1 网络安全域的划分

DCN网络是一个综合复杂的信息系统，单独针对每一个设备确定保护方法，无论从规划和实施上都是一件非常庞大繁杂的工作，而且实施起来很难保证质量和排查隐患。

因此，根据各套系统的组成、使用主体、安全目标等，可以将DCN系统划分为几个不同区域，将具有相近安全属性的部分归于一个安全域中，如有需要，还可以在此基础上细化成多个子域。具体可以分为如下几个区域

核心域:包括各业务系统的主机、服务器、数据库等

用户域:通过各种方式接入系统的终端和用户

网络域:包括路由器、交换机等网络设备组成的网络拓扑

公共外部接口区:包括与银行系统的接口、因特网的接口等

公共安全服务区:包括病毒监控、用户认证、安全管理等

2 具体的解决方案

网络安全域划分以后，可以根据各个区域的安全需求分别加以部署。

2.1 核心域安全设计

核心域按照业务需求划分为计费系统、客服系统、网管系统等多个MPLS VPN，在地市节点再按业务分类与不同的网络设备相连 。这样可以很好地满足各节点和业务的互访隔离需求。由于在网络域通过划分MPLS VPN隔离了不同的业务，对于业务主机之间的互访，可通过在与核心域相连的PE设备外挂防火墙作为CE设备，在防火墙上设置互访策略即可做到有限制的跨业务访问。

2.2 用户域安全设计

用户域包含了各种接入终端，其安全性主要通过制定完善的安全制度规范来加以保障，主要形式包括加强认证，限制操作权限等。加强认证可以通过部署身份认证服务器，在用户登陆网络时根据用户名密码决定用户权限。授权则本着权限最小化原则分配给用户。

2.3 网络域安全设计

网络域的各种网络设备是整个网络的硬件平台，承载着主要的信息交换任务，其自身的健壮性必须得到保证，网络中重要的核心设备和链路应该具有冗余备份。在网络域中根据业务分类划分MPLS VPN,将不同的业务系统隔离开来，保证某个业务终端用户只能访问相应的业务系统。

2.4 公共外部接口区设计

公共外部接口区，将内部网络的出口与互联网出口进行统一管理，用统一的安全策略进行部署，同时也避免了各业务单独部署的高成本。

另外在公共外部接口区单独设立DMZ区域。有一些业务，内网外网都需要访问，将这些业务服务器放置在DCN内部，就容易成为外部访问内部的中转站;如果放在DCN外部，那直接暴露在因特网上的服务器的安全性又得不到保障。所以设置DMZ这个缓冲区，单独放置Web服务器这类设备，并加配防火墙来保证服务器和DCN网络的安全。

2.5 公共安全服务区

公共安全服务区是为整个DCN网络提供统一安全服务的区域，统一部署防病毒、漏洞扫描、终端管理、网管系统等。实现整个网络的集中管理，统一服务。