多业务宽带ip网络的防火技术.docxVIP

多业务宽带ip网络的防火技术 中国铁通宣布的“全球感知”业务为用户提供了一种集视频、频率、数据为一体的点对点或两点交互的多媒体通信的方式。仅通过连接到hdd软件而不是任何时候都可以随时随地与他人交流视频、声音和数据。这个会议视讯系统, 采用ITU (国际电信联盟) 为分组交换网络设计的H.323多媒体会议标准, 使用TCP/IP、RTP/RTCP以及RSVP等协议来支持视频、音频、数据在分组网络中的实时编码和传输。 考虑网络的安全, 多数企业和单位都配置了防火墙。但H.323很难通过防火墙, 原因在于H.323协议采用动态分配端口, 产生和维护多个UDP数据流。同时, 由于互联网快速膨胀, IPv4地址资源将被耗尽, 于是人们采用了一项帮助IPv4减少地址损耗的NAT (网络地址转换) 技术。然而位于NAT后面的视讯设备仅具有私有IP地址, 这些地址在公网上是不可路由的。这样一来, 多媒体通信中防火墙和NAT问题严重地制约了会议视讯系统的应用。解决这个问题也就成为多业务宽带IP网络至关重要的事情。 1 网络防火墙和nat操作原理 1.1 包过滤设备的要求 为了保证内部网络的安全性, 绝大多数企事业单位都安装了防火墙, 使内部局域网和外部公共互联网之间设置一个访问点, 允许内部职员访问互联网, 同时封堵所有非法用户, 保护内部网络资源免受外部的恶意破坏。防火墙可以是一个单独的硬件设备, 也可以是共同工作的几台设备, 包括支持访问控制列表ACL的包过滤路由器、应用级网关和电路级网关等。 防火墙负责检查每一个数据包的包头, 决定其是否匹配包过滤规则。基于这些规则, 防火墙决定允许还是拒绝收到的每一个数据包, 并提供以下几种服务。 1.拒绝或者接收来自某特定地址和端口, 或者发向某特定目的地址和端口的数据包。 2.可以基于传输方向过滤传输流。防火墙可以允许输出流从某些端口输出, 而输入流从另一条路径流入。 3.特定应用程序造成的网络流量可以被封堵或者开放。防火墙可以开放或者封堵每个应用程序使用的那些众所周知的端口。比如, 文件传输协议 (FTP) 一般使用端口21, 可以通过关闭21端口来关闭所有的FTP传输流;同样要想提供Web访问功能, 防火墙必须开放80端口, 使用超文本传输协议 (HTTP) 。 4.防火墙可以封堵某个特定的网络层协议, 例如用户数据报协议 (UDP) 或者网间控制报文协议 (ICMP) 。 1.2 ipv7网络地址转换 网络地址转换 (NAT) 是用于将一个地址域 (如专用Intranet) 映射到另一个地址域 (如Internet) 的标准方法。NAT允许一个机构专用Intranet中的主机透明地连接到公共域中的主机, 无需内部主机拥有注册的Internet地址。这样既能防止将内部主机地址暴露给外部网络, 又能解决目前IPv4地址匮乏的问题。 网络地址转换的过程由路由器通过指定的NAT软件或硬件进行实施。一台启用了NAT功能的设备通常被称作NAT逻辑单元, 它可以是路由器、UNIX系统、Windows主机或任何其他系统。通常情况下, 一台启用了NAT功能的设备在一个存根域 (一个与外界有单一连接的网络) 边缘上运行。从外网来的含公网地址信息的数据包先到达NAT, NAT使用预设好的规则 (其组元包含源地址、源端口、目的地址、目的端口、协议) 来修改数据包, 然后再转发给内网接收点。同样, 对于流出内网的数据包也须经过转换处理, NAT进程首先检查内部有效的IP包头, 如果是合适的, 就用全局惟一的IP地址 (合法的IP地址) 替换局部有效的IP地址 (私有的IP地址) 。 2 语音和视频通信 视频通信协议 (H.323) 要求终端之间彼此使用IP 地址和端口建立数据通道, 但防火墙通常被设置成限制未经请求的外部数据包进入, 所以防火墙内部的终端不能接收外部的呼叫。即使防火墙打开一个端口来接收呼叫建立数据包, 但IP语音和视频通信协议还要求打开许多别的端口接收呼叫控制信息来建立语音和视频通道, 这些端口号事先并不知道, 是动态分配的, 这就意味着网络管理员为了允许语音和视频通信, 不得不打开防火墙上所有的端口, 防火墙也就失去了存在的意义。为了保证内部网络的安全, 很少有企业会让他们的防火墙如此开放。 一般企事业单位为便于管理和应用, 都建设了使用私有IP 地址的局域网 (LAN) , 当需要访问外网时, 必须进行网络地址转换 (NAT) 。局域网内的终端之间进行呼叫和通信时没有任何问题, 但与外网终端进行语音和视频通信时就会有问题产生, 原因是局域网中的IP 地址是私有的, 在Internet中不可路由。这样, NAT的使用会带来如下问题:①NAT后面的终端不能收到外网终端主动发起的呼叫;②即使NAT后面