你是否曾經(jīng)或現(xiàn)在依然為廣域網(wǎng)絡(luò)的監(jiān)控聯(lián)網(wǎng)而頭疼���?是否為廣域聯(lián)網(wǎng)購(gòu)買額外的公網(wǎng)IP花費(fèi)而心痛?是否為暴露于外網(wǎng)的服務(wù)器的安全而擔(dān)心?朋友們���,請(qǐng)放下你心中的顧慮���,宇視科技的萬(wàn)能網(wǎng)絡(luò)護(hù)照UNP(universal network passport)方案為您提供統(tǒng)一簡(jiǎn)潔的解決方案����,讓您輕松的完成大型系統(tǒng)的聯(lián)網(wǎng)部署���。
本文作者周迪為宇視首席網(wǎng)絡(luò)科學(xué)家、宇視系統(tǒng)安全實(shí)驗(yàn)室主任
你是否曾經(jīng)或現(xiàn)在依然為廣域網(wǎng)絡(luò)的監(jiān)控聯(lián)網(wǎng)而頭疼?是否為廣域聯(lián)網(wǎng)購(gòu)買額外的公網(wǎng)IP花費(fèi)而心痛?是否為暴露于外網(wǎng)的服務(wù)器的安全而擔(dān)心?朋友們��,請(qǐng)放下你心中的顧慮,宇視科技的萬(wàn)能網(wǎng)絡(luò)護(hù)照UNP(universal network passport)方案為您提供統(tǒng)一簡(jiǎn)潔的解決方案�����,讓您輕松的完成大型系統(tǒng)的聯(lián)網(wǎng)部署�����。
簡(jiǎn)便經(jīng)濟(jì)的站點(diǎn)聯(lián)網(wǎng)
廣域網(wǎng)的監(jiān)控系統(tǒng)聯(lián)網(wǎng)通常會(huì)遇到如下幾個(gè)問題:地址轉(zhuǎn)換設(shè)備(NAT��、防火墻�、網(wǎng)閘等)帶來(lái)的消息內(nèi)部IP地址和消息報(bào)文頭部IP地址的不一致而導(dǎo)致的部件之間無(wú)法互通;為內(nèi)網(wǎng)的多個(gè)監(jiān)控服務(wù)器作地址映射而帶來(lái)的公網(wǎng)地址消耗;原先網(wǎng)絡(luò)獨(dú)立的多個(gè)部門之間實(shí)施監(jiān)控聯(lián)網(wǎng)所面臨的地址規(guī)劃沖突;處于高密級(jí)區(qū)域的上級(jí)域與低密級(jí)區(qū)域的下級(jí)域聯(lián)網(wǎng)時(shí)面臨的安全規(guī)范(會(huì)話應(yīng)由高密級(jí)區(qū)域向低密級(jí)區(qū)域發(fā)起)和國(guó)標(biāo)標(biāo)準(zhǔn)(要求下級(jí)域先向上級(jí)域發(fā)起注冊(cè))之間的沖突����。
宇視科技的UNP方案可輕松解決上述難題�����。UNP方案在上���、下級(jí)域的監(jiān)控服務(wù)器之間或終端與監(jiān)控服務(wù)器之間建立一條應(yīng)用層的通道(這個(gè)通道稱為UNP通道),護(hù)送所有信令和數(shù)據(jù)從通道穿越地址轉(zhuǎn)換設(shè)備;所以�����,不管組網(wǎng)有多復(fù)雜����,也無(wú)論存在多少層NAT,只要普通報(bào)文可達(dá)���,業(yè)務(wù)均可正常運(yùn)行——發(fā)生地址轉(zhuǎn)換的僅是通道本身的IP地址�����,從避免了第一個(gè)問題����。
UNP方案利用UNP通道可以為參與聯(lián)網(wǎng)的服務(wù)器或終端建立了一個(gè)虛擬地址空間,這是個(gè)“世外桃源”�,與實(shí)際網(wǎng)絡(luò)地址空間保持隔離。于是�����,盡管私網(wǎng)內(nèi)可能有很多監(jiān)控服務(wù)器���,但通道本身只消耗一個(gè)公網(wǎng)地址和一個(gè)端口;而這一個(gè)公網(wǎng)地址���,我們直接利用了現(xiàn)有的NAT設(shè)備的公網(wǎng)地址�,所以不需要用戶購(gòu)買新的公網(wǎng)IP�����,這就避免了第2個(gè)問題�。
由于UNP方案在聯(lián)網(wǎng)的監(jiān)控服務(wù)器之間制造了一個(gè)虛擬地址空間��,該空間不與外部實(shí)際地址空間互通,那么����,即使平級(jí)域或上下域的兩個(gè)區(qū)域之間的地址規(guī)劃存在沖突�,只要建立UNP通道的幾臺(tái)服務(wù)器間的地址不發(fā)生沖突,域間的業(yè)務(wù)聯(lián)網(wǎng)就不存在任何問題——域間發(fā)生的任何業(yè)務(wù)都由這些服務(wù)器負(fù)責(zé)中轉(zhuǎn)處理,這樣就解決了第3個(gè)問題�。
安全規(guī)范和國(guó)標(biāo)標(biāo)準(zhǔn)在上級(jí)域處高密級(jí)區(qū)域時(shí)不可避免的會(huì)發(fā)生沖突���,一般方案無(wú)能為力����,但UNP可破此僵局。上級(jí)域服務(wù)器先向下級(jí)域服務(wù)器建立UNP連接�����,下級(jí)域服務(wù)器就可以通過(guò)UNP通道向上級(jí)域服務(wù)器發(fā)起注冊(cè)——由于通道是建立在兩個(gè)服務(wù)器之間的一個(gè)應(yīng)用層連接��,與外部地址空間保持隔離����,所以完全滿足安全性的要求。
經(jīng)過(guò)兩年多的大量開局證明����,UNP可以輕松應(yīng)對(duì)大量復(fù)雜的廣域聯(lián)網(wǎng)需求。當(dāng)上下級(jí)域間存在復(fù)雜網(wǎng)絡(luò)����,則在上下級(jí)域服務(wù)器之間建立UNP連接;當(dāng)服務(wù)器與終端間存在復(fù)雜組網(wǎng),則在服務(wù)器與終端之間建立UNP連接�����。只要保證兩端設(shè)備相互能夠PING通即萬(wàn)事大吉�。
安全的業(yè)務(wù)防護(hù)
UNP方案從多個(gè)維度為廣域監(jiān)控聯(lián)網(wǎng)提供了安全保障。
從網(wǎng)絡(luò)層面看�,UNP方案只要求防火墻映射一個(gè)“地址+端口號(hào)”,將企業(yè)網(wǎng)絡(luò)對(duì)外的窗口關(guān)閉至最小�,這使得著總部?jī)?nèi)網(wǎng)遭受外網(wǎng)入侵的風(fēng)險(xiǎn)降到至最低。因?yàn)槎丝谔?hào)的控制限制了允許外網(wǎng)主動(dòng)進(jìn)入的業(yè)務(wù)類型�,黑客只能依靠大流量發(fā)起DOS攻擊;但由于公網(wǎng)IP地址映射指向的是UNP中繼,一臺(tái)不保存任何數(shù)據(jù)的轉(zhuǎn)發(fā)設(shè)備,所以數(shù)據(jù)類服務(wù)器非常的安全;同時(shí)��,即使UNP中繼受攻擊而癱瘓���,影響的只是域間的轉(zhuǎn)發(fā)業(yè)務(wù)���,監(jiān)控系統(tǒng)的本域業(yè)務(wù)不受任何影響;而防止DOS攻擊其實(shí)只需防火墻開啟流量限制即可。
從管理層面看��,UNP方案只要求總部的防火墻為UNP中繼建立一個(gè)地址端口映射�����,而無(wú)須分支機(jī)構(gòu)的防火墻開啟任何映射���。因此��,分支機(jī)構(gòu)很安全���,而總部的防火墻相對(duì)分支機(jī)構(gòu)的防火墻更強(qiáng)悍,所以綜合安全性較好����。
從UNP層面看����, UNP通道的建立需要進(jìn)行嚴(yán)格的身份認(rèn)證����,屏蔽仿冒攻擊;由于UNP通道內(nèi)的虛擬地址空間獨(dú)立于外網(wǎng)����,所有的業(yè)務(wù)交互都通過(guò)服務(wù)器進(jìn)行應(yīng)用層的業(yè)務(wù)中轉(zhuǎn),所以分支網(wǎng)絡(luò)���、UNP虛擬空間和總部網(wǎng)絡(luò)便形成了三個(gè)獨(dú)立的地址空間�,上下級(jí)域的服務(wù)器們便是這天然的關(guān)卡���,這兩道關(guān)卡只負(fù)責(zé)轉(zhuǎn)換監(jiān)控類業(yè)務(wù)����,不會(huì)轉(zhuǎn)換其他信令�,使得黑客從分支機(jī)構(gòu)攻擊總部網(wǎng)絡(luò)的可能性極小。
結(jié)束語(yǔ)
UNP為上層的監(jiān)控業(yè)務(wù)屏蔽了復(fù)雜的網(wǎng)絡(luò)結(jié)構(gòu)�����,又為下層的網(wǎng)絡(luò)屏蔽了復(fù)雜的監(jiān)控業(yè)務(wù),使得監(jiān)控系統(tǒng)的廣域聯(lián)網(wǎng)部署非常的靈活簡(jiǎn)便�����,又經(jīng)濟(jì)安全;也為廣大非IT出身的傳統(tǒng)監(jiān)控系統(tǒng)運(yùn)維朋友們解除了對(duì)復(fù)雜IP網(wǎng)絡(luò)知識(shí)的依賴����,為IP監(jiān)控的廣域部署奠定了簡(jiǎn)單易用的基礎(chǔ)。
免責(zé)聲明:本站所使用的字體和圖片文字等素材部分來(lái)源于互聯(lián)網(wǎng)共享平臺(tái)���。如使用任何字體和圖片文字有冒犯其版權(quán)所有方的�,皆為無(wú)意�。如您是字體廠商、圖片文字廠商等版權(quán)方�,且不允許本站使用您的字體和圖片文字等素材,請(qǐng)聯(lián)系我們��,本站核實(shí)后將立即刪除��!任何版權(quán)方從未通知聯(lián)系本站管理者停止使用�,并索要賠償或上訴法院的,均視為新型網(wǎng)絡(luò)碰瓷及敲詐勒索�����,將不予任何的法律和經(jīng)濟(jì)賠償�����!敬請(qǐng)諒解�����!
粵公網(wǎng)安備 44030402000264號(hào)