基于安全域場景劃分的營業(yè)網(wǎng)絡解決方案

梁楊

【摘要】 本文結(jié)合中國移動通信集團河北有限公司地市分公司的營業(yè)網(wǎng)絡現(xiàn)狀，分析了當前地市級營業(yè)網(wǎng)絡的弊端及存在的安全隱患，提出了基于安全域場景劃分的營業(yè)網(wǎng)絡解決方案，有效提升了地市級營業(yè)網(wǎng)絡安全。

【關(guān)鍵詞 】 安全域 場景劃分 營業(yè)廳 安全

The solution of business network based on scenes-division security domains

Liang Yang China Mobile Group Design Institute Co.，Ltd. Hebei Branch.

Abstract Based on the current status of urban business network of China Mobile Group Hebei Co.，Ltd， this article analyzes the drawbacks and underlying security problems in urban business network， and then proposes a solution of business network based on scenes-division security domains， which effectively enhances the network security.

Key words security domains； scenes division； service hall； security

一、地市營業(yè)網(wǎng)絡現(xiàn)狀及分析

1.1 地市營業(yè)網(wǎng)絡現(xiàn)狀

經(jīng)過多年的業(yè)務發(fā)展和市場拓展，目前中國移動通信集團河北有限公司全省實體渠道營業(yè)網(wǎng)點總數(shù)達16000多個，其中自建實體渠道營業(yè)網(wǎng)點達1600多個，合作廳和代理商實體營業(yè)網(wǎng)點達14000多個，營業(yè)終端數(shù)達23000多個。

各地市的自建廳全部通過SDH自有傳輸經(jīng)過MDCN上連至省業(yè)務支撐中心，但是合作廳和代理商實體營業(yè)廳接入省業(yè)務支撐中心的方式復雜多樣，經(jīng)過調(diào)研，結(jié)果如下：

承德、張家口、秦皇島、廊坊、保定、滄州、邯鄲七個地市分公司的合作廳/代理商廳均通過SDH自有傳輸經(jīng)本地市的營業(yè)匯聚交換機接入省業(yè)務支撐中心；石家莊分公司大部分合作廳/代理商廳通過SDH自有傳輸經(jīng)本地市的營業(yè)匯聚交換機接入省業(yè)務支撐中心，少部分通過公網(wǎng)SSL VPN方式經(jīng)本地市的營業(yè)匯聚交換機接入省業(yè)務支撐中心；唐山分公司部分合作廳/代理商廳通過SDH自有傳輸經(jīng)本地市的營業(yè)匯聚交換機接入省業(yè)務支撐中心，部分通過公網(wǎng)SSL VPN方式經(jīng)本地市的營業(yè)匯聚交換機接入省業(yè)務支撐中心，還有一部分是通過租用其他通信公司企業(yè)專網(wǎng)VPN方式接入本地市的營業(yè)匯聚交換機再上連至省業(yè)務支撐中心；衡水分公司部分合作廳/代理商廳通過SDH自有傳輸經(jīng)本地市的營業(yè)匯聚交換機接入省業(yè)務支撐中心，部分通過公網(wǎng)SSL VPN方式經(jīng)本地市的營業(yè)匯聚交換機接入省業(yè)務支撐中心；邢臺分公司少部分合作廳/代理商廳通過SDH自有傳輸經(jīng)本地市的營業(yè)匯聚交換機接入省業(yè)務支撐中心，大部分通過公網(wǎng)SSL VPN方式經(jīng)本地市的營業(yè)匯聚交換機接入省業(yè)務支撐中心。

圖1 地市合作/代理廳營業(yè)網(wǎng)絡現(xiàn)狀結(jié)構(gòu)圖

各地市合作廳/代理商廳營業(yè)網(wǎng)絡現(xiàn)狀情況如上圖所示：

另外，中國移動通信集團河北有限公司近期啟動了營業(yè)廳瘦終端改造工程，目標是在未來5年內(nèi)，逐步實現(xiàn)全省營業(yè)廳的瘦終端化，瘦終端服務器群在省業(yè)務支撐中心集中部署，因此在當前瘦終端尚未完全覆蓋全省的情況下，除了上述全省十一個地市分公司的營業(yè)網(wǎng)絡現(xiàn)狀外，又將增加一個瘦終端的接入方式，全省的營業(yè)網(wǎng)絡接入方式變得更加復雜。

1.2 地市營業(yè)網(wǎng)絡現(xiàn)狀分析

從上述現(xiàn)狀描述中可以看出，針對不同性質(zhì)的營業(yè)廳，沒有進行有效的安全域劃分：

首先，從網(wǎng)絡層面，通過公網(wǎng)SSL VPN和通過租用其他通信公司企業(yè)專網(wǎng)VPN這兩種方式接入省業(yè)務支撐中心的合作廳/代理商廳在地市匯聚接入時未采用雙層異構(gòu)防火墻安全措施，且所有類型的營業(yè)廳均直接接入地市營業(yè)匯聚交換機，未對不同性質(zhì)的營業(yè)廳進行安全域隔離，在瘦終端尚未全面覆蓋的過渡期，合作廳/代理廳等所使用的終端、業(yè)務訪問行為等不能完全受河北移動公司管理，安全方面存在隱患，例如存在代理商操作員在非代理商接入域登錄的現(xiàn)象，一旦出現(xiàn)安全問題，影響面積較大。

其次，為滿足中國移動通信集團河北有限公司綠色瘦終端改造工程安全性建設(shè)的需要，要求綠色瘦終端營業(yè)廳同其他性質(zhì)的營業(yè)廳進行安全隔離。

二、基于安全域場景劃分的營業(yè)網(wǎng)絡解決方案

2.1 方案說明

結(jié)合中國移動通信集團河北有限公司地市分公司的營業(yè)網(wǎng)絡現(xiàn)狀和未來幾年的瘦終端廳部署規(guī)劃，針對11個地市分公司的營業(yè)網(wǎng)絡進行基于安全域的場景劃分如下：

將市公司的營業(yè)網(wǎng)絡接入域劃分為兩個安全域，即內(nèi)部接口子域和合作/代理子域；并劃分出四個場景分別部署不同性質(zhì)的營業(yè)廳，場景一為普通終端自建廳，場景二為瘦終端廳，場景三為具備傳輸條件的普通終端合作廳/代理商廳，場景四為不具備傳輸條件的普通終端合作廳/代理商廳。

自建營業(yè)廳，由于營業(yè)人員所使用的終端、業(yè)務訪問行為等能夠接受中國移動通信集團河北有限公司的管理，屬于內(nèi)部系統(tǒng)，瘦終端廳（無論是自建廳還是合作/代理廳）所采用的瘦終端將簡化只有鍵盤、鼠標、顯示器和外接打印機、智能卡等設(shè)備，在集中部署的服務器端采用遠程桌面技術(shù)，遠程桌面服務作為瘦終端的代理，執(zhí)行營業(yè)系統(tǒng)的客戶端應用，訪問業(yè)務系統(tǒng)，省公司還可以根據(jù)管理需求針對營業(yè)廳的性質(zhì)進行瘦終端的配置，比如自辦廳可以額外配置磁盤，而合作/代理廳不配置磁盤等等，這種性質(zhì)的營業(yè)廳能夠規(guī)避營業(yè)員操作帶來的安全漏洞，能夠確保營業(yè)網(wǎng)絡的安全性，因此場景一和場景二部署在市公司內(nèi)部接口子域。

場景三中普通終端的合作廳/代理商廳因所使用的終端、業(yè)務訪問行為等則不能完全受中國移動通信集團河北有限公司的管理，屬于外部系統(tǒng)，因此場景三部署在市公司的合作/代理子域。

場景四中普通終端的合作廳/代理商廳因所使用的終端、業(yè)務訪問行為等則不能完全受中國移動通信集團河北有限公司的管理，屬于外部系統(tǒng)，由于場景四是通過公網(wǎng)Internet方式接入至省業(yè)務支撐系統(tǒng)，安全風險較代理廳、合作廳更大，針對此類場景的營業(yè)廳需要特殊處理，將其部署在省業(yè)務支撐系統(tǒng)互聯(lián)網(wǎng)接口子域。

以上基于地市分公司安全域和省業(yè)務支撐系統(tǒng)安全域的四種場景劃分如圖2所示。

2.2 方案實施

市公司內(nèi)部接口子域和市公司合作/代理子域中涉及的三個營業(yè)場景需要物理上隔離，需要部署統(tǒng)一匯聚接入交換機和路由器，場景三還要在交換機南向接口部署隔離防火墻，且與省業(yè)務支撐系統(tǒng)防火墻形成雙層異構(gòu)，如表1所示方案實施前后采取的安全措施。

目前中國移動通信集團河北有限公司各地市分公司現(xiàn)有地市營業(yè)匯聚交換機為Cisco3750三層交換機，背板帶寬32Gbps，內(nèi)存256M，端口為10/100M自適應以太端口，在現(xiàn)狀情況下剛剛能滿足需求；通過在石家莊瘦終端體驗廳進行測試，每臺瘦終端的帶寬需求為56KB至300KB，而目前每臺普通營業(yè)終端帶寬約為300KB，因此瘦終端的引入對目前的帶寬無影響；另外綜合考慮業(yè)務遠期發(fā)展和一些業(yè)務可能帶來的復雜度提升以及節(jié)能降耗、最大化利用投資等因素的影響，地市公司的營業(yè)匯聚交換機采用較高性能的中端三層交換機，在交換機上通過劃分VLAN來區(qū)分隔離場景一、場景二和場景三，達到物理隔離提升安全性目的，場景三在交換機南向接口部署隔離防火墻，要求此防火墻和省業(yè)務支撐系統(tǒng)防火墻形成雙層異構(gòu)以保證安全性，另外，四個場景劃分后還需要重新劃分IP地址。

因為MDCN和省業(yè)務支撐系統(tǒng)互聯(lián)網(wǎng)接口子域負責四類場景的接入，為保證業(yè)務的順暢訪問，要求MDCN在各地市的接入節(jié)點以及省業(yè)務支撐系統(tǒng)互聯(lián)網(wǎng)接口子域接入交換機的各項性能指標不低于營業(yè)匯聚交換機的性能指標。

省業(yè)務支撐系統(tǒng)需要配合進行應用改造，地市公司至省公司的安全策略需要進行調(diào)整，各地市公司間互訪隔離策略需要部署，以達到路由精簡，降低網(wǎng)絡節(jié)點負荷。

三、結(jié)束語

受傳輸條件限制和河北公司市場拓展的需要，本文上述各種性質(zhì)的營業(yè)廳將長期共存，互為補充，基于安全域場景劃分的營業(yè)網(wǎng)絡解決方案適應了此形勢下的河北公司地市級營業(yè)網(wǎng)絡發(fā)展需求，解決了營業(yè)網(wǎng)絡的存在的弊端，規(guī)避了安全隱患，有效提升了營業(yè)網(wǎng)絡的安全性。根據(jù)河北公司營業(yè)廳瘦終端改造工程的推進情況，本方案可以進行彈性調(diào)整，在不久的未來全省自建廳全部實現(xiàn)瘦終端化后，場景一和場景二則合并成一個場景；更遠的未來全省各種性質(zhì)的所有營業(yè)廳全部實現(xiàn)瘦終端化后，四個場景合并成一個場景，地市公司營業(yè)網(wǎng)絡的安全域也縮減為一個內(nèi)部接口子域。