文章图片
在外部黑客攻破业务网络的暴露域时 ， 不会影响到非暴露域、核心域和管理域的数据安全 。 即使攻破了非暴露域 ， 由于非暴露域和核心域、管理域之间的防火墙与被攻破防火墙是异构的 ， 最大可能地将网络威胁终止在非暴露域和核心域、管理域之间的防火墙 ， 保证了核心域和管理域的安全 。 即使整个业务网络受到威胁 ， 但是存储域和管理域还有一层存储/管理防火墙的保护 ， 很大可能网络威胁只影响运行业务 ， 而不是让整个基础设施架构受到攻击 。
另外 ， 管理域和存储域又划分不同的逻辑网络平面 ， 严格禁止不同网络平面的互访 。 不同的角色设置不同的权限 ， 分权分域 。
其实 ， 电信云中各类域的划分比较类似于古代城池的建造 ， 通过区别不同的功能区域和设置风险等级来方便管理 ， 并且通过建造城门来有效控制不同区域的人员流动 ， 以达到安全可控的目的 。

文章图片
通过分域管理 ， 我们能够精准、快捷地对电信云中的每个区域模块进行有效部署和控制 。 这就像我们上面所讲的城池建造一样 ， 一个人管理城中那么多的百姓是很困难的 。 但是 ， 通过划分不同的区域 ， 再给每个区域安排专人负责就可以轻松达到全局可控的目的了 。 防火墙部署
理解了分域管理的概念 ， 我们接着上面的例子来讲下防火墙 。
通常在古代 ， 一个国家的每个城门都是一种界限的象征 。 当没有城门的时候 ， 百姓可以在各城中随意出入 ， 容易产生各种矛盾和纠纷 ， 并且不方便协调和管理 ， 因此我们设置了城门来对其进行控制 ， 这样每个城中的人只能在有限的范围内流动 ， 既提升了管理效率 ， 又避免了各种问题 。 这里的“城门”就类似于防火墙的概念 。

文章图片
在电信云层面 ， 防火墙的用途主要用于安全域边界的隔离 。 DC（DataCenter ， 数据中心）业务网和外部网络之间的隔离 ， 一般使用南北向防火墙 。 DC内不同安全域之间互访的隔离 ， 一般使用跨域东西向防火墙 。
其中在东西方向 ， 流量安全采用分布式防火墙（安全组）进行隔离 。 同一个安全组的VM（VirtualMachine ， 虚机）可以互访 ， 不同安全组VM间默认是不能互相访问的 。 安全组是有状态的 ， 租户可以设置某个VM能够主动访问其它外网资源 ， 但是拒绝外部的主动访问 。
南北向流量安全防护 ， 采用外置硬件防火墙进行安全隔离 。
安全域间部署的东西向防火墙挂接在网关上 ， 跨安全域的流量要经过防火墙进行互通 。
讲到这里 ， 我们可以看出 ， 5G电信云的分域管理和防火墙部署相互结合 ， 可以为5G电信云构建层层安全屏障 。 这种措施切实保证了网络的通畅和安全 。
网络发展 ， 安全随行 。 未来 ， 随着5G电信云网络规模的不断扩大 ， 安全策略也将越来越完善 。

文章图片
文中涉及的缩略语：
SDN（SoftwareDefinedNetwork ， 软件定义网络）
NFV（NetworkFunctionsVirtualization ， 网络功能虚拟化）
EPC（EvolvedPacketCore ， 演进的分组核心网）
MANO（ManagementandOrchestration ， 管理和编排）
VNFM（VirtualizedNetworkFunctionManager虚拟化网络功能管理）
EMS（ElementManagementSystem ， 网元管理系统）
DC（DataCenter ， 数据中心）
VM（VirtualMachine ， 虚机）

• 当人工智能成为改善人们生活的“魔法”|华为云modelboxai应用开发框架
• 高性能十二代英特尔酷睿处理器加持，华为擎云 B730详细评测
• 5g网络|明年买中端机，搭载这三颗处理器的机型可以优先考虑！
• Hi-Fi|不只是一个工具，将网盘融入生活，中国移动云盘做到了
• 黑客|美国污蔑，中国黑客正在利用流行网络设备中的零日漏洞
• 中山大学提出新型晶体管原理，为构建多模态神经网络提供理论基础
• 万物云： “创新先锋”是如何炼成的
• |《Windows网络操作系统管理》章练习四五
• 网络安全|七大维度对比：华为OPPO小米三款智能手表，2022年哪一款最香？
• 马云|司马南终于向马云道歉了，但是可能已经太晚了