腾讯数码数码 > 滚动新闻 > 正文

视频会议如何穿越防火墙

2012年06月15日11:35中关村在线
字号:T|T

  近年来,电子邮件、文本对话和即时信息等技术使得人们的联系方式和信息交换发生了巨大的变化。同时,随着Internet进一步发展,人们也在寻找更加丰富、更多交互的方式进行通信和协作。伴随着近年IP网宽带业务的蓬勃发展,基于分组的多媒体通信系统标准H.323广泛运用于视频会议和IP电话中,但同时一些网络冲突也突显出来。比如当前一些网络实体限制这样端到端的分组(包)通过,这些实体指的就是防火墙和网络地址转换器。

  H.323简介

  现在常用的网络会议软件和网络电话软件采用的是国际电信联盟(ITU-T)制定的H.323协议族,其中包括H.225,H.245,Q.931等,另外还有IETF制定的SIP(会话启动协议)。SIP协议采用与http类似的文本命令形式,而且协议比较简单,是未来网络电话和即时通讯的方向。但由于H.323出现较早,已经有很多商业应用,比如微软的NetMeeting采用的就是比较成熟的H.323,另外中国的电信企业实施IP电话时也倾向于采用H.323协议。所以H.323还将会在长时间内和SIP同时存在。

  H.323标准定义了一个在基于分组的网络上进行灵活的、实时的、可交互的多媒体通信协议集。个人计算机能在包交换网络(网际网和内部网)和电路交换网络上传输音频,视频和数据。

  H.323网络包括终端,网关,网守(Gatekeeper)和多点控制单元(MCU)。

  网守在局域网上监视所有在其区域内的H.323呼叫,它提供两个主要的服务:呼叫准入和地址解析。所有在此区内的H.323客户端必须在网守的协助下开始一个呼叫。另外,网守还可以根据当前可用带宽决定是否允许客户呼叫。

  网关提供在异种网络之间操作的能力,例如在包交换网络和电话网之间,就需要有一个网关进行协议和数据的转换。

  MCU(多点控制单元)提供多方的多媒体会议能力。它协调所有参与者的媒体通信能力,为端点提供音频混合和视频选择(端点本身不能完成这个工作)。

  下面我们以点到点的H.323通信为例说明其通信过程。在此例中,我们用A和B作为H.323通信的两个端点。A在防火墙的外侧,B在防火墙的内侧。

  首先,A向B的H.323知名端口1720建立了一条连接。

视频会议如何穿越防火墙


  然后,B和A在此连接上发送Q.931包。,在这些交换的数据包中,B和A发送动态的端口用于建立H.245连接(即上图CONNECT数据包中的H.245Address)。

  随后,呼叫者根据在Q.931流中协商的临时端口建立H.245连接。H.245处理所有的呼叫参数协商,例如所要用的编码解码算法等。一旦这些参数协商完毕,H.245会话开始执行OpenLogicalChannel,这个过程为特定的媒体流(如音频或视频)发送传输者和发送者的RTP和RTCP地址和端口(即上图OpenLogicalChannel和OpenLogicalChannelAck中的RTP及RTCPAddress)。然后,这些媒体流就可以在两个端点之间进行传输,直到会话结束。

  H.323通过防火墙和NAT的难点

  大量应用动态端口

  通过防火墙可以限定进出网络的数据包类型和流量(这种限定可以基于源IP地址、目的IP地址或端口号等包过滤规则)。而基于IP的语音和视频通讯的H.323协议,要求终端之间使用IP地址和数据端口来建立数据通信通道。因此存在一个两难境地:为了建立数据连接终端,必须随时侦听外来的呼叫,而防火墙却通常被配置来阻止任何不请自到的数据包通过。即使网络管理者打开防火墙上的一个端口来接收呼叫建立数据包,例如1720端口,但IP语音和视频通讯协议还要求打开许多别的端口接收呼叫控制信息来建立语音和视频通道。这些端口号事先并不知道,是动态分配的,这也就是说,网络管理者为了允许语音和视频通讯,将不得不打开防火墙上所有的端口,防火墙也就失去了存在的意义。由于网络安全的原因,很少企业会让他们的网络防火墙如此开放。

  防火墙的网络地址转换

  同时,由于Internet快速膨胀,IPv4地址空间处于严重耗尽的境况。为解决这个问题,人们设计出了网址转换器(NAT)。网络地址转换分为传统的网络地址转换和网络地址端口转换。目前,很多的网络地址转换都是通过防火墙来实现的。然而NAT后的IP语音和视频设备仅有私有IP地址,这些地址在公众网上是不可路由的。

  传统的网络地址转换机制允许一个组织在内部通信时使用一定范围内的私有地址,当与外部通信时使用一个小的公共IP地址池。

  另一种网络地址转换是网络地址和端口转换。这种转换形式有一个内部地址,一个或多个外部地址,然后用端口号进行区分。

  NAT是置于两网间的边界,其功能是将外网可见的IP地址与内网所用的地址相映射,这样,每一受保护的内网可重用特定范围的IP地址(192.168.x.x),而这些地址是不用于公网的。从外网来的含公网地址信息的数据包先到达NAT,NAT使用预设好的规则(其组元包含源地址、源端口、目的地址、目的端口、协议)来修改数据包,然后再转发给内网接受点。对于流出内网的数据包也须经过这样的转换处理。

  从安全性上来看,NAT提供了对外隐藏内网拓扑的一个手段,但也给H.323应用带来巨大的麻烦。协议消息包一般不是放置在IP包头,而是在特定区段中内嵌IP地址和端口号。这样,如果使用NAT,协议里的IP和端口号不能指向正确的地方,从而导致通信不能正常进行。

  ASN.1编码

  H.323的大部分控制信息用ASN.1进行编码,这是一种非常复杂的编码模式,相同版本的相同应用在连接相同的目的时,会使用不同的选项,从而使相同成员在数据流中的偏移量不同。为了提取其中的有用信息(如内嵌的IP地址和端口号),需要对用ASN.1编码过的数据包进行仔细的解码。

  对ASN.1编码的数据包进行解码

  如前面所述,H.323的大部分控制信息,包括通信所使用的IP地址和端口号,都是用ASN.1进行编码。因此,为了得到这些有用的信息,NetEye防火墙(东软NetEye信息安全产品)针对ASN.1编码后的数据进行了详细的解码。

  将网络地址转换应用到控制信息中

  解码H.323控制信息后,获得通信所使用的内部私有IP地址和端口,根据NetEye防火墙上当前应用的网络地址转换规则,将H.323控制信息中的IP地址修改为转换后的公网地址。这样当被呼叫的终端收到呼叫建立(CallSetup)数据包后,会从该数据包控制信息中获取呼叫端的IP地址,发现这个IP地址为一个公网IP地址,开始发送音频和视频数据到这个IP地址,从而在NAT下实现正常的网络视频通信。

  自动打开动态分配的端口

  由于NetEye防火墙能够解码经过ASN.1编码的H.323协议的数据包,并进行详细的分析,从而可以检测H.323协议通信过程中动态分配的一些端口。这样做的结果是,在防火墙的规则中,只须打开几个H.323的知名的端口(如1718,1719,1720等),其它通信过程中动态分配的端口在需要时NetEye防火墙会临时打开,在不需要时马上关闭。这样就不用打开所有大于1024的端口,增加了防火墙的安全性,而且也不受防火墙网络地址转换的影响。这也是基于状态检测的流过滤防火墙所具有的先天的优势和特性。

  NetEye防火墙通过对网络视频会议系统的安全防护,很好地解决了日常私网和公网通信面临的连通性、防火墙技术、NAT技术、高度安全等问题,充分发挥了IP通信的诸多优势。

  华为公司提供强大的公私网穿越方案,配合GK和MCU等局端设备,为用户解决公私网困扰(防火墙穿越等问题),提供四大方案!

  一、静态映射,华为设备直接支持静态映射,轻松实现防火墙穿越.

  二、提供Eudemon系列NAT设备,支持H323ALG功能,配合华为视频会议系统,私网终端如同公网一样使用。

  三、华为专利技术SNP协议,不需要增添任何外部设备、也不需要再给终端独立分配公网地址,就可以直接实现穿越防火墙或NAT设备,完成公私网之间的业务互通。

  四、提供SE2000系列设备,原有防火墙不需要任何更改,轻松实现公私网穿越。

  部署SE2000设备对已存在的网络拓扑结构没有影响,可以实现两个独立网络之间的视讯业务互通,而不影响其他业务,架设非常方便;外网终端注册SE2000,GK对外网终端不可见,可以提高系统安全性。产品提供各种形式的QoS和安全防护功能,便于组网时选择使用。

  作为华为总经销商的联强国际,一直凭借其在技术、服务、物流、财务等诸多方面的绝对优势,为企业用户提供完善的华为产品和解决方案支持,助力企业用户实现高效可靠的网络环境及智能视频会议应用。

推荐微博

换一换
注册微博
如果你对数码频道有任何意见或建议,请到交流平台反馈。到微博反馈

企业服务

热点推荐

推广信息