多業(yè)務寬帶ip網(wǎng)絡的防火技術(shù)

多業(yè)務寬帶ip網(wǎng)絡的防火技術(shù)

中國鐵通宣布的“全球感知”業(yè)務為用戶提供了一種集視頻、頻率、數(shù)據(jù)為一體的點對點或兩點交互的多媒體通信的方式。僅通過連接到hdd軟件而不是任何時候都可以隨時隨地與他人交流視頻、聲音和數(shù)據(jù)。這個會議視訊系統(tǒng),采用ITU(國際電信聯(lián)盟)為分組交換網(wǎng)絡設計的H.323多媒體會議標準,使用TCP/IP、RTP/RTCP以及RSVP等協(xié)議來支持視頻、音頻、數(shù)據(jù)在分組網(wǎng)絡中的實時編碼和傳輸。考慮網(wǎng)絡的安全,多數(shù)企業(yè)和單位都配置了防火墻。但H.323很難通過防火墻,原因在于H.323協(xié)議采用動態(tài)分配端口,產(chǎn)生和維護多個UDP數(shù)據(jù)流。同時,由于互聯(lián)網(wǎng)快速膨脹,IPv4地址資源將被耗盡,于是人們采用了一項幫助IPv4減少地址損耗的NAT(網(wǎng)絡地址轉(zhuǎn)換)技術(shù)。然而位于NAT后面的視訊設備僅具有私有IP地址,這些地址在公網(wǎng)上是不可路由的。這樣一來,多媒體通信中防火墻和NAT問題嚴重地制約了會議視訊系統(tǒng)的應用。解決這個問題也就成為多業(yè)務寬帶IP網(wǎng)絡至關重要的事情。1網(wǎng)絡防火墻和nat操作原理1.1包過濾設備的要求為了保證內(nèi)部網(wǎng)絡的安全性,絕大多數(shù)企事業(yè)單位都安裝了防火墻,使內(nèi)部局域網(wǎng)和外部公共互聯(lián)網(wǎng)之間設置一個訪問點,允許內(nèi)部職員訪問互聯(lián)網(wǎng),同時封堵所有非法用戶,保護內(nèi)部網(wǎng)絡資源免受外部的惡意破壞。防火墻可以是一個單獨的硬件設備,也可以是共同工作的幾臺設備,包括支持訪問控制列表ACL的包過濾路由器、應用級網(wǎng)關和電路級網(wǎng)關等。防火墻負責檢查每一個數(shù)據(jù)包的包頭,決定其是否匹配包過濾規(guī)則?；谶@些規(guī)則,防火墻決定允許還是拒絕收到的每一個數(shù)據(jù)包,并提供以下幾種服務。1.拒絕或者接收來自某特定地址和端口,或者發(fā)向某特定目的地址和端口的數(shù)據(jù)包。2.可以基于傳輸方向過濾傳輸流。防火墻可以允許輸出流從某些端口輸出,而輸入流從另一條路徑流入。3.特定應用程序造成的網(wǎng)絡流量可以被封堵或者開放。防火墻可以開放或者封堵每個應用程序使用的那些眾所周知的端口。比如,文件傳輸協(xié)議(FTP)一般使用端口21,可以通過關閉21端口來關閉所有的FTP傳輸流;同樣要想提供Web訪問功能,防火墻必須開放80端口,使用超文本傳輸協(xié)議(HTTP)。4.防火墻可以封堵某個特定的網(wǎng)絡層協(xié)議,例如用戶數(shù)據(jù)報協(xié)議(UDP)或者網(wǎng)間控制報文協(xié)議(ICMP)。1.2ipv7網(wǎng)絡地址轉(zhuǎn)換網(wǎng)絡地址轉(zhuǎn)換(NAT)是用于將一個地址域(如專用Intranet)映射到另一個地址域(如Internet)的標準方法。NAT允許一個機構(gòu)專用Intranet中的主機透明地連接到公共域中的主機,無需內(nèi)部主機擁有注冊的Internet地址。這樣既能防止將內(nèi)部主機地址暴露給外部網(wǎng)絡,又能解決目前IPv4地址匱乏的問題。網(wǎng)絡地址轉(zhuǎn)換的過程由路由器通過指定的NAT軟件或硬件進行實施。一臺啟用了NAT功能的設備通常被稱作NAT邏輯單元,它可以是路由器、UNIX系統(tǒng)、Windows主機或任何其他系統(tǒng)。通常情況下,一臺啟用了NAT功能的設備在一個存根域(一個與外界有單一連接的網(wǎng)絡)邊緣上運行。從外網(wǎng)來的含公網(wǎng)地址信息的數(shù)據(jù)包先到達NAT,NAT使用預設好的規(guī)則(其組元包含源地址、源端口、目的地址、目的端口、協(xié)議)來修改數(shù)據(jù)包,然后再轉(zhuǎn)發(fā)給內(nèi)網(wǎng)接收點。同樣,對于流出內(nèi)網(wǎng)的數(shù)據(jù)包也須經(jīng)過轉(zhuǎn)換處理,NAT進程首先檢查內(nèi)部有效的IP包頭,如果是合適的,就用全局惟一的IP地址(合法的IP地址)替換局部有效的IP地址(私有的IP地址)。2語音和視頻通信視頻通信協(xié)議(H.323)要求終端之間彼此使用IP地址和端口建立數(shù)據(jù)通道,但防火墻通常被設置成限制未經(jīng)請求的外部數(shù)據(jù)包進入,所以防火墻內(nèi)部的終端不能接收外部的呼叫。即使防火墻打開一個端口來接收呼叫建立數(shù)據(jù)包,但IP語音和視頻通信協(xié)議還要求打開許多別的端口接收呼叫控制信息來建立語音和視頻通道,這些端口號事先并不知道,是動態(tài)分配的,這就意味著網(wǎng)絡管理員為了允許語音和視頻通信,不得不打開防火墻上所有的端口,防火墻也就失去了存在的意義。為了保證內(nèi)部網(wǎng)絡的安全,很少有企業(yè)會讓他們的防火墻如此開放。一般企事業(yè)單位為便于管理和應用,都建設了使用私有IP地址的局域網(wǎng)(LAN),當需要訪問外網(wǎng)時,必須進行網(wǎng)絡地址轉(zhuǎn)換(NAT)。局域網(wǎng)內(nèi)的終端之間進行呼叫和通信時沒有任何問題,但與外網(wǎng)終端進行語音和視頻通信時就會有問題產(chǎn)生,原因是局域網(wǎng)中的IP地址是私有的,在Internet中不可路由。這樣,NAT的使用會帶來如下問題:①NAT后面的終端不能收到外網(wǎng)終端主動發(fā)起的呼叫;②即使NAT后面的終端呼叫外網(wǎng)終端顯示建立連接,也不能收到外網(wǎng)終端發(fā)送回來的語音和視頻數(shù)據(jù)包。3嘴唇下的傳輸/轉(zhuǎn)發(fā)為了解決視頻通信協(xié)議不能穿越防火墻和NAT的問題,人們提出一些解決的辦法,比如:使用PSTN網(wǎng)關、應用層網(wǎng)關、SIP或H.323代理、在DMZ(DemilitarizedZone非軍事區(qū))區(qū)域放置MCU、隧道穿透技術(shù)。在保證網(wǎng)絡安全、又不改變已有設備和網(wǎng)絡環(huán)境的情況下,采用隧道穿透技術(shù)是一個比較理想的解決方法。隧道穿透解決方案由2個組件構(gòu)成:Server和Client軟件。Client放在防火墻/NAT內(nèi)的私網(wǎng)中,具有網(wǎng)守和代理的功能。私網(wǎng)內(nèi)的H.323終端首先注冊到Client上,與防火墻/NAT外的Server創(chuàng)建一個信令和控制通道,把所有的注冊和呼叫控制信令轉(zhuǎn)發(fā)到Server,也把音視頻數(shù)據(jù)轉(zhuǎn)發(fā)到Server。在轉(zhuǎn)發(fā)時,Client把內(nèi)部終端發(fā)往外部的和外部發(fā)往內(nèi)部終端的數(shù)據(jù)包的地址和端口號替換為自己的地址和端口號。Server放置在防火墻/NAT的外部,可以位于企業(yè)網(wǎng)絡的DMZ區(qū)域或公網(wǎng)上。Server擔任著網(wǎng)守(Gatekeeper)代理的角色,從Client收到的所有注冊和呼叫信令都被Server轉(zhuǎn)發(fā)到公網(wǎng)網(wǎng)守。Server和Client之間主要通過2個固定的端口來傳輸數(shù)據(jù)。當私網(wǎng)內(nèi)Client啟動時:它與Server上的一個固定端口建立一個固定連接,用來傳送控制和狀態(tài)信息;它監(jiān)聽私網(wǎng)內(nèi)H.323網(wǎng)守注冊和請求信息。當一個終端啟動時:終端通過Client/Server之間的連接發(fā)送注冊信息到公網(wǎng)網(wǎng)守;Server分配給每一個注冊的終端1個惟一的端口號(對應Server的IP地址)。當一個私網(wǎng)內(nèi)終端呼叫防火墻/NAT外的另一個終端時,所有的數(shù)據(jù)包都通過Client路由到Server,返回的數(shù)據(jù)也從Server通過Client路由回到私網(wǎng)內(nèi)終端。當呼叫建立后,Client確保所有經(jīng)過防火墻/NAT的音視頻通道保持開放,這樣音視頻數(shù)據(jù)就可以通過這些開放的通道進行傳輸。圖1描述了穿透防火墻/NAT的解決方法。這個方法最大的缺點是所有經(jīng)過防火墻/NAT的通信都必須經(jīng)由Server來轉(zhuǎn)發(fā),這會引起潛在的網(wǎng)絡瓶頸,而且經(jīng)由Client和Server的過程會增加一些延遲。但由于Server是防火墻惟一信任的設備,因此這個過程又是必需的。4私網(wǎng)