專利名稱:具有對(duì)于接入規(guī)則的索引的防火墻的制作方法
技術(shù)領(lǐng)域:
本發(fā)明通常涉及通信領(lǐng)域,并且特別涉及分組控制裝置。
在基于分組的通信網(wǎng)中,有必要在如公用網(wǎng)的不安全網(wǎng)絡(luò)和如一個(gè)商業(yè)組織的內(nèi)部網(wǎng)絡(luò)的安全網(wǎng)絡(luò)之間控制分組接入,以便防止到被保持在該安全網(wǎng)絡(luò)上的數(shù)據(jù)的未被授權(quán)的接入。接入控制由所謂的防火墻執(zhí)行。防火墻在安全的和不安全的網(wǎng)絡(luò)之間提供接口,并且包括一個(gè)用于在防火墻控制器的控制下來檢查被路由通過接口的分組的過濾器。通過根據(jù)一系列規(guī)則來比較被接收的分組的特征進(jìn)行檢查。這允許傳送到被保護(hù)的網(wǎng)絡(luò)和從被保護(hù)的網(wǎng)絡(luò)傳送的IP業(yè)務(wù)的控制。如果發(fā)現(xiàn)一個(gè)規(guī)則匹配一個(gè)分組,則它被服從帶寬約束進(jìn)行傳送,否則該分組被拒絕。防火墻的過濾器可以在硬件或者軟件中被實(shí)現(xiàn)。從實(shí)用的觀點(diǎn)來說,主要的不同是帶寬容量。由于處理功率的限制,軟件過濾器具有一個(gè)較低的帶寬。
該過濾器在如互聯(lián)網(wǎng)的未被保護(hù)側(cè)和如一個(gè)虛擬專用網(wǎng)的被保護(hù)側(cè)之間為IP分組提供一個(gè)任意接口。它負(fù)責(zé)決定它將通過被保護(hù)和未被保護(hù)的網(wǎng)絡(luò)之間的IP邊界傳送哪些分組。該過濾器不決定哪些規(guī)則被建立這是該系統(tǒng)內(nèi)的需要通過防火墻路由的元件的責(zé)任。通過比較在分組標(biāo)題中的數(shù)據(jù)和該規(guī)則,過濾器對(duì)每個(gè)分組做出決定。當(dāng)一個(gè)分組到達(dá)該過濾器時(shí),它被以根據(jù)目的IP地址、目的端口號(hào)碼、協(xié)議或者其它因素的下述方法之一處理。它也可以被拒絕,在這種情況下該分組將被丟棄,或者它可以作為有效分組被接受,在這種情況下它被傳送。
供IP電話使用的分組過濾器需要建立如被呼叫控制功能(CCF)或者“關(guān)守”確定的大量快速改變規(guī)則。(在該描述結(jié)尾提供了一個(gè)定義的目錄)。這和使用相對(duì)很少的主要是靜態(tài)和被網(wǎng)絡(luò)管理所控制的規(guī)則的通常的數(shù)據(jù)防火墻形成對(duì)比。因此,IP電話呼叫需要不同于傳統(tǒng)數(shù)據(jù)業(yè)務(wù)的處理,這是因?yàn)樾枰皩?shí)時(shí)”檢查IP電話分組,其原因是延遲和延遲變化對(duì)于服務(wù)質(zhì)量是關(guān)鍵的。
現(xiàn)在我們考慮在兩個(gè)端點(diǎn),位于不安全網(wǎng)絡(luò)的始發(fā)端點(diǎn)和位于安全網(wǎng)絡(luò)的目的端點(diǎn)之間的IP電話呼叫的情況。在通過一個(gè)防火墻的IP電話中,分組被引導(dǎo)到該防火墻上的地址/端口號(hào)碼從不安全端點(diǎn)到防火墻的不安全側(cè)的分組以及從安全端點(diǎn)到安全側(cè)的分組。
在現(xiàn)有的技術(shù)中,在防火墻上的這些IP地址和端口號(hào)碼值由該呼叫的端點(diǎn)確定。被過濾器接收的每個(gè)分組根據(jù)現(xiàn)有的規(guī)則依次被檢查,直到傳送該分組的規(guī)則被發(fā)現(xiàn)或者直到全部規(guī)則已經(jīng)被嘗試卻沒有發(fā)現(xiàn)傳送該分組的規(guī)則,在這種情況下,該分組被丟棄。散列法可以被用于表示與所述分組有關(guān)的規(guī)則的可能位置。根據(jù)散列法,索引值指向一個(gè)位置如果該位置不包括一個(gè)規(guī)則,則隨后該分組被丟棄;如果該位置包括一個(gè)規(guī)則,則根據(jù)該規(guī)則來檢查該分組。一旦該分組根據(jù)該規(guī)則已經(jīng)被評(píng)估,則如果該位置包括到不同位置中的一個(gè)第二規(guī)則的指示器,則進(jìn)行檢查,也根據(jù)該第二規(guī)則來檢查所述分組。這個(gè)第二位置還可以包括到一個(gè)第三規(guī)則的另一個(gè)指示器,該分組將被根據(jù)該第三規(guī)則進(jìn)行檢查,等等因此,該規(guī)則檢查是非確定的。盡管在現(xiàn)有技術(shù)的設(shè)備中一個(gè)單獨(dú)的接入有時(shí)可以證明是足夠的,但這種情況不能被保證,所以現(xiàn)有技術(shù)防火墻的帶寬被限制以便慮及到特殊分組的規(guī)則表的多址接入的處理。
分組檢查典型地涉及檢查被使用的協(xié)議和源和目的IP地址以及端口號(hào)碼。這實(shí)質(zhì)上是和被正常的數(shù)據(jù)防火墻使用的過程一樣,其中規(guī)則被網(wǎng)絡(luò)管理保持。一個(gè)類似的過程在分組路由器中出現(xiàn),其中,該規(guī)則主要用于決定在哪個(gè)退出接口上路由選擇分組。然而,所有這些現(xiàn)有的技術(shù)過程需要大量的處理功率/時(shí)間或者需要昂貴的硬件,如同時(shí)執(zhí)行到每個(gè)位置的接入的內(nèi)容可尋址的存儲(chǔ)器;并且這實(shí)際上限制了通過過濾器傳送分組的最大帶寬。
本發(fā)明提供了一個(gè)包括一個(gè)根據(jù)多個(gè)規(guī)則檢查分組的分組控制裝置的通信系統(tǒng),其中每個(gè)分組與一個(gè)控制值相聯(lián)系;該分組控制裝置包括從與一個(gè)分組有關(guān)的控制值產(chǎn)生一個(gè)索引值的索引裝置,和使用該索引值以便接入一個(gè)來自多個(gè)規(guī)則的用于檢查該分組的規(guī)則的裝置;其中,該分組檢查總是需要一個(gè)到多個(gè)規(guī)則的單獨(dú)的接入。
本發(fā)明還提供了一個(gè)包括一個(gè)根據(jù)多個(gè)規(guī)則檢查分組的分組控制裝置的通信系統(tǒng),其中每個(gè)分組與一個(gè)控制值相聯(lián)系;該分組控制裝置包括用于從與一個(gè)分組有關(guān)的控制值產(chǎn)生一個(gè)索引值的索引裝置,和使用該索引值以便識(shí)別一個(gè)來自多個(gè)規(guī)則的用于檢查該分組的規(guī)則的裝置;其中該控制值由該分組控制裝置設(shè)置。
本發(fā)明還提供了一個(gè)包括一個(gè)根據(jù)多個(gè)規(guī)則檢查分組的分組控制裝置的通信系統(tǒng),其中每個(gè)分組與一個(gè)控制值相聯(lián)系;該分組控制裝置包括用于從與一個(gè)分組有關(guān)的控制值產(chǎn)生一個(gè)索引值的索引裝置,和使用該索引值以便識(shí)別一個(gè)來自多個(gè)規(guī)則的用于檢查該分組的規(guī)則的裝置;其中,該通信系統(tǒng)還包括該分組控制裝置外部的分組值裝置,其中該控制值由分組值裝置與該分組控制裝置合作來設(shè)置。
根據(jù)一個(gè)優(yōu)選實(shí)施方案,本發(fā)明提供了一個(gè)通信系統(tǒng),其中分組控制裝置包括用于確定是否該分組控制裝置應(yīng)該傳送還是拒絕該分組的裝置。
本發(fā)明還提供了一種在包括一個(gè)分組控制裝置的基于分組的通信系統(tǒng)中過濾分組的方法;該方法包括在該控制裝置上接收包括一個(gè)控制值的分組的步驟,以及使用該控制值以便接入一個(gè)來自多個(gè)規(guī)則的用于在檢查該分組中使用的規(guī)則的步驟;其中該分組檢查總是需要一個(gè)到多個(gè)規(guī)則的單獨(dú)的接入。
本發(fā)明還提供了一種在包括一個(gè)分組控制裝置的基于分組的通信系統(tǒng)中過濾分組的方法;該方法包括在該控制裝置上接收包括一個(gè)控制值的分組的步驟,使用該控制值以便識(shí)別一個(gè)來自多個(gè)規(guī)則的用于在檢查該分組中使用的規(guī)則的步驟,其中該分組控制裝置分配該控制值到該分組。
本發(fā)明還提供了一種在包括分組控制裝置和分組值裝置的基于分組的通信系統(tǒng)中過濾分組的方法;該方法包括在該控制裝置上接收包括一個(gè)控制值的分組的步驟,使用該控制值以便識(shí)別一個(gè)來自多個(gè)規(guī)則的用于在檢查該分組中使用的規(guī)則的步驟,其中由該分組值裝置與該分組控制裝置合作來分配該控制值。
根據(jù)本發(fā)明的另一個(gè)優(yōu)選實(shí)施方案,所述方法包括確定該分組控制裝置應(yīng)該傳送還是拒絕該分組的步驟。
通過例子,參考附圖將描述本發(fā)明的實(shí)施方案,其中
圖1顯示傳統(tǒng)的防火墻過濾器的主要部件的一個(gè)框圖;圖2到4顯示根據(jù)本發(fā)明的規(guī)則索引的計(jì)算的各種方法。
下列實(shí)施方案關(guān)于IP版本4被描述,然而,本發(fā)明也適用于使用IP版本6的系統(tǒng)。
參考圖1,為建立一個(gè)IP電話呼叫,始發(fā)端點(diǎn)將發(fā)送一個(gè)承載該防火墻的IP地址和端口號(hào)碼的登記分組。該過濾器引導(dǎo)該登記分組到防火墻控制器,該防火墻控制器將該登記分組轉(zhuǎn)發(fā)到適當(dāng)?shù)暮艚锌刂乒δ?在H.323中稱作關(guān)守)進(jìn)行檢查。該登記分組包括始發(fā)端點(diǎn)的IP地址和端口號(hào)碼。如果該登記分組通過被CCF執(zhí)行的檢查,則CCF通過該過濾器發(fā)送一個(gè)回答分組到該始發(fā)端點(diǎn)。這樣做時(shí),防火墻控制器在過濾器中典型地建立兩個(gè)規(guī)則用于該呼叫(一個(gè)用于一個(gè)方向)。這些規(guī)則通常將構(gòu)成在防火墻中被保存的包括用于處理大量同時(shí)發(fā)生的呼叫的一個(gè)大表的一部分。在該過濾器的不安全側(cè)(也就是始發(fā)側(cè))的IP地址和端口號(hào)碼被傳送到始發(fā)端點(diǎn)。這個(gè)IP地址和端口號(hào)碼隨后將被該始發(fā)端點(diǎn)用作作為該呼叫的一部分的將來分組的目的地址。同樣,在過濾器被保護(hù)側(cè)(也就是在CCF側(cè))的IP地址和端口號(hào)碼被傳送到CCF。CCF隨后將這個(gè)IP地址和端口號(hào)碼用作作為該呼叫一部分的被發(fā)送到始發(fā)端點(diǎn)的分組的目的地址。這個(gè)過程適用于包括H.323、MGCP、SIP和H.248的電話協(xié)議范圍。按照慣例,這些防火墻地址和端口號(hào)碼由端點(diǎn)分配。
該防火墻包括處理來自與安全(30)和不安全(20)網(wǎng)絡(luò)的接口的IP分組的過濾器。為了執(zhí)行這個(gè)處理,該過濾器使用已經(jīng)被防火墻控制器建立的通過與該過濾器的控制接口(10)的數(shù)據(jù)。特別,源IP地址、端口號(hào)碼、目的地址和端口號(hào)碼、以及該IP協(xié)議被該防火墻控制器設(shè)置。
有64000個(gè)可用的端口號(hào)碼,包括16384個(gè)用戶定義的端口和49152個(gè)被IANA分配的端口(下文稱作“知名端口”)。
在一個(gè)輸入分組上的第一檢查是用于使用ARP協(xié)議的分組,因?yàn)檫@些不同于其余的分組而被處理。ARP(地址解析協(xié)議)分組在網(wǎng)絡(luò)接口上被本地處理。如果該輸入分組不是一個(gè)ARP,則隨后下列測(cè)試被執(zhí)行。
一個(gè)檢查被執(zhí)行以便確保該分組的IP版本與當(dāng)前被過濾器操作的版本相同。每個(gè)過濾器只能夠操作一個(gè)IP版本并且它必須對(duì)于過濾器的兩個(gè)方向是一樣的。對(duì)于IP標(biāo)題的長度和協(xié)議執(zhí)行檢查。過濾器對(duì)于該IP標(biāo)題長度字段執(zhí)行檢查,以確保該分組標(biāo)題的長度大于或等于預(yù)定的最小值,例如20個(gè)八位組。過濾器還執(zhí)行一個(gè)檢查以便確定是否該分組標(biāo)題的IP協(xié)議字段符合于可接受的協(xié)議表中的一個(gè)有效的項(xiàng)目。
如果這些檢查被通過,則隨后一個(gè)對(duì)于規(guī)則表的索引被生成并且被用于確定是否在那個(gè)位置存在一個(gè)規(guī)則。如果任何上述檢查失敗,或者如果該位置不包括一個(gè)規(guī)則,則關(guān)于該分組的一些統(tǒng)計(jì)被記錄并且該分組被丟棄。
一個(gè)檢查被執(zhí)行以便確定是否該分組有一個(gè)組播IP地址。如果有,則隨后一個(gè)規(guī)則索引被從一個(gè)組播IP地址表中提取。通過類似于在圖2和3(見下文)中顯示的設(shè)備的過濾器,該組播IP地址表提供一個(gè)20比特索引以便被用于路由選擇組播分組。組播分組通常將被路由選擇到防火墻控制器。關(guān)于該分組的一些統(tǒng)計(jì)被記錄并且該分組被通過以便傳輸?shù)狡淠康牡氐膫鬏敗?br>
在規(guī)則內(nèi)的標(biāo)記確定在該分組標(biāo)題內(nèi)的哪些數(shù)據(jù)項(xiàng)目被改變,以及哪些統(tǒng)計(jì)信息項(xiàng)目被過濾器更新。在該分組標(biāo)題內(nèi)的目的IP地址可以被改變成存儲(chǔ)在該規(guī)則中的被修改的目的地址。在該分組標(biāo)題內(nèi)的目的端口號(hào)碼可以被改變成被修改的存儲(chǔ)在該規(guī)則中的目的端口號(hào)碼。源地址可以被改變成被修改的存儲(chǔ)在該規(guī)則中的源地址。在該協(xié)議標(biāo)題內(nèi)的源端口號(hào)碼可以被改變成被修改的存儲(chǔ)在該規(guī)則中的源端口號(hào)碼。
需要對(duì)標(biāo)題的上述改變以確保該分組被正確地從第一端點(diǎn)引導(dǎo)到過濾器并且隨后從該過濾器引導(dǎo)到第二端點(diǎn),反之在返回的行程上也是這樣。來自該規(guī)則的分化型(differentialted)業(yè)務(wù)(或者“diffserv”)比特,也就是在該分組標(biāo)題中允許路由器在不同的分組類,例如不同的優(yōu)先權(quán)之間區(qū)分的比特組可以在適當(dāng)?shù)奈恢帽惶砑拥皆摲纸M標(biāo)題中。在任何數(shù)據(jù)改變發(fā)生之后,該分組標(biāo)題檢查和被重新計(jì)算。
圖2到4顯示如何為不同類型的輸入分組計(jì)算規(guī)則索引。在該圖中,最低位(比特0)在每個(gè)字段的右手側(cè)。
根據(jù)本發(fā)明的一個(gè)優(yōu)選實(shí)施方案,到防火墻過濾器的IP地址和端口號(hào)碼的分配被一個(gè)防火墻控制功能執(zhí)行,該控制功能被安排產(chǎn)生唯一的位置,以便允許快速識(shí)別用于構(gòu)成相同呼叫一部分的后來分組的適當(dāng)規(guī)則。根據(jù)本發(fā)明的另一個(gè)優(yōu)選實(shí)施方案,到防火墻過濾器的IP地址和端口號(hào)碼的分配被一個(gè)防火墻外部的平臺(tái)執(zhí)行,該平臺(tái)被安排與防火墻控制功能合作來產(chǎn)生唯一的位置,以便允許快速識(shí)別用于構(gòu)成相同呼叫一部分的后來分組的適當(dāng)規(guī)則。本發(fā)明有利地提供使用來自被接收的分組的字段,而不是使用依次檢查每個(gè)規(guī)則的過程,與被端點(diǎn)設(shè)置相反,該字段的內(nèi)容被本地設(shè)置到防火墻(如上述)以便直接給相關(guān)的規(guī)則(或者規(guī)則表中相關(guān)的位置)提供索引。因此,如果一個(gè)適當(dāng)?shù)囊?guī)則已經(jīng)被建立,則該索引值將直接指向它。如果該索引值不表示一個(gè)有效的規(guī)則,則隨后被涉及的分組被拒絕。甚至在拒絕分組中,本發(fā)明也提供增加的效率。因此,根據(jù)本發(fā)明,總是利用到規(guī)則表的一個(gè)單獨(dú)的接入來決定傳送還是拒絕一個(gè)分組。
圖2顯示對(duì)于非-TCP/UDP協(xié)議的規(guī)則索引的計(jì)算。對(duì)于除了TCP或者UDP協(xié)議的規(guī)則索引基于在一個(gè)由8-比特協(xié)議ID值以及該IP地址表示的“IP協(xié)議索引表”中的值而被計(jì)算。該IP協(xié)議索引表在防火墻上被提供。在該協(xié)議字段中被規(guī)定的值被用作到該協(xié)議表中的一個(gè)索引。被表示的項(xiàng)目是表示該協(xié)議是否有效的表。如果該協(xié)議是有效的,則隨后該規(guī)則索引通過從該IP地址取出最低6比特以及取自在與該協(xié)議有關(guān)的IP協(xié)議索引表中被表示的項(xiàng)目的最低14比特構(gòu)成。
圖3顯示對(duì)于“知名端口”的規(guī)則索引的計(jì)算。如果協(xié)議是TCP或者UDP并且端口號(hào)碼在十六進(jìn)制的0000-BFFF范圍內(nèi),則該端口號(hào)碼被用作對(duì)于“知名端口”表的索引?!爸丝凇北戆ň哂腥绫籌ANA定義的特殊標(biāo)識(shí)的端口號(hào)碼(例如79=分支)。這個(gè)表用于確定是否該端口在這個(gè)過濾器上被支持。假定該端口被支持,則該規(guī)則數(shù)據(jù)的索引是基于來自由目的端口號(hào)碼以及IP地址表示的表中的一個(gè)值。該規(guī)則索引通過從該IP地址取出最低6比特以及取自由該端口號(hào)碼表示的知名端口號(hào)碼表中的項(xiàng)目的最低14比特構(gòu)成。如果一個(gè)端口未被支持,則隨后被發(fā)送到該端口的分組被丟棄。
圖4顯示用于用戶端口的規(guī)則索引的計(jì)算。對(duì)于其中不是知名端口(也就是端口號(hào)碼在十六進(jìn)制的C000-FFFF范圍內(nèi))的TCP和UDP協(xié)議,該規(guī)則索引由部分端口號(hào)碼和IP地址構(gòu)成。該規(guī)則索引通過從該IP地址取出最低6比特以及該端口號(hào)碼的最低14比特構(gòu)成。
上述的例外是對(duì)于任何IPSEC分組。有兩個(gè)版本的IPSEC協(xié)議類型,IP協(xié)議50ESP(封裝安全有效負(fù)荷)和IP協(xié)議51AH(認(rèn)證報(bào)頭)。這兩個(gè)版本都包括一個(gè)安全參數(shù)索引(SPI)。用于ESP的這個(gè)字段在安全報(bào)頭的第一組32比特中,用于AH的這個(gè)字段在安全報(bào)頭的第二組32比特中。SPI以及目的IP地址和協(xié)議唯一地識(shí)別該分組。通過類似于上述用于用戶端口的但是使用SPI的最低14個(gè)比特和IP地址的最低6個(gè)比特而不使用目的端口號(hào)碼的過程,完成這些分組的規(guī)則索引的格式化。注意在該規(guī)則索引被表達(dá)之后,過濾器根據(jù)在規(guī)則數(shù)據(jù)的控制字段中的值來執(zhí)行檢查以及替換功能。對(duì)于IPSEC分組的本質(zhì)區(qū)別僅僅是有一個(gè)值,SPI,而不是源和目的端口號(hào)碼,雖然這個(gè)值被存儲(chǔ)在相同的位置。按規(guī)則指導(dǎo),如果需要,則這個(gè)值仍將被檢查和替換。
該規(guī)則索引被用于接入該規(guī)則,并且被該規(guī)則控制和有效性字(確定在檢查分組中被使用的標(biāo)準(zhǔn)的規(guī)則的一部分)規(guī)定的檢查被執(zhí)行。如果這些檢查被通過,則該分組標(biāo)題地址和端口等等,按需要被翻譯。
如果需要,也就是由于來自IP標(biāo)題的IP地址被改變,則該IP標(biāo)題檢查和被重新計(jì)算并且UDP/TCP標(biāo)題檢查和被調(diào)整。該有效分組統(tǒng)計(jì)信息被更新以便包括現(xiàn)在的分組。如果任何檢查失敗,則隨后關(guān)于該分組的一些統(tǒng)計(jì)被記錄并且該分組被丟棄。
分組可以因?yàn)橄率鋈魏卧虮粊G棄。
·在該分組內(nèi)的IP版本與過濾器的IP版本不匹配,例如當(dāng)過濾器運(yùn)行IPv6時(shí),該分組內(nèi)的是IPv4,反之亦然。
·錯(cuò)誤的目的IP地址每個(gè)過濾器有一個(gè)它代理的IP地址范圍,包括組播地址和專用IP地址。任何具有一個(gè)不在過濾器的范圍內(nèi)的IP地址的分組將被拒絕。
·該分組的標(biāo)題長度短于核對(duì)該分組是否正確所需的最小值。
·該協(xié)議不是過濾器接受的一個(gè)協(xié)議。過濾器支持多個(gè)可接受的協(xié)議,并且如果該分組標(biāo)題的協(xié)議字段不在這個(gè)列表中,則該分組被拒絕。
·從該IP地址和端口號(hào)碼(或者IPSEC的SPI)被計(jì)算的規(guī)則索引參考一個(gè)不在開放狀態(tài)的將允許分組轉(zhuǎn)移的規(guī)則。
·在該分組標(biāo)題中的發(fā)送者IP地址與該規(guī)則數(shù)據(jù)中的原始源IP地址字段不匹配。
·來自該分組標(biāo)題的協(xié)議字段與該規(guī)則數(shù)據(jù)的原始協(xié)議ID字段不匹配。
·來自該分組標(biāo)題的源端口號(hào)碼與該規(guī)則數(shù)據(jù)中的原始源端口號(hào)碼不匹配。
·該分組標(biāo)題中的目的端口與來自該規(guī)則數(shù)據(jù)的原始目的端口號(hào)碼不匹配(對(duì)于非IPSEC分組)。
·在該分組標(biāo)題中的目的SPI與來自該規(guī)則數(shù)據(jù)的原始目的SPI不匹配(對(duì)于IPSEC分組-見下文)。
·目的端口號(hào)碼小于十六進(jìn)制“C000”(它用于“知名端口”),但是在該“知名端口”表中沒有項(xiàng)目存在。
·該分組標(biāo)題的目的IP地址字段與該規(guī)則數(shù)據(jù)的原始目的IP地址字段不匹配。
·從IP地址和端口號(hào)碼(或者IPSEC的SPI)被計(jì)算的規(guī)則索引參考一個(gè)未被建立的規(guī)則。
本發(fā)明適用于不論是在硬件還是在軟件中被實(shí)現(xiàn)的分組過濾器。本發(fā)明不限于在以太網(wǎng)上的IP,而且適用于其它的網(wǎng)絡(luò)類型,諸如在SONET/SDH上的分組,以及ATM AAL5。當(dāng)使用便宜的隨機(jī)接入存儲(chǔ)器時(shí),本發(fā)明達(dá)到最佳性能。
定義地址解析協(xié)議(ARP)一個(gè)用于映射IP地址到本地網(wǎng)中被識(shí)別的物理機(jī)器地址的協(xié)議。
關(guān)守 在IP電話網(wǎng)中的一個(gè)實(shí)體。它執(zhí)行a)網(wǎng)絡(luò)中其它實(shí)體的RAS,b)為呼叫方執(zhí)行地址翻譯c)網(wǎng)關(guān)控制。
H.225 為基于分組的多媒體通信系統(tǒng)定義呼叫信令協(xié)議和媒體流分組化的ITU-T標(biāo)準(zhǔn)。
H.323 用于基于分組的多媒體通信系統(tǒng)的ITU-T標(biāo)準(zhǔn)。
IANA IANAITU-T 國際電信聯(lián)盟-電信IETF 互聯(lián)網(wǎng)工程任務(wù)組互聯(lián)網(wǎng)協(xié)議(IP)用于IP網(wǎng)絡(luò)的網(wǎng)絡(luò)層協(xié)議,提供數(shù)據(jù)分組(數(shù)據(jù)報(bào))的不可靠的點(diǎn)到點(diǎn)傳送。當(dāng)前使用的標(biāo)準(zhǔn)是在IETF RFC791中被定義的版本4(IPv4)。將來它將被在IETF RFC 2460中被定義的版本6(IPv6)替換。
IP電話,互聯(lián)網(wǎng)上的話音,IP上的多媒體在基于IP協(xié)議的網(wǎng)絡(luò)上的電話技術(shù)媒體網(wǎng)關(guān)控制協(xié)議(MGCP)ITU-T MEGACO工作組的一個(gè)被提議的協(xié)議,用于由關(guān)守控制媒體網(wǎng)關(guān)。在互聯(lián)網(wǎng)草案文件draft-huitema-megaco-mgcp-v0r1-05中被定義。
MEGACO MEGACO定義在一個(gè)物理上被分解的多媒體網(wǎng)關(guān)的元素之間被使用的協(xié)議。MEGACO框架在IETF互聯(lián)網(wǎng)草案文件draft-ietf-megaco-protocol-04中被描述。
登記,接納和狀態(tài)(RAS) 在H.323協(xié)議內(nèi)的信令功能為網(wǎng)絡(luò)內(nèi)的實(shí)體提供登記、進(jìn)行IP電話呼叫的用戶的鑒權(quán)、以及關(guān)于登記的狀態(tài)信息。RAS使用H.225消息。RAS信令信道先于在H.323端點(diǎn)之間任何其它信道的建立而被打開。
傳輸控制協(xié)議(TCP)一個(gè)被設(shè)計(jì)在IP協(xié)議上操作的面向連接的、可靠的傳送層協(xié)議。被IETF RFC 793定義。
用戶數(shù)據(jù)報(bào)協(xié)議(UDP) 一個(gè)被設(shè)計(jì)在IP協(xié)議上操作的無連接型、不可靠的傳送層協(xié)議。在IETF RFC 768中被定義。
權(quán)利要求
1.一種包括根據(jù)多個(gè)規(guī)則來檢查分組的分組控制裝置的通信系統(tǒng),其中每個(gè)分組與一個(gè)控制值相聯(lián)系;所述分組控制裝置包括從與一個(gè)分組相關(guān)的所述控制值產(chǎn)生一個(gè)索引值的索引裝置,以及使用所述索引值以便接入來自多個(gè)規(guī)則的用于檢查所述分組的一個(gè)規(guī)則的裝置;其中所述分組檢查總是需要一個(gè)到多個(gè)規(guī)則的單獨(dú)接入。
2.一種包括根據(jù)多個(gè)規(guī)則來檢查分組的分組控制裝置的通信系統(tǒng),其中每個(gè)分組與一個(gè)控制值相聯(lián)系;所述分組控制裝置包括從與一個(gè)分組相關(guān)的所述控制值產(chǎn)生一個(gè)索引值的索引裝置,以及使用所述索引值以便識(shí)別來自多個(gè)規(guī)則的用于檢查所述分組的一個(gè)規(guī)則的裝置;其中所述控制值由所述分組控制裝置設(shè)置。
3.一種包括根據(jù)多個(gè)規(guī)則檢查分組的分組控制裝置的通信系統(tǒng),其中每個(gè)分組與一個(gè)控制值相聯(lián)系;所述分組控制裝置包括從與一個(gè)分組相關(guān)的所述控制值產(chǎn)生一個(gè)索引值的索引裝置,以及使用所述索引值以便識(shí)別來自多個(gè)規(guī)則的用于檢查所述分組的一個(gè)規(guī)則的裝置;其中所述通信系統(tǒng)還包括所述分組控制裝置外部的分組值裝置,其中所述控制值由所述分組值裝置與所述分組控制裝置合作來設(shè)置。
4.如上述任何一個(gè)權(quán)利要求所述的通信系統(tǒng),其中,所述分組控制裝置包括確定所述分組控制裝置應(yīng)該傳送還是拒絕所述分組的裝置。
5.如上述任何一個(gè)權(quán)利要求所述的通信系統(tǒng),其中,所述控制值包括一個(gè)地址和/或一個(gè)端口號(hào)碼(PN)。
6.如權(quán)利要求5所述的通信系統(tǒng),其中,所述索引裝置包括一個(gè)使用所述PN值作為到查找表中的指示器的裝置;其中所述索引裝置還包括一個(gè)從所述地址和由所述PN表示的查找表的組合產(chǎn)生所述索引值的裝置。
7.如權(quán)利要求1到4中的任何一個(gè)所述的通信系統(tǒng),其中,所述控制值包括一個(gè)地址和一個(gè)協(xié)議值。
8.如權(quán)利要求7所述的通信系統(tǒng),其中,所述索引裝置包括一個(gè)使用所述協(xié)議值作為到查找表中的指示器的裝置;其中所述索引裝置還包括基于所述地址和由所述協(xié)議值表示的查找表值產(chǎn)生所述索引值的裝置。
9.如上述任何一個(gè)權(quán)利要求所述的通信系統(tǒng),其中,所述索引裝置包括檢測(cè)組播分組和識(shí)別用于這些分組的單獨(dú)的規(guī)則的裝置。
10.如上述任何一個(gè)權(quán)利要求所述的通信系統(tǒng),其中,所述控制值對(duì)于從一個(gè)特定源接收的并且與一個(gè)特定呼叫有關(guān)的分組在任何時(shí)間點(diǎn)都是唯一的。
11.如上述任何一個(gè)權(quán)利要求所述的通信系統(tǒng),其中,所述地址一個(gè)互聯(lián)網(wǎng)協(xié)議地址。
12.如上述任何一個(gè)權(quán)利要求所述的通信系統(tǒng),其中,所述PN是一個(gè)用戶數(shù)據(jù)報(bào)協(xié)議(UDP)、傳輸控制協(xié)議(TCP)、或流控制傳輸協(xié)議(SCTP)PN。
13.如上述任何一個(gè)權(quán)利要求所述的通信系統(tǒng),其中,所述分組控制裝置包括一個(gè)防火墻。
14.如上述任何一個(gè)權(quán)利要求所述的通信系統(tǒng),其中,所述分組承載電話業(yè)務(wù)。
15.一種在包括一個(gè)分組控制裝置的基于分組的通信系統(tǒng)中過濾分組的方法;所述方法包括在所述控制裝置中接收包括一個(gè)控制值的分組的步驟,以及使用所述控制值以便接入來自多個(gè)規(guī)則用于在檢查所述分組中使用的一個(gè)規(guī)則的步驟;其中,所述分組檢查總是需要到多個(gè)規(guī)則的一個(gè)單獨(dú)接入。
16.一種在包括一個(gè)分組控制裝置的基于分組的通信系統(tǒng)中過濾分組的方法;所述方法包括在所述控制裝置中接收包括一個(gè)控制值的分組的步驟,以及使用所述控制值以便識(shí)別來自多個(gè)規(guī)則的用于在檢查所述分組中使用的一個(gè)規(guī)則的步驟;其中,所述分組控制裝置分配所述控制值到所述分組。
17.一種在包括一個(gè)分組控制裝置和分組值裝置的基于分組的通信系統(tǒng)中過濾分組的方法;所述方法包括在所述控制裝置中接收包括一個(gè)控制值的分組的步驟,以及使用所述控制值以便識(shí)別來自多個(gè)規(guī)則的用于在檢查所述分組中使用的一個(gè)規(guī)則的步驟;其中,由所述分組值裝置與所述分組控制裝置合作來分配所述控制值。
18.如權(quán)利要求15到17所述的方法,包括確定所述分組控制裝置應(yīng)該傳送還是拒絕所述分組的步驟。
19.如權(quán)利要求15到18任何之一所述的方法,其中,所述控制值包括一個(gè)PN和/或一個(gè)地址。
20.如權(quán)利要求19所述的方法,其中,所述索引裝置使用所述PN值作為到查找表中的指示器;其中,所述索引裝置還從所述地址和由所述PN值表示的查找表值的組合來產(chǎn)生所述索引值。
21.如權(quán)利要求15到18任何之一所述的方法,其中,所述控制值包括一個(gè)地址和一個(gè)協(xié)議值。
22.如權(quán)利要求21所述的方法,其中,所述索引裝置使用所述協(xié)議值作為到查找表中的指示器;其中,所述索引裝置基于所述地址和由所述協(xié)議值表示的查找表值來產(chǎn)生所述索引值。
23.如權(quán)利要求15到22任何之一所述的方法,其中,所述索引裝置包括檢測(cè)組播分組和識(shí)別用于這些分組的一個(gè)單獨(dú)規(guī)則的裝置。
24.如權(quán)利要求15到23任何之一所述的方法,其中,所述控制值對(duì)于從一個(gè)特定源接收的并且與一個(gè)特定呼叫有關(guān)的分組在任何時(shí)間點(diǎn)都是唯一的。
25.如權(quán)利要求15到24任何之一所述的方法,其中,所述地址是一個(gè)互聯(lián)網(wǎng)協(xié)議地址。
26.如權(quán)利要求15到25任何之一所述的方法,其中,所述PN是一個(gè)UDP、TCP或SCTP PN。
27.如權(quán)利要求15到26任何之一所述的方法,其中,所述分組控制裝置包括一個(gè)防火墻。
28.如權(quán)利要求15到27任何之一所述的方法,其中,所述分組承載電話業(yè)務(wù)。
29.如權(quán)利要求15到28任何之一所述的方法,包括使用所述地址和PN作為到一個(gè)用于識(shí)別適當(dāng)規(guī)則的規(guī)則表中的索引的步驟。
全文摘要
一個(gè)根據(jù)多個(gè)規(guī)則檢查分組的分組控制裝置,其中,每個(gè)分組與一個(gè)控制值相聯(lián)系;該分組控制裝置包括從與一個(gè)分組有關(guān)的控制值產(chǎn)生一個(gè)索引值的索引裝置和使用該索引值以便接入一個(gè)來自多個(gè)規(guī)則用于檢查該分組的一個(gè)規(guī)則的裝置。該控制值由該分組控制裝置設(shè)置。有利地,考慮到更快的操作,該分組檢查總是需要到多個(gè)規(guī)則的一個(gè)單獨(dú)接入。
文檔編號(hào)H04L29/06GK1496642SQ02806330
公開日2004年5月12日 申請(qǐng)日期2002年1月7日 優(yōu)先權(quán)日2001年1月11日
發(fā)明者A·P·盧姆布, K·圣皮爾, R·A·維克斯, A P 盧姆布, ざ, 維克斯 申請(qǐng)人:馬科尼英國知識(shí)產(chǎn)權(quán)有限公司