網絡防火墻與通訊信息安全芻議

摘 要：網絡通訊信息安全已經越來越受到企業和相關使用行業的關注，本文從理論和實踐操作層面，對視頻通訊安全的網絡標準體系建設及應用維護，網絡防火墻的設置等方面進行了初步探討，希望對網絡通訊信息安全的建設有所幫助。

關鍵詞：網絡防火墻 通訊信息安全 維護

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1674-098X（2011）12（a）-0000-00

1 視頻通訊安全的網絡標準體系芻議

目前，基于IP的網絡建設得到了迅猛發展，隨之而來的基于IP網絡環境下的視頻通訊信息也越來越受到重視和廣泛運用，除了部分政府部門、大中型企事業單位采用基于IP的網絡傳輸環境建立專門自有的視頻通信網，一些商業、中小企業也加入到了建立符合它們自身需要的基于IP的傳輸環境的視頻通訊信息系統，一方面是為了降低建設成本，特別是使用成本，另一方面也更加人性化，也有利于網絡信息的監管和防護，是我們目前常見的一種方式。

現階段，一般采用的視頻通訊安全網絡通訊應用模式是符合國際標準的通用模式，即以ITU組織制定的H.323為標準體系，以及以ITEF組織制定的SIP的為標準體系。在多年的實際使用和多項考驗和改進后，基于H.323標準的應用模式體系相對來說已經比較成熟，其產品的穩定性，安全性、可靠性等方面已經能夠經受住市場的考驗，符合各行業的需求，特別是一些采用高標準高要求的專業視頻或者實行多媒體會議制度等行業的需要。因為該標準系統已經處于世界領先的地位，其嚴格的標準和使用的完備性已經產生了重要的影響，對此也保證了基于該標準的很多產品能夠具有非常好的互通和互聯性，從這個角度來說該協議的大范圍內的推廣已經有了相當成熟的外部和內部環境。那么基于SIP的視頻通訊安全網絡體系是與NGN的欲求緊密聯系的，主要是在3G網絡環境下，已經受到了越來越多的生產廠商的關注，因此在市場上也相繼出現了很多基于此標準體系的商品，來滿足個別用戶、特別是移動用戶對視頻通訊的要求。SIP從一開始提出的目的主要是利用Internet這一網絡環境，最終達成多媒體網絡通訊的廣泛應用，它和HTTP、SMTP等ITEF的協議是相同的，其核心是是一種基于“文本”的網絡通訊信息協議。其結構簡單，便于擴充、擴展的優勢和特點是H.323系統的重要差別。

2 網絡防火墻設置應用與視頻通訊信息安全的維護

正如我們說知道的，一般的網絡應用都是要受到所依托的網絡運營環境的制約，那么同樣不管是基于H.323標準體系的視頻通訊還是基于SIP的的標準體系。從長期來看，這種情況一方面會影響到視頻產品選型、系統結構方案，另一方面還會對網絡環境自身的更新換代都會產生類似的副作用。縱觀這些影響因素，基于網絡環境傳輸條件本身，怎么樣才能更好地解決“防火墻”對視頻通訊系統的影響是所有視頻通訊用戶、建設單位及視頻生產商甚至網絡廠商必須直面的一個重要問題。比如協議中對“握手”的定義，我們可以發現，H.323和SIP兩種標準體系，保證視頻通訊的過程和網絡安全的“防火墻”、NAT等機制是必然存在的一對無法回避的矛盾。

那么我們所知道的關于常用的 “防火墻”，其安全性能的工作機制主要是利用

屏蔽掉外部數據對受保護網絡通訊網絡中計算機的數據鏈接，僅依靠開放少數指定的地址和通信端口，來確保Internet服務器等工作設備的正常使用。

我們通過調查分析得出，現在各企事業單位、國家機關網絡通信安全情況，均處于平衡飽和狀態，其在保護措施的選擇上一般是 “防火墻”和NAT同時并用，同時在被保護的網絡中單獨設置一個DMZ區域供Internet及E-ma il等服務器共享，對于辦公用的計算機一律放在內網，即受保護的位置，那么內網之外的數據要能被內網接收就需要設置一個轉換設備才能達到，這樣一來假設位于內網的A要與位于外網的B要實現某種信息共享，或者視頻傳輸就存在一定的困難，因此就需要開發一種新型的通訊設備來溝通內外網的互通關系。我們能理解到的常用通訊數據的傳輸在此種網絡結構下，一般進行內外網的互訪是沒有障礙的，但是對于特殊的非常規的網絡應用來說，基于H.323體系或者SIP的視頻音頻通訊設備進行互通數據集我們說的“握手”時，提出交換數據申請的一端在數據傳輸中同時也把自身的IP地址包含在內，而這個IP地址是處于非公開狀態的私人有效地址，這樣一來就會遭到實現設置的網絡防護墻的安全隔離，一旦在指定時間內不能及時作出回應，另一接受數據的端口就視為對方拒絕回應。僅僅靠開放端口進行補救，兩端的信息傳遞，互通數據，對于有嚴格合法性、“同源性”檢查的H.323網絡信息通訊系統來說，視頻音頻數據能從一端傳送到另一端，但對于處于接收端來說，卻很難做出回應，此類現象在實際的視音頻網絡通訊過程是經常出現的狀況。

那么如何既能很好地傳遞相互間的信息，又能保證視頻音頻通訊安全呢？關于這點，網絡設備商和運行商都做了很多有益的探索，成效也是有目共睹的，他們的做法比較一致，即通過更新系統標準或者建立與原系統標準相兼容的防火墻設備，盡量在用戶中推廣新的防火墻替代品或者更多地是給予原有產品更多豐富的功能。

3 本文作者從如下幾個方面的相關措施進行了探討

3.1 采取網絡VPN開放設置

該方法一般來說是采取視頻音頻設備自身升級換代為主要手段，基本不觸動使用網絡的基礎設備的改造，十分有利于成本降低，主要是直接將視頻設備放置在DMZ區或直接放置在外網，然而這種方法這要對基本喪失對視頻產品進行網絡安全保護為重要代價，另外和內網之間本來的“絕緣”沒有取消，就很難在桌面實現對音頻視頻的應用。所以這種辦法比較適合在全網有較好的安全保障的專網使用，或在VPN內部使用。

3.2 選用支持NAT的視頻產品

由于H.323產品在呼叫信息的有效數據包中包含了本地的地址信息，在經過NAT轉換后，被邀請端設備難以給予有效應答，因而部分H.323產品通過在呼叫過程中，將有效的NAT映射地址取代本地私有地址來完成呼叫應答，解決了地址解析問題。如VTEL公司的VISTA系列產品，不但可以支持NAT的地址解析，還可以指定NAT端口，便于網絡設置。這種方案對單一NAT機制比較有效，如ADSL等PPPOE網絡環境下，可以不附加其他網絡或H.323設備，就可以解決問題。

3.3 代理服務器

H.323代理服務器是為解決防火墻/NAT環境下，實現H.323通信的一種“非標準”H.323設備，在標準的H.323系統中沒有它的嚴格意義的定位。和Internet代理服務器一樣，它同樣被置于網絡的DMZ區，在實際呼叫過程中所有的內外網的呼叫都通過它來“中繼”，即代理服務器將一個呼叫轉換成為由它發起的兩個呼叫來完成，從而繞過了防火墻的限制。

使用代理服務器不需要防火墻/NAT設備以及H.323設備的特殊支持，實現比較容易，但由于代理服務器本身能力的限制，對呼叫數量以及數據交互量的規模都有一定的影響，同時，使用H.323代理服務器對視頻網絡建設成本的影響，也是需要根據實際情況考慮的一個問題。如當本地只有一臺視頻終端時，使用代理服務器不是一個經濟的解決方案。

相對于H.323代理服務器，SIP的靈活性使得SIP代理服務器解決方案更為簡單靈活，通過位于公網的一個代理/注冊服務器，可以較為簡單和便宜地解決這個問題。目前Mic ros oft的MSN就是一個比較好的應用實例。