為什么今天要回顧下有關網絡防火墻穿越的問題？因為在日常的項目工作及運維中碰到了有關網絡穿越的問題，比如華為辦公電話系統外網移動終端接入開視頻會議及撥打電話，華為高清視頻會議系統外網終端接入開視頻會議，這些場景的實現都離不開一個東西-公網與私網穿越！本篇簡要回顧和總結一下網絡防火墻穿越的背景，原理和解決方案，思維導圖如下。

成都創新互聯公司專注于企業成都全網營銷、網站重做改版、景東網站定制設計、自適應品牌網站建設、html5、商城網站建設、集團公司官網建設、成都外貿網站建設、高端網站制作、響應式網頁設計等建站業務，價格優惠性價比高，為景東等各大城市提供網站開發制作服務。

• 防火墻知識回顧，什么是防火墻？

---

    防火墻指的是一個由軟件和硬件設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障，它是一種計算機硬件和軟件的結合，使Internet與Intranet之間建立起一個安全網關（Security Gateway），從而保護內部網免受非法用戶的侵入，防火墻主要由服務訪問規則、驗證工具、包過濾和應用網關4個部分組成。

• 什么是網絡防火墻穿越？

---

  顧名思義，就是要正常的穿越防火墻咯（而不是非法***）。某些大型企業為了網絡安全，會在內外網各個環節出口處部署大量防火墻，NAT（網絡地址轉換，內網終端訪問外網，需要進行地址轉換），安全檢測等設備，而有些應用比較特殊，這些設備無法滿足這些應用的通信條件，導致無法使用，這時候需要有這樣一個設備，在防火墻設備后面，承擔這些特殊的功能，幫助外網的信息流順利穿越防火墻，與內網設備成功通信。

• 為什么要防火墻穿越？

---

 上述基本上已經通俗的講了防火墻穿越的含義，現在從多媒體通信角度闡述為什么要進行防火墻穿越。

 通常NAT/防火墻設備僅對IP和UDP/TCP報文頭的地址及端口號進行轉換（所謂的網絡層），并不對消息體中的媒體連接信息（應用層）進行轉換，從而造成NAT/防火墻不支持SIP/H.323/H.248/MGCP等（當今多媒體通信協議主要是SIP和H.323）IP通信協議的有效傳輸。

 比如外網終端用戶注冊后呼叫控制設備上記錄的將是其私網地址，當私網終端呼叫公網終端，雖然私網終端可以從注冊網關處獲取公網終端的IP地址，但在視音頻RTP碼流時，由于受H.323協議的自身限制，其各自的RTP接收端口和發送端口不同，如下圖所示，這樣，私網終端向公網終端（公網IP）發送的RTP碼流公網終端可以接收，但公網終端向私網終端（其NAT映射的公網地址）發送的RTP碼流，在經過NAT設備時，并不會進行IP地址的轉換，導致碼流不能通過NAT設備。出現單通的情況。

 當公網終端呼叫私網終端，由于呼叫的地址直接是私網終端映射的公網地址，NAT設備不支持H.323協議轉換，因此呼叫就不能建立。

• 如何穿越防火墻？

---

  靜態NAT：對于私網中的每個終端，在防火墻NAT上作靜態NAT，即私網地址與公網地址一對一的映射；這種情況是針對終端很少的情況。

  支持H.323協議的NAT設備；動態支持H.323協議NAT的防火墻設備，其直接可以理解H.323協議內容，對H.323協議的IP碼流可以直接進行協議轉換，使得企業內部局域網上的終端就象放在公網上一樣，這樣企業內部的終端就可以無障礙地與外部終端互通。

  H.323代理穿越公私網：即采用一臺PC作為防火墻出口的代理設備，該方式下，需在每個防火墻后放一個H.323 代理，代理需要被分配公有IP 地址。

• 業界解決方案和產品

---

 目前我所了解的有迅時SBC系列- SX1000，SX300；華為SE2000，SwitchCenter（SC）。

   針對視頻會議，我們采用了華為SC，組網如下：

組網說明：

1. SC放置在防火墻的DMZ區域，配置NAT映射到公網。

2. 終端通過SC的私網地址/公網地址注冊到SC。

3. 需要定義本地私網，用于SC設置呼叫地址。

4. 終端使用H.323或者SIP協議向SC進行注冊，SC負責整個呼叫控制（信令處理機媒體流轉發）。

• 思考和總結？

---

 通過本次回顧，對多媒體通信場景-視頻會議外網接入有一個基本認識，多媒體通信無非靠：信令流來完成終端的注冊，連接建立和維護；媒體流（或者稱為碼流）的傳輸；信令傳輸出現問題，就會導致注冊異常，呼叫發起不了，碼流異常就會導致無聲音或者無視頻。日常排查問題中，首先需要對通信協議有個理解，然后通過抓包分析具體實現過程。后續再探討多媒體通信協議-H.323和SIP通信機制！

另外有需要云服務器可以了解下創新互聯scvps.cn，海內外云服務器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務器、裸金屬服務器、高防服務器、香港服務器、美國服務器、虛擬主機、免備案服務器”等云主機租用服務以及企業上云的綜合解決方案，具有“安全穩定、簡單易用、服務可用性高、性價比高”等特點與優勢，專為企業上云打造定制，能夠滿足用戶豐富、多元化的應用場景需求。

網站欄目：多媒體通信之網絡防火墻穿越知多少？-創新互聯
標題鏈接：http://www.yijiale78.com/article6/ccdgig.html

成都網站建設公司_創新互聯，為您提供網站設計公司、電子商務、網站策劃、商城網站、軟件開發、手機網站建設

廣告

聲明：本網站發布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網站立場，如需處理請聯系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經允許不得轉載，或轉載時需注明來源： 創新互聯