一、综述
随着IP网络建设的大发展,现在基于IP网络环境下的视频通信应用越来越普遍,不但一部分政府部门、大型企业采用基于IP的网络传输环境构筑专用的视频通信网,商业、企业更加倾向于将他们的视频通信系统构建在基于IP的传输环境中,以降低建设成本,特别是使用成本。
目前符合国际标准的视频通信应用模式,主要为遵循ITU组织H.323标准的系统,以及遵循ITEF组织SIP的系统。
经过几年的实际应用考验和不断改进,基于H.323的应用模式的应用体系非常成熟,相关产品在稳定性,连接的安全、可靠性等方面可以完全满足市场,特别是专业视频/多媒体会议的要求。由于H.323标准体系非常完备和严格,从而确保了基于H.323的众多产品所具有的良好互通互联性,这一点为H.323协议的大范围推广奠定了技术基础。基于SIP的视频应用是随着NGN的需求而日益得到市场的重视,特别是在3G背景环境下,越来越多的厂商相继推出了基于SIP的视频通信产品,以满足个人用户、移动用户对视频通信的需求。SIP提出的目的是在基于Internet环境中,实现多媒体通信的应用,它和HTTP、SMTP等ITEF的建议一样,是一种基于“文本”的通信协议。结构简单,便于扩充、扩展是SIP与H.323体系的明显区别。
和所有的网络应用一样,无论基于H.323标准还是基于SIP的,视频通信系统都不可避免地受到所依托网络环境地限制。这一点不但影响到视频产品选型、系统结构方案,同时对网络环境本身是否需要进一步改造都有着比较大的影响。在所有影响因素中,除了网络环境传输条件本身外,如何有效解决“防火墙”对视频系统是所有用户,建设方以及视频厂商乃至网络厂商所不得不面对的一个“难题”。
从协议中对握手的定义来看,无论是H.323还是SIP,这个过程和保证网络安全的“防火墙”、NAT等机制是一对矛盾体。
对于目前经常使用的“防火墙”而言,其为保证墙内内部网络的安全性,其工作机制一般是屏蔽掉外部数据对受保护网络中计算机的数据访问,而只开放少许的指定地址和通信端口,以保证Internet服务器等设备正常工作。
NAT则通过地址转换一方面保护了内部网络中各计算机被外部恶意数据的直接破坏,另一方面也可以保证内部局域网络对有限公网地址的有效利用。
就目前企事业单位、国家机关的现有网络状况来看,标准的网络安全防护措施一般是“防火墙”和NAT是同时使用,而且在所保护网络中开辟出一个DMZ区域供Internet和E-mail等服务器使用,而将所有办公计算机放置于受保护的内网,位于外网的数据只能到达位于DMZ区域的设备,而不能直接访问位于内网的设备,它们之间的数据而是通过位于DMZ区的各种服务器来实现。如图1所示,这样位于外网的视频设备A是不能直接和位于内网的设备B直接进行通信的。对于一般的数据应用而言,在这种网络结构下,位于内网的计算机可以访问外网的设备。但和常规的网络应用不同,基于H.323或SIP的视音频通信设备通信时,在握手的同时,发出呼叫申请的一端将自己本身的地址包括在有效的数据包中,这样在如图1所示的环境中,设备B向A发出一个呼叫申请,A要根据数据包中的有效地址发出应答信息,而这个有效地址是一个内网的“私有”地址,该应答会被“防火墙”有效屏蔽,由于在指定的时间周期不能得到A端的应答信息,在B端会显示呼叫被拒绝。即使通过开放端口的手段后,A端的应答信息可以到达B端,建立连接。对于有严格合法性,“同源性”检查的H.323系统而言,视音频数据可以从B发送到A,但A的视音频信号难以到达B,这种现象在具体的视频通信网络建设过程中会经常看到。
[page]
为有效解决在有安全机制的网络环境中的视频应用,网络设备商已做了大量工作,相继推出了一些支持H.323 / SIP的防火墙产品,而视频通信厂商则对标准H.323/SIP产品和系统体系加以扩充,推出了可以在NAT/防火墙环境中使用的视频产品。
下面就几种目前常见的解决方案进行简单介绍:
(1)开放网络/VPN
这种方法是直接将视频设备放置在DMZ区或直接放置在外网,这种办法不需要对于现有网络进行大的改造,但这是基本丧失对视频产品进行网络安全保护为代价的,同时由于和内网之间原有的“隔绝”没有消除,难以实现到桌面的视频应用。这种办法比较适合在全网有较好的安全保障的专网使用,或在VPN内部使用。
(2)选用支持NAT的视频产品
由于H.323产品在呼叫信息的有效数据包中包含了本地的地址信息,在经过NAT转换后,被邀请端设备难以给予有效应答,因而部分H.323产品通过在呼叫过程中将有效的NAT映射地址取代本地私有地址来完成呼叫应答,解决了地址解析问题。如VTEL公司的VISTA系列产品,不但可以支持NAT的地址解析,还可以指定NAT端口,便于网络设置。这种方案对单一NAT机制比较有效,如ADSL等PPPOE网络环境下,可以不附加其他网络或H.323设备,就可以解决问题。
(3)代理服务器
H.323代理服务器是为解决防火墙/NAT环境下,实现H.323通信的一种“非标准”H.323设备,在标准的H.323的系统中没有它的严格意义的定位。和Internet代理服务器一样,它同样被置于网络的DMZ区,在实际呼叫过程中所有的内外网的呼叫都通过它来“中继”,既代理服务器将一个呼叫转换成为由它发起的2个呼叫来完成,从而绕过了防火墙的限制。
使用代理服务器不需要防火墙/NAT设备以及H.323设备的特殊支持,实现比较容易,但由于代理服务器本身能力的限制,对呼叫数量以及数据交互量的规模都有一定的影响,同时使用H.323代理服务器对视频网络建设成本的影响也是需要根据实际情况考虑的一个问题。如当本地只有一台视频终端的情况,使用代理服务器不是一个经济的解决方案。
相对于H.323代理服务器,SIP的灵活性使得SIP代理服务器解决方案更为简单灵活,通过位于公网的一个代理/注册服务器可以较为简单和便宜地解决这个问题。目前Microsoft的MSN就是一个比较好的应用实例。
(4)使用应用层网关(ALG)
应用层网关也就是具有协议分析功能的防火墙产品,通过这些防火墙在判断数据是否可以时,不是简单地对IP数据包的包头进行分析,而是要对数据包中的具体数据进行相应的协议分析,并对视音频通信过程中所需求的数据通道进行动态打开/关闭,以保证视音频通信的正常进行。