多媒体通讯中防火墙和NAT问题的解决介绍.doc

多媒体通讯中防火墙和NAT问题的解决 随着近年IP网宽带业务的蓬勃发展，基于分组的多媒体通信系统标准H.323广泛运用于视频会议和IP电话中。VoIP业务的应用也带来一个值得关注的问题：绝大部分企业部门从网络安全考虑配置了专用防火墙，但H.323很难通过传统专用防火墙。原因在于，复杂的H.323协议动态分配端口并产生和维护多个UDP数据流。 同时由于Internet快速膨胀，IPv4地址空间处于严重耗尽的境况。为解决这个问题，人们设计出了网址转换器(NAT)。然而NAT后的IP语音和视频设备仅有私有IP地址，这些地址在公众网上是不可路由的。 这样一来，多媒体通讯中的防火墙和NAT问题严重地制约了IP电话和视频会议的应用。解决这个问题也就成为多业务宽带IP网络至关重要的事情。 在这里，我们先简要回顾一下防火墙和NAT设备是如何保护网络安全的和为什么实时多媒体通讯协议是对安全问题的一个挑战。 一．网络防火墙和ＮＡＴ如何工作 防火墙 为了网络的安全性，公司一般都安装防火墙，它是一个放于私有网的设备，用来保护网络资源免受外部的恶意破坏。 防火墙检查从外部进来的每个数据包的IP地址和目的端口号，它经常如此设置：假如防火墙内的一台计算机A向防火墙外的一台计算机B主动发出请求要数据，防火墙会让外部计算机B的数据包通过，而且当且仅当数据包的目的地址和端口号与防火墙内发起请求的计算机A的地址和端口号相同；假如计算机B发来的数据包仅仅目的地址是防火墙内发起请求的计算机A的地址，而端口号不是计算机A发出请求的那个端口号，防火墙也将会丢弃那个外来的数据包。 防火墙总是被配置过滤掉所有不请自到的网络通信，有一个例外是在防火墙内提供Web Server供外部访问。在这种情况下，公司会配置防火墙答应目的地址是Web Server的IP地址且目的端口号为80的数据包通过，这就使得公司外部可以主动向公司的Web Server发起请求得到一些公司放在Server上的数据。 NAT 网络地址转换（NAT）是一个Internet标准，置于两网间的边界，其功能是将外网可见的IP地址与内网所用的地址相映射，这样，每一受保护的内网可重用特定范围的IP地址(例如192.168.x.x)，而这些地址是不用于公网的。从外网来的含公网地址信息的数据包先到达NAT，NAT使用预设好的规则(其组元包含源地址、源端口、目的地址、目的端口、协议)来修改数据包，然后再转发给内网接受点。对于流出内网的数据包也须经过这样的转换处理。NAT服务有两个主要目的： 1．许多公司使用NAT用作一个网络安全设备，因为它隐藏了内部IP地址，假如黑客不知道特定计算机的IP地址，想要攻击那台计算机是更困难的。 2．NAT让一个公司可以使用更多的内部IP地址，因为这些地址仅仅在内部使用，不可能与被别的公司和组织的IP地址产生冲突。 二．防火墙和NAT阻碍IP语音和视频通讯 基于IP的语音和视频通讯协议，象H.323，要求终端之间使用IP地址和数据端口来建立数据通信通道。因此存在一个两难境地：为了建立数据连接终端必须随时侦听外来的呼叫，而防火墙却通常被配置来阻止任何不请自到的数据包通过。 即使网络治理者打开防火墙上的一个端口来接收呼叫建立数据包，例如1720端口，但IP语音和视频通讯协议还要求打开许多别的端口接收呼叫控制信息来建立语音和视频通道，这些端口号事先并不知道，是动态分配的，这也就是说网络治理者为了答应语音和视频通讯将不得不打开防火墙上所有的端口，防火墙也就失去了存在的意义。由于网络安全的原因，很少企业会让他们的网络防火墙如此开放。 在IP语音和视频通讯中NAT问题也是常见的问题。一个NAT设备答应一个公司为局域网上设备分配私有的IP地址。不幸的是控制Internet上信息流向的路由设备仅仅能把数据送到具有可路由IP地址（公众IP地址）的设备。 NAT后的终端可以向位于相同局域网上的任何别的终端发起呼叫，因为在局域网内的这些IP地址是可路由的，然而他们的IP地址是私有的，对局域网外来说是不可路由的，因此NAT后的终端不能接收局域网外终端的呼叫。 即使NAT内的终端可以向NAT外的终端发起呼叫，这仍然存在问题。当进行呼叫时，发起呼叫的终端A的IP地址会包含在数据包负载中，根据H.323协议被呼叫的终端B收到呼叫建立(call setup)数据包后，会从该数据包负载中获取终端A的IP地址，并开始发送音频和视频数据到这个IP地址的终端A。假如这个IP地址是私有的，Internet路由器将丢弃从外部终端发送往内部终端的音频和视频数据包，因为这些数据包正被送往一个不可路由的IP地址。这个呼叫将显示已经连接上，但NAT后的终端A将永远不会收到外部终端B的音频和视频。 三．穿越防火