技術領域

本發明涉及通信技術，尤其關于一種涉及調整穿越設備的規則策略的方 法、系統及代理設備。

背景技術

防火墻作為一種網絡安全中間件，已經成為IP(Internet?Protocol)網絡 不可或缺的部分，它通過對網絡的流量實施監控，執行相應的過濾策略和接 入控制來保護內部通信網元。它可以被視為由一些規則和策略組成的規則和 動作庫，通過這些規則和策略決定是允許網絡流量通過，還是阻止其通過。 防火墻的一個重要的作用是探測和防止拒絕服務攻擊。

最早防火墻是針對IPv4(Internet?Protocol?version4)網絡設計的，雖然現 在IP網絡主要還是IPv4占主導地位，但隨著網絡地址的飽和，IPv6(Internet Protocol?version6)網絡大面積部署，IPv6網絡大有取而代之的趨勢，移動 IPv6協議也正是基于IPv6網絡設計的一套移動會話管理協議，但這帶來的一 個問題是針對IPv4網絡設計的防火墻并不支持MIPv6協議，隨著移動節點離 開家鄉網絡，進入外地網絡，移動節點與對端節點之間的通信會涉及到防火 墻穿越的問題。同樣，在固定網絡中，如果通信網元的信息發生變化，同樣 需要所需要穿越的防火墻策略和規則進行修改，還有，在IPv4網絡和IPv6網 絡進行NAT穿越時，如果通信網元的信息發生變化，也需要NAT設備上的防 火墻策略和規則進行修改，所以，需要一種動態修改防火墻策略和規則的機 制，同時確保防火墻的安全功能。

現有技術給出一種在移動IPv6協議環境下采用認證、授權和計費 (AAA：Authentication，Authorization?and?Accouting)擴展協議解決防火墻穿 越的方法，該方法采用AAA擴展協議，在組網框架層面及協議消息層面實現 AAA與移動IPv6兩種協議的綜合融合，來達到動態調整防火墻的過濾規則， 即家鄉域AAA服務器和外地域AAA服務器分別與家鄉域和外地域的IPv6防火 墻進行溝通，使得處于防火墻保護下、并使用移動IPv6協議的各個網元實體 相互之間實現正常通信。可參考圖1，圖1是現有技術的涉及防火墻穿越的報 文處理方法示意圖；具體實現步驟如下：

步驟1、移動節點MN向家鄉代理HA發送綁定更新(BU：Binding Update)報文；

步驟2、服務點截獲所述BU報文，向外地域的AAA服務器(AAAL)發 起對所述MN的認證請求消息(AMR：AAA-Mobile-Request)，所述消息中 攜帶從所述BU報文中提取的MN對應的家鄉地址(HoA)、家鄉代理地址 (HA)、網絡接入標識(NAI)和認證選項，所述服務點部署在MN與MN對應的 外地網絡邊緣的防火墻之間，為了描述方面，后續對MN對應的外地網絡邊 緣的防火墻簡稱為防火墻A。

步驟3、AAAL向家鄉網絡的AAA服務器(AAAH)轉發所述AMR消息；

步驟4、AAAH根據所述AMR消息攜帶的選項對MN進行身份認證，當所 述認證通過后，AAAH向家鄉域所管轄的防火墻發送防火墻策略修改消息 (AFR：AAA-Firewall-Request)，為了描述方便，后續對家鄉域所管轄的防 火墻簡稱為防火墻B。

步驟5、防火墻B成功配置所述MN的過濾規則和策略后，向AAAH發送 修改完成消息(AFA：AAA-Firewall-Ack)。

步驟6、AAAH向AAAL發送請求消息(ACR：AAA-Communication Request)，所述ACR消息內容為請求AAAL通知防火墻A修改對于所述MN的 過濾規則和策略；

步驟7、AAAL向所述防火墻A發送AFR消息，調整所述防火墻A對于所 述MN的過濾規則和策略；

步驟8、所述防火墻A成功配置所述MN的過濾規則和策略后，向AAAL發 送AFA消息。

步驟9、AAAL收到防火墻A發來的所述AFA消息后，向AAAH發送應答 消息(ACA：AAA-Communication?Ack)，用于作為AAAL完成防火墻A對 MN過濾規則和策略修改的應答；

步驟10、AAAH向AAAL發送對所述MN的認證應答消息(AMA：AAA- Mobile-Ack)，所述AMA消息攜帶認證結果，所述認證結果含有認證成功與 否的狀態信息；

步驟11、AAAL向服務點轉發AMA消息；