张剑英,牛和珠
(中国矿业大学 信息与电气工程学院,江苏 徐州221008)
责任编辑:任健男
矿区数字视频监控系统往往是建立在一个专有的局域网内,传统上内网和外网是物理隔离的,内外网无法进行文件交流[1],所以外网用户不能实时预览矿上监控点图像。而在矿上实际应用中却需要在外网对各个监控点做随时的视频预览,比如皮带科人员想检查皮带的工作情况,就会去看在皮带上监控点的视频图像,如果每次都去视频监控机房必然是不合理,既不方便,也失去了实时监控的意义。
根据矿上实际应用,本文提出了一种结合防火墙配置以及利用现有视频监控系统简便解决外网用户实时预览的方案,通过该方案内外网用户可以同时对视频监控图像进行实时预览。
企业信息化的应用程度随着Internet技术的高速发展在不断升级,工作效率有了很大提高,但同时也带来了病毒木马破坏、黑客入侵等严重的安全问题,给企业造成了损失。网络隔离技术是企业网络安全防御中重要的手段之一,在一定程度上能满足企事业单位对网络信息安全的需求。目前主要采用的隔离技术有以下5种方案[2]:完全物理隔离、隔离卡双网卡双硬盘、隔离网闸、基于虚拟桌面的双网隔离、逻辑机制隔离。表1给出了5种方案的对比。
表1 内外网隔离的5种方案比较
由表1可以看出,后三种方案比较适用于企业网络的安全隔离。但由于视频监控的实时性、大数据量,所以基于虚拟桌面的双网隔离方案并不适用于视频环网和办公网之间的连接。
安全隔离网闸又名“网闸”、“物理隔离网闸”,能实现有限的数据交流并确保较高的安全性。由于网闸的设计目标限制,并不适用于所有的应用环境,只能应用在一些特定的领域。目前实际应用的网闸一般支持Web、MAIL、SQL、文件等几大应用,现在也出现了支持视频会议的应用,但是鉴于部署困难、成本高等因素,亦不适用在视频监控网络中。
逻辑机制隔离应用最广的是防火墙,它的主要作用是限制外来用户对内部专有网络访问、管理内部用户访问外部网络。防火墙基于内部设定的安全策略,检查网络中的链接方式,以此来允许或隔离网络之间的通信,同时实时监控网络运行的状态。合理地配置防火墙,可以有效防止非法用户的网络入侵,极大地降低计算机网络的安全风险。目前防火墙已经普遍应用在矿区网络中,所以本文基于现有防火墙来进行内外网同时访问流媒体视频监控系统的设计。
本文的设计方案是基于TCP/IP网络平台的流媒体视频监控系统。其中管理服务器是整个视频监控系统的核心,实现对前端设备、视频服务器设备、媒体分发单元、各应用模块、客户的管理。所有客户端的操作请求首先到达管理服务器,对用户的操作请求进行权限认证[3]。图1给出了流媒体数字视频监控系统的逻辑图。
图1 流媒体数字视频监控逻辑图
矿上常用的网络有工业以太环网、视频监控环网以及办公网等,考虑矿区网络环境,在架构网络的时候通过防火墙将各个不同的网络予以隔离。图2所示的是在某矿区视频环网和办公网的网络结构图,在此称视频环网为内网,办公网为外网。
图2 矿区网络结构图
结合矿区网络设备,可以考虑通过防火墙做静态映射[4](Static Network Address Translation,SNAT),把管理服务器和流媒体服务器组的IP地址映射为外网IP地址,这样外网用户可以通过登录管理服务器的外网IP地址获取相应的许可文件,再通过流媒体服务器组的外网IP地址获取视频数据流,于是就实现了在外网实时浏览视频图像的目的。以思科PIX515防火墙为例,用static语句将内网IP映射到外网IP,语句实现如下:“static(inside,outside)外 网IP内 网IP”。例 如“static(inside,outside)172.70.0.12 192.168.2.6”语句将内网192.168.2.6静态映射到外网172.70.0.12使用。
图3所示为网络配置示意图。
图3 网络配置示意图
这里还有一个问题就是如何获取流媒体服务器组的外网IP地址,因为在管理服务器上,为每一个区域添加的流媒体服务器IP地址都是内网的IP,即使外网用户可以登录管理服务器获取到许可文件,外网用户获取的仍然是流媒体服务器内网的IP,获取不到视频流数据。
管理服务器有一个重要功能就是用户权限配置,它可以对每一个用户进行视频预览、云台控制等权限配置。利用这一功能,可以在管理服务器添加设备的时候添加两个区域,分别作为内网区域和外网区域,内网区域中添加的流媒体服务器IP地址都是内网的IP,外网区域中添加的流媒体服务器IP地址都是外网的IP,通过用户权限功能,分别给相应网段的用户相应区域的权限,即内网用户拥有内网区域的权限,外网用户拥有外网区域的权限。外网用户在登录管理服务器后获取的许可文件中流媒体服务器的IP地址都是外网的IP,就可以通过流媒体服务器获取到视频数据流。图4给出了内外网同时访问视频监控系统方案的示意图。
图4 内外网同时访问视频监控系统方案示意图
通过在某矿区实际测试,外网用户完全可以正常预览实时视频图像。
本文在现有的视频监控系统上,结合矿区网络情况,利用防火墙静态映射把视频监控系统中管理服务器和流媒体服务器映射到外网中,利用管理服务器用户权限功能实现对内外网用户获取流媒体服务器内外网IP地址的控制,实现了在内网和外网中同时使用视频监控系统的目的。该方法简单实用,稳定性好,已在某煤矿得到应用,现场反映应用效果较好。
[1]廖龙俊.内外网同时访问技术[J].网管员世界,2011(3):73-74.
[2]纪兆琳.内外网双网隔离方案浅析[J].内燃机车,2011(9):32-34.
[3]胡浩,王锋.基于DM368的智能视频监控系统设计[J].电视技术,2012,36(9):124-126.
[4]何晓辉.防火墙作桥梁联通内外网[J].网管员世界,2010(4):145.