你是(shi)(shi)否(fou)曾經或現在依然為(wei)廣域(yu)(yu)網絡(luo)的(de)監控聯網而頭(tou)疼?是(shi)(shi)否(fou)為(wei)廣域(yu)(yu)聯網購買(mai)額外的(de)公(gong)網IP花(hua)費而心(xin)痛?是(shi)(shi)否(fou)為(wei)暴露于外網的(de)服務器的(de)安全而擔(dan)心(xin)?朋友們,請放下你心(xin)中的(de)顧(gu)慮,宇(yu)視科技的(de)萬能網絡(luo)護照UNP(universal network passport)方案為(wei)您提供統(tong)一簡潔(jie)的(de)解(jie)決方案,讓您輕(qing)松(song)的(de)完成大型系統(tong)的(de)聯網部署。
簡便經濟的站點聯網
廣(guang)域(yu)(yu)網(wang)的(de)(de)監控系統聯網(wang)通(tong)(tong)常(chang)會遇到如下幾個問(wen)題:地址(zhi)(zhi)轉換設(she)備(NAT、防火墻、網(wang)閘等(deng))帶來的(de)(de)消息內部(bu)IP地址(zhi)(zhi)和(he)消息報(bao)文(wen)頭部(bu)IP地址(zhi)(zhi)的(de)(de)不一致(zhi)而(er)導致(zhi)的(de)(de)部(bu)件(jian)之(zhi)間(jian)(jian)無法(fa)互通(tong)(tong);為內網(wang)的(de)(de)多個監控服務器作(zuo)地址(zhi)(zhi)映(ying)射(she)而(er)帶來的(de)(de)公網(wang)地址(zhi)(zhi)消耗;原先網(wang)絡獨立的(de)(de)多個部(bu)門之(zhi)間(jian)(jian)實施監控聯網(wang)所(suo)面臨的(de)(de)地址(zhi)(zhi)規劃(hua)沖突;處于(yu)高(gao)密(mi)級(ji)區(qu)域(yu)(yu)的(de)(de)上級(ji)域(yu)(yu)與低密(mi)級(ji)區(qu)域(yu)(yu)的(de)(de)下級(ji)域(yu)(yu)聯網(wang)時面臨的(de)(de)安全規范(會話應由(you)高(gao)密(mi)級(ji)區(qu)域(yu)(yu)向低密(mi)級(ji)區(qu)域(yu)(yu)發(fa)起)和(he)國(guo)標標準(zhun)(要求下級(ji)域(yu)(yu)先向上級(ji)域(yu)(yu)發(fa)起注冊)之(zhi)間(jian)(jian)的(de)(de)沖突。
宇視(shi)科(ke)技的(de)UNP方案可輕松解決上(shang)述難題(ti)。UNP方案在(zai)上(shang)、下級域的(de)監(jian)控(kong)服(fu)(fu)務(wu)器(qi)(qi)之間或終端與監(jian)控(kong)服(fu)(fu)務(wu)器(qi)(qi)之間建立一(yi)條應用層的(de)通(tong)道(這(zhe)個(ge)通(tong)道稱為UNP通(tong)道),護送所有信令和數(shu)據從通(tong)道穿(chuan)越地址(zhi)(zhi)轉換設(she)備;所以,不管組網(wang)有多復雜,也無論存在(zai)多少層NAT,只要(yao)(yao)普通(tong)報文(wen)可達,業務(wu)均可正(zheng)常(chang)運行——發生地址(zhi)(zhi)轉換的(de)僅是(shi)通(tong)道本(ben)身的(de)IP地址(zhi)(zhi),從避(bi)免了(le)第(di)一(yi)個(ge)問題(ti)。UNP方案利(li)用UNP通(tong)道可以為參與聯網(wang)的(de)服(fu)(fu)務(wu)器(qi)(qi)或終端建立了(le)一(yi)個(ge)虛擬地址(zhi)(zhi)空間,這(zhe)是(shi)個(ge)“世(shi)外桃源”,與實際(ji)網(wang)絡地址(zhi)(zhi)空間保持隔離。于(yu)是(shi),盡管私網(wang)內可能有很(hen)多監(jian)控(kong)服(fu)(fu)務(wu)器(qi)(qi),但(dan)通(tong)道本(ben)身只消耗一(yi)個(ge)公網(wang)地址(zhi)(zhi)和一(yi)個(ge)端口(kou);而這(zhe)一(yi)個(ge)公網(wang)地址(zhi)(zhi),我們直接利(li)用了(le)現有的(de)NAT設(she)備的(de)公網(wang)地址(zhi)(zhi),所以不需要(yao)(yao)用戶購買(mai)新的(de)公網(wang)IP,這(zhe)就避(bi)免了(le)第(di)2個(ge)問題(ti)。
由于(yu)UNP方案(an)在聯(lian)網(wang)的(de)(de)(de)監控服務器(qi)之間制造了一(yi)個虛擬地(di)址(zhi)(zhi)(zhi)空間,該空間不(bu)與(yu)外部實際地(di)址(zhi)(zhi)(zhi)空間互通,那么(me),即(ji)使平級域或上(shang)下域的(de)(de)(de)兩個區域之間的(de)(de)(de)地(di)址(zhi)(zhi)(zhi)規劃存在沖(chong)突(tu),只(zhi)要建立UNP通道的(de)(de)(de)幾臺服務器(qi)間的(de)(de)(de)地(di)址(zhi)(zhi)(zhi)不(bu)發生沖(chong)突(tu),域間的(de)(de)(de)業務聯(lian)網(wang)就不(bu)存在任何問題——域間發生的(de)(de)(de)任何業務都由這(zhe)些服務器(qi)負責中轉(zhuan)處理,這(zhe)樣就解決了第3個問題。
安全(quan)(quan)規范和(he)國標標準在上級(ji)(ji)域(yu)處(chu)高密級(ji)(ji)區域(yu)時不可(ke)避免的(de)會發生沖突,一(yi)(yi)般方案無能為力(li),但UNP 可(ke)破(po)此僵局。上級(ji)(ji)域(yu)服(fu)務(wu)(wu)(wu)器(qi)先(xian)向(xiang)下(xia)級(ji)(ji)域(yu)服(fu)務(wu)(wu)(wu)器(qi)建(jian)立UNP連接,下(xia)級(ji)(ji)域(yu)服(fu)務(wu)(wu)(wu)器(qi)就可(ke)以(yi)通(tong)過UNP 通(tong)道向(xiang)上級(ji)(ji)域(yu)服(fu)務(wu)(wu)(wu)器(qi)發起注冊——由(you)于通(tong)道是建(jian)立在兩個服(fu)務(wu)(wu)(wu)器(qi)之間的(de)一(yi)(yi)個應用層連接,與外部地址空間保(bao)持隔離,所以(yi)完全(quan)(quan)滿足安全(quan)(quan)性的(de)要(yao)求(qiu)。
經過兩年多的大量開局證(zheng)(zheng)明,UNP 可以輕(qing)松(song)應對大量復(fu)雜(za)的廣域聯(lian)網(wang)需求。當上下(xia)級域間(jian)存(cun)在復(fu)雜(za)網(wang)絡,則在上下(xia)級域服務(wu)器(qi)之(zhi)間(jian)建立(li)UNP 連接;當服務(wu)器(qi)與終(zhong)端間(jian)存(cun)在復(fu)雜(za)組網(wang),則在服務(wu)器(qi)與終(zhong)端之(zhi)間(jian)建立(li)UNP 連接。只要保證(zheng)(zheng)兩端設備相互(hu)能夠PING 通即萬事大吉。
安全的業務防護
UNP方案從多個維度(du)為廣域(yu)監控聯(lian)網提供了(le)安(an)全保障。
從網(wang)(wang)絡層(ceng)面看,UNP方案只(zhi)(zhi)(zhi)要(yao)求(qiu)防(fang)火墻映射一(yi)(yi)個(ge)“地(di)址+ 端口(kou)號”,將(jiang)企業(ye)網(wang)(wang)絡對外的(de)窗口(kou)關閉至最小,這使得著總部內網(wang)(wang)遭受外網(wang)(wang)入侵(qin)的(de)風險降到至最低。因(yin)為端口(kou)號的(de)控制(zhi)限(xian)制(zhi)了(le)允許外網(wang)(wang)主動進入的(de)業(ye)務類(lei)型,黑客(ke)只(zhi)(zhi)(zhi)能(neng)依靠大流(liu)量發起DOS攻(gong)擊;但由(you)于(yu)公網(wang)(wang)IP地(di)址映射指向的(de)是UNP中(zhong)繼(ji),一(yi)(yi)臺不保存任何(he)數據的(de)轉(zhuan)(zhuan)發設(she)備,所以(yi)數據類(lei)服務器非常的(de)安(an)全;同時,即使UNP中(zhong)繼(ji)受攻(gong)擊而癱瘓,影響(xiang)的(de)只(zhi)(zhi)(zhi)是域間的(de)轉(zhuan)(zhuan)發業(ye)務,監控系統的(de)本(ben)域業(ye)務不受任何(he)影響(xiang);而防(fang)止DOS攻(gong)擊其(qi)實(shi)只(zhi)(zhi)(zhi)需防(fang)火墻開啟流(liu)量限(xian)制(zhi)即可。
從管(guan)理(li)層面(mian)看,UNP方案只(zhi)要求(qiu)總部的防火(huo)(huo)墻(qiang)(qiang)為UNP中繼建立一個地(di)址端(duan)口映射,而無須分(fen)支機構(gou)的防火(huo)(huo)墻(qiang)(qiang)開啟(qi)任何映射。因此,分(fen)支機構(gou)很(hen)安全(quan),而總部的防火(huo)(huo)墻(qiang)(qiang)相對分(fen)支機構(gou)的防火(huo)(huo)墻(qiang)(qiang)更強悍,所以綜(zong)合安全(quan)性較好。
從(cong)UNP層面看, UNP通道的(de)(de)建(jian)立需要進行嚴格(ge)的(de)(de)身份認證,屏蔽仿(fang)冒攻(gong)擊(ji);由于UNP通道內的(de)(de)虛(xu)擬地址空(kong)(kong)間(jian)獨立于外網(wang)(wang),所(suo)有的(de)(de)業(ye)務(wu)(wu)交(jiao)互(hu)都(dou)通過服務(wu)(wu)器進行應(ying)用層的(de)(de)業(ye)務(wu)(wu)中轉(zhuan),所(suo)以分支網(wang)(wang)絡、UNP虛(xu)擬空(kong)(kong)間(jian)和總部(bu)網(wang)(wang)絡便形成了三個獨立的(de)(de)地址空(kong)(kong)間(jian),上(shang)下級(ji)域的(de)(de)服務(wu)(wu)器們便是這天然的(de)(de)關卡(ka),這兩道關卡(ka)只負責轉(zhuan)換(huan)(huan)監控類業(ye)務(wu)(wu),不會(hui)轉(zhuan)換(huan)(huan)其(qi)他信(xin)令,使得黑(hei)客從(cong)分支機(ji)構攻(gong)擊(ji)總部(bu)網(wang)(wang)絡的(de)(de)可(ke)能性(xing)極小。
【結束語】
UNP為(wei)上(shang)層(ceng)的(de)(de)監(jian)控業務屏(ping)蔽(bi)了(le)(le)復雜(za)(za)的(de)(de)網絡(luo)結構,又為(wei)下(xia)層(ceng)的(de)(de)網絡(luo)屏(ping)蔽(bi)了(le)(le)復雜(za)(za)的(de)(de)監(jian)控業務,使得監(jian)控系(xi)統(tong)(tong)的(de)(de)廣域聯(lian)網部署(shu)非(fei)常(chang)的(de)(de)靈(ling)活簡便,又經濟安全(quan);也為(wei)廣大非(fei)IT出身的(de)(de)傳統(tong)(tong)監(jian)控系(xi)統(tong)(tong)運維朋友們解除了(le)(le)對復雜(za)(za)IP網絡(luo)知識的(de)(de)依賴(lai),為(wei)IP監(jian)控的(de)(de)廣域部署(shu)奠定了(le)(le)簡單易用的(de)(de)基礎。