CN1496642A - 具有对于接入规则的索引的防火墙 - Google Patents
具有对于接入规则的索引的防火墙 Download PDFInfo
- Publication number
- CN1496642A CN1496642A CNA028063309A CN02806330A CN1496642A CN 1496642 A CN1496642 A CN 1496642A CN A028063309 A CNA028063309 A CN A028063309A CN 02806330 A CN02806330 A CN 02806330A CN 1496642 A CN1496642 A CN 1496642A
- Authority
- CN
- China
- Prior art keywords
- grouping
- value
- control device
- rule
- communication system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M7/00—Arrangements for interconnection between switching centres
- H04M7/006—Networks other than PSTN/ISDN providing telephone service, e.g. Voice over Internet Protocol (VoIP), including next generation networks with a packet-switched transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M7/00—Arrangements for interconnection between switching centres
- H04M7/006—Networks other than PSTN/ISDN providing telephone service, e.g. Voice over Internet Protocol (VoIP), including next generation networks with a packet-switched transport layer
- H04M7/0078—Security; Fraud detection; Fraud prevention
Abstract
一个根据多个规则检查分组的分组控制装置,其中,每个分组与一个控制值相联系;该分组控制装置包括从与一个分组有关的控制值产生一个索引值的索引装置和使用该索引值以便接入一个来自多个规则用于检查该分组的一个规则的装置。该控制值由该分组控制装置设置。有利地,考虑到更快的操作,该分组检查总是需要到多个规则的一个单独接入。
Description
本发明通常涉及通信领域,并且特别涉及分组控制装置。
在基于分组的通信网中,有必要在如公用网的不安全网络和如一个商业组织的内部网络的安全网络之间控制分组接入,以便防止到被保持在该安全网络上的数据的未被授权的接入。接入控制由所谓的防火墙执行。防火墙在安全的和不安全的网络之间提供接口,并且包括一个用于在防火墙控制器的控制下来检查被路由通过接口的分组的过滤器。通过根据一系列规则来比较被接收的分组的特征进行检查。这允许传送到被保护的网络和从被保护的网络传送的IP业务的控制。如果发现一个规则匹配一个分组,则它被服从带宽约束进行传送,否则该分组被拒绝。防火墙的过滤器可以在硬件或者软件中被实现。从实用的观点来说,主要的不同是带宽容量。由于处理功率的限制,软件过滤器具有一个较低的带宽。
该过滤器在如互联网的未被保护侧和如一个虚拟专用网的被保护侧之间为IP分组提供一个任意接口。它负责决定它将通过被保护和未被保护的网络之间的IP边界传送哪些分组。该过滤器不决定哪些规则被建立:这是该系统内的需要通过防火墙路由的元件的责任。通过比较在分组标题中的数据和该规则,过滤器对每个分组做出决定。当一个分组到达该过滤器时,它被以根据目的IP地址、目的端口号码、协议或者其它因素的下述方法之一处理。它也可以被拒绝,在这种情况下该分组将被丢弃,或者它可以作为有效分组被接受,在这种情况下它被传送。
供IP电话使用的分组过滤器需要建立如被呼叫控制功能(CCF)或者“关守”确定的大量快速改变规则。(在该描述结尾提供了一个定义的目录)。这和使用相对很少的主要是静态和被网络管理所控制的规则的通常的数据防火墙形成对比。因此,IP电话呼叫需要不同于传统数据业务的处理,这是因为需要“实时”检查IP电话分组,其原因是延迟和延迟变化对于服务质量是关键的。
现在我们考虑在两个端点,位于不安全网络的始发端点和位于安全网络的目的端点之间的IP电话呼叫的情况。在通过一个防火墙的IP电话中,分组被引导到该防火墙上的地址/端口号码:从不安全端点到防火墙的不安全侧的分组以及从安全端点到安全侧的分组。
在现有的技术中,在防火墙上的这些IP地址和端口号码值由该呼叫的端点确定。被过滤器接收的每个分组根据现有的规则依次被检查,直到传送该分组的规则被发现或者直到全部规则已经被尝试却没有发现传送该分组的规则,在这种情况下,该分组被丢弃。散列法可以被用于表示与所述分组有关的规则的可能位置。根据散列法,索引值指向一个位置:如果该位置不包括一个规则,则随后该分组被丢弃;如果该位置包括一个规则,则根据该规则来检查该分组。一旦该分组根据该规则已经被评估,则如果该位置包括到不同位置中的一个第二规则的指示器,则进行检查,也根据该第二规则来检查所述分组。这个第二位置还可以包括到一个第三规则的另一个指示器,该分组将被根据该第三规则进行检查,等等:因此,该规则检查是非确定的。尽管在现有技术的设备中一个单独的接入有时可以证明是足够的,但这种情况不能被保证,所以现有技术防火墙的带宽被限制以便虑及到特殊分组的规则表的多址接入的处理。
分组检查典型地涉及检查被使用的协议和源和目的IP地址以及端口号码。这实质上是和被正常的数据防火墙使用的过程一样,其中规则被网络管理保持。一个类似的过程在分组路由器中出现,其中,该规则主要用于决定在哪个退出接口上路由选择分组。然而,所有这些现有的技术过程需要大量的处理功率/时间或者需要昂贵的硬件,如同时执行到每个位置的接入的内容可寻址的存储器;并且这实际上限制了通过过滤器传送分组的最大带宽。
本发明提供了一个包括一个根据多个规则检查分组的分组控制装置的通信系统,其中每个分组与一个控制值相联系;该分组控制装置包括从与一个分组有关的控制值产生一个索引值的索引装置,和使用该索引值以便接入一个来自多个规则的用于检查该分组的规则的装置;其中,该分组检查总是需要一个到多个规则的单独的接入。
本发明还提供了一个包括一个根据多个规则检查分组的分组控制装置的通信系统,其中每个分组与一个控制值相联系;该分组控制装置包括用于从与一个分组有关的控制值产生一个索引值的索引装置,和使用该索引值以便识别一个来自多个规则的用于检查该分组的规则的装置;其中该控制值由该分组控制装置设置。
本发明还提供了一个包括一个根据多个规则检查分组的分组控制装置的通信系统,其中每个分组与一个控制值相联系;该分组控制装置包括用于从与一个分组有关的控制值产生一个索引值的索引装置,和使用该索引值以便识别一个来自多个规则的用于检查该分组的规则的装置;其中,该通信系统还包括该分组控制装置外部的分组值装置,其中该控制值由分组值装置与该分组控制装置合作来设置。
根据一个优选实施方案,本发明提供了一个通信系统,其中分组控制装置包括用于确定是否该分组控制装置应该传送还是拒绝该分组的装置。
本发明还提供了一种在包括一个分组控制装置的基于分组的通信系统中过滤分组的方法;该方法包括在该控制装置上接收包括一个控制值的分组的步骤,以及使用该控制值以便接入一个来自多个规则的用于在检查该分组中使用的规则的步骤;其中该分组检查总是需要一个到多个规则的单独的接入。
本发明还提供了一种在包括一个分组控制装置的基于分组的通信系统中过滤分组的方法;该方法包括在该控制装置上接收包括一个控制值的分组的步骤,使用该控制值以便识别一个来自多个规则的用于在检查该分组中使用的规则的步骤,其中该分组控制装置分配该控制值到该分组。
本发明还提供了一种在包括分组控制装置和分组值装置的基于分组的通信系统中过滤分组的方法;该方法包括在该控制装置上接收包括一个控制值的分组的步骤,使用该控制值以便识别一个来自多个规则的用于在检查该分组中使用的规则的步骤,其中由该分组值装置与该分组控制装置合作来分配该控制值。
根据本发明的另一个优选实施方案,所述方法包括确定该分组控制装置应该传送还是拒绝该分组的步骤。
通过例子,参考附图将描述本发明的实施方案,其中:
图1显示传统的防火墙过滤器的主要部件的一个框图;
图2到4显示根据本发明的规则索引的计算的各种方法。
下列实施方案关于IP版本4被描述,然而,本发明也适用于使用IP版本6的系统。
参考图1,为建立一个IP电话呼叫,始发端点将发送一个承载该防火墙的IP地址和端口号码的登记分组。该过滤器引导该登记分组到防火墙控制器,该防火墙控制器将该登记分组转发到适当的呼叫控制功能(在H.323中称作关守)进行检查。该登记分组包括始发端点的IP地址和端口号码。如果该登记分组通过被CCF执行的检查,则CCF通过该过滤器发送一个回答分组到该始发端点。这样做时,防火墙控制器在过滤器中典型地建立两个规则用于该呼叫(一个用于一个方向)。这些规则通常将构成在防火墙中被保存的包括用于处理大量同时发生的呼叫的一个大表的一部分。在该过滤器的不安全侧(也就是始发侧)的IP地址和端口号码被传送到始发端点。这个IP地址和端口号码随后将被该始发端点用作作为该呼叫的一部分的将来分组的目的地址。同样,在过滤器被保护侧(也就是在CCF侧)的IP地址和端口号码被传送到CCF。CCF随后将这个IP地址和端口号码用作作为该呼叫一部分的被发送到始发端点的分组的目的地址。这个过程适用于包括H.323、MGCP、SIP和H.248的电话协议范围。按照惯例,这些防火墙地址和端口号码由端点分配。
该防火墙包括处理来自与安全(30)和不安全(20)网络的接口的IP分组的过滤器。为了执行这个处理,该过滤器使用已经被防火墙控制器建立的通过与该过滤器的控制接口(10)的数据。特别,源IP地址、端口号码、目的地址和端口号码、以及该IP协议被该防火墙控制器设置。
有64000个可用的端口号码,包括16384个用户定义的端口和49152个被IANA分配的端口(下文称作“知名端口”)。
在一个输入分组上的第一检查是用于使用ARP协议的分组,因为这些不同于其余的分组而被处理。ARP(地址解析协议)分组在网络接口上被本地处理。如果该输入分组不是一个ARP,则随后下列测试被执行。
一个检查被执行以便确保该分组的IP版本与当前被过滤器操作的版本相同。每个过滤器只能够操作一个IP版本并且它必须对于过滤器的两个方向是一样的。对于IP标题的长度和协议执行检查。过滤器对于该IP标题长度字段执行检查,以确保该分组标题的长度大于或等于预定的最小值,例如20个八位组。过滤器还执行一个检查以便确定是否该分组标题的IP协议字段符合于可接受的协议表中的一个有效的项目。
如果这些检查被通过,则随后一个对于规则表的索引被生成并且被用于确定是否在那个位置存在一个规则。如果任何上述检查失败,或者如果该位置不包括一个规则,则关于该分组的一些统计被记录并且该分组被丢弃。
一个检查被执行以便确定是否该分组有一个组播IP地址。如果有,则随后一个规则索引被从一个组播IP地址表中提取。通过类似于在图2和3(见下文)中显示的设备的过滤器,该组播IP地址表提供一个20比特索引以便被用于路由选择组播分组。组播分组通常将被路由选择到防火墙控制器。关于该分组的一些统计被记录并且该分组被通过以便传输到其目的地的传输。
在规则内的标记确定在该分组标题内的哪些数据项目被改变,以及哪些统计信息项目被过滤器更新。在该分组标题内的目的IP地址可以被改变成存储在该规则中的被修改的目的地址。在该分组标题内的目的端口号码可以被改变成被修改的存储在该规则中的目的端口号码。源地址可以被改变成被修改的存储在该规则中的源地址。在该协议标题内的源端口号码可以被改变成被修改的存储在该规则中的源端口号码。
需要对标题的上述改变以确保该分组被正确地从第一端点引导到过滤器并且随后从该过滤器引导到第二端点,反之在返回的行程上也是这样。来自该规则的分化型(differentialted)业务(或者“diffserv”)比特,也就是在该分组标题中允许路由器在不同的分组类,例如不同的优先权之间区分的比特组可以在适当的位置被添加到该分组标题中。在任何数据改变发生之后,该分组标题检查和被重新计算。
图2到4显示如何为不同类型的输入分组计算规则索引。在该图中,最低位(比特0)在每个字段的右手侧。
根据本发明的一个优选实施方案,到防火墙过滤器的IP地址和端口号码的分配被一个防火墙控制功能执行,该控制功能被安排产生唯一的位置,以便允许快速识别用于构成相同呼叫一部分的后来分组的适当规则。根据本发明的另一个优选实施方案,到防火墙过滤器的IP地址和端口号码的分配被一个防火墙外部的平台执行,该平台被安排与防火墙控制功能合作来产生唯一的位置,以便允许快速识别用于构成相同呼叫一部分的后来分组的适当规则。本发明有利地提供使用来自被接收的分组的字段,而不是使用依次检查每个规则的过程,与被端点设置相反,该字段的内容被本地设置到防火墙(如上述)以便直接给相关的规则(或者规则表中相关的位置)提供索引。因此,如果一个适当的规则已经被建立,则该索引值将直接指向它。如果该索引值不表示一个有效的规则,则随后被涉及的分组被拒绝。甚至在拒绝分组中,本发明也提供增加的效率。因此,根据本发明,总是利用到规则表的一个单独的接入来决定传送还是拒绝一个分组。
图2显示对于非-TCP/UDP协议的规则索引的计算。对于除了TCP或者UDP协议的规则索引基于在一个由8-比特协议ID值以及该IP地址表示的“IP协议索引表”中的值而被计算。该IP协议索引表在防火墙上被提供。在该协议字段中被规定的值被用作到该协议表中的一个索引。被表示的项目是表示该协议是否有效的表。如果该协议是有效的,则随后该规则索引通过从该IP地址取出最低6比特以及取自在与该协议有关的IP协议索引表中被表示的项目的最低14比特构成。
图3显示对于“知名端口”的规则索引的计算。如果协议是TCP或者UDP并且端口号码在十六进制的0000-BFFF范围内,则该端口号码被用作对于“知名端口”表的索引。“知名端口”表包括具有如被IANA定义的特殊标识的端口号码(例如79=分支)。这个表用于确定是否该端口在这个过滤器上被支持。假定该端口被支持,则该规则数据的索引是基于来自由目的端口号码以及IP地址表示的表中的一个值。该规则索引通过从该IP地址取出最低6比特以及取自由该端口号码表示的知名端口号码表中的项目的最低14比特构成。如果一个端口未被支持,则随后被发送到该端口的分组被丢弃。
图4显示用于用户端口的规则索引的计算。对于其中不是知名端口(也就是端口号码在十六进制的C000-FFFF范围内)的TCP和UDP协议,该规则索引由部分端口号码和IP地址构成。该规则索引通过从该IP地址取出最低6比特以及该端口号码的最低14比特构成。
上述的例外是对于任何IPSEC分组。有两个版本的IPSEC协议类型,IP协议50ESP(封装安全有效负荷)和IP协议51AH(认证报头)。这两个版本都包括一个安全参数索引(SPI)。用于ESP的这个字段在安全报头的第一组32比特中,用于AH的这个字段在安全报头的第二组32比特中。SPI以及目的IP地址和协议唯一地识别该分组。通过类似于上述用于用户端口的但是使用SPI的最低14个比特和IP地址的最低6个比特而不使用目的端口号码的过程,完成这些分组的规则索引的格式化。注意在该规则索引被表达之后,过滤器根据在规则数据的控制字段中的值来执行检查以及替换功能。对于IPSEC分组的本质区别仅仅是有一个值,SPI,而不是源和目的端口号码,虽然这个值被存储在相同的位置。按规则指导,如果需要,则这个值仍将被检查和替换。
该规则索引被用于接入该规则,并且被该规则控制和有效性字(确定在检查分组中被使用的标准的规则的一部分)规定的检查被执行。如果这些检查被通过,则该分组标题地址和端口等等,按需要被翻译。
如果需要,也就是由于来自IP标题的IP地址被改变,则该IP标题检查和被重新计算并且UDP/TCP标题检查和被调整。该有效分组统计信息被更新以便包括现在的分组。如果任何检查失败,则随后关于该分组的一些统计被记录并且该分组被丢弃。
分组可以因为下述任何原因被丢弃。
·在该分组内的IP版本与过滤器的IP版本不匹配,例如当过滤器运行IPv6时,该分组内的是IPv4,反之亦然。
·错误的目的IP地址:每个过滤器有一个它代理的IP地址范围,包括组播地址和专用IP地址。任何具有一个不在过滤器的范围内的IP地址的分组将被拒绝。
·该分组的标题长度短于核对该分组是否正确所需的最小值。
·该协议不是过滤器接受的一个协议。过滤器支持多个可接受的协议,并且如果该分组标题的协议字段不在这个列表中,则该分组被拒绝。
·从该IP地址和端口号码(或者IPSEC的SPI)被计算的规则索引参考一个不在开放状态的将允许分组转移的规则。
·在该分组标题中的发送者IP地址与该规则数据中的原始源IP地址字段不匹配。
·来自该分组标题的协议字段与该规则数据的原始协议ID字段不匹配。
·来自该分组标题的源端口号码与该规则数据中的原始源端口号码不匹配。
·该分组标题中的目的端口与来自该规则数据的原始目的端口号码不匹配(对于非IPSEC分组)。
·在该分组标题中的目的SPI与来自该规则数据的原始目的SPI不匹配(对于IPSEC分组-见下文)。
·目的端口号码小于十六进制“C000”(它用于“知名端口”),但是在该“知名端口”表中没有项目存在。
·该分组标题的目的IP地址字段与该规则数据的原始目的IP地址字段不匹配。
·从IP地址和端口号码(或者IPSEC的SPI)被计算的规则索引参考一个未被建立的规则。
本发明适用于不论是在硬件还是在软件中被实现的分组过滤器。本发明不限于在以太网上的IP,而且适用于其它的网络类型,诸如在SONET/SDH上的分组,以及ATM AAL5。当使用便宜的随机接入存储器时,本发明达到最佳性能。
定义
地址解析协议(ARP)一个用于映射IP地址到本地网中被识别的物理机器地址的协议。
关守 在IP电话网中的一个实体。它执行a)网络中其它实体的RAS,b)为呼叫方执行地址翻译c)网关控制。
H.225 为基于分组的多媒体通信系统定义呼叫信令协议和媒体流分组化的ITU-T标准。
H.323 用于基于分组的多媒体通信系统的ITU-T标准。
IANA IANA
ITU-T 国际电信联盟-电信
IETF 互联网工程任务组
互联网协议(IP) 用于IP网络的网络层协议,提供数据分组(数据报)的不可靠的点到点传送。当前使用的标准是在IETF RFC791中被定义的版本4(IPv4)。将来它将被在IETF RFC 2460中被定义的版本6(IPv6)替换。
IP电话,
互联网上的话音,
IP上的多媒体 在基于IP协议的网络上的电话技术
媒体网关控制协议(MGCP)ITU-T MEGACO工作组的一个被提议的协议,用于由关守控制媒体网关。在互联网草案文件draft-huitema-megaco-mgcp-v0r1-05中被定义。
MEGACO MEGACO定义在一个物理上被分解的多媒体网关的元素之间被使用的协议。MEGACO框架在IETF互联网草案文件draft-ietf-megaco-protocol-04中被描述。
登记,接纳和状态(RAS) 在H.323协议内的信令功能为网络内的实体提供登记、进行IP电话呼叫的用户的鉴权、以及关于登记的状态信息。RAS使用H.225消息。RAS信令信道先于在H.323端点之间任何其它信道的建立而被打开。
传输控制协议(TCP) 一个被设计在IP协议上操作的面向连接的、可靠的传送层协议。被IETF RFC 793定义。
用户数据报协议(UDP) 一个被设计在IP协议上操作的无连接型、不可靠的传送层协议。在IETF RFC 768中被定义。
Claims (29)
1.一种包括根据多个规则来检查分组的分组控制装置的通信系统,其中每个分组与一个控制值相联系;
所述分组控制装置包括从与一个分组相关的所述控制值产生一个索引值的索引装置,以及使用所述索引值以便接入来自多个规则的用于检查所述分组的一个规则的装置;
其中所述分组检查总是需要一个到多个规则的单独接入。
2.一种包括根据多个规则来检查分组的分组控制装置的通信系统,其中每个分组与一个控制值相联系;所述分组控制装置包括从与一个分组相关的所述控制值产生一个索引值的索引装置,以及使用所述索引值以便识别来自多个规则的用于检查所述分组的一个规则的装置;其中所述控制值由所述分组控制装置设置。
3.一种包括根据多个规则检查分组的分组控制装置的通信系统,其中每个分组与一个控制值相联系;
所述分组控制装置包括从与一个分组相关的所述控制值产生一个索引值的索引装置,以及使用所述索引值以便识别来自多个规则的用于检查所述分组的一个规则的装置;
其中所述通信系统还包括所述分组控制装置外部的分组值装置,其中所述控制值由所述分组值装置与所述分组控制装置合作来设置。
4.如上述任何一个权利要求所述的通信系统,其中,所述分组控制装置包括确定所述分组控制装置应该传送还是拒绝所述分组的装置。
5.如上述任何一个权利要求所述的通信系统,其中,所述控制值包括一个地址和/或一个端口号码(PN)。
6.如权利要求5所述的通信系统,其中,所述索引装置包括一个使用所述PN值作为到查找表中的指示器的装置;其中所述索引装置还包括一个从所述地址和由所述PN表示的查找表的组合产生所述索引值的装置。
7.如权利要求1到4中的任何一个所述的通信系统,其中,所述控制值包括一个地址和一个协议值。
8.如权利要求7所述的通信系统,其中,所述索引装置包括一个使用所述协议值作为到查找表中的指示器的装置;其中所述索引装置还包括基于所述地址和由所述协议值表示的查找表值产生所述索引值的装置。
9.如上述任何一个权利要求所述的通信系统,其中,所述索引装置包括检测组播分组和识别用于这些分组的单独的规则的装置。
10.如上述任何一个权利要求所述的通信系统,其中,所述控制值对于从一个特定源接收的并且与一个特定呼叫有关的分组在任何时间点都是唯一的。
11.如上述任何一个权利要求所述的通信系统,其中,所述地址一个互联网协议地址。
12.如上述任何一个权利要求所述的通信系统,其中,所述PN是一个用户数据报协议(UDP)、传输控制协议(TCP)、或流控制传输协议(SCTP)PN。
13.如上述任何一个权利要求所述的通信系统,其中,所述分组控制装置包括一个防火墙。
14.如上述任何一个权利要求所述的通信系统,其中,所述分组承载电话业务。
15.一种在包括一个分组控制装置的基于分组的通信系统中过滤分组的方法;所述方法包括在所述控制装置中接收包括一个控制值的分组的步骤,以及使用所述控制值以便接入来自多个规则用于在检查所述分组中使用的一个规则的步骤;其中,所述分组检查总是需要到多个规则的一个单独接入。
16.一种在包括一个分组控制装置的基于分组的通信系统中过滤分组的方法;所述方法包括在所述控制装置中接收包括一个控制值的分组的步骤,以及使用所述控制值以便识别来自多个规则的用于在检查所述分组中使用的一个规则的步骤;其中,所述分组控制装置分配所述控制值到所述分组。
17.一种在包括一个分组控制装置和分组值装置的基于分组的通信系统中过滤分组的方法;所述方法包括在所述控制装置中接收包括一个控制值的分组的步骤,以及使用所述控制值以便识别来自多个规则的用于在检查所述分组中使用的一个规则的步骤;其中,由所述分组值装置与所述分组控制装置合作来分配所述控制值。
18.如权利要求15到17所述的方法,包括确定所述分组控制装置应该传送还是拒绝所述分组的步骤。
19.如权利要求15到18任何之一所述的方法,其中,所述控制值包括一个PN和/或一个地址。
20.如权利要求19所述的方法,其中,所述索引装置使用所述PN值作为到查找表中的指示器;其中,所述索引装置还从所述地址和由所述PN值表示的查找表值的组合来产生所述索引值。
21.如权利要求15到18任何之一所述的方法,其中,所述控制值包括一个地址和一个协议值。
22.如权利要求21所述的方法,其中,所述索引装置使用所述协议值作为到查找表中的指示器;其中,所述索引装置基于所述地址和由所述协议值表示的查找表值来产生所述索引值。
23.如权利要求15到22任何之一所述的方法,其中,所述索引装置包括检测组播分组和识别用于这些分组的一个单独规则的装置。
24.如权利要求15到23任何之一所述的方法,其中,所述控制值对于从一个特定源接收的并且与一个特定呼叫有关的分组在任何时间点都是唯一的。
25.如权利要求15到24任何之一所述的方法,其中,所述地址是一个互联网协议地址。
26.如权利要求15到25任何之一所述的方法,其中,所述PN是一个UDP、TCP或SCTP PN。
27.如权利要求15到26任何之一所述的方法,其中,所述分组控制装置包括一个防火墙。
28.如权利要求15到27任何之一所述的方法,其中,所述分组承载电话业务。
29.如权利要求15到28任何之一所述的方法,包括使用所述地址和PN作为到一个用于识别适当规则的规则表中的索引的步骤。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| GB0100713A GB2371186A (en) | 2001-01-11 | 2001-01-11 | Checking packets |
| GB0100713.7 | 2001-01-11 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN1496642A true CN1496642A (zh) | 2004-05-12 |
Family
ID=9906643
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA028063309A Pending CN1496642A (zh) | 2001-01-11 | 2002-01-07 | 具有对于接入规则的索引的防火墙 |
Country Status (8)
| Country | Link |
|---|---|
| US (1) | US20040100972A1 (zh) |
| EP (1) | EP1352503A1 (zh) |
| JP (1) | JP2004522335A (zh) |
| CN (1) | CN1496642A (zh) |
| AU (1) | AU2002219332B2 (zh) |
| CA (1) | CA2434600A1 (zh) |
| GB (1) | GB2371186A (zh) |
| WO (1) | WO2002056562A1 (zh) |
Families Citing this family (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7249379B2 (en) * | 2002-02-01 | 2007-07-24 | Systems Advisory Group Enterprises, Inc. | Method and apparatus for implementing process-based security in a computer system |
| US7062680B2 (en) * | 2002-11-18 | 2006-06-13 | Texas Instruments Incorporated | Expert system for protocols analysis |
| US8112482B1 (en) * | 2004-04-14 | 2012-02-07 | Sprint Spectrum L.P. | System and method for securing access to electronic mail |
| US8042170B2 (en) | 2004-07-15 | 2011-10-18 | Qualcomm Incorporated | Bearer control of encrypted data flows in packet data communications |
| US8265060B2 (en) | 2004-07-15 | 2012-09-11 | Qualcomm, Incorporated | Packet data filtering |
| CN1997010B (zh) * | 2006-06-28 | 2010-08-18 | 华为技术有限公司 | 一种包过滤的实现方法 |
| US8099774B2 (en) * | 2006-10-30 | 2012-01-17 | Microsoft Corporation | Dynamic updating of firewall parameters |
| IL181427A0 (en) * | 2007-02-19 | 2007-07-04 | Deutsche Telekom Ag | Novel dynamic firewall for nsp networks |
| DE102007053691A1 (de) * | 2007-11-10 | 2009-05-14 | Manroland Ag | Kommunikationsnetzwerk einer Druckmaschinensteuerung |
| US8102783B1 (en) | 2009-02-04 | 2012-01-24 | Juniper Networks, Inc. | Dynamic monitoring of network traffic |
| JP5158021B2 (ja) * | 2009-05-27 | 2013-03-06 | 富士通株式会社 | トンネル通信装置及び方法 |
| US9237128B2 (en) * | 2013-03-15 | 2016-01-12 | International Business Machines Corporation | Firewall packet filtering |
| WO2014077614A1 (en) * | 2012-11-19 | 2014-05-22 | Samsung Sds Co., Ltd. | Anti-malware system, method of processing data in the same, and computing device |
| US9444914B2 (en) | 2013-09-16 | 2016-09-13 | Annapurna Labs Ltd. | Configurable parser and a method for parsing information units |
| US11425095B2 (en) | 2016-05-01 | 2022-08-23 | Nicira, Inc. | Fast ordering of firewall sections and rules |
| US11310202B2 (en) * | 2019-03-13 | 2022-04-19 | Vmware, Inc. | Sharing of firewall rules among multiple workloads in a hypervisor |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO1997040610A2 (en) * | 1996-04-24 | 1997-10-30 | Northern Telecom Limited | Internet protocol filter |
| US6147976A (en) * | 1996-06-24 | 2000-11-14 | Cabletron Systems, Inc. | Fast network layer packet filter |
| US6510151B1 (en) * | 1996-09-19 | 2003-01-21 | Enterasys Networks, Inc. | Packet filtering in connection-based switching networks |
| US6233686B1 (en) * | 1997-01-17 | 2001-05-15 | At & T Corp. | System and method for providing peer level access control on a network |
| US5951651A (en) * | 1997-07-23 | 1999-09-14 | Lucent Technologies Inc. | Packet filter system using BITMAP vector of filter rules for routing packet through network |
| US7143438B1 (en) * | 1997-09-12 | 2006-11-28 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with multiple domain support |
| SE513828C2 (sv) * | 1998-07-02 | 2000-11-13 | Effnet Group Ab | Brandväggsapparat och metod för att kontrollera nätverksdatapakettrafik mellan interna och externa nätverk |
| US6341130B1 (en) * | 1998-02-09 | 2002-01-22 | Lucent Technologies, Inc. | Packet classification method and apparatus employing two fields |
| US6400707B1 (en) * | 1998-08-27 | 2002-06-04 | Bell Atlantic Network Services, Inc. | Real time firewall security |
| US6798777B1 (en) * | 2000-04-17 | 2004-09-28 | Juniper Networks, Inc. | Filtering and route lookup in a switching device |
| US7039053B1 (en) * | 2001-02-28 | 2006-05-02 | 3Com Corporation | Packet filter policy verification system |
| US6816455B2 (en) * | 2001-05-09 | 2004-11-09 | Telecom Italia S.P.A. | Dynamic packet filter utilizing session tracking |
| US7107609B2 (en) * | 2001-07-20 | 2006-09-12 | Hewlett-Packard Development Company, L.P. | Stateful packet forwarding in a firewall cluster |
-
2001
- 2001-01-11 GB GB0100713A patent/GB2371186A/en not_active Withdrawn
-
2002
- 2002-01-07 CN CNA028063309A patent/CN1496642A/zh active Pending
- 2002-01-07 CA CA002434600A patent/CA2434600A1/en not_active Abandoned
- 2002-01-07 US US10/250,958 patent/US20040100972A1/en not_active Abandoned
- 2002-01-07 WO PCT/GB2002/000040 patent/WO2002056562A1/en active Application Filing
- 2002-01-07 JP JP2002557096A patent/JP2004522335A/ja active Pending
- 2002-01-07 EP EP02729429A patent/EP1352503A1/en not_active Withdrawn
- 2002-01-07 AU AU2002219332A patent/AU2002219332B2/en not_active Ceased
Also Published As
| Publication number | Publication date |
|---|---|
| US20040100972A1 (en) | 2004-05-27 |
| GB0100713D0 (en) | 2001-02-21 |
| WO2002056562A1 (en) | 2002-07-18 |
| EP1352503A1 (en) | 2003-10-15 |
| CA2434600A1 (en) | 2002-07-18 |
| JP2004522335A (ja) | 2004-07-22 |
| GB2371186A (en) | 2002-07-17 |
| AU2002219332B2 (en) | 2006-12-21 |
| WO2002056562A9 (en) | 2003-11-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP1430682B1 (en) | Protecting a network from unauthorized access | |
| US7380011B2 (en) | Methods and systems for per-session network address translation (NAT) learning and firewall filtering in media gateway | |
| US7782902B2 (en) | Apparatus and method for mapping overlapping internet protocol addresses in layer two tunneling protocols | |
| US7346044B1 (en) | Network address translation for voice over internet protocol router | |
| CN1496642A (zh) | 具有对于接入规则的索引的防火墙 | |
| US8332925B2 (en) | System and method for distributed multi-processing security gateway | |
| US7920548B2 (en) | Intelligent switching for secure and reliable voice-over-IP PBX service | |
| US7367052B1 (en) | Access list key compression | |
| EP2090024B1 (en) | Intercepting voice over ip communications and other data communications | |
| EP1472849B1 (en) | Method and module for securing packet-based communications by address hopping | |
| US7417978B1 (en) | Port reduction for voice over internet protocol router | |
| AU2002219332A1 (en) | Firewall with index to access rule | |
| US6922786B1 (en) | Real-time media communications over firewalls using a control protocol | |
| US20030046403A1 (en) | Method for routing data streams of a communication connection between users of a connectionless packet data network, and a packet data network, a control device and a program module therefore | |
| US20040098512A1 (en) | NAPT gateway system with method capable of extending the number of connections | |
| CN1889578A (zh) | 通信控制方法、装置及系统 | |
| US7920564B1 (en) | Differential services support for control traffic from privileged nodes in IP networks | |
| JP2009021717A (ja) | ネットワーク機器、ネットワーク及びそれらに用いるipnapt機能の実装方法 | |
| US20060227781A1 (en) | Processing communication terminal addresses by integration and/or extraction of communication interface characteristics in the address | |
| US9118555B1 (en) | Secure unauthenticated virtual local area network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 1063904 Country of ref document: HK |
|
| ASS | Succession or assignment of patent right |
Owner name: L.M. ERICSSON CO., LTD. Free format text: FORMER OWNER: M(DGP1) CO., LTD. Effective date: 20070302 Owner name: M(DGP1) CO., LTD. Free format text: FORMER OWNER: MARCONI UK INTELLECTUAL PROP Effective date: 20070302 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20070302 Address after: Stockholm, Sweden Applicant after: ERICSSON AB Address before: Coventry, United Kingdom Applicant before: M (DGP1) Ltd. Effective date of registration: 20070302 Address after: Coventry, United Kingdom Applicant after: M (DGP1) Ltd. Address before: Coventry, United Kingdom Applicant before: MARCONI UK INTELLECTUAL PROPERTY Ltd. |
|
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: WD Ref document number: 1063904 Country of ref document: HK |