搭建B2B SBC实现IMS信令穿越双层防火墙的研究

1 引言 搭建受保护的局域网通常采用以下两种方式：（1）利用防火墙本身提供的NAT功能;（2）在防火墙后部署专用NAT服务器。无论采用哪种方式,均只完成OSI协议中网络层的IP地址转换,即只修改IP包包头部分的IP地址,不会处理包体携带的数据。因此,对于采用基于SIP实现的IMS架构,在进行需要穿越NAT的VoIP通信时,由于SIP信令位于IP包包体内,上述转换方法无法转换SIP包携带的IP地址,     

中国将制定SIP／H．323穿越NAT／防火墙的标准

随着基于SIP/H.323的宽带业务的蓬勃发展,为了解决网络安全问题和IP地址资源匮乏等问题,大量企业和驻地网采用了私有编址(RFC1918)通过NAT/防火墙出口来接入公共网络。 NAT/防火墙能够完成私有编址与公网编址的相互转化,并设置相应的包过滤规则,不满足条件的IP包不能够穿透NAT/防火墙。 NAT/防火墙对HTTP等端口固定的一般应用协议只需要转换IP/TCP/UDP头即可很好的实现穿透,但对于H.323/SIP/H.248/     

基于白名单的深度包检测防火墙的改进方法

本文研究了深度包检测防火墙的原理、技术及实现方法,并在此基础上提出了基于白名单的改进方法。通过白名单定义可信流量,可信流量在完成状态检测或协议分析之后即可通过防火墙,不再进行完整的深度检测,减轻了防火墙的负荷。基于白名单的自学习功能通过对日志的分析自动维护白名单,使它更加安全有效。     

穿越防火墙/NAT的SIP通信研究

私网和公网之间的安全防护和地址转换的常用方法是防火墙/NAT,但防火墙/NAT不支持SIP协议,阻碍了SIP信令安全地穿过防火墙/NAT,限制了私网内的SIP终端同Internet上的SIP终端之间的业务互通。本文介绍了一种基于虚拟代理和IP隧道的隧道穿透方案,实现了防火墙/NAT两侧的SIP信令和媒体的互通。     

中国将制定SIP／H．323穿越NAT／防火墙的标准

随着展于SIP／H.323的宽带业务的蓬勃发展，为了解决网络安全问题和IP地址资源匮乏等问题，大量企业和驻地网采用了私有编址(RFC1918)通过NAT／防火墙出口来接入公共网络。NAT／防火墙能够完成私有编址与公网编址的相互转化，并设置相应的包过滤规则，不满足条什的IP包不能够穿透NAT／防火墙NAT／防火墙对HTTP等端口固定的一般应用协议，只需要     

业界要闻

中国将制定SIP/H.323穿越NAT/防火墙的标准 随着基于SIP/H.323的宽带业务的蓬勃发展,为了解决网络安全问题和IP地址资源匮乏等问题,大量企业和驻地网采用了私有编址(RFC1918)通过NAT/防火墙出口来接入公共网络。NAT/防火墙能够完成私有编址与公网编址的相互转化,并设置相应的包过滤规则,不满足条件的IP包小能够穿透NAT/防火墙。NAT/防火墙对HTTP等端口固定的一般应用协议,只需要转换IP/TCP/UDP头即可很好地实现穿透。但对于H.323/S1P/H.248/MGCP应用来说,是在控制信息中动态地协商媒体流端口     

穿越防火墙／NAT的SIP通信研究

私网和公网之间的安全防护和地址转换的常用方法是防火墙／NAT。但防火墙／NAT不支持SIP协议。阻碍了SIP信令安全地穿过防火墙／NAT。限制了私网内的SIP终端同Internet上的SIP终端之间的业务互通。本介绍了一种基于虚拟代理和IP隧道的隧道穿透方案。实现了防火墙／NAT两侧的SIP信令和媒体的互通。     

Sonic WALL确保VoIP安全

安全威胁由最初的文件病毒、DDoS攻击、端口扫描,发展到现在的蠕虫病毒、木马、间谍软件、黑客入侵等,网络安全威胁已经由针对TCP/IP协议的漏洞攻击转到利用TCP/IP数据包内容对操作系统和应用漏洞攻击,传统的防火墙已经无能为力。与之抗衡的防火墙技术的发展也经历了第一代包过滤防火墙,第二代应用代理防火墙,第三代全状态检测防火墙和新兴的第四代深度包检测防火墙,即一体化威胁管理设备,简称U T M设备。与第三代全状态检测防火墙不同的是,UTM设备不仅能在第三层,第四层检查TCP/IP协议和规则,而且能扫描数据到应用层,实现网关防…     

基于状态检测的TCP包过滤的研究

对于传统防火墙来说,包过滤是一种比较有效的方法,但为了防止日益增强的网络非法攻击,同时提高包过滤的实际效果,本文设计并实现了防火墙的状态检测包过滤和NAT功能,通过记录并跟踪会话的即时状态来对网络流量包进行检测。     

海天炜业推出新一代Guard工业防火墙

4月22日,青岛海天炜业自动化控制系统有限公司在京发布了Guard工业防火墙新品。Guard工业防火墙是海天炜业联合中国科学院软件研究所推出的具备自主知识产权的新一代工业防火墙。产品采用无IP隔离技术、二层协议防护、工业协议深度包检测等先进技术,通过了公安部三所的相关测试,荣获了国内信息安全产品的最高级别EAL3证书、ISCCC认证和销售许可证。     

P2P SIP技术进展

1引言 传统的基于SIP的VoIP系统使用了SIP注册服务器（Registrars），SIP代理服务器，STUN和TURN服务器。其中SIP注册服务器用来查找用户的联系信息，SIP代理服务器用来对呼叫进行路由，而STUN和TURN服务器则用来进行NAT和防火墙穿越。SIP相关RFC并没有强制要使用所有服务器，甚至可以说在SIP中所有服务器都是可选的。     

基于SIP的多媒体通信系统安全技术

本文介绍了基于SIP协议的多媒体通信系统的安全框架 ,给出了系统的安全需求。分析了客户端与服务器、服务器与服务器之间通信的安全技术 ,并提出了一种SIP穿越防火墙 /NAT的解决方法     

IXIA超高性能应用测试模块

介绍了IXIA超高性能应用测试模块Acceleron的主要特点、网络处理器的设计结构以及主要性能指标。这些性能指标目前具有业界最高的性能并且全面支持2～7层测试,能满足超高性能防火墙、边界控制器、深度包检测和业务识别设备的性能测试需要。     

用Libpcap,oSIP函数实现SIP数据包的采集与解析

提出一种基于Libpcap，oSIP函数调用实现SIP数据包采集与解析的设计思想，并分别对Libpcap，oSIP的工作原理和SIP协议作简要说明，最后在此基础上简述SIP数据包采集与解析的设计。     

基于操作系统内核的包过滤防火墙系统的设计与实现

主要研究如何通过基于Windows操作系统内核的包过滤防火墙系统来实现网络安全防护.基于操作系统内核的包过滤防火墙系统是基于网络层实现的包过滤防火墙系统,该系统要求能够对所有进出计算机的IP数据包进行灵活控制,实现包过滤的核心问题是如何截获所有的IP数据包.首先介绍了包过滤防火墙的基本结构和原理,然后在剖析操作系统内核的基础上,研究并设计了基于Windows操作系统内核的包过滤防火墙系统.     

多级反馈的网络安全态势感知系统

从系统论、控制论的一般观点出发,研究防火墙、入侵检测系统、入侵防御系统、统一威胁管理系统等网络安全设备的发展与应用,揭示反馈控制在包过滤防火墙向状态检测防火墙演进、入侵检测系统向入侵防御系统演进过程中的重要作用。把反馈控制的原理应用到网络安全态势感知系统中,提出一种多级反馈、协同工作的网络安全态势感知系统结构,该系统能更有效地收集网络信息来进行安全态势评估。     

基于H.323/SIP的视讯通信透传防火墙/NAT模式探讨

本文首先介绍了目前企业网使用防火墙及NAT设备的情况,以及防火墙／NAT设备对基于H.323／SIP协议的视讯通信造成的影响。通过对几种透传防火墙的方式的比较,着重介绍了全代理模式的信令处理流程及优点,以及该系统在联通"宝视通"业务中的成功应用。     

可添加规则的创新防火墙设计与实现

个人防火墙一般都是采用包过滤的方式实现的,且大多数的包过滤防火墙只在应用层过滤数据包,不能捕获所有的数据包,安全性较低;而采用内核层的IP过滤钩子驱动则能对所有IP数据包进行过滤,安全性较高。在制定包过滤防火墙的过滤规则前,用户往往需要捕获流经当前主机的数据包进行分析,尽可能地判断出哪些数据包是病毒、木马等非法数据,然后有针对性地制定防火墙规则,才能更有效地阻断恶意数据,保证合法数据的安全。文章正是针对以上两个方面,开发了一个融合抓包和包过滤于一体的防火墙。该防火墙利用内核模式下的IP过滤驱动,来实现防火墙的包过滤功能,提升防火墙的安全性和健壮性。同时调用Winpcap库中的函数,在程序上添加一个抓包模块,为分析数据、制定防火墙规则提供方便。     

FireGate 防火墙系统

由方正数码公司自主开发的FireGate防火墙系统通过了新的国家标准(GB/T1 8020-1999标准)的检测,成为国内首家通过检测的包过滤防火墙产品. FireGate是一套全面、高性能的网络安全系统,可以在网关和路由两种模式下工作.它采用了3I(Intelligent IP Identifying)技术,高效防止DOS、DDOS及Synflood攻击,是具有封包过滤、代理服务、流量控制、入侵检测等功能的硬件包过滤防火墙产品. FireGate还拥有一套非常完善的权限管理机制,科学地将防火墙的管理划分为管理员、策略员和审计员三个层次,使防火墙的配置与管理更加合理.     

网络安全的门户:3Com公司防火墙

由美国3Com公司生产、北京中青联迪科技发展有限公司中国区独家代理的防火墙采用实时操作系统,并经过修剪,专门用于网络安全功能,彻底避免了传统软件防火墙由于依赖UNIX和Windows NT操作系统而带来的潜在漏洞。同时,采用高性能安全防火墙引擎,提供状态包检测保护,属于专用硬件防火墙,能够为大中小企业提供高性能价格比的解决方案。