周迪

你是否曾經(jīng)或現(xiàn)在依然為廣域網(wǎng)絡(luò)的監(jiān)控聯(lián)網(wǎng)而頭疼？是否為廣域聯(lián)網(wǎng)購買額外的公網(wǎng)IP花費(fèi)而心痛？是否為暴露于外網(wǎng)的服務(wù)器的安全而擔(dān)心？朋友們，請放下你心中的顧慮，宇視科技的萬能網(wǎng)絡(luò)護(hù)照UNP（universal network passport）方案為您提供統(tǒng)一簡潔的解決方案，讓您輕松的完成大型系統(tǒng)的聯(lián)網(wǎng)部署。

簡便經(jīng)濟(jì)的站點聯(lián)網(wǎng)

廣域網(wǎng)的監(jiān)控系統(tǒng)聯(lián)網(wǎng)通常會遇到如下幾個問題：地址轉(zhuǎn)換設(shè)備（NAT、防火墻、網(wǎng)閘等）帶來的消息內(nèi)部IP地址和消息報文頭部IP地址的不一致而導(dǎo)致的部件之間無法互通；為內(nèi)網(wǎng)的多個監(jiān)控服務(wù)器作地址映射而帶來的公網(wǎng)地址消耗；原先網(wǎng)絡(luò)獨(dú)立的多個部門之間實施監(jiān)控聯(lián)網(wǎng)所面臨的地址規(guī)劃沖突；處于高密級區(qū)域的上級域與低密級區(qū)域的下級域聯(lián)網(wǎng)時面臨的安全規(guī)范（會話應(yīng)由高密級區(qū)域向低密級區(qū)域發(fā)起）和國標(biāo)標(biāo)準(zhǔn)（要求下級域先向上級域發(fā)起注冊）之間的沖突。

宇視科技的UNP方案可輕松解決上述難題。UNP方案在上、下級域的監(jiān)控服務(wù)器之間或終端與監(jiān)控服務(wù)器之間建立一條應(yīng)用層的通道（這個通道稱為UNP通道），護(hù)送所有信令和數(shù)據(jù)從通道穿越地址轉(zhuǎn)換設(shè)備；所以，不管組網(wǎng)有多復(fù)雜，也無論存在多少層NAT，只要普通報文可達(dá)，業(yè)務(wù)均可正常運(yùn)行——發(fā)生地址轉(zhuǎn)換的僅是通道本身的IP地址，從避免了第一個問題。UNP方案利用UNP通道可以為參與聯(lián)網(wǎng)的服務(wù)器或終端建立了一個虛擬地址空間，這是個“世外桃源”，與實際網(wǎng)絡(luò)地址空間保持隔離。于是，盡管私網(wǎng)內(nèi)可能有很多監(jiān)控服務(wù)器，但通道本身只消耗一個公網(wǎng)地址和一個端口；而這一個公網(wǎng)地址，我們直接利用了現(xiàn)有的NAT設(shè)備的公網(wǎng)地址，所以不需要用戶購買新的公網(wǎng)IP，這就避免了第2個問題。

由于UNP方案在聯(lián)網(wǎng)的監(jiān)控服務(wù)器之間制造了一個虛擬地址空間，該空間不與外部實際地址空間互通，那么，即使平級域或上下域的兩個區(qū)域之間的地址規(guī)劃存在沖突，只要建立UNP通道的幾臺服務(wù)器間的地址不發(fā)生沖突，域間的業(yè)務(wù)聯(lián)網(wǎng)就不存在任何問題——域間發(fā)生的任何業(yè)務(wù)都由這些服務(wù)器負(fù)責(zé)中轉(zhuǎn)處理，這樣就解決了第3個問題。

安全規(guī)范和國標(biāo)標(biāo)準(zhǔn)在上級域處高密級區(qū)域時不可避免的會發(fā)生沖突，一般方案無能為力，但UNP 可破此僵局。上級域服務(wù)器先向下級域服務(wù)器建立UNP連接，下級域服務(wù)器就可以通過UNP 通道向上級域服務(wù)器發(fā)起注冊——由于通道是建立在兩個服務(wù)器之間的一個應(yīng)用層連接，與外部地址空間保持隔離，所以完全滿足安全性的要求。

經(jīng)過兩年多的大量開局證明，UNP 可以輕松應(yīng)對大量復(fù)雜的廣域聯(lián)網(wǎng)需求。當(dāng)上下級域間存在復(fù)雜網(wǎng)絡(luò)，則在上下級域服務(wù)器之間建立UNP 連接；當(dāng)服務(wù)器與終端間存在復(fù)雜組網(wǎng)，則在服務(wù)器與終端之間建立UNP 連接。只要保證兩端設(shè)備相互能夠PING 通即萬事大吉。

安全的業(yè)務(wù)防護(hù)

UNP方案從多個維度為廣域監(jiān)控聯(lián)網(wǎng)提供了安全保障。

從網(wǎng)絡(luò)層面看，UNP方案只要求防火墻映射一個“地址+ 端口號”，將企業(yè)網(wǎng)絡(luò)對外的窗口關(guān)閉至最小，這使得著總部內(nèi)網(wǎng)遭受外網(wǎng)入侵的風(fēng)險降到至最低。因為端口號的控制限制了允許外網(wǎng)主動進(jìn)入的業(yè)務(wù)類型，黑客只能依靠大流量發(fā)起DOS攻擊；但由于公網(wǎng)IP地址映射指向的是UNP中繼，一臺不保存任何數(shù)據(jù)的轉(zhuǎn)發(fā)設(shè)備，所以數(shù)據(jù)類服務(wù)器非常的安全；同時，即使UNP中繼受攻擊而癱瘓，影響的只是域間的轉(zhuǎn)發(fā)業(yè)務(wù)，監(jiān)控系統(tǒng)的本域業(yè)務(wù)不受任何影響；而防止DOS攻擊其實只需防火墻開啟流量限制即可。

從管理層面看，UNP方案只要求總部的防火墻為UNP中繼建立一個地址端口映射，而無須分支機(jī)構(gòu)的防火墻開啟任何映射。因此，分支機(jī)構(gòu)很安全，而總部的防火墻相對分支機(jī)構(gòu)的防火墻更強(qiáng)悍，所以綜合安全性較好。

從UNP層面看， UNP通道的建立需要進(jìn)行嚴(yán)格的身份認(rèn)證，屏蔽仿冒攻擊；由于UNP通道內(nèi)的虛擬地址空間獨(dú)立于外網(wǎng)，所有的業(yè)務(wù)交互都通過服務(wù)器進(jìn)行應(yīng)用層的業(yè)務(wù)中轉(zhuǎn)，所以分支網(wǎng)絡(luò)、UNP虛擬空間和總部網(wǎng)絡(luò)便形成了三個獨(dú)立的地址空間，上下級域的服務(wù)器們便是這天然的關(guān)卡，這兩道關(guān)卡只負(fù)責(zé)轉(zhuǎn)換監(jiān)控類業(yè)務(wù)，不會轉(zhuǎn)換其他信令，使得黑客從分支機(jī)構(gòu)攻擊總部網(wǎng)絡(luò)的可能性極小。

【結(jié)束語】

UNP為上層的監(jiān)控業(yè)務(wù)屏蔽了復(fù)雜的網(wǎng)絡(luò)結(jié)構(gòu)，又為下層的網(wǎng)絡(luò)屏蔽了復(fù)雜的監(jiān)控業(yè)務(wù)，使得監(jiān)控系統(tǒng)的廣域聯(lián)網(wǎng)部署非常的靈活簡便，又經(jīng)濟(jì)安全；也為廣大非IT出身的傳統(tǒng)監(jiān)控系統(tǒng)運(yùn)維朋友們解除了對復(fù)雜IP網(wǎng)絡(luò)知識的依賴，為IP監(jiān)控的廣域部署奠定了簡單易用的基礎(chǔ)。