多业务宽带ip网络的防火技术

多业务宽带ip网络的防火技术

中国铁通宣布的“全球感知”业务为用户提供了一种集视频、频率、数据为一体的点对点或两点交互的多媒体通信的方式。仅通过连接到hdd软件而不是任何时候都可以随时随地与他人交流视频、声音和数据。这个会议视讯系统,采用ITU(国际电信联盟)为分组交换网络设计的H.323多媒体会议标准,使用TCP/IP、RTP/RTCP以及RSVP等协议来支持视频、音频、数据在分组网络中的实时编码和传输。考虑网络的安全,多数企业和单位都配置了防火墙。但H.323很难通过防火墙,原因在于H.323协议采用动态分配端口,产生和维护多个UDP数据流。同时,由于互联网快速膨胀,IPv4地址资源将被耗尽,于是人们采用了一项帮助IPv4减少地址损耗的NAT(网络地址转换)技术。然而位于NAT后面的视讯设备仅具有私有IP地址,这些地址在公网上是不可路由的。这样一来,多媒体通信中防火墙和NAT问题严重地制约了会议视讯系统的应用。解决这个问题也就成为多业务宽带IP网络至关重要的事情。1网络防火墙和nat操作原理1.1包过滤设备的要求为了保证内部网络的安全性,绝大多数企事业单位都安装了防火墙,使内部局域网和外部公共互联网之间设置一个访问点,允许内部职员访问互联网,同时封堵所有非法用户,保护内部网络资源免受外部的恶意破坏。防火墙可以是一个单独的硬件设备,也可以是共同工作的几台设备,包括支持访问控制列表ACL的包过滤路由器、应用级网关和电路级网关等。防火墙负责检查每一个数据包的包头,决定其是否匹配包过滤规则。基于这些规则,防火墙决定允许还是拒绝收到的每一个数据包,并提供以下几种服务。1.拒绝或者接收来自某特定地址和端口,或者发向某特定目的地址和端口的数据包。2.可以基于传输方向过滤传输流。防火墙可以允许输出流从某些端口输出,而输入流从另一条路径流入。3.特定应用程序造成的网络流量可以被封堵或者开放。防火墙可以开放或者封堵每个应用程序使用的那些众所周知的端口。比如,文件传输协议(FTP)一般使用端口21,可以通过关闭21端口来关闭所有的FTP传输流;同样要想提供Web访问功能,防火墙必须开放80端口,使用超文本传输协议(HTTP)。4.防火墙可以封堵某个特定的网络层协议,例如用户数据报协议(UDP)或者网间控制报文协议(ICMP)。1.2ipv7网络地址转换网络地址转换(NAT)是用于将一个地址域(如专用Intranet)映射到另一个地址域(如Internet)的标准方法。NAT允许一个机构专用Intranet中的主机透明地连接到公共域中的主机,无需内部主机拥有注册的Internet地址。这样既能防止将内部主机地址暴露给外部网络,又能解决目前IPv4地址匮乏的问题。网络地址转换的过程由路由器通过指定的NAT软件或硬件进行实施。一台启用了NAT功能的设备通常被称作NAT逻辑单元,它可以是路由器、UNIX系统、Windows主机或任何其他系统。通常情况下,一台启用了NAT功能的设备在一个存根域(一个与外界有单一连接的网络)边缘上运行。从外网来的含公网地址信息的数据包先到达NAT,NAT使用预设好的规则(其组元包含源地址、源端口、目的地址、目的端口、协议)来修改数据包,然后再转发给内网接收点。同样,对于流出内网的数据包也须经过转换处理,NAT进程首先检查内部有效的IP包头,如果是合适的,就用全局惟一的IP地址(合法的IP地址)替换局部有效的IP地址(私有的IP地址)。2语音和视频通信视频通信协议(H.323)要求终端之间彼此使用IP地址和端口建立数据通道,但防火墙通常被设置成限制未经请求的外部数据包进入,所以防火墙内部的终端不能接收外部的呼叫。即使防火墙打开一个端口来接收呼叫建立数据包,但IP语音和视频通信协议还要求打开许多别的端口接收呼叫控制信息来建立语音和视频通道,这些端口号事先并不知道,是动态分配的,这就意味着网络管理员为了允许语音和视频通信,不得不打开防火墙上所有的端口,防火墙也就失去了存在的意义。为了保证内部网络的安全,很少有企业会让他们的防火墙如此开放。一般企事业单位为便于管理和应用,都建设了使用私有IP地址的局域网(LAN),当需要访问外网时,必须进行网络地址转换(NAT)。局域网内的终端之间进行呼叫和通信时没有任何问题,但与外网终端进行语音和视频通信时就会有问题产生,原因是局域网中的IP地址是私有的,在Internet中不可路由。这样,NAT的使用会带来如下问题:①NAT后面的终端不能收到外网终端主动发起的呼叫;②即使NAT后面的终端呼叫外网终端显示建立连接,也不能收到外网终端发送回来的语音和视频数据包。3嘴唇下的传输/转发为了解决视频通信协议不能穿越防火墙和NAT的问题,人们提出一些解决的办法,比如:使用PSTN网关、应用层网关、SIP或H.323代理、在DMZ(DemilitarizedZone非军事区)区域放置MCU、隧道穿透技术。在保证网络安全、又不改变已有设备和网络环境的情况下,采用隧道穿透技术是一个比较理想的解决方法。隧道穿透解决方案由2个组件构成:Server和Client软件。Client放在防火墙/NAT内的私网中,具有网守和代理的功能。私网内的H.323终端首先注册到Client上,与防火墙/NAT外的Server创建一个信令和控制通道,把所有的注册和呼叫控制信令转发到Server,也把音视频数据转发到Server。在转发时,Client把内部终端发往外部的和外部发往内部终端的数据包的地址和端口号替换为自己的地址和端口号。Server放置在防火墙/NAT的外部,可以位于企业网络的DMZ区域或公网上。Server担任着网守(Gatekeeper)代理的角色,从Client收到的所有注册和呼叫信令都被Server转发到公网网守。Server和Client之间主要通过2个固定的端口来传输数据。当私网内Client启动时:它与Server上的一个固定端口建立一个固定连接,用来传送控制和状态信息;它监听私网内H.323网守注册和请求信息。当一个终端启动时:终端通过Client/Server之间的连接发送注册信息到公网网守;Server分配给每一个注册的终端1个惟一的端口号(对应Server的IP地址)。当一个私网内终端呼叫防火墙/NAT外的另一个终端时,所有的数据包都通过Client路由到Server,返回的数据也从Server通过Client路由回到私网内终端。当呼叫建立后,Client确保所有经过防火墙/NAT的音视频通道保持开放,这样音视频数据就可以通过这些开放的通道进行传输。图1描述了穿透防火墙/NAT的解决方法。这个方法最大的缺点是所有经过防火墙/NAT的通信都必须经由Server来转发,这会引起潜在的网络瓶颈,而且经由Client和Server的过程会增加一些延迟。但由于Server是防火墙惟一信任的设备,因此这个过程又是必需的。4私网