CN101888386A - 一种用于七号信令网的防火墙装置 - Google Patents
一种用于七号信令网的防火墙装置 Download PDFInfo
- Publication number
- CN101888386A CN101888386A CN 201010226494 CN201010226494A CN101888386A CN 101888386 A CN101888386 A CN 101888386A CN 201010226494 CN201010226494 CN 201010226494 CN 201010226494 A CN201010226494 A CN 201010226494A CN 101888386 A CN101888386 A CN 101888386A
- Authority
- CN
- China
- Prior art keywords
- system number
- signaling system
- signaling
- firewall device
- net
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种七号信令防火墙装置,此***应用于七号信令网络,部署于七号信令核心网和缺乏安全信任的七号信令网元之间,可以按照一定的规则,拦截缺乏安全信任的七号信令网元向核心网发送未经许可的七号信令消息,并且对所有经过七号信令防火墙的信令消息做日志,从而保护核心网的安全。
Description
技术领域
本发明涉及七号信令领域,尤其涉及一种七号信令网络的安全性管理和控制的防火墙装置。
背景技术
七号信令网络最初被设计为一个完全封闭的网络,由运营商控制其运行,并且假设网络中各实体之间存在高度信任。因此通过信令网络管理能够确保整个七号信令网络正常、有效的运行,几乎不可能存在恶意攻击。最初设计信令网络时考虑的重点是效率和可靠性,而较少采用安全措施,因此一旦出现对外的网络接口,攻击者可以轻而易举地对七号信令网络发起攻击。随着信息技术的不断发展,新业务的开展以及网络融合这个不可逆转的潮流,使得七号信令网络向外界暴露的接口越来越多。七号信令网络的安全面临严重威胁。
请参阅图1,图中示出了现有技术中,缺乏安全信任的七号信令网元简称业务平台1’连接到七号信令核心网2’的网络拓扑图,缺乏安全信任的七号信令网元直接与七号信令核心网2’相连,因此,七号信令网络的安全遭受到了极大的安全隐患。
发明内容
本发明的目的在于克服现有技术的缺陷而提供一种用于七号信令网的防火墙装置,它可以对缺乏安全信任的七号信令网元发送到七号信令核心网的信令消息全部进行过滤和拦截,保证了七号信令核心网的安全。
实现上述目的的技术方案是:一种用于七号信令网的防火墙装置,所述的七号信令网包括七号信令核心网和若干缺乏安全信任的七号信令网元,其中,所述的防火墙装置部署于七号信令核心网和缺乏安全信任的七号信令网元之间,可以对缺乏安全信任的七号信令网元发送到七号信令核心网的信令消息按照设定的标准进行过滤和拦截,对合法的信令消息,防火墙装置将消息正常转发给七号信令核心网,对非法的信令消息,直接丢弃。
上述的用于七号信令网的防火墙装置,其中:所述的防火墙装置设定的过滤和拦截标准,可以是信令消息包含指定的DPC(目的信令点码)和OPC(本地信令点码),或者包含指定的SCCP(信令连接控制部分)层全局码和子***号码,或者包含指定的TCAP(事务处理能力部分)层操作码,或者包含指定的主叫号码和被叫号码,也可以是其他合适的过滤和拦截标准。
上述的用于七号信令网的防火墙装置,其中:所述的防火墙装置对所有的信令消息做日志,以供相关人员检查。
上述的用于七号信令网的防火墙装置,其中:所述的若干缺乏安全信任的七号信令网元和防火墙装置之间通过七号信令链路相连,防火墙装置和七号信令核心网之间也通过七号信令链路相连。
上述的用于七号信令网的防火墙装置,其中:所述的防火墙装置对若干缺乏安全信任的七号信令网元进行信令的过滤、监控和统计。
本发明的有益效果是:本发明的防火墙装置具有如下优势,
本发明的防火墙装置通常和STP(信令转接点)相连,缺乏安全信任的七号信令网元简称业务平台和该防火墙装置相连,而不是直接和七号信令核心网相连,这样,由业务平台发送到七号信令核心网的信令消息全部由防火墙装置进行过滤和拦截,只允许指定的信令消息通过,其他消息一律丢弃,从而保证了七号信令核心网的安全;
新上业务平台只需要和防火墙相连,再也无需直接和七号信令核心网相连,减轻网络维护部门的工作压力;
防火墙装置可以和业务平台放置在同一个机房,方便业务平台和防火墙装置之间的连接;
业务平台和防火墙装置之间通过七号信令链路相连,对业务平台没有特殊的配合要求,业务平台只要采用和直接连接七号信令核心网一样的方法和防火墙装置连接即可;
可以通过配置拦截特定类型的七号信令消息,或仅允许特定类型的七号信令类型通过。允许通过DPC/OPC、SCCP、GT(全局码)/SSN(子***号)、TCAP层操作码等参数设定拦截标准,也可以实现只允许业务平台外呼其业务号码,非法外呼一律拦截。
附图说明
图1是现有技术中的业务平台连接到七号信令核心网的网络拓扑图;
图2是部署了本发明的防火装置后的业务平台连接到七号信令核心网的网络拓扑图。
具体实施方式
下面将结合附图对本发明作进一步说明。
请参阅图2,图中示出了部署了本发明的防火装置后的业务平台连接到七号信令核心网的网络拓扑图,七号信令网包括七号信令核心网1和若干缺乏安全信任的七号信令网元2,简称业务平台,某个七号信令网元2是否缺乏安全信任,有七号信令网络管理者认定。防火墙装置3部署于七号信令核心网1和缺乏安全信任的七号信令网元2之间,可以对缺乏安全信任的七号信令网元2发送到七号信令核心网1的信令消息按照设定的标准进行过滤和拦截,对合法的信令消息,防火墙装置3将消息正常转发给七号信令核心网1,对非法的信令消息,直接丢弃。
防火墙装置3设定的过滤和拦截标准,可以是信令消息包含指定的DPC和OPC,或者包含指定的SCCP层全局码和子***号码,或者包含指定的TCAP层操作码,或者包含指定的主叫号码和被叫号码,也可以是其他合适的过滤和拦截标准。防火墙装置3对所有的信令消息做日志,以供相关人员检查,还对若干缺乏安全信任的七号信令网元2进行信令的过滤、监控和统计以方便对各业务平台的管理。缺乏安全信任的七号信令网元2和防火墙装置3之间通过七号信令链路相连,防火墙装置和七号信令核心网之间也通过七号信令链路相连。
以上实施例仅供说明本发明之用,而非对本发明的限制,有关技术领域的技术人员,在不脱离本发明的精神和范围的情况下,还可以作出各种变换或变型,因此所有等同的技术方案也应该属于本发明的范畴,应由各权利要求所限定。
Claims (5)
1.一种用于七号信令网的防火墙装置,所述的七号信令网包括七号信令核心网和若干缺乏安全信任的七号信令网元,其特征在于,所述的防火墙装置部署于七号信令核心网和缺乏安全信任的七号信令网元之间,可以对缺乏安全信任的七号信令网元发送到七号信令核心网的信令消息按照设定的标准进行过滤和拦截,对合法的信令消息,防火墙装置将消息正常转发给七号信令核心网,对非法的信令消息,直接丢弃。
2.根据权利要求1所述的用于七号信令网的防火墙装置,其特征在于:所述的防火墙装置设定的过滤和拦截标准,可以是信令消息包含指定的DPC和OPC,或者包含指定的SCCP层全局码和子***号码,或者包含指定的TCAP层操作码,或者包含指定的主叫号码和被叫号码,也可以是其他合适的过滤和拦截标准。
3.根据权利要求1所述的用于七号信令网的防火墙装置,其特征在于:所述的防火墙装置对所有的信令消息做日志,以供相关人员检查。
4.根据权利要求1所述的用于七号信令网的防火墙装置,其特征在于:所述的若干缺乏安全信任的七号信令网元和防火墙装置之间通过七号信令链路相连,防火墙装置和七号信令核心网之间也通过七号信令链路相连。
5.根据权利要求1所述的用于七号信令网的防火墙装置,其特征在于:所述的防火墙装置对若干缺乏安全信任的七号信令网元进行信令的过滤、监控和统计。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201010226494 CN101888386A (zh) | 2010-07-14 | 2010-07-14 | 一种用于七号信令网的防火墙装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201010226494 CN101888386A (zh) | 2010-07-14 | 2010-07-14 | 一种用于七号信令网的防火墙装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101888386A true CN101888386A (zh) | 2010-11-17 |
Family
ID=43074107
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 201010226494 Pending CN101888386A (zh) | 2010-07-14 | 2010-07-14 | 一种用于七号信令网的防火墙装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101888386A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105610813A (zh) * | 2015-12-28 | 2016-05-25 | 中国人民解放军信息工程大学 | 一种移动通信网间蜜罐***及方法 |
| CN107979821A (zh) * | 2016-10-21 | 2018-05-01 | 中国电信股份有限公司 | 非法 7 号信令的处理方法以及装置 |
| CN108366364A (zh) * | 2018-01-15 | 2018-08-03 | 中国人民解放军战略支援部队信息工程大学 | 一种异常map操作的判别处理方法 |
| CN111955014A (zh) * | 2018-06-26 | 2020-11-17 | 甲骨文国际公司 | 用于多事务能力应用部分tcap操作码opcode筛选的方法、***和计算机可读介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2001019010A1 (en) * | 1999-09-07 | 2001-03-15 | Icom Technologies, Inc. | Ss7 firewall system |
| CN1529482A (zh) * | 2003-10-08 | 2004-09-15 | 中兴通讯股份有限公司 | 一种在软交换网络中的信令防火墙的实现方法 |
| CN101453528A (zh) * | 2007-11-30 | 2009-06-10 | 上海粱江通信***有限公司 | 一种实现呼叫鉴权网关的***及方法 |
-
2010
- 2010-07-14 CN CN 201010226494 patent/CN101888386A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2001019010A1 (en) * | 1999-09-07 | 2001-03-15 | Icom Technologies, Inc. | Ss7 firewall system |
| CN1529482A (zh) * | 2003-10-08 | 2004-09-15 | 中兴通讯股份有限公司 | 一种在软交换网络中的信令防火墙的实现方法 |
| CN101453528A (zh) * | 2007-11-30 | 2009-06-10 | 上海粱江通信***有限公司 | 一种实现呼叫鉴权网关的***及方法 |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105610813A (zh) * | 2015-12-28 | 2016-05-25 | 中国人民解放军信息工程大学 | 一种移动通信网间蜜罐***及方法 |
| CN105610813B (zh) * | 2015-12-28 | 2018-10-16 | 中国人民解放军信息工程大学 | 一种移动通信网间蜜罐***及方法 |
| CN107979821A (zh) * | 2016-10-21 | 2018-05-01 | 中国电信股份有限公司 | 非法 7 号信令的处理方法以及装置 |
| CN107979821B (zh) * | 2016-10-21 | 2021-07-02 | 中国电信股份有限公司 | 非法7号信令的处理方法以及装置 |
| CN108366364A (zh) * | 2018-01-15 | 2018-08-03 | 中国人民解放军战略支援部队信息工程大学 | 一种异常map操作的判别处理方法 |
| CN108366364B (zh) * | 2018-01-15 | 2020-11-03 | 中国人民解放军战略支援部队信息工程大学 | 一种异常map操作的判别处理方法 |
| CN111955014A (zh) * | 2018-06-26 | 2020-11-17 | 甲骨文国际公司 | 用于多事务能力应用部分tcap操作码opcode筛选的方法、***和计算机可读介质 |
| JP2021528915A (ja) * | 2018-06-26 | 2021-10-21 | オラクル・インターナショナル・コーポレイション | マルチプルトランザクション機能応用部(tcap)オペレーションコード(オペコード)スクリーニングのための方法、システムおよびコンピュータ読取可能媒体 |
| JP7273070B2 (ja) | 2018-06-26 | 2023-05-12 | オラクル・インターナショナル・コーポレイション | マルチプルトランザクション機能応用部(tcap)オペレーションコード(オペコード)スクリーニングのための方法、システムおよびコンピュータ読取可能媒体 |
| CN111955014B (zh) * | 2018-06-26 | 2023-09-29 | 甲骨文国际公司 | 用于多事务能力应用部分tcap操作码opcode筛选的方法、***和计算机可读介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101465770B (zh) | 入侵检测***部署方法 | |
| CN112804310A (zh) | 一种面向物联网应用的多链智能安全网关及实现方法 | |
| US6308276B1 (en) | SS7 firewall system | |
| CN100435513C (zh) | 网络设备与入侵检测***联动的方法 | |
| CN110572412A (zh) | 云环境下基于入侵检测***反馈的防火墙及其实现方法 | |
| CN105610813B (zh) | 一种移动通信网间蜜罐***及方法 | |
| JP2007006054A (ja) | パケット中継装置及びパケット中継システム | |
| CN101888386A (zh) | 一种用于七号信令网的防火墙装置 | |
| CN101034976B (zh) | Ip连接安全***中的入侵检测设备 | |
| CN105873063B (zh) | 一种移动通信网间信令防护方法和装置 | |
| CN106211227A (zh) | 流量预警方法和网络设备 | |
| CN101494639A (zh) | 一种分组通信***中防止攻击的方法及装置 | |
| CN112104540A (zh) | 一种跨域资源动态编排方法及跨域互联*** | |
| CN101355567B (zh) | 一种对交换路由设备中央处理器进行安全保护的方法 | |
| CN101136767B (zh) | 一种电信网络的资产安全管理方法、***及网元设备 | |
| CN107733941A (zh) | 一种基于大数据的数据采集平台的实现方法及*** | |
| CN101621427B (zh) | 用于通信网络的防入侵方法和*** | |
| CN105577705A (zh) | 针对iec60870-5-104协议的安全防护方法及*** | |
| KR101871406B1 (ko) | 화이트리스트를 이용한 제어시스템의 보안관제 방법 및 이를 위한 시스템 | |
| CN110417725B (zh) | 一种适应于源网荷控制专网的多层协同防御模型 | |
| CN115987675B (zh) | 违规外联检测方法、装置、移动终端及存储介质 | |
| CN102045320A (zh) | 安全策略的老化方法及装置 | |
| Huang et al. | Requirements and system architecture design consideration for first responder systems | |
| CN102594616B (zh) | 网络安全检测方法及装置 | |
| CN108768996A (zh) | 一种sql注入攻击的检测防护*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20101117 |