首页>>厂商>>系统集成及应用软件开发商>>讯泰信息技术

Internet呼叫中心与防火墙

王江哲 2001/08/24

摘要：Internet呼叫中心正在兴起，网络防火墙的应用也已非常普遍。如何在保障系统及用户的网络安全的前提下高效便捷地穿越防火墙，是Internet呼叫中心设计者必须解决的课题。本文以讯泰公司的呼叫中心系统ezConnect为例，介绍了一个Internet应用穿越防火墙的具体方案。此方案具有一定的普遍适用性。

关键词：呼叫中心、防火墙、Internet、ezConnect

一．前言

对于Internet应用来讲，有两类防火墙需要考虑：一种是被用于保护应用服务器的防火墙，另一种是用来保护和限制终端用户的防火墙。一般来讲，前一类防火墙易于控制：在不违背企业的 网络安全制度的前提下，针对Internet应用的具体情况，在网络管理员的协助下采用开放特定端口（俗称“防火墙上打洞“）、传输层建桥、应用层代理等方法来对外提供服务。而对于后一类防火墙,网络管理员一般不可能为了某个终端用户的个人需要而降低防火墙的整体安全程度，所以只能从Internet应用本身着手，采用HTTP隧道、SOCK代理服务器等技术来尽可能地向被各式各样防火墙所包围的终端用户提供方便。

多数的企业防火墙都对80端口上的向外HTTP请求没有限制或只做少量的限制（例如禁止员工访问色情和政治网站）。一些Internet应用为了最大化防火墙透明度，客户端只直接使用HTTP协议与服务器端进行通信。这样，在3层结构（或n层结构）体系中，web浏览器一侧基本不做逻辑运算，web服务器上运行JSP, Servlet, ASP, CGI等进行适当的业务处理以及与后端应用服务器或数据库进行通信。对于Internet呼叫中心，此种模式不太适用。因为基于web浏览器的客户端往往要做一些较为复杂的处理，例如支持白板共享、文本聊天、IP电话等功能。不过，利用协议隧道技术把呼叫中心客户端和服务器端之间的通信协议嵌入到HTTP协议来穿越防火墙仍然非常地有效。这种模式中，Java小程序(Java Applet)或与其作用类似的组件运行在web浏览器上完成一些逻辑处理，Java小程序与后台服务器之间的通信在必要时采用HTTP隧道技术。这是目前先进的防火墙处理方案，运用得当时甚至可以出色地完成话音这样的大数据量传输。

目前在国内实际运营的Internet呼叫中心非常少，但肯定地说这是一个近期未来的趋势。在种类繁多的Internet应用中，绝大多数仍然要求用户的网络环境必须开放着某一组TCP端口，这在一定程度上限制了此类Internet应用的适用范围。本文通过对讯泰公司的呼叫中心产品ezConnect的防火墙解决方案的介绍，希望能对类似产品的技术选型和开发有一定的帮助。

二．EzConnect系统的结构

ezConnect系统是由讯泰信息科技公司的北京研发中心设计开发出来的一个成熟的多媒体呼叫中心产品。支持传统电话、web、电子邮件、传真、语音邮件、IP电话、短消息、WAP等用户接入方式；对客户请求采用基于座席技能的智能分派；提供文本交谈、白板共享、协同填表、文档推送、IP电话、短消息发送等多种实时交流工具；有非常实用的实时监控和报表子系统。核心部分的设计采用分离分层的思想，实现了相对于PBX、IVR、CRM的透明性。系统的配置非常灵活，可以在很短的时间内完全改变整个客户端的风格，或支持一种新的语言。整个系统建立在Java平台上，具有良好的可移植性。下面是ezConnect系统的结构图：

三．ezConnect的防火墙解决方案

ezConnect系统的防火墙方案计划实现以下几个目标：

1、企业防火墙有效保障ezConnect内部系统

2、内部用户的高效访问，避免不必要的网络流量

3、外部Internet用户的无障碍访问

4、支持绝大多数外部Intranet用户的透明访问

目标1是一般防火墙系统的基本功能。对于ezConnect系统，最常见的方法是在防火墙上完成下面两个配置：

• 把所有对ezConnect系统的Web请求转发给内部Web服务器（通常安装在ezConnect服务器所在的主机上）。
• 把所有的ezConnect协议（2624端口上的TCP连接）请求转发给ezConnect服务器。

下述方法可以实现目标2：内部用户访问时ezConnect系统的域名被解析为LAN上的IP地址（很多种方法可以实现，最简单的一种是修改内部用户使用的计算机的hosts文件）， 这样内部用户的访问就可以直接到达ezConnect服务器，避免了对网关和防火墙不必要的干扰。

普通Internet用户（例如拨号上网或小区ADSL）对Internet资源的访问一般不受限制，所以只需解决如何穿越保卫着ezConnect服务器的防火墙的问题。讯泰公司的方案是开发一套通用的通讯API, 在此API的基础上实现呼叫中心客户端的业务逻辑（参见下图）。这个通讯API的底层有两种方式：直接socket连接和HTTP隧道，API会自动检测其所处的网络环境来选择适当的底层连接方式。一般而言，保障着ezConnect服务器的防火墙应该开放着ezConnect的协议端口2624。 所以普通Internet用户访问ezConnect系统时，客户端软件与服务器软件通过建立直接的socket连接来互通信息。目标3由此达到。

对于被企业防火墙所限制的Intranet用户，情况略微复杂一些。如果企业防火墙已开放ezConnect的协议端口2624，那么此类Intranet用户访问ezConnect系统的情况与普通Internet用户没有区别。如果企业防火墙限制ezConnect的协议端口，但允许HTTP协议通过，那么上文中提到的API会自动选用HTTP隧道的通信方式来维护客户端软件与服务器软件之间的连接。此时，通信的效率会相对低一些，但对于可以透明地、完整地获取Internet呼叫中心服务（文本交谈、白板共享、IP电话等）的Intranet用户来讲是完全可以接受的。如果企业防火墙同时禁止ezConnect的协议端口2624和HTTP协议的默认端口80，Intranet用户将无法访问ezConnect系统。而事实上，严格到不允许HTTP协议通过的防火墙是非常少见的，因此目标4也不成为问题。

下图描述了客户端软件在不同的网络环境下连接服务器的方式。

四．方案的适用范围

本文所描述的防火墙解决方案事实上是一个通用的设计开发模式，适用于任何有以下特点的系统：

1、Internet应用

2、客户端软件需要完成一定的业务逻辑（客户端软件通常表现为独立应用程序或Applet, ActiveX之类的网页嵌入程序）

3、系统的服务器端可能会被安装在防火墙内，或系统的部分用户可能位于某种防火墙内

4、设计者希望所有的用户都能透明地以同样的方式访问系统，用户无需在访问前根据自己的网络环境作一些设置手工调整。

五、结束语

是否能够透明地穿越各类防火墙来向广大用户提供服务，一定程度上决定了Internet呼叫中心及与其相似的系统的用户群体和接入场所；是影响用户满意程度的一个重要因素。本文所描述的方案已在讯泰公司的呼叫中心产品ezConnect系统的开发中得到了验证，各项指标均达到预期的设计目标。此方案以很小的开发成本为ezConnect系统赢得了一个非常有市场价值的产品卖点。

参考文献

http://java.sun.com/j2se/1.4/docs/guide/rmi/

Jiangzhe Wang: “How to configure ezConnect to go through firewalls”, Product document of Systek Information Technology Ltd. 2001

Zhang Lei, “Product Specification of ezConnect Release 4.0”, Product document of Systek Information Technology Ltd. 2000

“White paper of ISA system”, Microsoft Ltd.

讯泰信息技术提供 CTI论坛编辑