摘要：Internet呼叫中心正在興起，網(wǎng)絡(luò)防火墻的應(yīng)用也已非常普遍。如何在保障系統(tǒng)及用戶(hù)的網(wǎng)絡(luò)安全的前提下高效便捷地穿越防火墻，是Internet呼叫中心設(shè)計(jì)者必須解決的課題。本文以訊泰公司的呼叫中心系統(tǒng)ezConnect為例，介紹了一個(gè)Internet應(yīng)用穿越防火墻的具體方案。此方案具有一定的普遍適用性。

關(guān)鍵詞：呼叫中心、防火墻、Internet、ezConnect

一．前言

對(duì)于Internet應(yīng)用來(lái)講，有兩類(lèi)防火墻需要考慮：一種是被用于保護(hù)應(yīng)用服務(wù)器的防火墻，另一種是用來(lái)保護(hù)和限制終端用戶(hù)的防火墻。一般來(lái)講，前一類(lèi)防火墻易于控制：在不違背企業(yè)的 網(wǎng)絡(luò)安全制度的前提下，針對(duì)Internet應(yīng)用的具體情況，在網(wǎng)絡(luò)管理員的協(xié)助下采用開(kāi)放特定端口（俗稱(chēng)“防火墻上打洞“）、傳輸層建橋、應(yīng)用層代理等方法來(lái)對(duì)外提供服務(wù)。而對(duì)于后一類(lèi)防火墻,網(wǎng)絡(luò)管理員一般不可能為了某個(gè)終端用戶(hù)的個(gè)人需要而降低防火墻的整體安全程度，所以只能從Internet應(yīng)用本身著手，采用HTTP隧道、SOCK代理服務(wù)器等技術(shù)來(lái)盡可能地向被各式各樣防火墻所包圍的終端用戶(hù)提供方便。

多數(shù)的企業(yè)防火墻都對(duì)80端口上的向外HTTP請(qǐng)求沒(méi)有限制或只做少量的限制（例如禁止員工訪(fǎng)問(wèn)色情和政治網(wǎng)站）。一些Internet應(yīng)用為了最大化防火墻透明度，客戶(hù)端只直接使用HTTP協(xié)議與服務(wù)器端進(jìn)行通信。這樣，在3層結(jié)構(gòu)（或n層結(jié)構(gòu)）體系中，web瀏覽器一側(cè)基本不做邏輯運(yùn)算，web服務(wù)器上運(yùn)行JSP, Servlet, ASP, CGI等進(jìn)行適當(dāng)?shù)臉I(yè)務(wù)處理以及與后端應(yīng)用服務(wù)器或數(shù)據(jù)庫(kù)進(jìn)行通信。對(duì)于Internet呼叫中心，此種模式不太適用。因?yàn)榛�于web瀏覽器的客戶(hù)端往往要做一些較為復(fù)雜的處理，例如支持白板共享、文本聊天、IP電話(huà)等功能。不過(guò)，利用協(xié)議隧道技術(shù)把呼叫中心客戶(hù)端和服務(wù)器端之間的通信協(xié)議嵌入到HTTP協(xié)議來(lái)穿越防火墻仍然非常地有效。這種模式中，Java小程序(Java Applet)或與其作用類(lèi)似的組件運(yùn)行在web瀏覽器上完成一些邏輯處理，Java小程序與后臺(tái)服務(wù)器之間的通信在必要時(shí)采用HTTP隧道技術(shù)。這是目前先進(jìn)的防火墻處理方案，運(yùn)用得當(dāng)時(shí)甚至可以出色地完成話(huà)音這樣的大數(shù)據(jù)量傳輸。

目前在國(guó)內(nèi)實(shí)際運(yùn)營(yíng)的Internet呼叫中心非常少，但肯定地說(shuō)這是一個(gè)近期未來(lái)的趨勢(shì)。在種類(lèi)繁多的Internet應(yīng)用中，絕大多數(shù)仍然要求用戶(hù)的網(wǎng)絡(luò)環(huán)境必須開(kāi)放著某一組TCP端口，這在一定程度上限制了此類(lèi)Internet應(yīng)用的適用范圍。本文通過(guò)對(duì)訊泰公司的呼叫中心產(chǎn)品ezConnect的防火墻解決方案的介紹，希望能對(duì)類(lèi)似產(chǎn)品的技術(shù)選型和開(kāi)發(fā)有一定的幫助。

二．EzConnect系統(tǒng)的結(jié)構(gòu)

ezConnect系統(tǒng)是由訊泰信息科技公司的北京研發(fā)中心設(shè)計(jì)開(kāi)發(fā)出來(lái)的一個(gè)成熟的多媒體呼叫中心產(chǎn)品。支持傳統(tǒng)電話(huà)、web、電子郵件、傳真、語(yǔ)音郵件、IP電話(huà)、短消息、WAP等用戶(hù)接入方式；對(duì)客戶(hù)請(qǐng)求采用基于座席技能的智能分派；提供文本交談、白板共享、協(xié)同填表、文檔推送、IP電話(huà)、短消息發(fā)送等多種實(shí)時(shí)交流工具；有非常實(shí)用的實(shí)時(shí)監(jiān)控和報(bào)表子系統(tǒng)。核心部分的設(shè)計(jì)采用分離分層的思想，實(shí)現(xiàn)了相對(duì)于PBX、IVR、CRM的透明性。系統(tǒng)的配置非常靈活，可以在很短的時(shí)間內(nèi)完全改變整個(gè)客戶(hù)端的風(fēng)格，或支持一種新的語(yǔ)言。整個(gè)系統(tǒng)建立在Java平臺(tái)上，具有良好的可移植性。下面是ezConnect系統(tǒng)的結(jié)構(gòu)圖：

三．ezConnect的防火墻解決方案

ezConnect系統(tǒng)的防火墻方案計(jì)劃實(shí)現(xiàn)以下幾個(gè)目標(biāo)：

1、企業(yè)防火墻有效保障ezConnect內(nèi)部系統(tǒng)

2、內(nèi)部用戶(hù)的高效訪(fǎng)問(wèn)，避免不必要的網(wǎng)絡(luò)流量

3、外部Internet用戶(hù)的無(wú)障礙訪(fǎng)問(wèn)

4、支持絕大多數(shù)外部Intranet用戶(hù)的透明訪(fǎng)問(wèn)

目標(biāo)1是一般防火墻系統(tǒng)的基本功能。對(duì)于ezConnect系統(tǒng)，最常見(jiàn)的方法是在防火墻上完成下面兩個(gè)配置：

• 把所有對(duì)ezConnect系統(tǒng)的Web請(qǐng)求轉(zhuǎn)發(fā)給內(nèi)部Web服務(wù)器（通常安裝在ezConnect服務(wù)器所在的主機(jī)上）。
• 把所有的ezConnect協(xié)議（2624端口上的TCP連接）請(qǐng)求轉(zhuǎn)發(fā)給ezConnect服務(wù)器。

下述方法可以實(shí)現(xiàn)目標(biāo)2：內(nèi)部用戶(hù)訪(fǎng)問(wèn)時(shí)ezConnect系統(tǒng)的域名被解析為L(zhǎng)AN上的IP地址（很多種方法可以實(shí)現(xiàn)，最簡(jiǎn)單的一種是修改內(nèi)部用戶(hù)使用的計(jì)算機(jī)的hosts文件）， 這樣內(nèi)部用戶(hù)的訪(fǎng)問(wèn)就可以直接到達(dá)ezConnect服務(wù)器，避免了對(duì)網(wǎng)關(guān)和防火墻不必要的干擾。

普通Internet用戶(hù)（例如撥號(hào)上網(wǎng)或小區(qū)ADSL）對(duì)Internet資源的訪(fǎng)問(wèn)一般不受限制，所以只需解決如何穿越保衛(wèi)著ezConnect服務(wù)器的防火墻的問(wèn)題。訊泰公司的方案是開(kāi)發(fā)一套通用的通訊API, 在此API的基礎(chǔ)上實(shí)現(xiàn)呼叫中心客戶(hù)端的業(yè)務(wù)邏輯（參見(jiàn)下圖）。這個(gè)通訊API的底層有兩種方式：直接socket連接和HTTP隧道，API會(huì)自動(dòng)檢測(cè)其所處的網(wǎng)絡(luò)環(huán)境來(lái)選擇適當(dāng)?shù)牡讓舆B接方式。一般而言，保障著ezConnect服務(wù)器的防火墻應(yīng)該開(kāi)放著ezConnect的協(xié)議端口2624。 所以普通Internet用戶(hù)訪(fǎng)問(wèn)ezConnect系統(tǒng)時(shí)，客戶(hù)端軟件與服務(wù)器軟件通過(guò)建立直接的socket連接來(lái)互通信息。目標(biāo)3由此達(dá)到。

對(duì)于被企業(yè)防火墻所限制的Intranet用戶(hù)，情況略微復(fù)雜一些。如果企業(yè)防火墻已開(kāi)放ezConnect的協(xié)議端口2624，那么此類(lèi)Intranet用戶(hù)訪(fǎng)問(wèn)ezConnect系統(tǒng)的情況與普通Internet用戶(hù)沒(méi)有區(qū)別。如果企業(yè)防火墻限制ezConnect的協(xié)議端口，但允許HTTP協(xié)議通過(guò)，那么上文中提到的API會(huì)自動(dòng)選用HTTP隧道的通信方式來(lái)維護(hù)客戶(hù)端軟件與服務(wù)器軟件之間的連接。此時(shí)，通信的效率會(huì)相對(duì)低一些，但對(duì)于可以透明地、完整地獲取Internet呼叫中心服務(wù)（文本交談、白板共享、IP電話(huà)等）的Intranet用戶(hù)來(lái)講是完全可以接受的。如果企業(yè)防火墻同時(shí)禁止ezConnect的協(xié)議端口2624和HTTP協(xié)議的默認(rèn)端口80，Intranet用戶(hù)將無(wú)法訪(fǎng)問(wèn)ezConnect系統(tǒng)。而事實(shí)上，嚴(yán)格到不允許HTTP協(xié)議通過(guò)的防火墻是非常少見(jiàn)的，因此目標(biāo)4也不成為問(wèn)題。

下圖描述了客戶(hù)端軟件在不同的網(wǎng)絡(luò)環(huán)境下連接服務(wù)器的方式。

四．方案的適用范圍

本文所描述的防火墻解決方案事實(shí)上是一個(gè)通用的設(shè)計(jì)開(kāi)發(fā)模式，適用于任何有以下特點(diǎn)的系統(tǒng)：

1、Internet應(yīng)用

2、客戶(hù)端軟件需要完成一定的業(yè)務(wù)邏輯（客戶(hù)端軟件通常表現(xiàn)為獨(dú)立應(yīng)用程序或Applet, ActiveX之類(lèi)的網(wǎng)頁(yè)嵌入程序）

3、系統(tǒng)的服務(wù)器端可能會(huì)被安裝在防火墻內(nèi)，或系統(tǒng)的部分用戶(hù)可能位于某種防火墻內(nèi)

4、設(shè)計(jì)者希望所有的用戶(hù)都能透明地以同樣的方式訪(fǎng)問(wèn)系統(tǒng)，用戶(hù)無(wú)需在訪(fǎng)問(wèn)前根據(jù)自己的網(wǎng)絡(luò)環(huán)境作一些設(shè)置手工調(diào)整。

五、結(jié)束語(yǔ)

是否能夠透明地穿越各類(lèi)防火墻來(lái)向廣大用戶(hù)提供服務(wù)，一定程度上決定了Internet呼叫中心及與其相似的系統(tǒng)的用戶(hù)群體和接入場(chǎng)所；是影響用戶(hù)滿(mǎn)意程度的一個(gè)重要因素。本文所描述的方案已在訊泰公司的呼叫中心產(chǎn)品ezConnect系統(tǒng)的開(kāi)發(fā)中得到了驗(yàn)證，各項(xiàng)指標(biāo)均達(dá)到預(yù)期的設(shè)計(jì)目標(biāo)。此方案以很小的開(kāi)發(fā)成本為ezConnect系統(tǒng)贏(yíng)得了一個(gè)非常有市場(chǎng)價(jià)值的產(chǎn)品賣(mài)點(diǎn)。

參考文獻(xiàn)

http://java.sun.com/j2se/1.4/docs/guide/rmi/

Jiangzhe Wang: “How to configure ezConnect to go through firewalls”, Product document of Systek Information Technology Ltd. 2001

Zhang Lei, “Product Specification of ezConnect Release 4.0”, Product document of Systek Information Technology Ltd. 2000

“White paper of ISA system”, Microsoft Ltd.

訊泰信息技術(shù)提供 CTI論壇編輯