[发明专利]用于监视和配置的方法

说明书

技术领域

本发明涉及监视、配置和管理防火墙后面的IP终端以及NAT遍历结点。

背景技术

传统的会议系统包括若干用于在诸如WAN、LAN和线路交换网络的不同网络之上或之间实时传送视频、音频和/或数据流的端点(end-point)。

驻于不同场点的若干会议系统可参与相同的会议，常常是通过一个或多个MCU(多点控制单元)来执行切换功能，使得影音终端可适当地相互通信。

视频会议涉及不同范围和不同能力的各种资源和设备的同时互操作，因此需要管理涉及计划会议和即兴会议的资源。

因此会议系统常常提供管理工具。管理工具例如可包括资源调度器、监视模块和路由模块。

早期的会议设备是基于ISDN的，而现在开始向基于IP的终端和基础设施迁移。基于IP的设备常常连接至受防火墙和NAT(网络地址转换)设施保护的局域网(LAN)。这样，在管理系统与相关联的结点和设备之间进行连接时就引起新的问题。管理系统可能是在LAN之外操作的，也就是说，发往被管理结点和端点的通信必须强制通过防火墙和NAT。这就出现了问题，因允许什么内容可通过防火墙常常有严格的政策。传统上，通过防火墙的所有通信会话必须是从内部发出。这意味着，所有从管理系统发出的、对于LAN内部的设备的请求都将被防火墙拒绝。另外，管理系统也不知道设备的最终IP地址，因NAT设施隐藏这些设备的IP地址。

这样，如果配置防火墙允许向外发出报告，这些设备或许可以把报告向外发给管理工具，但管理员很难进行配置或通过其他方法来管理这些设备，因不允许请求防火墙后面的设备。

允许报告发出防火墙还可能引起不期望的其他信息泄露。

许多现有技术的IP设备使用SNMP(简单网络管理协议)用于监视。当发生某种事情时，设备使用至特定端口的UDP/IP分组向管理系统发送陷阱(trap)。管理系统然后可使用另外的端口检查该设备。为了能通过防火墙，必须打开SNMP端口。这引起很高的安全风险，因几乎所有的IP设备都有SNMP，因此整个网络暴露给外部。而且SNMP的安全机制很弱，恶意攻击方会拦截消息并冒充管理系统，如管理系统那样发出相同的管理命令，并改变设备配置。

另外的问题是，SNMP使用管理系统的专用端口来访问这些设备，因此，如果管理系统在防火墙之外并且NAT处于在用(in use)状态，则只能访问防火墙之内的一个设备，因防火墙只能把一个端口映射到防火墙之内的一个地址。解决该问题的一个办法是实现穿过防火墙的隧道和防火墙内的专用实用程序(代理)把连接重定向至该设备。但这需要对管理系统做某些特殊的扩展并需要相当多的配置工作。

发明内容

本发明的一个目的是提供一种方法来避免上述的问题。

独立权利要求1中定义的特征公开了本发明的方法。本发明公开了一种方法，用于从防火墙/NAT保护的网络之外的管理系统来管理和监视由防火墙/NAT保护的网络中的通信装置，包括下述步骤：周期性地并按预定义的事件打开http连接并且从相应各通信装置穿过保护该网络的防火墙/NAT设施发送请求至所述管理系统，以及当在该管理系统接收所述请求时，从该管理系统通过所述http连接用http响应向所述各通信装置发送指令和数据。

附图说明

为了使本发明更易于理解，下面的说明将结合附图进行。

图1是示出根据本发明一个实施例的在端点和管理系统之间的数据流的方框图。

具体实施方式

下面，通过描述优选实施例来讨论本发明，并通过附图来支持这些讨论。但是，本领域技术人员在所公开的独立权利要求所定义的本发明的范围之内可实现其他的应用和修改。

如在背景技术部分已经提到的，防火墙允许建立从受保护的区域内部发起的通信会话，但不允许建立反方向的通信会话，如从公共因特网至受保护的区域。特别，大多数防火墙具有从防火墙内部向外部开放的HTTP(端口80)和HTTPS(端口443)。当从内部向外部的验证区域(服务器、结点、终端等)建立TCP连接时，该验证区域可把信息传送回至该发起通信会话的系统。在本发明中使用这种可能性来管理与管理系统相关的在防火墙/NAT设施后面的IP设备。