[发明专利]一种用于七号信令网的防火墙装置

说明书

技术领域

本发明涉及七号信令领域，尤其涉及一种七号信令网络的安全性管理和控制的防火墙装置。

背景技术

七号信令网络最初被设计为一个完全封闭的网络，由运营商控制其运行，并且假设网络中各实体之间存在高度信任。因此通过信令网络管理能够确保整个七号信令网络正常、有效的运行，几乎不可能存在恶意攻击。最初设计信令网络时考虑的重点是效率和可靠性，而较少采用安全措施，因此一旦出现对外的网络接口，攻击者可以轻而易举地对七号信令网络发起攻击。随着信息技术的不断发展，新业务的开展以及网络融合这个不可逆转的潮流，使得七号信令网络向外界暴露的接口越来越多。七号信令网络的安全面临严重威胁。

请参阅图1，图中示出了现有技术中，缺乏安全信任的七号信令网元简称业务平台1’连接到七号信令核心网2’的网络拓扑图，缺乏安全信任的七号信令网元直接与七号信令核心网2’相连，因此，七号信令网络的安全遭受到了极大的安全隐患。

发明内容

本发明的目的在于克服现有技术的缺陷而提供一种用于七号信令网的防火墙装置，它可以对缺乏安全信任的七号信令网元发送到七号信令核心网的信令消息全部进行过滤和拦截，保证了七号信令核心网的安全。

实现上述目的的技术方案是：一种用于七号信令网的防火墙装置，所述的七号信令网包括七号信令核心网和若干缺乏安全信任的七号信令网元，其中，所述的防火墙装置部署于七号信令核心网和缺乏安全信任的七号信令网元之间，可以对缺乏安全信任的七号信令网元发送到七号信令核心网的信令消息按照设定的标准进行过滤和拦截，对合法的信令消息，防火墙装置将消息正常转发给七号信令核心网，对非法的信令消息，直接丢弃。

上述的用于七号信令网的防火墙装置，其中：所述的防火墙装置设定的过滤和拦截标准，可以是信令消息包含指定的DPC(目的信令点码)和OPC(本地信令点码)，或者包含指定的SCCP(信令连接控制部分)层全局码和子系统号码，或者包含指定的TCAP(事务处理能力部分)层操作码，或者包含指定的主叫号码和被叫号码，也可以是其他合适的过滤和拦截标准。

上述的用于七号信令网的防火墙装置，其中：所述的防火墙装置对所有的信令消息做日志，以供相关人员检查。

上述的用于七号信令网的防火墙装置，其中：所述的若干缺乏安全信任的七号信令网元和防火墙装置之间通过七号信令链路相连，防火墙装置和七号信令核心网之间也通过七号信令链路相连。

上述的用于七号信令网的防火墙装置，其中：所述的防火墙装置对若干缺乏安全信任的七号信令网元进行信令的过滤、监控和统计。

本发明的有益效果是：本发明的防火墙装置具有如下优势，

本发明的防火墙装置通常和STP(信令转接点)相连，缺乏安全信任的七号信令网元简称业务平台和该防火墙装置相连，而不是直接和七号信令核心网相连，这样，由业务平台发送到七号信令核心网的信令消息全部由防火墙装置进行过滤和拦截，只允许指定的信令消息通过，其他消息一律丢弃，从而保证了七号信令核心网的安全；

新上业务平台只需要和防火墙相连，再也无需直接和七号信令核心网相连，减轻网络维护部门的工作压力；

防火墙装置可以和业务平台放置在同一个机房，方便业务平台和防火墙装置之间的连接；

业务平台和防火墙装置之间通过七号信令链路相连，对业务平台没有特殊的配合要求，业务平台只要采用和直接连接七号信令核心网一样的方法和防火墙装置连接即可；

可以通过配置拦截特定类型的七号信令消息，或仅允许特定类型的七号信令类型通过。允许通过DPC/OPC、SCCP、GT(全局码)/SSN(子系统号)、TCAP层操作码等参数设定拦截标准，也可以实现只允许业务平台外呼其业务号码，非法外呼一律拦截。

附图说明

图1是现有技术中的业务平台连接到七号信令核心网的网络拓扑图；

图2是部署了本发明的防火装置后的业务平台连接到七号信令核心网的网络拓扑图。

具体实施方式

下面将结合附图对本发明作进一步说明。

请参阅图2，图中示出了部署了本发明的防火装置后的业务平台连接到七号信令核心网的网络拓扑图，七号信令网包括七号信令核心网1和若干缺乏安全信任的七号信令网元2，简称业务平台，某个七号信令网元2是否缺乏安全信任，有七号信令网络管理者认定。防火墙装置3部署于七号信令核心网1和缺乏安全信任的七号信令网元2之间，可以对缺乏安全信任的七号信令网元2发送到七号信令核心网1的信令消息按照设定的标准进行过滤和拦截，对合法的信令消息，防火墙装置3将消息正常转发给七号信令核心网1，对非法的信令消息，直接丢弃。