网络技术的广泛应用和视频通信技术的完善成熟,为视频会议走向市场打开了大门。全球各地的企业都在分享着最先进的视频会议系统为他们带来的感官享受和工作效率大幅提升的成果。然而,网络如同一把双刃剑,为企业带来效益的同时,也带来了安全忧虑。企业在IP网络上的视频通信内容安全如何得到保障?如何降低企业的设备投入成本?
在视频会议系统安装时,企业防火墙穿透成为了考虑的首要问题之一。防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。我们知道,企业与其用户、合作伙伴之间采用的通信模式、设备有着很大的区别,要让不同的设备之间进行互联互通,就是会议系统安装使用的一大难题。防火墙就如一扇门一样,可以把某些特定类别的数据流阻隔在网络之外,比如,在公网或企业专网,公司办事处与企业总部网络,不同部分的企业网络之间也可以采用防火墙进行隔离。企业按照自己的不同需求,为防火墙设定特定的指令,保护网络内部不会受到非授权信号的攻击。例如,某些企业不允许用户远程访问公司网络,防火墙就可以检测到所有来自网外的信号,并阻止这些远程信号访问公司网络。防火墙在网络中起着非常重要的作用。但是,在如今的IT环境下,要安装一套可以将不同网络完全独立的防火墙也并非一件容易的事。大多数的防火墙都具有一些漏洞,可以让某些数据流穿过。在防火墙安装中,Port80就是HTML或Web最常见的默认端口,但是,如果漏洞越多,系统则越容易受到病毒或其他非授权软件的攻击。从图一的对比中,我们就可以看到一个相对完美的防火墙和目前大多数企业采用的防火墙之间的区别。
 |
各个设备之间要实现通信,就需要实时的IP通信协议来提供点到点的连接,在任何通信呼叫中,都有呼叫方和接收方,在进行视频会议的时候,我们需要随时能够接收来自多方的信息,这就要求我们的系统开放多个端口,允许来自不同设备的数据信息的通过。出于安全考虑,开放如此多的端口对于防火墙安装来说,肯定是一项巨大挑战,对于系统管理员来说,开放多个端口,随意接收来自多方的信息,当然非常不安全的。而且,IP通信协议使用的网络端口也是比较多,如果不给予防火墙某些协议授权,防火墙就不能识别授权之外的通信协议。许多视频会议系统都是用H.323协议进行通信,但是,H.323在安全规定方面却存在着不足,要求开放大量的端口来支持系统之间的互联互通。从表一中,我们可以看到H.323端口的使用,其存在的安全隐患也是清晰可见。
在IP视频会议中,NAT(网络地址解析)又是一个主要问题。在企业网络中,NAT让一个IP地址与多个地址之间进行通信,是常用的通信方式。从内部网络设备到外部网站,NAT都能跟踪系统的请求,对于外部网络来说,NAT将所有的外部系统请求都视为来自一个IP地址,即一个公共的地址。当数据信息返回的时候,NAT将来自公共地址的信息进行翻译,输送给内部地址。NAT为企业网络提供了很多的有利因素。
NAT(网络地址解析)最初设计的初衷是减少企业在自己网站上所需要的地址空间,随着互联网的普及,人们逐渐发现网络地址的数量不能够满足设备访问的需求了。因此便开发了NAT,负责将对来自内部网络和专网地址的数据流进行解析,通过解析后,一个地址就可以被多台设备采用。NAT(网络地址解析)让企业使用一个专用地址,在需要的时候,也为设备提供一个公共地址。但人们在使用SIP和H.323协议进行IP通信的时候却需要折衷考虑,想要实现跨网络的通信就出现了困难。[Page]
通常,企业都是使用一个单独的、共享公共地址代表许多内部设备,当某台设备需要连接到外部网络时,解析功能就在共享地址上指定一个端口,当连接中断时,指定端口就自动失效。这种地址解析功能被IT人士作为一个安全特征广泛采用,为特定设备指定的端