WO2007014507A1 - System and method for controling ngn service-based firewall - Google Patents

Description

基于下一代网络业务的防火墙控制系统及方法

技术领域

本发明涉及网絡通信技术领域， 更具体地说， 涉及一种基于下一代 网络（NGN )业务的防火墙控制系统及方法。 发明背景

NGN ( Next Generation Network, 下一代网络） 实现了业务层与传 送层分离， 传送层基于分组和光技术， 业务层提供丰富的多媒体业务。 由于 NGN网络为基于网际协议 ( IP )分组技术, 因此， 解决 NGN业务的 安全和服务质量问题将备 重视.。 而防火墙功能作为最重要的也是使用 最广泛的网络安全技术， 其在解决 NGN业务的安全问题上将会继续应 用。

目前防火墙产品主要分为两种： 包过滤类防火墙和代理类防火墙。 其中， 包过滤类防火墙工作在传输层, 代理类防火墙工作在应用层。

所述的包过滤防火墙又进一步包括以下四种工作方式：

( 1 )静态包过滤（ Static Packet Filter ) 防火墙

静态包过滤防火墙实现了根据数据包头信息的静态包过滤。 静态包 过滤防火墙对所接收的每个数据包做允许拒绝的决定。 防火墙审查每个 数据包以便确定其是否与某一条包过滤规则匹配。 过滤规则基于可以提 供给 IP转发过程的包头信息。 包过滤主要检查包头中的下列内容： IP源 地址、 IP目标地址、协议类型（TCP包、 UDP包和 ICMP包）、 TCP或 UDP 包的目的端口、 TCP或 UDP包的源端口、 ICMP消息类型、 TCP包头的 ACK 位等。 静态包过滤防火墙的缺点是： 维护比较困难； 不能有效防止黑客的 欺骗攻击； 不支持应用层的过滤， 不能防范数据驱动型攻击； 无法对网 絡上流动的信息提供全面的控制。 因此， 静态包过滤的安全性较低。

( 2 )动态包过滤（ Dynamic Packet Filter ) 防火墙

采用动态设置包过滤规则的方法， 避免了静态包过滤所具有的问 题。 动态包过滤只有在用户的请求下才打开端口， 并且在服务完毕之后 关闭端口， 这样可以降低受到与开放端口相关的攻击的可能性。 防火墙 可以动态地决定哪些数据包可以通过内部网络的链路和应用程序层服 务。 可以配置相应的访问策略， 只有在允许范围之内才自动打开端口， 当通信结束时关闭端口。

动态包过滤防火墙在两个方向上都最小化了暴露端口的数量， 给网 络提供更高的安全性。 对于许多应用程序协议而言， 例如媒体流， 动态 IP包过滤提供了处理动态分配端'口的最安全方法。

( 3 )全状态检测 （ Statefbl Inspection ) 防火墙

全状态检测防火墙在包过滤的同时， 检查数据包之间的关联性， 检 查数据包中动态变化的状态码。 它有一个监测引擎， 采用抽取有关数据 的方法对网络通信的各层实施监测， 抽取状态信息， 并动态地保存起来 作为以后执行安全策略的参考。 当用户访问请求到达网关的操作系统 前， 状态监视器要抽取有关数据进行分析， 结合网络配置和安全规定做 出接纳、 拒绝、 身份认证、 报警或给该通信加密等处理动作。

全状态检测防火墙保留状态连接表， 并将进出网络的数据当成一个 个的会话， 利用状态表跟踪每一个会话状态。 状态监测对每一个包的检 查不仅根据规则表， 更考虑了数据包是否符合会话所处的状态， 因此提 供了完整的对传输层的控制能力。 目前市场上的主流防火墙， 一般都是 全状态检测防火墙。 全状态检测的防火墙的安全性得到一定程度的提 高， 但是在对付 DDoS攻击、 实现应用层内容过滤， 病毒过滤方面的表 现也不尽人意。

( 4 )深度包检测 ( Deep Packet Inspection ) 防火墙

深度包检测技术融合入侵检测和攻击防范的功能， 它能深入检查信 息包流， 查出恶意行为， 可以根据特征检测和内容过滤， 来寻找已知的 攻击。 并理解什么是 "正常的，，通信， 同时阻止异常的访问。 深度包检测 引擎以基于指紋匹配、 启发式技术、 异常检测以及统计学分析等技术来 决定如何处理数据包。 深度包检测防火墙能有效阻止 DDoS攻击、 病毒 传播问题和高级应用入侵问题。

目前， 所述的代理防火墙技术也经历了应用层代理（Proxy )、 电路 层代理（ Circuit Proxy )到自适应代理（ Application Proxy ) 防火墙的演 变。

其中， 所述的应用层代理也被称为应用层网关 （Application Gateway ) 。 代理服务是运行在防火墙主机上的专门的应用程序或者服 务器程序。 应用层代理为一特 用服务提供代理， 它对应用协议进行 解析并解释应用协议的命令。

应用层代理防火墙的能够解释应用协议， 支持用户认证， 从而能对 应用层的数据进行更细粒度的控制。 缺点是效率低， 不能支持大规模的 并发连接， 只适用于单一协议。

在网络安全解决方案中，应用代理和包过滤类防火墙得到了广泛应 用。 应用代理和包过滤类防火墙可以并存， 分别从两个层面对网络中传 输的数据包进行过滤处理。

在目前 NGN安全解决方案中以及正在研究的资源和准入控制框架 中， 只有动态包过滤会接受来自会话控制代理的打开 /关闭请求， 即业务 控制代理功能（SCPF )通过资源和准入控制功能（RACF )控制 （边界 网关功能） BGF上的动态包过滤的打开和关闭， 类似于自适应代理防火 墙设备中代理与包过滤器之间的控制和互动。

然而， NGN传送层中静态包过滤、状态检测和深度包检测的设置由 管理员进行， 只能是按运营策略配置的粗粒度安全分级处理， 其存在对 NGN业务层（包括会话控制代理）是不可见的。 当一个防火墙同时提供 静态包过滤、 动态包过滤、 '·状态检测和深度包检测等不同安全级别的包 过滤功能时， 无法根据用户需求和会话类型动态选择和执行不同安全级 别的包过滤功能。 发明内容 鉴于上述现有技术所存在的问题， 本发明的主要目的是提供一种基 于 NGN业务的防火墙控制系统，使得基于包过滤的防火墙可以执行 NGN 每用户每会话细粒度的安全分级处理。

本发明的另一目的是提供一种基于 NGN业务的防火墙控制方法，使 得基于包过滤的防火墙可！ ^执行 NGN每用户每会话细粒度的安全分级 处理。 '

本发明的目的是通过以下技术方案实现的：

本发明提供了一种基于 NGN业务的防火墙控制系统， 包括： 应用层代理模块： 包含基于应用代理的防火墙功能， 位于 NGN业务 控制设备中， 用于解析应用层信令， 进行信令流的安全检测， 确定业务 媒体流的安全级别需求信息， 并提供给策略决策功能实体；

策略决策功能实体： 根据业务媒体流的安全级别需求信息及保存的 策略信息确定业务媒体流的安全级别控制信息， 并提供给基于包过滤的 防火墙功能模块；

防火墙功能模块： 设置于网络边界设备中， 用于根据所述的媒体流 的安全级别控制信息对流经的业务媒体流进行安全检测。

所述的业务控制设备包括：

NGN的多媒体子系统 IMS中的代理呼叫会话控制功能实体 P-CSCF , 或者， NGN的软交换系统中的呼叫代理设备， 或者， NGN其他业务系统 中含有应用层代理功能的业务控制设备。

所述的策略决策功能实体设置于业务控制设备或网络边界设备中， 或者设置为独立的设备。

所述的防火墙功能模块具体包括：

包过滤方式选择模块： 用于根据策略决策功能实体提供的媒体流安 全级别控制信息确定针对业务媒体流进行安全检测的防火墙包过滤工 作方式， 并启用相应的包过滤处理模块中相应的基于包过滤的防火墙处 理功能；

包过滤处理模块： 包括设置的各种防火墙包过滤工作方式的防火墙 功能， 各种防火墙包过滤工作方式的防火墙功能在包过滤方式选择模块 的控制下启用， 并对相应的业务进行安全检测。

所述的包过滤处理模块所设置的防火墙包过滤工作方式包括： 动态 包过滤、 全状态检测、 深度包检测中的任意一种或者其中一种以上的任 意组合。

本发明提供了一种基于 NGN业务的防火墙控制方法， 包括：

A、 业务控制设备中的应用层代理模块解析应用层信令， 进行信令 流的安全检测， 确定业务媒体流的安全级别需求信息， 并提供给策略决 策功能实体；

B、 策略决策功能实体根据所述的媒体流的安全级别需求信息以及 保存的策略信息确定媒体流的安全级别控制信息， 并提供给网络边界设 备； C、 网络边界设备中的防火墙功能模块根据所述的媒体流的安全级 别控制信息对流经的业务媒体流进行安全检测。

所述的步骤 A包括：

应用层代理模块对应用层信令进行解析 , 进行信令流的安全检测， 并根据应用属性或者用户属性确定业务媒体流的安全级别需求信息； 将所述的业务的媒体流标识信息和所述的媒体流的安全级别需求 信息一起提供给策略决策功能实体。

所述的步驟 A还包括： '.

将业务的媒体流标识信息和安全級别需求信息连同业务的服务质 量参数需求信息一同提供给策略决策功能实体。

所述的步骤 B包括：

策略决策功能实体根据所述的媒体流的安全级别需求信息以及保 存的策略信息将业务媒体流的安全级别需求信息映射为媒体流的安全 级别控制信息， 并提供给相应的网络边界设备。

所述的步骤 C包括：

网络边界设备中的防火墙功能模块根据所述的媒体流的安全级别 控制信息选择确定对流经的业务媒体流进行安全检测的防火墙包过滤 工作方式； '

根据选择确定的防火墙包过滤工作方式对流经的业务媒体流进行 安全检测。

所述的防火墙包过滤工作方式包括：

动态包过滤方式防火墙、全状态检测方式防火墙和 /或深度包检测方 式防火墙中的任意一种或者其中一种以上的任意组合。

由上述本发明提供的技术方案可以看出， 本发明通过业务层的会话 控制代理功能与传送层的基于包过滤的防火墙功能之间的协同工作 , 使 得基于包过滤的防火墙可以执行 NGN每用户每会话细粒度的安全分级 处理， 可根据用户需求和会话类型动态选择不同安全级别的包过滤工作 方式来防止资源盗用、 IP地址伪装、 拒绝服务和高级应用入侵等网络攻 击。

而且， 本发明中， 业务安全级别需求信息和网络安全级别控制信息 可以独立定义， 由策略决策功能依据策略规则进行映射， 实现了 NGN业 务层和传送层的分离特点。

另外， 本发明中， 应用代理防火墙功能和基于包过滤的防火墙功能 分别位于业务控制设备和网络边界设备上， 各自的技术演进和功能增强 独立进行， 不会互相影响， 只需修改策略决策功能上的策略规则即可协 同工作。 附图简要说明

图 1为才 居本发明实施例的防火墙动态控制系统的示范性结构示意 图；

图 2为根据本发明实施例的防火墙动态控制方法的实现示范性流程 示意图。 实施本发明的方式

为使本发明的目的、 技术方案和优点表达得更加清楚明白， 下面结 合附图及具体实施例对本发明再作进一步详细的说明。

在 NGN业务层体系架构中， 会话控制代理功能是一个必不可少的 部件， 如 IMS (多媒体业务子系统） 中的 P-CSCF (代理呼叫会话控制 功能）， 本质上就是应用代理， 是多媒体会话业务的第一个接触点， 进 行用户认证、 应用协议解析和代理、 以及应用层的 NAPT (网絡地址和 端口转换器）。 在 NGN传送层体系架构中， 基于包过滤的防火墙功能是 必不可少的安全部件， 包括静态包过滤、 动态包过滤、 状态检测和深度 包检测功能， 通常部署在网络边缘， 保护网络内部部件不受攻击。

为此， 本发明提供了一种支持 NGN业务安全级别的防火墙动态控 制系统和方法。 通过业务层的会话控制代理功能与传送层的基于包过滤 的防火墙功能之间的协同工作 ,使得基于包过滤的防火墙可以执行 NGN 针对每个用户每个会话的细粒度的安全分级处理， 可根据用户需求和会 话类型动态选择不同安全级别的包过滤工作方式来防止资源盗用、 IP地 址伪装、 拒绝服务和高级应用入侵等网络攻击， 如选择动态包过滤、 状 态检测或深度包检测等包过滤工作方式。

本发明提供了一种支持 NGN业务安全级别的防火墙动态控制系统 和方法。 本发明所提供的系统和方法可以独立应用作为 NGN业务的安 全方案，也可以集成在 NGN的资源和准入控制框架中作为 NGN业务的 传送服务质量、 安全和 NAPT穿越的综合方案。

本发明所述的防火墙动态控制系统的示范性结构框图如图 1所示， 具体包括：

( 1 )应用层代理（Application Proxy )模块， 包含基于应用代理的 防火墙功能， 优选位于业务控制设备中 , 用于对应用层信令进行解析处 理， 进行信令流的安全检测， 确定业务媒体流的安全级别需求信息， 并 提供给策略决策功能实体；

所述的业务控制代理设备可以为： NGN IP多媒体子系统（IMS )中 的 P-CSCF (代理呼叫会话控制功能）设备， 或者 NGN软交换系统 ( Softswitch ) 中的 CallAgent (呼叫代理）设备， 或者， NGN其他业务 系统中含有应用层代理功能的业务控制设备。

( 2 )策略决策功能实体，用于将所述的业务媒体流的安全级别需求 信息映射为媒体流的安全级别控制信息， 并提供给网络边界设备中的基 于包过滤的防火墙功能模块；

策略决策功能实体可以是一个独立设备， 也可以是集成在业务控制 设备或网络边界设备中的一个功能模块。

( 3 )防火墙功能模块， 设置于网络边界设备中， 用于根据所述的媒 体流的安全级别控制信息对流经的业务媒体流进行基于包过滤的安全 检测， 该模块具体包括：

包过滤方式选择模块： 用于根据策略决策功能实体提供的媒体流的 安全级别控制信息确定针对业务媒体流进行安全检测的防火墙包过滤 工作方式， 并启用相应的包过滤处理模块中相应的基于包过滤的防火墙 处理功能；

包过滤处理模块： 包括设置的各种防火墙包过滤工作方式的防火墙 功能， 各种防火墙包过滤工作方式的防火墙功能在包过滤方式选择模块 的控制下启用 , 并对相应的业务媒体流进行安全检测。

所述的各种防火墙包过滤工作方式包括： Dynamic packet filter (动 态包过滤 )、 Stateful inspection (全状态检测 )和 Deep packet inspection (深度包检测） 防火墙功能， 等等。

基于上述防火墙动态控制系统， 本发明所述的方法的具体实现方式 如图 2所示， 具体包括：

步骤 21 : 业务控制设务执行应用层代理功能， 对应用层信令流进行 解析、 安全检测和代理， 即实现基于应用代理的防火墙技术。 基于应用 代理的防火墙功能包含于"应用层代理"功能模块中， 同时， 支持用户认 证， 用于对接入的用户进行安全检查， 及接入认证处理；

步骤 22: 业务控制设备根据应用属性或者用户属性确定本次应用业 务的媒体流安全级别， 并将该业务的媒体流标识信息和安全级别需求信 息提供给策略决策功能实体；

所述的应用属性或用户属性包括： 业务类型 （语音流可能比视频流 的安全要求高）， 用户向运营商预定的安全要求（比如企业用户的安全 要求高）， 等等， 相应的应用属性或用户属性信息可能保存在用户数据 库或业务数据库中， 也可能是配置在业务控制设备中的粗分类信息， 由 商业运营模式决定， 艮难标准化或专利保护；

根据需要还可以连同其它 QoS (服务质量）和优先级等需求信息一 同提供给策略决策功能实体；

步骤 23: 策略决策功能基于策略规则将所收到的该业务的媒体流的 安全级别需求信息映射为媒体流的安全级别控制信息；

所述的策略规则具体可以由运营商根据设备部署和商业运营模式确 定； '

步骤 24: 策略决策功能将该业务的媒体流标识信息和媒体流的安全 级别控制信息提供给网络边界设备， 以控制网络边界设备中的基于包过 滤的防火墙功能； 根据应用需要， 在策略决策功能实体上还可以连同其 它 QoS和 NAPT控制信息一同提供给网络边界设备；

步骤 25: 网络边界设备根据所收到的媒体流的安全级别控制信息选 择相应安全级别的防火墙包过滤工作方式，例如，可以选择动态包过滤、 状态检测或深度包检测等防火墙包过滤工作方式， 对该业务的媒体流执 行基于包过滤的防火墙功能， 以防止资源盗用、 IP地址伪装、 拒绝服务 和高级应用入侵等网络攻击。

综上所述， 本发明中通过业务层的会话控制代理功能与传送层的基 于包过滤的防火墙功能之间的协同工作 , 使得基于包过滤的防火墙可以 执行 NGN每用户每会话细粒度的安全分级处理， 可根据用户需求和会 话类型动态选择不同安全级別的防火墙包过滤工作方式来防止资源盗 用、 IP地址伪装、 拒绝服务和高级应用入侵等网络攻击。

以上所述， 仅为本发明较佳的具体实施方式， 但本发明的保护范围 并不局限于此， 任何熟悉本技术领域的技术人员在本发明揭露的技术范 围内， 可轻易想到的变化或替换， 都应涵盖在本发明的保护范围之内。 因此， 本发明的保护范围应该以权利要求的保护范围为准。

Claims

权利要求书

1、一种基于下一代网络 NGN业务的防火墙控制系统，其特征在于， 包括：

应用层代理模块： 包含基于应用代理的防火墙功能， 位于 NGN业 务控制设备中， 用于解析应用层信令， 进行信令流的安全检测， 确定业 务媒体流的安全级别需求信息， 并提供给策略决策功能实体；

策略决策功能实体： 根据业务媒体流的安全级别需求信息及保存的 策略信息确定业务媒体流的安全级别控制信息， 并提供给基于包过滤的 防火墙功能模块；

防火墙功能模块： 设置于网络边界设备中， 用于根据所述的媒体流 的安全级别控制信息对流经的业务媒体流进行安全检测。

2、 根据权利要求 1所述的基于 NGN业务的防火墙控制系统， 其特 征在于， 所述的业务控制设备包括：

NGN 的多媒体子系统 IMS 中的代理呼叫会话控制功能实体 P-CSCF, 或者， NGN的软交换系统中的呼叫代理设备， 或者， NGN其 他业务系统中含有应用层代理功能的业务控制设备。

3、 根据权利要求 1所述的基于 NGN业务的防火墙控制系统， 其特 征在于， 所述的策略决策功能实体设置于业务控制设备或网络边界设备 中， 或者设置为独立的设备。

4、 根据权利要求 1、 2或 3所述的基于 NGN业务的防火墙控制系 统， 其特征在于， 所述的防火墙功能模块具体包括：

包过滤方式选择模块: 用于根据策略决策功能实体提供的媒体流安 全级别控制信息确定针对业务媒体流进行安全检测的防火墙包过滤工 作方式， 并启用相应的包过滤处理模块中相应的基于包过滤的防火墙处 理功能；

包过滤处理模块： 包括设置的各种防火墙包过滤工作方式的防火墙 功能， 各种防火墙包过滤工作方式的防火墙功能在包过滤方式选择模块 的控制下启用， 并对相应的业务进行安全检测。

5、 根据权利要求 4所述的基于 NGN业务的防火墙控制系统， 其特 征在于， 所述的包过滤处理模块所设置的防火墙包过滤工作方式包括： 动态包过滤、 全状态检测、 深度包检测中的任意一种或者其中一种以上 的任意组合。

6、 一种基于 NGN业务的防火墙控制方法， 其特征在于， 包括：

A、 业务控制设备中的应用层代理模块解析应用层信令， 进行信令 流的安全检测， 确定业务媒体流的安全级别需求信息， 并提供给策略决 策功能实体；

B、 策略决策功能实体根据所述的媒体流的安全级别需求信息以及 保存的策略信息确定媒体流的安全级别控制信息， 并提供给网络边界设 备；

C、 网络边界设备中的防火墙功能模块根据所述的媒体流的安全级 别控制信息对流经的业务媒体流进行安全检测。

7、 根据权利要求 6所述的基于 NGN业务的防火墙控制方法， 其特 征在于， 所述的步骤 A包括：

应用层代理模块对应用层信令进行解析， 进行信令流的安全检测， 并根据应用属性或者用户属性确定业务媒体流的安全级别需求信息； 将所述的业务的: ¾某体流标识信息和所述的媒体流的安全级别需求信 息一起提供给策略决策功能实体。

8、 根据权利要求 7所述的基于 NGN业务的防火墙控制方法， 其特 征在于， 所述的步骤 A还包括： 将业务的媒体流标识信息和安全级别需求信息连同业务的服务质量 参数需求信息一同提供给策略决策功能实体。

9、 根据权利要求 6所述的基于 NGN业务的防火墙控制方法， 其特 征在于， 所述的步骤 B包括：

策略决策功能实体根据所述的媒体流的安全级别需求信息以及保存 的策略信息将业务媒体流的安全级别需求信息映射为媒体流的安全级 别控制信息， 并提供给相应的网络边界设备。

10、 根据权利要求 6至 9任一项所述的基于 NGN业务的防火墙控 制方法， 其特征在于， 所述的步骤 C包括：

网络边界设备中的防火墙功能模块根据所述的媒体流的安全级别控 制信息选择确定对流经的业务媒体流进行安全检测的防火墙包过滤工 作方式；

根据选择确定的防火墙包过滤工作方式对流经的业务媒体流进行安 全检测。

11、 根据权利要求 10所述的基于 NGN业务的防火墙控制方法， 其 特征在于， 所述的防火墙包过滤工作方式包括：

动态包过滤方式防火墙、 全状态检测方式防火墙、 深度包检测方式 防火墙中的任意一种或者其中一种以上的任意组合。