专利名称:一种媒体业务穿越防火墙的方法及防火墙的制作方法
技术领域:
本发明涉及网络通信技术领域,尤其涉及一种语音业务穿越防火墙的方法及防火墙。
背景技术:
随着IP技术的普及,VoIP(IP电话)业务在企业中得到了越来越广泛的应用。同时,越来越多的运营商也将自己原有的电路交换网络升级为VoIP网络,如NGN(下一代网络)或者IMS(IP多媒体业务子系统)网络,从而使得在网络中能够提供相应的VoIP业务。
由于运营商网络和企业网络均提供了针对VoIP业务的支持,因此,若运营商网络与企业网络对接实现VoIP业务的互通,一方面将给企业用户带来巨大的方便,另一方面可以为运营商网络提供更多的运营收入。
在现有的企业网络中,由于人们对网络安全问题逐步重视,绝大多数企业都在自己的企业网出口配置了防火墙。目前,通常采用的防火墙分为三种即包过滤防火墙、状态防火墙和代理型防火墙。
其中,包过滤防火墙和状态防火墙都是通过分析检测网络层或者传输层报文的内容来达到过滤攻击、保护企业网安全的目的。
而代理型防火墙则是工作在会话层或者应用层,代理型防火墙位于客户机与服务器之间,用于代理客户机实现相应的数据业务功能,从而完全阻挡了二者间的直接数据交流操作。
由于企业网络出口处配置了防火墙,因此,为实现企业VoIP业务与运营商网络对接,关键需要实现VoIP业务穿越企业网出口的防火墙。
目前,较为常用的是采用包过滤或者状态防火墙配合运营商网络中的SBC(会话边界控制器)设备实现防火墙的穿越。然而,由于本质上包过滤或者状态防火墙在IP层两个不同域之间可以是互通的,所以,无法实现拓扑隐藏,这必然会使得VoIP业务的穿越存在安全性能较差的问题。
代理型防火墙,由于其仅支持常见的HTTP、FTP、POP3、SMTP等数据传输协议,而对于媒体数据传输协议并不支持;同时,还因为其完全隔离了不同域之间的IP报文转发,所以,无法采用SBC来实现防火墙的穿越,进而使其无法代理VoIP业务,即无法实现VoIP业务的穿越,导致企业的VoIP业务无法与运营商网络对接。
因此,现有的防火墙由于存在功能上的缺陷,使得其无法在不降低网络安全性能的基础上实现VoIP的穿越,从而也无法实现企业的VoIP业务与运营商的网络成功对接。
发明内容
本发明的实施例提供了一种媒体业务穿越防火墙的方法及防火墙,从而使得可以在不降低网络安全性能的情况下,实现企业媒体业务与运营商网络的成功对接。
本发明的实施例提供了一种媒体业务穿越防火墙的方法,所述的防火墙设置于内部网络的出口处,该方法包括信息发送端将需要向防火墙另一侧的信息接收端发送的媒体业务或信令,发送到防火墙;防火墙根据收到的媒体业务或信令的内容信息将其代理转发给防火墙另一侧的信息接收端。
本发明的实施例提供了一种防火墙,包括信令代理单元和媒体代理单元,其中,信令代理单元,用于接收信令发送端发送的信令,并根据所述信令的内容将该信令代理转发给信令接收端;
媒体代理单元,用于接收媒体业务发送端发来的媒体业务,并根据媒体业务的内容将该媒体业务代理转发给媒体业务接收端。
由上述本发明实施例提供的技术方案可以看出,本发明实施例在防火墙中增加了信令代理和媒体代理的功能,从而获得一种支持媒体业务穿越的新型防火墙。这样,若将该防火墙设置于企业网络出口处,则可以使得在不降低网络安全性能的情况下,保证媒体业务能够顺利穿越企业网络出口处配置的防火墙,从而实现企业媒体业务与运营商网络的对接。
图1为本发明实施例中实现信令流和媒体流代理的示意图;图2为本发明实施例基于UDP协议的SIP协议实现信令代理和媒体代理的功能的流程图;图3为本发明实施例所述的方法的具体实施处理过程示意图,图4为本发明实施例所述的装置的具体实施结构示意图一;图5为本发明实施例所述的装置的具体实施结构示意图二。
具体实施例方式
本发明实施例是在防火墙上增加信令代理和媒体代理的功能,从而提供一种能够支持媒体业务穿越的防火墙,所述的媒体业务包括VoIP业务、视频电话业务,等等。
为便于对本发明实施例的理解,下面将结合附图对信令代理和媒体代理功能的具体实现进行说明。
本发明实施例提供的防火墙中包括信令代理功能和媒体代理功能,具体包括(一)如图1所示,本发明实施例中,具有信令代理功能的防火墙对媒体业务用户终端来说,其可以被看作运营商网络中的软交换系统,即终端用户的注册和呼叫消息都会先发给防火墙,防火墙监听到信令请求处理时,对所述的信令进行信令处理后转发给所述的软交换系统。
同时,防火墙相对于软交换系统来说又可以被看作是用户,软交换系统首先将经过分析处理的信令(如呼叫被叫请求等)先发给防火墙,之后,由防火墙经过信令处理后再转发给真正的被叫用户。
采用此方案的代理型防火墙一般支持SIP、H.323、MGCP、H.248等协议中的一种或多种代理功能。
(二)如图1所示,具有媒体代理功能的防火墙所代理的用户与外界互通的媒体流都经过防火墙进行处理和转发。
所述的媒体数据通过防火墙在客户终端之间(即主被叫用户之间)传送,具体为终端1向终端2发送的媒体业务在到达防火墙后,由防火墙对所述的媒体业务进行转发,且媒体业务的源地址为防火墙的地址,终端2向终端1发送的媒体业务处理与之类似。这样,当防火墙下的用户作为主叫用户时,主叫用户所收到的媒体业务来自于防火墙;当防火墙下的用户作为被叫用户时,主叫用户看到的被叫地址也是防火墙的地址。
下面以基于用户数据报协议(UDP)的起始会话协议(SIP)在防火墙中实现信令代理和媒体代理的功能为例对本发明实施例的实现过程作进一步的描述,如图2所示。
步骤21在防火墙中启动UDP监听进程,监听SIP协议的知名端口,通常是5060端口;步骤22监听进程接收到从终端来的SIP报文后送给SIP协议代理模块进行地址信息修改,将地址为从终端到防火墙修改为从防火墙到软交换系统;步骤23将修改后的SIP报文发送给软交换系统,建立会话连接;步骤24监听进程接收报文,如是会话描述协议(SDP)报文;则执行步骤25;
步骤25对SDP报文中媒体流的地址信息进行修改,将对端地址修改为防火墙的地址和端口,其中,所述端口是针对所述媒体流分配的。这样终端发出的媒体流就被重定向到防火墙,而不是对端的终端;步骤26接收到被叫的摘机报文200 OK,并执行步骤27;步骤27防火墙启动媒体监听进程,且相应的监听端口是针对所述媒体流分配;步骤28媒体监听进程接收到从终端来的媒体报文后送给媒体代理模块进行地址信息修改,将地址从终端到防火墙修改为从防火墙到对端终端。
同理,对于从软交换来的SIP报文,处理方法同步骤22,只是源目的地址方向相反;对于从对端终端来的媒体报文,处理步骤同步骤28,只是源目的地址方向相反。
下面将结合附图对本发明实施例在防火墙上增加信令代理和媒体代理功能后,以相应的VoIP业务作为媒体业务为例,描述VoIP业务穿越防火墙的具体实现过程进行详细的说明。
如图1和图3所示,假设位于企业内部网络的终端1和位于外部网络的终端2之间需要进行VoIP业务的交互,则相应的处理过程包括(一)若终端1发起呼叫,则相应的处理过程包括终端1通过内部网络将发起呼叫的信令发送到企业网设置的防火墙;防火墙收到所述信令后,解析所述信令,并获知其为向终端2发起呼叫的信令,则代理终端1向终端2发起呼叫,即将终端1发来的信令处理后转发给终端2,从终端2来看,向其发起呼叫的是防火墙;在发起呼叫过程中防火墙具体是通过软交换系统向终端2发起呼叫;终端2确认接受终端1发起的呼叫,如摘机,则相应的确认消息将通过软交换系统传递到防火墙,并由防火墙代理向终端1返回相应的确认消息;至此,终端1与终端2之间的通路建立,之后,便可以进行VoIP业务(即媒体数据)的传递,相应的VoIP业务同样需要由防火墙代理在终端1和终端2之间代理转发。
(二)若终端2发起呼叫,则相应的处理过程包括终端2通过外部网络将发起呼叫的信令发送到企业网设置的防火墙;防火墙收到所述信令后,解析所述信令,并获知其为向终端1发起呼叫的信令,则代理终端2向终端1发起呼叫,即将相应的发起呼叫的信令代理转发给企业网内部的终端1;终端1确认接受该呼叫,则相应的确认消息将被传递到防火墙,并由防火墙代理通过软交换系统向终端2返回相应的确认消息;至此,由终端2发起的呼叫通路建立完成,之后,便可以进行VoIP业务(即媒体数据)的传递,相应的VoIP业务同样需要由防火墙代理在终端1和终端2之间代理转发。
本发明实施例还提供了一种防火墙,其具体实现结构如图4所示,具体包括在防火墙中设置相应的信令代理单元和媒体代理单元。
(1)信令代理单元所述的信令代理单元用于对每个信令进行状态检测,并根据信令内容代理转发给信令接收端;且具体可以包括信令信息监听子单元、信令地址修改子单元和信令发送子单元,其中,信令信息监听子单元,用于监听从信息发送端发送来的信令信息;信令地址修改子单元,用于将从信息发送端发送来的信令信息进行地址修改,将信令的源地址修改为防火墙地址;信令发送子单元,用于将地址修改后的信令发送给信息接收端;所述的防火墙实现信令代理转发的处理过程具体可以包括防火墙启动监听进程,将从信息发送端发送来的信令信息进行地址修改,如信息发送端是用户终端,则将地址从终端到防火墙修改为从防火墙到软交换系统,如信息发送端是软交换系统,则将地址从软交换系统到防火墙修改为从防火墙到终端,并将修改地址后的信令信息发送给信息接收端,建立连接。
由此可见,该单元具体实现的功能可以为当防火墙监听到来自企业内网的用户的注册和呼叫等信令时,信令代理单元分析该信令的内容,并根据分析结果决定是否代理转发给核心软交换系统,如符合转发策略,则进行代理转发,否则,将该信令丢弃。
(2)媒体代理单元所述的媒体代理单元用于对媒体数据包进行监测,并根据媒体数据包承载的内容信息将数据代理转发到媒体数据包接收端;且具体可以包括媒体信息监听子单元、媒体地址修改子单元和媒体发送子单元,其中,媒体信息监听子单元,用于监听从信息发送端发送来的媒体流信息;媒体地址修改子单元,用于将从信息发送端发送来的媒体业务进行地址修改,即将媒体业务的源地址修改为防火墙地址;媒体发送子单元,用于将修改地址后的媒体业务发送给信息接收端。
所述的防火墙实现媒体代理转发的处理过程具体可以包括防火墙监听进程将接收到的媒体流信息的对端地址修改为防火墙地址,并启动媒体监听进程,将从终端发送来的媒体报文经过媒体代理模块进行地址修改,即将地址从终端到防火墙修改为从防火墙到对端终端。
由此可见,该单元具体实现的功能可以为当防火墙所代理的用户与外界的媒体流进行互通时,根据防火墙监听到媒体数据包,媒体代理单元对接收的媒体数据包的状态及内容进行分析,并根据分析结果进行处理和代理转发,即若接收的媒体数据包符合转发策略,则进行代理转发,否则,丢弃。
本发明实施例还提供了一种防火墙,其具体实现结构如图5所示,具体包括在防火墙中设置监听单元,以及相应的信令代理单元和媒体代理单元。
(1)监听单元所述监听单元用于启动媒体业务和信令监听进程,若监听到信令信息,则将该信令发送给信令代理单元,若监听到媒体业务,则将该媒体业务发送给所述媒体代理单元。
(2)信令代理单元所述的信令代理单元用于对每个信令进行状态检测,并根据信令内容代理转发给信令接收端;且具体可以包括信令地址修改子单元和信令发送子单元,其中,信令地址修改子单元,用于将从信息发送端发送来的信令信息进行地址修改,将信令的源地址修改为该防火墙地址;信令发送子单元,用于将地址修改后的信令发送给信息接收端。
(3)媒体代理单元所述的媒体代理单元用于对媒体数据包进行监测,并根据媒体数据包承载的内容信息将数据代理转发到媒体数据包接收端;且具体可以包括媒体地址修改子单元和媒体发送子单元,其中,媒体地址修改子单元,用于将从信息发送端发送来的媒体业务进行地址修改,即将媒体业务的源地址修改为该防火墙地址;媒体发送子单元,用于将修改地址后的媒体业务发送给信息接收端。
本发明实施例中,相应的信令及媒体代理功能可以选择在不同类型的防火墙中实现,如包过滤防火墙、状态防火墙或代理型防火墙等。其中,由于代理型防火墙具有其他协议的代理功能,故可以优先选用在代理型防火墙中实现本发明实施例提供的技术方案。
所述的代理型防火墙工作在会话层或者应用层,从客户机来看,代理型防火墙相当于一台真正的服务器;而从服务器来看,代理型防火墙又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给代理型防火墙,代理型防火墙再根据这一请求向服务器索取数据,然后再由代理型防火墙将数据传输给客户机。
而且,由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难影响到企业内部网络系统。所以代理型防火墙可以实现网络拓扑隐藏,在安全方面具有不可比拟的优势,对付基于应用层的侵入和病毒都十分有效。
因此,本发明实施例优选采用在代理型防火墙上增加信令代理和媒体代理功能的方案,不仅可以实现网络的拓扑隐藏,同时也可以实现防火墙的穿越,从而实现企业VoIP业务与运营商网络的对接。
综上所述,本发明实施例不仅可以实现企业VoIP业务与运营商网络的对接;同时,还可以实现网络拓扑隐藏,从而有效提高网络的安全性。
也就是说,本发明实施例在防火墙中增加了信令代理和媒体代理的功能后,便可以获得一种支持VoIP业务穿越的新型防火墙。这样,就可以将该防火墙设置于企业网络出口处,从而使得在不降低网络安全性能的情况下,保证VoIP业务能够顺利穿越企业网络出口处配置的防火墙,从而实现企业VoIP业务与运营商网络的对接,为企业用户开展VoIP业务提供了便利。
以上所述,仅为本发明较佳的具体实施方式
,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
权利要求
1.一种媒体业务穿越防火墙的方法,所述的防火墙设置于内部网络的出口处,其特征在于,该方法包括信息发送端将需要向防火墙另一侧的信息接收端发送的媒体业务或信令,发送到防火墙;防火墙根据收到的媒体业务或信令的内容信息将其代理转发给防火墙另一侧的信息接收端。
2.根据权利要求1所述的方法,其特征在于,所述的信息发送端包括内部网络的用户终端或外部网络的用户终端或软交换系统,且对应的所述的信息接收端为外部网络的用户终端或软交换系统或内部网络的用户终端。
3.根据权利要求1所述的方法,其特征在于,所述的方法还包括防火墙收到所述媒体业务或信令后,根据其包含的内容信息确定该媒体业务或信令是否符合预定的转发策略,并仅在确定符合时,将所述媒体业务或信令代理转发给信息接收端。
4.根据权利要求1、2或3所述的方法,其特征在于,所述的信令包括基于会话初始协议SIP、H.323、媒体网关控制协议MGCP和H.248协议中的至少一种协议的信令,所述的媒体业务包括基于实时传输协议RTP或实时传输控制协议RTCP的媒体业务。
5.根据权利要求1、2或3所述的方法,其特征在于,所述的防火墙包括代理型防火墙。
6.根据权利要求1、2或3所述的方法,其特征在于,所述的代理转发的过程具体包括防火墙启动媒体业务和信令监听进程;将所述监听进程监听到的来自所述信息发送端的媒体业务或信令的源地址修改为该防火墙地址,并发送给信息接收端。
7.一种防火墙,其特征在于,包括信令代理单元和媒体代理单元,其中,信令代理单元,用于接收信令发送端发送的信令,并根据所述信令的内容将该信令代理转发给信令接收端;媒体代理单元,用于接收媒体业务发送端发来的媒体业务,并根据媒体业务的内容将该媒体业务代理转发给媒体业务接收端。
8.根据权利要求7所述的防火墙,其特征在于,还包括监听单元,用于启动媒体业务和信令监听进程,若监听到信令,则将该信令发送给信令代理单元,若监听到媒体业务,则将该媒体业务发送给所述媒体代理单元;且,所述的信令代理单元具体包括信令地址修改子单元和信令发送子单元,其中,信令地址修改子单元,用于将从信息发送端发送来的信令信息的源地址修改为该防火墙地址;信令发送子单元,用于将地址修改后的信令发送给信息接收端;所述的媒体代理单元具体包括媒体地址修改子单元和媒体发送子单元,其中,媒体地址修改子单元,用于将从信息发送端发送来的媒体业务的源地址修改修改为该防火墙地址;媒体发送子单元,用于将地址修改后的媒体业务发送给信息接收端。
9.根据权利要求7所述的防火墙,其特征在于,所述的信令代理单元具体包括信令信息监听子单元、信令地址修改子单元和信令发送子单元,其中,信令信息监听子单元,用于监听从信息发送端发送来的信令信息;信令地址修改子单元,用于将从信息发送端发送来的信令信息的源地址修改为防火墙地址;信令发送子单元,用于将地址修改后的信令发送给信息接收端;所述的媒体代理单元具体包括媒体信息监听子单元、媒体地址修改子单元和媒体发送子单元,其中,媒体信息监听子单元,用于监听从信息发送端发送来的媒体流信息;媒体地址修改子单元,用于将从信息发送端发送来的媒体业务的源地址修改修改为防火墙地址;媒体发送子单元,用于将地址修改后的媒体业务发送给信息接收端。
10.根据权利要求7、8或9所述的防火墙,其特征在于,所述的防火墙包括代理型防火墙。
11.根据权利要求7、8或9所述的防火墙,其特征在于,所述的信令代理单元包括基于SIP、H.323、MGCP和H.248协议中的至少一种协议实现;所述的媒体代理单元包括基于RTP或RTCP协议的实现。
全文摘要
本发明涉及一种媒体业务穿越防火墙的方法及防火墙。本发明主要包括在防火墙上增加信令代理和媒体代理的功能,从而产生一种能够支持VoIP等媒体业务的防火墙。因此,本发明的实现既可以实现企业的VoIP业务等媒体业务与运营商的网络对接,同时,还可以完全隔离不同域之间的网络层流量,实现网络拓扑隐藏。
文档编号H04M7/00GK101018229SQ20071000505
公开日2007年8月15日 申请日期2007年2月12日 优先权日2007年2月12日
发明者张瑞 申请人:华为技术有限公司