網絡防火墻與通訊信息安全芻議

田旭海

摘 要：隨著網絡通訊信息的發展，現代視頻通訊信息的需求的增加，傳統的網絡防火墻技術已經不能滿足人們的安全防護需求了，我們需要根據現代的網絡視頻信息通訊現狀對該技術進行調整，以保障網絡防火墻技術的更好應用。

關鍵詞：網絡防火墻；通訊信息安全；維護

伴隨著計算機網絡技術水平的不斷提高，計算機得到了較為普遍的應用。近年來，電子商務得到了快速的發展，大多數企業開展了網上業務，互聯網網絡日益增多。網絡安全問題逐漸顯現出來，其涉及范圍較廣，尤其是網絡通訊問題，數據信息泄露將會對企業帶來嚴重的影響。網絡中的TCP/IP協議，雖然具有靈活性和開放性的特點，但是沒有相關的安全保障對策實現對網絡層的保護，網絡自身具有不安全性。

1.網絡通訊安全理論分析

網絡通訊安全，指的是網絡信息在進行傳播的過程中，數據傳輸的安全可靠性，網絡信息的擁有人員希望信息能夠被合法用戶訪問，且信息沒有出現泄露或者篡改現象，例如，在網絡中進行傳輸的數據、圖像、傳真以及語音等方面的信息都需要網絡通訊安全可靠。網絡通訊的安全性通常情況下被分為四個方面，分別是保密、鑒別、反拒認和完整性控制。其中，保密指的是網絡信息受到保護，不被沒有權限的人進行訪問；鑒別指的是在對一些敏感信息或者失誤進行處理時，鑒別對方的身份；反拒認主要和簽名相關；完整性控制指的是通過郵件來實現的。因此，為了建立一個安全、可靠的網絡運行環境，需要建立各種有效的機制，來對存在的具有威脅性的因素、故障進行提前預防和解決，網絡安全運行環境主要具有保密性、完整性、認證性以及不可否認性的特點。

2.網絡通訊的多層安全結構

2.1 網絡通訊的多層次安全結構

在網絡通訊安全理論中，密碼學在其中發揮著基礎性的作用。一個健全完整的公開密鑰體系是由權威認證機關、數字證書庫、密鑰備份及恢復系統、證書作廢系統以及應用接口等各個部分構成的，公開密鑰體系對于網絡通訊的安全穩定具有十分重要的作用。公開密鑰體系應用的范圍比較廣泛，主要運用在虛擬專用網絡、電子商務安全領域、安全電子郵件、Web交互安全等方面。

2.2 公開密鑰體系

進行網絡通訊管理的過程中，公開密鑰體系通過依據相關的密鑰管理標準規范，為任何一個網絡應用提供加密或者數據簽名等相關的密碼服務和證書，并構建需要的密鑰管理體系。密鑰加密技術包括了單密鑰加密技術，單密鑰加密技術指的是通過運用特定的加密密鑰技術實現對數據進行加密工作，在進行解密的過程中，使用的密碼與加密的相同，由此被稱為對稱性加密算法。但是在進行網絡傳輸的過程中使用該種加密技術，容易導致出現安全漏洞。之所以出現這種情況，是由于在發送加密數據時，需要通過網絡將密鑰發送給接受者，進而容易讓第三者截獲加密數據，并且在截獲加密數據時，只需要將相應的密鑰進行再次截獲，進而第三方輕而易舉的將截獲的數據進行解密，運用非法的方式對密碼進行使用或者篡改。

2.3網絡防火墻設置

網絡應用都是要受到所依托的網絡運營環境的制約，從長期來看，這種情況一方面會影響到視頻產品選型、系統結構方案，另一方面還會對網絡環境自身的更新換代都會產生類似的副作用。縱觀這些影響因素，基于網絡環境傳輸條件本身，怎么樣才能更好地解決“防火墻”對視頻通訊系統的影響是所有視頻通訊用戶、建設單位及視頻生產商甚至網絡廠商必須直面的一個重要問題。比如協議中對“握手”的定義，我們可以發現，H.323和SIP兩種標準體系，保證視頻通訊的過程和網絡安全的“防火墻”、NAT等機制是必然存在的一對無法回避的矛盾。

3.通訊安全相關措施

3.1采取網絡VPN開放設置

該方法一般來說是采取視頻音頻設備自身升級換代為主要手段，基本不觸動使用網絡的基礎設備的改造，十分有利于成本降低，主要是直接將視頻設備放置在DMZ區或直接放置在外網，然而這種方法這要對基本喪失對視頻產品進行網絡安全保護為重要代價，另外和內網之間本來的“絕緣”沒有取消，就很難在桌面實現對音頻視頻的應用。所以這種辦法比較適合在全網有較好的安全保障的專網使用，或在VPN內部使用。

3.2選用支持NAT的視頻產品

由于H.323產品在呼叫信息的有效數據包中包含了本地的地址信息，在經過NAT轉換后，被邀請端設備難以給予有效應答，因而部分H.323產品通過在呼叫過程中，將有效的NAT映射地址取代本地私有地址來完成呼叫應答，解決了地址解析問題。如VTEL公司的VISTA系列產品，不但可以支持NAT的地址解析，還可以指定NAT端口，便于網絡設置。這種方案對單一NAT機制比較有效，如ADSL等PPPOE網絡環境下，可以不附加其他網絡或H.323設備，就可以解決問題。

3.3代理服務器

H.323代理服務器是為解決防火墻/NAT環境下，實現H.323通信的一種“非標準”H.323設備，在標準的H.323系統中沒有它的嚴格意義的定位。和Internet代理服務器一樣，它同樣被置于網絡的DMZ區，在實際呼叫過程中所有的內外網的呼叫都通過它來“中繼”，即代理服務器將一個呼叫轉換成為由它發起的兩個呼叫來完成，從而繞過了防火墻的限制。使用代理服務器不需要防火墻/NAT設備以及H.323設備的特殊支持，實現比較容易，但由于代理服務器本身能力的限制，對呼叫數量以及數據交互量的規模都有一定的影響，同時，使用H.323代理服務器對視頻網絡建設成本的影響，也是需要根據實際情況考慮的一個問題。

4.結束語

隨著網絡技術的應用范圍越來越廣，網絡逐漸承載了人們生活和生產各方面的信息。這種情況下，保證網絡通訊的安全性和可靠性就顯得尤為重要。本文中將主要針對網絡防火墻這種網絡通訊安全防護技術展開討論。

參考文獻：

[1]龔長林.軟交換網絡結構設計相關安全問題探討[J].大觀周刊，2011

[2]孫兵.網絡通訊的多層安全結構探討[J].中國電子商務，2013endprint