軟件視頻會議防火墻確保交流暢通無阻

　　軟件視頻會議系統(tǒng)已經(jīng)成為企業(yè)信息化建設(shè)、電子政務(wù)建設(shè)的一個越來越重要的組成部分。與傳統(tǒng)的基于硬件的視頻會議系統(tǒng)相比較，軟件系統(tǒng)可以方便地在包括互聯(lián)網(wǎng)、局域網(wǎng)、專網(wǎng)等任何IP網(wǎng)絡(luò)上部署，這樣就極大程度地滿足了人們對于視頻會議系統(tǒng)的靈活部署需求和對現(xiàn)有網(wǎng)絡(luò)的充分利用。因此，在諸多行業(yè)進行信息化建設(shè)和規(guī)劃的過程中，軟件視頻會議系統(tǒng)的產(chǎn)品選型和系統(tǒng)實施日益成為相關(guān)決策者所考慮的一個重要問題。

　　軟件視頻會議系統(tǒng)的選型可能會涉及到多個指標，包括視音頻質(zhì)量、數(shù)據(jù)共享功能、會議管理控制功能、與即時通信系統(tǒng)的結(jié)合、多播功能的應(yīng)用等。在這其中非常重要的一個指標就是對網(wǎng)絡(luò)的適應(yīng)性和對防火墻的穿透能力，因為無論功能如何強大和全面，保證系統(tǒng)的連通是一個最基本也是一個關(guān)鍵要素。試想，如果連服務(wù)器都無法訪問的話，多么豐富的功能都無法應(yīng)用和嘗試，視頻會議的強大和便利更無從說起了。

　　從目前的發(fā)展狀況來看，各企業(yè)、政府機關(guān)等用戶在網(wǎng)絡(luò)規(guī)劃過程中越來越重視網(wǎng)絡(luò)的安全性和防火墻的建設(shè)。這既反映了隨著用戶的不斷成熟而對自身網(wǎng)絡(luò)安全問題的日趨重視，同時也是在目前網(wǎng)上各種病毒、黑客泛濫的實際情況下，不得已而為之的一種保護措施。提起2003年曾經(jīng)一度給人們正常工作和通信帶來極大干擾的“沖擊波”病毒，很多人記憶猶新，也正是這些個反反復(fù)復(fù)的攻擊、侵害，使得大多數(shù)用戶在未來的信息建設(shè)規(guī)劃中將安全策略放在一個極其重要的位置來首先考慮。防火墻的部署和網(wǎng)絡(luò)安全策略的規(guī)劃已經(jīng)成為企業(yè)網(wǎng)和政務(wù)網(wǎng)建設(shè)中所需要重點考慮的一個內(nèi)容。今年五一黃金周期間，一個新的病毒“震蕩波”又開始在互聯(lián)網(wǎng)上肆虐，造成機器運行緩慢、網(wǎng)絡(luò)堵塞，并使系統(tǒng)不停的進行倒計時重起，對于很多網(wǎng)絡(luò)安全防范不是很周密的用戶造成了很大的干擾和影響，網(wǎng)絡(luò)管理部門忙于救火……

　　網(wǎng)絡(luò)用事實再一次告訴我們，安全部署和防火墻設(shè)置已經(jīng)越來越成為企業(yè)一等一的大事，而其他系統(tǒng)的應(yīng)用，都需要服從網(wǎng)絡(luò)安全管理這一要求，無論對軟件視頻會議還是其他的系統(tǒng)應(yīng)用，這都是一個準則。

　　另一方面，防火墻的應(yīng)用不可避免的對網(wǎng)絡(luò)多媒體通信產(chǎn)生了很多較為負面的影響。防火墻的應(yīng)用主要是對一些端口、協(xié)議、規(guī)則進行限制，以避免一些不法的程序和應(yīng)用進入或攻擊網(wǎng)絡(luò)。因此，在防火墻的應(yīng)用中，只允許開放少數(shù)端口和協(xié)議，而大部分的端口和協(xié)議都是要被關(guān)閉的，以保證不受各種病毒侵擾。其中一些防范措施特別嚴格的單位（如重要政府機關(guān)、外企、大型企業(yè)等）往往只開放諸如HTTP 80上網(wǎng)端口等少數(shù)幾個端口，其余端口基本上是關(guān)閉的，而從目前網(wǎng)絡(luò)安全狀況和人們越來越警覺的防范意識來看，這將是一種必要的趨勢。因此，針對用戶越來越嚴格的網(wǎng)絡(luò)設(shè)置和措施，如何使用和部署視頻會議，如何保證不會因為視頻會議的應(yīng)用給網(wǎng)絡(luò)安全帶來漏洞和隱患，將成為決策者所必須考慮的一個問題。

　　作為網(wǎng)絡(luò)多媒體通訊應(yīng)用的代表，軟件視頻會議系統(tǒng)會涉及到音頻、視頻、數(shù)據(jù)、控制等諸多信息的傳輸，這些數(shù)據(jù)的傳輸通常會用到多個端口和協(xié)議(如TCP端口、UDP端口等)來保證實時通信效率，但這種傳輸及應(yīng)用的方式會對用戶正常的網(wǎng)絡(luò)應(yīng)用產(chǎn)生很大的困擾。如果不按照這些產(chǎn)品的要求來開放端口，則這個產(chǎn)品就無法正常的進行連接通信和投入使用；如果按照這些端口要求來設(shè)置則防火墻會漸漸成為千瘡百孔的篩子，失去了過濾和保護的意義。此外，企業(yè)在上網(wǎng)方式的規(guī)劃中可能會采用各種代理（Proxy）方式，甚至包括多種代理服務(wù)器、網(wǎng)關(guān)、防火墻、VLAN、VPN等多層設(shè)置的狀況，這些代理方式及類似的網(wǎng)絡(luò)連接和安全方式在實際應(yīng)用上對于許多視頻會議系統(tǒng)而言也形成了難以逾越的障礙。

　　目前，大部分視頻會議系統(tǒng)（包括硬件系統(tǒng)與軟件系統(tǒng)）要在有防火墻/NAT的環(huán)境下實施時，一般采取以下幾種方法：

　　(1)說服客戶不使用防火墻/NAT。這個方法聽起來很可笑，但是確實有很多客戶最終因為種種原因接受了這種建議，特別是一些尚未深刻了解到網(wǎng)絡(luò)安全重要性的客戶。此外，也有一些客戶采用為了視頻會議系統(tǒng)應(yīng)用而專門部署另一套與現(xiàn)有企業(yè)網(wǎng)絡(luò)隔絕的體系，申請專用線路和專用的IP地址等，這是一種有效的做法，但是投資也是非常巨大的，對很多用戶來說并不適合。

　　(2)將系統(tǒng)放在非軍事化區(qū)(Demilitarized Zone)。即將視頻會議系統(tǒng)放在企業(yè)外網(wǎng)沒有防火墻/NAT等保護的地方。這樣的話，即使受到攻擊，對公司內(nèi)網(wǎng)的安全性也不會產(chǎn)生影響。

　　(3)采用設(shè)置、配置和開啟應(yīng)用層網(wǎng)關(guān)或代理服務(wù)器等解決方案。這些方案都不是視頻會議的標準組件，但如果需要安全的解決視頻會議與防火墻的共存，只能采用這些方案。這些方案往往是需要開放一些適應(yīng)于視頻會議應(yīng)用的端口、規(guī)則、協(xié)議，這樣則失去了防火墻嚴密的防范意義。

　　以上3種方案，有的是以犧牲系統(tǒng)安全性為代價的，有的則是以增加系統(tǒng)復(fù)雜度，增加客戶投資為代價的。應(yīng)該說，對用戶而言，這些都不是最理想的解決方案，用戶所需要的往往是在對現(xiàn)有網(wǎng)絡(luò)安全設(shè)置不進行任何改動、以及在將來的網(wǎng)絡(luò)安全方面不會造成任何隱患的情況下，只要能夠上網(wǎng)就可以進行視頻會議功能。

　　盡管以往這些并沒有被各個軟件視頻會議廠商所重視，但防火墻的穿透能力目前已經(jīng)逐漸成為業(yè)內(nèi)知名廠商所關(guān)注的一個技術(shù)層面。無論是在海外市場開發(fā)拓展，還是在國內(nèi)一些大型企業(yè)的實施過程中，防火墻問題都是一個首先凸現(xiàn)的關(guān)鍵要素。目前，中小企業(yè)對防火墻問題的關(guān)注相對較少，但隨著網(wǎng)絡(luò)問題的日益突出和相關(guān)人員意識的不斷加強，中小企業(yè)的防火墻部署也將會越來越專業(yè)和嚴密。

　　在傳輸協(xié)議方面，為了更好地穿透防火墻的阻礙，軟件視頻會議系統(tǒng)在選擇支持RTP協(xié)議的同時，還需要通過標準的HTTP協(xié)議來實現(xiàn)音視頻的傳輸。因為無論多么嚴格的防火墻，都會將HTTP協(xié)議作為一個基本的通信協(xié)議而打開，否則就相當于將網(wǎng)絡(luò)與外界完全斷開。所以，當軟件視頻會議系統(tǒng)可以通過HTTP對音視頻進行傳輸時，就相當于用戶只要上網(wǎng)就可以使用視頻會議。

　　另一方面，除了協(xié)議層的設(shè)置之外，很多企業(yè)在防火墻設(shè)置中往往會對端口進行屏蔽，以避免病毒或一些惡意程序的攻擊，所以一般只會開放Http 80等幾個有限的上網(wǎng)訪問、收發(fā)郵件、FTP上傳下載等端口。針對這種情況，可以將所有的數(shù)據(jù)訪問都封裝為一個Http端口的訪問，并通過專有的處理技術(shù)保證了即便在所有的音視頻、數(shù)據(jù)、控制管理等信息通過一個Http端口時，對通信的效率影響也非常小。因此，這種以HTTP隧道技術(shù)為核心的防火墻完全穿透策略，保證了用戶無論通過什么樣的代理服務(wù)器或防火墻，只要能夠訪問網(wǎng)絡(luò)（意味著在最嚴格情況下只開放一個上網(wǎng)端口）就能夠通過軟件視頻會議系統(tǒng)實現(xiàn)視頻會議的全部功能。用戶可以在不增加投資，不犧牲網(wǎng)絡(luò)安全性的條件下使用視頻會議。

　　這種基于HTTP隧道的防火墻解決策略包括以下幾個特點：首先，該產(chǎn)品的防火墻適應(yīng)性部署采取了非常智能的規(guī)劃機制，對于NAT、HTTP代理等絕大多數(shù)上網(wǎng)形式無需任何設(shè)置便可以穿透，對于Socks代理也提供了非常簡便的解決機制；其次，在同一個系統(tǒng)上，用戶可根據(jù)自己網(wǎng)絡(luò)情況隨時選擇是否通過HTTP隧道進行訪問，而進入隧道的方式也非常的方便易用；再者，采用HTTP隧道技術(shù)保證了即便通過一個惟一開放的上網(wǎng)端口也可以進行視頻會議，真正的體現(xiàn)了軟件視頻會議靈活、方便、易接入的特點。HTTP隧道同時也提高了會議數(shù)據(jù)的傳輸安全性。

　　隨著防火墻越來越嚴密，該項技術(shù)也受到了許多關(guān)注企業(yè)網(wǎng)絡(luò)安全問題的用戶的普遍關(guān)注。特別是一些設(shè)置了多層防火墻和代理服務(wù)器混合的復(fù)雜情況下的應(yīng)用，在實際測試中，這種解決方案取得了令用戶信服的結(jié)果。