[发明专利]调整穿越设备的规则策略的方法、系统及代理设备

说明书

技术领域

本发明涉及通信技术，尤其关于一种涉及调整穿越设备的规则策略的方 法、系统及代理设备。

背景技术

防火墙作为一种网络安全中间件，已经成为IP(Internet Protocol)网络 不可或缺的部分，它通过对网络的流量实施监控，执行相应的过滤策略和接 入控制来保护内部通信网元。它可以被视为由一些规则和策略组成的规则和 动作库，通过这些规则和策略决定是允许网络流量通过，还是阻止其通过。 防火墙的一个重要的作用是探测和防止拒绝服务攻击。

最早防火墙是针对IPv4(Internet Protocol version4)网络设计的，虽然现 在IP网络主要还是IPv4占主导地位，但随着网络地址的饱和，IPv6(Internet Protocol version6)网络大面积部署，IPv6网络大有取而代之的趋势，移动 IPv6协议也正是基于IPv6网络设计的一套移动会话管理协议，但这带来的一 个问题是针对IPv4网络设计的防火墙并不支持MIPv6协议，随着移动节点离 开家乡网络，进入外地网络，移动节点与对端节点之间的通信会涉及到防火 墙穿越的问题。同样，在固定网络中，如果通信网元的信息发生变化，同样 需要所需要穿越的防火墙策略和规则进行修改，还有，在IPv4网络和IPv6网 络进行NAT穿越时，如果通信网元的信息发生变化，也需要NAT设备上的防 火墙策略和规则进行修改，所以，需要一种动态修改防火墙策略和规则的机 制，同时确保防火墙的安全功能。

现有技术给出一种在移动IPv6协议环境下采用认证、授权和计费 (AAA：Authentication，Authorization and Accouting)扩展协议解决防火墙穿 越的方法，该方法采用AAA扩展协议，在组网框架层面及协议消息层面实现 AAA与移动IPv6两种协议的综合融合，来达到动态调整防火墙的过滤规则， 即家乡域AAA服务器和外地域AAA服务器分别与家乡域和外地域的IPv6防火 墙进行沟通，使得处于防火墙保护下、并使用移动IPv6协议的各个网元实体 相互之间实现正常通信。可参考图1，图1是现有技术的涉及防火墙穿越的报 文处理方法示意图；具体实现步骤如下：

步骤1、移动节点MN向家乡代理HA发送绑定更新(BU：Binding Update)报文；

步骤2、服务点截获所述BU报文，向外地域的AAA服务器(AAAL)发 起对所述MN的认证请求消息(AMR：AAA-Mobile-Request)，所述消息中 携带从所述BU报文中提取的MN对应的家乡地址(HoA)、家乡代理地址 (HA)、网络接入标识(NAI)和认证选项，所述服务点部署在MN与MN对应的 外地网络边缘的防火墙之间，为了描述方面，后续对MN对应的外地网络边 缘的防火墙简称为防火墙A。

步骤3、AAAL向家乡网络的AAA服务器(AAAH)转发所述AMR消息；

步骤4、AAAH根据所述AMR消息携带的选项对MN进行身份认证，当所 述认证通过后，AAAH向家乡域所管辖的防火墙发送防火墙策略修改消息 (AFR：AAA-Firewall-Request)，为了描述方便，后续对家乡域所管辖的防 火墙简称为防火墙B。

步骤5、防火墙B成功配置所述MN的过滤规则和策略后，向AAAH发送 修改完成消息(AFA：AAA-Firewall-Ack)。

步骤6、AAAH向AAAL发送请求消息(ACR：AAA-Communication Request)，所述ACR消息内容为请求AAAL通知防火墙A修改对于所述MN的 过滤规则和策略；

步骤7、AAAL向所述防火墙A发送AFR消息，调整所述防火墙A对于所 述MN的过滤规则和策略；

步骤8、所述防火墙A成功配置所述MN的过滤规则和策略后，向AAAL发 送AFA消息。

步骤9、AAAL收到防火墙A发来的所述AFA消息后，向AAAH发送应答 消息(ACA：AAA-Communication Ack)，用于作为AAAL完成防火墙A对 MN过滤规则和策略修改的应答；

步骤10、AAAH向AAAL发送对所述MN的认证应答消息(AMA：AAA- Mobile-Ack)，所述AMA消息携带认证结果，所述认证结果含有认证成功与 否的状态信息；

步骤11、AAAL向服务点转发AMA消息；