Alan Johnston, John Yoakum, Kundan Singh, Avaya公司
企业与防火墙
企业利用防火墙迫使IP在其网络的边缘执行政策。这些政策与被允许连入网站和源的人员有关。防火墙通常通过5-元组(源与目的IP地址,源与目的端口,以及传输协议)规定施行。其他防火墙利用深度的数据包检测来决定应用所使用的传输连接以及其特性。典型的,防火墙设备含有过滤和地址映射技术,后者又被称为NAT技术。传统的防火墙是被设计用来处理客户端-服务器协议的,比如网页浏览,电子邮件,以及文件传输。一个客户端-服务器数据包从防火墙内被送到防火墙外,通常会在防火墙上产生一个孔洞,这样以来此数据包在逆5-元组流中就不会被阻挡住。P2P通信系统以及协议对于防火墙和其他策略强制设备来说是一个更大的挑战。
实时传输协议(RTP)数据包中的实时通信流通常会被称为P2P流。也就是说,他们会京城在两个通信设备之间被直接定义。服务器经常会用来帮助定义这些流,但是通过这些服务器媒体会话的路由通常是不满足要求的。原因如下:
- 实时通信媒体流对于时延或者延迟十分的敏感。P2P流通常来讲会产生最低的可能时延。
- 直接P2P媒体流通常比传播的通信量有更少的IP中继,这会使产生丢包的概率降低。
- 提供信令的服务器通常不会按照地理位置分配设置;它们作为媒体传输也不具备足够的带宽。
P2P流一直以来都很能通过企业的防火墙。在SIP的早期阶段VoIP的发展和测试会经常遇到“单向媒体问题”,也就是媒体可以从防火墙内侧被送出去,但是逆向的流媒体会被阻挡住。这种现象会出现在信令能够从防火墙穿过的时候发生。
为了能够使穿透防火墙变得更简单而做了大量的研究。其中包括:
- 对称RTP。这种双向的媒体传输方式实际上是由两个非双向RTP流组成的。尤其是,消费者和工作人员使用相同的UDP端口来发送和接收RTP数据流。使用对称RTP,会使这两个单独的RTP流看起来更像是一个独立的双向流,从而更容易穿透防火墙。
- 交互式连通建立方式(ICE),规范化了被P2P游戏玩家所开发的“打洞”技术。这项技术通过检测双向发来的数据包来建立一个防火墙和NAT设备内的过滤准则。
对于企业防火墙的穿透,当今使用最多的技术是会话边缘控制器(SBC)。