防火墙部署总体技术要求

防火墙部署总体技术
要求
T h e S p e c i f i c a t i o n o f C h i n a M o b i l e
F i r e w a l l d e p l o y m e n t
目录
1. 范围 (3)
2. 规范性引用文件 (3)
3. 术语、定义和缩略语 (3)
4. 防火墙部署场景 (4)
5. 防火墙部署总体原则 (4)
5.1. 安全域划分总体原则 (4)
5.2. 防火墙部署总体原则 (5)
5.2.1. 集中防护原则 (5)
5.2.2. 等级保护原则 (5)
5.2.3. 与业务特殊需求一致原则 (6)
5.2.4. 与边界威胁一致原则 (6)
5.2.5. 异构原则 (6)
5.2.6. 防火墙种类最小化原则 (6)
6. 具体部署原则 (6)
6.1. 支撑系统 (6)
6.1.2. 网管网 (8)
6.1.2.1. 安全域划分 (8)
6.1.2.2. 网管网防火墙部署原则 (9)
6.1.2.2.1. 具备统一传输出口的防火墙部署 (9)
6.1.2.2.2. 不具备统一传输出口的防火墙部署 (10)
6.1.3. 业务支撑网 (10)
6.1.3.1. 安全域划分 (10)
6.1.3.2. 业务支撑网防火墙部署原则 (11)
6.1.3.2.1. 具备统一传输出口的防火墙部署 (12)
6.1.3.2.2. 不具备统一传输出口的防火墙部署 (12)
6.1.4. 管理信息系统 (13)
6.1.4.1. 安全域划分 (13)
6.1.4.2. 管理信息系统防火墙部署原则 (13)
6.1.4.2.1. 具备统一传输出口的的防火墙部署 (14)
6.1.4.2.2. 不具备统一传输出口的防火墙部署 (14)
6.1.5. 支撑系统间互联防火墙部署原则 (14)
6.1.6. 支撑系统和业务系统互联的防火墙部署原则 (15)
6.2. 通信网 (15)
6.2.1. 接入网 (15)
6.2.2. 核心网 (15)
6.2.2.1. 电路域 (15)
6.2.2.1.1. GSM核心网和汇接软交换 (15)
6.2.2.1.2. 3G核心网 (15)
6.2.2.2. 分组域 (16)
6.2.2.2.1. GPRS网络 (16)
1
6.2.2.2.2. 3G核心网分组域 (16)
6.2.2.2.2.1. 安全域划分 (16)
6.2.2.2.2.2. 防火墙部署 (17)
6.2.2.3. CMNET及IP专用承载网 (17)
6.2.2.3.1. 安全域划分 (17)
6.2.2.3.2. 防火墙部署 (18)
6.3. 业务网 (18)
6.3.1. 相对封闭的业务系统 (18)
6.3.1.1. 安全域划分 (18)
6.3.1.2. 防火墙部署 (19)
6.3.2. 开放的数据业务系统 (19)
6.3.2.1. 安全域划分 (19)
6.3.2.2. 防火墙部署原则 (20)
7. 防火墙集中管理 (21)
8. 集中防护模式对防火墙的要求 (22)
8.1. 功能要求 (22)
8.2. 配置要求 (22)
8.3. 性能要求 (22)
9. 编制历史................................................................................................... 错误!未定义书签。

范围
本要求规定了部署防火墙必须遵循的基本要求，供内部和厂商共同使用；适用于各通信网、业务系统和支撑系统以下在不区分三类系统的情况下统称“系统”）。

原则不包括防火墙操作配置方面的内容。

1.规范性引用文件
下列文件中的条款通过本要求的引用而成为本要求的条款。

凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本要求，然而，鼓励根据本要求达成协议的各方研究是否可使用这些文件的最新版本。

凡是不注日期的引用文件，其最新版本适用于本要求。

2.术语、定义和缩略语
下列术语、定义和缩略语适用于本标准：
表2-1
3.防火墙部署场景
以下列举了部署防火墙作为IP网络访问控制设备的主要考虑因素。

(1).被保护系统的安全需求方面——在系统或被保护网络区域对安全性要求不高的情
况下，如果仅仅需要对源地址、目标地址、源端口、目标端口进行访问控制，并且
策略条数不会对网络设备的负荷产生重大影响，访问控制列表设定功能由网络路由
交换设备即可实现；如果需要在路由交换设备上设置过多访问控制条目并可能严重
影响路由交换设备性能，则需使用专用的防火墙设备进行保护以分担设备压力优化
网络质量。

(2).访问控制能力方面的考虑——网络路由设备在访问控制方面关注具体单个数据包，
如果需要分析监控整个网络会话以及相关的网络入侵，则需要部署支持深层分析的
防火墙。

(3).边界对端网络的威胁程度——如果与受保护系统互联的对端网络（如CMNet互联
网）高度危险、不可控，且受保护系统较为重要，需要进行严格防范，应采用防火
墙。

4.防火墙部署总体原则
防火墙作为实现网络边界隔离的设备，其部署应以安全域划分以及系统边界整合为前提，综合考虑边界风险的程度来设定。

下面就安全域划分总体原则及防火墙部署总体原则进行阐述，并在下一章进行描述通信网、业务系统、支撑系统具体的安全域划分方法以及细化的防火墙部署方法。

4.1. 安全域划分总体原则
参照IATF、ITU-T X.805等国际标准以及微软等公司的实践经验，结合网络特点，每一个安全域总体上可以体现为接口层、核心层、系统层三个层面，并细分为互联接口域、核心交换域、维护域、核心生产域等等。

参考架构如下：
图4.1 安全域划分的参考架构
半安全区
第三方接入区
本地维护域
1系统23
安全域划分的总体范围是需要考虑重要因素。

在具备条件的情况下，应尽可能扩大安全域划分的整体范围，从而为后续的边界整合、集中部署防火墙创造条件。

如对网管系统实施安全域划分，应以网管网整体进行考虑，而避免对每个网管系统孤立的进行安全域划分。

安全域划分的具体原则参见《支撑系统安全域划分与边界整合技术要求》。

4.2. 防火墙部署总体原则
按照集中化维护、等级保护的总体要求，安全防护方案以及防火墙的部署应体现“集中防护、重兵把守、重点防护”的原则，逐步实现安全域划分基础上，根据各个安全域之间的互联情况以及安全域的风险可信程度，确定不同逻辑边界的分等级防护水平。

4.2.1. 集中防护原则
以各网络系统核心节点如省公司网管中心的所有网管系统为基本单位、或者以某核心节点机房的所有数据业务系统等作为基本单位，统一考虑节点内所有网络系统的边界访问控制。

节点内部，划分核心生产区、日常维护区、停火区（DMZ区）等等，通过VLAN划分实现不同区域系统间的隔离。

从而彻底改变分系统防护的传统模式，实现集中化防护。

4.2.2. 等级保护原则
不同保护级别的系统应采取不同的防火墙部署模式进行边界防护。

在国家等级保护标准当中，除考虑系统的实际等级以外，还考虑了相关部门的监管需求。

此外，由于系统防护技术的等级差别有限，部分安全手段如防病毒、账号集中管理、日志审计系统既满足安全防护要求、也要满足集中管理要求，各受保护系统都需要。

因此在实际实践中，我们并不需要进行过于理论化的计算，能够区分高中低三种不同的防护需求即可。

根据系统划分的等级，高等级的系统应采用防护能力较强的安全设备进行防护。

对于
等级较低的系统在视其边界复杂程度，网络路由设备性能等条件下使用访问控制列表或防火墙进行安全防护。

4.2.3. 与业务特殊需求一致原则
对防火墙功能有特殊需求的业务系统，如GPRS BG接口防火墙需要支持GTP协议，可以在边界集中防火墙内部部署第二层防火墙、IDS系统，实现深度保护。

4.2.4. 与边界威胁一致原则
由于不同系统的开放性、可控性等方面各不相同，它们的可信度也有明显区别。

与不同威胁等级、可信度的系统互联时，面对的威胁是不同的，因此，必须针对不同的威胁等级选择不同防护强度的防护技术。

4.2.
5. 异构原则
对于需要进行双层防火墙进行防护的系统，为避免因同品牌或同种类防火墙弱点被利用导致双重防护措施全部失效的风险，需要实现双重异构防火墙防护。

在防火墙策略设置上，外层防火墙侧重实施粗粒度访问控制，内层防火墙侧重针对特定系统施细粒度访问控制。

4.2.6. 防火墙种类最小化原则
为便于防火墙设备的日常维护和安全策略的管理，在满足双重异构前提下，应尽量减少防火墙的种类和品牌数量。

5.具体部署原则
鉴于支撑系统、通信网以及业务系统的不同特点，安全域划分方式、防护方案有一定区别，本章将分别描述不同的防火墙部署原则（网管、业务、信息化）。

5.1. 支撑系统
的支撑系统相对于业务系统、INTERNET、合作伙伴来讲，是不同的安全域；即移动支撑系统整体上作为一个安全域，而与之相连接的业务系统、INTERNET、合作伙伴等是另一个安全域。

在支撑系统内部，按照维护职责、地理位置、系统功能的不同，可以进一步细分为：
(1).横向：按照业务将支撑系统划分各个不同的安全域，如业务支撑系统安全域、网管
系统安全域、企业信息化系统安全域等。

(2).纵向：各安全域又可以按照地域和管理分为集团公司、省公司和地市分公司三个层
面的安全子域，如集团网管系统安全子域、省公司网管系统安全子域、地市分公司的网管系统安全子域。

(3).安全域内部：对于每一个安全子域，如集团公司网管系统安全子域，可以进一步划
分为安全区域，即从安全的角度将处于安全子域中的设备，考虑到其所处的位置或连接的不同，将他们划分在不同的安全区域中。

例如可分为互联接口区、核心生产区、日常维护管理区（维护终端）、第三方接入区（漫游区）、停火区（DMZ区）等。

图5.1 网管系统安全域划分总体框架
支撑系统面临的主要安全风险来自互联网，各专业首先实现以省为单位分系统集中出口。

集团公司将逐步实现在全网层面设置北京、广州两个支撑系统与互联网的集中接口。

图5.2 支撑系统与CMNet集中接口示意图
集
中
接
口
侧
支
撑
系
统
侧
核心服务器核心服务器
三个支撑系统之间，按照必要的互联需求，在严格访问控制前提下在省中心一点进行互联，从初期以防火墙对终端访问服务器进行隔离，向远期的服务器－服务器访问的隔离发展。

三个支撑系统与集团对应系统的接口，按照集团的互联需求，在严格访问控制前提下分别在省级统一出口与集团上级系统连接。

5.1.2. 网管网
5.1.2.1. 安全域划分
根据网管设备在各个网管系统中所承担的工作角色和对安全方面要求的不同，按照《支撑系统安全域划分与边界整合技术要求》的规定，网管系统集中安全防护首先需要构建清晰的接入-核心交换-业务系统三层的网络架构，其次，将网管系统划分为互联接口区、核心生产区、日常维护管理区、第三方接入区、停火区（DMZ区）等安全区域（见图6-3）：
●互联接口区：包括与CMNet互联接口、集团与省网互联接口以及网管系统与被管
网元的互联接口。

●核心生产区：放置话务网管、传输网管等网管系统核心主机设备，包括核心应用服
务器、数据库服务器、存储设备等。

●日常维护管理区：用于日常维护的终端。

●第三方接入区：网管开发厂家本地接入及远程专线接入。

●外联停火区（DMZ区）：放置网管系统需要直接访问互联网或接受来自互联网访
问的设备，如数据网管进行数据交换的服务器、VPN远程接入服务器等。

●内联停火区（DMZ区）：放置网管系统与企业信息化进行数据交换的服务器。

图5.3 网管系统安全域划分总体框架
通过对网管系统进行上述安全区域划分之后，对整个安全域的边界采用防火墙进行隔离、安全区域之间采用防火墙或者VLAN技术实现隔离。

网管系统的边界主要分大类：
(1).与CMNet的接口——风险最高
(2).支撑系统间接口——风险中
(3).集团-省公司、网元接口——风险较低
5.1.2.2. 网管网防火墙部署原则
在对网管网整体实施安全域划分的基础上，集中部署防火墙防护各网管系统。

采用双重异构的防火墙防护核心生产区与互联网边界，内部互联采用单层防火墙防护。

5.1.2.2.1. 具备统一传输出口的防火墙部署
本节阐述的防火墙部署原则适用于以下两类省公司：
（1）各网管系统位于相同物理位置（如同局址）的省公司；
（2）各网管系统位于不同物理位置（如不同局址），但具备传输条件将位于不同物理位置的网管系统内外各防护边界集中到同一物理位置，设置统一出口。

在核心交换区和半安全区（外联DMZ区）之间部署多端口核心防火墙，重点实现省网管系统与被管网元之间的双向访问控制，同时兼作与CMNet之间访问控制的双重异构防火墙的内层防火墙。

在半安全区（外联DMZ区）和CMnet之间部署互联网侧防火墙，作为网管网核心生产区与互联网之间双重异构防火墙的外层防火墙。

纳入支撑系统到互联网集中出口的省公司，无需再部署互联网侧防火墙，而由在互联网集中出口统一设置的防火墙作为双重异构防火墙的外层防火墙。

在此种情况下，原来挂接在互联网侧防火墙的半安全区（外联DMZ区）改为挂接在核心防火墙上。

与公司内部其它支撑系统互联需要部署内部互联防火墙进行访问控制。

因此，在单局址情况下，对于纳入互联网集中接口的省公司部署4（2+2）台防火墙。

未纳入互联网集中接口的省公司，需要部署6（2+2+2）台防火墙。

防火墙具体部署情况参见图6-4。

图5.4 网管系统防火墙部署参考图
半安全区
第三方接入区
企业信息化系统
本地操作维护区
5.1.2.2.2. 不具备统一传输出口的防火墙部署
各网管系统位于不同物理位置，且不同物理位置之间不具备传输条件，形成网管系统省统一出口。

按照网管系统所处不同物理位置，分别参考“6.1.2.2.1 统一边界模式下防火墙部署”中阐述的原则进行防火墙部署。

需要部署防护墙的数量为n*4或n*6（其中n为局址数量）。

此种情况，应在具备传输条件后，按照“6.1.2.2.1 具备统一传输出口的防火墙部署”小节描述调整防火墙部署。

5.1.3. 业务支撑网
5.1.3.1. 安全域划分
根据业务支撑系统的应用情况和网络构成特点，按照业务逻辑将业务支撑系统进一步划分为多个安全子域。

首先集团业务支撑系统和省公司业务支撑系统划分为不同的安全域，再根据安全域内部的不同安全需求划分为安全子域（如图6.5）：核心域和接入域。

具体描述如下：
图5.5 业务支撑系统安全域划分
（1）业务支撑系统核心域主要包括：BOSS系统子域含客服子系统、经营分析系统子域、业务支撑网网管子域三个子域。

核心域对应核心生产区，放置计费、营帐、客服、经营分析等主中心和容灾中心的核心主机设备，包括主中心和容灾中心的数据库服务器、应用服务器、通信服务器、存储设备等。

（2）业务支撑系统接入域主要包括：互联网接口子域，对端互联网(CMNet)；外部接口子域，对端为非系统，经由专线接入；内部接口子域，对端为内部，经由MDCN或者其他内部网络接入；终端接入子域，终端系统由于特殊性，设置单独安全子域。

5.1.3.2. 业务支撑网防火墙部署原则
在对业务支撑网整体实施安全域划分的基础上，集中部署防火墙防护业务支撑网内各系统。

(1).CMNET、非系统与业务支撑网之间的接口，部署双重异构防火墙；
(2).其它IT系统接入业务支撑网内部按照不同安全需求部署单层防火墙或使用路由交
换设备访问控制列表功能进行安全防护。

(3).各省可以根据业务支撑系统的部署位置等条件，考虑CMNet接口内层防火墙与其
它接口部署的单层防火墙的共用，简化网络、降低投资、提高管理效率。

5.1.3.2.1. 具备统一传输出口的防火墙部署
在省公司业务支撑网位于单一物理位置（如局址）或已实现全省网统一内外部连接的情况下，按本小结描述的原则实施防火墙部署。

在接入域和核心域之间部署多端口具备虚拟防火墙功能的高性能核心防火墙，重点实现业务支撑网核心系统和接入域设备之间的双向访问控制，同时兼作与CMNet之间双重异构防火墙的内层防火墙。

在接入域各子域和CMnet、合作伙伴外部接口以及内部接口之间分别部署互联网侧防火墙、外部接口防火墙、内部接口防火墙。

对于纳入支撑系统到互联网集中接口的省公司不需要部署互联网侧防火墙。

因此，在此情况下，对于纳入互联网集中接口的省公司部署6（2+2+2）台防火墙。

未纳入互联网集中接口的省公司，需要部署8（2+2+2+2）台防火墙。

防火墙具体部署情况参见图6-6。

图5.6 业务支撑系统防火墙部署参考图
接入域
核心域
5.1.3.2.2. 不具备统一传输出口的防火墙部署
在省公司业务支撑网部署于多个物理位置（如多个局址）并分别实现对外部网络连接的情况，应按照集中防护原则，统一业务支撑网和CMNet、合作伙伴以及公司其他内部系统的互连接口，并在此基础上部署防火墙。

每局址内部可单独部署核心防火墙。

需要部署防伙墙的数量为6+n*2（适用于对于纳入支撑系统到互联网集中出口的省公司）或者8+n*2（适用于未于纳入支撑系统到互联网集中出口的省公司），其中n为核心子域位于不同局址的数量。

5.1.4. 管理信息系统
5.1.4.1. 安全域划分
在集团公司和省公司，对信息化系统划分不同的安全域，安全域根据保护等级不同分为4类：公共区、半安全区、安全区、核心安全区，在集团总部划分为10个安全域：
A.公共区：外部企业区、互联网区。

B.半安全区：停火区（DMZ区）、VPN接入区
C.安全区：开发测试区、日常办公区、集团与省公司互联区、内部系统互联区。

D.核心安全区：总部服务器区、管理区、全国应用区。

在省公司的安全域划分与集团公司类似，如下图：。

图5.7 管理信息系统安全域划分及防护方案
互联网
几个主要边界：
(1).与CMNet互联，满足办公网的上网需求，同时满足对电子采购系统的访问需求。

为减少与CMNet的接口数量，各省企业信息化系统应首先以省为单位设置互联网
出口，严禁地市公司办公网私自就近接入CMNet网络；逐步将此类接口割接到集
团公司统一设置的北京、广州两个支撑系统与CMNet集中接口上来，最终实现全
国的统一出口；
a)与网管、业务支撑系统之间的接口；
b)集团公司-省公司之间的接口。

5.1.4.2. 管理信息系统防火墙部署原则
在对管理信息系统网络整体实施安全域划分的基础上，采用多重异构防火墙防护重点防护核心生产区设备，如MIS、采购系统等。

5.1.4.2.1. 具备统一传输出口的的防火墙部署
在公共区和半安全区之间部署高性能互联网侧防火墙，实现管理信息系统到互联网的第一重防护。

对于纳入支撑系统到互联网集中接口的省公司不需要部署互联网侧防火墙。

在半安全区和安全区之间，部署内部互联防火墙，对来自半安全区和互联网对安全区的攻击进行防护，作为对互联网的双重异构防火墙防护的内层防火墙。

由于办公区也存在较大的安全风险，所以在核心安全域和安全区之间部署核心防火墙，防护可能来自办公区域的安全攻击。

与公司内部其它支撑系统互联需要部署内部互联防火墙进行访问控制。

图5.8 管理信息系统防火墙部署参考图
因此，在此种情况下，对纳入互联网集中接口的省公司管理信息系统不要部署互联网侧防火墙，只需部署6（2+2+2）台防火墙。

未纳入集中接口的省公司，需要部署8（2+2+2+2）台防火墙。

5.1.4.2.2. 不具备统一传输出口的防火墙部署
各局址共用防火墙。

具体防火墙部署情况参见单局址防火墙部署，需要部署的防火墙数量为6或8台。

5.1.5. 支撑系统间互联防火墙部署原则
支撑系统，作为内部系统，其互联应遵循对端可信度原则，避免重复部署防火墙。

1、省支撑系统与总部相应系统互联接口，应在总部一侧设统一的防火墙，各省不
应单独为此接口设置防火墙。

2、各省支撑系统内部互联，应避免互联支撑系统两侧均为此互联接口设置单独的
防火墙。

在明确防火墙管理职责后，逐步实现集中部署多端口的防火墙实现对
各支撑系统之间互访的双向访问控制。

5.1.
6. 支撑系统和业务系统互联的防火墙部署原则
支撑系统和业务系统均为内部系统，其互联应遵循对端可信度原则，避免重复部署防火墙。

支撑系统与业务系统互联接口。

在使用专网、专线方式互联的情况下，应在业务系统一侧设置防火墙（具体的防火墙设置原则参见本要求通信网和业务网部分），各支撑系统不应为连接某个业务系统单独设置防火墙。

在使用CMnet互联的情况下，支撑系统和业务系统应共享各自的到互联网边界的双重异构防火墙防护。

5.2. 通信网
根据核心网、业务网的不同特点，安全域划分和防护方案也需要区别考虑。

5.2.1. 接入网
3G无线接入部分将逐步IP化，因此，需要逐步研究该接口部分设备面临的安全威胁以及防护方案。

WLAN作为另一种无线接入，AP主要通过自身的安全加固提高安全性。

AC设备需要集中部署，防护方式参见数据业务系统防火墙部署原则。

5.2.2. 核心网
5.2.2.1. 电路域
5.2.2.1.1. GSM核心网和汇接软交换
两个网络相对封闭，主要面临来自维护终端以及网管系统、计费系统的威胁。

在整合与网管系统数据采集、计费、OMC以及终端区域的边界的基础上，采用单层防火墙防护。

5.2.2.1.2. 3G核心网
防火墙部署同GSM核心网电路域部分。

但3G网络在电路域更加IP化，需要进一步研究新安全风险的防护方案。

5.2.2.2. 分组域
5.2.2.2.1. GPRS网络
大部分省公司通过专线连接省内SGSN和GGSN，部分省公司采用CMNet连接。

省际Gn网段通过CMNet连接。

CMNet给SGSN和GGSN等设备带来较大的安全威胁。

安全域划分
根据GPRS系统各部分功能的不同，可以将其划分为5个安全域如图所示：
图5.9 GPRS网络安全域划分方案
几个主要边界：
(1).GPRS核心网与CMNet的（Gi）接口，开放的应用协议最多——最高风险；
(2).GPRS核心网承载在CMNet上导致整体边界模糊，风险较高；
(3).Gn网段与其它运营商的（BG）接口，仅向合作运营商开放部分应用——较高风险；
(4).计费安全域、网管安全域与GPRS核心网之间的接口——风险较高
防火墙部署
(1).GPRS核心网与CMNet的（Gi）接口——部署单层防火墙；
(2).Gn网段与其它运营商的（BG）接口——部署单层防火墙；
(3).计费安全域、网管安全域与GPRS核心网之间的接口——部署单层防火墙；
(4).GPRS核心网承载在CMNet上导致整体边界模糊——进一步探讨迁移到IP专网上
的可能性。

5.2.2.2.2. 3G核心网分组域
3G核心网与GPRS没有本质区别，主要安全域划分和边界同GPRS网络。

5.2.2.2.2.1. 安全域划分
3G核心网分组（PS）域安全域见下图右侧部分。

图5.10 管理信息系统防火墙部署参考图
主要边界同GPRS网络，但在3G安全规范中，建议Gn网段、信令域、Gom维护域等承载在IP专网上面，并通过不同的MPLS VPN进行隔离，使得3G网络与CMNet互联网的边界更加清晰，加强各安全子域的访问控制。

5.2.2.2.2.2. 防火墙部署
基本与GPRS网络的部署模式相同。

5.2.2.3. CMNET及IP专用承载网
CMNet本身是一个开放的网络，主要风险来自于管理平面的非授权访问和务操作、来自于数据平面的DDOS攻击等方式产生的异常流量的影响、来自于控制平面的非正常的路由更新等等。

IP专用承载网与CMNet在技术上没有根本的区别，也需要接入不同的系统、大客户设备，在管理平面和控制平面上存在相似的威胁。

但在数据平面，可以通过VPN对不同用户数据进行隔离，并采用流量控制技术确保不同业务的服务质量。

5.2.2.3.1. 安全域划分
两个网络的安全域划分都没有很明确、集中的物理边界，可以从逻辑上确定三个不同平面的边界以及防护重点。