2014年IT支撑安全域咨询项目安全域方案.pptx

??????????????????????????????????? 23 方案概述 1 安全域出口现状安全域规划思路及安全域划分 4 安全域设计??????移动集团安全需求:近期要求的安全工作包括加强基础安全管理,包括安全域划分、终端保护、补丁管理、端口服务等六项试点。其中,安全域划分的主要原则为在划分安全区域,统一边界的基础上,实现重点防护和隔离。?湖北移动安全需求:湖北移动支撑网安全体系已初步形成,但各系统没有划分清晰的边界,系统间的接口比较庞杂,不利于有效进行安全保护。各支撑系统拥有各自的互联网出口,集团出口, VPN 接入和合作伙伴及第三方的接入专线,出口繁多且较为分散,因此, 安全管理较为分散,出口不能进行统一的安全策略管理。因此, 湖北移动支撑网需要对边界进行统一整合。湖北移动支撑域主要包括以下互联需求:互联网出口,集团出口, VPN 接入和合作伙伴及第三方的接入专线, 再加上各域间及地市公司的互联接口。因此,进行边界统一和安全域划分时,首先主要针对以上互联接口考虑。??????????各支撑系统的现状:包括各支撑系统的现状,以及互联网出口,集团及各专线出口的连接现状和需求。?安全域划分的思路:针对各系统的安全和出口现状,提出安全域划分和边界统一的工作思路。?安全域划分整体规划:针对安全域和边界统一整合思路,提出边界整合和安全域划分方案。?安全域设计:包括安全域划分的统一边界出口域的详细设计建议和实施建议。?安全域远期规划:包括安全域远期的理想规划,以及可能经历的过渡阶段。?????????? 23 方案概述 1 安全域出口现状安全域规划思路及安全域划分 4 安全域设计??????????????互联网接口:指的是与外部互联网连接的一类出口,主要包括与 的连接出口。?外部接口:指的是与非移动的外部合作伙伴的连接出口,且该类出口为不与互联网连接的专线出口,主要包括与银行,其它运营商等的专线连接。?内部接口:与外部接口类似,但指的是与移动内部其它单位的连接出口,该类出口也是不与互联网连接的专线出口,主要包括到移动集团的专线连接。?内部对接:指的是省移动公司系统内部的对接出口,主要包括连接各支撑域系统和全省及地市公司的办公网的 网连接出口。此类出口的流量,本方案将其作为湖北移动支撑域内部流量看待。??????????????????互联网接口:网管域一共有三个接口属于互联网接口域。其中,常青生产区的外联 DMZ 区设有一个 出口,如图所示,在此出口部署防火墙和出口路由器连接 ,并且在接入交换机( 5624 )设置了 VPN 接入区,用于远程办公 SSL VPN 接入;金银湖生产区的外联 DMZ 区也设置了一个 出口,如图所示,在此出口以 9303 作为接入交换机,分别部署 IPS 和飞塔防火墙连接 交换机;最后,网优生产区使用 E1000 防火墙也连接到另一个 出口,用于网优服务器的对外访问。?外部接口:主要包括图中所示的厂家维护专线等出口,这些专线直接连接到常青生产区,并以专线光纤的形式连接各维护厂家,并且禁止所有协议允许访问的以外的流量。??????????????????????内部接口:网管支撑域的内部接口主要包括到集团公司的连接接口。如图所示,集团出口的专线出口通过传输设备分别连接了常青网管生产区和金银湖的厂家生产维护区,主要用于省级网管系统和集团网管系统的互联需求以及日志上报等流量需求。?内部对接:内部对接接口主要包括 连接。如图所示, OA 区、网优区以及金银湖和常青的网管生产区服务器都连接到 网实现与地市网管系统和维护终端的连接,同时实现与地市网元设备的连接。其中,常青网管直接连接 网,而金银湖网管则通过常青中转连接 ;另外, OA 、网优区不仅通过 访问其他系统,也通过 访问网管支撑域的生产系统。????????????????????????????????