为满足不同应用系统对网络接入的不同安全隔离要求,根据业务系统不同的安全等级,对网络云划分安全域分区,分为可信区和非可信区两个安全域。其中,可信区包含管理域、可信业务域、IP专网;非可信区包含DMZ域、外部互联域。安全域分区是安全域中的逻辑分区,通过防火墙实现不同的安全域隔离。
一、可信区部署
(1)管理域部署VIM、SDNC(Sofware Define Network-Controller,SDN控制器)和安全管控前置机等。
(2)Ⅰ类资源池可信业务域部署各类与 CMNET 接入路由器无连接的VNF,以及与CMNET接入路由器有连接但不可通过CMNET接入路由器被其他网元/终端直接访问的VNF(如EPC)、VNF的功能模块。
(3)Ⅱ资源池可信业务域部署各类与CMNET接入路由器无连接的管理类网元/系统。
二、非可信区部署
在非可信区部署与 CMNET 接入路由器有连接且面向公网提供服务的VNF/管理类系统全部或部分功能模块,如固网 SBC、Web Portal、能力开放平台Portal、彩信中心等。
若网元/系统的部分功能模块在可信区,部分功能模块在非可信区,要求网元支持可信区功能模块和非可信区功能模块之间采用三层互通方式。
可信区和非可信区的计算服务器物理隔离,并划分不同的存储池;不同安全域的计算型服务器、存储型服务器设备所连的TOR也独立设置。
外部互联域与非可信区之间需要通过外层防火墙、部署抗DDoS的出口路由器等安全设备进行隔离,非可信区与可信区之间需要通过内层防火墙等安全设备进行隔离。
区域互通需要采取安全隔离,具体如下。
1.可信区内安全隔离
网元虚拟化和资源池集中化后,为防止单硬件资源池安全风险扩散至其他硬件资源池,可信区内采取大隔离和小隔离方案。
(1)大隔离:在硬件资源池至IP 承载网的出口增加防火墙和IDS/IPS 设备,提供防火墙阻断和IDS安全检测的处置方式,防止资源池间安全风险扩散。
(2)小隔离:根据 VNF、管理类系统厂家提供的适当收敛的网元间通信协议类型和端口,进行可信区内的省间访问控制,防止安全风险影响面扩大。
2.VLAN/VxLAN隔离
VLAN/VxLAN 按照不同安全域分区成段分配,不同安全域分区使用不同的VLAN/VxLAN 段,每个安全域分区内不同的业务系统使用不同承载网VPN(Virtual Private Network,虚拟专用网)的业务系统,使用不同的 VRF(Virtual Routing and Forwarding,虚拟路由和转发)隔离,同一个业务系统内的多个网段使用 VLAN/VxLAN 隔离。同一个业务系统内部不同安全域分区的互访需要在防火墙上制定策略允许其互访。
3.VRF隔离
不同的业务系统或使用不同承载网 VPN 的业务系统之间采用独立 VRF;在一个 VRF 内部,使用 ACL 实现网段间隔离;可信区与 DMZ 区之间通过 VRF隔离三层流量。