如今人們又將NAT引入一個新的應(yīng)用領(lǐng)域，這就是VoIP安全應(yīng)用。
　　作為一類標(biāo)準(zhǔn)Internet技術(shù)，NAT能實(shí)現(xiàn)讓內(nèi)部LAN通信運(yùn)用一套IP地址，而外部通信采用另一套IP地址。這在現(xiàn)行IPv4協(xié)議環(huán)境下意義重大，因?yàn)槭艿綐?biāo)題域限制，該協(xié)議方式用于標(biāo)識終端站點(diǎn)的全球IP相當(dāng)有限。通過分離Internet（公共域）與LAN（專用域）地址，相對于單一的全球地址分配機(jī)制來說，很多地址可以節(jié)省下來。
　　但如果某個終端用戶的專用地址不為LAN以外的其他用戶知曉，外部數(shù)據(jù)流如何才能傳送到目標(biāo)呢？這就是NAT要解決的問題。運(yùn)用NAT技術(shù)，IT主管只需要為整個LAN分配一個公用IP地址，這個地址配置于防火墻，用于接收所有外部通信。防火墻運(yùn)用NAT對輸入通信的IP地址標(biāo)題進(jìn)行處理，公用地址隨后被LAN中預(yù)定進(jìn)行通信的終端用戶專用地址所取代（如果輸入通信不符合防火墻配置策略，則將其阻塞）。采用這種方式，網(wǎng)絡(luò)主管能夠運(yùn)用未注冊IP地址連接到Internet，并能與所需的終端用戶進(jìn)行正常通信。
　　NAT技術(shù)近年來一直被廣泛采納。一些開發(fā)商已引入稱為會話邊界控制的新技術(shù)，它專注于P2P IP應(yīng)用，這類應(yīng)用必須穿越防火墻，如VoIP、桌面視頻會議、協(xié)作計算、在線游戲以及Napster方式共享播放MP3音樂。NAT技術(shù)在其中扮演著十分重要的角色，如保證VoIP通信安全和增強(qiáng)QoS及任何VoIP網(wǎng)必備的可管理特性。
　　實(shí)現(xiàn)安全VoIP通信
　　很明顯，傳統(tǒng)的防火墻無法與VoIP協(xié)同工作。通常的防火墻配置只接收經(jīng)內(nèi)部網(wǎng)請求，或說防火墻信任的外部通信，而VoIP呼叫可以是來自任何未知或未經(jīng)請求的一方。由于這類呼叫不屬于任何一類內(nèi)部通信請求，因而會被阻塞于外。而且，即使輸入通信獲得通過，防火墻/NAT也無法確定與哪個終端（合適的IP地址）建立呼叫。

會話邊界控制器在服務(wù)提供商網(wǎng)絡(luò)中的工作流程

　　這是因?yàn)檎Z音通信中同時包含了數(shù)據(jù)流和信號流，語音呼叫信息組成了數(shù)據(jù)流，而信號流則進(jìn)行呼叫建立和控制，依據(jù)的信號協(xié)議通常是H.323、會話初始協(xié)議（SIP）或媒體網(wǎng)關(guān)控制協(xié)議（MGCP）。信號信息很容易通過防火墻，因?yàn)橐话憧深A(yù)留少量端口用于呼叫接入。而對于呼叫本身，由于是基于實(shí)時協(xié)議（RTP）和采用動態(tài)分配UDP端口方式，而不是通常情況下防火墻針對特定用戶或應(yīng)用采用的靜態(tài)分配方式，因而讓VoIP呼叫接入通過意味著為所有通信打開了通道。


　　SBC性能參數(shù)體現(xiàn)在以下四個方面：安全性、QoS及服務(wù)級別（SLA）保證、信號協(xié)議互聯(lián)及服務(wù)規(guī)則。

　　其中安全性是SBC應(yīng)解決的主要課題。SBC必須具備防火墻/NAT遍歷、在第5層（會話層）和第3層（網(wǎng)絡(luò)層）隱藏網(wǎng)絡(luò)拓?fù)湟约熬W(wǎng)絡(luò)資源保護(hù)功能；必要時通過關(guān)閉信號及媒體會話端口，防止出現(xiàn)安全漏洞。另外，還需集成更多現(xiàn)行和將來可用到的安全特性，包括入侵檢測、帶寬控制策略、保護(hù)會話不被竊取、防止RTP流擁塞和呼叫干擾，以及源IP地址隱藏的識別。

　　QoS及SLA保證對于客戶意義重大。SBC必須負(fù)責(zé)媒體流的生成和維護(hù)，解決相關(guān)QoS需求。服務(wù)提供商網(wǎng)的邊緣路由器支持大部分IP服務(wù)類別（CoS）、排隊(duì)和通信管理技術(shù)，但并不能保證基于會話層信號信息的QoS，因?yàn)檫@包括用于呼叫建立、終止以及路由控制的特定標(biāo)識符和指令。因而，通過基于會話認(rèn)可控制策略接受或拒絕呼叫，來管理實(shí)時通信命令是完全必要的。在跨國IP通信服務(wù)環(huán)境下，服務(wù)提供商必須構(gòu)建合適的呼叫路由和QoS參數(shù)，并能透過網(wǎng)絡(luò)邊界共享呼叫情況記錄。系統(tǒng)不具備這些功能，服務(wù)提供商就沒法對SLA實(shí)施監(jiān)控，也就無法保證IP對IP環(huán)境下的服務(wù)質(zhì)量。簡言之，SBC必須能夠在出現(xiàn)過多終端用戶接入和傳輸鏈接的情況下，防止帶寬擁塞，保證良好QoS。

　　信號協(xié)議互聯(lián)是實(shí)現(xiàn)IP對等操作的基礎(chǔ)，因?yàn)榉蛛xIP網(wǎng)可能用到的是不同的信號協(xié)議。如今占主導(dǎo)地位的信號協(xié)議是H.323，由于SIP相對簡單、可擴(kuò)展性強(qiáng)且效率要高，將來極有可能取而代之。而且，很多新型VoIP方案將基于SIP來實(shí)現(xiàn)，因?yàn)槿缃翊蠖鄶?shù)軟交換機(jī)、IP電話和媒體網(wǎng)關(guān)都側(cè)重于采用SIP。另外，支持MGCP和H.248協(xié)議也相當(dāng)重要。

　　最后，需要一定的通信規(guī)章來約束這類新興通信運(yùn)營（包括企業(yè)客戶）服務(wù)模式，其中重要一點(diǎn)就是保存呼叫識別和內(nèi)容記錄。這點(diǎn)于普通客戶意義尤為重大，而開發(fā)商在實(shí)現(xiàn)方面還很難做到統(tǒng)一，這就需要一個明確規(guī)范。

　　SBC技術(shù)的市場開發(fā)已初露端倪，其中包括Acme Packet、Kagoor Networks、Netrake、Jasomi Networks以及NexTone。Aravox自被Alcatel收購起，就在從事這方面的開發(fā)。防火墻市場的領(lǐng)軍人物Cisco、NetScreen和Check Point都聲稱已開發(fā)出低層專有VoIP解決方案，目前正向高層發(fā)展。

　　Acme Packet的方案最為出名，它的Session Director可用于服務(wù)提供商網(wǎng)，也適用于大型企業(yè)客戶。Session Director支持主機(jī)NAT遍歷，信號會話能遍歷現(xiàn)行前端NAT/防火墻，而不需要作配置變更。

　　從網(wǎng)絡(luò)拓?fù)浣嵌葋碚f，SBC比較適合于企業(yè)網(wǎng)。防火墻是企業(yè)網(wǎng)中必不可少的臨界作業(yè)網(wǎng)絡(luò)處理單元，SBC能與現(xiàn)行企業(yè)防火墻協(xié)同工作，因而大大減少了手工配置各類規(guī)則的工作量，也不需要針對LAN應(yīng)用和VoIP接入更改網(wǎng)絡(luò)設(shè)置。

　　SBC位于防火墻之前，大大降低了主防火墻處理VoIP通信作業(yè)的負(fù)荷，使網(wǎng)絡(luò)單元“各司其職”。相對單一的設(shè)備，降低了VoIP通信處理時延。由于位于防火墻前，SBC還能隱藏LAN拓?fù)�，防止網(wǎng)絡(luò)拓?fù)渫ㄟ^可能的請求方法（嵌于IP標(biāo)題中）泄漏出去，暴露專用地址。

賽迪網(wǎng) 中國信息化(industry.ccidnet.com)