視頻會議部署時，在防火墻上需要開端口

視頻會議部署時，在防火墻上需要開端口網(wǎng)會科技為您供應(yīng)網(wǎng)絡(luò)視頻會議系統(tǒng) ,局域網(wǎng)視頻會議解決方案,遠(yuǎn)程培訓(xùn)系統(tǒng),遠(yuǎn)程教育軟件,歡迎集成商,開發(fā)商,渠道商,企業(yè),學(xué)校,政府,培訓(xùn)機(jī)構(gòu)購買網(wǎng)頁 400-004-0268

近年來，電子郵件、文本對話和即時信息等技術(shù)使得人們的聯(lián)系方式和信息交換發(fā)生了巨大的變化。同時，隨著Internet進(jìn)一步發(fā)展，人們也在尋找更加豐富、更多交互的方式進(jìn)行通信和協(xié)作。伴隨著近年IP網(wǎng)寬帶業(yè)務(wù)的蓬勃發(fā)展，基于分組的多媒體通信系統(tǒng)標(biāo)準(zhǔn)H.323廣泛運(yùn)用于視頻會議和IP電話中，但同時一些網(wǎng)絡(luò)沖突也突顯出來。比如當(dāng)前一些網(wǎng)絡(luò)實(shí)體限制這樣端到端的分組（包）通過，這些實(shí)體指的就是防火墻和網(wǎng)絡(luò)地址轉(zhuǎn)換器。

　　H.323簡介

　　現(xiàn)在常用的網(wǎng)絡(luò)會議軟件和網(wǎng)絡(luò)電話軟件采用的是國際電信聯(lián)盟（ITU-T）制定的H.323協(xié)議族，其中包括H.225，H.245，Q.931等，另外還有IETF制定的SIP（會話啟動協(xié)議）。SIP協(xié)議采用與http類似的文本命令形式，而且協(xié)議比較簡單，是未來網(wǎng)絡(luò)電話和即時通訊的方向。但由于H.323出現(xiàn)較早，已經(jīng)有很多商業(yè)應(yīng)用，比如微軟的NetMeeting采用的就是比較成熟的H.323，另外中國的電信企業(yè)實(shí)施IP電話時也傾向于采用H.323協(xié)議。所以H.323還將會在長時間內(nèi)和SIP同時存在。

　　H.323標(biāo)準(zhǔn)定義了一個在基于分組的網(wǎng)絡(luò)上進(jìn)行靈活的、實(shí)時的、可交互的多媒體通信協(xié)議集。個人計算機(jī)能在包交換網(wǎng)絡(luò)（網(wǎng)際網(wǎng)和內(nèi)部網(wǎng)）和電路交換網(wǎng)絡(luò)上傳輸音頻，視頻和數(shù)據(jù)。

　　H.323網(wǎng)絡(luò)包括終端，網(wǎng)關(guān)，網(wǎng)守（Gatekeeper）和多點(diǎn)控制單元（MCU）。

　　網(wǎng)守在局域網(wǎng)上監(jiān)視所有在其區(qū)域內(nèi)的H.323呼叫，它提供兩個主要的服務(wù)：呼叫準(zhǔn)入和地址解析。所有在此區(qū)內(nèi)的H.323客戶端必須在網(wǎng)守的協(xié)助下開始一個呼叫。另外，網(wǎng)守還可以根據(jù)當(dāng)前可用帶寬決定是否允許客戶呼叫。

　　網(wǎng)關(guān)提供在異種網(wǎng)絡(luò)之間操作的能力，例如在包交換網(wǎng)絡(luò)和電話網(wǎng)之間，就需要有一個網(wǎng)關(guān)進(jìn)行協(xié)議和數(shù)據(jù)的轉(zhuǎn)換。

　　MCU(多點(diǎn)控制單元)提供多方的多媒體會議能力。它協(xié)調(diào)所有參與者的媒體通信能力，為端點(diǎn)提供音頻混合和視頻選擇（端點(diǎn)本身不能完成這個工作）。

　　下面我們以點(diǎn)到點(diǎn)的H.323通信為例說明其通信過程。在此例中，我們用A和B作為H.323通信的兩個端點(diǎn)。A在防火墻的外側(cè)，B在防火墻的內(nèi)側(cè)。

　　首先，A向B的H.323知名端口1720建立了一條連接。

　　然后，B和A在此連接上發(fā)送Q.931包。，在這些交換的數(shù)據(jù)包中，B和A發(fā)送動態(tài)的端口用于建立H.245連接（即上圖CONNECT數(shù)據(jù)包中的H.245Address）。

　　隨后，呼叫者根據(jù)在Q.931流中協(xié)商的臨時端口建立H.245連接。H.245處理所有的呼叫參數(shù)協(xié)商，例如所要用的編碼解碼算法等。一旦這些參數(shù)協(xié)商完畢，H.245會話開始執(zhí)行OpenLogicalChannel，這個過程為特定的媒體流（如音頻或視頻）發(fā)送傳輸者和發(fā)送者的RTP和RTCP地址和端口（即上圖OpenLogicalChannel和OpenLogicalChannelAck中的RTP及RTCPAddress）。然后，這些媒體流就可以在兩個端點(diǎn)之間進(jìn)行傳輸，直到會話結(jié)束。

　　H.323通過防火墻和NAT的難點(diǎn)

　　大量應(yīng)用動態(tài)端口

　　通過防火墻可以限定進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包類型和流量（這種限定可以基于源IP地址、目的IP地址或端口號等包過濾規(guī)則）。而基于IP的語音和視頻通訊的H.323協(xié)議，要求終端之間使用IP地址和數(shù)據(jù)端口來建立數(shù)據(jù)通信通道。因此存在一個兩難境地：為了建立數(shù)據(jù)連接終端，必須隨時偵聽外來的呼叫，而防火墻卻通常被配置來阻止任何不請自到的數(shù)據(jù)包通過。即使網(wǎng)絡(luò)管理者打開防火墻上的一個端口來接收呼叫建立數(shù)據(jù)包，例如1720端口，但I(xiàn)P語音和視頻通訊協(xié)議還要求打開許多別的端口接收呼叫控制信息來建立語音和視頻通道。這些端口號事先并不知道，是動態(tài)分配的，這也就是說，網(wǎng)絡(luò)管理者為了允許語音和視頻通訊，將不得不打開防火墻上所有的端口，防火墻也就失去了存在的意義。由于網(wǎng)絡(luò)安全的原因，很少企業(yè)會讓他們的網(wǎng)絡(luò)防火墻如此開放。

　　防火墻的網(wǎng)絡(luò)地址轉(zhuǎn)換

　　同時，由于Internet快速膨脹，IPv4地址空間處于嚴(yán)重耗盡的境況。為解決這個問題，人們設(shè)計出了網(wǎng)址轉(zhuǎn)換器(NAT)。網(wǎng)絡(luò)地址轉(zhuǎn)換分為傳統(tǒng)的網(wǎng)絡(luò)地址轉(zhuǎn)換和網(wǎng)絡(luò)地址端口轉(zhuǎn)換。目前，很多的網(wǎng)絡(luò)地址轉(zhuǎn)換都是通過防火墻來實(shí)現(xiàn)的。然而NAT后的IP語音和視頻設(shè)備僅有私有IP地址，這些地址在公眾網(wǎng)上是不可路由的。

　　傳統(tǒng)的網(wǎng)絡(luò)地址轉(zhuǎn)換機(jī)制允許一個組織在內(nèi)部通信時使用一定范圍內(nèi)的私有地址，當(dāng)與外部通信時使用一個小的公共IP地址池。

　　另一種網(wǎng)絡(luò)地址轉(zhuǎn)換是網(wǎng)絡(luò)地址和端口轉(zhuǎn)換。這種轉(zhuǎn)換形式有一個內(nèi)部地址，一個或多個外部地址，然后用端口號進(jìn)行區(qū)分。

　　NAT是置于兩網(wǎng)間的邊界，其功能是將外網(wǎng)可見的IP地址與內(nèi)網(wǎng)所用的地址相映射，這樣，每一受保護(hù)的內(nèi)網(wǎng)可重用特定范圍的IP地址(192.168.x.x)，而這些地址是不用于公網(wǎng)的。從外網(wǎng)來的含公網(wǎng)地址信息的數(shù)據(jù)包先到達(dá)NAT，NAT使用預(yù)設(shè)好的規(guī)則(其組元包含源地址、源端口、目的地址、目的端口、協(xié)議)來修改數(shù)據(jù)包，然后再轉(zhuǎn)發(fā)給內(nèi)網(wǎng)接受點(diǎn)。對于流出內(nèi)網(wǎng)的數(shù)據(jù)包也須經(jīng)過這樣的轉(zhuǎn)換處理。

　　從安全性上來看，NAT提供了對外隱藏內(nèi)網(wǎng)拓?fù)涞囊粋€手段，但也給H.323應(yīng)用帶來巨大的麻煩。協(xié)議消息包一般不是放置在IP包頭，而是在特定區(qū)段中內(nèi)嵌IP地址和端口號。這樣，如果使用NAT，協(xié)議里的IP和端口號不能指向正確的地方，從而導(dǎo)致通信不能正常進(jìn)行。

　　ASN.1編碼

　　H.323的大部分控制信息用ASN.1進(jìn)行編碼，這是一種非常復(fù)雜的編碼模式，相同版本的相同應(yīng)用在連接相同的目的時，會使用不同的選項，從而使相同成員在數(shù)據(jù)流中的偏移量不同。為了提取其中的有用信息（如內(nèi)嵌的IP地址和端口號），需要對用ASN.1編碼過的數(shù)據(jù)包進(jìn)行仔細(xì)的解碼。

　　對ASN.1編碼的數(shù)據(jù)包進(jìn)行解碼

　　如前面所述，H.323的大部分控制信息，包括通信所使用的IP地址和端口號，都是用ASN.1進(jìn)行編碼。因此，為了得到這些有用的信息，NetEye防火墻（東軟NetEye信息安全產(chǎn)品）針對ASN.1編碼后的數(shù)據(jù)進(jìn)行了詳細(xì)的解碼。

　　將網(wǎng)絡(luò)地址轉(zhuǎn)換應(yīng)用到控制信息中

　　解碼H.323控制信息后，獲得通信所使用的內(nèi)部私有IP地址和端口，根據(jù)NetEye防火墻上當(dāng)前應(yīng)用的網(wǎng)絡(luò)地址轉(zhuǎn)換規(guī)則，將H.323控制信息中的IP地址修改為轉(zhuǎn)換后的公網(wǎng)地址。這樣當(dāng)被呼叫的終端收到呼叫建立(CallSetup)數(shù)據(jù)包后，會從該數(shù)據(jù)包控制信息中獲取呼叫端的IP地址，發(fā)現(xiàn)這個IP地址為一個公網(wǎng)IP地址，開始發(fā)送音頻和視頻數(shù)據(jù)到這個IP地址，從而在NAT下實(shí)現(xiàn)正常的網(wǎng)絡(luò)視頻通信。

　　自動打開動態(tài)分配的端口

　　由于NetEye防火墻能夠解碼經(jīng)過ASN.1編碼的H.323協(xié)議的數(shù)據(jù)包，并進(jìn)行詳細(xì)的分析，從而可以檢測H.323協(xié)議通信過程中動態(tài)分配的一些端口。這樣做的結(jié)果是，在防火墻的規(guī)則中，只須打開幾個H.323的知名的端口（如1718，1719，1720等），其它通信過程中動態(tài)分配的端口在需要時NetEye防火墻會臨時打開，在不需要時馬上關(guān)閉。這樣就不用打開所有大于1024的端口，增加了防火墻的安全性，而且也不受防火墻網(wǎng)絡(luò)地址轉(zhuǎn)換的影響。這也是基于狀態(tài)檢測的"流過濾"防火墻所具有的先天的優(yōu)勢和特性。

　　NetEye防火墻通過對網(wǎng)絡(luò)視頻會議系統(tǒng)的安全防護(hù)，很好地解決了日常私網(wǎng)和公網(wǎng)通信面臨的連通性、防火墻技術(shù)、NAT技術(shù)、高度安全等問題，充分發(fā)揮了IP通信的諸多優(yōu)勢。

　　華為公司提供強(qiáng)大的公私網(wǎng)穿越方案，配合GK和MCU等局端設(shè)備，為用戶解決公私網(wǎng)困擾（防火墻穿越等問題）,提供四大方案！

　　一、靜態(tài)映射，華為設(shè)備直接支持靜態(tài)映射，輕松實(shí)現(xiàn)防火墻穿越.

　　二、提供Eudemon系列NAT設(shè)備，支持H323ALG功能，配合華為視頻會議系統(tǒng)，私網(wǎng)終端如同公網(wǎng)一樣使用。

　　三、華為專利技術(shù)SNP協(xié)議，不需要增添任何外部設(shè)備、也不需要再給終端獨(dú)立分配公網(wǎng)地址，就可以直接實(shí)現(xiàn)穿越防火墻或NAT設(shè)備，完成公私網(wǎng)之間的業(yè)務(wù)互通。

　　四、提供SE2000系列設(shè)備，原有防火墻不需要任何更改，輕松實(shí)現(xiàn)公私網(wǎng)穿越。

　　部署SE2000設(shè)備對已存在的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)沒有影響，可以實(shí)現(xiàn)兩個獨(dú)立網(wǎng)絡(luò)之間的視訊業(yè)務(wù)互通，而不影響其他業(yè)務(wù)，架設(shè)非常方便；外網(wǎng)終端注冊SE2000，GK對外網(wǎng)終端不可見，可以提高系統(tǒng)安全性。產(chǎn)品提供各種形式的QoS和安全防護(hù)功能，便于組網(wǎng)時選擇使用。

杭州網(wǎng)會科技有限公司

咨詢熱線：400-004-0268

官   網(wǎng)：http://www.jugaclub.com

公   司：浙江杭州市教工路282號新德雅公寓12A