你(ni)是否曾經或現在(zai)依然為廣(guang)域(yu)網(wang)絡的(de)監控(kong)聯(lian)網(wang)而(er)(er)頭疼(teng)?是否為廣(guang)域(yu)聯(lian)網(wang)購買額(e)外(wai)的(de)公網(wang)IP花費而(er)(er)心痛?是否為暴(bao)露于外(wai)網(wang)的(de)服務器(qi)的(de)安全而(er)(er)擔心?朋(peng)友(you)們(men),請(qing)放下你(ni)心中(zhong)的(de)顧慮(lv),宇視科技的(de)萬(wan)能網(wang)絡護照UNP(universal network passport)方案為您提供統一簡潔的(de)解(jie)決(jue)方案,讓您輕(qing)松的(de)完成(cheng)大型系統的(de)聯(lian)網(wang)部署(shu)。
簡便經濟的站點聯網
廣域(yu)網的(de)(de)(de)(de)(de)監控(kong)系統(tong)聯網通(tong)常會遇(yu)到如下幾個(ge)問(wen)題:地(di)址(zhi)轉換設備(NAT、防火墻(qiang)、網閘(zha)等)帶來的(de)(de)(de)(de)(de)消(xiao)息(xi)內(nei)部IP地(di)址(zhi)和消(xiao)息(xi)報文頭部IP地(di)址(zhi)的(de)(de)(de)(de)(de)不一致而(er)導致的(de)(de)(de)(de)(de)部件(jian)之(zhi)間無(wu)法互通(tong);為內(nei)網的(de)(de)(de)(de)(de)多個(ge)監控(kong)服務器作地(di)址(zhi)映(ying)射(she)而(er)帶來的(de)(de)(de)(de)(de)公(gong)網地(di)址(zhi)消(xiao)耗(hao);原先網絡(luo)獨(du)立的(de)(de)(de)(de)(de)多個(ge)部門之(zhi)間實施(shi)監控(kong)聯網所(suo)面(mian)臨的(de)(de)(de)(de)(de)地(di)址(zhi)規劃沖突(tu);處(chu)于(yu)高密級區(qu)域(yu)的(de)(de)(de)(de)(de)上(shang)級域(yu)與低密級區(qu)域(yu)的(de)(de)(de)(de)(de)下級域(yu)聯網時面(mian)臨的(de)(de)(de)(de)(de)安全規范(會話應由高密級區(qu)域(yu)向低密級區(qu)域(yu)發(fa)起)和國標標準(要求(qiu)下級域(yu)先向上(shang)級域(yu)發(fa)起注冊)之(zhi)間的(de)(de)(de)(de)(de)沖突(tu)。
宇視科技的(de)(de)UNP方案(an)可輕松解決上(shang)述難(nan)題。UNP方案(an)在上(shang)、下級域的(de)(de)監控(kong)服(fu)務器(qi)之(zhi)(zhi)間(jian)或(huo)終端(duan)與監控(kong)服(fu)務器(qi)之(zhi)(zhi)間(jian)建立一(yi)(yi)條應用層的(de)(de)通(tong)道(dao)(dao)(dao)(這個(ge)通(tong)道(dao)(dao)(dao)稱為(wei)UNP通(tong)道(dao)(dao)(dao)),護送所有(you)信令和數(shu)據從通(tong)道(dao)(dao)(dao)穿越地(di)址(zhi)(zhi)轉換(huan)設備;所以,不(bu)管(guan)組網(wang)(wang)有(you)多(duo)復雜,也無論存在多(duo)少(shao)層NAT,只(zhi)要普通(tong)報文可達,業務均可正常運行——發生地(di)址(zhi)(zhi)轉換(huan)的(de)(de)僅是通(tong)道(dao)(dao)(dao)本身的(de)(de)IP地(di)址(zhi)(zhi),從避(bi)(bi)免了第(di)一(yi)(yi)個(ge)問題。UNP方案(an)利用UNP通(tong)道(dao)(dao)(dao)可以為(wei)參與聯網(wang)(wang)的(de)(de)服(fu)務器(qi)或(huo)終端(duan)建立了一(yi)(yi)個(ge)虛擬(ni)地(di)址(zhi)(zhi)空間(jian),這是個(ge)“世外桃(tao)源”,與實(shi)際網(wang)(wang)絡(luo)地(di)址(zhi)(zhi)空間(jian)保持(chi)隔離。于是,盡(jin)管(guan)私網(wang)(wang)內可能(neng)有(you)很多(duo)監控(kong)服(fu)務器(qi),但(dan)通(tong)道(dao)(dao)(dao)本身只(zhi)消耗一(yi)(yi)個(ge)公(gong)網(wang)(wang)地(di)址(zhi)(zhi)和一(yi)(yi)個(ge)端(duan)口;而這一(yi)(yi)個(ge)公(gong)網(wang)(wang)地(di)址(zhi)(zhi),我們直接利用了現有(you)的(de)(de)NAT設備的(de)(de)公(gong)網(wang)(wang)地(di)址(zhi)(zhi),所以不(bu)需(xu)要用戶購買新的(de)(de)公(gong)網(wang)(wang)IP,這就避(bi)(bi)免了第(di)2個(ge)問題。
![](/res/201606/01/20160601_1615427_15-1_797285_140493_0.jpg)
由于UNP方案在(zai)聯網的監控服務器之間(jian)制造了(le)一個(ge)(ge)虛擬地址空(kong)間(jian),該空(kong)間(jian)不(bu)與外部實(shi)際地址空(kong)間(jian)互通,那么,即使平級域(yu)(yu)或上下域(yu)(yu)的兩個(ge)(ge)區域(yu)(yu)之間(jian)的地址規劃存在(zai)沖(chong)突,只要(yao)建立UNP通道的幾臺服務器間(jian)的地址不(bu)發生(sheng)(sheng)沖(chong)突,域(yu)(yu)間(jian)的業務聯網就不(bu)存在(zai)任何問題(ti)——域(yu)(yu)間(jian)發生(sheng)(sheng)的任何業務都由這些(xie)服務器負(fu)責中轉(zhuan)處理(li),這樣就解(jie)決了(le)第3個(ge)(ge)問題(ti)。
安全(quan)規范(fan)和國標標準在上級域(yu)(yu)處(chu)高(gao)密級區域(yu)(yu)時不可(ke)避(bi)免的會(hui)發(fa)生(sheng)沖突(tu),一般方(fang)案無能為力,但UNP 可(ke)破(po)此(ci)僵局。上級域(yu)(yu)服務器(qi)(qi)先向下(xia)級域(yu)(yu)服務器(qi)(qi)建(jian)立UNP連接,下(xia)級域(yu)(yu)服務器(qi)(qi)就(jiu)可(ke)以(yi)通(tong)過UNP 通(tong)道(dao)向上級域(yu)(yu)服務器(qi)(qi)發(fa)起注冊——由于(yu)通(tong)道(dao)是建(jian)立在兩個(ge)服務器(qi)(qi)之間的一個(ge)應用層(ceng)連接,與(yu)外部地址空間保持(chi)隔離(li),所以(yi)完全(quan)滿足安全(quan)性的要(yao)求。
經過兩(liang)年多的(de)大量(liang)開局證明(ming),UNP 可以輕松應對大量(liang)復(fu)雜的(de)廣域(yu)聯網(wang)需求。當(dang)上下級(ji)域(yu)間(jian)存在復(fu)雜網(wang)絡,則(ze)在上下級(ji)域(yu)服務器(qi)之(zhi)間(jian)建立UNP 連接(jie);當(dang)服務器(qi)與終端間(jian)存在復(fu)雜組網(wang),則(ze)在服務器(qi)與終端之(zhi)間(jian)建立UNP 連接(jie)。只要保證兩(liang)端設(she)備(bei)相互能(neng)夠(gou)PING 通即萬事大吉。
安全的業務防護
UNP方(fang)案從多個維度(du)為廣(guang)域監控(kong)聯網提供了安全保障。
從網絡層面看,UNP方案只(zhi)(zhi)要求防火(huo)墻映射一(yi)個“地址(zhi)+ 端口號”,將企業(ye)網絡對(dui)外(wai)的(de)(de)窗口關閉至最(zui)小,這使(shi)得著總(zong)部內(nei)網遭(zao)受外(wai)網入侵的(de)(de)風險降到至最(zui)低。因為端口號的(de)(de)控(kong)制(zhi)限(xian)制(zhi)了允許(xu)外(wai)網主動進(jin)入的(de)(de)業(ye)務(wu)類型,黑客只(zhi)(zhi)能依靠大(da)流量(liang)發起DOS攻擊;但由于公網IP地址(zhi)映射指向的(de)(de)是UNP中(zhong)繼,一(yi)臺不(bu)保存任(ren)(ren)何(he)數據(ju)的(de)(de)轉發設(she)備,所(suo)以數據(ju)類服務(wu)器(qi)非(fei)常(chang)的(de)(de)安全(quan);同時,即使(shi)UNP中(zhong)繼受攻擊而癱瘓,影(ying)響(xiang)的(de)(de)只(zhi)(zhi)是域間的(de)(de)轉發業(ye)務(wu),監控(kong)系統的(de)(de)本域業(ye)務(wu)不(bu)受任(ren)(ren)何(he)影(ying)響(xiang);而防止DOS攻擊其實只(zhi)(zhi)需防火(huo)墻開啟流量(liang)限(xian)制(zhi)即可(ke)。
從管理層面看(kan),UNP方案只要求總部的(de)(de)(de)防火墻(qiang)為(wei)UNP中(zhong)繼建立(li)一(yi)個地址端口(kou)映(ying)射,而(er)無須分支機構(gou)(gou)的(de)(de)(de)防火墻(qiang)開啟任何(he)映(ying)射。因此,分支機構(gou)(gou)很安全(quan)(quan),而(er)總部的(de)(de)(de)防火墻(qiang)相對分支機構(gou)(gou)的(de)(de)(de)防火墻(qiang)更強悍,所以綜合安全(quan)(quan)性較好。
從UNP層(ceng)面看, UNP通(tong)道(dao)的(de)(de)(de)(de)建立需要進(jin)行嚴格的(de)(de)(de)(de)身(shen)份認證,屏蔽仿(fang)冒攻擊;由(you)于UNP通(tong)道(dao)內的(de)(de)(de)(de)虛擬(ni)地址空(kong)間(jian)(jian)獨立于外(wai)網,所(suo)有的(de)(de)(de)(de)業(ye)務交互都通(tong)過服(fu)務器進(jin)行應用層(ceng)的(de)(de)(de)(de)業(ye)務中轉,所(suo)以分支(zhi)網絡(luo)、UNP虛擬(ni)空(kong)間(jian)(jian)和總(zong)部網絡(luo)便形(xing)成了三(san)個獨立的(de)(de)(de)(de)地址空(kong)間(jian)(jian),上下級域(yu)的(de)(de)(de)(de)服(fu)務器們便是這天然(ran)的(de)(de)(de)(de)關卡,這兩道(dao)關卡只負責轉換監控類業(ye)務,不會轉換其他信(xin)令(ling),使得黑客從分支(zhi)機構攻擊總(zong)部網絡(luo)的(de)(de)(de)(de)可能(neng)性極(ji)小(xiao)。
【結束語】
UNP為(wei)(wei)上(shang)層(ceng)的(de)監(jian)(jian)(jian)(jian)控業(ye)務屏蔽(bi)(bi)了(le)復(fu)雜的(de)網(wang)(wang)絡(luo)結構,又為(wei)(wei)下層(ceng)的(de)網(wang)(wang)絡(luo)屏蔽(bi)(bi)了(le)復(fu)雜的(de)監(jian)(jian)(jian)(jian)控業(ye)務,使得監(jian)(jian)(jian)(jian)控系統(tong)(tong)的(de)廣域聯網(wang)(wang)部署(shu)非(fei)常的(de)靈活簡(jian)便,又經(jing)濟安全;也為(wei)(wei)廣大(da)非(fei)IT出身的(de)傳統(tong)(tong)監(jian)(jian)(jian)(jian)控系統(tong)(tong)運維朋(peng)友們解除了(le)對復(fu)雜IP網(wang)(wang)絡(luo)知識(shi)的(de)依賴,為(wei)(wei)IP監(jian)(jian)(jian)(jian)控的(de)廣域部署(shu)奠定了(le)簡(jian)單易(yi)用的(de)基礎(chu)。