专利名称:防火墙穿越方法、节点设备和系统的制作方法
技术领域:
本发明涉及通信领域,特别涉及一种防火墙穿越方法、节点设备和系统。
背景技术:
随着网络技术和无线通信设备的迅速发展,人们迫切希望能够随时随地从Internet上获取 信息。针对这种情况,现有技术提供了支持移动Internet的协议,即移动IP协议。移动IP协 议是一种在Internet上提供移动功能的网络层方案,使节点在切换链路时不中断正在进行的通 信。简单来说,移动IP在网络层提供了一种使移动节点(MN, Mobile Node)可以以一个永 久的IP地址连接到任何链路上的路由机制,目的是将数据包路由到那些可能一直在快速地改 变位置的移动节点上。
为了更好地支持移动节点的移动性,现有技术提供了一种移动IPv6机制,参见图l,当 MN在家乡网络时,其工作方式如同位置固定的主机,移动IP不需要进行任何特别的操作。 当MN离丌家乡网络进入外地网络时,其工作原理如下
(1) MN通过常规的IPv6无状态或有状态的自动配置机制,获得转交地址(CoA, Care-of-Address);
(2) MN获得CoA后,向家乡代理(HA, Home Agent)申请注册,即由MN向HA发 送一个用于汇报CoA的绑定更新(BU, Binding Update)消息,为MN的家乡地址(HoA, Home Address)禾卩CoA在HA上建立绑定;
这样,在MN移动后,对端通信节点(CN, Correspondent Node)发送到MN的数据包, 将会被HA转发到MN新的转交地址上,这种路由方式称为双向隧道方式。
由于以双向隧道方式进行数据传递的时候,会带来额外的隧道开销以及三角路由问题, 因此为了节省资源,在MIPv6中提出了 Route Opitimazation (路由优化)方式进行数据传递。
传递方式如下
(1) MN和CN之间完成返回路径可达过程(RRP, Return Routability Procedure),主要 过程是MN以其HoA向CN发送HoTI消息,并以其CoA向CN发送CoTI消息,CN分别向 MN的HoA返回HoT消息,向MN的CoA返回CoT消息。RRP的目的是确认与CN进行后续BU/BA (Binding Acknowledge,绑定确认)过程的MN确实拥有其所声称的[HoA, CoA] 地址对,并且进行密钥交互。
(2)MN向CN发送绑定更新消息(BU)建立绑定,CN向MN返回绑定确认消息(BA), 该过程使用上一个歩骤中交互的密钥进行保护。
这样MN设置分组数据的源地址为移动节点的当前CoA,家乡地址选项中是MN的HoA, 就可以直接发送分组数据给CN,而无需HA中转。这种方式称为路由优化方式。
目前大量的防火墙是在IPv4网络占主流的情况下部署的,因此,防火墙对于IPv6的报文 处理能力有限,至于移动IPv6的信令则更是无法识别,例如MN移动到外地网络之后,通过 隧道向HA发送的移动IP消息等需要再经ESP(Encapsulating Security Payload,封装安全 载荷)封装,而现存网络中的防火墙会丢弃ESP封装的包,从而造成移动IP的消息无法到达。 为此,需要在发送正常的数据包之前,利用信令对防火墙进行穿越,对防火墙的过滤规则做 出合法修改,从而达到防火墙穿越的目的。
NSIS (Next Steps In Signaling,下一代信令)工作组提出了一种防火墙穿越方法。NSIS 基本思想是把信令传输和信令应用分离开来,参见图2, NSIS协议体系将信令协议分为两层-NSLP(NSIS Signaling Layer Protocol, NSIS信令应用层协议)层和NTLP(NSIS Transport Layer Protocol, NSIS信令传输层协议)层。防火墙穿越将被实现在NSLP中。
其中,NTLP层的主要任务是把信令消息从NSIS发起方NI (NSIS Initiator)传输到NSIS 响应方NR(NSISResponder),如果终端系统本身不支持NSIS,可以通过代理(proxy)实现。 其具体实现协议为GIST (General Internet Signaling Transport Protocol,通用消息层)协议。
GIST是一种软状态协议,即网络节点中的控制状态必须不断更新,否则将超时无效。 GIST运行于标准的传输和控制协议之上,例如UDP (User Datagram Protocol,用户报文协 议)、TCP (Transmission Control Protocol,传输控制协议)、SCTP (Stream Control Transmission Protocol,流控制传输协议)或DCCP (Datagram Congestion Control Protocol,报文拥塞控制 协议)。
GIST的基本消息类型包括-
与三次握手相关的消息GIST-Query、 GIST-Response、 GIST-Confirm消息;
传输NSLP数据的GIST-Data消息;
用于错误指示和保持消息关联的GIST-Error / GIST-MA-Hello消息。
NSLP层用于执行特定的信令应用功能,包括NSLP对等实体间交换消息的格式和处理规 贝U, 一个NSLP只能对应于一个特定的信令应用,NSLP信令消息通过NTLP传送。防火墙穿越由NAT/FW NSLP完成,主要是通过发送信令的方式,来配置路径上的NAT (Network Address Translators,网络地址转换器)/FW (FireWall,防火墙)。当信令经过路径中支持NSIS 的节点时,该节点的NAT/FW NSLP对信令作出反应,通过创建防火墙规则(例如FW的 pinhole和NAT的binding)來修改防火墙策略或配置NAT。 NAT/FW NSLP的消息类型包括
CREAT:主要用于数据流发端发起的NAT/FW穿越,路径上的中间节点在收到该消 息后进入等待RESPONSE消息状态;
EXTERNAL消息多用于私有网络内部节点通过预留方式穿越NAT。在由公有网络向 私有网络发送数据时,发端节点无法得知私有网络地址,因此首先向边缘路由器发 送EXTERNAL消息来预留公网地址;
RESPONSE:用于报告一个操作的成功或者失败,或者与会话或者节点相关的一些 信息;当收到表示成功的RESPONSE消息时,则在该节点上配置防火墙的相关策略;
NOTIFY: NAT/FW节点使用的一个异步消息,用于向上行的NAT/FW节点,告警特 定事件
参见图3,为现有技术中基于NSIS的防火墙穿越信令流程图,具体信令流程如下-
1) NI (NSIS Initiator, NSIS信令发起方)发起NSLP层的CREAT信令消息,在到达NTLP 层时,先通过GIST-query、 GIST-response、 GIST-confirm消息与NF (NSIS Forward, NSIS信令 转发)节点进行NTLP层的三次握手;
2) NTLP层将CREAT消息封装成GIST-data-CREAT格式发送到下一个NF节点,该节点将 穿越策略缓存在本地;
3) 这样逐跳的建立信令状态,NR (NSIS Responder, NSIS信令响应方)成功收到 GIST-data-CREAT消息后,会发送 一 个RESPONSE消息,该RESPONSE消息被封装成 GIST-data-RESPONSE格式;
4) 路径上的NF节点在收到GIST-data-RESPONSE消息后,根据缓存的策略会配置本节点 的防火墙策略,从而实现穿越流程。
穿越NAT/FW的前提是发现NAT/FW,针对NAT,已经有了 STUN (Simple Traversal of UDP Through Network Address Translators, UDP简单穿越NAT)协议处理NAT发现的问题。但是针 对防火墙,NSIS机制中定义了穿越防火墙的信令流程,但如何判断路径上是否存在防火墙, 并且找到路径上存在哪些防火墙,以确定信令交互的对象,尚未有定义。
现有技术中有一种和NSIS无关的防火墙发现方法,该方法如下1) MN将一个ESP封装的包和一个UDP封装的包作为探测包,将此探测包发送给HA (称 为FD消息),如果路径上存在防火墙,贝IJESP封装的包会被阻塞,而UDP封装的包则可以通过, 如果路径上不存在防火墙,则两个探测报均可通过;
2) HA对接收到的探测包返回一个相应封装的应答IP包(称为FDr消息)。g卩,收到的探 测包为ESP封装的包时,对应答IP包进行ESP封装;收到的探测包为UDP封装的包时,对应答 IP包进行UDP封装;
3) MN根据HA所返回的应答IP包的封装类型判断路径上是否具有防火墙,如果该应答IP 包为ESP封装格式时,则MN与HA间的路径上没有防火墙,如果该应答IP包为UDP封装格式 时,则MN与HA间的路径上有防火墙。
在实现本发明的过程中,发明人发现现有防火墙发现方法至少存在以下问题
1) 利用了新的信令做防火墙发现,带来了额外的信令开销,会增加网络的时延。NSIS 协议通过信令来配置防火墙的策略,本身已有较为复杂的流程,若利用该技术的方案,则增 加了新的信令流程;
2) 对于某些类型的防火墙(如状态防火墙)无效,具有实际应用的局限性;
3) 该方案能够发现防火墙的前提是配置的防火墙策略允许UDP封装的包通过,这样会带 来安全问题。
发明内容
本发明通过扩展NSIS发现防火墙并对防火墙进行穿越,提供了防火墙穿越方法、节点 设备和系统,实现简单,节省了防火墙穿越的开销和降低了网络时延,能够降低现有防火墙 穿越信令的复杂度。
所述技术方案如下
一种防火墙穿越方法,所述方法包括
带有防火墙的节点收到査询消息后,将本节点的防火墙信息记录在所述査询消息中,向 下游方向转发所述査询消息;
目的节点收到上游方向发送的査询消息后,根据所述查询消息中的防火墙信息确认路径 上是否存在防火墙;
所述目的节点根据确认的结果向所述查询消息的发起节点返回路径上的防火墙的整体信自.
'K、 5
当路径上存在防火墙时,所述目的节点或所述发起节点发起防火墙穿越。一种节点设备,所述设备包括
发送模块,用于向下游方向发送查询消息,所述査询消息携带有防火墙信息对象;
接收模块,用于接收目的节点返回的路径上的防火墙整体信息,所述防火墙的整体信息 包括所述查询消息中的防火墙信息和发起防火墙的实体信息;
处理模块,用于根据所述接收模块接收的发起防火墙的实体信息判断是否需要进行防火 墙穿越,如果是,根据所述防火墙信息发起防火墙穿越。
一种节点设备,所述设备带有防火墙,所述设备包括
接收模块,用于接收查询消息;
信息记录模块,用于将本节点的防火墙信息记录在所述接收模块接收到的查询消息中; 发送模块,用于发送所述信息记录模块记录防火墙信息后的査询消息。 一种节点设备,所述设备包括 接收模块,接收上游节点发送的查询消息;
防火墙发现模块,用于根据所述接收模块接收到的查询消息中的防火墙信息判断路径上 是否存在防火墙;
处理模块,用于根据所述防火墙发现模块的判断结果向所述查询消息的发起节点返回路 径上的防火墙的整体信息,所述防火墙的整体信息包括所述査询消息中的防火墙信息和发起 防火墙的实体信息,当路径上存在防火墙时,且防火墙穿越的实体为自身时,发起防火墙穿 越。
一种系统,所述系统包括
发起节点,用于向下游方向发送査询消息;
中间节点,用于接收从上游方向来的查询消息,当本节点带有防火墙时,将本节点的防 火墙信息记录在所述查询消息中,并发送所述査询消息;
目的节点,用于接收从上游方向来的查询消息,根据所述査询消息中的防火墙信息判断 路径上是否存在防火墙,向所述发起节点返回路径上的防火墙的整体信息,所述防火墙的整 体信息包括所述査询消息中的防火墙信息和发起防火墙的实体信息,当路径上存在防火墙时, 发起防火墙穿越。
一种系统,所述系统包括
发起节点,用于向下游方向发送查询消息;以及接收来自下游方向返回的路径上的防火 墙的整体信息,所述防火墙的整体信息包括防火墙信息和发起防火墙的实体信息,根据发起 防火墙的实体信息判断是否需要进行防火墙穿越,如果是,根据所述防火墙信息发起防火墙穿越;
中间节点,用于接收从上游方向来的査询消息,当本节点带有防火墙时,将本节点的防 火墙信息记录在所述查询消息中,并发送所述查询消息;
目的节点,用于接收从上游方向来的査询消息,根据所述查询消息中的防火墙信息判断 路径上是否存在防火墙,向所述发起节点返回路径上的防火墙的整体信息。
本实施例通过在査询消息中携带防火墙信息,能够发现路径上的防火墙,并进行防火墙 穿越,能够与现有基于NSIS的防火墙穿越机制无缝结合,避免了使用其它不基于NSIS的防火 墙发现机制所增加的额外信令开销,进而节省了开销,降低了网络时延。
图1是现有技术提供的移动IPv6的组网结构示意图; 图2是现有技术中提供的NSIS协议体系结构示意图; 图3是现有技术中基于NSIS的防火墙穿越信令流程图; 图4是本发明实施例提供的防火墙穿越方法流程图; 图5是本发明实施例提供的防火墙信息对象的格式示意图; 图6是本发明实施例1提供的防火墙穿越信令流程图; 图7是本发明实施例2提供的防火墙穿越信令流程图; 图8是本发明实施例3提供的防火墙穿越信令流程图; 图9是本发明实施例4提供的节点设备示意图; 图10是本发明实施例5提供的节点设备示意图; 图11是本发明实施例6提供的节点设备示意图; 图12是本发明实施例7提供的系统示意图; 图13是本发明实施例8提供的系统示意图。
具体实施例方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进 一歩地详细描述。
本发明实施例基于NSIS发现防火墙,并对防火墙进行穿越,具体包括
带有防火墙的节点收到查询消息后,将本节点的防火墙信息记录在査询消息中,向下游
方向转发该査询消息;目的节点收到上游方向发送的查询消息后,根据查询消息中的防火墙信息确认路径上是 否存在防火墙;
根据确认的结果向査询消息的发起节点返回路径上的防火墙的整体信息; 当路径上存在防火墙时,目的节点或发起节点发起防火墙穿越。
本发明实施例主要针对移动IPv6中的防火墙穿越,在利用NSIS穿越防火墙时,首先发 送NTLP层的Query消息,同时通过扩展Query消息,使Query消息带有防火墙发现请求, 当Query消息通过存在防火墙的NTLP节点时,该节点的NTLP状态机将防火墙信息添加到 Query消息中,NTLP状态在路径上完全建立(路径上的防火墙信息都添加在Query消息中) 后,根据Query消息中记录的路径上的防火墙信息,向发起节点返回路径上的防火墙信息, 并且判断路径上是否存在防火墙,若不存在防火墙,NSIS信令终止,若存在防火墙,则根据 路径上防火墙的特性,通告上层NAT/FW NSLP发起正向或者反向的防火墙穿越,此时下层 NTLP状态不必重复建立。
以MN进行移动后,需要穿越和HA之间的防火墙为例,参见图4,该方法包含以下步
骤
歩骤101: MN移动到一个新的外地网络后,获得CoA地址,MN将此移动事件报告给 本节点上的NSIS模块,NSIS模块发送扩展后的Query消息,建立NTLP层的连接,用于防 火墙的发现和穿越。
歩骤102:该Query消息在到达沿途的中间节点(支持NSIS信令)时,在经过NTLP层 消息的鉴权后,当前节点将防火墙信息构造为一个防火墙信息对象(FW Information Object) 追加在Query消息后面继续转发,其中,防火墙信息对象用于记录路径中存在防火墙节点的 标识信息。
参见图5,防火墙信息对象中含有如下字段
1) NAT/FW的个数字段(Number),收到Query消息的节点将会把该字段的数值加l,用 以指明路径上的NAT/FW个数;
2) 保留字段(Reserved);
3) 地址字段(Address),收到Query消息的节点将会把其防火墙的地址信息添加在该字段。
4) Cookie信息字段为NAT/FWNSLP信令鉴权信息字段;
5) 防火墙类型描述防火墙的基本运行机制,例如包过滤防火墙、状态防火墙、应用程 序代理防火墙;6)防火墙方向,用于表示Query消息来源是在防火墙的内部或者外部,通过该字段可以 获得哪个实体被防火墙保护;
歩骤103: HA从收到的Query消息中提取携带的防火墙信息对象,并存储防火墙信息对
豕;
歩骤104: HA在NTLP信令的三次握手完成后(收到GIST-Confirm),根据存储的防火 墙信息对象,判断路径上是否存在防火墙,如果没有防火墙,执行步骤105;否则执行歩骤 106。
歩骤105:向MN返回Firewall Detection Notification (防火i啬检测通知)消息,该消息 携带路径上的防火墙的整体信息,该防火墙的整体信息中通知MN路径上没有防火墙,不需
要进行穿越。
歩骤106:向MN发送Firewall Detection Notification消息,告知MN路径上的防火墙的 整体信息,该防火墙的整体信息包括Query消息中携带的防火墙信息对象和由哪个实体(HA 或者MN)发起防火墙穿越信息。本实施例中的Firewall Detection Notification消息中包括以 下字段
操作码(ActionCode),该值告知是否发起防火墙穿越过程,以及由那个实体发起穿越; 防火墙信息对象(FW Information Object),该字段含有路径上防火墙的信息,用于帮助 防火墙穿越;
如果需要HA发起防火墙穿越,转步骤107;如果需要MN发起防火墙穿越,转步骤108; 歩骤107: HA发起反向的防火墙穿越NSLP信令。 歩骤108: MN发起正向的防火墙穿越NSLP信令。
其中,歩骤107与步骤108中的防火墙穿越过程同现有技术图3中的NSIS的防火墙穿 越信令的过程类似,这里不再详述。
本实施例通过扩展NTLP协议引进了防火墙的发现方法,该方法基于NSIS协议,没有引 入新的防火墙发现机制,能够与现有基于NSIS的防火墙穿越机制无缝结合,避免了使用其它 不基于NSIS的防火墙发现机制所增加的额外信令开销,具体体现参见如下实施例l、实施例2 和实施例3。
实施例1
MN移动后,需要穿越和HA之间的防火墙,其中HA被防火墙保护。
在本实施例中,MN就是信令发起方NI, HA就是信令接收方NR。参见图6,该流程图是l卩向发现反向穿越防火墙的过程,具体信令流程如下
1) 信令发起方NI需要发起防火墙穿越信令时,首先发送NTLP层扩展的带有防火墙信息 对象的GIST-query消息,通过三次握手的方式逐跳的在信令路径上建立NTLP信令状态;
2) 路径上存在防火墙的节点NF收到GIST-queTy消息后;将本节点的地址记录到防火墙倍 息对象中;
3) 当信令接收方NR收到GIST-Query消息后,检查到存在FW Information Object,并且需 要山NR发起防火墙穿越流程,则在GIST的三次握手完成后,发送Firewall Detection Notification通知给NI,告知NI路径上存在防火墙,并由NR反向发起上层NSLP的 GIST-data-CREAT消息,通过已建立的NTLP状态传送NSLP信令,以达到配置路径上防火墙策 略的目的。
实施例2
参见图7,为本发明实施例提供的防火墙穿越的信令流程图,在本实施例中,MN就是信 令发起方NI, HA就是信令接收方NR。该流程图是正向发现正向穿越防火墙的过程,具体信 令流程如下
1) 信令发起方NI需要发起防火墙穿越信令时,首先发送NTLP层扩展的带有防火墙信息 对象的GIST-query消息,通过三次握手的方式逐跳的在信令路径上建立NTLP信令状态;
2) 路径上存在防火墙的节点NF收到GIST-query消息后,将本节点的地址记录到防火墙信 息对象中;
3) 当信令接收方NR收到GIST-Query消息后,检查到存在FW Information Object,并且需 要山NI发起防火墙穿越流程,则在GIST的三次握手完成后,发送Firewall Detection Notification 通知给NI,告知NI路径上存在防火墙以及防火墙的信息,并由NI正向发起上层NSLP的 GIST-data-CREAT消息,通过已建立的NTLP状态传送NSLP信令,以达到配置路径上防火墙策 略的目的。
实施例3
参见图8,以MN向HA发送BU过程为例,其中MN和HA之间不存在防火墙,但MN 并不知道防火墙是否存在。和前面的过程基本相似,差别在于HA在Firewall Detection Notification消息的ActionCode中告知MN,路径上不存在防火墙,不需要进行防火墙穿越。信令发起方MN收到HA发送的Firewall Detection Notification消息后,检查Firewall Detection Notification消息,如果路径上不存在防火墙,NSIS防火墙发现与穿越信令操作中止。
本实施例在NTLP层进行防火墙发现过程之后,若通信路径上不存在防火墙,则NSIS信 令流程终止,避免了现有基于NSIS的防火墙穿越机制的信令浪费,进而节省了开销,降低了 网络时延。
实施例4
参见图9,本实施例提供了一种节点设备,作为发起节点,该设备包括-发送模块,用于向下游方向发送查询消息,该査询消息携带有防火墙信息对象; 接收模块,用于接收目的节点返回的路径上的防火墙整体信息,所述防火墙的整体信息 包括查询消息中的防火墙信息和发起防火墙的实体信息;
处理模块,用于根据所述接收模块接收的发起防火墙的实体信息判断是否需要进行防火 墙穿越,如果是,根据防火墙信息发起防火墙穿越。
本实施例通过发送查询消息,能够使路径上有防火墙的节点将防火墙信息记录在查询消 息中,进而通知其它节点设备路径上的防火墙信息,该设备基于NSIS协议,没有引入新的防 火墙发现机制,能够与现有基于NSIS的防火墙穿越机制无缝结合,避免了使用其它不基于 NSIS的防火墙发现机制所增加的额外信令开销,降低了信令的复杂度和网络时延。
实施例5
参见图10,本实施例提供了一种节点设备,设备带有防火墙,具体包括 接收模块,用于接收査询消息;
信息记录模块,用于将本节点的防火墙信息记录在接收模块接收到的查询消息中;
发送模块,用于发送所信息记录模块记录防火墙信息后的査询消息。
进一歩地,接收模块接收到的査询消息为下一跳信令的信令传输层协议中的Query消息,
携带有防火墙信息对象,相应地,信息记录模块具体用于将本节点的防火墙信息记录在Query
消息携带的防火墙信息对象中。
本实施例通过在査询消息中记录防火墙信息,能够通知其它节点设备路径上是否存在防
火墙,使其它节点在有防火墙时进行防火墙穿越,降低了信令的复杂度,进而节省了开销,
降低了网络时延。实施例6
参见图ll,本发明实施例提供了一种节点设备,为目的节点设备,该设备包括 接收模块,接收上游节点发送的查询消息;
防火墙发现模块,用于根据接收模块接收到的查询消息中的防火墙信息判断路径上是否 存在防火墙;
处理模块,用于根据防火墙发现模块的判断结果向查询消息的发起节点返回路径上的防 火墙的整体信息,其中,防火墙的整体信息包括所述査询消息中的防火墙信息和发起防火墙 的实体信息,当路径上存在防火墙时,且防火墙穿越的实体为自身时,发起防火墙穿越。
本实施例通过检查査询消息判断路径上是否存在防火墙,根据判断的结果向发起节点返 回防火墙信息,或在有防火墙时,发起防火墙穿越,降低了信令的复杂度,进而节省了开销, 降低了网络时延。
实施例7
参见图12,本实施例提供了一种系统,该系统基于NSIS,用于正向发现防火墙方向穿
越防火墙,具体包括
发起节点,用于向下游方向发送查询消息;
中间节点,用于接收从上游方向来的査询消息,当本节点带有防火墙时,将本节点的防 火墙信息记录在查询消息中,并发送査询消息;
目的节点,用于接收从上游方向来的查询消息,根据查询消息中的防火墙信息判断路径 上是否存在防火墙,向发起节点返回路径上的防火墙的整体信息,其中,防火墙的整体信息 包括所述査询消息中的防火墙信息和发起防火墙的实体信息;当路径上存在防火墙时,发起 防火墙穿越。
本实施例通过扩展NTLP协议引进了防火墙的发现机制,该系统基于NSIS协议,没有 引入新的防火墙发现机制,能够与现有基于NSIS的防火墙穿越机制无缝结合,避免了使用 其它不基于NSIS的防火墙发现机制所增加的额外信令开销。
实施例8
参见图13,本实施例提供了一种系统,该系统基于NSIS,用于正向发现防火墙方向穿 越防火墙,具体包括
发起节点,用于向下游方向发送査询消息;以及接收来自下游方向返回的路径上的防火墙的整体信息,其中,防火墙的整体信息包括防火墙信息和发起防火墙的实体信息,根据发 起防火墙的实体信息判断是否需要进行防火墙穿越,如果是,根据防火墙信息发起防火墙穿 越;
中间节点,用于接收从上游方向来的査询消息,当本节点带有防火墙时,将本节点的防 火墙信息记录在查询消息中,并发送查询消息;
目的节点,用于接收从上游方向来的查询消息,根据查询消息中的防火墙信息判断路径 上是否存在防火墙,向发起节点返回路径上的防火墙信息,防火墙信息包括路径上的防火墙 位置和发起防火墙的实体信息。
本实施例通过检查查询消息判断路径上是否存在防火墙,根据判断的结果向发起节点返 回防火墙信息,或在有防火墙时,发起防火墙穿越,降低了信令的复杂度,进而节省了丌销, 降低了网络时延。
以上实施例提供的技术方案同样适用于SPF防火墙,能够有效地实现SPF防火墙的发现 与穿越。
以上实施例提供的技术方案中的全部或部分内容可以通过软件编程实现,其软件程序存 储在可读取的存储介质中,存储介质例如计算机中的硬盘、光盘或软盘。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之 内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
1. 一种防火墙穿越方法,其特征在于,所述方法包括带有防火墙的节点收到查询消息后,将本节点的防火墙信息记录在所述查询消息中,向下游方向转发所述查询消息;目的节点收到上游方向发送的查询消息后,根据所述查询消息中的防火墙信息确认路径上是否存在防火墙;所述目的节点根据确认的结果向所述查询消息的发起节点返回路径上的防火墙的整体信息;当路径上存在防火墙时,所述目的节点或所述发起节点发起防火墙穿越。
2. 如权利要求1所述的防火墙穿越方法,其特征在于,所述防火墙的整体信息包括所述 查询消息中的防火墙信息和发起防火墙的实体信息,相应地,所述目的节点或所述发起节点 发起防火墙穿越为根据所述发起防火墙的实体信息判断是否需要进行防火墙穿越,如果是,根据所述防火 墙信息发起防火墙穿越。
3. 如权利要求1或2所述的防火墙穿越方法,其特征在于,所述防火墙信息包括 防火墙的个数信息、防火墙的地址信息、防火墙的类型信息和防火墙的方向信息。
4. 如权利要求1所述的防火墙穿越方法,其特征在于,所述查询消息为下一代信令的信令传输层协议中的Query消息,携带有防火墙信息对象,相应地,所述将本节点的防火墙信息记录在所述査询消息中包括将本节点的防火墙信息记录在所述Query消息携带的防火墙信息对象中。
5. 如权利要求4所述的防火墙穿越方法,其特征在于,所述根据所述防火墙信息发起防 火墙穿越包括根据所述防火墙信息,使用所述下一代信令的信令传输层协议中的防火墙穿越机制传送 信令应用层协议信令进行防火墙穿越。
6. —种节点设备,其特征在于,所述设备包括-发送模块,用于向下游方向发送查询消息,所述査询消息携带有防火墙信息对象; 接收模块,用于接收目的节点返回的路径上的防火墙整体信息,所述防火墙的整体信息包括所述查询消息中的防火墙信息和发起防火墙的实体信息;处理模块,用于根据所述接收模块接收的发起防火墙的实体信息判断是否需要进行防火墙穿越,如果是,根据所述防火墙信息发起防火墙穿越。
7. —种节点设备,所述设备带有防火墙,其特征在于,所述设备包括 接收模块,用于接收査询消息;信息记录模块,用于将本节点的防火墙信息记录在所述接收模块接收到的査询消息中; 发送模块,用于发送所述信息记录模块记录防火墙信息后的査询消息。
8. —种节点设备,其特征在于,所述设备包括 接收模块,接收上游节点发送的査询消息;防火墙发现模块,用于根据所述接收模块接收到的查询消息中的防火墙信息判断路径上 是否存在防火墙;处理模块,用于根据所述防火墙发现模块的判断结果向所述査询消息的发起节点返回路 径上的防火墙的整体信息,所述防火墙的整体信息包括所述査询消息中的防火墙信息和发起 防火墙的实体信息,当路径上存在防火墙时,且防火墙穿越的实体为自身时,发起防火墙穿越。
9. 一种系统,其特征在于,所述系统包括-发起节点,用于向下游方向发送査询消息;中间节点,用于接收从上游方向来的查询消息,当本节点带有防火墙时,将本节点的防 火墙信息记录在所述査询消息中,并发送所述查询消息;目的节点,用于接收从上游方向来的査询消息,根据所述查询消息中的防火墙信息判断 路径上是否存在防火墙,向所述发起节点返回路径上的防火墙的整体信息,所述防火墙的整 体信息包括所述査询消息中的防火墙信息和发起防火墙的实体信息,当路径上存在防火墙时, 发起防火墙穿越。
10.—种系统,其特征在于,所述系统包括-发起节点,用于向下游方向发送查询消息;以及接收来自下游方向返回的路径上的防火 墙的整体信息,所述防火墙的整体信息包括防火墙信息和发起防火墙的实体信息,根据发起 防火墙的实体信息判断是否需要进行防火墙穿越,如果是,根据所述防火墙信息发起防火墙 穿越;中间节点,用于接收从上游方向来的查询消息,当本节点带有防火墙时,将本节点的防 火墙信息记录在所述查询消息中,并发送所述查询消息;目的节点,用于接收从上游方向来的査询消息,根据所述查询消息中的防火墙信息判断 路径上是否存在防火墙,向所述发起节点返回路径上的防火墙的整体信息。
全文摘要
本发明公开了防火墙穿越方法、节点设备和系统,属于通信领域。所述方法包括带有防火墙的节点收到查询消息后,将本节点的防火墙信息记录在查询消息中,向下游方向转发查询消息;目的节点收到上游方向发送的查询消息后,根据查询消息中的防火墙信息确认路径上是否存在防火墙,向查询消息的发起节点返回路径上的防火墙整体信息,当路径上存在防火墙时,所述目的节点或发起节点发起防火墙穿越。所述节点设备包括发送模块、接收模块和处理模块。所述系统包括发起节点、中间节点和目的节点。本发明能够与现有基于NSIS的防火墙穿越机制无缝结合,避免使用其它不基于NSIS的防火墙发现机制所增加的额外信令开销,进而降低了网络时延。
文档编号H04L29/06GK101534289SQ20081008504
公开日2009年9月16日 申请日期2008年3月14日 优先权日2008年3月14日
发明者琳 张, 炎 彭, 欣 李, 温兴华, 王斌斌, 可 禹 申请人:华为技术有限公司;北京邮电大学