田旭海

摘 要：隨著網(wǎng)絡(luò)通訊信息的發(fā)展，現(xiàn)代視頻通訊信息的需求的增加，傳統(tǒng)的網(wǎng)絡(luò)防火墻技術(shù)已經(jīng)不能滿足人們的安全防護需求了，我們需要根據(jù)現(xiàn)代的網(wǎng)絡(luò)視頻信息通訊現(xiàn)狀對該技術(shù)進行調(diào)整，以保障網(wǎng)絡(luò)防火墻技術(shù)的更好應(yīng)用。

關(guān)鍵詞：網(wǎng)絡(luò)防火墻；通訊信息安全；維護

伴隨著計算機網(wǎng)絡(luò)技術(shù)水平的不斷提高，計算機得到了較為普遍的應(yīng)用。近年來，電子商務(wù)得到了快速的發(fā)展，大多數(shù)企業(yè)開展了網(wǎng)上業(yè)務(wù)，互聯(lián)網(wǎng)網(wǎng)絡(luò)日益增多。網(wǎng)絡(luò)安全問題逐漸顯現(xiàn)出來，其涉及范圍較廣，尤其是網(wǎng)絡(luò)通訊問題，數(shù)據(jù)信息泄露將會對企業(yè)帶來嚴重的影響。網(wǎng)絡(luò)中的TCP/IP協(xié)議，雖然具有靈活性和開放性的特點，但是沒有相關(guān)的安全保障對策實現(xiàn)對網(wǎng)絡(luò)層的保護，網(wǎng)絡(luò)自身具有不安全性。

1.網(wǎng)絡(luò)通訊安全理論分析

網(wǎng)絡(luò)通訊安全，指的是網(wǎng)絡(luò)信息在進行傳播的過程中，數(shù)據(jù)傳輸?shù)陌踩煽啃?，網(wǎng)絡(luò)信息的擁有人員希望信息能夠被合法用戶訪問，且信息沒有出現(xiàn)泄露或者篡改現(xiàn)象，例如，在網(wǎng)絡(luò)中進行傳輸?shù)臄?shù)據(jù)、圖像、傳真以及語音等方面的信息都需要網(wǎng)絡(luò)通訊安全可靠。網(wǎng)絡(luò)通訊的安全性通常情況下被分為四個方面，分別是保密、鑒別、反拒認和完整性控制。其中，保密指的是網(wǎng)絡(luò)信息受到保護，不被沒有權(quán)限的人進行訪問；鑒別指的是在對一些敏感信息或者失誤進行處理時，鑒別對方的身份；反拒認主要和簽名相關(guān)；完整性控制指的是通過郵件來實現(xiàn)的。因此，為了建立一個安全、可靠的網(wǎng)絡(luò)運行環(huán)境，需要建立各種有效的機制，來對存在的具有威脅性的因素、故障進行提前預(yù)防和解決，網(wǎng)絡(luò)安全運行環(huán)境主要具有保密性、完整性、認證性以及不可否認性的特點。

2.網(wǎng)絡(luò)通訊的多層安全結(jié)構(gòu)

2.1 網(wǎng)絡(luò)通訊的多層次安全結(jié)構(gòu)

在網(wǎng)絡(luò)通訊安全理論中，密碼學(xué)在其中發(fā)揮著基礎(chǔ)性的作用。一個健全完整的公開密鑰體系是由權(quán)威認證機關(guān)、數(shù)字證書庫、密鑰備份及恢復(fù)系統(tǒng)、證書作廢系統(tǒng)以及應(yīng)用接口等各個部分構(gòu)成的，公開密鑰體系對于網(wǎng)絡(luò)通訊的安全穩(wěn)定具有十分重要的作用。公開密鑰體系應(yīng)用的范圍比較廣泛，主要運用在虛擬專用網(wǎng)絡(luò)、電子商務(wù)安全領(lǐng)域、安全電子郵件、Web交互安全等方面。

2.2 公開密鑰體系

進行網(wǎng)絡(luò)通訊管理的過程中，公開密鑰體系通過依據(jù)相關(guān)的密鑰管理標準規(guī)范，為任何一個網(wǎng)絡(luò)應(yīng)用提供加密或者數(shù)據(jù)簽名等相關(guān)的密碼服務(wù)和證書，并構(gòu)建需要的密鑰管理體系。密鑰加密技術(shù)包括了單密鑰加密技術(shù)，單密鑰加密技術(shù)指的是通過運用特定的加密密鑰技術(shù)實現(xiàn)對數(shù)據(jù)進行加密工作，在進行解密的過程中，使用的密碼與加密的相同，由此被稱為對稱性加密算法。但是在進行網(wǎng)絡(luò)傳輸?shù)倪^程中使用該種加密技術(shù)，容易導(dǎo)致出現(xiàn)安全漏洞。之所以出現(xiàn)這種情況，是由于在發(fā)送加密數(shù)據(jù)時，需要通過網(wǎng)絡(luò)將密鑰發(fā)送給接受者，進而容易讓第三者截獲加密數(shù)據(jù)，并且在截獲加密數(shù)據(jù)時，只需要將相應(yīng)的密鑰進行再次截獲，進而第三方輕而易舉的將截獲的數(shù)據(jù)進行解密，運用非法的方式對密碼進行使用或者篡改。

2.3網(wǎng)絡(luò)防火墻設(shè)置

網(wǎng)絡(luò)應(yīng)用都是要受到所依托的網(wǎng)絡(luò)運營環(huán)境的制約，從長期來看，這種情況一方面會影響到視頻產(chǎn)品選型、系統(tǒng)結(jié)構(gòu)方案，另一方面還會對網(wǎng)絡(luò)環(huán)境自身的更新?lián)Q代都會產(chǎn)生類似的副作用?？v觀這些影響因素，基于網(wǎng)絡(luò)環(huán)境傳輸條件本身，怎么樣才能更好地解決“防火墻”對視頻通訊系統(tǒng)的影響是所有視頻通訊用戶、建設(shè)單位及視頻生產(chǎn)商甚至網(wǎng)絡(luò)廠商必須直面的一個重要問題。比如協(xié)議中對“握手”的定義，我們可以發(fā)現(xiàn)，H.323和SIP兩種標準體系，保證視頻通訊的過程和網(wǎng)絡(luò)安全的“防火墻”、NAT等機制是必然存在的一對無法回避的矛盾。

3.通訊安全相關(guān)措施

3.1采取網(wǎng)絡(luò)VPN開放設(shè)置

該方法一般來說是采取視頻音頻設(shè)備自身升級換代為主要手段，基本不觸動使用網(wǎng)絡(luò)的基礎(chǔ)設(shè)備的改造，十分有利于成本降低，主要是直接將視頻設(shè)備放置在DMZ區(qū)或直接放置在外網(wǎng)，然而這種方法這要對基本喪失對視頻產(chǎn)品進行網(wǎng)絡(luò)安全保護為重要代價，另外和內(nèi)網(wǎng)之間本來的“絕緣”沒有取消，就很難在桌面實現(xiàn)對音頻視頻的應(yīng)用。所以這種辦法比較適合在全網(wǎng)有較好的安全保障的專網(wǎng)使用，或在VPN內(nèi)部使用。

3.2選用支持NAT的視頻產(chǎn)品

由于H.323產(chǎn)品在呼叫信息的有效數(shù)據(jù)包中包含了本地的地址信息，在經(jīng)過NAT轉(zhuǎn)換后，被邀請端設(shè)備難以給予有效應(yīng)答，因而部分H.323產(chǎn)品通過在呼叫過程中，將有效的NAT映射地址取代本地私有地址來完成呼叫應(yīng)答，解決了地址解析問題。如VTEL公司的VISTA系列產(chǎn)品，不但可以支持NAT的地址解析，還可以指定NAT端口，便于網(wǎng)絡(luò)設(shè)置。這種方案對單一NAT機制比較有效，如ADSL等PPPOE網(wǎng)絡(luò)環(huán)境下，可以不附加其他網(wǎng)絡(luò)或H.323設(shè)備，就可以解決問題。

3.3代理服務(wù)器

H.323代理服務(wù)器是為解決防火墻/NAT環(huán)境下，實現(xiàn)H.323通信的一種“非標準”H.323設(shè)備，在標準的H.323系統(tǒng)中沒有它的嚴格意義的定位。和Internet代理服務(wù)器一樣，它同樣被置于網(wǎng)絡(luò)的DMZ區(qū)，在實際呼叫過程中所有的內(nèi)外網(wǎng)的呼叫都通過它來“中繼”，即代理服務(wù)器將一個呼叫轉(zhuǎn)換成為由它發(fā)起的兩個呼叫來完成，從而繞過了防火墻的限制。使用代理服務(wù)器不需要防火墻/NAT設(shè)備以及H.323設(shè)備的特殊支持，實現(xiàn)比較容易，但由于代理服務(wù)器本身能力的限制，對呼叫數(shù)量以及數(shù)據(jù)交互量的規(guī)模都有一定的影響，同時，使用H.323代理服務(wù)器對視頻網(wǎng)絡(luò)建設(shè)成本的影響，也是需要根據(jù)實際情況考慮的一個問題。

4.結(jié)束語

隨著網(wǎng)絡(luò)技術(shù)的應(yīng)用范圍越來越廣，網(wǎng)絡(luò)逐漸承載了人們生活和生產(chǎn)各方面的信息。這種情況下，保證網(wǎng)絡(luò)通訊的安全性和可靠性就顯得尤為重要。本文中將主要針對網(wǎng)絡(luò)防火墻這種網(wǎng)絡(luò)通訊安全防護技術(shù)展開討論。

參考文獻：

[1]龔長林.軟交換網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計相關(guān)安全問題探討[J].大觀周刊，2011

[2]孫兵.網(wǎng)絡(luò)通訊的多層安全結(jié)構(gòu)探討[J].中國電子商務(wù)，2013endprint