让广域监控联网简便经济安全

周迪

你是否曾经或现在依然为广域网络的监控联网而头疼？是否为广域联网购买额外的公网IP花费而心痛？是否为暴露于外网的服务器的安全而担心？朋友们，请放下你心中的顾虑，bob体育的万能网络护照UNP（universal network passport）方案为您提供统一简洁的解决方案，让您轻松的完成大型系统的联网部署。

简便经济的站点联网

广域网的监控系统联网通常会遇到如下几个问题：地址转换设备（NAT、防火墙、网闸等）带来的消息内部IP地址和消息报文头部IP地址的不一致而导致的部件之间无法互通；为内网的多个监控服务器作地址映射而带来的公网地址消耗；原先网络独立的多个部门之间实施监控联网所面临的地址规划冲突；处于高密级区域的上级域与低密级区域的下级域联网时面临的安全规范（会话应由高密级区域向低密级区域发起）和国标标准（要求下级域先向上级域发起注册）之间的冲突。

bob体育的UNP方案可轻松解决上述难题。UNP方案在上、下级域的监控服务器之间或终端与监控服务器之间建立一条应用层的通道（这个通道称为UNP通道），护送所有信令和数据从通道穿越地址转换设备；所以，不管组网有多复杂，也无论存在多少层NAT，只要普通报文可达，业务均可正常运行——发生地址转换的仅是通道本身的IP地址，从避免了第一个问题。UNP方案利用UNP通道可以为参与联网的服务器或终端建立了一个虚拟地址空间，这是个“世外桃源”，与实际网络地址空间保持隔离。于是，尽管私网内可能有很多监控服务器，但通道本身只消耗一个公网地址和一个端口；而这一个公网地址，我们直接利用了现有的NAT设备的公网地址，所以不需要用户购买新的公网IP，这就避免了第2个问题。

由于UNP方案在联网的监控服务器之间制造了一个虚拟地址空间，该空间不与外部实际地址空间互通，那么，即使平级域或上下域的两个区域之间的地址规划存在冲突，只要建立UNP通道的几台服务器间的地址不发生冲突，域间的业务联网就不存在任何问题——域间发生的任何业务都由这些服务器负责中转处理，这样就解决了第3个问题。

安全规范和国标标准在上级域处高密级区域时不可避免的会发生冲突，一般方案无能为力，但UNP 可破此僵局。上级域服务器先向下级域服务器建立UNP连接，下级域服务器就可以通过UNP 通道向上级域服务器发起注册——由于通道是建立在两个服务器之间的一个应用层连接，与外部地址空间保持隔离，所以完全满足安全性的要求。

经过两年多的大量开局证明，UNP 可以轻松应对大量复杂的广域联网需求。当上下级域间存在复杂网络，则在上下级域服务器之间建立UNP 连接；当服务器与终端间存在复杂组网，则在服务器与终端之间建立UNP 连接。只要保证两端设备相互能够PING 通即万事大吉。

安全的业务防护

UNP方案从多个维度为广域监控联网提供了安全保障。

从网络层面看，UNP方案只要求防火墙映射一个“地址+ 端口号”，将企业网络对外的窗口关闭至最小，这使得着总部内网遭受外网入侵的风险降到至最低。因为端口号的控制限制了允许外网主动进入的业务类型，黑客只能依靠大流量发起DOS攻击；但由于公网IP地址映射指向的是UNP中继，一台不保存任何数据的转发设备，所以数据类服务器非常的安全；同时，即使UNP中继受攻击而瘫痪，影响的只是域间的转发业务，监控系统的本域业务不受任何影响；而防止DOS攻击其实只需防火墙开启流量限制即可。

从管理层面看，UNP方案只要求总部的防火墙为UNP中继建立一个地址端口映射，而无须分支机构的防火墙开启任何映射。因此，分支机构很安全，而总部的防火墙相对分支机构的防火墙更强悍，所以综合安全性较好。

从UNP层面看， UNP通道的建立需要进行严格的身份认证，屏蔽仿冒攻击；由于UNP通道内的虚拟地址空间独立于外网，所有的业务交互都通过服务器进行应用层的业务中转，所以分支网络、UNP虚拟空间和总部网络便形成了三个独立的地址空间，上下级域的服务器们便是这天然的关卡，这两道关卡只负责转换监控类业务，不会转换其他信令，使得黑客从分支机构攻击总部网络的可能性极小。

【结束语】

UNP为上层的监控业务屏蔽了复杂的网络结构，又为下层的网络屏蔽了复杂的监控业务，使得监控系统的广域联网部署非常的灵活简便，又经济安全；也为广大非IT出身的传统监控系统运维朋友们解除了对复杂IP网络知识的依赖，为IP监控的广域部署奠定了简单易用的基础。