如今人们又将NAT引入一个新的应用领域,这就是VoIP安全应用。
作为一类标准Internet技术,NAT能实现让内部LAN通信运用一套IP地址,而外部通信采用另一套IP地址。这在现行IPv4协议环境下意义重大,因为受到标题域限制,该协议方式用于标识终端站点的全球IP相当有限。通过分离Internet(公共域)与LAN(专用域)地址,相对于单一的全球地址分配机制来说,很多地址可以节省下来。
但如果某个终端用户的专用地址不为LAN以外的其他用户知晓,外部数据流如何才能传送到目标呢?这就是NAT要解决的问题。运用NAT技术,IT主管只需要为整个LAN分配一个公用IP地址,这个地址配置于防火墙,用于接收所有外部通信。防火墙运用NAT对输入通信的IP地址标题进行处理,公用地址随后被LAN中预定进行通信的终端用户专用地址所取代(如果输入通信不符合防火墙配置策略,则将其阻塞)。采用这种方式,网络主管能够运用未注册IP地址连接到Internet,并能与所需的终端用户进行正常通信。
NAT技术近年来一直被广泛采纳。一些开发商已引入称为会话边界控制的新技术,它专注于P2P IP应用,这类应用必须穿越防火墙,如VoIP、桌面视频会议、协作计算、在线游戏以及Napster方式共享播放MP3音乐。NAT技术在其中扮演着十分重要的角色,如保证VoIP通信安全和增强QoS及任何VoIP网必备的可管理特性。
实现安全VoIP通信
很明显,传统的防火墙无法与VoIP协同工作。通常的防火墙配置只接收经内部网请求,或说防火墙信任的外部通信,而VoIP呼叫可以是来自任何未知或未经请求的一方。由于这类呼叫不属于任何一类内部通信请求,因而会被阻塞于外。而且,即使输入通信获得通过,防火墙/NAT也无法确定与哪个终端(合适的IP地址)建立呼叫。
会话边界控制器在服务提供商网络中的工作流程
这是因为语音通信中同时包含了数据流和信号流,语音呼叫信息组成了数据流,而信号流则进行呼叫建立和控制,依据的信号协议通常是H.323、会话初始协议(SIP)或媒体网关控制协议(MGCP)。信号信息很容易通过防火墙,因为一般可预留少量端口用于呼叫接入。而对于呼叫本身,由于是基于实时协议(RTP)和采用动态分配UDP端口方式,而不是通常情况下防火墙针对特定用户或应用采用的静态分配方式,因而让VoIP呼叫接入通过意味着为所有通信打开了通道。
SBC性能参数体现在以下四个方面:安全性、QoS及服务级别(SLA)保证、信号协议互联及服务规则。
其中安全性是SBC应解决的主要课题。SBC必须具备防火墙/NAT遍历、在第5层(会话层)和第3层(网络层)隐藏网络拓扑以及网络资源保护功能;必要时通过关闭信号及媒体会话端口,防止出现安全漏洞。另外,还需集成更多现行和将来可用到的安全特性,包括入侵检测、带宽控制策略、保护会话不被窃取、防止RTP流拥塞和呼叫干扰,以及源IP地址隐藏的识别。
QoS及SLA保证对于客户意义重大。SBC必须负责媒体流的生成和维护,解决相关QoS需求。服务提供商网的边缘路由器支持大部分IP服务类别(CoS)、排队和通信管理技术,但并不能保证基于会话层信号信息的QoS,因为这包括用于呼叫建立、终止以及路由控制的特定标识符和指令。因而,通过基于会话认可控制策略接受或拒绝呼叫,来管理实时通信命令是完全必要的。在跨国IP通信服务环境下,服务提供商必须构建合适的呼叫路由和QoS参数,并能透过网络边界共享呼叫情况记录。系统不具备这些功能,服务提供商就没法对SLA实施监控,也就无法保证IP对IP环境下的服务质量。简言之,SBC必须能够在出现过多终端用户接入和传输链接的情况下,防止带宽拥塞,保证良好QoS。
信号协议互联是实现IP对等操作的基础,因为分离IP网可能用到的是不同的信号协议。如今占主导地位的信号协议是H.323,由于SIP相对简单、可扩展性强且效率要高,将来极有可能取而代之。而且,很多新型VoIP方案将基于SIP来实现,因为如今大多数软交换机、IP电话和媒体网关都侧重于采用SIP。另外,支持MGCP和H.248协议也相当重要。
最后,需要一定的通信规章来约束这类新兴通信运营(包括企业客户)服务模式,其中重要一点就是保存呼叫识别和内容记录。这点于普通客户意义尤为重大,而开发商在实现方面还很难做到统一,这就需要一个明确规范。
SBC技术的市场开发已初露端倪,其中包括Acme Packet、Kagoor Networks、Netrake、Jasomi Networks以及NexTone。Aravox自被Alcatel收购起,就在从事这方面的开发。防火墙市场的领军人物Cisco、NetScreen和Check Point都声称已开发出低层专有VoIP解决方案,目前正向高层发展。
Acme Packet的方案最为出名,它的Session Director可用于服务提供商网,也适用于大型企业客户。Session Director支持主机NAT遍历,信号会话能遍历现行前端NAT/防火墙,而不需要作配置变更。
从网络拓扑角度来说,SBC比较适合于企业网。防火墙是企业网中必不可少的临界作业网络处理单元,SBC能与现行企业防火墙协同工作,因而大大减少了手工配置各类规则的工作量,也不需要针对LAN应用和VoIP接入更改网络设置。
SBC位于防火墙之前,大大降低了主防火墙处理VoIP通信作业的负荷,使网络单元“各司其职”。相对单一的设备,降低了VoIP通信处理时延。由于位于防火墙前,SBC还能隐藏LAN拓扑,防止网络拓扑通过可能的请求方法(嵌于IP标题中)泄漏出去,暴露专用地址。
