专利名称:一种移动IPv6数据穿越状态防火墙的方法
技术领域:
本发明涉及移动网络层协议版本6(移动IPv6或MIPv6)数据传送技术,尤指一种移动IPv6数据穿越状态防火墙(FW)的方法。
背景技术:
在移动IPv6数据传送技术中,每个移动节点(MN)设有一个固定的家乡地址(HoA),这个HoA与MN当前接入互联网的位置无关,该HoA在MN的家乡链路中可以直接使用。当MN移动到家乡链路以外的外地时,通过从外地代理获得的一个转交地址(CoA)来提供MN当前的位置信息。
通信节点(CN)是MN的通信对端,MN与CN之间的数据包传送方式有双向隧道和路由优化两种,其中,路由优化是指在MN与支持移动IPv6的CN之间直接传送数据包的过程,在路由优化中,CN必须知道MN移动后新的CoA;双向隧道是通过家乡代理(HA)在MN与CN之间传送数据包的过程,此时CN不必知道MN移动后新的CoA。比如,当MN接收来自CN的数据包时,由于MN的HoA是不变的,数据包会被发送到MN的HoA,数据包首先从CN被发送到HA,再由HA将数据包转交给MN。
上述两种传送方式,双向隧道由于通过HA转发,会导致严重的传送延迟,而路由优化消除了双向隧道方式存在严重时延的缺点。
为了在MN与支持移动IPv6的CN之间实现数据包的路由优化传送,MN每次改变位置,都要将移动后新的CoA告诉给HA和CN。
当MN移动到家乡链路之外的链路后,MN将新的CoA告诉HA和CN的过程包括返回可路由过程(RRP)和交换绑定更新/绑定确认(BU/BA)两个过程,具体是这样实现的(1)RRPMN向CN发送CoA测试启动报文;MN经HA向CN发送HoA测试启动报文;CN向MN发送CoA测试响应报文;CN经HA向MN发送HoA测试响应报文。
(2)BU/BA过程完成RRP之后,MN启动BU过程,将MN移动后新的CoA通知CN和HA,CN收到新的CoA后,CN在其绑定缓存中为MN增加一个条目来存储MN移动后新的CoA,也就是通信注册;HA收到新的CoA后,HA在其绑定代理中为MN增加一个条目来存储MN移动后新的CoA,也就是家乡注册。
之后,CN和HA均向MN发送BU报文确认,即完成BA过程。
完成上述通信注册和家乡注册之后,标明MN在CN和HA上均注册了新的CoA,这样,MN与CN之间就可以使用路由优化传送数据包了。在MN与CN之间传送数据报文之前,还需要在MN与CN之间建立传输控制协议(TCP)连接。TCP连接包括三个过程(1)在FW内,受FW保护的某节点A通过FW向FW外的某节点B发起TCP连接同步(SYN)请求,该SYN请求中携带了节点B的地址,即目的地址、节点B的端口(Port),即目的Port和节点A与节点B之间的协议号;(2)节点B通过FW向节点A返回SYN请求响应(SYN-ACK),在该SYN-ACK响应中,携带了节点A的地址,即源地址、节点A的Port,即源Port和节点A与节点B之间的协议号;(3)节点A通过FW向节点B返回响应(ACK)。至此,节点A与节点B之间建立起TCP连接。容易看出,在节点A和节点B之间完成了通信注册之后,TCP成功建立没有问题。
另外,为了保证MN与CN之间传送数据报文的安全性,在MN与CN之间设置防火墙(FW)来拦截恶意攻击节点,FW的种类繁多,其中状态防火墙(状态FW)采用状态包过滤技术,因为状态FW的安全性较好,速度快,得到最广泛的应用,下文提到的FW指状态防火墙。
在建立TCP连接的同时,FW会依据TCP连接中交互的五个元素源地址、目的地址、源Port、目的Port和协议号创建一个Entry表项,该表项包括上述五个元素。这样,当数据报文从FW外部穿越FW进入FW内部时,如果该数据报文的报头中所包含的目的地址和源地址与防火墙Entry表项中的目的地址和源地址一致,且该数据报文的端口和协议号也与防火墙Entry表项中的端口和协议号保持一致,则FW允许该数据报文穿越防火墙;否则,FW拦截该数据报文,并将拦截的数据报文丢弃,这个过程也称为过滤。
目前,由于MN位置的改变引起的MN地址的改变,在数据报文穿越状态FW时,会出现如下问题,这里假设当MN位置发生变化后,MN与CN之间的通信注册已成功完成,即CN已获得MN新的CoA,1.CN位于FW内,MN位于FW外的情况图1(a)是MN位于FW内,CN位于FW外的MN与CN之间通过FW交互数据包的示意图。MN从新的CoA向CN发送数据报文,此时,在数据报文穿越FW时,由于FW的Entry表项中没有能与MN新的CoA相匹配的表项,该数据报文不能通过FW的过滤,所以该数据报文将被丢弃。从而使得当位于FW外的MN移动到新的链路时,向FW内的CN发送的数据报文丢失。
在这种情况下,如果位于FW内的CN先向位于FW外的MN发送数据报文,那么,在数据报文穿越FW后,FW会在Entry表项中新增一表项,该表项记录包括的五个元素是CN地址,MN新的CoA,CN的Port,MN新的Port和CN与MN之间的协议号。这样,当MN再向CN发送数据时,当MN穿越FW时,能与FW中的新增Entry表项相匹配,该数据报文能通过FW的过滤,从而能成功穿越FW。
2.MN位于FW内,CN位于FW外的情况图1(b)是CN位于FW内,MN位于FW外的MN与CN之间通过FW交互数据包的示意图。CN向移动到新的链路的MN发送数据报文,当数据报文穿越FW时,由于在FW的Entry表项中只有MN移动前的地址,而没有MN移动后新的CoA,所以此时,数据报文的目的地址得不到匹配,使得FW对该数据报文的过滤失败,从而该数据报文被丢弃。
同样,在这种情况下,如果位于FW内的MN先向位于FW外的CN发送数据报文,那么,在数据报文穿越FW后,FW会在Entry表项中新增一表项,该表项包括的五个元素是MN新的CoA,CN地址,MN新的Port,CN的Port和CN与MN之间的协议号。这样,当CN再向MN发送数据时,当CN穿越FW时,能与FW中的新增Entry表项相匹配,通过FW的过滤,从而能成功穿越FW。
从上述两种情况来看,无论是CN位于FW内,MN位于FW外;还是CN位于FW外,MN位于FW内,由于MN位置的改变引起的MN地址的改变,在数据报文从FW外穿越状态FW时,均会出现数据报文穿越FW失败,从而导致丢弃数据报文的问题;而在数据报文从FW内穿越状态FW时,不会出现数据报文穿越FW失败的问题,所以下面涉及的穿越FW的问题是指从FW外穿越FW时存在的问题。
目前,为了解决这个问题,一些技术方案建议采用基于MN的家乡地址进行过滤。因为HoA在移动的过程中始终保持不变,并且HoA存在于MN发送给CN的数据报文的Home Address Destination Option项中,也存在于CN发送给MN的数据报文的Type 2 Routing Header二类路由报文头中,因此,针对某个MN和CN,FW的某个Entry表项中总是保持固定的五元素源地址、目的地址、源Port、目的Port和协议号。
CN位于FW保护范围内,MN位于FW之外,当MN向CN发送数据报文时,此时FW用于匹配的Entry表项五元素为(1)源地址MN的HoA,(2)目的地址CN的地址,(3)源PortMN的Port,(4)目的PortCN的Port,(5)CN与MN之间的协议号。因为MN发给CN的报文中包括Home Address Destination Option项,所以FW可以从该Option项中提取MN的HoA来代替其新的CoA作为源地址,这样发生了变化的MN的源地址能与Entry表项中的源地址相匹配。因此,这种采用基于MN的HoA进行过滤的方案,该数据报文能通过FW的过滤。
MN位于FW的保护范围内,CN位于FW之外,当CN向MN发送数据报文时,此时FW用于匹配的Entry表项五元素为(1)源地址CN的地址,(2)目的地址MN的HoA,(3)源PortCN的Port,(4)目的PortMN的Port,(5)CN与MN之间的协议号。因为CN发给MN的报文中包括Type 2 Routing Header二类路由报文头,所以FW可以从报文头中提取MN的HoA来代替其新的CoA作为目的地址,这样发生了变化的MN的目的地址能与Entry表项中的目的地址相匹配。因此,这种采用基于MN的HoA进行过滤的方案,该数据报文能通过FW的过滤。
图2是现有技术移动Ipv6数据从防火墙外穿越防火墙的流程图,这里假设当MN移动到家乡链路之外的链路后,MN与CN之间已经通过通信注册,并且MN的端口和协议号与CN的端口和协议号均能匹配;MN位于家乡链路中时的地址为HoA,MN位于家乡链路以外的链路时的地址为CoA,CN的地址为HoA1,现有技术移动Ipv6数据从防火墙外穿越防火墙的方法包括以下步骤步骤200~步骤201FW拦截从外部进入的数据报文,并判断该数据报文的源地址、目的地址、源Port、目的Port和协议号与FW的Entry表项中的五元素是否均匹配,若均匹配,则进入步骤208;否则,进入步骤202。
本步骤中,分两种情况1)(a)若MN位于FW之外,CN位于FW之内,那么Entry表项中包括源HoA、目的HoA1、源Port、目的Port和协议号,如果此时MN在家乡链路中,则MN发送给CN的数据报文中的源地址仍然为MN的家乡地址,即源HoA,目的地址为CN的地址,即目的HoA1,均能与Entry表项中的源HoA、目的HoA1项匹配,所以,该数据报文能通过FW的过滤进入步骤208;(b)如果此时MN已移动到了家乡链路之外的链路中,则MN发送给CN的数据报文中的源地址不再为MN的HoA,而是新的CoA,该新的CoA不能与Entry表项中的源HoA相匹配,所以,该数据报文不能通过FW的过滤,进入步骤202。
2)(a)若CN位于FW之外,MN位于FW之内,那么Entry表项中包括源HoA1、目的HoA、源Port、目的Port和协议号,如果此时MN在家乡链路中,则CN发送给MN的数据报文中的源地址为CN的地址,即目的HoA1,目的地址为MN的家乡地址,即目的HoA,均能与Entry表项中的源HoA1、目的HoA项匹配,所以,该数据报文能通过FW的过滤进入步骤208;(b)如果此时MN已移动到了家乡链路之外的链路中,MN的地址是新的CoA,但CN发送给MN的数据报文中的目的地址仍然为MN的HoA,而不是新的CoA,该数据报文中的目的地址能与Entry表项中的目的HoA相匹配,所以,该数据报文能通过FW的过滤,但是,该数据报文并不能发送给MN,因为此时MN的地址已改为CoA,因此,这种情况下,即使通过地址匹配过滤进入步骤208,数据报文也将被丢弃。
步骤202~步骤203查询数据报文中是否包含Home AddressDestination Option项,若包含,提取该Option项中的HoA代替该数据报文的源CoA后进入步骤204;若不包含,则进入步骤205。
本步骤中,判断数据报文中包含Home Address Destination Option项,说明数据报文是从MN发送至CN,即MN位于FW之外,CN位于FW之内,此时,Entry表项中的五元素为源HoA、目的HoA1、源Port、目的Port和协议号。
步骤204将数据报文中替换后的源地址MN的HoA与Entry中的源地址匹配,若匹配成功,则进入步骤208;否则,进入步骤209。
本步骤中,数据报文中替换后的源地址,即MN的HoA与Entry表项中的源HoA进行匹配,若两个地址一致,则匹配成功;若两个地址不一致,则匹配失败。
步骤205~步骤206查询数据报文中是否包含Type 2 Routing Header二类路由报文头,若包含,提取该报文头中的HoA代替该数据报文的目的CoA后进入步骤207;若不包含,则进入步骤209。
本步骤中,判断数据报文中包含Type 2 Routing Header二类路由报文头,说明数据报文是从CN发送至MN,即CN位于FW之外,MN位于FW之内,所以,Entry表项中的五元素为源HoA1、目的HoA、源Port、目的Port和协议号。
步骤207将数据报文中替换后的目的地址MN的HoA与Entry中的目的地址匹配,若匹配成功,则进入步骤208;否则,进入步骤209。
本步骤中,数据报文中替换后的目的地址,即MN的HoA与Entry表项中的目的HoA进行匹配,若两个地址一致,则匹配成功;若两个地址不一直,则匹配失败。
步骤208该数据报文成功穿越防火墙。
步骤209丢弃该数据报文。
上述是现有技术移动Ipv6数据从防火墙外穿越防火墙的方法,当数据报文是从FW外发送到FW内时,采用现有技术基于MN的家乡地址的过滤方法仍然存在不足之处一方面是,从图1流程可以看出,现有技术方法需要对每个不能用当前地址与Entry表项的相应地址进行匹配的数据报文,采用基于MN的家乡地址的过滤方法进行匹配,即都需要查询数据报文的Option项或报文头,这样处理需要大量的时间,会造成穿越FW的效率下降;另一方面,从上述方法步骤描述可见,当MN位于FW内,CN位于FW外时,即便采用现有技术基于MN的家乡地址的过滤方法进行匹配能成功,也会由于目的地址已经发生了变化而造成通过FW过滤的数据报文被丢弃的情况,从而造成数据报文的正常穿越FW失败,详细过程可见步骤200~步骤201中第(2)种情况的(b)项。
说明一点,上述是现有技术移动Ipv6数据从防火墙外穿越防火墙的方法,当数据报文从FW内发送至FW外时,采用上述基于MN的家乡地址的过滤方法能保证数据报文的正常过滤,不存在穿越FW问题。
发明内容
有鉴于此,本发明的主要目的在于提供一种移动IPv6数据穿越状态防火墙的方法,该方法能够减少FW的处理时间,从而提高数据报文穿越FW的效率;同时,该方法能够保证数据报文正常穿越FW。
为达到上述目的,本发明的技术方案具体是这样实现的一种移动IPv6数据穿越状态防火墙FW的方法,定义防火墙Entry表项包括源家乡地址HoA、源转交地址CoA、目的HoA、目的CoA、源端口Port、目的Port和协议号;当数据报文首次从状态防火墙内部发送到状态防火墙外部时,创建所述防火墙Entry表项的内容;该方法包括以下步骤A.状态防火墙拦截数据报文,用拦截到的数据报文中的源CoA、目的CoA、源Port、目的Port和协议号与防火墙Entry表项中的源CoA、目的CoA、源Port、目的Port和协议号进行匹配,若均匹配,则允许拦截到的数据报文穿越状态防火墙;否则,进入步骤B;B.状态防火墙从数据报文中提取源HoA或目的HoA,用拦截到的数据报文中的源HoA或源CoA、目的CoA或目的HoA、源Port、目的Port和协议号与防火墙Entry表项中的HoA或源CoA、目的CoA或目的HoA、源Port、目的Port和协议号进行匹配,若均匹配,则进入步骤C;否则,将拦截到的数据报文丢弃;C.用拦截到的数据报文的源CoA或目的CoA更新防火墙Entry表项中的源CoA或目的CoA,并允许拦截到的数据报文穿越状态防火墙。
步骤B中,所述从拦截到的数据报文中提取源HoA或目的HoA的方法为判断所述拦截到的数据报文中是否包含Home Address Destination Option项或Type 2 Routing Hearder二类路由报文,如果所述拦截到的数据报文中包含Home Address Destination Option项,则从该Option项中提取源HoA;如果所述拦截到的数据报文中包含Type 2 Routing Hearder二类路由报文,则从该报文头中提取目的HoA;对于不包含Home Address Destination Option项或Type 2 Routing Hearder二类路由报文的拦截到的数据报文作丢弃处理。
如果所述拦截到的数据报文中包含Home Address Destination Option项,则步骤B中参与匹配的所述防火墙Fntry表项包括源HoA、目的CoA、源Port、目的Port和协议号;如果所述拦截到的数据报文中包含Type 2 Routing Hearder二类路由报文,则步骤B中参与匹配的所述防火墙Entry表项包括源CoA、目的HoA、源Port、目的Port和协议号。
所述创建防火墙Entry表项的方法为根据数据报文中的源CoA和目的CoA分别确定Entry表项中的源CoA和目的CoA;根据数据报文中的源Port、目的Port和协议号确定Entry表项中的源Port、目的Port和协议号;若数据报文中存在Home Address Destination Option项,则根据该Option项中的HoA地址确定Entry表项中的源HoA,否则Entry表项中的源HoA与Entry表项中的源CoA相同;Entry表项中的目的HoA与Entry表项中的目的CoA相同;若数据报文中存在Type 2 Routing Header二类路由报文头,则根据该报文头中的HoA地址确定Entry表项中的目的HoA,否则Entry表项中的目的HoA与Entry表项中的目的CoA相同;Entry表项中的源HoA与Entry表项中的源CoA相同。
由上述技术方案可见,本发明将原有包含五元素的Entry表项重新定义为包含源HoA、源CoA、目的HoA、目的CoA、源Port、目的Port和协议号七个元素的新的Entry表项。当数据报文穿越FW时,首先根据源CoA、目的CoA、源Port、目的Port和协议号进行匹配;若匹配不成功,再查询Home Address Destination Option项/Type 2 Routing Header二类路由报文头并提取其中的MN的HoA,并根据源HoA/源CoA、目的CoA/目的HoA、源Port、目的Port和协议号进行匹配,若匹配成功,FW将Entry表项中的源CoA/目的CoA替换为发送的数据报文的源CoA/目的CoA,使接下来的数据报文发送可以重新根据源CoA、目的CoA、源Port、目的Port和协议号进行匹配,而不必重复查询Home Address Destination Option项/Type 2Routing Header二类路由报文头并提取其中的MN的HoA,本发明这种方法减少了FW的处理时间,从而提高了数据报文穿越FW的效率。另外,在MN移动引起地址变化后,由于FW将Entry表项中的源CoA/目的CoA替换为发送的数据报文的源CoA/目的CoA,使穿越FW的数据报文能正确到达目的地址,从而保证了数据报文正常穿越FW。
图1(a)是MN位于FW内,CN位于FW外的MN与CN之间通过FW交互数据包的示意图;图1(b)是CN位于FW内,MN位于FW外的MN与CN之间通过FW交互数据包的示意图;图2是现有技术移动Ipv6数据从防火墙外穿越防火墙的流程图;图3是本发明移动Ipv6数据穿越防火墙的流程图。
具体实施例方式
本发明的核心思想是重新定义防火墙Entry表项为源HoA、源CoA、目的HoA、目的CoA、源Port、目的Port和协议号七个元素,在数据报文穿越FW时,先按照Entry表项中的源CoA、目的CoA、源Port、目的Port和协议号五元素进行匹配,若不成功,再按照Entry表项中的源HoA/源CoA、目的CoA/目的HoA、源Port、目的Port和协议号五元素进行匹配,若匹配成功,将数据报文的源CoA/目的CoA代替Entry表项中的源CoA/目的CoA。本发明这种方法,提高了数据报文穿越FW的效率,并且保证了FW通过FW过滤的数据报文能正常穿越FW。
为使本发明的目的、技术方案及优点更加清楚明白,以下参照附图并举较佳实施例,对本发明进一步详细说明。
图3是本发明移动Ipv6数据穿越防火墙的流程图,这里假设当MN移动到家乡链路之外的链路后,MN与CN之间已经通过通信注册,并且MN的端口和协议号与CN的端口和协议号均能匹配;MN位于家乡链路中时的地址为HoA,MN位于家乡链路以外的链路时的地址为CoA,CN的地址为HoA1;另外防火墙Entry表项已被设置为七元素Entry表项,即包括源HoA、源CoA、目的HoA、目的CoA、源Port、目的Port和协议号。本发明移动Ipv6数据穿越防火墙的方法包括以下步骤步骤300~步骤301FW拦截数据报文,并判断该数据报文的源地址、目的地址、源Port、目的Port和协议号与FW的Entry表项中的源CoA、目的CoA、源Port、目的Port和协议号五元素是否均匹配,若均匹配,则进入步骤310;否则,进入步骤302。
本步骤中,分两种情况1)若数据报文从MN经FW发送给CN,那么目的HoA就是目的CoA,Entry表项中包括源CoA、目的HoA1、源Port、目的Port和协议号,(a)如果MN在家乡链路中,没有发生过移动,那么Entry表项中的源CoA就是源HoA,且此时MN发送给CN的数据报文中的源地址仍然为MN的家乡地址,即源HoA,目的地址为CN的地址,即目的HoA1,均能与Entry表项中的源CoA、目的HoA1项匹配,所以,该数据报文能通过FW的过滤进入步骤310;(b)如果此时MN已移动到了家乡链路之外的链路中,则MN发送给CN的数据报文中的源地址不再为MN的HoA,而是新的CoA,判断该新的CoA是否能与Entry表项中的源CoA相匹配,若能匹配则进入步骤310;若不能匹配,进入步骤302。
2)若数据报文从CN经FW发送给MN,那么源HoA就是源CoA,Entry表项中包括源HoA1、目的CoA、源Port、目的Port和协议号,(a)如果此时MN在家乡链路中,没有发生过移动,那么Entry表项中的目的CoA就是目的HoA,且此时CN发送给MN的数据报文中的源地址为CN的地址,即目的HoA1,目的地址为MN的家乡地址,即目的HoA,均能与Entry表项中的源HoA1、目的CoA项匹配,所以,该数据报文能通过FW的过滤进入步骤310;(b)如果此时MN已移动到了家乡链路之外的链路中,MN的地址是新的CoA,判断新的CoA是否能与Entry表项中的目的CoA相匹配,若能匹配则进入步骤310;若不能匹配,则进入步骤302。
步骤302~步骤303查询数据报文中是否包含Home AddressDestination Option项,若包含,提取该Option项中的HoA地址后进入步骤304;若不包含,则进入步骤306。
本步骤中,若数据报文中包含Home Address Destination Option项,说明数据报文是从MN发送至CN。
步骤304将从数据报文中提取的HoA地址作为数据报文源地址,用源HoA、目的HoA1、源Port、目的Port和协议号与此时Entry表项中的五元素源HoA、目的HoA1、源Port、目的Port和协议号进行匹配,若均匹配,进入步骤305;否则,进入步骤311。
步骤305将Entry表项中的源CoA更换为数据报文当前新的源地址,即数据报文的源CoA。
本步骤中,将Entry表项中MN的旧的CoA地址更换为新的源CoA地址,这种更新过程保证了后续数据报文能按照步骤300~步骤301的方式匹配,而无需再重复查询数据报文中是否包含Home Address Destination Option项。这样可以减少FW处理时间,提高FW处理效率。
步骤306~步骤307查询数据报文中是否包含Type 2 Routing Header二类路由报文头,若包含,提取该报文头中的HoA地址后进入步骤308;若不包含,则进入步骤311。
本步骤中,若数据报文中包含Type 2 Routing Header二类路由报文头,说明数据报文是从CN发送至MN。
步骤308将从数据报文中提取的HoA地址作为数据报文目的地址,用源HoA1、目的HoA、源Port、目的Port和协议号与此时Entry表项中的五元素为源HoA1、目的HoA、源Port、目的Port和协议号进行匹配,若均匹配,进入步骤309;否则,进入步骤311。
步骤309将Entry表项中的目的CoA更换为数据报文当前新的目的地址,即数据报文的目的CoA。
本步骤中,将Entry表项中MN的旧的CoA地址更换为新的目的CoA地址,这种更新过程保证了后续数据报文能按照步骤300~步骤301的方式匹配,而无需再重复查询数据报文中是否包含Type 2 Routing Header二类路由报文头。这样可以减少FW处理时间,提高FW处理效率。
步骤310该数据报文成功穿越防火墙。
步骤311丢弃该数据报文。
上述本发明移动IPv6数据穿越FW的方法,通过一次对数据报文是来自MN还是发送至MN的判断和对Entry表项中MN的CoA的更新,一方面提高了FW处理效率,另一方面,也避免了由于目的地址已经了发生变化而造成能通过FW过滤的数据报文被丢弃的情况。
这里,防火墙Entry表项的创建过程是这样的当从FW内部的节点,或者移动到某个FW保护的网络中的节点首次发送数据报文到外部节点时,此时FW创建Entry表项,其中数据报文的源CoA和目的CoA就是Entry表项中的源CoA和目的CoA,端口和协议号也同数据报文中的端口和协议号相同,FW同时检测Home Address Destination Option项和Type 2 Routing Header二类路由报文头的存在来决定Entry表项中的源HoA和目的HoA如果数据报文中存在Home Address Destination Option项,则Entry表项中的源HoA为该Option项中的HoA地址,否则Entry表项中的源HoA与Entry表项中的源CoA相同;Entry表项中的目的HoA与Entry表项中的目的CoA相同;如果数据报文中存在Type 2 Routing Header二类路由报文头,则Entry表项中的目的HoA为该报文头中的HoA地址,否则Entry表项中的目的HoA与Entry表项中的目的CoA相同;Entry表项中的源HoA与Entry表项中的源CoA相同。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
权利要求
1.一种移动IPv6数据穿越状态防火墙FW的方法,其特征在于,定义防火墙Entry表项包括源家乡地址HoA、源转交地址CoA、目的HoA、目的CoA、源端口Port、目的Port和协议号;当数据报文首次从状态防火墙内部发送到状态防火墙外部时,创建所述防火墙Entry表项的内容;该方法包括以下步骤A.状态防火墙拦截数据报文,用拦截到的数据报文中的源CoA、目的CoA、源Port、目的Port和协议号与防火墙Entry表项中的源CoA、目的CoA、源Port、目的Port和协议号进行匹配,若均匹配,则允许拦截到的数据报文穿越状态防火墙;否则,进入步骤B;B.状态防火墙从数据报文中提取源HoA或目的HoA,用拦截到的数据报文中的源HoA或源CoA、目的CoA或目的HoA、源Port、目的Port和协议号与防火墙Entry表项中的HoA或源CoA、目的CoA或目的HoA、源Port、目的Port和协议号进行匹配,若均匹配,则进入步骤C;否则,将拦截到的数据报文丢弃;C.用拦截到的数据报文的源CoA或目的CoA更新防火墙Entry表项中的源CoA或目的CoA,并允许拦截到的数据报文穿越状态防火墙。
2.根据权利要求1所述的方法,其特征在于,步骤B中,所述从拦截到的数据报文中提取源HoA或目的HoA的方法为判断所述拦截到的数据报文中是否包含Home Address Destination Option项或Type 2 Routing Hearder二类路由报文,如果所述拦截到的数据报文中包含Home Address Destination Option项,则从该Option项中提取源HoA;如果所述拦截到的数据报文中包含Type 2 Routing Hearder二类路由报文,则从该报文头中提取目的HoA;对于不包含Home Address Destination Option项或Type 2 Routing Hearder二类路由报文的拦截到的数据报文作丢弃处理。
3.根据权利要求2所述的方法,其特征在于,如果所述拦截到的数据报文中包含Home Address Destination Option项,则步骤B中参与匹配的所述防火墙Entry表项包括源HoA、目的CoA、源Port、目的Port和协议号;如果所述拦截到的数据报文中包含Type 2 Routing Hearder二类路由报文,则步骤B中参与匹配的所述防火墙Entry表项包括源CoA、目的HoA、源Port、目的Port和协议号。
4.根据权利要求1所述的方法,其特征在于,所述创建防火墙Entry表项的方法为根据数据报文中的源CoA和目的CoA分别确定Entry表项中的源CoA和目的CoA;根据数据报文中的源Port、目的Port和协议号确定Entry表项中的源Port、目的Port和协议号;若数据报文中存在Home Address Destination Option项,则根据该Option项中的HoA地址确定Entry表项中的源HoA,否则Entry表项中的源HoA与Entry表项中的源CoA相同;Entry表项中的目的HoA与Entry表项中的目的CoA相同;若数据报文中存在Type 2 Routing Header二类路由报文头,则根据该报文头中的HoA地址确定Entry表项中的目的HoA,否则Entry表项中的目的HoA与Entry表项中的目的CoA相同;Entry表项中的源HoA与Entry表项中的源CoA相同。
全文摘要
本发明公开了一种移动IPv6数据穿越状态防火墙FW的方法,该方法重新设置防火墙Entry表项为源HoA、源CoA、目的HoA、目的CoA、源Port、目的Port和协议号七个元素,在数据报文穿越FW时,先按照Entry表项中的源CoA、目的CoA、源Port、目的Port和协议号五元素进行匹配,若不成功,再按照Entry表项中的源HoA/源CoA、目的CoA/目的HoA、源Port、目的Port和协议号五元素进行匹配,若匹配成功,将数据报文的源CoA/目的CoA代替Entry表项中的源CoA/目的CoA。本发明这种方法,提高了数据报文穿越FW的效率,并且保证了FW通过FW过滤的数据报文能正常穿越FW。
文档编号H04L29/06GK1835500SQ20051005531
公开日2006年9月20日 申请日期2005年3月15日 优先权日2005年3月15日
发明者苗福友 申请人:华为技术有限公司