WO2010051731A1

WO2010051731A1 - 一种管理过滤规则的方法、媒体网关及系统

Info

Publication number: WO2010051731A1
Application number: PCT/CN2009/074538
Authority: WO
Inventors: 祝宁
Original assignee: 华为技术有限公司
Priority date: 2008-11-07
Filing date: 2009-10-20
Publication date: 2010-05-14
Also published as: ES2573705T3; EP2339808A1; EP2339808B1; CN105897702B; CN101741821A; US8571047B2; EP2339808A4; CN105897702A; US20110211586A1

Description

一种管理过滤规则的方法、媒体网关及系统本申请要求 2008年 11月 7日提交中国专利局、申请号为 200810218964. 8、发明名称为 "一种实现包过滤的方法、媒体网关及系统" 的中国专利申请的优先权，其全部内容通过引用结合在本申请中。技术领域

本发明涉及网络通讯领域，尤其涉及一种管理过滤规则的方法、媒体网关及系统。背景技术

下一代网络（Next Generation Network, NGN) 为分布式网络结构，能够有效承载语音、视频和多媒体业务，实现业务应用、业务控制和业务传送功能三者的分离。现有 NGN网络主要包括媒体网关（Media Gateway, MG) 和媒体网关控制器 (Media Gateway Controller, MGC) 。其中， MGC, 用于实现呼叫状态的管理，以及对 MG承载资源的控制； MG, 用于根据 MGC的控制实现媒体流的建立、修改、释放以及资源管理。

通常媒体网关作为边界网关时工作在背靠背（back-to-back, B2B)模式下。即在两个 IP网络各创建一个终端，分配所在 IP网络的地址。该地址在各自的 IP网络中作为发出媒体流的源地址和接收媒体流的目的地址。对于每个终端来说，通常每个媒体流都有确定的媒体流对端，一般情况下过滤规则只需要针对该对端的地址进行过滤，所以过滤规则通常只有一条。

H. 248. 64协议中的媒体网关工作在路由模式，使用终端代表接口，即终端对应的是接口，而不是 IP网络中的某一地址，相应的过滤规则则是设置在了代表接口的终端上。而要在接口上设置防火墙的包过滤规则，单条过滤规则是不够的，某个接口上的防火墙包过滤规则可能达到几万条。

在实现本发明过程中，发明人发现，采用上述现有的技术，无法实现媒体网关控制器对媒体网关上的端口中的过滤规则的有效控制， SP，通常情况下媒体网关控制器几乎不可能对媒体网关的终端上的属性中的过滤规则进行审计等控制操作。发明内容

本发明实施例所要解决的技术问题在于，提供一种管理过滤规则的方法、媒体网关及系统。可有效的实现媒体网关控制器对媒体网关上的包过滤规则进行管理。

为了解决上述技术问题，一方面，本发明的实施例提供了一种管理过滤规则的方法，包括：媒体网关接收媒体网关控制器发送的处理消息；媒体网关根据媒体网关控制器发送的处理消息对包过滤规则上下文进行维护，所述包过滤规则上下文中至少包括一条对所述媒体网关收发的报文进行包过滤的过滤规则，所述处理消息包括创建、修改或删除包过滤规则上下文的消息。

另一方面，本发明的实施例提供了一种媒体网关，包括：上下文处理单元，用于根据媒体网关控制器发送的处理消息对包过滤规则上下文进行维护，所述包过滤规则上下文中至少包括一条对所述媒体网关收发的报文进行包过滤的过滤规则，所述处理消息包括创建、修改或删除包过滤规则上下文的消息；过滤单元，用于根据所述包过滤规则上下文中的所述过滤规则对所述媒体网关收发的报文进行包过滤。

本发明实施例中还提供了一种网络系统，包括媒体网关控制器和媒体网关，其中，所述媒体网关控制器，用于向所述媒体网关发送处理消息；所述媒体网关，用于根据所述媒体网关控制器发送的处理消息对包过滤规则上下文进行维护，并根据所述包过滤规则上下文中的过滤规则对所述媒体网关收发的报文进行包过滤，所述包过滤规则上下文中至少包括一条对所述媒体网关收发的报文进行包过滤的过滤规则，所述处理消息包括创建、修改或删除包过滤规则上下文的消息。

在本发明实施例所提供的技术方案中，由于采用处理媒体网关中的包过滤规则上下文的方法对媒体网关的接口的包过滤规则进行控制，由于该上下文可以有多个，这样就可以分多次对多媒体网关的接口的所有过滤规则进行设置，使得可以通过媒体网关控制器和媒体网关之间的传递的消息多次对上下文进行设置，以有效的实现媒体网关控制器对媒体网关接口上的包过滤规则进行管理。附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图 1为现有技术中 NGN网络的结构示意图；

图 2为本发明实施例的实现包过滤的方法具体实施例的流程示意图；图 3为本发明实施例的网络系统具体实施例的结构示意图；

图 4为本发明实施例的网络系统中上下文处理单元的结构示意图；图 5为本发明实施例的媒体网关具体实施例的结构示意图一；

图 6为本发明实施例的媒体网关具体实施例的结构示意图二。具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

图 1为现有技术中 NGN网络的结构示意图。如图 1所示， NGN网络主要包括 MGC和 MG。其中， MGC, 用于实现呼叫状态的管理，以及对 MG承载资源的控制； MG, 用于根据 MGC 的控制实现媒体流的建立、修改、释放以及资源管理。 MGC 和 MG 之间根据 H. 248 协议或媒体网关控制协议（Media Gateway Control Protocol , MGCP)进行信息交互， MG和 MG之间根据 RTP协议进行信息交互。

在现有的技术条件下，发明人在实现本发明实施例时发现，如果通过现有技术中定义的终端上的属性来描述接口上的包过滤规则，则由于某一终端上的属性中的过滤规则可能多达几万条，而导致该属性非常长；那么当媒体网关控制器需要新建或修改媒体网关接口的过滤规则时，由于上述终端上的属性是作为整体进行修改等操作的，因此， MGC向 MG发送包含上述过滤规则的终端上的属性的修改消息时，该消息会变得很长，而 MGC和 MG通讯协议 H. 248中的消息在传输层允许的长度是有限。因此，通常情况下几乎不可能对终端上的属性中的过滤规则进行审计等控制操作。

为此提出了如下所述的本发明实施例中的技术方案，已解决上述问题。图 2为本发明实施例的实现包过滤的方法的具体实施例的流程示意图。如图 2 所示，该方法包括：

201、媒体网关根据媒体网关控制器发送的处理消息对包过滤规则上下文进行维护，包过滤规则上下文中至少包括一条对媒体网关收发的报文进行包过滤处理的过滤规则。将某个接口涉及到的所有的包过滤规则上下文中保存的单条或者多条包过滤规则汇总后，就是该接口上的完整的包过滤规则列表。

其中，处理消息可以是创建、修改或者删除包过滤规则上下文的消息，相应的媒体网关则可根据媒体网关控制器发送的处理消息创建新的包过滤规则上下文，或修改已创建的包过滤规则上下文、或删除已创建的包过滤规则上下文，并在创建、修改或删除包过滤规则上下文完成后，向媒体网关控制器返回应答消息。

创建包过滤规则上下文时可以创建一个内容为空的包过滤规则上下文，也可以在创建包过滤规则上下文的同时通过设置上下文属性等方式设置该包过滤规则上下文的过滤规则；对已创建的包过滤规则上下文进行修改包括增加、修改或删除包过滤规则上下文中的过滤规则。

其中，以 H. 248协议为例对 MGC中的包过滤规则上下文的意义进行描述: 在 H. 248协议中， MG上的各种资源被抽象表示为终端（Termination) 。终端又分为物理（Physical ) 终端和临时（Ephemeral ) 终端，前者代表一些具有半永久存在性的物理实体，例如时分复用和复用（Time Division Multiplex, TDM) 通道等，后者代表一些临时申请用后释放的公共资源，例如 RTP流等。另以根（Root ) 终端代表 MG 整体。终端之间的组合可以表示为上下文 (Context ) 。上下文可以包含多个终端，因而以拓扑（Topology) 来描述终端间的相互关系。对于还未与其它终端发生关联的终端，由一个称为空（Nul l ) 上下文的特殊上下文来包含。

基于协议的这种抽象模型，呼叫的接续实际上就是对终端和上下文的操作。这种操作通过 MGC和 MG之间的命令（Command) 、请求（Request ) 和响应（Reply)来完成。命令类型包括添加（Add)、修改（Modify )、删减（Subtract )、移动 (Move ) 、审计值 (AuditValue ) 、审计會力 (AuditCapabi l ities ) 、通报（Notify ) 、服务改变（ServiceChange ) ，但不限于这些。命令参数，也称为描述符（Descriptor )，被分类为属性（Property )、信号（Signal ) 、事件（Event ) 、统计（Statistic ) ，但不限于这些。具有业务相关性的参数逻辑上聚合成为包（Package ) 。

H. 248协议消息中被创建的上下文中必须要加入终端，还可以在后续消息中加入新的终端，或者从上下文中删除或者挪走已有终端。如果上下文中所有终端都被删除或者挪走，则该上下文也就没有存在的价值，自动被删除。本发明实施例中采用了一种的新的上下文，即包过滤规则上下文，来存储过滤规则。包过滤规则上下文中还包括下述属性中的一个或多个：过滤规则对象，用于标识过滤规则作用的网络域的信息，或用以标识过滤规则作用的接口的信息；标识属性，用于标识上下文为包过滤规则上下文；开关属性，用于标识包过滤规则上下文中的过滤规则是否有效；优先级属性，用于标识包过滤规则上下文中的过滤规则的优先级。

其中，在包过滤规则上下文中有一个或者多个终端，这是由包过滤规则上下文本身的特性决定。这些终端主要是为了保证包过滤规则上下文的存在而被加入，也可以在这些终端上保存一些信息，比如保存包过滤规则、过滤规则对象、标识属性、包过滤规则开关属性、优先级属性等信息。可以在增加，删除，修改，移动等命令中修改包过滤规则上下文属性，从包过滤规则上下文的角度理解，修改包过滤规则上下文属性可以说是对包过滤规则上下文的修改操作。

202、媒体网关根据包过滤规则上下文中的过滤规则对媒体网关收发的报文进行包过滤。

对上述包过滤规则上下文进一歩进行举例如下，该上下文中包括：

1 ) 标识属性，本属性为可选

该标识属性可为 H. 248协议的上下文属性 FilterRule, 数据类型为布尔 (B00L, 或 bool 类型），其取值可以为 "Yes "或者 "No" ，默认值可设为 "No" 。当该属性值为 "Yes " 时，表示该上下文为一个包过滤规则上下文；当该属性值为 "No" 时表示该上下文不是包过滤规则上下文。

该标识属性也可以在现有的 H. 248的属性上扩展，如，还 H. 248的 IP路由包中有属性描述上下文的类型，例如为背靠背类型， IP路由类型或者 NAT 类型等，可以在该属性中新增一个类型枚举值为包过滤规则类型。

2 ) 过滤规则，本属性为必选过滤规则可为 H. 248协议的上下文属性 Fi lterRuleltem, 该上下文属性用于保存包过滤规则项。通过对该上下文属性值的设置和修改，媒体网关控制器或媒体网关可以实现对包过滤规则的操作和维护。该上下文属性的数据类型可为字符串，该字符串保存包过滤规则表的一项。

包过滤规则可包括下面所列的规则中的一项或是多项：

拒绝来自某主机或某网段的连接；

允许来自某主机或某网段的连接；

拒绝来自某主机或某网段的指定端口的连接；

允许来自某主机或某网段的指定端口的连接；

拒绝本地主机或本地网络与其它主机或其它网络的所有连接；

允许本地主机或本地网络与其它主机或其它网络的所有连接；

拒绝本地主机或本地网络与其它主机或其它网络的指定端口的连接；允许本地主机或本地网络与其它主机或其它网络的指定端口的连接；任何进入内网的数据包不能将内部地址作为源地址；

任何进入内网的数据包必须将内部地址作为目的地址；

任何离开内网的数据包必须将内部地址作为源地址；

任何离开内网的数据包不能将内部地址作为目的地址；

任何进入或者离开内网的数据包不能把私有地址或者 127. 0. 0. 0/8作为源地址或者目的地址。 DHCP自动配置和广播地址也要被阻塞。

属性 Fi lterRuleltem的语法比较灵活，例如可以为：

"rein : 138. 76. 28. 0/24 "表示拒绝来自网络地址 138. 76. 28. 0，掩码为

255. 255. 255. 0的网段的包；

" acin : 138. 76. 28. 0/24 "表示允许来自网络地址 138. 76. 28. 0，掩码为

255. 255. 255. 0的网段的包；

"rein : 138. 76. 28. 100 : 10000 "表示拒绝来自地址为 138. 76. 28. 100, 端口为 10000的主机的包； "acin: 138.76.28.100:10000"表示允许来自地址为 138.76.28.100, 端口为 10000的主机的包；

"reout: 138.76.28.0/24"表示拒绝发往网络地址 138.76.28.0，掩码为 255.255.255.0的网段的包；

"acout: 138.76.28.0/24"表示允许发往网络地址 138.76.28.0，掩码为 255.255.255.0的网段的包；

"reout: 138.76.28.100:10000"表示拒绝发往地址为 138.76.28.100，端口为 10000的主机的包；

"acout: 138.76.28.100:10000"表示允许发往地址为 138.76.28.100，端口为 10000的主机的包；

"relnaddr"表示进入内网的数据包不能将内部地址作为源地址； " aclnaddr "表示进入内网的数据包必须将内部地址作为目的地址； "acOutaddr"表示离开内网的数据包必须将内部地址作为源地址； "reOutaddr"表示离开内网的数据包不能将内部地址作为目的地址；类似的上述对属性具体内容的定义也可以有其他的方式，此处不做赘述。其中，上下文属性 FilterRuleltem的一个字符串中可以保存一个包过滤规则项，也可以通过用分割符隔开的方式保存多个包过滤规则项。

上下文属性 FilterRuleltem 的数据类型还可以定义成字符串列表的形式，以保存多个包过滤规则项。

在建立新的包过滤上下文的时候，可以通过设置上下文属性 FilterRuleltem的值的形式设置媒体网关的包过滤规则项目。

可以通过修改已有的包过滤上下文中的上下文属性 FilterRuleltem 的值，从而更改其保存的包过滤规则项。这种操作可以理解成对包过滤规则上下文的修改。

可以通过删除已有的包过滤上下文中所有终端的方式删除该包过滤规则上下文，该包过滤规则上下文中上下文属性 FilterRuleltem携带的包过滤规则因此被删除。或直接则将上下文属性 Fi lterRuleltem的值设置成空值的方式删除包过滤规则项。

3 ) 包过滤规则开关属性，本属性为可选

包过滤规则开关属性可为 H. 248协议的上下文属性 Fi lterRuleSwitch, 该属性用于作为开关，表示该包过滤上下文中保存的包过滤规则是否被使用。该属性值可为 B00L类型。如果是 "Yes " ，表示该包过滤上下文中保存的包过滤规则有效，需要被使用。如果是 "No " ，表示该包过滤上下文中保存的包过滤规则无效。

4) 优先级属性，本属性为可选

优先级属性可为 H. 248协议的上下文属性 Fi lterRulePrior,该上下文属性用于描述包过滤规则的优先级别，优先级别高的包过滤规则先被使用。该属性值可为整数类型，如当数字越小时表示对应的包过滤规则的优先级别越高。

5 ) 过滤规则对象信息，本属性为可选

过滤规则对象信息可为 H. 248协议的上下文属性 Fi lterRuleNetwork,该上下文属性用于标识适用过滤规则的网络域的信息或 /和接口的信息，如描述包过滤规则作用在的网络域的信息，或者作用在的接口（逻辑接口或者物理接口）的信息，或者接口的信息加网络域的信息。

以上述对上下文中包含的具体内容为例对图 2中描述的过程举例如下：

1 ) 创建新的包过滤规则上下文的情况

歩骤一、媒体网关控制器向媒体网关发送 H. 248创建包过滤规则上下文的消息创建一个新的包过滤规则上下文，创建包过滤规则上下文的过程是将一个或者多个终端加入一个用通配符作为上下文 ID的上下文中，媒体网关在应答消息中返回媒体网关分配的上下文 ID。在该消息中，上下文属性 Fi lterRule的值为 "Yes "，表示该上下文为包过滤规则上下文。上下文属性 Fi lterRuleltem 的值为 "rein : 138. 76. 28. 0/24" 表示拒绝来自网络地址 138.76.28.0 , 掩码为 255.255.255.0 的网段的包。上下文属性

FilterRuleSwitch 的值为 "yes" ，表示该包过滤规则有效。上下文属性 FilterRulePrior 的值为 100，表示优先级别为 100。上下文属性 FilterRuleNetwork 的值为 "interfacel" 表示该包过滤过则作用在接口 interfacel上。

歩骤二、媒体网关接收到该 H.248创建包过滤规则上下文的消息后，按照 H.248消息中的指示创建上述新的上下文 C1, 然后返回应答消息给媒体网关控制器。并根据该上下文中的上下文属性 FilterRuleltem 在接口 interfacel上增加该包过滤规则，以便对接口 Interfacel上传输的报文包进行过滤。

2) 修改上下文的情况

歩骤一、媒体网关控制器向媒体网关发送修改包过滤规则上下文的消息修改上下文 C1 的属性 FilterRuleltem 的值，将其由 "rein: 138.76.28.0/24"修改为 "acin: 138.76.28.0/24" ，修改后的规则表示允许来自网络地址 138.76.28.0，掩码为 255.255.255.0的网段的包。

歩骤二、媒体网关按照接收的消息修改上下文 C1的属性，返回应答消息给媒体网关控制器。并修改在接口 interfacel上正在使用的相关包过滤规则，以便对接口 Interfacel上传输的报文包进行过滤。

3) 删除上下文或删除上下文中的过滤规则的情况

歩骤一、媒体网关控制器向媒体网关发送删除包过滤规则上下文的消息，删除上下文 C1中的所有终端。

歩骤二、媒体网关按照指示删除上下文 C1或删除上下文 C1 中的所有过滤规则，返回应答消息给媒体网关控制器，并删除接口 interfacel上的包过滤规则 "acin: 138.76.28.0/24" 。以上的实施例中通过上下文属性维护包过滤规则、包过滤规则开关、优先级和过滤规则对象信息。也可以通过维护上下文中的终端属性的方式维护这些信息，则在终端属性中包括：

(1)过滤规则，本属性为必选

该过滤规则可为 H. 248协议的属性 Fi lterRuleltemT,该上下文属性在终端的 localcontrol描述符中携带。该上下文属性的数据类型以及保存的信息和前面实施例中的上下文属性 Fi 1 terRul eltem相同。

(2)包过滤规则开关属性，本属性为可选

包过滤规则开关属性可为 H. 248协议的属性 Fi lterRuleSwitchT,该包过滤规则开关属性在终端的 localcontrol描述符中携带。该包过滤规则开关属性的数据类型以及保存的信息和前面实施例中的上下文属性 Fi l terRul eSwitch相同。

(3) 优先级属性，本属性为可选

优先级属性可为 H. 248协议的属性 Fi lterRulePriorT, 该优先级属性在终端的 localcontrol描述符中携带。该优先级属性的数据类型以及保存的信息和前面实施例中的上下文属性 Fi IterRulePrior相同。

(4) 过滤规则对象信息，本属性为可选

过滤规则对象信息可为 H. 248协议的上下文属性 Fi lterRuleNetworkT, 该属性在终端的 localcontrol描述符中携带。该上下文属性的数据类型以及保存的信息和前面实施例中的上下文属性 Fi lterRuleNetwork相同。

这些终端属性被设置到包过滤规则上下文中的终端上。对这些终端的操作也可以理解为对包过滤上下文的增加，修改和删除操作。

以上的过滤规则和增加的一些可选属性还可以部分通过上下文属性实现，部分通过终端属性实现。

在本发明实施例所提供的技术方案中，媒体网关控制器通过采用处理媒体网关中的包过滤规则上下文的方法对媒体网关的接口的包过滤规则进行控制，由于该上下文可以有多个，这样就可以分多次对多媒体网关的接口的所有过滤规则进行设置，使得可以通过媒体网关控制器和媒体网关之间的传递的消息多次对上下文进行设置，以有效的实现媒体网关控制器对媒体网关接口上的包过滤规则进行管理。

图 3为本发明实施例的网络系统具体实施例的结构示意图。如图 3所示，网络系统包括媒体网关 1和媒体网关控制器 2，其中，媒体网关控制器 2用于向媒体网关 1发送处理消息；媒体网关 1用于根据媒体网关控制器 2发送的处理消息对包过滤规则上下文进行维护，并根据包过滤规则上下文中的过滤过则对媒体网关收发的报文进行包过滤，包过滤规则上下文中至少包括一条对媒体网关收发的报文进行包过滤的过滤规则。

其中，媒体网关 1包括：

上下文处理单元 12，用于根据媒体网关控制器发送的处理消息对包过滤规则上下文进行维护，包过滤规则上下文中至少包括一条对媒体网关收发的报文进行包过滤的过滤规则；

过滤单元 14，用于根据包过滤规则上下文中的过滤规则对媒体网关收发的报文进行包过滤。

其中，上下文处理单元 12包括下述创建模块 120、修改模块 122和删除模块 124中的一种或多种：

创建模块 120，用于根据媒体网关控制器发送的创建消息创建新的包过滤规则上下文；修改模块 122，用于根据媒体网关控制器发送的修改消息修改已创建的包过滤规则上下文，其中，修改已创建的包过滤规则上下文包括增加、修改或删除包过滤上下文中的过滤规则；删除模块 124，用于根据媒体网关控制器发送的删除消息删除已创建的包过滤规则上下文。图 4为本发明实施例的网络系统中上下文处理单元的结构示意图。如图 4所示，上下文处理单元 12为 3种模块都包括的情况。同时，上下文处理单元 12还包括应答模块 126，用于在创建模块 120创建完成、或修改模块 122修改完成、或删除模块 124删除完成后，向媒体网关控制器返回应答消息。

图 5为本发明实施例的媒体网关具体实施例的结构示意图一。如图 5所示，媒体网关还可包括存储单元 16，用于存储包过滤规则上下文，存储单元 16包括规则模块，用于存储过滤规则。进一歩的，该存储单元 16还可包括下述模块中的一个或多个：标识属性模块，用于存储标识上下文为包过滤规则上下文的标识属性；包过滤规则开关属性模块，用于存储标识包过滤规则上下文中的过滤规则是否有效的开关属性；优先级属性模块，用于存储标识包过滤规则上下文中的过滤规则的优先级的优先级属性；对象模块，用于存储过滤规则对象信息，过滤规则对象信息用于标识适用过滤规则的网络域的信息或 /和接口的信息。图 5中所示的为上述 5个模块都包括的情况。

图 6为本发明实施例的媒体网关具体实施例的结构示意图二。如图 6所示，媒体网关可包括终端属性存储单元 18，用于存储包过滤规则上下文中的终端的终端属性，终端属性存储单元 18包括终端规则存储模块，用于在终端属性中存储过滤规则。进一歩的，该终端属性存储单元 18还包括下述模块中的一个或多个：终端对象模块，用于在终端属性中存储过滤规则对象信息，过滤规则对象信息用于标识适用过滤规则的网络域的信息或 /和接口的信息；终端标识属性模块，用于在终端属性中存储标识上下文为包过滤规则上下文的标识属性；终端包过滤规则开关属性模块，用于在终端属性中存储标识包过滤规则上下文中的过滤规则是否有效的开关属性；终端优先级属性模块，用于在终端属性中存储标识包过滤规则上下文中的过滤规则的优先级的优先级属性。

其中，媒体网关中可同时包括存储单元 16和终端属性存储单元 18，也可以仅包括其中一个。只要包括的存储单元 16或 /和终端属性存储单元 18中的一个存储有过滤规则，或同时相应的存储有相应的属性即可。即上述存储单元 16和终端属性存储单元 18中的各子模块可以交叉出现（即相应的过滤规则和增加的一些可选属性可以部分通过上下文属性实现，部分通过终端属性实现）。

在本发明实施例所提供的技术方案中，由于采用处理媒体网关中的包过滤规则上下文的方法对媒体网关的接口的包过滤规则进行控制，由于该上下文可以有多个，这样就可以分多次对多媒体网关的接口的所有过滤规则进行设置，使得可以通过媒体网关控制器和媒体网关之间的传递的消息多次对上下文进行设置，以有效的实现媒体网关控制器对媒体网关接口上的包过滤规则进行管理。

以上所描述的装置实施例仅仅是示意性的，其中作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如 R0M/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备（可以是个人计算机，服务器，或者网络设备等）执行各个实施例或者实施例的某些部分所述的方法。

以上所述的实施方式，并不构成对该技术方案保护范围的限定。任何在上述实施方式的精神和原则之内所作的修改、等同替换和改进等，均应包含在该技术方案的保护范围之内。

Claims

权利要求书

1、一种管理过滤规则的方法，其特征在于，所述方法包括：

媒体网关接收媒体网关控制器发送的处理消息；

所述媒体网关根据所述处理消息对包过滤规则上下文进行维护，所述包过滤规则上下文中至少包括一条对所述媒体网关收发的报文进行包过滤的过滤规则，所述处理消息包括创建、修改或删除包过滤规则上下文的消息。

2、如权利要求 1所述的方法，其特征在于，所述媒体网关根据所述处理消息对包过滤规则上下文进行维护包括：

根据所述媒体网关控制器发送的创建包过滤规则上下文的消息创建新的包过滤规则上下文，或根据所述媒体网关控制器发送的修改包过滤规则上下文的消息修改已创建的包过滤规则上下文、或根据所述媒体网关控制器发送的删除包过滤规则上下文的消息删除已创建的包过滤规则上下文；

在所述创建、或修改、或删除完成后，向媒体网关控制器返回应答消息。

3、如权利要求 2所述的方法，其特征在于，所述根据所述媒体网关控制器发送的修改包过滤规则上下文的消息修改已创建的包过滤规则上下文包括：

根据所述媒体网关控制器发送的修改包过滤规则上下文的消息增加、或修改、或删除所述包过滤规则上下文中包括的过滤规则。

4、如权利要求 1或 2所述的方法，其特征在于，所述包过滤规则上下文中还包括下述上下文属性中的一个或多个：

过滤规则对象，用于标识过滤规则作用在的网络域信息或接口信息；标识属性，用于标识所述上下文为包过滤规则上下文；

包过滤规则开关属性，用于标识所述包过滤规则上下文中的过滤规则是否有效；

优先级属性，用于标识所述包过滤规则上下文中的过滤规则的优先级。

5、如权利要求 1至 3中任一项所述的方法，其特征在于，所述包过滤规则上下文中包括终端，所述终端的终端属性中包括所述过滤规则。

6、如权利要求 1至 3中任一项所述的方法，其特征在于，所述包过滤规则上下文中包括终端，所述终端的终端属性中包括下述属性中的一个或多个：过滤规则对象，用于标识过滤规则作用在的网络域的信息或 /和接口的信息；

标识属性，用于标识所述上下文为包过滤规则上下文；

7、一种媒体网关，其特征在于，所述媒体网关包括：

上下文处理单元，用于根据媒体网关控制器发送的处理消息对包过滤规则上下文进行维护，所述包过滤规则上下文中至少包括一条对所述媒体网关收发的报文进行包过滤的过滤规则，所述处理消息包括创建、修改或删除包过滤规则上下文的消息；

过滤单元，用于根据所述包过滤规则上下文中的所述过滤规则对所述媒体网关收发的报文进行包过滤。

8、如权利要求 7所述的媒体网关，其特征在于，所述上下文处理单元包括下述创建模块、修改模块和删除模块中的一种或多种：

所述创建模块，用于根据所述媒体网关控制器发送的创建包过滤规则上下文的消息创建新的包过滤规则上下文；

所述修改模块，用于根据所述媒体网关控制器发送的修改包过滤规则上下文的消息修改已创建的包过滤规则上下文，其中，所述修改已创建的包过滤规则上下文包括增加、修改或删除所述包过滤上下文中的过滤规则；

所述删除模块，用于根据所述媒体网关控制器发送的删除包过滤规则上下文的消息删除已创建的包过滤规则上下文；所述上下文处理单元还包括：

应答模块，用于在所述创建模块创建完成、或所述修改模块修改完成、或所述删除模块删除完成后，向媒体网关控制器返回应答消息。

9、如权利要求 8所述的媒体网关，其特征在于，所述媒体网关中包括存储单元，所述存储单元包括规则模块，用于存储所述过滤规则；

或，所述存储单元还包括下述模块中的一个或多个：

对象模块，用于存储过滤规则对象信息，所述过滤规则对象信息用以标识适用所述过滤规则的网络域的信息或 /和接口的信息；

标识属性模块，用于存储标识所述上下文为包过滤规则上下文的标识属性；

包过滤规则开关属性模块，用于存储标识所述包过滤规则上下文中的过滤规则是否有效的开关属性；

优先级属性模块，用于存储标识所述包过滤规则上下文中的过滤规则的优先级的优先级属性。

10、如权利要求 8所述的媒体网关，其特征在于，所述媒体网关包括终端属性存储单元，用于存储包过滤规则上下文中的终端的终端属性；

所述终端属性存储单元包括终端规则存储模块，用于在所述终端属性中存储所述过滤规则。

11、如权利要求 8或 10所述的媒体网关，其特征在于，所述终端属性存储单元还包括下述模块中的一个或多个：

终端对象模块，用于在所述终端属性中存储过滤规则对象信息，所述过滤规则对象信息用以标识适用所述过滤规则的网络域信息或 /和接口信息；终端标识属性模块，用于在所述终端属性中存储标识所述上下文为包过滤规则上下文的标识属性；

终端包过滤规则开关属性模块，用于在所述终端属性中存储标识所述包过滤规则上下文中的过滤规则是否有效的开关属性；终端优先级属性模块，用于在所述终端属性中存储标识所述包过滤规则上下文中的过滤规则的优先级的优先级属性。

12、一种网络系统，其特征在于，所述系统包括媒体网关控制器和媒体网关：

所述媒体网关控制器，用于向所述媒体网关发送处理消息；

所述媒体网关，用于根据所述媒体网关控制器发送的处理消息对包过滤规则上下文进行维护，并根据所述包过滤规则上下文中的过滤规则对所述媒体网关收发的报文进行包过滤，所述包过滤规则上下文中至少包括一条对所述媒体网关收发的报文进行包过滤的过滤规则，所述处理消息包括创建、修改或删除包过滤规则上下文的消息。