IMS组网中的NAT防火墙穿越方案 Discussion of Traversing Network Address Translation and Firewall in IMS Network.pdfVIP

2009．5电信王猩蕉莶皇握蕉丝 IM S组网中的NAT／防火墙穿越方案 吴丽华肖子玉 (中国移动通信集团设计院有限公司 北京100080) 摘要 本文针对IMS组网中的NAT(网络地址转换器)／防火墙穿越问题，在对各种防火墙穿越方式进行比较的 方案进行了研究。 IMS SBCSIP 关键词 NAT／防火墙穿越NAT／NAPT 1概述 及状态检测，为了网络安全，防火墙在访f．G歹lJ表配置时， 除打开网内业务需要的知名端口外(如http的80端 由于IPV4地址的紧缺以及网络安全问题，多数口)，其它端口一般都配置为拒绝。而对于基于SIP的 企业用户和用户驻地网内部都采用了私有IP地址通 IMS多媒体通信应用来说，是在控制信令中动态地协 过出II的NAT／NAPT(网络地址端口转换)接入商媒体流端口的，并维护多个UDP数据流实现媒体 公网。当一个内网的主机经过一个NAT和外部进行 流的发送和接受。动态分配的端13为在防火墙上配置 ALG TCP或者UDP连接的期间，NAPT分配一个公网固定的包过滤策略带来了困难，对于不支持SIP IP住址和端13，以便来自外部终端响应的数据包能(应用网关)的防火墙，无法获取这些动态端13信息， 被NAPT接收、解释，并转发给内网的主机。这是导致这些媒体报文无法通过。 由NAPT建立一个(私有IP地址，私有端13)和(公上述问题均会影响企业内部网和外部网之间IMS 网IP地址，公网端13)之间的端13绑定实现的，在业务通信的问题，因此，随着IMS业务的进一步发 展，尤其是在大型企业、行业等集团客户中应用时， 会话期间NAPT将为绑定的端13执行地址翻译。一 般的Intemet应用不受NAT的影响。SIP主要借鉴NAT／防火墙穿越问题便成为首先要解决的问题。 HTTP和SMTP，是一个基于文本的应用层协议，会 话建立的有关IP地址信息在数据包负载中传输的， 2 NAT／防火墙穿越方式比较 而NAT是对TCP／IP层以下进行处理的，无法解析 应用层的SIP协议，也就无法完成正常的SIP会话建 常见的几种NAT／防火墙穿越方式如下。 立过程。 2．1静态NAT 另一方面，为了提高内部网络的安全性，大多数 当在私网中的IMS终端数量很少时，对于私网中 企业在网络出13处设置了防火墙，对通过它们的IP包的每个终端，在防火墙NAT上作静态NAT，将私网 按照相关策略进行过滤，限定进入内部网络数据包的 地址与公网地址作一对一的映射，并针对这些地址配 类型和流量。具体地说，防火墙一般需要进行包过滤 置相应的端口开放策略，允许SIP信令流、媒体流通过。 ．16． 万方数据 电信工程技术与标准化 2009．5 通过静态NAT的地址映射，私网内部的终端可和公网、 其它私网之间的终端进行自由互通。 层被用来提供安全的IP通信，但由于基于VPN技术 该方案存在的问题： 的IPSec层使用它自己的连接标识符而不是UDP或 需要申请大量的公有地址； 对防火墙的配置复杂，不仅需要在防火墙上对所 的机制对NAT尤其是NAPT是不可通过的。为了解 有私网终端的IP地址做静态的一对一的地址映射，还 决NAT穿越问题，最好选择由一个生产商提供的整 需要打开静态映射后的公网IP地址的全部通信端I：1， 合防火墙，NAPT和VPN功能的解决方案。 需要开放指定IP地址的所有动态端口，存在安 该方案存在的问题：虽然VPN方案是