[发明专利]一种基于Socks5协议的通用防火墙穿越方法

说明书

技术领域

本发明属于防火墙穿越领域，具体涉及一种基于Socks5协议的通用防火墙穿越方法。

背景技术

防火墙的英文名为“FireWall”，它是目前一种最重要的网络防护设备。从专业角度讲，防火墙是位于两个(或多个)网络间，实施网络之间访问控制的一组组件集合。

防火墙最初的设计思想是对内部网络总是信任的，而对外部网络却总是不信任的，所以最初的防火墙是只对外部进来的通信进行过滤，而对内部网络用户发出的通信不作限制。当然目前的防火墙在过滤机制上也有所改变，不仅对外部网络发出的通信连接要进行过滤，对内部网络用户发出的部分连接请求和数据包同样需要过滤，但防火墙仍只对符合安全策略的通信通过，也可以说具有“单向导通”性。

防火墙的分类方法很多，简单地说可以用以下五种方法进行分类：

1，从软、硬件形式上分为：

软件防火墙和硬件防火墙以及芯片级防火墙。

2，从防火墙技术上分为：

“包过滤型”和“应用代理型”两大类。

3，从防火墙结构上分为：

单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。

4，按防火墙的应用部署位置分为：

边界防火墙、个人防火墙和混合防火墙三大类。

5，按防火墙性能分为：

百兆级防火墙和千兆级防火墙两类。

本发明主要针对的是限制内网对外发送消息端口的包过滤型企业防火墙。现有的对企业防火墙的主流穿越方案主要是基于消息代理的思想，而主流的代理方式核心思想是采用Socks5协议来进行消息代理。

如图1所示，在VoIP系统中，位于企业防火墙之后的客户端，通过Socks5服务器来进行信令和媒体消息的代理，实现与企业防火墙外的客户端通信。因为Socks5标准采用的是客户端/服务器模式，在VoIP系统客户端(只要是能接入VoIP核心网的并且不采用私有协议的客户端都属于VoIP系统客户端)中需要植入Socks5的客户端模块，来进行被代理消息的处理以及与Socks5服务器的通信。

更加详细的Socks5的方案如下所述，由于被代理消息传输层可能由TCP或者UDP协议承载，所以防火墙代理过程也有所区别，具体如下：

1，基于TCP的防火墙穿越流程

如图2所示，防火墙穿越过程需要经过几个主要的过程：

(1)TCP连接的建立阶段

该过程为传统的TCP三次握手，让Socks5客户端模块和Socks5服务器建立TCP连接。

(2)鉴权消息对收发阶段

Socks5客户端给服务器发送一条版本定义消息(version identifiermessage)，消息结构如表1所示：

表1

版本号域(VER)设为05，表示协议版本为socks 5.方法数域(NMETHODS)包含方法域(METHODS)中出现的方法定义字节数。

Socks5服务器从方法域(METHODS)的这些方法中选出一种，回复方法选择消息(method selection message)给客户端，该消息结构如表2所示：

表2

其中方法域(method)可选值主要有以下几种：

X’00’：无需鉴权方式

X’01’：GSSAPI方式

X’02’：用户名/密码模式

X’03’至X’7F’：已分配IANA

X’80’至X’FE’：为私有方法预留

X’FF’：没有可接受的方式

(3)地址协商阶段

Socks5客户端给Sock5服务器发送一条请求消息(request message)，该消息结构如表3所示：

表3

同样，版本号域(VER)设为05，表示协议版本为socks 5。

CMD域提供三种连接方式：X’01’(连接方式)、X’01’(绑定方式)和X’01’(UDP关联方式)。

RSV域表示保留位，用于消息可能的扩展。

ATYP域表示地址类型而之后的DST.ADDR域填入目的地址，DST.PORT域填入目的端口号。可选的地址类型有：X’01’(IPv4地址)，X’03’(地址域名)，X’04’(IPv6地址)。其中IPV4，IPV6地址固定长度分别为4字节，16字节，域名以pascal字符串保存：第一字节为字符串长度，后面跟字符串内容。