防火墙系统和防火墙控制方法

专利名称：防火墙系统和防火墙控制方法
技术领域：
本发明涉及防火墙系统和防火墙控制方法，用于动态地控制其中操纵使用移动IP的移动网络的通信等的网络中的防火墙。
背景技术：
为了连接到可从数目不确定的终端访问的网络，诸如企业、大学、家庭等中的因特网，有必要保护内部网络免于外部网络的攻击。因而，迄今在内部网络和外部网络之间都安装了防火墙。
防火墙通常由未授权访问检测单元和分组过滤单元组成。如果从外部网络发起攻击或者在内部网络和外部网络之间发现未授权访问的迹象，则未授权访问检测单元将该事实通知给网络管理员等。
分组过滤单元是如下单元，其仅允许在内部网络和外部网络之间所进行的必要通信中所使用的分组通过，而阻挡其它分组。
(未授权访问检测单元的技术)未授权访问检测单元通过监控分组的流序列来检测攻击者发起的攻击或者未授权访问。攻击或者未授权访问检测技术大体分为以下两种(1)检测显示未授权访问迹象的监控分组序列。
(2)检测偏离正常访问的监控分组序列。
后者是预期使得可能提高未授权访问检测的准确性的技术，因为其可以检测不同于正常访问的操作。但是，在其中进行各种通信的环境中，难于规定正常访问并且提供数据库。
因而，通常在目标受限的情况下操纵前者的方法。例如，已经操纵检测下述端口扫描作为未授权访问迹象的方法，端口扫描即从外部网络向特定内部终端的多个端口发送分组，由此检测在端口上是否激活了服务。但是，该方法要求，针对每种未授权访问技术，把未授权访问迹象的信息登记在未授权访问检测系统中，因而该方法具有难于检测新攻击方法的弱点。
提出了属于后者的下述技术
(2A)未授权访问切断系统，包括通信中继控制部分，用于接收来自外部网络的通信数据，并且仅当该通信数据正常时才向服务器传送该通信数据；正常访问信息存储部分，用于存储有助于提供服务器想要的服务的通信数据的一种或多种类型的情况作为正常通信数据的特征信息；正常访问确定部分，用于从该正常访问信息存储部分读取特征信息、将该特征信息与通信中继控制部分所接收的通信数据相比较、以及确定仅那些满足所有特征信息的特征数据才是正常的(请参见专利文献1)。
(2B)确定通信网络的访问类型的方法，包括步骤针对每个目标通信系统或通信系统组，定义用于接受通过通信网络进行的外部访问的协议规格和/或访问政策作为正常访问；从通过通信网络分组的发送信息段中捕获对该通信系统或通信系统组寻址的发送信息；确定所捕获的发送信息段之中不满足该协议规格或访问政策的发送信息是具有未授权访问概率的发送信息(请参见专利文献2)。
(分组过滤单元的系统)如果在内部网络和外部网络之间通信的分组符合预定规则，则分组过滤单元允许该分组通过；如果该分组不符合预定规则，则不允许该分组通过。所述规则是表示“允许来自特定主机的访问”、“允许从内部网络向外部网络的http(超文本传输协议)访问”、“如果ftp(文件传输协议)从内部网络启动通向外部网络，则允许从外部网络向内部网络的特定端口的ftp访问”等描述的规则。分组过滤单元仅允许符合规则的分组通过，而阻挡其它分组，尤其防卫系统免遭攻击和从外部网络对内部网络的未授权访问。
IP地址单位和IP地址和端口号对单位主要用作分组过滤单元的分组通过控制单位。
IP地址单位上的控制可以被实现为允许在外部网络上的特定终端和内部网络上的特定终端之间所传输的所有分组通过。具体地，假设使用拨号或者热点(hot spot)连接到外部网络的个人计算机的IP地址是202.123.12.1，以及内部网络上的电子邮件服务器的IP地址是202.32.21.1，则可以将允许从该个人计算机向该电子邮件服务器通信的分组的规则描述为“Allow 202.123.12.1202.32.21.1”。在该规则中，Allow表示允许分组通过，202.123.12.1表示源IP地址，而202.32.21.1表示目的IP地址。分组过滤单元允许符合该规则的所有分组通过。这样的由源IP地址和目的IP地址的对指定的允许或不允许分组的控制称作IP地址单位上的控制。
IP地址和端口号的对单位上的控制可以被实现为允许从外部网络上的特定终端的特定端口发送的数据通过其中内部网络上特定终端的应用待命的特定端口。如果，假设外部网络上的IP电话终端的IP地址是202.123.12.2，其中该终端中启动音频数据发送应用的端口的端口号是12345，内部网络上的IP电话终端的IP地址是202.32.21.2，以及其中该终端中启动音频数据发送应用的端口的端口号是23456。在这种情况下，允许音频数据通过的规则可以被描述为“Allow 202.123.12.2 12345 202.32.21.2 23456”。在该规则中，Allow表示允许分组通过，以及202.123.12.2 12345 202.32.21.2 23456分别表示源IP地址、源端口号、目的IP地址、目的端口号。分组过滤单元允许所有符合该规则的分组通过。这样的由源IP地址和源端口号对以及目的IP地址和目的端口号对指定的允许或不允许分组的控制称作IP地址和端口号对单位上的控制。
为了从外部网络向内部网络发起攻击，常常使用捕获特定终端以及从该特定终端攻击内部网络上的终端的技术。在这种情况下，如果分组过滤单元执行IP地址单位上的控制，则使得可能从所捕获的特定终端访问内部网络上终端中的所有服务(应用)；这是不期望的。即，如果执行IP地址和端口号对单位上的控制，则可窄化攻击范围；这是更期望的。
但是，源IP地址和源端口号对以及目的IP地址和目的端口号对是在通信建立之前终端之间不清楚的信息。这样，像分组过滤单元这样的位于网络中途的单元不能容易地获取该IP地址和端口号对信息。
为了解决这样的问题，公知一种使用用于中继呼叫控制的服务器建立通信和获取该信息的方法(例如，参见专利文献3和4)。下面将讨论该呼叫控制代理服务器。
(呼叫控制代理服务器)作为用于建立特定终端之间通信的呼叫控制，基于SIP(Session InitiationControl，会话开始控制)的通信控制可用。SIP定义了用于调整IP地址、端口号、编解码器类型、频带等的控制消息的格式和序列，用于在两个或更多个终端之间分布媒体以建立通信。在SIP的操作中，存在一种安装呼叫控制代理服务器用于中继由属于特定组织的终端发送和接收的所有呼叫控制序列的方法。
图21示出了用于所安装在内部网络上的内部终端和所安装在外部网络上的外部终端使用呼叫控制代理服务器建立通信的呼叫控制序列(INVITE序列)。图中加在控制消息上的INVITE、TRYING、RINGING、OK、ACK表示SIP中所定义的控制消息。因为在终端之间交换控制消息，使得可能调整在终端之间要建立的通信中所使用的IP地址、端口号、媒体类型、编解码、频带等信息，并且在终端之间建立通信。
例如，为了以图21中的顺序建立音频通信，在控制消息中包含下列信息以确定源IP地址和源端口号或者目的IP地址和目的端口号m＝audio 49170 RTP/AVP 0c＝IN IP4 224.2.17.12该描述格式是作为SDP(会话描述协议)的国际协议标准化组织的IETF中标准化的描述格式。m＝这行指示关于媒体的信息。音频指示媒体类型，49170指示端口号，以及RTP/AVP 0指示传输格式和负载。c＝这行指示关于连接的信息。IN指示因特网，IP4指示IPv4，以及224.2.17.12指示用于连接的IP地址。
在图21中，当呼叫控制代理服务器接收ACK时，它可以知道源IP地址和目的IP地址以及目的端口号的信息。
呼叫控制代理服务器可以使用源IP地址、目的IP地址、目的端口号的设置信息来控制分组过滤单元。该方法称作使用呼叫控制代理服务器的分组过滤单元控制方法。但是，该方法不能用在下面就要描述的移动IP环境中(移动IP环境)移动IP是如下技术，用于使得可能一旦建立通信就持续而不会在因为移动或者与网络断开并重新连接到网络导致IP地址改变的情形下切断。移动IP在IEFT中被标准化，该协议的细节定义于RFC3775(IPv6)和RFC3344(IPv4)。
图22描述了移动IP的操作。图22中的配置包括移动终端(也称作MN(Mobile Node，移动节点))201、用于执行移动管理的服务器的家乡代理(home agent)(HA)202、家乡代理202所连接到的家乡网络(home network)205、外部网络204、连接到外部网络的特定网络(要移动到的网络)206、配备有分组过滤单元等的防火墙207、以及路由器208和209。
家乡网络205上的IP地址例如2001:300:c01::2/64被赋予移动终端201，该地址称作家乡地址。移动终端201在移动终端201连接到家乡网络205的状态下与外部终端203建立通信。假定移动终端201在通信被建立的情况下移动到特定网络(要移动到的网络)206。假设当移动终端201移动到特定网络(要移动到的网络)206时所赋予移动终端201的IP地址是例如2001:300:c01:beef::2/64。该地址称作移动终端201的转交地址(care address)。为了继续在移动终端201和外部终端203之间所建立的通信，从外部终端203发送到地址2001:300:c01::2(家乡地址＝旧转交地址)的分组需要再次被发送到新转交地址。在移动IP中，如果移动终端201移动并且获取新转交地址，则移动终端201向家乡代理202和外部终端203发送IP地址对应关系的通知。IP地址对应关系的通知，即移动终端201的转交地址从2001:300:c01::2向2001:300:c01:beef::2的改变，被称作BU(Binding Update，绑定更新)消息。
如果外部终端203与该移动IP不兼容，则向家乡地址发送对移动终端201寻址的分组。向家乡地址发送的分组经由外部网络204被递送到家乡网络205。递送到家乡网络205的分组被家乡代理202一次接收。家乡代理202向移动终端201的转交地址发布该一次接收的分组，由此将该分组递送到移动终端201。从移动终端201去往外部终端203的分组以相反的次序递送(移动终端201到家乡代理202到外部终端203)。
如果外部终端203与该移动IP兼容，则直接向转交地址发布对移动终端201寻址的分组。这样，向移动终端201递送的分组被递送到特定应用。这意味着在移动之前由移动终端201与外部终端203建立的通信即使在移动终端201移动之后也可以持续进行。
但是，在操作移动IP的情形下，移动终端201的IP地址(转交地址)改变。这样，在移动终端201移动之前在分组过滤单元之中设置的规则在移动终端201移动之后不能应用；这是问题所在。
迄今为止，为解决此问题，一种如果移动终端201移动使用包含在从移动终端201发往家乡代理202的BU消息中的信息来控制分组过滤单元的方法已经可获得(请参见专利文献5)。
图23描述了相关技术中该系统的配置。图23中的配置包括第一移动终端301、第二移动终端302、家乡代理303、防火墙管理主机304、分组过滤单元305、外部网络(因特网)306、ISP(网络服务提供商)307和ISP 307的认证服务器308。
这里，假定了如下情形，其中第一移动终端301被带入外部网络，并且从第一移动终端301向第二移动终端302进行连接。第一移动终端301通过拨号等经由特定ISP 307连接到外部网络。这时，ISP 307的认证服务器308向第一移动终端301发出用户信息，第一移动终端301然后向防火墙管理主机304发出该用户信息。如果该用户信息正当，则防火墙管理主机304改变防火墙上分组过滤单元305的设置，以便使得第一移动终端301和家乡代理303之间的通信可能。随着该操作序列被执行，使得第一移动终端301可能经由家乡代理303与第二移动终端302通信。即，在其中操作移动IP的情形下，实现了分组过滤单元305的动态控制。
专利文献1JP-A-2004-38557专利文献2JP-A-2001-313640专利文献3JP-A-2003-229893专利文献4JP-A-2003-229915专利文献5JP-A-70576发明内容本发明要解决的技术问题但是，在图23所示的相关技术中的系统中，分组过滤单元305不能在IP地址和端口号对单位上限制访问，这样如果攻击者捕获了第一移动终端301，则使得攻击者可能攻击家乡代理303和第二移动终端302的所有服务；这是问题所在。
仅当第一移动终端被取出时才可以应用该相关技术中的系统，而不包括从外部网络上的外部终端开启通信的框架。这意味着没有提供用于开启由内部网络的网络管理员等认可的正当通信的机制。
要在该相关技术的系统中其中许可访问的通信中监控未授权访问，存在下述可能，即将在第一移动终端301和第二移动终端302之间进行各种通信，因而不能采用用于检测偏离正常访问的所监控分组序列的系统，而必须根据用于检测显示未授权访问迹象的所监控分组序列的系统来监控未授权访问。这样，存在难于检测未知攻击的问题。
因而，本发明的一个目的是提供一种防火墙系统和防火墙控制方法，使得可能，即使在操作移动网络通信的情形下，也通过在地址和端口号对单位上执行分组过滤，来仅允许较窄范围中的通信通过，并且使得可能不仅仅在内部网络中的移动终端移动到外部网络时而且当连接到外部网络的不同终端与内部网络中的终端通信时开启通信。
本发明的另一目的是，提供一种防火墙系统和防火墙控制方法，其可以通过监控由媒体类型确定的通信分组序列和基于针对每种媒体类型定义的正常访问确定条件检测不满足正常访问的未授权访问，而实质地检测未知攻击。
解决问题的方案本发明的防火墙系统是一种用于控制外部网络和内部网络间通信的防火墙系统，该防火墙系统包括呼叫控制代理部分，用于中继呼叫控制序列，以建立连接到该外部网络或该内部网络的终端之间的通信；地址对应信息管理部分，用于管理因为终端移动或重新连接到网络而改变的每个终端的新地址和旧地址之间的对应关系；过滤控制部分，用于基于从该呼叫控制代理部分获得的用于通信的终端的地址和端口号信息以及从该地址对应信息管理部分获得的新地址和旧地址之间的对应关系信息，设置地址和端口号对，作为被许可通过内部网络和外部网络之间的分组的过滤条件；以及分组过滤部分，用于允许基于包含所述地址和端口号对的过滤条件所确定的分组通过。
从而，基于从该呼叫控制代理部分获得的用于通信的终端的地址和端口号信息和从该地址对应信息管理部分获得的新地址和旧地址之间的对应关系信息，确定地址和端口号对，并可以控制分组过滤。因而，即使在其中操作移动网络通信的情形下，也可以在地址和端口号单位上执行分组过滤，并且使得可能仅允许被网络管理员等认可的正当通信通过。
作为本发明的一种形式，在上述防火墙系统中，所述呼叫控制代理部分包括中继部分信息保留部分，用于保留关于不同的被信任的呼叫控制代理部分的信息，以及所述过滤控制部分在经由该不同的呼叫控制代理部分所建立的终端之间的通信中获取地址和端口号信息，并且基于该地址和端口号对设置过滤条件。
从而，也可以针对经由该不同的呼叫控制代理部分所建立的通信，基于来自被信任呼叫控制代理部分的信息，在地址和端口号对单位上执行分组过滤。
作为本发明的一种形式，在上述防火墙系统中，如果所述内部网络上的终端和该外部网络上的终端中的至少一个移动并且从该呼叫控制代理部分或该地址对应信息管理部分获得的地址信息改变，则所述过滤控制部分基于最新近的地址和端口号对设置过滤条件。
从而，如果终端移动并且地址改变，则使得可能，动态地关联地址信息，以及相应于最新近的地址动态地在地址和端口号对单位上控制分组过滤。
作为本发明的一种形式，上述防火墙系统包括正常访问确定条件存储部分，用于存储针对每种通信媒体类型定义的正常访问确定条件；以及未授权访问检测部分，用于基于从该呼叫控制代理部分获得的用于通信的终端的地址、端口号、和媒体类型信息、从该地址对应信息管理部分获得的新地址和旧地址之间的对应关系信息、以及从该正常访问确定条件存储部分获得的正常访问确定条件，如果通过的分组不满足该正常访问确定条件，则检测出未授权访问。
从而，可以仅允许根据呼叫控制序列建立的特定媒体类型的通信分组通过防火墙，并且还监控分组，以及基于针对每种通信媒体类型定义的正常访问确定条件检测不满足正常访问的未授权访问。
作为本发明的一种形式，在上述的防火墙系统中，如果所述内部网络上的终端和该外部网络上的终端中的至少一个移动并且从该呼叫控制代理部分或该地址对应信息管理部分获得的地址信息改变，则所述未授权访问检测部分基于最新近的地址信息确定所述正常访问确定条件。
从而，如果终端移动并且地址改变，则使得可能，动态地关联地址信息，以及相应于最新近的地址动态地在地址和端口号对单位上控制分组过滤。
作为本发明的一种形式，提供了一种上述防火墙系统中的分组过滤单元，包括过滤控制部分，用于基于从呼叫控制代理部分获得的用于通信的终端的地址和端口号信息以及从地址对应信息管理部分获得的新地址和旧地址之间的对应关系，设置地址和端口号对，作为被许可通过内部网络和外部网络之间的分组的过滤条件；以及分组过滤部分，用于允许基于包含所述地址和端口号对的过滤条件所确定的分组通过。
本发明的分组过滤单元是用于控制外部网络和内部网络之间通信的防火墙系统的分组过滤单元，该分组过滤单元包括过滤控制部分，用于基于从呼叫控制代理部分获得的用于通信的终端的地址和端口号信息以及从地址对应信息管理部分获得的新地址和旧地址之间的对应关系信息，设置地址和端口号对，作为被许可通过内部网络和外部网络之间的分组的过滤条件，该呼叫控制代理部分用于中继呼叫控制序列以建立连接到该外部网络或该内部网络的终端之间的通信，该地址对应信息管理部分用于管理因为终端移动或重新连接到网络而改变的每个终端的新地址和旧地址之间的对应关系；以及分组过滤部分，用于允许基于包含所述地址和端口号对的过滤条件所确定的分组通过。
从而，使得可能基于从呼叫控制代理部分获得的用于通信的终端的地址和端口号信息以及从地址对应信息管理部分获得的新地址和旧地址之间的对应关系信息，确定地址和端口号对，并且控制分组过滤。
作为本发明的一种形式，提供了一种上述防火墙系统中的未授权访问检测单元，包括正常访问确定条件存储部分，用于存储针对每种通信媒体类型定义的正常访问确定条件；以及未授权访问检测部分，用于基于从呼叫控制代理部分获得的用于通信的终端的地址、端口号、和媒体类型信息、从地址对应信息管理部分获得的新地址和旧地址之间的对应关系信息、以及从该正常访问确定条件存储部分获得的正常访问确定条件，如果通过的分组不满足该正常访问确定条件，则检测出未授权访问。
本发明的未授权访问检测单元是用于控制外部网络和内部网络间通信的防火墙系统的未授权访问检测单元，该未授权访问检测单元包括正常访问确定条件存储部分，用于存储针对每种通信媒体类型定义的正常访问确定条件；以及未授权访问检测部分，用于基于从呼叫控制代理部分获得的用于通信的终端的地址、端口号、和媒体类型信息、从地址对应信息管理部分获得的新地址和旧地址之间的对应关系信息、以及从该正常访问确定条件存储部分获得的正常访问确定条件，如果通过的分组不满足该正常访问确定条件，则检测出未授权访问，该呼叫控制代理部分用于中继呼叫控制序列以建立连接到该外部网络或该内部网络的终端之间的通信，该地址对应信息管理部分用于管理因为终端移动或重新连接到网络而改变的每个终端的新地址和旧地址之间的对应关系。
从而，使得可能监控根据呼叫控制序列建立的特定媒体类型的通信分组，以及基于针对每种通信媒体类型定义的正常访问确定条件检测不满足正常访问的未授权访问。
本发明的防火墙控制方法是一种用于控制外部网络和内部网络间通信的防火墙控制方法，该防火墙控制方法包括下列步骤从呼叫控制代理部分获取用于通信的终端的地址和端口号信息，该呼叫控制代理部分用于中继呼叫控制序列，以建立连接到该外部网络或该内部网络的终端之间的通信；从地址对应信息管理部分获取新地址和旧地址之间的对应关系信息，该地址对应信息管理部分用于管理因为终端移动或重新连接到网络而改变的每个终端的新地址和旧地址之间的对应关系；基于该用于通信的终端的地址和端口号信息以及该新地址和旧地址之间的对应关系信息，设置地址和端口号对，作为被许可通过内部网络和外部网络之间的分组的过滤条件；以及允许基于包含所述地址和端口号对的过滤条件所确定的分组通过。
从而，使得可能基于从该呼叫控制代理部分获得的用于通信的终端的地址和端口号信息和从该地址对应信息管理部分获得的新地址和旧地址之间的对应关系信息，确定地址和端口号对，并控制分组过滤。
本发明的防火墙控制方法是一种用于控制外部网络和内部网络间通信的防火墙控制方法，该防火墙控制方法包括下列步骤从呼叫控制代理部分获取用于通信的终端的地址、端口号、和媒体类型信息，该呼叫控制代理部分用于中继呼叫控制序列，以建立连接到该外部网络或该内部网络的终端之间的通信；从地址对应信息管理部分获取新地址和旧地址之间的对应关系信息，该地址对应信息管理部分用于管理因为终端移动或重新连接到网络而改变的每个终端的新地址和旧地址之间的对应关系；基于该用于通信的终端的地址、端口号、和媒体类型信息、该新地址和旧地址之间的对应关系信息、以及存储在正常访问确定条件存储部分中的针对每种通信媒体类型定义的正常访问确定条件，如果通过的分组不满足该正常访问确定条件，则检测出未授权访问。
从而，使得可能监控根据呼叫控制序列建立的特定媒体类型的通信分组，以及基于针对每种通信媒体类型定义的正常访问确定条件检测不满足正常访问的未授权访问。
本发明的优点根据本发明，可以提供一种防火墙系统和防火墙控制方法，使得可能，即使在操作移动网络通信的情形下，也通过在地址和端口号对单位上执行分组过滤，来仅允许较窄范围中的通信通过，并且使得可能不仅仅在内部网络中的移动终端移动到外部网络时而且当连接到外部网络的不同终端与内部网络中的终端通信时开启通信。还可以提供一种防火墙系统和防火墙控制方法，其可以通过监控由媒体类型确定的通信分组序列和基于针对每种媒体类型定义的正常访问确定条件检测不满足正常访问的未授权访问，而实质地检测未知攻击。


示出了根据本发明第一实施例的防火墙系统的配置的图。
示出了本发明第一实施例中的呼叫控制序列的图。
示出指示IP地址的新地址和旧地址之间的对应关系的表格的格式示例的图。
示出本发明第一实施例中的过滤处理序列的图。
示出根据第一实施例的防火墙系统的第一操作示例的图。
示出根据第一实施例的防火墙系统的第二操作示例的图。
示出了根据本发明第二实施例的防火墙系统的配置的图。
示出了本发明第二实施例中的呼叫控制序列的图。
示出了本发明第二实施例中的未授权访问监控控制序列的图。
示出了本发明第二实施例中的未授权访问监控处理过程的流程图。
示出了视频分组中的分组格式示例的图。
示出了根据第二实施例的防火墙系统的操作示例的图。
示出了第二实施例的操作示例中的防火墙的功能配置示例的图。
示出了正常访问迹象保留表格的图。
示出了根据本发明第三实施例的防火墙系统的配置的图。
示出了本发明第三实施例中的防火墙系统的主要部分的框配置的图；[图17]示出了当在终端之间使用组通信举行会议时呼叫控制示例的图。
示出了本发明第三实施例中会议加入时间的序列示例。
示出了本发明第四实施例中的防火墙系统的配置的图。
示出了本发明第五实施例中的防火墙系统的配置的图。
示出了使用呼叫控制代理服务器的呼叫控制的序列的图。
示出移动IP的操作的图。
示出相关技术中防火墙的配置示例的图。
参考标号的说明10、406、604外部网络11、110、140、403、403A、503、608呼叫控制代理服务器11a、142、812呼叫控制代理部分11c过滤控制请求部分12、120、404、504、602家乡代理(HA)12a、811 IP地址对应信息管理部分12b过滤控制命令部分13地址管理服务器14、402、502、603外部终端(CN)14a、15a呼叫控制处理部分15、401、501内部终端16、407、509内部网络17、405、130、500、700、816防火墙17b、814过滤控制部分17c、133、815分组传输部分(过滤部分)111未授权访问监控控制请求部分121未授权访问监控控制命令部分131正常访问规定数据库(正常访问确定条件存储部分)132未授权访问检测部分134未授权访问通知部分141许可SIP服务器列表保留部分400，505，607分组过滤单元506未授权访问检测单元508客户许可路由器601移动终端(MN)701未授权访问监控器702过滤和视察控制部分703分组视察部分
704正常访问模式存储部分(正常访问确定条件存储部分)706未授权访问迹象通知部分800IP移动电话具体实施方式
(第一实施例)图1是示出根据本发明第一实施例的防火墙系统的配置的图。第一实施例示出了用于在其中基于移动IP的数据通信作为移动网络操作的网络中动态控制分组过滤单元的配置。在图1的配置中，呼叫控制代理服务器11、家乡代理12、地址管理服务器13连接到外部网络10诸如在企业网外部的因特网等。外部终端14连接到外部网络10。内部终端15连接到企业等中提供的内部网络16，以及在内部网络16和外部网络10之间安装了防火墙17。
图2是示出了本发明第一实施例中的呼叫控制序列的图。图2示出了用于内部网络16中的内部终端15和外部网络10中的外部终端14使用呼叫控制代理服务器11建立通信的呼叫控制序列(INVITE序列)。图中加到控制消息上的INVITE、TRYING、RINGING、OK、ACK表示SIP中定义的控制消息。因为在终端之间交换控制消息，使得可以调整在终端之间要建立的通信中所使用的IP地址、端口号、媒体类型、编解码器、频带等信息，以及在终端之间建立通信。
当从内部终端15的呼叫控制处理部分15a向呼叫控制代理服务器11发送对外部终端14寻址的INVITE(会话建立请求)消息(S1)时，呼叫控制代理部分11a向呼叫控制处理部分15a返回表示会话建立请求的接受的消息(S2)。呼叫控制代理服务器11的呼叫控制代理部分11a向地址管理服务器13发送关于外部终端14的地址的问询消息(S3)。
地址管理服务器13的地址管理响应部分13a寻找地址保留部分13b中所注册的外部终端14的地址，并且向呼叫控制代理服务器11发送带有外部终端14的地址的响应于问询消息的消息(S4)。呼叫控制代理服务器11的呼叫控制代理部分11a向外部终端14的呼叫控制处理部分14发送INVITE消息作为连接请求(S5)。基于接收到INVITE消息，外部终端14的呼叫控制处理部分14返回RINGING消息(S6)。该RINGING消息通过呼叫控制代理服务器11的呼叫控制代理部分11a被发送到内部终端15的呼叫控制处理部分15a(S7)。
如果外部终端14响应，则外部终端14的呼叫控制处理部分14a发送OK消息(S8)。该OK消息通过呼叫控制代理服务器11的呼叫控制代理部分11a被发送到内部终端15的呼叫控制处理部分15a(S9)。内部终端15的呼叫控制处理部分15a以ACK消息响应该OK消息(S10)。该ACK消息通过呼叫控制代理服务器11的呼叫控制代理部分11a被发送到外部终端14的呼叫控制处理部分14a(S11)。
在该呼叫控制序列中，基于接收到来自内部终端15的呼叫控制处理部分15a的ACK消息(S10)，识别用于内部终端15和外部终端14之间通信的地址(IP地址)和端口号信息，从而呼叫控制代理服务器11的呼叫控制代理部分11a把该IP地址和端口号对信息临时存储在地址和端口管理部分11b中。呼叫控制代理服务器11的过滤控制请求部分11c向家乡代理12提供包含该用于通信的IP地址和端口号对信息的过滤控制请求消息(S12)。从而，启动过滤控制处理。
如图1所示，家乡代理12具有IP地址对应信息管理部分12a，并且由该IP地址对应信息管理部分12a管理由于外部终端14的移动或者外部终端14重新连接到网络儿改变的IP地址的新地址和旧地址之间的对应关系。图3示出了指示IP地址的新地址和旧地址之间的对应关系的表格的格式示例。在图3中，家乡地址列12a1是用于保持内部网络中终端的家乡地址的项目，而转交地址列12a2是用于保持终端的当前转交地址的项目。当图1中的家乡代理12的过滤控制命令部分12b接收到包含用于通信的IP地址和端口号对信息的过滤控制请求消息时，过滤控制命令部分12b以该IP地址作为键来搜索家乡地址列12a1。如果搜索成功，则过滤控制命令部分12b从转交地址列12a2获取当前转交地址。过滤控制命令部分12b使用转交地址作为最新近的IP地址而确定最新近的IP地址和端口号对。然后，其向防火墙17发送该最新近的IP地址和端口号对信息。如果搜索不成功，则过滤控制命令部分12b向防火墙17发送所包含在过滤控制请求消息中的IP地址和端口号对信息。
当防火墙17的分组发送-接收管理部分17a接收到该最新近的IP地址和端口号对信息时，其把该对信息提供给过滤控制部分17b。过滤控制部分17b控制分组传输部分(过滤部分)17c的分组传输操作(分组过滤操作)，从而允许由该最新近的IP地址和端口号对信息所标识的IP分组通过。
从而，使得在内部终端15的主信号处理部分15b和外部终端14的主信号处理部分14b之间主信号(例如，包含视频、图像等数据的分组)的通信可能。
图4是示出本发明第一实施例中的过滤处理序列的图。呼叫控制代理服务器11的过滤控制请求部分11c向家乡代理12的过滤控制命令部分12b发送包含用于通信的IP地址和端口号对信息的过滤请求(S51)。过滤控制命令部分12b检查该IP地址是否是最新近的地址，并且向防火墙17的过滤控制部分17b发送包含最新近的IP地址和端口号对信息的过滤请求(S52)。过滤控制部分17b保留包含该最新近的IP地址和端口号对信息的过滤信息、进行匹配检查、以及向分组传输部分(过滤部分)17c发送过滤设置命令(S53)。从而，设置过滤条件。分组传输部分(过滤部分17c)返回指示设置了过滤条件的响应消息(S54)。通过过滤控制部分17b和过滤控制命令部分12b把该响应信息发送到过滤控制请求部分11c(S55和S56)。
图5是示出了根据第一实施例的防火墙系统的第一操作示例的图。第一操作示例的防火墙系统具有内部终端401，移动终端(MN)的外部终端402、具有呼叫控制代理部分功能的呼叫控制代理服务器403、具有地址对应信息管理部分功能的家乡代理(HA)404、包括分组过滤单元400的防火墙405、诸如因特网的外部网络406、安装在企业等中的内部网络407、以及路由器408。呼叫控制代理服务器403和家乡代理404被安装在内部网络407的DMZ(demilitarized zone，非武装区)，并且可从外部网络406访问。连接到内部网络407的内部终端401可以通过防火墙405和路由器408访问外部网络406。
这里，假定内部终端401通过呼叫控制代理服务器403交换呼叫控制序列，以与外部终端402建立通信。还假定外部终端402是移动终端(MN)，并且移动到外部网络406且获得转交地址。
如图5所示，呼叫控制代理服务器403向家乡代理404发送在图2所示的呼叫控制序列中所确定的内部终端401的IP地址和端口号和外部终端402的IP地址和目的端口号的呼叫信息。这里，假定家乡代理404从呼叫控制代理服务器403所获取的内部终端401的IP地址和端口号和外部终端402的IP地址和目的端口号的呼叫信息是2001:300:c01:1::1和12345，2001:300:c01:1::2和23456。
另一方面，家乡代理404根据由外部终端402发往家乡代理404的绑定更新信息(BU消息)获取指示外部终端402的转交地址是2001:300:beaf::2的信息。从而，家乡代理404保留互相关联的外部终端402的家乡地址和转交地址，并且知道外部终端402的最新近的地址是转交地址。
家乡代理404向包括分组过滤单元400的防火墙405发送用于内部终端401和外部终端402之间通信的信息。分组过滤单元400基于所获取的IP地址和端口号对信息设置过滤条件，并且根据该IP地址和端口号对信息控制分组通行(passage)，从而允许用于该通信的IP分组通过。
即，分组过滤单元400基于来自家乡代理404的信息允许作为(IP地址，端口号的(2001:300:c01:1::1，12345)和(2001:300:beaf::2，23456)之间分组通过。具体地，可以通过设置过滤器1(Allow 2001:300:c01:1::1*2001:300:beaf::2 23456)和过滤器2(Allow 2001:300:beaf::2*2001:300:c01:1::1 1234)来设置条件。这里源端口号*是意味每个端口号的符号。这里，家乡代理404发送外部终端402的转交地址，从而其控制分组过滤单元400以便允许具有2001:300:beaf::2而非2001:300:c01:1::2的通信分组通过。
即，如果新BU消息自外部终端402来到，则家乡代理404控制分组过滤单元400以便使得外部终端402的新转交地址和内部终端401之间的通信可能而阻挡旧转交地址和内部终端401之间的通信。具体地，假定随同该新BU消息发送的外部终端402的转交地址是2001:300:beaf::2，则家乡代理404控制分组过滤单元400以便允许(2001:300:c01:1::1，12345)和(2001:300:beaf::2，23456)之间的通信通过，而切断(2001:300:c01:1::1，12345)和(2001:300:c01:1::2，23456)之间的通信。
如果呼叫控制代理服务器403检测内部终端401和外部终端402的通信终结，则内部终端401或外部终端402经由呼叫控制代理服务器403执行通信终结的呼叫控制序列。呼叫控制代理服务器403向家乡代理404发送通信终结通知。基于接收到通信终结通知，家乡代理404控制分组过滤单元400以便切断到目前为止被允许通过以建立内部终端401和外部终端402之间的通信的IP分组。
如果分组过滤单元400监控内部终端401和外部终端402之间的通信分组，并且确定通信被终结，则也可能控制分组过滤单元400自动地来切断到目前为止被允许通过以建立内部终端401和外部终端402之间的通信的IP分组。
根据第一操作示例，使得可能在其中操作基于移动IP的数据通信的情形下，以IP地址和端口号对单位动态地控制分组过滤。
图6是示出了根据第一实施例的防火墙系统的第二操作示例的图。第二操作示例是如下示例，其中在内部网络中操作基于移动IP的数据通信。图6中的配置具有内部家乡网络605、要移动到的内部网络606、诸如因特网的外部网络604，以及外部终端(CN)603连接到外部网络604。家乡网络605和要移动到的网络606经由路由器605R和606R连接。作为防火墙的分组过滤单元607被安装在路由器605R、606R和外部网络604之间。移动终端(MN)601、家乡代理(HA)602、呼叫控制代理服务器608连接到家乡网络605。
在该配置中，家乡网络605上的移动终端和外部网络604上的外部终端603的连接是通过呼叫控制代理服务器608建立的。此外，假定移动终端601在其中通过家乡代理602设置分组过滤单元607的过滤条件以及在移动终端601和外部终端603之间进行通信的状态下移动到要移动到的网络606。
移动终端601获取在该要移动到的网络606中的移动目的地址(转交地址)，并且向家乡代理602发送该移动目的地址。家乡代理602向分组过滤单元607提供包含移动终端601的最新近的IP地址(即转交地址)的过滤请求，并且改变分组过滤条件以便进行在该要移动到的网络606中的移动终端601和外部终端603之间的通信。从而，如果移动终端601移动，与外部终端603的通信可以继续。即，以从移动终端601向家乡代理602发送的地址改变通知为触发而执行图4所示的过滤处理序列。从而，包括最新近的IP地址和端口号对信息的过滤信息被从呼叫控制代理服务器608通过家乡代理602和路由器605R发送到分组过滤单元607。结果，如果移动终端601移动，使得可能继续与外部终端603的通信。
根据第二操作示例，如果移动终端从家乡网络移动到要移动到的网络，与外部终端的通信可以继续，并且可以以IP地址和端口号对单位执行分组过滤。
根据上述第一实施例，使得可能在其中操作基于移动IP的数据通信的情形下，以IP地址和端口号对单位动态地控制分组过滤。也可能通过呼叫控制代理服务器11从经网络管理员认可的外部终端开启通信并且在执行该终端中涉及的通信的分组过滤。
呼叫控制代理服务器11保留涉及被网络管理员等信任的不同呼叫控制代理服务器的信息。呼叫控制代理服务器11可以引入如下机制当启动用于建立内部终端和外部终端之间通信的呼叫控制序列时，仅当呼叫是经由被信任的不同呼叫控制代理服务器的时才执行该呼叫控制序列。例如，一种保留例如以URI(Uniform Resource Identifier，统一资源标识符)标示的aaa@sip.acompany.co.jp表示的外部网络上的资源描述的一个以上主机部分，即一个以上sip.acompany.co.jp部分的方法、一种保留以施加于主机部分表示的常规表达的sip.*.co.jp的描述的方法、或者一种保留URI以及主机部分的方法可以用作保留涉及被网络管理员等信任的不同呼叫控制代理服务器的信息的方法。引入了这样的机制，尤其使得可能控制以便仅允许经由被网络管理员等信任的不同呼叫控制代理服务器建立的通信通过分组过滤单元。
在第一实施例中，存在其中呼叫控制代理服务器11和家乡代理12两者或者任一被安装在外部网络10中的操作方法和其中呼叫控制代理服务器11和家乡代理12两者或者任一被安装在企业等的内部网络16中的操作方法。在前者中，通过使用TLS(Transport Level Security，传输级安全)、IPSEC(IP安全)等的认证和密钥保护呼叫控制代理服务器11和家乡代理之间12的通信和家乡代理12和包括分组过滤单元的防火墙17之间的通信的方法被应用，由此使得可能防止外部网络上另一终端的伪装攻击和操作。从而，甚至其中呼叫控制代理服务器11和家乡代理12两者或者任一被安装在外部网络10中的操作方法也可以像其中呼叫控制代理服务器11和家乡代理12两者或者任一被安装在企业等的内部网络16中的操作方法那样操作。
(第二实施例)图7是示出根据本发明第二实施例的防火墙系统的配置的图。通过向图1中所示的第一实施例的防火墙系统添加未授权访问监控功能而提供根据第二实施例的防火墙系统。防火墙130具有作为正常访问确定条件存储部分的正常访问规定数据库131、未授权访问检测部分132、分组传输部分133、和未授权访问通知部分134。呼叫控制代理服务器110具有未授权访问监控控制请求部分111、呼叫控制代理部分11a、地址和端口管理部分11b。家乡代理(HA)120具有未授权访问监控控制命令部分121和IP地址对应信息管理部分12a。其它组件与图1所示的第一实施例的组件类似。
图8是示出第二实施例中的呼叫控制序列的图。通过改变图2所示的呼叫控制序列的一部分来提供该序列。在第二实施例中，当从内部终端15的呼叫控制处理部分15a向呼叫控制代理服务器110的呼叫控制代理部分11a提供ACK消息(S10)时，识别用于通信的IP地址、端口号和媒体类型信息。呼叫控制代理服务器110的未授权访问监控控制请求部分111向家乡代理120提供包含IP地址、端口号和媒体类型信息的未授权访问监控控制请求消息(S22)。从而，启动未授权访问监控控制处理。其它方面类似于第一实施例的方面。
图9是示出第二实施例中的未授权访问监控控制序列的图。当用于通信的IP地址、端口号和媒体类型的信息确定时，呼叫控制代理服务器110的未授权访问监控控制请求部分111向家乡代理120提供未授权访问监控控制请求(IDS(Intrusion Detection System，入侵检测系统)请求)(S111)。家乡代理120的未授权访问监控控制命令部分121检查检查IP地址是否是最新近的地址，并且向未授权访问检测部分132提供包含最新近的IP地址、端口号、媒体类型信息的未授权访问监控控制请求(IDS请求)(S112)。未授权访问检测部分132从正常访问规定数据库131获取对应媒体的正常访问的分组迹象数据，并且检查偏离正常访问分组迹象的分组迹象不存在。如果偏离分组迹象存在，则未授权访问检测部分132通过未授权访问通知部分134例如通过电子邮件等向管理员等通知未授权访问的发生(S113)。
图10是示出本发明第二实施例中未授权访问监控处理规程的流程。未授权访问检测部分132从正常访问规定数据库131获取对应媒体的正常访问分组迹象(sign)数据(步骤S121)。未授权访问检测部分132获取由分组传输部分133捕获的分组(步骤S122)，并且计算所捕获分组的迹象(signature)(步骤S123)。未授权访问检测部分132在对应媒体的正常访问的分组迹象和所捕获分组的迹象之间进行比较(步骤S124)。如果所捕获分组的迹象与正常访问的迹象不匹配，则未授权访问检测部分132通过未授权访问通知部分134向管理员等通知未授权访问的发生(S125)。重复步骤S2和后续步骤处的处理，直到通信终结。
将讨论当图11中所示格式的分组被视察作为正常访问分组时步骤S123和S124处的迹象计算和比较方法(处理功能)的实现示例。图11是示出了视频分布中的分组格式示例的图。下面一个或多个条件的组合被用作视频分组中正常访问的分组迹象(G.711格式)(1)RTP头部中的顺序号递增(或卷绕(wrap around))。(2)RTP头部中的时间戳值递增(或卷绕)。(3)负载长度固定(在G.711中为160字节)。(4)过去N(例如，20)个分组的平均到达时间间隔是20ms(20毫秒)。进行与这样的正常访问分组迹象的比较，由此可以检测未授权访问，并且可以通知管理员等未授权访问的发生。
图12是示出根据第二实施例的防火墙系统的操作示例的图。通过向图5所示的根据第一实施例的防火墙系统的第一操作示例添加未授权访问监控功能来提供该操作示例的防火墙系统。防火墙700包括图5中所示的分组过滤单元400和未授权访问监控器701。在家乡代理(HA)404A和呼叫控制代理服务器403A中，添加了涉及媒体类型信息获取的部分功能。其它组件类似于图5中所示的第一实施例的第一操作示例的组件。
家乡代理404A从呼叫控制代理服务器403A获取用于通信的IP地址和端口号对以及媒体类型、基于新IP地址和旧IP地址之间的对应关系确定最新近的IP地址和端口号对以及媒体类型、并且向防火墙700提供最新近的IP地址和端口号对以及媒体类型的信息。例如以空隔分隔符格式的(2001:300:c01::1 12345 2001:300:c01::2 2345 m＝audio 0 RTP/AVP 0，a＝rtpmap:0 PCMU/8000)给出最新近的IP地址和端口号对以及媒体类型的信息。在该格式中，第一项(2001:300:c01::1)是源IP地址，第二项(12345)是源端口号，第三项(2001:300:c01::2)是目的IP地址，第四项(23456)是目的端口号，第五项(m＝audio 0 RTP/AVP 0，a＝rtpmap:0 PCMU/8000)是字符串，其指示上述SDP(会话描述协议)中所规定的原始描述的媒体类型，是以逗号(，)连接的。
当确定通信媒体类型时，未授权访问监控器701响应于媒体类型改变视察操作。具体地，上述IP地址和端口号对以及媒体类型的信息中指示媒体类型的字符串被解析为SDP中所规定的含义。如果终端之间的通信是例如IP电话并且G.711用作视频编码系统，则当视频分布(G.711)中的分组条件不满足时，检测出未授权访问，并且使用电子邮件、即时消息、IP电话等通知网络管理员等未授权访问的发生。
图13是示出第二实施例的操作示例中防火墙的功能配置示例的图。基于从家乡代理404A接收到IP地址、端口号、和媒体类型的通知，防火墙700中的过滤和视察控制部分702向具有未授权访问检测功能的分组视察部分703发出视察命令，并且向分组过滤部分704给出过滤设置命令。每种媒体类型的正常访问迹象(正常访问确定条件)被保留在具有存储正常访问确定条件功能的正常访问模式存储部分705中。具体地，正常访问迹象被保留在下面图示的正常访问迹象保留表格中。
图14是示出了正常访问迹象保留表格的格式示例的图。在图14中，媒体类型列705a是用于保留媒体类型的键项。迹象视察函数的指针列705b是用于存储正常访问确定条件的项目。SDP中所描述的媒体类型被存储在媒体类型列705a下。作为启动分组视察函数(处理)的信息，在迹象视察函数的指针列705b下指定了每个函数的指针和适用于该函数的参数。
分组视察部分703使用媒体类型作为键而从正常访问模式存储部分705中的正常访问迹象保留表格获取视察分组的函数和参数，对于每个分组应用该函数和参数的处理，由此对于每个IP地址、端口监控偏离媒体的正常访问迹象的分组。未授权访问迹象通知部分(未授权访问通知部件)706使用电子邮件、即时消息、IP电话等通知网络管理员等偏离正常访问的分组的发生。
由于如上所述确定了目标通信媒体(视频、移动图像)，所以如在图11中的视频分组中的分组示例格式示例中所描述的，易于创建针对每个媒体类型的正常访问模式。例如，如果移动图像遵循RTP(Real-time TransportProtocol，实时传输协议)的AVP格式，则可以创建对应于该格式的视察规则。例如，维持头部数据项和分组长度等的整合性，并且从而可以创建使用该性质的正常访问模式。
根据上述第二实施例，可以基于根据呼叫控制序列所获得的IP地址、端口号、媒体类型信息检查是否满足针对每种媒体类型预先定义的正常访问确定条件，并且如果不满足正常访问确定条件，则可以检测出未授权访问，并且可以通知网络管理员等未授权访问的发生。
(第三实施例)图15是示出根据本发明第三实施例的防火墙系统的配置的图，图16是示出第三实施例种的防火墙系统的主要部分的框配置的图。第三实施例能够以基于SIP的呼叫控制代理服务器(SIP服务器)单位向访问控制功能添加组通信控制SIP服务器(MCU)150。
地址管理服务器13、外部终端14、组通信控制SIP服务器(MCU)150连接到外部网络10。呼叫控制代理服务器140和家乡代理被安装在内部网络16中的DMZ(非武装区)，并且可以从外部网络10访问。连接到内部网络16的内部终端15可以通过防火墙17对外部网络10进行访问。呼叫控制代理服务器140包括许可SIP服务器列表保留部分141，其具有保留涉及被信任的SIP服务器的信息作为许可SIP服务器列表的功能。
如图16所示，呼叫控制代理服务器140具有呼叫控制代理部分142、地址和端口管理部分11b、过滤控制请求部分11c以及许可SIP服务列表保留部分141。呼叫控制代理部分142对于召开会议时在终端之间进行组通信时的呼出信号(ring)进行解释、以及向/从该许可SIP服务器列表添加/删除组通信控制SIP服务器150。呼叫控制代理服务器140的地址和端口管理部分11b和过滤控制请求部分11c、家乡代理12、防火墙17的功能类似于图1所示的第一实施例的功能。
图17是示出当使用终端之间的组通信召开会议时的呼叫控制示例的图。图17示出了在参加一个会议期间终端A-1允许终端B-1加入该会议，以及接着终端B-1允许终端B-2加入该会议的呼叫控制。在该示例中，使用终端A-1所访问的呼叫控制代理服务器A 140A、终端B-1和B-2所访问的呼叫控制代理服务器B 140B、以及用于控制会议中组通信的组通信控制SIP服务器150。在图17中，数字“1”、“3”、“5”指示的箭头的通信表示例如涉及媒体添加、参与者添加等控制的会议控制信号，以及数字“2”和“4”指示的箭头的通信表示会议URI通知(邀请)。在该示例中，从终端A-1(T1@aa.jp)通过呼叫控制代理服务器A 140A发送作为URI的meet@mcu.xx.yy，并且该URI被通过呼叫控制代理服务器B 140B发送到终端B-1(T1@bb.jp)，终端B-1然后加入会议。类似地从终端B-1向终端B-2(T2@bb.jp)发送该URI，终端B-2然后加入会议。
图18是示出本发明第三实施例中在会议加入时的序列示例的图。假定在初始状态中，终端A-1加入了会议，并且在终端A-1、呼叫控制代理服务器A140A、组通信控制SIP服务器150之间进行会议的通信控制。当对终端B-1寻址的用于发送会议URI的REFER消息被从终端A-1发行到呼叫控制代理服务器A 140A(S171)时，呼叫控制代理服务器A 140A将该REFER消息传送到呼叫控制代理服务器B 140B(S172)。呼叫控制代理服务器B 140B将该REFER消息发送到终端B-1(S173)。基于接收到该REFER消息，终端B-1返回表达参见会议的INVITE消息(S174)。基于接收到INVITE消息，呼叫控制代理服务器B 140B将该消息发送到组通信控制SIP服务器150(S175)，并且组通信控制SIP服务器150开始与终端B-1的会议通信控制。从而，使得终端B-1可能加入会议。
当接收到REFER消息(S172)或者接收到INVITE消息(S174)时，呼叫控制代理服务器B 140B从会议URI识别组通信控制SIP服务器(MCU)，并且将涉及组通信控制SIP服务器的信息作为被信任的SIP服务器信息存储在许可SIP服务器列表保留部分141中。
如上所述，根据第三实施例，关于用于基于组通信控制会议通信的组通信控制SIP服务器的信息作为被信任的SIP服务器信息被添加，从而可以基于从所添加的SIP服务器获得的IP地址、端口号、媒体类型等的信息，执行分组过滤和未授权访问检测。
(第四实施例)图19是示出本发明第四实施例的防火墙系统的配置的图。第四实施例提供了其中第一实施例中的呼叫控制代理服务器、家乡代理(HA)、分组过滤单元被实现为一个客户许可路由器的示例。客户许可路由器508连接到IPv6外部网络510A、IPv4外部网络510B、内部网络509，用于中继端对端通信。内部终端501连接到内部网络509，外部终端502连接到IPv6外部网络510A。客户许可路由器508具有IPv4和IPv6分组分类器511、IPv6分组处理部分512、IPv4分组处理部分513、用于提供NAT功能的NAT部分514、用于提供DHCP服务器功能的DHCPS部分515，等等。IPv6分组处理部分512配备有呼叫控制代理服务器503、家乡代理504、具有分组过滤单元505和未授权访问检测单元506的防火墙500、以及被信任的呼叫控制代理服务器信息保留部分507。
被信任的呼叫控制代理服务器信息保留部分507保留涉及被网络管理员等信任的不同呼叫控制代理服务器的信息。当开始用于在内部终端501和外部终端502之间建立通信的呼叫控制序列时，呼叫控制代理服务器503仅接受来自在被信任的呼叫控制代理服务器信息包络部分507中所保留的呼叫控制代理服务器中的任一的呼叫控制信号，由此执行呼叫控制序列。从而，使得可能执行在呼叫控制代理服务器管理单位(SIP管理单位)上的访问控制。采用这样的配置，从而，可以在其中在客户许可路由器508中操作基于移动IP的数据通信的情形下，在IP地址和端口号对单位上动态地控制分组过滤单元505。
在用于从IPv6外部网络510A上的外部终端502建立与内部网络509上的内部终端501的通信的序列中，呼叫控制代理服务器503获取通信中所使用的媒体类型。其响应于该媒体类型，使用该媒体类型来启动未授权访问检测单元506。未授权访问检测单元506配备有规定针对每种媒体类型的正常访问模式的数据库。未授权访问检测单元506使用从呼叫控制代理服务器503获取的媒体类型信息和正常访问信息的数据库来监控在外部网络上的外部终端502与内部网络509上的内部终端501之间的通信分组序列。如果未授权访问检测单元506在监控中检测到偏离正常访问的分组序列，则其使用电子邮件、IP电话等通知网络管理员等偏离正常访问的分组序列的发生。
执行这样的操作，由此使得未授权访问检测单元506可能监控分组序列和检测出未授权访问为偏离正常访问。此外，可以针对每种媒体类型定义正常访问迹象，从而变得易于定义正常访问。例如，根据先前规定的RTP负载格式执行在外部终端和内部终端之间的通信中所使用的音频、移动图像等的分布。这样，容易地使得可能使用负载格式中的分组长度、顺序号、时间戳等信息规定正常访问。因而，使得可能实际地操作未授权访问检测单元506以检测自正常访问的偏离。
由于该实施例是将本发明的分组过滤单元和未授权访问检测单元的控制方法应用于客户许可路由器508的实施例，所以类似的配置也可以应用于包括路由器功能和桥接(bridge)功能的移动电话、PDA等移动终端。
如上所述，根据第四实施例，可以在客户许可路由器等中执行IP地址和端口对单位上的动态分组过滤、以及基于针对每种媒体类型先前所定义的正常访问确定条件的容易且适当的未授权访问检测。
(第五实施例)图20是示出根据本发明第五实施例的防火墙系统的配置的图。第五实施例提供了其中把根据本发明的防火墙系统应用于IP移动电话的实例。地址管理服务器13和外部终端14连接到诸如因特网的外部网络510。外部网络510可以通过移动通信承载网络520或者无线LAN 530连接到IP移动电话800。IP移动电话800通过PAN(Personal Area Network，个人区域网络)540连接到内部终端550。
IP移动电话800具有路由器功能，并且具有RF部分801、无线LAN-IF部分802、PAN-IN部分803、IPv4和IPv6分组分类器804、IPv4分组处理部分805、IPv6分组处理部分806、主信号处理部分807、呼叫控制处理部分808等。IPv6分组处理部分806具有IP地址对应信息管理部分811、呼叫控制代理部分812、地址和端口管理部分813、以及包括过滤控制部分814和分组传输部分(过滤部分)815的防火墙816等。
根据该配置，在移动终端的IP移动电话800中，过滤控制部分814基于呼叫控制代理部分812中根据呼叫控制序列所获得的IP地址、端口号、和媒体类型的信息以及由IP地址对应信息管理部分811提供的终端移动时的地址信息，执行在IP地址和端口号对单位上的动态分组过滤。从而，在IP移动电话800中，可以执行控制，从而仅接受通过防火墙816的例如PAN540中的IP电话等的内部终端550的呼叫。也可以基于针对每种媒体类型先前所定义的正常访问确定条件，使用呼叫控制代理部分812所提供的媒体类型信息来检测未授权访问。
如上所述，根据第五实施例，可以在移动终端中执行IP地址和端口对单位上的动态分组过滤、以及基于针对每种媒体类型先前所定义的正常访问确定条件的容易且适当的未授权访问检测。
如上所述，把本实施例的配置应用于所安装在企业等内部网络和诸如因特网的外部网络之间的防火墙系统，由此可以提供甚至可用于其中操作基于移动IP的数据通信的情形下的分组过滤功能和未授权访问检测功能。也可以把本实施例的配置应用于安装在家庭等中的路由器、包含内部网络的可以移动的具有路由器功能的移动电话、PDA等的移动终端。
尽管已经参考具体实施例描述了本发明，但是对于本领域普通技术人员来说，显然可以进行各种改变和修改，而不背离本发明的精神和范围。
本申请基于2004年10月12日提交的日本专利申请(No.2004-297872)，通过引用将其合并于此。
工业实用性本发明具有如下优点使得可能即使在其中操作移动网络通信的情形下，通过执行在地址和端口号对单位上的分组过滤，也仅允许较窄范围中的通信通过，以及使得可能不仅在内部网络的移动终端移动到外部网络时，而且在连接到外部网络的不同终端与内部网络的终端通信时，建立通信。本发明还具有下述优点使得可能通过监控由媒体类型确定的通信的分组序列和基于针对每种媒体类型定义的正常访问确定条件检测不满足正常访问的未授权访问而实质地检测未知攻击。本发明对于在使用移动IP的移动网络的通信等的网络中动态控制防火墙的防火墙系统和防火墙控制方法有用。
权利要求
1.一种用于控制外部网络和内部网络间通信的防火墙系统，包括呼叫控制代理部分，用于中继呼叫控制序列，以建立连接到该外部网络或该内部网络的终端之间的通信；地址对应信息管理部分，用于管理因为终端移动或重新连接到网络而改变的、每个终端的新地址和旧地址之间的对应关系；过滤控制部分，用于基于从该呼叫控制代理部分获得的用于通信的终端的地址和端口号信息以及从该地址对应信息管理部分获得的新地址和旧地址之间的对应关系信息，设置地址和端口号对，作为被许可通过内部网络和外部网络之间的分组的过滤条件；以及分组过滤部分，用于允许基于包含所述地址和端口号对的过滤条件所确定的分组通过。
2.根据权利要求1的防火墙系统，其中，所述呼叫控制代理部分包括中继部分信息保留部分，用于保留关于不同的被信任的呼叫控制代理部分的信息，以及其中，所述过滤控制部分在经由所述不同的呼叫控制代理部分所建立的终端之间的通信中获取地址和端口号信息，并且基于该地址和端口号对设置过滤条件。
3.根据权利要求1的防火墙系统，其中，如果所述内部网络上的终端和该外部网络上的终端中的至少一个移动并且从所述呼叫控制代理部分或所述地址对应信息管理部分获得的地址信息改变，则所述过滤控制部分基于最新近的地址和端口号对设置过滤条件。
4.根据权利要求1的防火墙系统，还包括正常访问确定条件存储部分，用于存储针对每种通信媒体类型定义的正常访问确定条件；以及未授权访问检测部分，用于基于从所述呼叫控制代理部分获得的用于通信的终端的地址、端口号以及媒体类型的信息、从所述地址对应信息管理部分获得的新旧地址之间的对应关系的信息、以及从所述正常访问确定条件存储部分获得的正常访问确定条件，如果正通过的分组不满足所述正常访问确定条件，则检测出未授权访问。
5.根据权利要求4的防火墙系统，其中，如果所述内部网络上的终端和该外部网络上的终端中的至少一个移动并且从该呼叫控制代理部分或该地址对应信息管理部分获得的地址信息改变，则所述未授权访问检测部分基于最新近的地址信息确定所述正常访问确定条件。
6.一种在根据权利要求1的防火墙系统中的分组过滤单元，包括过滤控制部分，用于基于从该呼叫控制代理部分获得的用于通信的终端的地址和端口号信息以及从该地址对应信息管理部分获得的新地址和旧地址之间的对应关系信息，设置地址和端口号对，作为被许可通过内部网络和外部网络之间的分组的过滤条件；以及分组过滤部分，用于允许基于包含所述地址和端口号对的过滤条件所确定的分组通过。
7.一种在根据权利要求1的防火墙系统中的未授权访问检测单元，包括正常访问确定条件存储部分，用于存储针对每种通信媒体类型定义的正常访问确定条件；以及未授权访问检测部分，用于基于从所述呼叫控制代理部分获得的用于通信的终端的地址、端口号以及媒体类型的信息、从所述地址对应信息管理部分获得的新旧地址之间的对应关系的信息、以及从所述正常访问确定条件存储部分获得的正常访问确定条件，如果正通过的分组不满足所述正常访问确定条件，则检测出未授权访问。
8.一种用于控制外部网络和内部网络间通信的防火墙控制方法，该防火墙控制方法包括下列步骤从呼叫控制代理部分获取用于通信的终端的地址和端口号信息，该呼叫控制代理部分用于中继呼叫控制序列，以建立连接到该外部网络或该内部网络的终端之间的通信；从地址对应信息管理部分获取新地址和旧地址之间的对应关系信息，该地址对应信息管理部分用于管理因为终端移动或重新连接到网络而改变的每个终端的新地址和旧地址之间的对应关系；基于该用于通信的终端的地址和端口号信息以及该新地址和旧地址之间的对应关系信息，设置地址和端口号对，作为被许可通过内部网络和外部网络之间的分组的过滤条件；以及允许基于包含所述地址和端口号对的过滤条件所确定的分组通过。
9.一种用于控制外部网络和内部网络间通信的防火墙控制方法，该防火墙控制方法包括下列步骤从呼叫控制代理部分获取用于通信的终端的地址、端口号、和媒体类型信息，该呼叫控制代理部分用于中继呼叫控制序列，以建立连接到该外部网络或该内部网络的终端之间的通信；从地址对应信息管理部分获取新地址和旧地址之间的对应关系信息，该地址对应信息管理部分用于管理因为终端移动或重新连接到网络而改变的每个终端的新地址和旧地址之间的对应关系；以及基于该用于通信的终端的地址、端口号、和媒体类型信息、该新地址和旧地址之间的对应关系信息、以及存储在正常访问确定条件存储部分中的针对每种通信媒体类型定义的正常访问确定条件，如果正通过的分组不满足该正常访问确定条件，则检测出未授权访问。
全文摘要
可能在其中操作使用移动网络的通信的情况下，适当地执行分组过滤和未授权访问检测。家乡代理(404A)获取通过呼叫控制中继服务器(403A)的呼叫控制获得的IP地址、端口号、媒体类型，并且将之报告给防火墙(700)。防火墙(700)具有分组过滤部件(400)，其执行分组过滤，使得由IP地址和端口号组指定的IP地址通过。此外，未授权访问监控部件(701)从针对每种媒体类型预先定义的正常访问判断条件获取关于对应媒体类型的信息。根据正常访问判断条件，执行分组监控，并且把偏离正常访问的访问检测为未授权访问。
文档编号H04L12/56GK101040497SQ20058003464
公开日2007年9月19日 申请日期2005年10月12日 优先权日2004年10月12日
发明者村本卫一, 米田孝弘 申请人:松下电器产业株式会社