視頻監(jiān)控系統(tǒng)內(nèi)外網(wǎng)同時訪問設(shè)計

張劍英，牛和珠

(中國礦業(yè)大學(xué) 信息與電氣工程學(xué)院，江蘇 徐州221008)

責(zé)任編輯:任健男

礦區(qū)數(shù)字視頻監(jiān)控系統(tǒng)往往是建立在一個專有的局域網(wǎng)內(nèi)，傳統(tǒng)上內(nèi)網(wǎng)和外網(wǎng)是物理隔離的，內(nèi)外網(wǎng)無法進(jìn)行文件交流[1]，所以外網(wǎng)用戶不能實時預(yù)覽礦上監(jiān)控點圖像。而在礦上實際應(yīng)用中卻需要在外網(wǎng)對各個監(jiān)控點做隨時的視頻預(yù)覽，比如皮帶科人員想檢查皮帶的工作情況，就會去看在皮帶上監(jiān)控點的視頻圖像，如果每次都去視頻監(jiān)控機房必然是不合理，既不方便，也失去了實時監(jiān)控的意義。

根據(jù)礦上實際應(yīng)用，本文提出了一種結(jié)合防火墻配置以及利用現(xiàn)有視頻監(jiān)控系統(tǒng)簡便解決外網(wǎng)用戶實時預(yù)覽的方案，通過該方案內(nèi)外網(wǎng)用戶可以同時對視頻監(jiān)控圖像進(jìn)行實時預(yù)覽。

1 內(nèi)外網(wǎng)隔離方案

企業(yè)信息化的應(yīng)用程度隨著Internet技術(shù)的高速發(fā)展在不斷升級，工作效率有了很大提高，但同時也帶來了病毒木馬破壞、黑客入侵等嚴(yán)重的安全問題，給企業(yè)造成了損失。網(wǎng)絡(luò)隔離技術(shù)是企業(yè)網(wǎng)絡(luò)安全防御中重要的手段之一，在一定程度上能滿足企事業(yè)單位對網(wǎng)絡(luò)信息安全的需求。目前主要采用的隔離技術(shù)有以下5種方案[2]:完全物理隔離、隔離卡雙網(wǎng)卡雙硬盤、隔離網(wǎng)閘、基于虛擬桌面的雙網(wǎng)隔離、邏輯機制隔離。表1給出了5種方案的對比。

表1 內(nèi)外網(wǎng)隔離的5種方案比較

由表1可以看出，后三種方案比較適用于企業(yè)網(wǎng)絡(luò)的安全隔離。但由于視頻監(jiān)控的實時性、大數(shù)據(jù)量，所以基于虛擬桌面的雙網(wǎng)隔離方案并不適用于視頻環(huán)網(wǎng)和辦公網(wǎng)之間的連接。

安全隔離網(wǎng)閘又名“網(wǎng)閘”、“物理隔離網(wǎng)閘”，能實現(xiàn)有限的數(shù)據(jù)交流并確保較高的安全性。由于網(wǎng)閘的設(shè)計目標(biāo)限制，并不適用于所有的應(yīng)用環(huán)境，只能應(yīng)用在一些特定的領(lǐng)域。目前實際應(yīng)用的網(wǎng)閘一般支持Web、MAIL、SQL、文件等幾大應(yīng)用，現(xiàn)在也出現(xiàn)了支持視頻會議的應(yīng)用，但是鑒于部署困難、成本高等因素，亦不適用在視頻監(jiān)控網(wǎng)絡(luò)中。

邏輯機制隔離應(yīng)用最廣的是防火墻，它的主要作用是限制外來用戶對內(nèi)部專有網(wǎng)絡(luò)訪問、管理內(nèi)部用戶訪問外部網(wǎng)絡(luò)。防火墻基于內(nèi)部設(shè)定的安全策略，檢查網(wǎng)絡(luò)中的鏈接方式，以此來允許或隔離網(wǎng)絡(luò)之間的通信，同時實時監(jiān)控網(wǎng)絡(luò)運行的狀態(tài)。合理地配置防火墻，可以有效防止非法用戶的網(wǎng)絡(luò)入侵，極大地降低計算機網(wǎng)絡(luò)的安全風(fēng)險。目前防火墻已經(jīng)普遍應(yīng)用在礦區(qū)網(wǎng)絡(luò)中，所以本文基于現(xiàn)有防火墻來進(jìn)行內(nèi)外網(wǎng)同時訪問流媒體視頻監(jiān)控系統(tǒng)的設(shè)計。

2 流媒體視頻監(jiān)控系統(tǒng)

本文的設(shè)計方案是基于TCP/IP網(wǎng)絡(luò)平臺的流媒體視頻監(jiān)控系統(tǒng)。其中管理服務(wù)器是整個視頻監(jiān)控系統(tǒng)的核心，實現(xiàn)對前端設(shè)備、視頻服務(wù)器設(shè)備、媒體分發(fā)單元、各應(yīng)用模塊、客戶的管理。所有客戶端的操作請求首先到達(dá)管理服務(wù)器，對用戶的操作請求進(jìn)行權(quán)限認(rèn)證[3]。圖1給出了流媒體數(shù)字視頻監(jiān)控系統(tǒng)的邏輯圖。

圖1 流媒體數(shù)字視頻監(jiān)控邏輯圖

礦上常用的網(wǎng)絡(luò)有工業(yè)以太環(huán)網(wǎng)、視頻監(jiān)控環(huán)網(wǎng)以及辦公網(wǎng)等，考慮礦區(qū)網(wǎng)絡(luò)環(huán)境，在架構(gòu)網(wǎng)絡(luò)的時候通過防火墻將各個不同的網(wǎng)絡(luò)予以隔離。圖2所示的是在某礦區(qū)視頻環(huán)網(wǎng)和辦公網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)圖，在此稱視頻環(huán)網(wǎng)為內(nèi)網(wǎng)，辦公網(wǎng)為外網(wǎng)。

圖2 礦區(qū)網(wǎng)絡(luò)結(jié)構(gòu)圖

3 內(nèi)外網(wǎng)同時訪問視頻監(jiān)控系統(tǒng)

結(jié)合礦區(qū)網(wǎng)絡(luò)設(shè)備，可以考慮通過防火墻做靜態(tài)映射[4](Static Network Address Translation，SNAT)，把管理服務(wù)器和流媒體服務(wù)器組的IP地址映射為外網(wǎng)IP地址，這樣外網(wǎng)用戶可以通過登錄管理服務(wù)器的外網(wǎng)IP地址獲取相應(yīng)的許可文件，再通過流媒體服務(wù)器組的外網(wǎng)IP地址獲取視頻數(shù)據(jù)流，于是就實現(xiàn)了在外網(wǎng)實時瀏覽視頻圖像的目的。以思科PIX515防火墻為例，用static語句將內(nèi)網(wǎng)IP映射到外網(wǎng)IP，語句實現(xiàn)如下:“static(inside，outside)外 網(wǎng)IP內(nèi) 網(wǎng)IP”。例 如“static(inside，outside)172.70.0.12 192.168.2.6”語句將內(nèi)網(wǎng)192.168.2.6靜態(tài)映射到外網(wǎng)172.70.0.12使用。

圖3所示為網(wǎng)絡(luò)配置示意圖。

圖3 網(wǎng)絡(luò)配置示意圖

這里還有一個問題就是如何獲取流媒體服務(wù)器組的外網(wǎng)IP地址，因為在管理服務(wù)器上，為每一個區(qū)域添加的流媒體服務(wù)器IP地址都是內(nèi)網(wǎng)的IP，即使外網(wǎng)用戶可以登錄管理服務(wù)器獲取到許可文件，外網(wǎng)用戶獲取的仍然是流媒體服務(wù)器內(nèi)網(wǎng)的IP，獲取不到視頻流數(shù)據(jù)。

管理服務(wù)器有一個重要功能就是用戶權(quán)限配置，它可以對每一個用戶進(jìn)行視頻預(yù)覽、云臺控制等權(quán)限配置。利用這一功能，可以在管理服務(wù)器添加設(shè)備的時候添加兩個區(qū)域，分別作為內(nèi)網(wǎng)區(qū)域和外網(wǎng)區(qū)域，內(nèi)網(wǎng)區(qū)域中添加的流媒體服務(wù)器IP地址都是內(nèi)網(wǎng)的IP，外網(wǎng)區(qū)域中添加的流媒體服務(wù)器IP地址都是外網(wǎng)的IP，通過用戶權(quán)限功能，分別給相應(yīng)網(wǎng)段的用戶相應(yīng)區(qū)域的權(quán)限，即內(nèi)網(wǎng)用戶擁有內(nèi)網(wǎng)區(qū)域的權(quán)限，外網(wǎng)用戶擁有外網(wǎng)區(qū)域的權(quán)限。外網(wǎng)用戶在登錄管理服務(wù)器后獲取的許可文件中流媒體服務(wù)器的IP地址都是外網(wǎng)的IP，就可以通過流媒體服務(wù)器獲取到視頻數(shù)據(jù)流。圖4給出了內(nèi)外網(wǎng)同時訪問視頻監(jiān)控系統(tǒng)方案的示意圖。

圖4 內(nèi)外網(wǎng)同時訪問視頻監(jiān)控系統(tǒng)方案示意圖

通過在某礦區(qū)實際測試，外網(wǎng)用戶完全可以正常預(yù)覽實時視頻圖像。

4 結(jié)束語

本文在現(xiàn)有的視頻監(jiān)控系統(tǒng)上，結(jié)合礦區(qū)網(wǎng)絡(luò)情況，利用防火墻靜態(tài)映射把視頻監(jiān)控系統(tǒng)中管理服務(wù)器和流媒體服務(wù)器映射到外網(wǎng)中，利用管理服務(wù)器用戶權(quán)限功能實現(xiàn)對內(nèi)外網(wǎng)用戶獲取流媒體服務(wù)器內(nèi)外網(wǎng)IP地址的控制，實現(xiàn)了在內(nèi)網(wǎng)和外網(wǎng)中同時使用視頻監(jiān)控系統(tǒng)的目的。該方法簡單實用，穩(wěn)定性好，已在某煤礦得到應(yīng)用，現(xiàn)場反映應(yīng)用效果較好。

[1]廖龍俊.內(nèi)外網(wǎng)同時訪問技術(shù)[J].網(wǎng)管員世界，2011(3):73-74.

[2]紀(jì)兆琳.內(nèi)外網(wǎng)雙網(wǎng)隔離方案淺析[J].內(nèi)燃機車，2011(9):32-34.

[3]胡浩，王鋒.基于DM368的智能視頻監(jiān)控系統(tǒng)設(shè)計[J].電視技術(shù)，2012，36(9):124-126.

[4]何曉輝.防火墻作橋梁聯(lián)通內(nèi)外網(wǎng)[J].網(wǎng)管員世界，2010(4):145.