企業(yè)為了確保網(wǎng)絡(luò )安全，普遍部署各種防火墻，作為邊緣和隔離設備，將企業(yè)的信任和非信任網(wǎng)絡(luò )（一般外網(wǎng)非信任，內網(wǎng)為信任）分隔開(kāi)來(lái)，避免直接訪(fǎng)問(wèn)。同時(shí)，防火墻兼具NAT功能，隱藏內網(wǎng)并代理內網(wǎng)對外網(wǎng)的訪(fǎng)問(wèn)。

　　由于防火墻的存在，部署SBC變得較為復雜。某些情況下還需要防火墻的配合，才能夠完成SIP信令和語(yǔ)音流的防火墻/NAT穿透。

　　就防火墻和SBC的位置關(guān)系，一般分成兩種模式：近端防火墻，也就是SBC在防火墻內，對接的設備在近端防火墻外或者在遠端防火墻內；遠端防火墻，也就是SBC在防火墻外，對接的設備在防火墻內。

　　這兩種模式下，毅航互聯(lián)SBC均可以完成信令和媒體的正確穿透。

　　毅航互聯(lián)SBC充分考慮了近端和遠端防火墻對信令和媒體的影響。在信令層面通過(guò)對From/To/Contact/rport/SDP等IP地址進(jìn)行處理，反映出實(shí)際的對接地址，避免信令不通，摘機超時(shí)，掛機掛不斷等問(wèn)題。

　　同時(shí)，SBC支持OPTIONS/REGISTER等心跳模式（接收或者發(fā)送），用于保持防火墻的session（保活），保證防火墻/NAT的端口可用和不變化。

　　媒體通過(guò)識別遠端的IP/PORT，然后向這個(gè)IP/PORT發(fā)送媒體包的方法，達到各種NAT情況的穿透。

　　合理的防火墻穿透方式，防火墻/NAT有各種模式和對應的各種穿透方式。但是，較為合理的穿透方式是從防火墻外網(wǎng)IP/PORT收到包，回應或者主動(dòng)發(fā)的包再送回這個(gè)IP/PORT。

　　示意圖如下圖：

　　由于現在的防火墻普遍內置SIP ALG(應用層代理)，此功能會(huì )對SIP信令和媒體產(chǎn)生很大的影響。但是，由于A(yíng)LG的實(shí)現一般不完善，很容易使得信令和數據不通和單通等各種問(wèn)題，導致各種不可預測的問(wèn)題，所以需要將防火墻的SIP ALG功能關(guān)閉。

　　毅航互聯(lián)在大量的工程支持中，SIP ALG基本上都會(huì )導致問(wèn)題。建議將此作為一個(gè)部署的前置檢查項，避免在聯(lián)調時(shí)再檢查，會(huì )耗費比較多的時(shí)間。

　　當SBC對接的設備處于防火墻之內，SBC處于防火墻外時(shí)，就構成了遠端防火墻模式。比如：SBC放公網(wǎng)，代理內網(wǎng)的座席注冊；或者對接內網(wǎng)的PBX等等。

　　由于NAT的存在，SBC看到的SIP信令信息和媒體的信息均和原始的信令不同，必須采用一些特別的處理方式來(lái)應對這種情況。

　　遠端防火墻的示意結構如下圖：

　　注意：

　　圖中用單層防火墻做示意，實(shí)際上這種模式可以支持多層防火墻。

　　SBC可能在防火墻內。這種模式放到近端防火墻做討論，不影響遠端防火墻的邏輯結構。

　　一般將防火墻內的設備作為客戶(hù)端，毅航互聯(lián)SBC作為服務(wù)端，便于建立和維持互通。

　　為了自動(dòng)的遠端防火墻穿透，一般將防火墻內部的設備（座席、PBX等）作為客戶(hù)端，而防火墻外部的SBC作為服務(wù)端。

　　由客戶(hù)端向服務(wù)器發(fā)起周期性的心跳（比如：注冊REGISTER、OPTIONS等），周期時(shí)間控制在120s以?xún)龋�這樣就可以維持防火墻的session，達到保活的目的（也就是防火墻不關(guān)閉外網(wǎng)的端口，SBC可以從這個(gè)端口向內網(wǎng)設備主動(dòng)發(fā)信令消息）。

　　各種內網(wǎng)設備均有自己不同的配置界面，一般都可以找到相應的注冊和OPTIONS的配置。找到相應的配置后，按照要求進(jìn)行配置后即可。SBC側無(wú)需對信令做特別配置。

　　對于像PBX等設備，可能不能夠配置為客戶(hù)端，此時(shí)需要在防火墻上做映射，將PBX的信令I(lǐng)P/PORT映射到防火墻的外網(wǎng)，這樣SBC才能夠訪(fǎng)問(wèn)。

　　毅航SBC支持SIP在TCP協(xié)議上傳輸，如果UDP穿透存在難以配置的情況，也可以通過(guò)采用TCP協(xié)議來(lái)完成信令的穿透。采用TCP協(xié)議時(shí)，建議采用永久連接，避免連接斷開(kāi)而導致防火墻的阻斷。

　　內網(wǎng)設備無(wú)需做特殊的協(xié)議修改，所有的穿透由SBC完成。

　　由于內網(wǎng)設備配置的是內網(wǎng)IP地址，經(jīng)過(guò)防火墻后，這些地址對于SBC來(lái)講是無(wú)效的（無(wú)法訪(fǎng)問(wèn)），如果根據這些地址作為后續信令的傳輸地址，將無(wú)法通信。

　　比如：發(fā)送掛機BYE SIP信令時(shí)，遠端地址來(lái)自于內網(wǎng)設備 INVITE SIP信令Contact頭域中的IP地址和端口。此時(shí)肯定是內網(wǎng)的IP地址，就會(huì )導致BYE SIP信令無(wú)法觸達內網(wǎng)設備，導致不能夠掛機。

　　又比如：SBC會(huì )根據INVITE SIP信令中的From/To/Contact等頭域中的IP地址校驗有效性，或者進(jìn)行中繼組的匹配。穿透模塊會(huì )用TCP/IP協(xié)議棧的真實(shí)IP/PORT替換相應的域，達到有效校驗或者匹配的目的。

　　毅航SBC會(huì )用從網(wǎng)絡(luò )協(xié)議棧收到的真實(shí)IP/PORT替換上述的關(guān)鍵頭域中的IP/PORT等信息，滿(mǎn)足安全和中繼組識別等要求。并且將給內網(wǎng)設備的SIP信令送給上述真實(shí)的IP/PORT，保證了信令可以觸達內網(wǎng)設備。

　　和信令類(lèi)似，SBC在收到內網(wǎng)設備發(fā)送的RTP/RTCP包后，識別出真實(shí)的IP/PORT，然后將送給內網(wǎng)設備的RTP/RTCP包轉發(fā)到此IP/PORT，完成穿透。

　　毅航SBC的媒體引擎有多種模式用于幫助媒體的穿透和適應變化：

　　在一定時(shí)間內沒(méi)有收到對端的RTP包視為斷流，將觸發(fā)告警，用于主動(dòng)掛機或者reinvite重協(xié)商。

　　在未收到對端包，端點(diǎn)學(xué)習未完成的情況下，不執行向這個(gè)端點(diǎn)的包轉發(fā)。

　　只接受SDP中地址的包，關(guān)閉遠端端點(diǎn)學(xué)習功能。

　　執行一次遠端端點(diǎn)學(xué)習，識別出遠端端點(diǎn)后，將只轉發(fā)此端點(diǎn)的包。

　　轉發(fā)過(guò)程中會(huì )重學(xué)習，可能導致遠端端點(diǎn)的切換。

　　當SBC處于防火墻之內時(shí)，就構成了近端防火墻模式。由于近端防火墻/NAT的存在，防火墻和SBC均需要做一些配置才能夠完成穿透功能。

　　近端防火墻的示意結構如下圖：

　　如下圖，外部網(wǎng)絡(luò )處于防火墻內部也是比較常見(jiàn)的場(chǎng)景，此情況也歸類(lèi)為近端防火墻，要求是相同的。

　　注意：

　　近端防火墻盡量使單層防火墻，如果是多層防火墻，可能會(huì )涉及到每層防火墻的修改，導致維護上的問(wèn)題。

　　遠端設備是否在防火墻內，不影響近端防火墻的邏輯結構。

　　一般將毅航互聯(lián)SBC作為服務(wù)端，遠端設備作為客戶(hù)端，便于建立和維持互通。

　　需要將SBC的地址映射到防火墻的外網(wǎng)，并且可以只開(kāi)放信令端口和媒體端口段。映射建議采用簡(jiǎn)單的開(kāi)端口模式（有些叫開(kāi)服務(wù)），避免復雜的IP地址替換之類(lèi)的策略，避免對原始數據的修改，從而影響穿透的效果。

　　注意：

　　防火墻開(kāi)端口不修改防火墻的安全和過(guò)濾規則，不要降低防火墻的安全要求。

　　建議打開(kāi)的SIP信令端口和SBC上配置的信令端口相同，減少問(wèn)題查找時(shí)的轉換。

　　媒體端口需要開(kāi)放一個(gè)端口段，缺省為40000~60000。可以根據并發(fā)（一通音頻呼叫需要兩個(gè)UDP端口）量調整端口段的范圍，此值必須和SBC上的配置一致。

　　上述端口轉發(fā)的規則是一一對應的。也就是防火墻40000端口收到包，需要轉發(fā)到SBC的40000端口，其他依次類(lèi)推。

　　需除了在防火墻外網(wǎng)配置信令的IP和端口外，還需要在對接的SBC SIP棧上配置相應的信息，用于在送給遠端設備的信令中反映出這種變化。要在SIP棧上面進(jìn)行的配置如下圖：

　　目前采用修改配置文件的方式，后續會(huì )在web上進(jìn)行修改。

　　當出現問(wèn)題時(shí)，建議首先進(jìn)行日志分析，確認SBC收到呼叫，并且動(dòng)作正常。

　　由于在防火墻上抓包可能會(huì )比較困難，首先需要在SBC上進(jìn)行抓包，分析呼叫流程是否正確，媒體流是否存在？

　　在SBC上確認正常后，就需要防火墻配合抓包，此時(shí)就需要防火墻對內外網(wǎng)均抓包，查看問(wèn)題是出在外網(wǎng)、內網(wǎng)還是防火墻的轉發(fā)規則。