■ 安徽 王迪

編者按：OTT 業(yè)務(wù)作為廣電網(wǎng)絡(luò)重要的的增值業(yè)務(wù)，其安全穩(wěn)定運(yùn)行關(guān)乎企業(yè)業(yè)務(wù)的成敗，如今OTT 業(yè)務(wù)也面臨諸多網(wǎng)絡(luò)安全威脅。本文從OTT 業(yè)務(wù)的可靠性設(shè)計(jì)規(guī)劃、安全性設(shè)計(jì)規(guī)劃以及IPv6 設(shè)計(jì)規(guī)劃方面進(jìn)行了安全性探討。

廣播電視網(wǎng)絡(luò)面臨的網(wǎng)絡(luò)安全形勢日益嚴(yán)峻，業(yè)務(wù)相關(guān)技術(shù)網(wǎng)絡(luò)由相對簡單、封閉逐漸向復(fù)雜、無邊界化發(fā)展，導(dǎo)致面臨的安全風(fēng)險(xiǎn)和威脅越發(fā)突出。行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施的安全防護(hù)能力與其重要地位相比，仍然較為薄弱，難以有效應(yīng)對高強(qiáng)度的網(wǎng)絡(luò)攻擊。云計(jì)算、大數(shù)據(jù)、移動互聯(lián)網(wǎng)的發(fā)展應(yīng)用，伴隨著新的安全風(fēng)險(xiǎn)，尚缺乏有效的應(yīng)對手段。

OTT 業(yè)務(wù)屬于廣電網(wǎng)絡(luò)的增值業(yè)務(wù)，為了保證各類OTT 業(yè)務(wù)安全穩(wěn)定的運(yùn)行，在進(jìn)行網(wǎng)絡(luò)與安全規(guī)劃的時(shí)候，既要提高網(wǎng)絡(luò)的可靠性，又要保證OTT 業(yè)務(wù)的安全性。

本文探討了通過采用VRRP+HRP 等技術(shù)，再通過路由規(guī)劃，可以實(shí)現(xiàn)業(yè)務(wù)上的“主-主”模式，在滿足OTT業(yè)務(wù)可靠性的同時(shí)，滿足業(yè)務(wù)的安全性要求。同時(shí)，還要考慮廣電網(wǎng)絡(luò)的IPv6升級改造，即符合廣電網(wǎng)絡(luò)IPv6 規(guī)模部署和推進(jìn)的整體規(guī)劃，還要充分結(jié)合業(yè)務(wù)發(fā)展和用戶終端的升級情況等因素，進(jìn)行綜合決策。

整體拓?fù)鋱D設(shè)計(jì)如圖1所示。

圖1 整體網(wǎng)絡(luò)拓?fù)鋱D

可靠性設(shè)計(jì)規(guī)劃

可靠性是反映網(wǎng)絡(luò)設(shè)備本身的穩(wěn)定性以及網(wǎng)絡(luò)保持業(yè)務(wù)不中斷的能力，主要包括設(shè)備級可靠性、網(wǎng)絡(luò)級可靠性和業(yè)務(wù)級可靠性三個(gè)層次。其中，業(yè)務(wù)級可靠性更多的是從業(yè)務(wù)管理的層面來要求的，要求業(yè)務(wù)不中斷。整體網(wǎng)絡(luò)可靠性在99.999%以上。

在進(jìn)行OTT 網(wǎng)絡(luò)設(shè)計(jì)規(guī)劃時(shí)通常采用星型結(jié)構(gòu)的網(wǎng)絡(luò)設(shè)計(jì)，一般考慮如下原則：

將網(wǎng)絡(luò)劃分為核心層、匯聚層、接入層；每層功能清晰，架構(gòu)穩(wěn)定，易于擴(kuò)展和維護(hù)；將網(wǎng)絡(luò)中不同的OTT 業(yè)務(wù)劃分為不同的模塊，模塊內(nèi)部的調(diào)整涉及范圍小，易于進(jìn)行問題定位；關(guān)鍵設(shè)備采用雙節(jié)點(diǎn)冗余設(shè)計(jì)、關(guān)鍵鏈路采用Trunk 方式冗余備份或者負(fù)載分擔(dān)、關(guān)鍵設(shè)備的電源、主控板等關(guān)鍵部件冗余備份。

安全性設(shè)計(jì)規(guī)劃

OTT 網(wǎng)絡(luò)應(yīng)具備有效的安全控制，按業(yè)務(wù)和權(quán)限進(jìn)行分區(qū)邏輯隔離，對特別重要的業(yè)務(wù)采取物理隔離。

因此，OTT 平臺在搭建過程中，需要兩臺數(shù)據(jù)中心級的安全網(wǎng)關(guān)，所有部件均采用全冗余技術(shù)，比如主控板、業(yè)務(wù)板及電源等，同時(shí)要支持“主-備”和“主-主”組網(wǎng)模式、端口聚合、VPN 冗余、業(yè)務(wù)板負(fù)載均衡、雙主控主備倒換技術(shù)的能力，從而能夠提供高級別的安全防護(hù)能力和業(yè)務(wù)擴(kuò)展能力。

作為安全網(wǎng)關(guān)，優(yōu)異的地址轉(zhuǎn)換性能和VPN 性能也是對OTT 業(yè)務(wù)的強(qiáng)大支撐。比如基于IP 的轉(zhuǎn)換、基于端口的轉(zhuǎn)換、語音多媒體等業(yè)務(wù)流量的多通道協(xié)議NAT 轉(zhuǎn)換、無數(shù)目限制的PAT 方式轉(zhuǎn)換、域內(nèi)NAT 以及雙向NAT 等，以滿足各種NAT 應(yīng)用場景。隨著OTT業(yè)務(wù)更多在公共網(wǎng)絡(luò)上的傳輸，擁有最佳的VPN 性能能滿足大量業(yè)務(wù)的加密傳輸要求。

比如支持4over6、6over4的VPN 技術(shù)，以保證網(wǎng)絡(luò)從IPv4-IPv6 演進(jìn)過程中VPN傳輸需求。

安全網(wǎng)關(guān)如何抵抗外部威脅，提高網(wǎng)絡(luò)安全，還體現(xiàn)在入侵防御功能上，可以對系統(tǒng)漏洞、未授權(quán)自動下載、欺騙類應(yīng)用軟件、廣告類軟件、異常協(xié)議、P2P 異常等多種威脅進(jìn)行防護(hù)。安全網(wǎng)關(guān)還要求能實(shí)時(shí)捕獲最新的攻擊、蠕蟲及木馬等威脅，為網(wǎng)絡(luò)提供強(qiáng)大的防御能力。

為滿足網(wǎng)絡(luò)向IPv6 的平滑演進(jìn)，保證業(yè)務(wù)的穩(wěn)定運(yùn)行，安全網(wǎng)關(guān)需要支持隨著IPv4 地址的枯竭，網(wǎng)絡(luò)能向IPv6 平滑演進(jìn)，并確保業(yè)務(wù)穩(wěn)定運(yùn)行。安全網(wǎng)關(guān)還要具有NAT44、NAT64 等多種過渡功能，為未來的網(wǎng)絡(luò)演進(jìn)及業(yè)務(wù)過渡提供高效、靈活和放心的解決辦法。

IPv6 設(shè)計(jì)規(guī)劃

根據(jù)《廣播電視媒體網(wǎng)站IPv6 改造實(shí)施指南(2018)》下達(dá)的廣播電視媒體網(wǎng)站IPv6 改造實(shí)施的總體目標(biāo)，確定過渡技術(shù)的選擇和各網(wǎng)絡(luò)設(shè)備對過渡技術(shù)的支持情況，規(guī)劃原則：

在不影響現(xiàn)網(wǎng)業(yè)務(wù)的基礎(chǔ)上完成用戶發(fā)展指標(biāo)，降低網(wǎng)絡(luò)風(fēng)險(xiǎn)；

IPv6 改造順序應(yīng)按照“承載環(huán)境先行，業(yè)務(wù)接入隨后，網(wǎng)管安全支撐按需”的原則進(jìn)行；

IP 承載網(wǎng)是提供IPv6端到端連接的根本，需要先行改造支持IPv6；

業(yè)務(wù)網(wǎng)、各類接入網(wǎng)是發(fā)展IPv6 用戶的關(guān)鍵，應(yīng)在承載具備條件的基礎(chǔ)上逐步改造，支持IPv4/IPv6 雙棧方式；

網(wǎng)管系統(tǒng)、支撐平臺等應(yīng)根據(jù)網(wǎng)絡(luò)、業(yè)務(wù)的升級步驟按需改造，相關(guān)接口仍采用IPv4 協(xié)議，接口內(nèi)部相關(guān)字段支持IPv6 地址；

從IPv4-only 向IPv6-only 演進(jìn)還需要遵循兩個(gè)原則：

首要原則是“不影響現(xiàn)網(wǎng)業(yè)務(wù)(IPv4/1Pv6) 的正常運(yùn)行”。IPv4 設(shè)備上部署IPv6 協(xié)議或者雙棧設(shè)備關(guān)閉IPv4 協(xié)議和服務(wù)時(shí)，用戶應(yīng)該感知不到基礎(chǔ)網(wǎng)絡(luò)升級到IPv4/IPv6 雙棧或者從雙棧到IPv6-only 的變化。次要原則是“兼容現(xiàn)有終端設(shè)備，不能強(qiáng)制用戶升級或者更換自己的終端設(shè)備，如PC、平板電腦和機(jī)頂盒等”。

對于OTT 業(yè)務(wù)網(wǎng)絡(luò)，可以建設(shè)為IPv4 和IPv6 雙棧網(wǎng)絡(luò)，或者建設(shè)IPv6-only 網(wǎng)絡(luò)。如果直接規(guī)劃或建設(shè)成IPv6-only 網(wǎng)絡(luò)，那么針對目前IPv4 流量占比相對較高的情形，就需要考慮IPv4 網(wǎng)絡(luò)和IPv6 網(wǎng)絡(luò)互通場景，考慮IPv4 客戶訪問IPv6 服務(wù)場景，IPV6 的客戶訪問IPv4服務(wù)場景，通過IPv4 網(wǎng)絡(luò)連接兩個(gè)IPv6-only 網(wǎng)絡(luò)場景等。

對于現(xiàn)有的OTT 業(yè)務(wù)網(wǎng)絡(luò)，不可能對所有不支持IPv6 的設(shè)備進(jìn)行更換，所以對支持IPv6 的設(shè)備直接開啟IPv6 功能，同時(shí)運(yùn)行IPv4和IPv6 協(xié)議棧，實(shí)現(xiàn)雙棧。

OTT 業(yè)務(wù)系統(tǒng)在廣電城域網(wǎng)中實(shí)際部署的過程中，為了保證業(yè)務(wù)系統(tǒng)的穩(wěn)定性、安全性以及未來IPv6 升級改造中的擴(kuò)展性，可以通過在OTT 業(yè)務(wù)的互聯(lián)網(wǎng)出口處部署兩臺高性能的安全網(wǎng)關(guān)。這兩臺安全網(wǎng)關(guān)可以通過“主-主”或者“主-備”的模式運(yùn)行，將不同的OTT業(yè)務(wù)通過劃分不同的DMZ 區(qū)進(jìn)行隔離，然后根據(jù)不同OTT業(yè)務(wù)實(shí)際的運(yùn)行流量，在安全網(wǎng)關(guān)上進(jìn)行系統(tǒng)資源的重新分配，其中包括CPU、內(nèi)存等。

在DMZ 區(qū)之間、Intranet區(qū)、Extranet 區(qū)等不同的安全區(qū)之間，通過安全網(wǎng)關(guān)的安全策略進(jìn)行訪問控制，精確到協(xié)議和端口號，嚴(yán)格控制合法流量的流入和流出。通過安全網(wǎng)關(guān)的NAT 功能，實(shí)現(xiàn)私網(wǎng)地址向公網(wǎng)地址，公網(wǎng)地址向私網(wǎng)地址的互相訪問。

同時(shí)，要求安全網(wǎng)關(guān)已經(jīng)實(shí)際配置IPv6 功能，給未來的NAT46、NAT64 等業(yè)務(wù)留下充足的擴(kuò)展空間。