让通讯更安全视频通信防火墙下的应用

ｃｓｔｙｌｅ

一、综述

随着IP网络建设的大发展。现在基于IP网络环境下的视频通信应用越来越普遍，不但一部分政府部门、大型企业采用基于IP的网络传输环境构筑专用的视频通信网，商业、企业更加倾向于将他们的视频通信系统构建在基于IP的传输环境中，以降低建设成本，特别是使用成本。

目前符合国际标准的视频通信应用模式。主要为遵循ITU组织H.323标准的系统。以及遵循ITEF组织SIP的系统。

经过几年的实际应用考验和不断改进。基于H.323的应用模式的应用体系非常成熟。相关产品在稳定性，连接的安全、可靠性等方面可以完全满足市场，特别是专业视频，多媒体会议的要求。由于H.323标准体系非常完备和严格。从而确保了基于H.323的众多产品所具有的良好互通互联性，这一点为H.323协议的大范围推广奠定了技术基础。基于SIP的视频应用是随着NGN的需求而日益得到市场的重视，特别是在3G背景环境下，越来越多的厂商相继推出了基于SIP的视频通信产品，以满足个人用户、移动用户对视频通信的需求。SIP提出的目的是在基于Internet环境中，实现多媒体通信的应用。它和HTTP、SMTP等ITEF的协议一样。是一种基于“文本”的通信协议。结构简单，便于扩充、扩展是SIP与H.323体系的明显区别。

二、视频通信在防火墙环境下的应用

和所有的网络应用一样，无论基于H.323标准还是基于SIP的，视频通信系统都不可避免地受到所依托网络环境的限制。这一点不但影响到视频产品选型、系统结构方案，同时对网络环境本身是否需要进一步改造都有着比较大的影响。在所有影响因素中，除了网络环境传输条件本身外，如何有效解决“防火墙”对视频系统的影响是所有用户、建设方以及视频厂商乃至网络厂商所不得不面对的一个“难题”。

从协议中对握手的定义来看，无论是H.323还是SIP。这个过程和保证网络安全的“防火墙”、NAT等机制是一对矛盾体。

对于目前经常使用的“防火墙”而言，为保证墙内内部网络的安全性，其工作机制一般是屏蔽掉外部数据对受保护网络中计算机的数据访问。而只开放少许的指定地址和通信端口，以保证Internet服务器等设备正常工作。

NAT则通过地址转换，一方面保护了内部网络中各计算机以免被外部恶意数据的直接破坏；另一方面也可以保证内部局域网络对有限公网地址的有效利用。

就目前企事业单位、国家机关的现有网络状况来看。标准的网络安全防护措施一般是“防火墙”和NAT同时使用，而且在所保护网络中开辟出一个DMZ区域供Internet和E-mail等服务器使用，而将所有办公计算机放置于受保护的内网，位于外网的数据只能到达位于DMZ区域的设备，而不能直接访问位于内网的设备，它们之间的数据传输则是通过位于DMZ区的各种服务器来实现。这样位于外网的视频设备A是不能直接和位于内网的设备B直接进行通信的。对于一般的数据应用而言。在这种网络结构下，位于内网的计算机可以访问外网的设备。但和常规的网络应用不同，基于H.323或SIP的视音频通信设备通信时，在握手的同时，发出呼叫申请的一端将自己本身的地址包括在有效的数据包中，设备B向A发出一个呼叫申请，A要根据数据包中的有效地址发出应答信息，而这个有效地址是一个内网的“私有”地址，该应答会被“防火墙”有效屏蔽。由于在指定的时间周期不能得到A端的应答信息。在B端会显示呼叫被拒绝。即使通过开放端口的手段后，A端的应答信息可以到达B端，建立连接，对于有严格合法性、“同源性”检查的H.323系统而言。视音频数据可以从B发送到A。但A的视音频信号难以到达B，这种现象在具体的视频通信网络建设过程中会经常看到。

为有效解决在有安全机制的网络环境中的视频应用，网络设备商已做了大量工作，相继推出了一些支持H.323，SIP的防火墙产品，而视频通信厂商则对标准H.323／SIP产品和系统体系加以扩充，推出了可以在NAY／防火墙环境中使用的视频产品。

下面就几种目前常见的解决方案进行简单介绍：

(1)开放网络／VPN

这种方法是直接将视频设备放置在DMZ区或直接放置在外网，这种办法不需要对现有网络进行大的改造，但这是以基本丧失对视频产品进行网络安全保护为代价的，同时由于和内网之间原有的“隔绝”没有消除。难以实现到桌面的视频应用。这种办法比较适合在全网有较好的安全保障的专网使用。或在VPN内部使用。

(2)选用支持NAT的视频产品

由于H.323产品在呼叫信息的有效数据包中包含了本地的地址信息，在经过NAT转换后，被邀请端设备难以给予有效应答，因而部分H.323产品通过在呼叫过程中，将有效的NAT映射地址取代本地私有地址来完成呼叫应答，解决了地址解析问题。如VTEL公司的VISTA系列产品，不但可以支持NAT的地址解析，还可以指定NAT端口，便于网络设置。这种方案对单一NAT机制比较有效，如ADSL等PPPOE网络环境下，可以不附加其他网络或H.323设备，就可以解决问题。

(3)代理服务器

H.323代理服务器是为解决防火墙／NAT环境下，实现H.323通信的一种“非标准”H.323设备。在标准的H.323系统中没有它的严格意义的定位。和Internet代理服务器一样，它同样被置于网络的DMZ区，在实际呼叫过程中所有的内外网的呼叫都通过它来“中继”。即代理服务器将一个呼叫转换成为由它发起的两个呼叫来完成，从而绕过了防火墙的限制。

使用代理服务器不需要防火墙／NAT设备以及H323设备的特殊支持，实现比较容易，但由于代理服务器本身能力的限制。对呼叫数量以及数据交互量的规模都有一定的影响，同时，使用H.323代理服务器对视频网络建设成本的影响，也是需要根据实际情况考虑的一个问题。如当本地只有一台视频终端时，使用代理服务器不是一个经济的解决方案。

相对于H.323代理服务器，SIP的灵活性使得SIP代理服务器解决方案更为简单灵活，通过位于公网的一个代理，注册服务器，可以较为简单和便宜地解决这个问题。目前Microsoft的MSN就是一个比较好的应用实例。

(4)使用应用层网关(ALG)

应用层网关也就是具有协议分析功能的防火墙产品，通过这些防火墙在判断数据是否可以通过时，不是简单地对IP数据包的包头进行分析，而是要对数据包中的具体数据进行相应的协议分析，并对视音频通信过程中所需求的数据通道进行动态打开，关闭，以保证视音频通信的正常进行。

现在许多网络设备商推出了采用ALG支持H.323和SIP的产品，可以在新建视音频网络时或进行网络改造时考虑。

(5)视频网关

为在标准H.323框架下解决防火墙／NAT对视频通信的影响，出现了一种“变形”的MCU。该产品一般由两个独立的网络接口分别和内网、外网连接，位于内外网的H.323设备分别和对应的端口进行连接，而视音频数据的交换则通过MCU本身来实现。采用该类产品在构造视音频通信网时。不需对网络结构进行改造，实现方法比较直接、简单。如VTEL公司的Codian MCU是这种产品的一个代表，采用双工作端口模式，不需要对内外网的规模进行预先定义，也不会对MCU总的处理能力有所影响，有较好的实际应用效果。

以上是目前经常使用的解决防火墙／NAT环境下实现视音频通信的方法，这些方法之间不是相互独立的。在一个实际的应用中可根据各个通信点的网络状态、使用情况以及建设成本等多方面因素进行综合考虑。

三、结束语

防火墙／NAT是视音频通信网络建设使用中必须面对的一个问题。相对于H.323而言，SIP的解决方案更加灵活，随着H.323和SIP之间可能的融合，我们也许会在不远的将来看到更加灵活和经济的解决方案。