联通业务平台部署天融信集中化安全防护方案-国土报中文版

本篇文章3253字，读完约8分钟

随着中国联通业务的快速发展，问题开始凸显:出口众多、界限不清、各业务平台网络和安全建设独立、运维人员多、统一管理困难、重复建设、安全隐患增加、人力物力大量浪费。因此，中国联通迫切需要找出联网和安全防护的共同需求，重新整合业务平台，规划安全防护体系，从整体上提高业务平台的防护水平和安全维护的专业水平。由于联通的业务平台分散在不同物理位置的机房内，短时间内将它们集中在一个机房内是不现实的。因此，安全方案需要在尽可能不移动各业务平台物理机房的前提下，整合联通各业务平台，划分安全域，整合边界，保护安全，并遵循以下原则。

联通业务平台部署天融信集中化安全防护方案

总体思路和原则

安全域划分原则

业务保证原则:安全域方法的根本目标是更好地保证业务的正常运行和运行效率。

结构简化原则:安全域划分的直接目的和效果是简化整个网络，方便保护系统的设计。

分层保护原则:安全域划分应遵循业务系统的分层保护要求，使具有相同分层保护要求的数据业务系统能够共享保护手段。

生命周期原则:对于安全域的划分和部署，不仅要考虑静态设计，还要考虑不断变化和工程管理。

边境一体化原则

尽量少移动的原则:在业务平台的重新整合中，物理机房应该尽量少移动，以免业务发展受到大规模网络调整的影响。

分级原则:根据通信行业电信网和互联网安全防护系统系列标准中的安全等级防护要求，在边界整合时应考虑数据服务系统的安全等级，并尽可能将相同安全等级的数据服务系统整合在一起。

安全域原则:原则上，边界集成应该将数据服务系统的相同安全域合并成一个大的安全域，形成一个新的边界。

集中保护原则:边境一体化需要考虑集中安全保护，以节省人力物力。

安全保护原则

集中保护:基本安全技术保护手段应以安全域划分和边界整合为基础，集中部署。

分级保护:根据通信行业电信网络和互联网安全保护系统系列标准中安全等级保护的要求，采用符合其保护等级要求的安全保护手段。

深度防护:从外部网络到核心生产区有多层安全防护边界，需要部署安全技术手段和安全策略，每层安全边界都有不同的侧重点。

安全域划分方案

联通的业务平台主要由互联网出口系统、内部互联系统和核心生产系统(包括存储和备份)组成。互联网出口系统负责为互联网用户提供业务接入，内部互联系统负责与联通内部网络管理和计费系统进行交互，核心生产系统负责完成系统的主要业务功能以及业务系统数据的存储和备份。

根据以上分析结果，整合后联通的业务平台将划分为四个安全域:互联网接口区、内部互联接口区、核心交换区和核心生产区，如下图所示。

图1联通业务平台集中安全防护安全域划分图

每个安全域的组成和功能描述如下:

互联网接口区:它由所有业务平台中的系统组成，这些系统连接到互联网上进行相互访问。这些系统通过联通169网络直接连接到互联网，并可通过互联网直接访问。

内部互联接口区:由所有业务平台中的系统组成，与联通ip承载网相连，相互访问，这些系统通过联通ip承载网与网管系统和计费系统相连。

核心交换区:由两个核心交换机组成，负责连接核心生产区、内部互联接口区和外部互联接口区。

核心生产区:由各业务平台的核心生产系统组成，只与业务平台的其他安全域直接互联，不与任何外部网络直接互联进行相互访问。

上述不同业务平台的安全域和系统可以细分为子域，以隔离不同的业务。此外，在内部互连接口区域划分内部安全管理子域，由相关安全系统组成，用于内部安全管理。

下图是划分安全子域后的详细安全域划分图。

图2联通业务平台集中安全防护安全域划分及细分图

每个安全域的具体子域划分如下:

互联网接口区:互联网接口区中的系统可以根据不同的业务平台细分为业务平台的互联网接口子域，可以分布在不同的机房。

内部互联接口区:内部互联接口区的系统可以根据所属的不同业务平台细分为业务平台的内部互联接口子域，这些子域可以分布在不同的机房。建立内部安全管理子域进行安全管理。

核心交换区:核心交换区不再划分为任何子域。

核心生产区:核心生产区的系统可以根据不同的业务平台细分为业务平台的核心生产子域，这些子域可以分布在不同的机房。

边界积分方案

安全域重新划分后，有必要考虑联通的业务平台分布在不同物理位置的机房(假设有三个机房)，并给出具体的边界整合方案:

选择一个机房作为主机房(如1号机房)，根据安全域划分的结果，整理出机房内所有业务平台的组成，整理出通过联通169网络与互联网互联、通过联通ip承载网与内部互联和核心生产互联的系统，分别移动到1号机房的互联网接口区、内部互联接口区和核心生产区。

根据上述思路，整理出另外两个机房(2号机房和3号机房)内所有业务平台的组成，并分别整理出通过联通169网络与互联网互联、通过联通ip承载网与内部互联和核心生产互联的系统，然后移动到它们所在机房的互联网接口子域、内部互联接口子域和核心生产子域。

2号和3号机房的互联网接口子域通过专线连接到1号机房的互联网接口区域，2号和3号机房的内部互联接口子域通过专线连接到1号机房核心交换区域的两个核心交换机。

集中式安全保护方案

该方案将以边境安全保护为重点，未来将逐步完善联通业务平台的集中安全保护系统。联通业务平台集中安全防护方案如下。

图3联通业务平台集中安全防护方案图

安全保护建议描述如下:

在互联网接口区连接联通169网络的两台路由器上，部署了两台天荣鑫高性能反ddos/异常流量清理设备，以集群方式工作，实时检测来自互联网的ddod攻击，一旦发现攻击，立即将网络流量拉至反ddos/异常流量清理设备，清理后将干净流量注入网络。

在互联网接口区部署了两个天荣鑫高性能防火墙，实现互联网接口区与互联网的逻辑隔离。

在互联网接口区的两个高性能防火墙和核心交换区的两个核心交换机之间部署了两个天荣鑫高性能防火墙，实现互联网接口区和内部互联接口区之间的逻辑隔离，内部互联接口区和联通ip承载网之间的逻辑隔离，以及核心生产区和联通169网之间的双防火墙保护。

在互联网接口区域部署一台天荣信高性能网络入侵检测设备和一台天荣信网络漏洞扫描设备，及时检测攻击和入侵，定期扫描，及时发现高风险漏洞，及时修复。

在内部互联接口区域部署一台天荣信网络入侵检测设备和一台天荣信网络漏洞扫描设备，及时检测攻击和入侵，定期扫描，及时发现高风险漏洞，及时修复。

方案效果

通过上述统一的安全域划分、边界整合和边界安全保护，中国联通实现了统一高效的互联网出口反ddos/异常流量清理；互联网接口区域与互联网防火墙隔离；核心生产区和互联网接口区之间的双重防火墙隔离；核心生产区和内部互联接口区之间的防火墙隔离；互联网接口区域的网络入侵检测和漏洞扫描；内部互连接口区域的网络入侵检测和漏检。

联通业务平台部署天融信集中化安全防护方案