H.323代理一般结合标准的网守的功能和RTP/RTCP多媒体流的代理功能。这种解决方案典型应用是在防火墙后放一个H.323代理,代理需要被分配公有IP地址。防火墙被配置允许代理和外部进行多媒体通讯。有时候沿着网络路径在许多位置都应用了NAT设备,这时就需要在每一个使用NAT的地方放置代理。
4.应用层网关
应用层网关(Applicationlayergateways)是被设计能识别指定IP协议(象H.323和SIP协议)的防火墙,也被叫做ALGFirewall。它不是简单地察看包头信息来决定数据包是否可以通过,而是更深层的分析数据包负载内的数据,也就是应用层的数据。H.323和SIP协议都在负载中放了重要的控制信息,例如语音和视频终端使用哪一个数据端口来接收别的终端的语音和视频数据。通过分析哪一个端口需要打开,防火墙动态地打开那些被应用的端口,而所有别的端口依然安全地保持关闭状态。
如果一个NAT被应用来屏蔽内部IP地址,这时ALG就需要一个代理,一些防火墙生产厂商把代理结合到ALG上越过NAT。
主要的防火墙厂商象Cisco,Checkpoint,Gauntlet都对他们的防火墙产品提供H.323ALG升级功能,但市场上大多数防火墙还不支持ALG。这种解决方案还有一些缺点:由于要分析数据包负载,这样就加重了防火墙的处理任务,影响网络的运行,成为潜在的网络瓶颈;并且如果这儿有多层防火墙和NAT,则在呼叫路径上的每个防火墙都必须被升级来支持ALG功能;对大多数公司的网络来说防火墙是关键部件,在一些公司增加一个ALG或许是困难的。
5.虚拟专用网(VPN)
VPN技术是当前在IP网络上提供安全通讯的的方法之一,在同一个VPN网内可以解决防火墙穿越问题;不久的未来,确保网络安全和QoS的VPRN技术将是IP网上进行多媒体通讯的最有潜力的解决方案。
在VPN技术中,在UDP和TCP层下的IPSec层被用来提供安全的IP通讯,但由于基于VPN技术的IPSec层使用它自己的连接标识符而不是UDP或TCP端口,而且IPSec上面的层要被加密,这套自己的机制对NAT尤其是NAPT是不可通过的。为了解决NAT穿越问题,最好选择由一个生产商提供的整合防火墙,NAPT和VPN功能的解决方案。