在日常生活中，人們都曾經(jīng)或現(xiàn)在為廣域網(wǎng)絡(luò)的監(jiān)控聯(lián)網(wǎng)而頭疼；為廣域聯(lián)網(wǎng)購買額外的公網(wǎng)IP花費而心痛；為暴露于外網(wǎng)的服務(wù)器的安全而擔(dān)心。宇視科技的萬能網(wǎng)絡(luò)護照UNP(universal network passport)方案提供統(tǒng)一簡潔的解決方案，讓安防行業(yè)客戶在比較輕松的范圍內(nèi)的完成大型系統(tǒng)的聯(lián)網(wǎng)部署。

簡便經(jīng)濟的站點聯(lián)網(wǎng)

廣域網(wǎng)的監(jiān)控系統(tǒng)聯(lián)網(wǎng)通常會遇到如下幾個問題：地址轉(zhuǎn)換設(shè)備(NAT、防火墻、網(wǎng)閘等)帶來的消息內(nèi)部IP地址和消息報文頭部IP地址的不一致而導(dǎo)致的部件之間無法互通；為內(nèi)網(wǎng)的多個監(jiān)控服務(wù)器作地址映射而帶來的公網(wǎng)地址消耗；原先網(wǎng)絡(luò)獨立的多個部門之間實施監(jiān)控聯(lián)網(wǎng)所面臨的地址規(guī)劃沖突；處于高密級區(qū)域的上級域與低密級區(qū)域的下級域聯(lián)網(wǎng)時面臨的安全規(guī)范(會話應(yīng)由高密級區(qū)域向低密級區(qū)域發(fā)起)和國標(biāo)標(biāo)準(zhǔn)(要求下級域先向上級域發(fā)起注冊)之間的沖突等等一系列難題。

萬能網(wǎng)絡(luò)護照UNP方案是專門為解決上述難題而研發(fā)的。萬能網(wǎng)絡(luò)護照UNP方案在上、下級域的監(jiān)控服務(wù)器之間或終端與監(jiān)控服務(wù)器之間建立一條應(yīng)用層的通道(這個通道稱為UNP通道)，護送所有信令和數(shù)據(jù)從通道穿越地址轉(zhuǎn)換設(shè)備；因此，不管組網(wǎng)有多復(fù) 雜，也無論存在多少層NAT，只要普通報文可達，業(yè)務(wù)均可正常運行—發(fā)生地址轉(zhuǎn)換的僅是通道本身的IP地址，從而避免了第一個問題。

萬能網(wǎng)絡(luò)護照UNP方案的優(yōu)越性

萬能網(wǎng)絡(luò)護照UNP方案利用UNP通道可以為參與聯(lián)網(wǎng)的服務(wù)器或終端建立了一個虛擬地址空間，這就像一個“世外桃源”，與實際網(wǎng)絡(luò)地址空間保持隔離。于是，盡管私網(wǎng)內(nèi)可能有很多監(jiān)控服務(wù)器，但通道本身只消耗一個公網(wǎng)地址和一個端口；而這一個公網(wǎng)地址，我們直接利用了現(xiàn)有的NAT設(shè)備的公網(wǎng)地址，所以不需要用戶購買新的公網(wǎng)IP，這就避免了第2個問題。

由于萬能網(wǎng)絡(luò)護照UNP方案在聯(lián)網(wǎng)的監(jiān)控服務(wù)器之間制造了一個虛擬地址空間，該空間不與外部實際地址空間互通，而且，即使平級域或上下域的兩個區(qū)域之間的地址規(guī)劃存在沖突，只要建立UNP通道的幾臺服務(wù)器間的地址不發(fā)生沖突，域間的業(yè)務(wù)聯(lián)網(wǎng)就不存在任何問題—域間發(fā)生的任何業(yè)務(wù)都由這些服務(wù)器負責(zé)中轉(zhuǎn)處理，這樣就解決了第3個問題。

安全規(guī)范和國標(biāo)標(biāo)準(zhǔn)在上級域處高密級區(qū)域時不可避免的會發(fā)生沖突，一般方案無能為力，但萬能網(wǎng)絡(luò)護照UNP方案可破此僵局。上級域服務(wù)器先向下級域服務(wù)器建立UNP連接，下級域服務(wù)器就可以通過UNP通道向上級域服務(wù)器發(fā)起注冊—由于通道是建立在兩個服 務(wù)器之間的一個應(yīng)用層連接，與外部地址空間保持隔離，所以完全滿足安全性的要求。

經(jīng)過兩年多的大量開局證明，萬能網(wǎng)絡(luò)護照UNP方案可以輕松應(yīng)對大量復(fù)雜的廣域聯(lián)網(wǎng)需求。當(dāng)上下級域間存在復(fù)雜網(wǎng)絡(luò)，則在上下級域服務(wù)器之間建立UNP連接；當(dāng)服務(wù)器與終端間存在復(fù)雜組網(wǎng)，則在服務(wù)器與終端之間建立UNP連接。只要保證兩端設(shè)備相互能夠連通即大功告成。

安全的業(yè)務(wù)防護功能

萬能網(wǎng)絡(luò)護照UNP方案從多個維度為廣域監(jiān)控聯(lián)網(wǎng)提供了安全保障。從網(wǎng)絡(luò)層面看，萬能網(wǎng)絡(luò)護照UNP方案只要求防火墻映射一個“地址+端口號”，將得著總部內(nèi)網(wǎng)遭受外網(wǎng)入侵的風(fēng)險降到至最低。因為端口號的控制限制了允許外網(wǎng)主動進入的業(yè)務(wù)類型，黑客只能依靠大流量發(fā)起DOS攻擊；但由于公網(wǎng)IP地址映射指向的是UNP 中繼，一臺不保存任何數(shù)據(jù)的轉(zhuǎn)發(fā)設(shè)備，所以數(shù)據(jù)類服務(wù)器非常的安全；同時，即使UNP中繼受攻擊而癱瘓，影響的只是域間的轉(zhuǎn)發(fā)業(yè)務(wù)，監(jiān)控系統(tǒng)的本域業(yè)務(wù)不受任何影響；而防止DOS攻擊其實只需防火墻開啟流量限制即可。

從管理層面看，UNP方案只要求總部的防火墻為UNP中繼建立一個地址端口映射，而無須分支機構(gòu)的防火墻開啟任何映射。因此，分支機構(gòu)很安全，而總部的防火墻相對分支機構(gòu)的防火墻更牢固，所以綜合安全性較好。

從UNP層面看， UNP通道的建立需要進行嚴格的身份認證，屏蔽仿冒攻擊；由于UNP通道內(nèi)的虛擬地址空間獨立于外網(wǎng)，所有的業(yè)務(wù)交互都通過服務(wù)器進行應(yīng)用層的業(yè)務(wù)中轉(zhuǎn)，所以分支網(wǎng)絡(luò)、UNP虛擬空間和總部網(wǎng)絡(luò)便形成了三個獨立的地址空間，上下級域的服務(wù)器們便是這天然的關(guān)卡，這兩道關(guān)卡只負責(zé)轉(zhuǎn)換監(jiān)控類業(yè)務(wù)，不會轉(zhuǎn)換其他信令，使得黑客從分支機構(gòu)攻擊總部網(wǎng)絡(luò)的可能性減小。

結(jié)束語

萬能網(wǎng)絡(luò)護照UNP方案為上層的監(jiān)控業(yè)務(wù)屏蔽了復(fù)雜的網(wǎng)絡(luò)結(jié)構(gòu)，又為下層的網(wǎng)絡(luò)屏蔽了復(fù)雜的監(jiān)控業(yè)務(wù)，使得監(jiān)控系統(tǒng)的廣域聯(lián)網(wǎng)部署非常靈活簡便，又經(jīng)濟安全；也為廣大 非IT 出身的傳統(tǒng)監(jiān)控系統(tǒng)運維朋友們解除了對復(fù)雜IP網(wǎng)絡(luò)知識的依賴，為IP監(jiān)控的廣域部署奠定了簡單易用的基礎(chǔ)。