■ 安徽 王迪
編者按:OTT 業(yè)務(wù)作為廣電網(wǎng)絡(luò)重要的的增值業(yè)務(wù),其安全穩(wěn)定運(yùn)行關(guān)乎企業(yè)業(yè)務(wù)的成敗,如今OTT 業(yè)務(wù)也面臨諸多網(wǎng)絡(luò)安全威脅。本文從OTT 業(yè)務(wù)的可靠性設(shè)計(jì)規(guī)劃、安全性設(shè)計(jì)規(guī)劃以及IPv6 設(shè)計(jì)規(guī)劃方面進(jìn)行了安全性探討。
廣播電視網(wǎng)絡(luò)面臨的網(wǎng)絡(luò)安全形勢(shì)日益嚴(yán)峻,業(yè)務(wù)相關(guān)技術(shù)網(wǎng)絡(luò)由相對(duì)簡(jiǎn)單、封閉逐漸向復(fù)雜、無邊界化發(fā)展,導(dǎo)致面臨的安全風(fēng)險(xiǎn)和威脅越發(fā)突出。行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施的安全防護(hù)能力與其重要地位相比,仍然較為薄弱,難以有效應(yīng)對(duì)高強(qiáng)度的網(wǎng)絡(luò)攻擊。云計(jì)算、大數(shù)據(jù)、移動(dòng)互聯(lián)網(wǎng)的發(fā)展應(yīng)用,伴隨著新的安全風(fēng)險(xiǎn),尚缺乏有效的應(yīng)對(duì)手段。
OTT 業(yè)務(wù)屬于廣電網(wǎng)絡(luò)的增值業(yè)務(wù),為了保證各類OTT 業(yè)務(wù)安全穩(wěn)定的運(yùn)行,在進(jìn)行網(wǎng)絡(luò)與安全規(guī)劃的時(shí)候,既要提高網(wǎng)絡(luò)的可靠性,又要保證OTT 業(yè)務(wù)的安全性。
本文探討了通過采用VRRP+HRP 等技術(shù),再通過路由規(guī)劃,可以實(shí)現(xiàn)業(yè)務(wù)上的“主-主”模式,在滿足OTT業(yè)務(wù)可靠性的同時(shí),滿足業(yè)務(wù)的安全性要求。同時(shí),還要考慮廣電網(wǎng)絡(luò)的IPv6升級(jí)改造,即符合廣電網(wǎng)絡(luò)IPv6 規(guī)模部署和推進(jìn)的整體規(guī)劃,還要充分結(jié)合業(yè)務(wù)發(fā)展和用戶終端的升級(jí)情況等因素,進(jìn)行綜合決策。
整體拓?fù)鋱D設(shè)計(jì)如圖1所示。
圖1 整體網(wǎng)絡(luò)拓?fù)鋱D
可靠性是反映網(wǎng)絡(luò)設(shè)備本身的穩(wěn)定性以及網(wǎng)絡(luò)保持業(yè)務(wù)不中斷的能力,主要包括設(shè)備級(jí)可靠性、網(wǎng)絡(luò)級(jí)可靠性和業(yè)務(wù)級(jí)可靠性三個(gè)層次。其中,業(yè)務(wù)級(jí)可靠性更多的是從業(yè)務(wù)管理的層面來要求的,要求業(yè)務(wù)不中斷。整體網(wǎng)絡(luò)可靠性在99.999%以上。
在進(jìn)行OTT 網(wǎng)絡(luò)設(shè)計(jì)規(guī)劃時(shí)通常采用星型結(jié)構(gòu)的網(wǎng)絡(luò)設(shè)計(jì),一般考慮如下原則:
將網(wǎng)絡(luò)劃分為核心層、匯聚層、接入層;每層功能清晰,架構(gòu)穩(wěn)定,易于擴(kuò)展和維護(hù);將網(wǎng)絡(luò)中不同的OTT 業(yè)務(wù)劃分為不同的模塊,模塊內(nèi)部的調(diào)整涉及范圍小,易于進(jìn)行問題定位;關(guān)鍵設(shè)備采用雙節(jié)點(diǎn)冗余設(shè)計(jì)、關(guān)鍵鏈路采用Trunk 方式冗余備份或者負(fù)載分擔(dān)、關(guān)鍵設(shè)備的電源、主控板等關(guān)鍵部件冗余備份。
OTT 網(wǎng)絡(luò)應(yīng)具備有效的安全控制,按業(yè)務(wù)和權(quán)限進(jìn)行分區(qū)邏輯隔離,對(duì)特別重要的業(yè)務(wù)采取物理隔離。
因此,OTT 平臺(tái)在搭建過程中,需要兩臺(tái)數(shù)據(jù)中心級(jí)的安全網(wǎng)關(guān),所有部件均采用全冗余技術(shù),比如主控板、業(yè)務(wù)板及電源等,同時(shí)要支持“主-備”和“主-主”組網(wǎng)模式、端口聚合、VPN 冗余、業(yè)務(wù)板負(fù)載均衡、雙主控主備倒換技術(shù)的能力,從而能夠提供高級(jí)別的安全防護(hù)能力和業(yè)務(wù)擴(kuò)展能力。
作為安全網(wǎng)關(guān),優(yōu)異的地址轉(zhuǎn)換性能和VPN 性能也是對(duì)OTT 業(yè)務(wù)的強(qiáng)大支撐。比如基于IP 的轉(zhuǎn)換、基于端口的轉(zhuǎn)換、語音多媒體等業(yè)務(wù)流量的多通道協(xié)議NAT 轉(zhuǎn)換、無數(shù)目限制的PAT 方式轉(zhuǎn)換、域內(nèi)NAT 以及雙向NAT 等,以滿足各種NAT 應(yīng)用場(chǎng)景。隨著OTT業(yè)務(wù)更多在公共網(wǎng)絡(luò)上的傳輸,擁有最佳的VPN 性能能滿足大量業(yè)務(wù)的加密傳輸要求。
比如支持4over6、6over4的VPN 技術(shù),以保證網(wǎng)絡(luò)從IPv4-IPv6 演進(jìn)過程中VPN傳輸需求。
安全網(wǎng)關(guān)如何抵抗外部威脅,提高網(wǎng)絡(luò)安全,還體現(xiàn)在入侵防御功能上,可以對(duì)系統(tǒng)漏洞、未授權(quán)自動(dòng)下載、欺騙類應(yīng)用軟件、廣告類軟件、異常協(xié)議、P2P 異常等多種威脅進(jìn)行防護(hù)。安全網(wǎng)關(guān)還要求能實(shí)時(shí)捕獲最新的攻擊、蠕蟲及木馬等威脅,為網(wǎng)絡(luò)提供強(qiáng)大的防御能力。
為滿足網(wǎng)絡(luò)向IPv6 的平滑演進(jìn),保證業(yè)務(wù)的穩(wěn)定運(yùn)行,安全網(wǎng)關(guān)需要支持隨著IPv4 地址的枯竭,網(wǎng)絡(luò)能向IPv6 平滑演進(jìn),并確保業(yè)務(wù)穩(wěn)定運(yùn)行。安全網(wǎng)關(guān)還要具有NAT44、NAT64 等多種過渡功能,為未來的網(wǎng)絡(luò)演進(jìn)及業(yè)務(wù)過渡提供高效、靈活和放心的解決辦法。
根據(jù)《廣播電視媒體網(wǎng)站IPv6 改造實(shí)施指南(2018)》下達(dá)的廣播電視媒體網(wǎng)站IPv6 改造實(shí)施的總體目標(biāo),確定過渡技術(shù)的選擇和各網(wǎng)絡(luò)設(shè)備對(duì)過渡技術(shù)的支持情況,規(guī)劃原則:
在不影響現(xiàn)網(wǎng)業(yè)務(wù)的基礎(chǔ)上完成用戶發(fā)展指標(biāo),降低網(wǎng)絡(luò)風(fēng)險(xiǎn);
IPv6 改造順序應(yīng)按照“承載環(huán)境先行,業(yè)務(wù)接入隨后,網(wǎng)管安全支撐按需”的原則進(jìn)行;
IP 承載網(wǎng)是提供IPv6端到端連接的根本,需要先行改造支持IPv6;
業(yè)務(wù)網(wǎng)、各類接入網(wǎng)是發(fā)展IPv6 用戶的關(guān)鍵,應(yīng)在承載具備條件的基礎(chǔ)上逐步改造,支持IPv4/IPv6 雙棧方式;
網(wǎng)管系統(tǒng)、支撐平臺(tái)等應(yīng)根據(jù)網(wǎng)絡(luò)、業(yè)務(wù)的升級(jí)步驟按需改造,相關(guān)接口仍采用IPv4 協(xié)議,接口內(nèi)部相關(guān)字段支持IPv6 地址;
從IPv4-only 向IPv6-only 演進(jìn)還需要遵循兩個(gè)原則:
首要原則是“不影響現(xiàn)網(wǎng)業(yè)務(wù)(IPv4/1Pv6) 的正常運(yùn)行”。IPv4 設(shè)備上部署IPv6 協(xié)議或者雙棧設(shè)備關(guān)閉IPv4 協(xié)議和服務(wù)時(shí),用戶應(yīng)該感知不到基礎(chǔ)網(wǎng)絡(luò)升級(jí)到IPv4/IPv6 雙棧或者從雙棧到IPv6-only 的變化。次要原則是“兼容現(xiàn)有終端設(shè)備,不能強(qiáng)制用戶升級(jí)或者更換自己的終端設(shè)備,如PC、平板電腦和機(jī)頂盒等”。
對(duì)于OTT 業(yè)務(wù)網(wǎng)絡(luò),可以建設(shè)為IPv4 和IPv6 雙棧網(wǎng)絡(luò),或者建設(shè)IPv6-only 網(wǎng)絡(luò)。如果直接規(guī)劃或建設(shè)成IPv6-only 網(wǎng)絡(luò),那么針對(duì)目前IPv4 流量占比相對(duì)較高的情形,就需要考慮IPv4 網(wǎng)絡(luò)和IPv6 網(wǎng)絡(luò)互通場(chǎng)景,考慮IPv4 客戶訪問IPv6 服務(wù)場(chǎng)景,IPV6 的客戶訪問IPv4服務(wù)場(chǎng)景,通過IPv4 網(wǎng)絡(luò)連接兩個(gè)IPv6-only 網(wǎng)絡(luò)場(chǎng)景等。
對(duì)于現(xiàn)有的OTT 業(yè)務(wù)網(wǎng)絡(luò),不可能對(duì)所有不支持IPv6 的設(shè)備進(jìn)行更換,所以對(duì)支持IPv6 的設(shè)備直接開啟IPv6 功能,同時(shí)運(yùn)行IPv4和IPv6 協(xié)議棧,實(shí)現(xiàn)雙棧。
OTT 業(yè)務(wù)系統(tǒng)在廣電城域網(wǎng)中實(shí)際部署的過程中,為了保證業(yè)務(wù)系統(tǒng)的穩(wěn)定性、安全性以及未來IPv6 升級(jí)改造中的擴(kuò)展性,可以通過在OTT 業(yè)務(wù)的互聯(lián)網(wǎng)出口處部署兩臺(tái)高性能的安全網(wǎng)關(guān)。這兩臺(tái)安全網(wǎng)關(guān)可以通過“主-主”或者“主-備”的模式運(yùn)行,將不同的OTT業(yè)務(wù)通過劃分不同的DMZ 區(qū)進(jìn)行隔離,然后根據(jù)不同OTT業(yè)務(wù)實(shí)際的運(yùn)行流量,在安全網(wǎng)關(guān)上進(jìn)行系統(tǒng)資源的重新分配,其中包括CPU、內(nèi)存等。
在DMZ 區(qū)之間、Intranet區(qū)、Extranet 區(qū)等不同的安全區(qū)之間,通過安全網(wǎng)關(guān)的安全策略進(jìn)行訪問控制,精確到協(xié)議和端口號(hào),嚴(yán)格控制合法流量的流入和流出。通過安全網(wǎng)關(guān)的NAT 功能,實(shí)現(xiàn)私網(wǎng)地址向公網(wǎng)地址,公網(wǎng)地址向私網(wǎng)地址的互相訪問。
同時(shí),要求安全網(wǎng)關(guān)已經(jīng)實(shí)際配置IPv6 功能,給未來的NAT46、NAT64 等業(yè)務(wù)留下充足的擴(kuò)展空間。