WO2015176445A1 - 移动终端预设联网地址防火墙隔离应用系统 - Google Patents

Abstract

本发明提出的一种移动终端预设联网地址防火墙隔离应用系统，包括：内嵌于移动终端操作系统内核中的防火墙隔离模块和通过数据通道传输数据的应用层。防火墙隔离模块内嵌IP数据分析模块，IP数据分析模块对所有联网IP地址数据进行分析，根据内含预设指定的联网IP地址和指定IP地址集合模块，对所有流向外部网络的数据流进行监控，当检测到联网IP地址数据包内含有预设指定的联网IP地址后，防火墙隔离模块启动过滤规则，将非指定联网地址外的所有联网IP地址数据包屏蔽，禁止访问非指定的联网地址外的其它IP地址，只允许预设指定联网IP地址数据访问各种网络。有效杜绝了访问特定目标IP地址连接互联网，账户或信息的泄露。

Description

移动终端预设联网地址防火墙隔离应用系统

本申请要求于2014年05月21日提交中国专利局、申请号为201410214696.8、发明名称为“移动终端预设联网地址防火墙隔离应用系统”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本发明涉及移动终端操作系统和在操作系统中采用防火墙针对不同联网地址提供数据隔离进行联网的系统及其创建方法。

背景技术

随着移动互联网的高速发展，各类移动应用层出不穷，黑客入侵、钓鱼网站等各种非法手段无时无刻不在侵害互联网的安全，各种预装软件、病毒打包等威胁手机网络安全的问题日益突出，并逐渐形成黑色产业链。互联网应用系统的安全，日益成为人们关注的焦点。棱镜门之后，人们发现，在拥有强大技术实力的美国政府面前，任何互联网公司包括当前拥有互联网技术最顶尖科技的苹果和谷歌公司，只要在互联网上建立的信息系统，即使拥有各类安全防护措施，都无法避免信息被窃取的安全漏洞。玩过游戏私服的朋友都知道，私服是极易受到攻击的，一旦受到攻击，轻则游戏变卡，重则彻底无法登录。那么黑客对私服发起了何种攻击，有什么办法可以让私服服务器彻底崩溃呢？黑客攻击私服的手段，不外乎入侵服务器和分布式拒绝服务(Distributed Denial of Service，DDOS)攻击。前者的成功率不高，即使入侵成功，最多也就得到游戏管理者(Game Master，GM)账号，在游戏里乱改一通。但是后者就完全不一样了，DDOS的攻击威力大得惊人，可以让游戏中的玩家瞬间集体掉线，甚至无法登录，如果黑客对某个私服有深仇大恨，甚至可以让私服永久无法上线，造成毁灭性打击。所谓的DDOS，全称为“分布式拒绝服务攻击”，即黑客控制数量庞大的肉鸡群对某网站进行数据包洪水攻击，造成网络带宽堵塞，从而实现攻击的效果。那么DDOS的攻击力有多大？可以这样说，100只肉鸡可以秒杀个人网站，1000只肉鸡可以秒杀私服和中型网站，10000只肉鸡可以秒杀地方门户网站。可见，要攻击私服的话只需几百台肉鸡就可以完成。一个不安全的无线网络可能造成服务丢失或是 被利用来对其他网络发起攻击。

在传统技术领域，物理隔离是保障内部网络安全最重要最有效的举措，无论银行信息系统还是政府信息系统都是使用与互联网物理隔离的内部网络来保障信息安全的。使用与互联网物理隔离的内部网络由于杜绝了互联网的联网通道，任何黑客都无法进行入侵。对于普通用户而言，接入点名称APN(Access Point Name)只是为了上网而在手机终端上预先配置或手工设定的一组参数。而对于移动网络来说，APN是用来实现用户互联网协议(Internet Protocol，IP)报文路由至相应网关GPRS支持节点(Gateway GPRS SupportNode，GGSN)及外部网络的必不可少的标识，其作用具体包括：APN作为路由标识：GPRS服务支持节点(Serving GPRS Support Node，SGSN)根据APN，向特定域名系统DNS服务器查询该APN对应的GGSN IP地址，以确定用户应接入的GGSN；APN作为业务域标识：GGSN根据APN不同，将用户的业务流送到不同的业务域，而不同的业务域则对应了不同的业务承载组网方式、用户标识获取方式、计费模式等。服务支持节点SGSN作为GPRS/TD-SCDMA(WCDMA)核心网分组域设备重要组成部分，主要完成分组数据包的路由转发、移动性管理、会话管理、逻辑链路管理、鉴权和加密、话单产生和输出等功能。SGSN即GPRS服务支持节点，它通过Gb接口提供与无线分组控制器PCU的连接，进行移动数据的管理，如用户身份识别，加密，压缩等功能；通过Gr接口与HLR相连，进行用户数据库的访问及接入控制；它还通过Gn接口与GGSN相连，提供IP数据包到无线单元之间的传输通路和协议变换等功能；SGSN还可以提供与MSC的Gs接口连接以及与SMSC之间的Gd接口连接，用以支持数据业务和电路业务的协同工作和短信收发等功能。SGSN与GGSN配合，共同承担TD-SCDMA(WCDMA)的PS功能。当作为GPRS网络的一个基本的组成网元时，通过Gb接口和BSS相连。其主要的作用就是为本SGSN服务区域的MS进行移动性管理，并转发输入/输出的IP分组，其地位类似于GSM电路网中的VMSC。此外，SGSN中还集成了类似于GSM网络中VLR的功能，当用户处于GPRS Attach(GPRS附着)状态时，SGSN中存储了同分组相关的用户信息和位置信息。当SGSN作为TD-SCDMA(WCDMA)核心网的PS域功能节点，它通过Iu_PS接口与UTRAN 相连，主要提供PS域的路由转发、移动性管理、会话管理、鉴权和加密等功能。GGSN9811主要提以中国移动最早提供、也是目前用户使用最广的两个APN——CMWAP、CMNET为例：

1)CMWAP APN

CMWAP和CMNET是中国移动人为划分的两个GPRS接入通道。前者是为手机WAP上网而设立的，后者则主要是为PC、笔记本电脑、PDA等利用GPRS上网服务。CMWAP APN在设计之初主要面向基于HTTP协议的业务，如WAP上网浏览，彩信等。随着数据业务的不断发展，为了支持逐渐引入的非超文本传输协议HTTP的业务，无线应用协议WAP域通过进行升级改造和配置，逐渐演变为面向绝大多数自营业务和合作业务的默认业务域，面向用户提供彩信、PIM、流媒体、通用下载、快讯、音乐随身听、游戏等业务。CMWAP APN使用了WAP网关作为HTTP访问的代理节点，同时可面向用户提供一些辅助功能，例如免输手机号码、内容转换、适配预判等。

2)CMNET APN

CMNET是为了开展开放的互联网接入服务设置的APN，用户可使用任何协议访问互联网，没有任何控制和限制策略，但同时也不提供其它辅助功能。使用CMNET APN时，移动终端通过接入地SGSN就近接入GGSN，业务数据流通过GGSN对应的防火墙进行NAT地址转换后接入互联网。

防火墙是设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此来实现网络的安全保护。现有技术防火墙，一般是通过设备提供的BYOD管理功能封堵来历不明的移动终端，将防火墙作为网关设备部署在互联网出口，而现有移动终端内部并未提供相应的防火墙。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。防火墙总体上分为包过滤、应用级网关和代理服务器等几大类型。数据包过滤(Packet Filtering)技术是在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，被称为访问控制表 (Access Control Table)。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素，或它们的组合来确定是否允许该数据包通过。数据包过滤防火墙的缺点有二：一是非法访问一旦突破防火墙，即可对主机上的软件和配置漏洞进行攻击；二是数据包的源地址、目的地址以及IP的端口号都在数据包的头部，很有可能被窃听或假冒。应用级网关(ApplicationLevel Gateways)是在网络应用层上建立协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、登记和统计，形成报告。实际中的应用网关通常安装在专用工作站系统上。数据包过滤和应用网关防火墙有一个共同的特点，就是它们仅仅依靠特定的逻辑判定是否允许数据包通过。一旦满足逻辑，则防火墙内外的计算机系统建立直接联系，防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态。

代理服务(Proxy Service)也称链路级网关或传输控制协议(Transmission Control Protocol，TCP)通道(Circuit Level Gateways or TCP Tunnels)，也有人将它归于应用级网关一类。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术，其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的"链接"，由两个终止代理服务器上的"链接"来实现，外部计算机的网络链路只能到达代理服务器，从而起到了隔离防火墙内外计算机系统的作用。在广域网系统中，由于安全的需要，总部的局域网可以将各分支机构的局域网看成不安全的系统，(通过公网ChinaPac，ChinaDDN，Frame Relay等连接)在总部的局域网和各分支机构连接时采用防火墙隔离，并利用VPN构成虚拟专网；总部的局域网和分支机构的局域网是通过Internet连接，需要各自安装防火墙，并利用NetScreen的VPN组成虚拟专网。

VPDN是虚拟拨号专用网络(VirtualPrivateDialupNetwork)的缩写，它基于拨号用户的虚拟专用拨号网业务，利用IP和其它网络的承载功能，结合相应的认证和授权机制，可以建立安全的虚拟专用网络。VPDN网络结构由局端或称为中心端和客户系统组成。VPDN的具体实现是采用隧道技术，即将企业网的数据封装在隧道中进行传输。隧道技术的基本过程是在源局域网与 公网的接口处将数据作为负载封装，在一种可以在公网上传输的数据格式中，在目的局域网与公网的接口处将数据解封装，取出负载。被封装的数据包在互联网上传递时所经过的逻辑路径被称为“隧道”。要使数据顺利地被封装、传送及解封装，通信协议是保证的核心。VPDN业务主要面向企业以及政府管理部门。企业申请该业务后，只需要将其企业内部网通过一条专线接入到互联网络，用户即可在国内任何地方拨号使用VPDN业务进入到该虚拟专用网中，安全地访问自己所需要的信息资源。用户可以方便灵活地自行对所属拨号用户进行开户、销户、设置用户权限等操作。移动网络VPDN与普通的VPDN不同之处主要体现的是无线上网的概念，利用移动网络的无线数据网络为无线移动用户构建虚拟专用网络，从而使用户在任何地点都能够通过无线数据网络，实现专用线路的连接。无线VPDN网络虽然设计上希望可以保障信息与系统安全，但是在移动终端上VPDN通道的使用存在三大问题：

首先，VPDN通道的连接是使用一段拨号程序进行链路连接，即在数据连接通道上使用了VPN的连接协议，其本质还是一段公开的代码，不具备数据隔离和加密的作用，不能阻止病毒或黑客的入侵。其次，VPDN通道的真正安全的方法是使用MAC地址绑定的方法，但是查询手机的MAC地址非常麻烦，一般用户使用非常不便捷。最后，VPDN拨号程序一般没有面向应用程序的接口，应用程序无法通过调用的方法实现普通联网通道和VPDN通道的转换。

在互联网应用日益普及的今天，人们需要在移动终端上兼顾互联网应用与安全应用两种应用模式。但是，当前的移动终端操作系统，无论是浏览器还是应用程序的API接口都只提供单通道的互联网访问模式，同时，移动终端的智能系统缺乏自动切换不同通道联网的接口，给不同的业务应用带来不便。如何依托公网实现移动终端与企业内网之间的安全通信和数据交换成为当前各大企业亟待解决的问题。远程接入通常涉及三个部分：接入终端、接入通道和内网应用,对这三个部分任一个保护的不到位都将给整个远程接入过程带来安全隐患。传统的基于虚拟专网的移动终端接入方案关注于安全传输通道的建立,虽然在一定程度上对数据安全传输提供了保证,但是缺乏对整个接入过程的保护,无法满足企事业对终端远程接入的安全要求。

当前的移动终端操作系统在设计时，往往仅仅通过权限管理来管理应用程序的使用权限，来达到安全防护的目的，在移动终端实施联网的过程，没有任何防火墙策略，仅仅实现移动终端与网络的连接。但是由于广大用户普遍没有专业知识，对于移动终端操作系统的权限管理的功能非常不了解，很多安卓手机用户在删除系统软件或者是实用某些工具的时候都会提示需要获取root权限。Root是手机的神经中枢，它可以访问和修改手机几乎所有的文件。黑客在入侵系统时，都要把权限提升到Root权限，将非法帐户添加到Root用户组。在手机root或安装应用程序的过程中，用户往往会打开手机的权限，从而被植入病毒，导致账户或密码失窃，发生安全隐患。随着iPad、智能手机等移动终端的广泛应用，而于移动设备的威胁呈几何倍数的增长，对终端防护更加处于失控的状态，高级持续性攻击APT攻击者通过以智能手机、平板电脑等移动设备为跳板继而入侵企业信息系统的方式也显著增加。伴随着新时代网络带来的各种问题，在安全应用的通道联网过程中，增加手机的联网防护和防火墙管理，有效杜绝移动终端在访问特定目标IP地址时，连接互联网，阻止账户或信息的泄露，是较为安全的构想。

发明内容

本发明的目的是针对上述现有技术存在不足之处，提供一种面向操作系统内核设计，能够在移动终端的操作系统上，针对预设的联网地址的数据联网提供不同安全防护策略的防火墙隔离应用系统，以满足不同应用程序在不同联网地址，在数据联网中实施不同安全防护策略的需求。

本发明的上述目的可以通过以下措施来得到，一种移动终端预设联网地址防火墙隔离应用系统，包括：内嵌于移动终端操作系统内核中的防火墙隔离模块和通过数据通道传输数据的应用层，其特征在于：防火墙隔离模块内嵌IP数据分析模块，所述IP数据分析模块对所有联网IP地址数据进行分析，根据内含预设指定的联网IP地址和指定IP地址集合模块，对所有流向外部网络的数据流进行监控，当检测到联网IP地址数据包内含有所述预设指定的联网IP地址后，防火墙隔离模块启动过滤规则，将非所述预设指定的联网IP地址外的所有联网IP地址数据包屏蔽，禁止访问非所述预设指定的联网IP 地址外的其它IP地址，只允许所述预设指定的联网IP地址数据访问各种网络。

本发明相比现有移动终端操作系统和其它应用程序具有如下有益效果：

1)本发明通过在移动终端操作系统内核中内嵌防火墙隔离系统，预设指定需要防护的IP地址，不对外提供修改防火墙规则的接口，使得病毒或黑客无法修改防火墙规则，从而确保对指定IP地址的隔离防护。

2)本发明内嵌于移动终端操作系统内核的防火墙隔离模块和内置于防火墙模块的IP数据分析模块，占用系统资源少，规则简单，不会影响移动终端操作系统原有的运行效率。

3)本发明结合虚拟专用拨号网VPDN通道的使用，可以真正形成数据隔离的应用形式，极大提高VPDN网络的安全性能。

4)本发明IP数据分析模块内包含预设指定的联网IP地址，IP数据分析模块对所有流向外部网络的数据流进行监控，自动对指定或预设的IP地址进行防护，应用软件或用户无需通过手工操作，极大提高了移动终端操作系统在安全防护模式上的便利性。

5)本发明IP数据分析模块检测到IP数据包内包含预设指定的联网IP地址后，防火墙启动过滤规则，将非指定联网地址外的所有IP数据包屏蔽，禁止访问非指定的联网地址外的其它IP地址。可以针对不同联网IP地址设置不同的防火墙隔离策略，使用户在使用不同的IP地址时，可以使用不同的安全防护策略。本发明通过移动终端联网防护和防火墙管理，有效杜绝了访问特定目标IP地址时，连接互联网，造成账户或信息的泄露。

附图说明

为使本发明的目的、技术方案和优点更加清楚明白，下面将结合附图对本发明的实施例进行详细说明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互任意组合。

图1是本发明移动终端针对预设或指定的联网地址的防火墙隔离系统模型结构示意图。

图2是本发明移动终端针对多个预设联网地址和/或地址段的防火墙隔离 系统模型的示意图。

图3是本发明移动终端针对指定VPDN联网地址的防火墙隔离系统模型的示意图。

具体实施方式

参阅图1。在以下描述的一个最佳实施例中，支持移动终端实现针对预设或指定联网地址的防火墙系统模型，主要包括内嵌于移动终端操作系统内核的防火墙模块和防火墙模块内的IP数据分析模块。IP数据分析模块内包含预设指定的联网IP地址，IP数据分析模块对所有流向外部网络的数据流进行监控，当检测到IP数据包内包含预设指定的联网IP地址后，防火墙启动过滤规则，将非指定联网地址外的所有IP数据包屏蔽，禁止访问非指定的联网地址外的其它IP地址。当IP数据分析模块一段时间内没有检测到联网数据中包含预设指定的联网IP地址后，防火墙关闭过滤规则，允许数据访问各种网络。

在上述实施例中，移动终端防火墙启动过滤规则的方式包含以下两种模式：

一、传输控制协议TCP数据包的过滤规则

IP数据分析模块在检测到IP数据包内包含预设指定的联网IP地址后，检测IP数据包的类型，如果是传输控制协议TCP，检测TCP协议连接是否建立，如果TCP连接建立，则防火墙启动过滤规则。

当IP数据分析模块一段时间内没有检测到联网数据中包含预设指定的联网IP地址，或者接受到TCP连接终止的消息后，防火墙关闭过滤规则，允许数据访问所有网络。

二、用户数据包协议(User Datagram Protocol，UDP)数据包的过滤规则

UDP协议直接位于网际协议IP协议的顶层。IP数据分析模块在检测到IP数据包内包含预设指定的联网IP地址后，检测IP数据包的类型，如果是UDP协议，则防火墙启动过滤规则。

UDP是一个无连接协议，传输数据之前源端和终端不建立连接，当它想传送时就简单地去抓取来自应用程序的数据，并尽可能快地把它扔到网络上。 在发送端，UDP传送数据的速度仅仅是受应用程序生成数据的速度；在接收端，UDP把每个消息段放在队列中，应用程序每次从队列中读一个消息段。UDP协议使用报头中的校验值来保证数据的安全。校验值首先在数据发送方通过特殊的算法计算得出，在传递到接收方之后，还需要再重新计算。如果某个数据报在传输过程中被第三方篡改或者由于线路噪音等原因受到损坏，发送和接收方的校验计算值将不会相符，检测是否出错。当IP数据分析模块一段时间内没有检测到联网数据中包含预设指定的联网IP地址后，防火墙关闭过滤规则，允许数据访问所有网络。

内嵌于操作系统内核的防火墙隔离模块，通过系统编译成为系统内核的一部分，并杜绝系统模块加载接口，对外不提供修改接口，使得无论应用层或其它手段无法修改防火墙设定。

参阅图2。所示IP地址集合模块包括预设指定的联网IP地址，指定IP地址1、指定IP地址2、指定IP地址3…，多个指定IP地址的集合和/或一段IP地址段。

内嵌与操作系统内核的防火墙模块可以根据预设的不同的指定的联网IP地址，设置不同的过滤规则，不同的过滤规则同时存在，针对不同的指定的IP联网地址发生作用。过滤规则包括以下两种形式：

1)仅允许单个指定的联网IP地址的数据包通过，其他联网地址数据一律丢弃。

2)允许2个或多个指定的联网IP地址和/或一段联网地址段的数据包通过，其他规则以外的数据包一律丢弃。

IP数据分析模块关闭防火墙过滤规则的时间设定，可以根据实际应用中，网络延时或系统响应时间的具体情况，将不同的指定的网络地址的过滤规则的关闭时间设定为不同的时间长度。

参阅图3。在上述实施例中，当把预设的指定的联网地址变成虚拟专用拨号网VPDN联网地址时，移动终端可以在VPDN网络连接成功以后，保障移动终端、VPDN专网都处于与互联网隔离的内部网络中，就可以避免VPDN专网实际使用中，终端没有进行数据隔离的安全隐患，从而保障VPDN数据网络的安全。

上述实施例中，所述的移动终端包括手机、、平板电脑、无线上网卡或其它移动设备。

以上所述的仅是本发明的优选实施例。应当指出，对于本领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以作出若干变形和改进，比如所述程序可以存储于移动终端可读存储介质中，可选地，上述实施例终端各模块/单元可以采用硬件的形式实现，也可采用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合，亦属于本发明的范畴，这些变更和改变应视为属于本发明的保护范围。

Claims (10)

1. 一种移动终端预设联网地址防火墙隔离应用系统，包括：内嵌于移动终端操作系统内核中的防火墙隔离模块和通过数据通道传输数据的应用层，其特征在于：防火墙隔离模块内嵌网际协议IP数据分析模块，所述IP数据分析模块对所有联网IP地址数据进行分析，根据内含预设指定的联网IP地址和指定IP地址集合模块，对所有流向外部网络的数据流进行监控，当检测到联网IP地址数据包内含有预设指定的联网IP地址后，防火墙隔离模块启动过滤规则，将非指定联网地址外的所有联网IP地址数据包屏蔽，禁止访问非指定的联网地址外的其它IP地址，只允许预设指定联网IP地址数据访问各种网络。
2. 如权利要求1所述的移动终端预设联网地址防火墙隔离应用系统，其特征在于：移动终端防火墙启动过滤规则的方式包含传输控制协议TCP数据包的过滤规则模式：IP数据分析模块在检测到IP数据包内包含预设指定的联网IP地址后，检测IP数据包的类型，如果是传输控制协议TCP，检测TCP协议连接是否建立，如果TCP连接建立，则防火墙启动过滤规则。
3. 如权利要求1或2所述的移动终端预设联网地址防火墙隔离应用系统，其特征在于：当IP数据分析模块一段时间内没有检测到联网数据中包含预设指定的联网IP地址，或者接受到TCP连接终止的消息后，防火墙关闭过滤规则，允许数据访问所有网络。
4. 如权利要求1所述的移动终端预设联网地址防火墙隔离应用系统，其特征在于：移动终端防火墙启动过滤规则的方式还包含用户数据包协议UDP数据包的过滤规则模式：IP数据分析模块在检测到IP数据包内包含预设指定的联网IP地址后，检测IP数据包的类型，如果是UDP协议，则防火墙启动过滤规则，UDP协议直接位于IP协议的顶层。
5. 如权利要求1所述的移动终端预设联网地址防火墙隔离应用系统，其特征在于：内嵌于操作系统内核的防火墙隔离模块，通过系统编译成为移动终端操作系统内核的一部分，并杜绝移动终端操作系统模块加载接口，对外不提供修改接口。
6. 如权利要求1所述的移动终端预设联网地址防火墙隔离应用系统，其 特征在于：防火墙模块根据预设的不同的指定的联网IP地址，设置不同的过滤规则，不同的过滤规则同时存在，针对不同的指定的IP联网地址发生作用。
7. 如权利要求1所述的移动终端预设联网地址防火墙隔离应用系统，其特征在于：过滤规则包括以下两种形式：

   1)仅允许单个指定的联网IP地址的数据包通过，其它联网地址数据一律丢弃；

   2)允许2个或多个指定的联网IP地址和/或一段联网地址段的数据包通过，其他规则以外的数据包一律丢弃。
8. 如权利要求1所述的移动终端预设联网地址防火墙隔离应用系统，其特征在于：IP数据分析模块关闭防火墙过滤规则的时间设定，根据实际应用中，网络延时或系统响应时间的具体情况，将不同的指定的网络地址的过滤规则的关闭时间设定为不同的时间长度。
9. 如权利要求1所述的移动终端预设联网地址防火墙隔离应用系统，其特征在于：所述的IP地址集合模块包括预设指定的联网IP地址，指定IP地址1、指定IP地址2、指定IP地址3…，多个指定IP地址的集合和/或一段IP地址段。
10. 如权利要求1所述的移动终端预设联网地址防火墙隔离应用系统，其特征在于：当把预设的指定的联网地址变成虚拟专用拨号网VPDN联网地址时，移动终端在VPDN网络连接成功以后，移动终端、VPDN专网都处于与互联网隔离的内部网络中。

Images