瞭解如何保護您的電信網路
5G 是專為所有人和所有人 (包括機器、物件和裝置) 打造的。5G 技術的目的是提供更高的多 Gbps 尖峰資料速度、超低延遲、提升可靠性、大量網路容量、提高可用性,以及更統一的使用者體驗。從 5G 提升效能、提升效率,增強了新使用者體驗並連結新產業。
在快速促進即時通訊的世界中,組織不再依賴語音通話作為其主要的通訊形式。現今的整合通訊與協同合作 (UCC) 生態系統有許多元件,包括視訊會議、桌面共用、即時訊息、目前狀態管理以及團隊協同合作。所有這些元素均以流暢方式運作,都需要一個稱為「階段作業啟動協定 (Session Initiation Protocol,SIP)」的信號協定。SIP 會啟動並終止通訊階段作業,這可以是團隊之間的視訊會議,或是兩人之間的通話。這麼做是透過在兩個或更多 IP 端點之間 (或 SIP 位址) 以資料封包形式傳送訊息。SIP 可識別另一方是否存在、建立連線,並在階段作業完成時將其關閉,但無法控制連線期間發生的情況。
雖然這是即時通訊的強大且功能完整的部分,但也有一些挑戰,包括各種廠商之間的導入,以及跨網際網路移動資料時的安全性問題,而且是工作階段邊界控制器發生。
階段作業邊界控制器是一種特殊用途裝置 (已定義硬體或軟體),可保護並規範 IP 通訊流程。階段作業邊界控制器會在網路邊界部署,以控制 IP 通訊階段作業、協助服務提供者提供信任、載波級、即時通訊 (例如 VoLTE、VoIP、視訊會議及呼叫、線上狀態、IM 和 IPTV),以及下列核心功能:
- 安全
保護拒絕服務 (DoS) 和分散式 DoS (DDoS) 攻擊、防止詐騙和服務竊盜,並提供媒體與訊號加密,確保機密性並防止偽造或偽造。
- 多廠商互通性
標準化 SIP (階段作業初始化協定) 信號傳輸串流標頭和訊息,以減輕多廠商的不相容性。
- 協定互用
在多樣化協定或多樣化編碼器之間啟用互通操作。
- 服務品質 (QoS)
強制執行來電許可控制 (CAC) 政策、服務類型 (ToS) 標記或服務品質保證的速率限制。
- 階段作業路由
路由跨網路介面的階段作業,確保高可用性或最低成本路由 (LCR)。
有了這麼多核心網絡功能,SBC 成為任何電信服務供應商及其電信業者及消費者的重要網絡功能。
架構
此架構會顯示一組在 Oracle Cloud Infrastructure (OCI) 區域內單一可用性網域中,部署在不同容錯域中的作用中待命配對 Oracle Communications Session Border Controller 執行處理。
session-border-controller-oci.png 圖解說明
session-border-controller-oci-oracle.zip
此架構支援下列元件:
- 區域
Oracle Cloud Infrastructure 區域是一個包含一或多個資料中心 (稱為可用性網域) 的本地化地理區域。區域與其他區域無關,而且遠距離也能分隔它們 (跨國家或甚至大陸)。
- 可用性網域
可用性網域是區域內的獨立資料中心。每個可用性網域中的實體資源會與其他可用性網域中的資源隔離,以提供容錯能力。可用性網域並不共用基礎架構,例如電源或冷卻系統,或內部可用性網域網路。因此,一個可用性網域發生失敗並不會影響區域中的其他可用性網域。
- 容錯域
容錯網域是可用性網域內的硬體和基礎架構群組。每個可用性網域都具備三個具有獨立電源和硬體的容錯域。當您分散多個容錯域的資源時,您的應用系統可以忍受容錯域內的實體伺服器故障、系統維護及電源故障。
- 虛擬雲端網路 (VCN) 和子網路
VCN 是您在 Oracle Cloud Infrastructure 區域中設定的可客製化的軟體定義網路。與傳統資料中心網路一樣,VCN 可讓您完整控制您的網路環境。VCN 可以有多個非重疊的 CIDR 區塊,您可以在建立 VCN 之後變更這些區塊。您可以將 VCN 區段成子網路,可以將範圍擴展到區域或可用性網域。每個子網路都包含一個連續的位址範圍,這些位址不會與 VCN 中的其他子網路重疊。您可以在建立子網路後變更其大小。子網路可以是公用或專用。
- 安全清單
針對每個子網路,您可以建立指定來源、目的地以及必須允許進出子網路之流量類型的安全規則。
- 路由表格
虛擬路由表包含規則,用於將流量從子網路遞送至 VCN 以外的目的地 (通常是透過閘道)。
- 網際網路閘道
網際網路閘道可允許 VCN 中公用子網路與公用網際網路之間的流量。
- 網路位址轉譯 (NAT) 閘道
NAT 閘道可讓 VCN 中的專用資源存取網際網路上的主機,而不會將這些資源暴露給內送網際網路連線。
- 服務閘道
服務閘道可讓您從 VCN 存取其他服務,例如 Oracle Cloud Infrastructure Object Storage 。從 VCN 到 Oracle 服務的流量透過 Oracle 網路架構旅行,而一律不透過網際網路。
- 動態路由閘道 (DRG)
DRG 是一個虛擬路由器,在 VCN 與區域外部網路 (例如另一個 Oracle Cloud Infrastructure 區域中的 VCN、企業內部部署網路,或其他雲端提供者中的網路) 之間,提供相同區域中 VCN 之間專用網路流量的路徑。
- 網站至網站 VPN
Oracle Cloud Infrastructure 中企業內部部署網路與 VCN 之間,提供 IPSec VPN 連線。IPSec 協定套件會先加密 IP 流量,封包才會從來源傳輸至目的地,並在封包抵達時解密流量。
- 階段作業框線控制器
Oracle Communications Session Border Controller 是固定線、行動裝置及 OTT 服務的業界頂尖階段作業邊界控制器 (SBC)。
Oracle Communications Session Border Controller 提供的功能在下列五大領域中滿足關鍵服務提供者需求:安全性、互通性、可靠性、品質、法規遵循及收入與成本最佳化。
- VM 系統
Oracle Cloud Infrastructure VM (虛擬機器) 系統是「軟體電腦」,可供您用來在實體電腦上執行任何軟體。與實體機器一樣,虛擬機器有自己的作業系統、儲存、網路、組態設定值及軟體,且與在該主機上執行的其他 VM 完全隔離。VM 系統在雲端提供安全且具彈性的運算能力,從小型開發專案到大型的全球應用系統 (例如即時通訊平台) 都有所適用的工作負載。彈性資源配置可讓您透過客製化處理器和記憶體值,將 VM 資源最佳化,以提升性價比。
- 堡壘主機 VM
SIPpy 建置在 Oracle VM 主機上的堡壘主機。
- 維尼克
虛擬網路介面卡 (VNIC) 可讓執行處理連線至 VCN,並且決定執行處理如何與 VCN 內部和外部的端點連線。每個 VNIC 都位於 VCN 的子網路中,並且包含下列項目:
- 您或 Oracle 從 VNIC 所在子網路選擇的主要專用 IPv4 位址。
- 選擇性次要專用 IPv4 位址 (來自 VNIC 所在的相同子網路),由您或 Oracle 選擇。
- 由 Oracle 選擇並由您自行決定,為每個專用 IP 選擇的選擇性公用 IPv4 位址。
- 每個專用 IP 位址的 DNS 主機名稱 (選擇性)。
- MAC 位址。
- 由 Oracle 指派的 VLAN 標記。如果 VNIC 連附到執行處理,便可以使用 VLAN 標記 (僅與裸機執行處理相關)。
- 啟用或停用 VNIC 網路流量之來源 / 目的地檢查的旗標。
- (選擇性) 您所選擇的一或多個網路安全群組 (NSG) 成員。NSG 有僅適用於該 NSG 中 VNIC 的安全性規則。
- 選擇性 IPv6 位址。所有商業和政府區域都支援 IPv6 位址。
- OCI DevOps
Oracle Cloud Infrastructure (OCI) DevOps 是一項持續整合 / 持續交付 (CI/CD) 服務,可將軟體的交付與部署自動化至 OCI 運算平台,讓開發者能夠簡化並自動化其軟體開發生命週期。
- 物件儲存
物件儲存可讓您快速存取任意內容類型的大量結構化和非結構化資料,包括資料庫備份、分析資料,以及影像和影片等豐富內容。您可以安全地儲存資料,然後直接從網際網路或雲端平台內擷取資料。順暢調整儲存體,不會發生任何效能或服務可靠性的降低情形。使用標準的「熱門」儲存空間,快速、立即、經常存取。將封存儲存體用於您長期保留的「冷」儲存體,極少或罕見地存取。
- 雲端保全
您可以使用 Oracle Cloud Guard 監控及維護 Oracle Cloud Infrastructure 中資源的安全。「雲端保全」使用偵測器處方,您可以定義檢查資源是否有安全弱點,以及監控操作員和使用者的危險活動。偵測到任何組態錯誤或不安全活動時,雲端保全會建議更正動作,並根據您可以定義的回應處方協助採取這些動作。