多業(yè)務(wù)寬帶ip網(wǎng)絡(luò)的防火技術(shù)

多業(yè)務(wù)寬帶ip網(wǎng)絡(luò)的防火技術(shù)

中國鐵通宣布的“全球感知”業(yè)務(wù)為用戶提供了一種集視頻、頻率、數(shù)據(jù)為一體的點(diǎn)對(duì)點(diǎn)或兩點(diǎn)交互的多媒體通信的方式。僅通過連接到hdd軟件而不是任何時(shí)候都可以隨時(shí)隨地與他人交流視頻、聲音和數(shù)據(jù)。這個(gè)會(huì)議視訊系統(tǒng),采用ITU(國際電信聯(lián)盟)為分組交換網(wǎng)絡(luò)設(shè)計(jì)的H.323多媒體會(huì)議標(biāo)準(zhǔn),使用TCP/IP、RTP/RTCP以及RSVP等協(xié)議來支持視頻、音頻、數(shù)據(jù)在分組網(wǎng)絡(luò)中的實(shí)時(shí)編碼和傳輸?？紤]網(wǎng)絡(luò)的安全,多數(shù)企業(yè)和單位都配置了防火墻。但H.323很難通過防火墻,原因在于H.323協(xié)議采用動(dòng)態(tài)分配端口,產(chǎn)生和維護(hù)多個(gè)UDP數(shù)據(jù)流。同時(shí),由于互聯(lián)網(wǎng)快速膨脹,IPv4地址資源將被耗盡,于是人們采用了一項(xiàng)幫助IPv4減少地址損耗的NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換)技術(shù)。然而位于NAT后面的視訊設(shè)備僅具有私有IP地址,這些地址在公網(wǎng)上是不可路由的。這樣一來,多媒體通信中防火墻和NAT問題嚴(yán)重地制約了會(huì)議視訊系統(tǒng)的應(yīng)用。解決這個(gè)問題也就成為多業(yè)務(wù)寬帶IP網(wǎng)絡(luò)至關(guān)重要的事情。1網(wǎng)絡(luò)防火墻和nat操作原理1.1包過濾設(shè)備的要求為了保證內(nèi)部網(wǎng)絡(luò)的安全性,絕大多數(shù)企事業(yè)單位都安裝了防火墻,使內(nèi)部局域網(wǎng)和外部公共互聯(lián)網(wǎng)之間設(shè)置一個(gè)訪問點(diǎn),允許內(nèi)部職員訪問互聯(lián)網(wǎng),同時(shí)封堵所有非法用戶,保護(hù)內(nèi)部網(wǎng)絡(luò)資源免受外部的惡意破壞。防火墻可以是一個(gè)單獨(dú)的硬件設(shè)備,也可以是共同工作的幾臺(tái)設(shè)備,包括支持訪問控制列表ACL的包過濾路由器、應(yīng)用級(jí)網(wǎng)關(guān)和電路級(jí)網(wǎng)關(guān)等。防火墻負(fù)責(zé)檢查每一個(gè)數(shù)據(jù)包的包頭,決定其是否匹配包過濾規(guī)則?；谶@些規(guī)則,防火墻決定允許還是拒絕收到的每一個(gè)數(shù)據(jù)包,并提供以下幾種服務(wù)。1.拒絕或者接收來自某特定地址和端口,或者發(fā)向某特定目的地址和端口的數(shù)據(jù)包。2.可以基于傳輸方向過濾傳輸流。防火墻可以允許輸出流從某些端口輸出,而輸入流從另一條路徑流入。3.特定應(yīng)用程序造成的網(wǎng)絡(luò)流量可以被封堵或者開放。防火墻可以開放或者封堵每個(gè)應(yīng)用程序使用的那些眾所周知的端口。比如,文件傳輸協(xié)議(FTP)一般使用端口21,可以通過關(guān)閉21端口來關(guān)閉所有的FTP傳輸流;同樣要想提供Web訪問功能,防火墻必須開放80端口,使用超文本傳輸協(xié)議(HTTP)。4.防火墻可以封堵某個(gè)特定的網(wǎng)絡(luò)層協(xié)議,例如用戶數(shù)據(jù)報(bào)協(xié)議(UDP)或者網(wǎng)間控制報(bào)文協(xié)議(ICMP)。1.2ipv7網(wǎng)絡(luò)地址轉(zhuǎn)換網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)是用于將一個(gè)地址域(如專用Intranet)映射到另一個(gè)地址域(如Internet)的標(biāo)準(zhǔn)方法。NAT允許一個(gè)機(jī)構(gòu)專用Intranet中的主機(jī)透明地連接到公共域中的主機(jī),無需內(nèi)部主機(jī)擁有注冊(cè)的Internet地址。這樣既能防止將內(nèi)部主機(jī)地址暴露給外部網(wǎng)絡(luò),又能解決目前IPv4地址匱乏的問題。網(wǎng)絡(luò)地址轉(zhuǎn)換的過程由路由器通過指定的NAT軟件或硬件進(jìn)行實(shí)施。一臺(tái)啟用了NAT功能的設(shè)備通常被稱作NAT邏輯單元,它可以是路由器、UNIX系統(tǒng)、Windows主機(jī)或任何其他系統(tǒng)。通常情況下,一臺(tái)啟用了NAT功能的設(shè)備在一個(gè)存根域(一個(gè)與外界有單一連接的網(wǎng)絡(luò))邊緣上運(yùn)行。從外網(wǎng)來的含公網(wǎng)地址信息的數(shù)據(jù)包先到達(dá)NAT,NAT使用預(yù)設(shè)好的規(guī)則(其組元包含源地址、源端口、目的地址、目的端口、協(xié)議)來修改數(shù)據(jù)包,然后再轉(zhuǎn)發(fā)給內(nèi)網(wǎng)接收點(diǎn)。同樣,對(duì)于流出內(nèi)網(wǎng)的數(shù)據(jù)包也須經(jīng)過轉(zhuǎn)換處理,NAT進(jìn)程首先檢查內(nèi)部有效的IP包頭,如果是合適的,就用全局惟一的IP地址(合法的IP地址)替換局部有效的IP地址(私有的IP地址)。2語音和視頻通信視頻通信協(xié)議(H.323)要求終端之間彼此使用IP地址和端口建立數(shù)據(jù)通道,但防火墻通常被設(shè)置成限制未經(jīng)請(qǐng)求的外部數(shù)據(jù)包進(jìn)入,所以防火墻內(nèi)部的終端不能接收外部的呼叫。即使防火墻打開一個(gè)端口來接收呼叫建立數(shù)據(jù)包,但I(xiàn)P語音和視頻通信協(xié)議還要求打開許多別的端口接收呼叫控制信息來建立語音和視頻通道,這些端口號(hào)事先并不知道,是動(dòng)態(tài)分配的,這就意味著網(wǎng)絡(luò)管理員為了允許語音和視頻通信,不得不打開防火墻上所有的端口,防火墻也就失去了存在的意義。為了保證內(nèi)部網(wǎng)絡(luò)的安全,很少有企業(yè)會(huì)讓他們的防火墻如此開放。一般企事業(yè)單位為便于管理和應(yīng)用,都建設(shè)了使用私有IP地址的局域網(wǎng)(LAN),當(dāng)需要訪問外網(wǎng)時(shí),必須進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)。局域網(wǎng)內(nèi)的終端之間進(jìn)行呼叫和通信時(shí)沒有任何問題,但與外網(wǎng)終端進(jìn)行語音和視頻通信時(shí)就會(huì)有問題產(chǎn)生,原因是局域網(wǎng)中的IP地址是私有的,在Internet中不可路由。這樣,NAT的使用會(huì)帶來如下問題:①NAT后面的終端不能收到外網(wǎng)終端主動(dòng)發(fā)起的呼叫;②即使NAT后面的終端呼叫外網(wǎng)終端顯示建立連接,也不能收到外網(wǎng)終端發(fā)送回來的語音和視頻數(shù)據(jù)包。3嘴唇下的傳輸/轉(zhuǎn)發(fā)為了解決視頻通信協(xié)議不能穿越防火墻和NAT的問題,人們提出一些解決的辦法,比如:使用PSTN網(wǎng)關(guān)、應(yīng)用層網(wǎng)關(guān)、SIP或H.323代理、在DMZ(DemilitarizedZone非軍事區(qū))區(qū)域放置MCU、隧道穿透技術(shù)。在保證網(wǎng)絡(luò)安全、又不改變已有設(shè)備和網(wǎng)絡(luò)環(huán)境的情況下,采用隧道穿透技術(shù)是一個(gè)比較理想的解決方法。隧道穿透解決方案由2個(gè)組件構(gòu)成:Server和Client軟件。Client放在防火墻/NAT內(nèi)的私網(wǎng)中,具有網(wǎng)守和代理的功能。私網(wǎng)內(nèi)的H.323終端首先注冊(cè)到Client上,與防火墻/NAT外的Server創(chuàng)建一個(gè)信令和控制通道,把所有的注冊(cè)和呼叫控制信令轉(zhuǎn)發(fā)到Server,也把音視頻數(shù)據(jù)轉(zhuǎn)發(fā)到Server。在轉(zhuǎn)發(fā)時(shí),Client把內(nèi)部終端發(fā)往外部的和外部發(fā)往內(nèi)部終端的數(shù)據(jù)包的地址和端口號(hào)替換為自己的地址和端口號(hào)。Server放置在防火墻/NAT的外部,可以位于企業(yè)網(wǎng)絡(luò)的DMZ區(qū)域或公網(wǎng)上。Server擔(dān)任著網(wǎng)守(Gatekeeper)代理的角色,從Client收到的所有注冊(cè)和呼叫信令都被Server轉(zhuǎn)發(fā)到公網(wǎng)網(wǎng)守。Server和Client之間主要通過2個(gè)固定的端口來傳輸數(shù)據(jù)。當(dāng)私網(wǎng)內(nèi)Client啟動(dòng)時(shí):它與Server上的一個(gè)固定端口建立一個(gè)固定連接,用來傳送控制和狀態(tài)信息;它監(jiān)聽私網(wǎng)內(nèi)H.323網(wǎng)守注冊(cè)和請(qǐng)求信息。當(dāng)一個(gè)終端啟動(dòng)時(shí):終端通過Client/Server之間的連接發(fā)送注冊(cè)信息到公網(wǎng)網(wǎng)守;Server分配給每一個(gè)注冊(cè)的終端1個(gè)惟一的端口號(hào)(對(duì)應(yīng)Server的IP地址)。當(dāng)一個(gè)私網(wǎng)內(nèi)終端呼叫防火墻/NAT外的另一個(gè)終端時(shí),所有的數(shù)據(jù)包都通過Client路由到Server,返回的數(shù)據(jù)也從Server通過Client路由回到私網(wǎng)內(nèi)終端。當(dāng)呼叫建立后,Client確保所有經(jīng)過防火墻/NAT的音視頻通道保持開放,這樣音視頻數(shù)據(jù)就可以通過這些開放的通道進(jìn)行傳輸。圖1描述了穿透防火墻/NAT的解決方法。這個(gè)方法最大的缺點(diǎn)是所有經(jīng)過防火墻/NAT的通信都必須經(jīng)由Server來轉(zhuǎn)發(fā),這會(huì)引起潛在的網(wǎng)絡(luò)瓶頸,而且經(jīng)由Client和Server的過程會(huì)增加一些延遲。但由于Server是防火墻惟一信任的設(shè)備,因此這個(gè)過程又是必需的。4私網(wǎng)