转载自：中国通信

1 概述

1.1 防火墙与NAT设备

    一般企业网设置防火墙的主要目的就是加强企业网的安全问题，避免非法访问，包括恶意访问、病毒攻击等。防火墙设备均遵循“除非明确允许，否则就禁止”的设计策略，实现安全访问控制功能。它可以根据数据包的性质进行包过滤，数据包的性质有目标和源IP地址、协议类型、源和目的TCP/UDP端口、TCP包的ACK位、出站和入站网络接口等。防火墙在避免非法访问的同时应允许企业网内对公众站点的合法访问。

防火墙一般可分为子网过滤结构的防火墙（单路由器）和主机过滤的防火墙（路由器加服务器），可支持基本的Internet服务，包括Telnet、FTP、SMTP、NNTP、HTTP、DNS等。防火墙一般可分为网络级、应用级和电路级。

NAT是用来解决IP地址短缺及路由规模过大的一种有效方法，通过实施地址转换（NAT），用户在自己的企业网内可通过私有地址实现通信，而只在需要访问公众互联网时才通过NAT设备（如路由器）实现地址转换，将私有地址转换为公用合法地址，与企业网以外的地址进行通信。

除了可以节省地址以外，NAT的另一个功能就是加强企业网的安全，在企业出口增设NAT设备后，由于企业内网采用私有地址，企业网外的地址将无法主动发起通信至企业内网。

1.2 基于H.323/SIP的视讯通信

出于对网络安全问题的考虑，目前大多数企业网均部署了防火墙或者NAT设备。这对基于H.323/SIP协议的视讯通信是存在问题的，H.323协议要求终端之间（或者终端与交换设备之间）使用IP地址和端口建立数据信道，但防火墙通常被设置成限制未经许可的外部数据包进入企业网，因此企业网内部的终端将无法接收外部呼叫（无法做被叫）。对于SIP协议来说也存在同样的问题。而如果是部署了NAT设备的企业网，企业网内部的终端也会由于使用了私有地址而无法接收外部呼叫。如图1所示，终端B将无法接收终端C的呼叫。

图1 防火墙/NAT设备示意图

基于SIP扩展协议或者私有协议开发的即时通信软件同样需要具有穿透防火墙/NAT设备的功能才能够保证企业网内部用户的正常使用。

1.3 标准端口介绍

部署防火墙的主要目的就是保护防火墙内部的计算机不受外部网络的攻击影响，因此如可在防火墙上对某些特定端口进行开放，以允许信令流和数据流通过，从而实现可视电话业务是最理想的方法，因此我们先简单列举一些标准端口。

按端口号可分为3大类：
（1）公认端口（Well Known Ports）：从0到1023，它们紧密绑定于一些服务。通常这些端口的通讯明确表明了某种服务的协议。例如：用于FTP的20和21端口、用于SSH的22端口、用于Telnet的23端口、用于SMTP的25、用于域名服务器的53端口、用于HTTP的80端口、用于POP3的110端口、用于SNMP的161端口、用于网页浏览的443端口等。
（2）注册端口（Registered Ports）：从1024到49151。它们松散地绑定于一些服务。也就是说有许多服务绑定于这些端口，这些端口同样用于许多其它目的。例如：用于Sockets代理的1080端口、用于H.323的1719和1720端口、用于MMS的1755端口、用于QQ的4000端口、用于SIP的5060端口、震荡波攻击的5554端口、用于网页浏览的8080端口等。
（3）动态和/或私有端口（Dynamic and/or Private Ports）：从49152到65535。理论上，不应为服务分配这些端口。实际上，机器通常从1024起分配动态端口。但也有例外：SUN的RPC端口从32768开始。

2       透传防火墙/NAT的实现方式

2.1    防火墙或NAT设备支持标准协议

目前大多数的防火墙以及NAT设备均声明支持H.323或者SIP协议透传，通过开放指定端口或者静态地址映射允许信令流和数据流正常通过。但是由于不同的设备在对H.323或者SIP协议的细节理解不同，往往在与H.323或者SIP终端的配合上表现出不同的结果来。

2.2     应用级网关

应用级网关（Application Layer Gateway），往往跨接在企业内网和公众互联网上，该设备同时被分配私有IP地址和公有IP地址。一般情况下该设备跨接在防火墙/NAT设备上，指定信令流和数据流通过应用级网关传输，同时实现部分防火墙/NAT设备的功能，避免其他不安全的数据通过。有些情况下应用级网关还可仅放置在企业网内部，由它与防火墙/NAT设备完成通信，要求开放特定端口或地址。

使用应用级网关透传的方式比较适合于小型企业网应用，但是由于无法同时透传多层防火墙设备、必须跨接防火墙设备等原因，无法适于多种网络情况。

2.3     VPN技术

VPN技术是目前IP网络上提供安全通信的重要手段之一，在同一个VPN网内即可以保障网络安全，无需考虑防火墙穿越问题，同时还可以提供较高的QoS保障。

VPN方案仅限于VPN内的终端设备进行通信，而无法与公众互联网上的终端进行通信。

2.4     全代理模式（Agent/Server）

针对以上各种方案的有缺点，我们建议透传采用全代理模式，采用Agent/Server结构体系，Agent设备和Server设备分别部署，不依赖于防火墙/NAT设备而存在。在企业内网部署Agent端设备，在公众互联网部署Server端设备。在Agent和Server之间建立透传数据信道。透传支持TCP+UDP模式，信令通过TCP传输，媒体流通过UDP传输；为兼容各类设备和网络类型，缺省情况下均采用通用TCP和UDP端口，比如TCP端口可采用80或443、UDP端口可采用1080等。

以下简单介绍全代理模式下对H.323协议各消息的处理流程，对于SIP协议也可类似处理。