NAT助VoIP穿越防火墙
NAT构筑于企业防火墙,担当着网络“守护神”的作用,它是公司内部LAN与外部Internet连接的分界线。
如今人们又将NAT引入一个新的应用领域,这就是VoIP安全应用。
作为一类标准Internet技术,NAT能实现让内部LAN通信运用一套IP地址,而外部通信采用另一套IP地址。这在现行IPv4协议环境下意义重大,因为受到标题域限制,该协议方式用于标识终端站点的全球IP相当有限。通过分离Internet(公共域)与LAN(专用域)地址,相对于单一的全球地址分配机制来说,很多地址可以节省下来。
但如果某个终端用户的专用地址不为LAN以外的其他用户知晓,外部数据流如何才能传送到目标呢?这就是NAT要解决的问题。运用NAT技术,IT主管只需要为整个LAN分配一个公用IP地址,这个地址配置于防火墙,用于接收所有外部通信。防火墙运用NAT对输入通信的IP地址标题进行处理,公用地址随后被LAN中预定进行通信的终端用户专用地址所取代(如果输入通信不符合防火墙配置策略,则将其阻塞)。采用这种方式,网络主管能够运用未注册IP地址连接到Internet,并能与所需的终端用户进行正常通信。
NAT技术近年来一直被广泛采纳。一些开发商已引入称为会话边界控制的新技术,它专注于P2P IP应用,这类应用必须穿越防火墙,如VoIP、桌面视频会议、协作计算、在线游戏以及Napster方式共享播放MP3音乐。NAT技术在其中扮演着十分重要的角色,如保证VoIP通信安全和增强QoS及任何VoIP网必备的可管理特性。
实现安全VoIP通信
很明显,传统的防火墙无法与VoIP协同工作。通常的防火墙配置只接收经内部网请求,或说防火墙信任的外部通信,而VoIP呼叫可以是来自任何未知或未经请求的一方。由于这类呼叫不属于任何一类内部通信请求,因而会被阻塞于外。而且,即使输入通信获得通过,防火墙/NAT也无法确定与哪个终端(合适的IP地址)建立呼叫。
会话边界控制器在服务提供商网络中的工作流程
这是因为语音通信中同时包含了数据流和信号流,语音呼叫信息组成了数据流,而信号流则进行呼叫建立和控制,依据的信号协议通常是H.323、会话初始协议(SIP)或媒体网关控制协议(MGCP)。信号信息很容易通过防火墙,因为一般可预留少量端口用于呼叫接入。而对于呼叫本身,由于是基于实时协议(RTP)和采用动态分配UDP端口方式,而不是通常情况下防火墙针对特定用户或应用采用的静态分配方式,因而让VoIP呼叫接入通过意味着为所有通信打开了通道。
同样,NAT本身也不能识别输入信号信息包类型。端点间VoIP会话携带有三组双向数据流:信号信息,用于创建、修改和终止会话;包含语音或视频通信的RTP媒体,依据端点动态分配通信端口传输;媒体统计信息,用于测定会话质量。这些信息包具有呼叫方LAN的专用地址,同时它们所携带的相应公用地址又无法为NAT设备所识别,因而也就无法通过。
SBC担当防火墙
解决这类问题的原理,一是通过在内部为将输出的信号信息包调整专用IP地址,二是为输入信息包创建相关信息列表。简言之,就是利用一类新型设备来更改对等(P2P)通信单元,将它们变换为类似客户端/服务器的协议通信模式,以使网络边界设备能够识别。
为什么采用这类方法?这得从VoIP设计原理说起。VoIP自推出以来,已广泛应用于服务提供商核心网,在一些企业LAN中也有一定程度应用(通过IP PBX实现)。但这类IP信息包在整个网络中并不是连续的,因为网络边缘的接入连接通常是采用电路交换TDM,因而VoIP信号在一定程度上是一类“孤立”信息包,它脱离不了传统的PSTN架构。当呼叫信号以IP PBX方式发出时,必须转换为TDM方式传输到服务提供商IP核心网,随后又被转换为纯IP信号方式。这种来回“倒换”需要媒体网关的参与,而且会增加时延,降低QoS,最终影响到客户服务,增加服务提供商应用成本(有服务商称,信号转换使通信成本增加到差不多是纯内部IP通信的五倍)。使IP流以内部信号方式遍历整个分离IP网,而不需要在网络边缘将其转换为TDM信号,这个处理过程称为内部IP对等(P2P IP)操作。
实现P2P IP操作的处理过程是相当复杂的,它必须使P2P通信流像客户端/服务器通信流那样畅行无阻,同时提高效率。在网络边缘实现TDM到IP转换的功能部件称为会话边界控制器(SBC)。SBC可位于现行防火墙的前端,专注于处理大量VoIP作业,以减轻防火墙负荷。它还可工作于服务提供商的本地接入网,用于管理IP业务,如IP Centrex。所有输入通信流都经过SBC,SBC在内部LAN与Internet之间建立了一种仲裁机制,这是通过修改双向信号和封装包来实现的。目标防火墙接收经修正的控制信号和媒体流,然后转发到预定的LAN地址,即使这个地址是专用的。这个处理过程又称为远端遍历,因为输出信息包得遍历终端用户防火墙。防火墙负责区分输入呼叫是否带恶意性质。
可将SBC视为一类具备VoIP功能的防火墙,只是功能实现更为复杂。更进一步讲,它能实现以每次会话为基础的P2P IP操作,视需要通过修改IP包标题,使之能够通过网络边界。SBC对等操作在第5和第7层实现,它能处理第5层会话信号协议以维持一次会话的状态信息,这在修改地址标题用于远端遍历时显得至关重要。SBC中的“边界”指LAN与Internet间的分界线。
SBC为VoIP而设计
SBC性能参数体现在以下四个方面:安全性、QoS及服务级别(SLA)保证、信号协议互联及服务规则。
其中安全性是SBC应解决的主要课题。SBC必须具备防火墙/NAT遍历、在第5层(会话层)和第3层(网络层)隐藏网络拓扑以及网络资源保护功能;必要时通过关闭信号及媒体会话端口,防止出现安全漏洞。另外,还需集成更多现行和将来可用到的安全特性,包括入侵检测、带宽控制策略、保护会话不被窃取、防止RTP流拥塞和呼叫干扰,以及源IP地址隐藏的识别。
QoS及SLA保证对于客户意义重大。SBC必须负责媒体流的生成和维护,解决相关QoS需求。服务提供商网的边缘路由器支持大部分IP服务类别(CoS)、排队和通信管理技术,但并不能保证基于会话层信号信息的QoS,因为这包括用于呼叫建立、终止以及路由控制的特定标识符和指令。因而,通过基于会话认可控制策略接受或拒绝呼叫,来管理实时通信命令是完全必要的。在跨国IP通信服务环境下,服务提供商必须构建合适的呼叫路由和QoS参数,并能透过网络边界共享呼叫情况记录。系统不具备这些功能,服务提供商就没法对SLA实施监控,也就无法保证IP对IP环境下的服务质量。简言之,SBC必须能够在出现过多终端用户接入和传输链接的情况下,防止带宽拥塞,保证良好QoS。
信号协议互联是实现IP对等操作的基础,因为分离IP网可能用到的是不同的信号协议。如今占主导地位的信号协议是H.323,由于SIP相对简单、可扩展性强且效率要高,将来极有可能取而代之。而且,很多新型VoIP方案将基于SIP来实现,因为如今大多数软交换机、IP电话和媒体网关都侧重于采用SIP。另外,支持MGCP和H.248协议也相当重要。
最后,需要一定的通信规章来约束这类新兴通信运营(包括企业客户)服务模式,其中重要一点就是保存呼叫识别和内容记录。这点于普通客户意义尤为重大,而开发商在实现方面还很难做到统一,这就需要一个明确规范。
SBC技术的市场开发已初露端倪,其中包括Acme Packet、Kagoor Networks、Netrake、Jasomi Networks以及NexTone。Aravox自被Alcatel收购起,就在从事这方面的开发。防火墙市场的领军人物Cisco、NetScreen和Check Point都声称已开发出低层专有VoIP解决方案,目前正向高层发展。
Acme Packet的方案最为出名,它的Session Director可用于服务提供商网,也适用于大型企业客户。Session Director支持主机NAT遍历,信号会话能遍历现行前端NAT/防火墙,而不需要作配置变更。
从网络拓扑角度来说,SBC比较适合于企业网。防火墙是企业网中必不可少的临界作业网络处理单元,SBC能与现行企业防火墙协同工作,因而大大减少了手工配置各类规则的工作量,也不需要针对LAN应用和VoIP接入更改网络设置。
SBC位于防火墙之前,大大降低了主防火墙处理VoIP通信作业的负荷,使网络单元“各司其职”。相对单一的设备,降低了VoIP通信处理时延。由于位于防火墙前,SBC还能隐藏LAN拓扑,防止网络拓扑通过可能的请求方法(嵌于IP标题中)泄漏出去,暴露专用地址。
|
|