視頻監控系統內外網同時訪問設計

張劍英，牛和珠

(中國礦業大學 信息與電氣工程學院，江蘇 徐州221008)

責任編輯:任健男

礦區數字視頻監控系統往往是建立在一個專有的局域網內，傳統上內網和外網是物理隔離的，內外網無法進行文件交流[1]，所以外網用戶不能實時預覽礦上監控點圖像。而在礦上實際應用中卻需要在外網對各個監控點做隨時的視頻預覽，比如皮帶科人員想檢查皮帶的工作情況，就會去看在皮帶上監控點的視頻圖像，如果每次都去視頻監控機房必然是不合理，既不方便，也失去了實時監控的意義。

根據礦上實際應用，本文提出了一種結合防火墻配置以及利用現有視頻監控系統簡便解決外網用戶實時預覽的方案，通過該方案內外網用戶可以同時對視頻監控圖像進行實時預覽。

1 內外網隔離方案

企業信息化的應用程度隨著Internet技術的高速發展在不斷升級，工作效率有了很大提高，但同時也帶來了病毒木馬破壞、黑客入侵等嚴重的安全問題，給企業造成了損失。網絡隔離技術是企業網絡安全防御中重要的手段之一，在一定程度上能滿足企事業單位對網絡信息安全的需求。目前主要采用的隔離技術有以下5種方案[2]:完全物理隔離、隔離卡雙網卡雙硬盤、隔離網閘、基于虛擬桌面的雙網隔離、邏輯機制隔離。表1給出了5種方案的對比。

表1 內外網隔離的5種方案比較

由表1可以看出，后三種方案比較適用于企業網絡的安全隔離。但由于視頻監控的實時性、大數據量，所以基于虛擬桌面的雙網隔離方案并不適用于視頻環網和辦公網之間的連接。

安全隔離網閘又名“網閘”、“物理隔離網閘”，能實現有限的數據交流并確保較高的安全性。由于網閘的設計目標限制，并不適用于所有的應用環境，只能應用在一些特定的領域。目前實際應用的網閘一般支持Web、MAIL、SQL、文件等幾大應用，現在也出現了支持視頻會議的應用，但是鑒于部署困難、成本高等因素，亦不適用在視頻監控網絡中。

邏輯機制隔離應用最廣的是防火墻，它的主要作用是限制外來用戶對內部專有網絡訪問、管理內部用戶訪問外部網絡。防火墻基于內部設定的安全策略，檢查網絡中的鏈接方式，以此來允許或隔離網絡之間的通信，同時實時監控網絡運行的狀態。合理地配置防火墻，可以有效防止非法用戶的網絡入侵，極大地降低計算機網絡的安全風險。目前防火墻已經普遍應用在礦區網絡中，所以本文基于現有防火墻來進行內外網同時訪問流媒體視頻監控系統的設計。

2 流媒體視頻監控系統

本文的設計方案是基于TCP/IP網絡平臺的流媒體視頻監控系統。其中管理服務器是整個視頻監控系統的核心，實現對前端設備、視頻服務器設備、媒體分發單元、各應用模塊、客戶的管理。所有客戶端的操作請求首先到達管理服務器，對用戶的操作請求進行權限認證[3]。圖1給出了流媒體數字視頻監控系統的邏輯圖。

圖1 流媒體數字視頻監控邏輯圖

礦上常用的網絡有工業以太環網、視頻監控環網以及辦公網等，考慮礦區網絡環境，在架構網絡的時候通過防火墻將各個不同的網絡予以隔離。圖2所示的是在某礦區視頻環網和辦公網的網絡結構圖，在此稱視頻環網為內網，辦公網為外網。

圖2 礦區網絡結構圖

3 內外網同時訪問視頻監控系統

結合礦區網絡設備，可以考慮通過防火墻做靜態映射[4](Static Network Address Translation，SNAT)，把管理服務器和流媒體服務器組的IP地址映射為外網IP地址，這樣外網用戶可以通過登錄管理服務器的外網IP地址獲取相應的許可文件，再通過流媒體服務器組的外網IP地址獲取視頻數據流，于是就實現了在外網實時瀏覽視頻圖像的目的。以思科PIX515防火墻為例，用static語句將內網IP映射到外網IP，語句實現如下:“static(inside，outside)外 網IP內 網IP”。例 如“static(inside，outside)172.70.0.12 192.168.2.6”語句將內網192.168.2.6靜態映射到外網172.70.0.12使用。

圖3所示為網絡配置示意圖。

圖3 網絡配置示意圖

這里還有一個問題就是如何獲取流媒體服務器組的外網IP地址，因為在管理服務器上，為每一個區域添加的流媒體服務器IP地址都是內網的IP，即使外網用戶可以登錄管理服務器獲取到許可文件，外網用戶獲取的仍然是流媒體服務器內網的IP，獲取不到視頻流數據。

管理服務器有一個重要功能就是用戶權限配置，它可以對每一個用戶進行視頻預覽、云臺控制等權限配置。利用這一功能，可以在管理服務器添加設備的時候添加兩個區域，分別作為內網區域和外網區域，內網區域中添加的流媒體服務器IP地址都是內網的IP，外網區域中添加的流媒體服務器IP地址都是外網的IP，通過用戶權限功能，分別給相應網段的用戶相應區域的權限，即內網用戶擁有內網區域的權限，外網用戶擁有外網區域的權限。外網用戶在登錄管理服務器后獲取的許可文件中流媒體服務器的IP地址都是外網的IP，就可以通過流媒體服務器獲取到視頻數據流。圖4給出了內外網同時訪問視頻監控系統方案的示意圖。

圖4 內外網同時訪問視頻監控系統方案示意圖

通過在某礦區實際測試，外網用戶完全可以正常預覽實時視頻圖像。

4 結束語

本文在現有的視頻監控系統上，結合礦區網絡情況，利用防火墻靜態映射把視頻監控系統中管理服務器和流媒體服務器映射到外網中，利用管理服務器用戶權限功能實現對內外網用戶獲取流媒體服務器內外網IP地址的控制，實現了在內網和外網中同時使用視頻監控系統的目的。該方法簡單實用，穩定性好，已在某煤礦得到應用，現場反映應用效果較好。

[1]廖龍俊.內外網同時訪問技術[J].網管員世界，2011(3):73-74.

[2]紀兆琳.內外網雙網隔離方案淺析[J].內燃機車，2011(9):32-34.

[3]胡浩，王鋒.基于DM368的智能視頻監控系統設計[J].電視技術，2012，36(9):124-126.

[4]何曉輝.防火墻作橋梁聯通內外網[J].網管員世界，2010(4):145.