为了保护SIP通信网络免受攻击,特别是拒绝服务(DoS)或垃圾消息等洪水攻击,防火墙被部署在网络入口用来过滤潜在恶意流量。但由于不支持SIP深度包检测(DPI)与状态包检测(SPI)以及动态RTP/RTCP媒体流"针孔"配置,传统防火墙无法满足SIP通信网络的需求。分析了SIP/RTP协议与呼叫流程,提出了进行SIP深度包过滤(DPI)与状态包检测(SPI)以及动态RTP/RTCP媒体流"针孔"配置的方法,还进一步阐明了它在Linux系统Netfilter框架下的设计与实现。最后给出了此类动态七层过滤SIP感知防火墙的性能评估结果。

• 出版日期2010
• 单位上海交通大学