为了解决移动视频监控系统中的这种穿NAT型,宇视科技特意提出了UNP(UniversalNetwork Passport,万能网络护照)技术。目前,针对监控系统穿越NAT设备、防火墙和安全网闸时,基本上都是使用引流方案、内部服务器、双网口方案、VPN方案或者PAG方案来实现。
(1)引流方案是指监控系统智能的判断终端设备或用户与管理服务器之间是否存在NAT设备,以及终端或用户相对于中心服务器来说是处于公网或私网。并根据这个结果,在建立监控业务时会首先通知私网的设备先向公网的设备发起数据连接。
(2)内部服务器的方案是指在NAT设备上对监控服务器的私网地址与公网地址进行地址或端口映射。在监控业务中应用到的协议端口号比较多,包括http、SIP、SNMP、RTP/RTSP、FTP,况且实况流、回放流的端口号是一个非常大的范围,也就相当于用户需要为每个监控服务器都分配一个公网地址。
(3)双网卡方案是指将监控服务器放于私网和公网的边界处,服务器的一个网卡连接公网与公网设备进行通讯,另一个网卡连接私网与私网设备进行通讯,而公私网间的设备通信需要通过服务器进行中转。
(4)VPN方案是指使用VPN技术将两个或者两个以上的私网连接在一起,互通路由,这些私网就相当于同一个私网。该方案主要用于用户网络存在多个私网的情况。
(5)PAG方案是基于全球眼架构,通过公网部署固定IP地址的前端接入网关(PAG)做NAT打洞、信令和媒体的转发。
从上述几种方案的模式来看,当前的组网在应用范围、安全性和实用性存在不足,主要表现在以下几个方面:
(1)应用范围有限
在多数情况下,用户的监控组网不仅仅只存在一个公网和私网,可能包括多个私网和一个公网。在这种情况下,因为发流端和接收端都处于私网,其中任意一端都无法主动访问到另外一端,导致引流方案不能单独使用,必须与内部服务器方案组合才能使用。双网口方案需要用户的监控服务器与公网直接连接,但是在部分情况下,用户的出口地址并不是公网地址,而是小运营商或者科技园提供的私网地址。另外在公安系统中,为了安全保证,外网不能主动访问内网,也就不能使用内部服务器方案和双网口方案。如果用户多个私网的网络地址存在重叠现象,则不能直接使用VPN方案将用户网络联通,必须对用户现有网络进行整改,否则影响用户现有业务。
(2)浪费公网地址
对于内部服务器方案和双网口方案都需要用户提供比较多的固定公网地址,否则无法体现NAT思想解决公网地址短缺的优势,增加了用户的资金投入。
(3)安全性存在较大的风险
内部服务器方案为用户的监控服务器进行IP地址的一一映射,攻击者可以在任意网络中对该公网地址的任意协议端口发起攻击,这些攻击都会被转发给内部服务器。在最恶劣的情况下,用户的监控服务器全部被攻瘫,整个监控系统将不能使用。双网口方案同样存在这个问题,因为监控服务器直接有一个公网地址连接到公网上,危险性更大。单独的引流方案思想存在风险较低,但是多数场景下,引流方案需要与内部服务器方案一起使用,则同样存在着较大的风险。VPN方案将用户多个私网打通,路由互通后,很多非监控业务也能互访,带来网络安全风险。PAG方案增加运营商部署主机服务器的成本,存在转发瓶颈,容易成为DOS攻击对象。
文章摘自:《中国安防》杂志
原文:http://www.qianjia.com/html/2018-07/31_300130.html
