中國移動(dòng)防火墻部署總體技術(shù)要求V100

1、中 國 移 動(dòng) 通 信 企 業(yè) 標(biāo) 準(zhǔn) qb-w-001-2008 中國移動(dòng)防火墻部署 總體技術(shù)要求 the specification of china mobile firewall deployment 版 本 號(hào) ： 1.0.0 - - 發(fā) 布 - - 實(shí) 施 中國移動(dòng)通信有限公司 發(fā)布 qb-w-001-2008 目 錄1. 范圍.12. 規(guī)范性引用文件.13. 術(shù)語、定義和縮略語.24. 防火墻部署場景.25. 防火墻部署總體原則.3 5.1. 安全域劃分總體原則 .3 5.2. 防火墻部署總體原則 .3 5.2.1. 集中防護(hù)原則 .4 5.2.2. 等級(jí)保護(hù)原則 .4 5.2.

2、3. 與業(yè)務(wù)特殊需求一致原則 .4 5.2.4. 與邊界威脅一致原則 .4 5.2.5. 異構(gòu)原則 .4 5.2.6. 防火墻種類最小化原則 .46. 具體部署原則.5 6.1. 支撐系統(tǒng) .5 6.1.2. 網(wǎng)管網(wǎng) .6 6.1.2.1. 安全域劃分.6 6.1.2.2. 網(wǎng)管網(wǎng)防火墻部署原則.7 6.1.2.2.1. 具備統(tǒng)一傳輸出口的防火墻部署.7 6.1.2.2.2. 不具備統(tǒng)一傳輸出口的防火墻部署.8 6.1.3. 業(yè)務(wù)支撐網(wǎng) .8 6.1.3.1. 安全域劃分.8 6.1.3.2. 業(yè)務(wù)支撐網(wǎng)防火墻部署原則.9 6.1.3.2.1. 具備統(tǒng)一傳輸出口的防火墻部署.10 6.1.3.

3、2.2. 不具備統(tǒng)一傳輸出口的防火墻部署.10 6.1.4. 管理信息系統(tǒng) .11 6.1.4.1. 安全域劃分.11 6.1.4.2. 管理信息系統(tǒng)防火墻部署原則.12 6.1.4.2.1. 具備統(tǒng)一傳輸出口的的防火墻部署.12 6.1.4.2.2. 不具備統(tǒng)一傳輸出口的防火墻部署.12 6.1.5. 支撐系統(tǒng)間互聯(lián)防火墻部署原則 .13 6.1.6. 支撐系統(tǒng)和業(yè)務(wù)系統(tǒng)互聯(lián)的防火墻部署原則 .13 6.2. 通信網(wǎng) .13 6.2.1. 接入網(wǎng) .13 6.2.2. 核心網(wǎng) .13 6.2.2.1. 電路域.13 6.2.2.1.1. gsm 核心網(wǎng)和匯接軟交換 .13 6.2.2.1.2

4、. 3g 核心網(wǎng).14 6.2.2.2. 分組域.14 6.2.2.2.1. gprs 網(wǎng)絡(luò).14 i qb-w-001-2008 6.2.2.2.2. 3g 核心網(wǎng)分組域.15 6.2.2.2.2.1. 安全域劃分.15 6.2.2.2.2.2. 防火墻部署.15 6.2.2.3. cmnet 及 ip 專用承載網(wǎng) .15 6.2.2.3.1. 安全域劃分.16 6.2.2.3.2. 防火墻部署.16 6.3. 業(yè)務(wù)網(wǎng) .16 6.3.1. 相對封閉的業(yè)務(wù)系統(tǒng) .16 6.3.1.1. 安全域劃分.16 6.3.1.2. 防火墻部署.17 6.3.2. 開放的數(shù)據(jù)業(yè)務(wù)系統(tǒng) .17 6.3.2

5、.1. 安全域劃分.18 6.3.2.2. 防火墻部署原則.187. 防火墻集中管理.198. 集中防護(hù)模式對防火墻的要求.20 8.1. 功能要求 .20 8.2. 配置要求 .20 8.3. 性能要求 .219. 編制歷史.21 ii qb-w-001-2008 前 言 本標(biāo)準(zhǔn)用于指導(dǎo)中國移動(dòng)各通信網(wǎng)、業(yè)務(wù)系統(tǒng)和支撐系統(tǒng)的防火墻設(shè)備部署。 本標(biāo)準(zhǔn)明確了防火墻部署的總體原則，并在此基礎(chǔ)上，結(jié)合各通信網(wǎng)、業(yè)務(wù)系統(tǒng)和支撐系統(tǒng)的實(shí)際情況，分別闡述了防火墻的部署原則。 本標(biāo)準(zhǔn)由中移 號(hào)文件印發(fā)。 本標(biāo)準(zhǔn)由中國移動(dòng)通信有限公司網(wǎng)絡(luò)部提出并歸口。 本標(biāo)準(zhǔn)由標(biāo)準(zhǔn)歸口部門負(fù)責(zé)解釋。 本標(biāo)準(zhǔn)起草單位：中國移動(dòng)

6、通信有限公司網(wǎng)絡(luò)部、計(jì)劃部、管理信息系統(tǒng)部、業(yè)務(wù)支撐系統(tǒng)部、神州泰岳軟件股份有限公司。 本標(biāo)準(zhǔn)主要起草人：魏麗紅、楊永、周智、陳敏時(shí)、孫強(qiáng)、馮運(yùn)波、田峰、蔡亞莉、徐夏豐。 iii qb-w-001-20081. 范圍 本要求規(guī)定了部署防火墻必須遵循的基本要求，供中國移動(dòng)內(nèi)部和廠商共同使用；適用于中國移動(dòng)各通信網(wǎng)、業(yè)務(wù)系統(tǒng)和支撐系統(tǒng)以下在不區(qū)分三類系統(tǒng)的情況下統(tǒng)稱 ） “系統(tǒng)”。原則不包括防火墻操作配置方面的內(nèi)容。2. 規(guī)范性引用文件 下列文件中的條款通過本要求的引用而成為本要求的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本要求，然而，鼓勵(lì)根據(jù)本要求達(dá)成

7、協(xié)議的各方研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本要求。 1 2006版技術(shù)路標(biāo)及編 中國移動(dòng)通信有限公司 制說明 2 中國移動(dòng)支撐系統(tǒng)安全 中國移動(dòng)通信有限公司 域劃分和邊界整合技術(shù)要 求 3 中國移動(dòng)業(yè)務(wù)支撐網(wǎng)安 全域劃分和邊界整合技術(shù) 要求 4 中國移動(dòng)網(wǎng)管安全需求 規(guī)范 5 美 國 iatf （ information assurance technology framework），信息保障技 術(shù)框架，2000 6 itu-t x.805 ， security architecture for systems providing end-to-end

8、 communications，端到端 通信系統(tǒng)安全架構(gòu)，2003 1 qb-w-001-20083. 術(shù)語、定義和縮略語 下列術(shù)語、定義和縮略語適用于本標(biāo)準(zhǔn)： 表3-1 詞語 解釋 安全域 具有相同或相近的安全需求、相互信任的區(qū)域或網(wǎng)絡(luò)實(shí)體的 集合。一個(gè)安全域內(nèi)可進(jìn)一步被劃分為安全子域。 非中國移動(dòng)計(jì)算機(jī) 不由中國移動(dòng)建設(shè)和管理的計(jì)算機(jī)系統(tǒng)，包括銀行、郵儲(chǔ)、 系統(tǒng) sp、合作伙伴等。 核心網(wǎng) 承載于傳送網(wǎng)之上，為業(yè)務(wù)網(wǎng)絡(luò)提供承載的網(wǎng)絡(luò)。 it支撐系統(tǒng) 為支持公司運(yùn)營、管理的it系統(tǒng)的總稱，包括網(wǎng)管系統(tǒng)、業(yè) 務(wù)支撐系統(tǒng)和企業(yè)信息化系統(tǒng)。 計(jì)費(fèi)數(shù)據(jù)源 指為boss系統(tǒng)提供服務(wù)使用記錄的各類外部系

9、統(tǒng)，如交換機(jī) 和各類網(wǎng)關(guān)等。 socket 除了標(biāo)準(zhǔn)tcp/ip協(xié)議族外的非標(biāo)準(zhǔn)ip端口。 業(yè)務(wù)網(wǎng) 承載與核心網(wǎng)之上，提供業(yè)務(wù)、業(yè)務(wù)接入和業(yè)務(wù)管理的網(wǎng)絡(luò)。 業(yè)務(wù)支撐網(wǎng) 由集團(tuán)公司和省公司兩級(jí)架構(gòu)構(gòu)成，每級(jí)由boss、經(jīng)營分析 和boss網(wǎng)管等支撐體系構(gòu)成。 一級(jí)業(yè)務(wù)支撐系統(tǒng) 一級(jí)業(yè)務(wù)支撐系統(tǒng)為集團(tuán)公司進(jìn)行全網(wǎng)業(yè)務(wù)管理和業(yè)務(wù)運(yùn) 營提供支撐和保障，實(shí)現(xiàn)全網(wǎng)信息的交換和管理，具有管理、 實(shí)體和樞紐功能。4. 防火墻部署場景 以下列舉了部署防火墻作為 ip 網(wǎng)絡(luò)訪問控制設(shè)備的主要考慮因素。 1. 被保護(hù)系統(tǒng)的安全需求方面在系統(tǒng)或被保護(hù)網(wǎng)絡(luò)區(qū)域?qū)Π踩砸蟛桓叩那?況下，如果僅僅需要對源地址、目標(biāo)地址、

10、源端口、目標(biāo)端口進(jìn)行訪問控制，并且 策略條數(shù)不會(huì)對網(wǎng)絡(luò)設(shè)備的負(fù)荷產(chǎn)生重大影響，訪問控制列表設(shè)定功能由網(wǎng)絡(luò)路由 交換設(shè)備即可實(shí)現(xiàn)；如果需要在路由交換設(shè)備上設(shè)置過多訪問控制條目并可能嚴(yán)重 影響路由交換設(shè)備性能，則需使用專用的防火墻設(shè)備進(jìn)行保護(hù)以分擔(dān)設(shè)備壓力優(yōu)化 網(wǎng)絡(luò)質(zhì)量。 2. 訪問控制能力方面的考慮網(wǎng)絡(luò)路由設(shè)備在訪問控制方面關(guān)注具體單個(gè)數(shù)據(jù)包， 如果需要分析監(jiān)控整個(gè)網(wǎng)絡(luò)會(huì)話以及相關(guān)的網(wǎng)絡(luò)入侵，則需要部署支持深層分析的 防火墻。 3. 邊界對端網(wǎng)絡(luò)的威脅程度如果與受保護(hù)系統(tǒng)互聯(lián)的對端網(wǎng)絡(luò)（如 cmnet 互聯(lián) 網(wǎng)）高度危險(xiǎn)、不可控，且受保護(hù)系統(tǒng)較為重要，需要進(jìn)行嚴(yán)格防范，應(yīng)采用防火 墻。 2 qb

11、-w-001-20085. 防火墻部署總體原則 防火墻作為實(shí)現(xiàn)網(wǎng)絡(luò)邊界隔離的設(shè)備，其部署應(yīng)以安全域劃分以及系統(tǒng)邊界整合為前提，綜合考慮邊界風(fēng)險(xiǎn)的程度來設(shè)定。 下面就安全域劃分總體原則及防火墻部署總體原則進(jìn)行闡述，并在下一章進(jìn)行描述通信網(wǎng)、業(yè)務(wù)系統(tǒng)、支撐系統(tǒng)具體的安全域劃分方法以及細(xì)化的防火墻部署方法。5.1. 安全域劃分總體原則 參照 iatf、itu-t x.805 等國際標(biāo)準(zhǔn)以及微軟等公司的實(shí)踐經(jīng)驗(yàn)，結(jié)合中國移動(dòng)網(wǎng)絡(luò)特點(diǎn)，每一個(gè)安全域總體上可以體現(xiàn)為接口層、核心層、系統(tǒng)層三個(gè)層面，并細(xì)分為互聯(lián)接口域、核心交換域、維護(hù)域、核心生產(chǎn)域等等。參考架構(gòu)如下： 圖5.1 中國移動(dòng)安全域劃分的參考架構(gòu)

12、 外部網(wǎng)絡(luò) 半安全區(qū) 接口區(qū) 核心交換 第三方接入?yún)^(qū) 本地維護(hù)域 核心層 內(nèi)部系統(tǒng)互聯(lián)網(wǎng)絡(luò) 核心生產(chǎn)域 系統(tǒng)1 系統(tǒng)2 系統(tǒng)3 系統(tǒng)層 安全域劃分的總體范圍是需要考慮重要因素。在具備條件的情況下，應(yīng)盡可能擴(kuò)大安全域劃分的整體范圍，從而為后續(xù)的邊界整合、集中部署防火墻創(chuàng)造條件。如對網(wǎng)管系統(tǒng)實(shí)施安全域劃分，應(yīng)以網(wǎng)管網(wǎng)整體進(jìn)行考慮，而避免對每個(gè)網(wǎng)管系統(tǒng)孤立的進(jìn)行安全域劃分。 。安全域劃分的具體原則參見中國移動(dòng)支撐系統(tǒng)安全域劃分與邊界整合技術(shù)要求5.2. 防火墻部署總體原則 按照集中化維護(hù)、等級(jí)保護(hù)的總體要求，安全防護(hù)方案以及防火墻的部署應(yīng)體現(xiàn)“集中防護(hù)、重兵把守、重點(diǎn)防護(hù)”的原則，逐步實(shí)現(xiàn)安全域劃分基礎(chǔ)上，根據(jù)各個(gè)安全域之間的互聯(lián)情況以及安全域的風(fēng)險(xiǎn)可信程度，確定不同邏輯邊界的分等級(jí)防護(hù)水平。 3 qb-w-001-20085.2.1. 集中防護(hù)原則 以各網(wǎng)絡(luò)系統(tǒng)核心節(jié)點(diǎn)如省公司網(wǎng)管中心的所有網(wǎng)管系統(tǒng)為基本單位、或者以某核心節(jié)點(diǎn)機(jī)房的所有數(shù)據(jù)業(yè)務(wù)系統(tǒng)等作為基本單位，統(tǒng)一考慮節(jié)點(diǎn)內(nèi)所有網(wǎng)絡(luò)系統(tǒng)的邊界訪問控制。節(jié)點(diǎn)內(nèi)部，劃分核心生產(chǎn)區(qū)、日常維護(hù)區(qū)、?；饏^(qū)（dmz 區(qū)）等等，通過 vlan 劃分實(shí)現(xiàn)不同區(qū)域系統(tǒng)間的隔離。從而徹底改變分系統(tǒng)防護(hù)的傳統(tǒng)模式，實(shí)現(xiàn)集中化防護(hù)。5