网络防火墙与通讯信息安全刍议

摘要：随着网络技术的应用范围越来越广，网络逐渐承载了人们生活和生产各方面的信息。这种情况下，保证网络通讯的安全性和可靠性就显得尤为重要。本文中将主要针对网络防火墙这种网络通讯安全防护技术展开讨论。

关键词：网络防火墙 通讯信息安全 维护

1、视频通讯安全的网络标准体系刍议

现代社会中人们对于通讯信息的要求已经不仅仅满足于信息文字的传输，而越来越多的选择视频通讯信息的交流方式。所以，基于IP系统的网络传输环境建立的视频通信网，被各种企事业单位广泛的采用，这种通信网的使用优势不仅在于可以大大的降低通讯成本，还可以简化操作和控制流程，有利于相关部门的监督和管理工作的执行，所以，是目前最普遍的一种通讯网形式。

另外，基于IP系统的通信网是严格按照国际上的相关标准制定的饿，符合国际运行安全标准的通信网。实践证明现行的IP通信网的安全防护系统已经较为成熟。

2、网络防火墙设置应用与视频通讯信息安全的维护

正如我们所知道的，一般的网络应用程序都是要受到其所依托的网络运营环境的制约，不论是基于H.323标准体系的视频通讯，还是基于SIP的标准体系。从长远规划来看，这样的情况一方面会影响到视频产品选型以及系统结构的方案，另一方面还会对网络环境自身的更新换代产生类似的副作用。纵观这些影响因素，基于网络环境传输条件本身，怎么样才能更好地解决“防火墙”设置应用问题从而改善其对视频通讯系统的影响是所有的视频通讯用户、视频通讯设备建设单位、视频生产商甚至网络厂商必须直接面对的一个重要问题。比如通过对协议中对“握手”的定义，我们可以发现，H.323和SIP有两种体系的标准。而同时保证视频通讯过程和网络安全的“防火墙”、NAT等机制存在的则是无法回避的矛盾。

那么我们所知道的关于常用的 “防火墙”，其安全性能的工作原理主要是利用屏蔽掉外部数据对受保护的网络通讯中计算机的数据链接，而仅仅依靠开放少数指定的地址和通信端口，来确保Internet服务器等工作设备的正常使用。

我们通过调查分析得出，现在各企事业单位、国家各机关网络通信安全情况，均处于平衡饱和状态，这些单位和机关在保护措施的选择上通常是“防火墙”和NAT同时并用，即在被保护的网络中单独设置一个DMZ区域供Internet及E-ma il等服务器共享，把在办公室内使用的计算机统一起来放在一个网络当中，即受保护的位置，那么内网之外的数据如果想要被内网接收就需要设置一个转换设备才能达到，然而这样保护起来则使位于内网的A要与位于外网的B实现某种信息共享，或者视频传输就存在一定的困难，因此就需要研发出一种新型的通讯设备来联络内外网的互通关系。我们能想象的到常用的网络通讯数据传输通讯在这样的网络结构模式下，一般进行内外网的互访是没有任何的障碍的，但是对于特殊的、非常规的网络应用来说，基于H.323体系或者SIP体系的视频音频通讯设备进行互通的数据集，也就是我们所说的“握手”时，提出交换数据申请的一方在数据传输过程中会把自己的IP地址包含在内，但是这个IP地址是处于非公开状态的、含有隐私意义的私人有效地址，这样一来就会遭到所设置的网络防护墙的安全隔离，一旦在指定时间内不能及时的作出回应，另一接受数据的端口就视为对方拒绝回应。所以仅仅依靠开放端口进行补救两端的信息传递、互通数据，对于有严格合法性、“同源性”检查的H.323网络信息通讯系统来说是很困难的。即：视频音频数据能从一端传送到另一端，但对于处于接收端位置的网络系统来说，却很难做出回应。此类现象在实际的视音频网络通讯过程是经常出现的状况。

那么如何既能很好地传递相互间的信息，又能保证视频音频通讯安全呢？关于这点，网络设备商和运行商都做了很多有益的探索，成效也是有目共睹的，他们的做法比较一致，即通过更新系统标准或者建立与原系统标准相兼容的防火墙设备，尽量在广大的用户中推广新的防火墙替代品，或者是加强研发团队的不断升级、更新换代从而拥有更多、更丰富的功能。

3、相关措施进行了探讨

3.1 采取网络VPN开放设置

该方法一般说来是采取视频音频设备的自身升级换代为主要手段，基本不改变所使用网络的基础设备的改造，在降低成本这方面十分有利。这样操作的方法主要是直接将视频设备放置在DMZ区或直接放置在外网，然而这种方法是以基本丧失对视频产品进行网络安全保护为重要代价，另外和内网之间本来的“绝缘”没有取消，就很难在桌面上实现对音频视频的应用。所以这种办法目前比较适合在有较好的安全保障的专网使用，或在VPN的内部使用。

3.2 选用支持NAT的视频产品

由于H.323产品在应用过程中会显示用户的基本信息，所以必须对其信息进行加密，然后再经过NAT的转换，被邀请端的设备难以给予有效的应答，因而部分H.323产品通过在呼叫过程中，将用有效的NAT映射地址取代本地私有地址来完成呼叫应答，这样就解决了地址解析问题。如VTEL公司的VISTA系列产品，不但可以支持NAT的地址解析，还可以指定NAT端口，这样做更有利于网络设置。这种方案对单一NAT机制十分有效，如ADSL等PPPOE网络环境下，可以在不附加其他网络或H.323设备的基础上解决问题。

3.3 服务器

使用服务器不需要防火墙NAT设备以及H.323设备的特殊支持，实现比较容易，但由于服务器本身能力的限制，对于呼叫数量以及数据的交换量的规模都有相应的制约，同时，使用H.323服务器对视频网络建设成本的影响，也是需要根据实际情况考虑的一个基本问题。如果当本地只有一台视频终端时，使用服务器则不是一个经济划算的解决方案。

综上所述，网络防火墙技术是保证网络通讯信息安全的一个重要技术，一直以来为网络信息的安全防护起到了重要的作用，但是随着网络通讯信息的发展，现代视频通讯信息的需求的增加，传统的网络防火墙技术已经不能满足人们的安全防护需求了，我们需要根据现代的网络视频信息通讯现状对该技术进行调整，以保障网络防火墙技术的更好应用。