让通讯更安全视频通信防火墙下应用.docVIP

让通讯更安全视频通信防火墙下应用 　　一、综述 　　 　　随着IP网络建设的大发展。现在基于IP网络环境下的视频通信应用越来越普遍，不但一部分政府部门、大型企业采用基于IP的网络传输环境构筑专用的视频通信网，商业、企业更加倾向于将他们的视频通信系统构建在基于IP的传输环境中，以降低建设成本，特别是使用成本。 　　目前符合国际标准的视频通信应用模式。主要为遵循ITU组织H.323标准的系统。以及遵循ITEF组织SIP的系统。 　　经过几年的实际应用考验和不断改进。基于H.323的应用模式的应用体系非常成熟。相关产品在稳定性，连接的安全、可靠性等方面可以完全满足市场，特别是专业视频，多媒体会议的要求。由于H.323标准体系非常完备和严格。从而确保了基于H.323的众多产品所具有的良好互通互联性，这一点为H.323协议的大范围推广奠定了技术基础。基于SIP的视频应用是随着NGN的需求而日益得到市场的重视，特别是在3G背景环境下，越来越多的厂商相继推出了基于SIP的视频通信产品，以满足个人用户、移动用户对视频通信的需求。SIP提出的目的是在基于Internet环境中，实现多媒体通信的应用。它和HTTP、SMTP等ITEF的协议一样。是一种基于“文本”的通信协议。结构简单，便于扩充、扩展是SIP与H.323体系的明显区别。 　　 　　二、视频通信在防火墙环境下的应用 　　 　　和所有的网络应用一样，无论基于H.323标准还是基于SIP的，视频通信系统都不可避免地受到所依托网络环境的限制。这一点不但影响到视频产品选型、系统结构方案，同时对网络环境本身是否需要进一步改造都有着比较大的影响。在所有影响因素中，除了网络环境传输条件本身外，如何有效解决“防火墙”对视频系统的影响是所有用户、建设方以及视频厂商乃至网络厂商所不得不面对的一个“难题”。 　　从协议中对握手的定义来看，无论是H.323还是SIP。这个过程和保证网络安全的“防火墙”、NAT等机制是一对矛盾体。 　　对于目前经常使用的“防火墙”而言，为保证墙内内部网络的安全性，其工作机制一般是屏蔽掉外部数据对受保护网络中计算机的数据访问。而只开放少许的指定地址和通信端口，以保证Internet服务器等设备正常工作。 　　NAT则通过地址转换，一方面保护了内部网络中各计算机以免被外部恶意数据的直接破坏；另一方面也可以保证内部局域网络对有限公网地址的有效利用。 　　就目前企事业单位、国家机关的现有网络状况来看。标准的网络安全防护措施一般是“防火墙”和NAT同时使用，而且在所保护网络中开辟出一个DMZ区域供Internet和E-mail等服务器使用，而将所有办公计算机放置于受保护的内网，位于外网的数据只能到达位于DMZ区域的设备，而不能直接访问位于内网的设备，它们之间的数据传输则是通过位于DMZ区的各种服务器来实现。这样位于外网的视频设备A是不能直接和位于内网的设备B直接进行通信的。对于一般的数据应用而言。在这种网络结构下，位于内网的计算机可以访问外网的设备。但和常规的网络应用不同，基于H.323或SIP的视音频通信设备通信时，在握手的同时，发出呼叫申请的一端将自己本身的地址包括在有效的数据包中，设备B向A发出一个呼叫申请，A要根据数据包中的有效地址发出应答信息，而这个有效地址是一个内网的“私有”地址，该应答会被“防火墙”有效屏蔽。由于在指定的时间周期不能得到A端的应答信息。在B端会显示呼叫被拒绝。即使通过开放端口的手段后，A端的应答信息可以到达B端，建立连接，对于有严格合法性、“同源性”检查的H.323系统而言。视音频数据可以从B发送到A。但A的视音频信号难以到达B，这种现象在具体的视频通信网络建设过程中会经常看到。 　　为有效解决在有安全机制的网络环境中的视频应用，网络设备商已做了大量工作，相继推出了一些支持H.323，SIP的防火墙产品，而视频通信厂商则对标准H.323／SIP产品和系统体系加以扩充，推出了可以在NAY／防火墙环境中使用的视频产品。 　　下面就几种目前常见的解决方案进行简单介绍： 　　(1)开放网络／VPN 　　这种方法是直接将视频设备放置在DMZ区或直接放置在外网，这种办法不需要对现有网络进行大的改造，但这是以基本丧失对视频产品进行网络安全保护为代价的，同时由于和内网之间原有的“隔绝”没有消除。难以实现到桌面的视频应用。这种办法比较适合在全网有较好的安全保障的专网使用。或在VPN内部使用。 　　(2)选用支持NAT的视频产品 　　由于H.323产品在呼叫信息的有效数据包中包含了本地的地址信息，在经过NAT转换后，被邀请端设备难以给予有效应答，因而部分H.323产品通过在呼叫过程中，将有效的NAT映射地址取代本地私有地址来完成呼叫应答，