模块,用于当信令防火墙接收到SCTP数据包为DATA数据包时,基于参数数据向发出DATA数据包的普通网元发出响应消息;
DATA响应模块包括:
包序号修改子模块,用于当信令防火墙接收到SCTP数据包为DATA数据包时,将DATA数据包的包序号修改为SCTP_ASSOC上下文中普通网元侧的初始化包序号TSN_A;
响应子模块,用于向普通网元发送响应消息,响应消息的包序号为TSN_A;
异常处理模块,用于调用规则策略对DATA数据包进行判断,若判断DATA数据包为正常数据,则将DATA数据包关联普通网元侧的参数数据,并发送至目标网元,若判断DATA数据包为异常数据,丢弃DATA数据包。
6.一种基于SCTP的信令防火墙处理系统,其特征在于:包括如权利要求1-4任一所述的具有驱动接管功能的信令防火墙,所述信令防火墙用于通信连接于普通网元以接收数据包;所述信令防火墙用于通信连接于目标网元;
所述信令防火墙用于解析并判断数据包是否为SCTP数据包;若数据包为SCTP数据包,则获取并保存目标网元侧和普通网元侧的参数数据,其中,普通网元侧的参数数据包括初始化包序号TSN_A和验证标签TAG_A,目标网元侧的参数数据包括初始化包序号TSN_B和验证标签TAG_B;当所述信令防火墙接收到INIT数据包时,获取目标网元和普通网元的参数数据并创建SCTP_ASSOC上下文用于保存参数数据,其中,SCTP_ASSOC上下文用于保存普通网元侧的初始化包序号TSN_A和验证标签TAG_A;
当信令防火墙接收到目标网元发送的INIT ACK数据包时,将目标网元侧的初始化包序号TSN_B和验证标签TAG_B保存于SCTP_ASSOC上下文;
将INITACK数据包发送至普通网元;
当所述信令防火墙接收DATA数据包时,向普通网元回复响应消息,所述信令防火墙预设有用于判断DATA数据包是否为异常数据的规则策略,当判断DATA数据包为正常数据时,则将DATA数据包关联普通网元侧的参数数据,并发送至目标网元;
当判断DATA数据包为异常数据时,丢弃DATA数据包;
当信令防火墙接收到SCTP数据包为DATA数据包时,基于参数数据向发出DATA数据包的普通网元发出响应消息的步骤,包括步骤:
当信令防火墙接收到SCTP数据包为DATA数据包时,将DATA数据包的包序号修改为SCTP_ASSOC上下文中普通网元侧的初始化包序号TSN_A;
向普通网元发送响应消息,响应消息的包序号为TSN_A。
7.一种计算机设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至4任一项所述SCTP的信令防火墙处理方法的步骤。
8.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至4任一项所述SCTP的信令防火墙处理方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210295987.9A CN114710337B (zh) | 2022-03-24 | 2022-03-24 | 基于sctp的信令防火墙处理方法、装置、系统、设备及介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210295987.9A CN114710337B (zh) | 2022-03-24 | 2022-03-24 | 基于sctp的信令防火墙处理方法、装置、系统、设备及介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114710337A CN114710337A (zh) | 2022-07-05 |
CN114710337B true CN114710337B (zh) | 2022-12-13 |
Family
ID=82170172
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210295987.9A Active CN114710337B (zh) | 2022-03-24 | 2022-03-24 | 基于sctp的信令防火墙处理方法、装置、系统、设备及介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114710337B (zh) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101827283A (zh) * | 2009-12-31 | 2010-09-08 | 上海粱江通信系统股份有限公司 | 一种基于无信令点接入技术实现信令防火墙的系统及方法 |
CN105763515A (zh) * | 2014-12-19 | 2016-07-13 | 上海粱江通信系统股份有限公司 | 一种基于无信令点接入技术实现信令防火墙的方法 |
CN105791208A (zh) * | 2014-12-19 | 2016-07-20 | 上海粱江通信系统股份有限公司 | 一种基于无信令点接入技术实现信令防火墙的系统 |
CN107104919A (zh) * | 2016-02-19 | 2017-08-29 | 华为技术有限公司 | 防火墙设备、流控制传输协议sctp报文的处理方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10693838B2 (en) * | 2018-02-13 | 2020-06-23 | Palo Alto Networks, Inc. | Transport layer signaling security with next generation firewall |
-
2022
- 2022-03-24 CN CN202210295987.9A patent/CN114710337B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101827283A (zh) * | 2009-12-31 | 2010-09-08 | 上海粱江通信系统股份有限公司 | 一种基于无信令点接入技术实现信令防火墙的系统及方法 |
CN105763515A (zh) * | 2014-12-19 | 2016-07-13 | 上海粱江通信系统股份有限公司 | 一种基于无信令点接入技术实现信令防火墙的方法 |
CN105791208A (zh) * | 2014-12-19 | 2016-07-20 | 上海粱江通信系统股份有限公司 | 一种基于无信令点接入技术实现信令防火墙的系统 |
CN107104919A (zh) * | 2016-02-19 | 2017-08-29 | 华为技术有限公司 | 防火墙设备、流控制传输协议sctp报文的处理方法 |
Also Published As
Publication number | Publication date |
---|---|
CN114710337A (zh) | 2022-07-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN1938982B (zh) | 通过认证因特网控制消息协议分组来防止网络攻击的方法和装置 | |
US20150350240A1 (en) | Application and network abuse detection with adaptive mitigation utilizing multi-modal intelligence data | |
AU2020396746B2 (en) | Provisioning method and terminal device | |
CN107690004B (zh) | 地址解析协议报文的处理方法及装置 | |
CN111865996A (zh) | 数据检测方法、装置和电子设备 | |
US11252184B2 (en) | Anti-attack data transmission method and device | |
CN113872933B (zh) | 隐藏源站的方法、系统、装置、设备及存储介质 | |
CN114710337B (zh) | 基于sctp的信令防火墙处理方法、装置、系统、设备及介质 | |
CN110418345B (zh) | 身份认证方法、装置和计算机设备 | |
US10225174B2 (en) | Apparatus and method to hide transit only multi-access networks in OSPF | |
CN114697088B (zh) | 一种确定网络攻击的方法、装置及电子设备 | |
WO2021027941A1 (zh) | 学习路由的方法、转发报文的方法、设备和存储介质 | |
US20210075719A1 (en) | Methods and systems for flow virtualization and visibility | |
US20220014530A1 (en) | Protection method and protection device under direct routing mode | |
CN110808975B (zh) | 敏感数据传输方法、装置、计算机设备和存储介质 | |
CN114598675A (zh) | 基于arp实现主机阻断的控制方法、装置、设备及介质 | |
CN114513343B (zh) | 信令防火墙分级拦截方法、装置、计算机设备及存储介质 | |
CN106067864B (zh) | 一种报文处理方法及装置 | |
CN113992370B (zh) | 一种流量转发控制方法及基于流量转发控制的诱捕节点 | |
CN109150919B (zh) | 一种网络防攻击的方法及网络设备 | |
JP7494240B2 (ja) | Aiによるネットワーク攻撃防御システムおよびその方法 | |
CN114363032B (zh) | 网络攻击检测方法、装置、计算机设备及存储介质 | |
CN118214803B (zh) | 一种基于pbx的rtp拦截检测与绕过方法、设备及介质 | |
CN116208369A (zh) | IPv6中防网关欺骗的传输方法及装置 | |
CN115664740A (zh) | 基于可编程数据平面的数据包转发攻击防御方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |