DCN网络安全 _原创精品文档.pdfVIP

DCN网络（数据通信网）安全解决方案

DCN（数据通信网）是网通A公司的专用数据通信网，作为公司的Intranet，不仅是公司的

生产网，同时也承载了大量的业务系统，如计费系统、综合客服系统、网管系统、呼叫中心

和计费采集系统等。

作为内部IT系统的基础承载网络，网通A公司DCN采用VLAN+MPLSVPN技术来隔离各业

务系统，网络安全问题由各业务系统自己解决。在网络建设之初，缺乏统一规划，主要以满

足各业务系统自身需求为出发点，欠缺整体上的安全保护策略，安全保护策略的部署差异很

大，无法提供整体的安全解决方案，同时在一定程度上带来了维护和管理上的难度。而且，

DCN的网络设备在整体上缺乏保护措施，面临被黑客控制甚至被当作攻击跳板的危险，同时

由于运营商的特殊角色，其网络设备面临严重的拒绝服务攻击的威胁。

本文从网络安全域角度出发，从网络边界防护、主机安全策略、身份认证和终端安全控制

等多方面分析了网通A公司DCN网络安全解决方案。

、网络安全2域的划分

为规划和建设一个安全可靠的IT系统，目前通用的做法是引入一个安全域的概念。本文

所讲述的安全域的概念是，在安全策略的统一指导下，根据各套IT系统的工作属性、组成

设备、所携带的信息性质、使用主体、安全目标等，将DCN及其所承载的IT系统划分成不

同的域，将不同IT系统中具有相近安全属性的组成部分归纳在同级或者同一域中。一个安

全域内可进一步被划分为多个安全子域，安全子域也可继续依次细化。这里需要明确的是，

安全域划分并不是传统意义上的物理隔离。物理隔离是由于存在信息安全的威胁而消极地停

止或者滞后信息化进程，隔断网络使信息不能共享；而安全域划分是在认真分析各套IT系

统的安全需求和面临的安全威胁的前提下，既重视各类安全威胁，也允许IT系统之间以及

与其他系统之间正常传输和交换合法数据。

本文将网通A公司DCN及其所承载的IT系统划分为5个安全域，如图1所示。

图1网络安全域划分●核心主机域：各业务系统业务主机。●网络域：包括路由器、交换

机等网络设备。●终端用户域：本区域按照终端类型分为固定终端用户（主要是特定权限人

员的固定坐席人员）、第三方接入用户（漫游区、现场支持等）、外部拨号用户接入（OA用

户接入、远程内部用户接入、远程第三方人员接入、拨号接入和维护接入）。●公共接口区：

包括与Internet相连、与银行的接口以及与公司企业内其他网络的连接。●公共安全服务区：

包括终端安全策略强制系统、病毒监控中心、认证中心、安全管理中心等，本次工程在二枢

纽三层“九七”机房新增华为S6503交换机，用于安全服务区设备DCN的接入。3、

网络安全解决方案网络安全域划分的目的是根据各设备所承担的工作角色和安全方面，有针

对性地考虑安全产品的部署。一方面安全域的划分为安全产品的部署提供了一个健康、规范、

灵活的网络环境；另一方面，将安全域划分为域内和域外，域和域之间主要通过VPN和防

火墙来彼此隔离，在域内主要根据不同被保护对象的安全需求部署AAA、IDS和防病毒系统。

图1

图1网络安全域划分

●核心主机域：各业务系统业务主机。

●网络域：包括路由器、交换机等网络设备。

●终端用户域：本区域按照终端类型分为固定终端用户（主要是特定权限人员的固定坐

席人员）、第三方接入用户（漫游区、现场支持等）、外部拨号用户接入（OA用户接入、远

程内部用户接入、远程第三方人员接入、拨号接入和维护接入）。

●公共接口区：包括与Internet相连、与银行的接口以及与公司企业内其他网络的连接。

●公共安全服务区：包括终端安全策略强制系统、病毒监控中心、认证中心、安全管理

中心等，本次工程在二枢纽三层“九七”机房新增华为S6503交换机，用于安全服务区设备

DCN的接入。

、网络安全解决方案3

网络安全域划分的目的是根据各设备所承担的工作角色和安全方面，有针对性地考虑安

全产品的部署。一方面安全域的划分为安全产品的部署提供了一个健康、规范、灵活的网络

环境；另一方面，将安全域划分为域内和域外，域和域之间主要通过VPN和防火墙来彼此

隔离，在域内主要根据不同被保护对象的安全需求部署AAA、IDS和防病毒系统。

3.1网络边界防护技术

网络边界安全防护技术包括访问控制、入侵检测、漏洞扫描等。通过防火