谈软件视频会议的防火墙穿透
发布时间:2006-10-14 4:14:27   收集提供:gaoqian
徐志宏


  软件视频会议系统已经成为企业信息化建设、电子政务建设的一个越来越重要的组成部分。与传统的基于硬件的视频会议系统相比较,软件系统可以方便地在包括互联网、局域网、专网等任何IP网络上部署,这样就极大程度地满足了人们对于视频会议系统的灵活部署需求和对现有网络的充分利用。因此,在诸多行业进行信息化建设和规划的过程中,软件视频会议系统的产品选型和系统实施日益成为相关决策者所考虑的一个重要问题。

  软件视频会议系统的选型可能会涉及到多个指标,包括视音频质量、数据共享功能、会议管理控制功能、与即时通信系统的结合、多播功能的应用等。在这其中非常重要的一个指标就是对网络的适应性和对防火墙的穿透能力,因为无论功能如何强大和全面,保证系统的连通是一个最基本也是一个关键要素。试想,如果连服务器都无法访问的话,多么丰富的功能都无法应用和尝试,视频会议的强大和便利更无从说起了。

  从目前的发展状况来看,各企业、政府机关等用户在网络规划过程中越来越重视网络的安全性和防火墙的建设。这既反映了随着用户的不断成熟而对自身网络安全问题的日趋重视,同时也是在目前网上各种病毒、黑客泛滥的实际情况下,不得已而为之的一种保护措施。提起2003年曾经一度给人们正常工作和通信带来极大干扰的“冲击波”病毒,很多人记忆犹新,也正是这些个反反复复的攻击、侵害,使得大多数用户在未来的信息建设规划中将安全策略放在一个极其重要的位置来首先考虑。防火墙的部署和网络安全策略的规划已经成为企业网和政务网建设中所需要重点考虑的一个内容。今年五一黄金周期间,一个新的病毒“震荡波”又开始在互联网上肆虐,造成机器运行缓慢、网络堵塞,并使系统不停的进行倒计时重起,对于很多网络安全防范不是很周密的用户造成了很大的干扰和影响,网络管理部门忙于救火……

  网络用事实再一次告诉我们,安全部署和防火墙设置已经越来越成为企业一等一的大事,而其他系统的应用,都需要服从网络安全管理这一要求,无论对软件视频会议还是其他的系统应用,这都是一个准则。

  另一方面,防火墙的应用不可避免的对网络多媒体通信产生了很多较为负面的影响。防火墙的应用主要是对一些端口、协议、规则进行限制,以避免一些不法的程序和应用进入或攻击网络。因此,在防火墙的应用中,只允许开放少数端口和协议,而大部分的端口和协议都是要被关闭的,以保证不受各种病毒侵扰。其中一些防范措施特别严格的单位(如重要政府机关、外企、大型企业等)往往只开放诸如HTTP 80上网端口等少数几个端口,其余端口基本上是关闭的,而从目前网络安全状况和人们越来越警觉的防范意识来看,这将是一种必要的趋势。因此,针对用户越来越严格的网络设置和措施,如何使用和部署视频会议,如何保证不会因为视频会议的应用给网络安全带来漏洞和隐患,将成为决策者所必须考虑的一个问题。

  作为网络多媒体通讯应用的代表,软件视频会议系统会涉及到音频、视频、数据、控制等诸多信息的传输,这些数据的传输通常会用到多个端口和协议(如TCP端口、UDP端口等)来保证实时通信效率,但这种传输及应用的方式会对用户正常的网络应用产生很大的困扰。如果不按照这些产品的要求来开放端口,则这个产品就无法正常的进行连接通信和投入使用;如果按照这些端口要求来设置则防火墙会渐渐成为千疮百孔的筛子,失去了过滤和保护的意义。此外,企业在上网方式的规划中可能会采用各种代理(Proxy)方式,甚至包括多种代理服务器、网关、防火墙、VLAN、VPN等多层设置的状况,这些代理方式及类似的网络连接和安全方式在实际应用上对于许多视频会议系统而言也形成了难以逾越的障碍。

  目前,大部分视频会议系统(包括硬件系统与软件系统)要在有防火墙/NAT的环境下实施时,一般采取以下几种方法:

  (1)说服客户不使用防火墙/NAT。这个方法听起来很可笑,但是确实有很多客户最终因为种种原因接受了这种建议,特别是一些尚未深刻了解到网络安全重要性的客户。此外,也有一些客户采用为了视频会议系统应用而专门部署另一套与现有企业网络隔绝的体系,申请专用线路和专用的IP地址等,这是一种有效的做法,但是投资也是非常巨大的,对很多用户来说并不适合。

  (2)将系统放在非军事化区(Demilitarized Zone)。即将视频会议系统放在企业外网没有防火墙/NAT等保护的地方。这样的话,即使受到攻击,对公司内网的安全性也不会产生影响。

  (3)采用设置、配置和开启应用层网关或代理服务器等解决方案。这些方案都不是视频会议的标准组件,但如果需要安全的解决视频会议与防火墙的共存,只能采用这些方案。这些方案往往是需要开放一些适应于视频会议应用的端口、规则、协议,这样则失去了防火墙严密的防范意义。

  以上3种方案,有的是以牺牲系统安全性为代价的,有的则是以增加系统复杂度,增加客户投资为代价的。应该说,对用户而言,这些都不是最理想的解决方案,用户所需要的往往是在对现有网络安全设置不进行任何改动、以及在将来的网络安全方面不会造成任何隐患的情况下,只要能够上网就可以进行视频会议功能。

  尽管以往这些并没有被各个软件视频会议厂商所重视,但防火墙的穿透能力目前已经逐渐成为业内知名厂商所关注的一个技术层面。无论是在海外市场开发拓展,还是在国内一些大型企业的实施过程中,防火墙问题都是一个首先凸现的关键要素。目前,中小企业对防火墙问题的关注相对较少,但随着网络问题的日益突出和相关人员意识的不断加强,中小企业的防火墙部署也将会越来越专业和严密。

  在传输协议方面,为了更好地穿透防火墙的阻碍,软件视频会议系统在选择支持RTP协议的同时,还需要通过标准的HTTP协议来实现音视频的传输。因为无论多么严格的防火墙,都会将HTTP协议作为一个基本的通信协议而打开,否则就相当于将网络与外界完全断开。所以,当软件视频会议系统可以通过HTTP对音视频进行传输时,就相当于用户只要上网就可以使用视频会议。

  另一方面,除了协议层的设置之外,很多企业在防火墙设置中往往会对端口进行屏蔽,以避免病毒或一些恶意程序的攻击,所以一般只会开放Http 80等几个有限的上网访问、收发邮件、FTP上传下载等端口。针对这种情况,可以将所有的数据访问都封装为一个Http端口的访问,并通过专有的处理技术保证了即便在所有的音视频、数据、控制管理等信息通过一个Http端口时,对通信的效率影响也非常小。因此,这种以HTTP隧道技术为核心的防火墙完全穿透策略,保证了用户无论通过什么样的代理服务器或防火墙,只要能够访问网络(意味着在最严格情况下只开放一个上网端口)就能够通过软件视频会议系统实现视频会议的全部功能。用户可以在不增加投资,不牺牲网络安全性的条件下使用视频会议。

  这种基于HTTP隧道的防火墙解决策略包括以下几个特点:首先,该产品的防火墙适应性部署采取了非常智能的规划机制,对于NAT、HTTP代理等绝大多数上网形式无需任何设置便可以穿透,对于Socks代理也提供了非常简便的解决机制;其次,在同一个系统上,用户可根据自己网络情况随时选择是否通过HTTP隧道进行访问,而进入隧道的方式也非常的方便易用;再者,采用HTTP隧道技术保证了即便通过一个惟一开放的上网端口也可以进行视频会议,真正的体现了软件视频会议灵活、方便、易接入的特点。HTTP隧道同时也提高了会议数据的传输安全性。

  随着防火墙越来越严密,该项技术也受到了许多关注企业网络安全问题的用户的普遍关注。特别是一些设置了多层防火墙和代理服务器混合的复杂情况下的应用,在实际测试中,这种解决方案取得了令用户信服的结果。


----《中国多媒体视讯》
 
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50