通過對“原來你是這樣的5G電信云”的學習，我們知道相比于傳統電信網絡而言，5G電信云網絡更加靈活開放。5G電信云網絡的三級分布式架構，可以更加高效地承載各種類型的5G垂直行業應用。而SDN（Software Defined Network，軟件定義網絡）/NFV（Network Functions Virtualization，網絡功能虛擬化）網絡云化在極大提升資源利用率的同時，提供了業務自動化開通和智能化運維功能，實現了業務的快速上線和靈活調整。由于5G電信云優勢顯著，目前運營商正在積極推進網絡的云化改造。

網絡不斷云化演進的同時，安全問題備受關注。安全是電信網絡的基本需求之一，也是網絡建設的重中之重。那么，如此靈活開放的5G電信云網絡真的安全嗎？

NFV帶來的風險

NFV是一把雙刃劍，帶來開放性的同時，也帶來了安全風險。

NFV以運行在x86服務器上的網元功能軟件化的方式實現了軟硬件解耦，以硬件資源池化的方式使得網絡架構更加開放，業務部署更加靈活。但是在NFV架構下，為實現各層面的互操作性，NFV組件之間必須具備開放性，這會帶來組件交互的安全風險。

為了避免這些安全風險，保障虛擬化電信云網絡系統安全運行，必須采取有效的安全措施。、

5G電信云網絡安全措施

5G電信云組網對安全性要求非常嚴格，從物理組網層面到業務網絡層面都有限制。

在之前講的“5G電信云數據中心的邏輯組網”中，我們提到了根據接入服務器的不同功能，物理網絡（Underlay網絡）劃分為計算域、存儲域和管理域，通過將這三個域各自獨立部署并結合防火墻技術，來保證網絡的安全性。這其實就是物理組網層面的安全措施。

一般來說，物理組網要進行嚴格的組網隔離，部分運營商甚至要求多層級的隔離。這也可以看出，安全性在電信云中地位顯著。實際應用時，在5G電信云系統中會按照不同的安全風險等級，把設備劃分到不同的安全域中，不同的安全域邊界如果互訪，需要穿過防火墻。

類似的，業務網絡也會通過劃分不同的安全域，再在不同區域之間通過不同類型的防火墻實現等級保護。

下面我們就來看看安全域是如何劃分的，以及如何通過分域管理來保證網絡的安全。

分域管理

對于安全域的概念，有非常細致的區分，我們把安全域劃分為不同的層級。

第一層級，整網劃分為計算（業務）域、存儲域和管理域，這三個域物理隔離，實現業務網絡、存儲網絡和管理網絡的隔離，并使用防火墻對跨越不同網絡的通信進行防護。

第二層級，在業務網絡內部，又劃分為暴露域、非暴露域、核心域和管理域。看到這里，可能細心的同學會產生疑問： 怎么又有一個管理域？別急，此處的管理域與第一層級中的管理域是不同的。

第一層級中的管理域管理的是整個網絡，是必要的。而業務網絡內的管理域管理的是業務，有時根據客戶的實際需求，可能沒有管理域，也就是非必要的。

業務網絡內不同的區域之間通過不同類型的防火墻實現等級保護。其中不同的安全域中包含不同的網元。

在外部黑客攻破業務網絡的暴露域時，不會影響到非暴露域、核心域和管理域的數據安全。即使攻破了非暴露域，由于非暴露域和核心域、管理域之間的防火墻與被攻破防火墻是異構的，最大可能地將網絡威脅終止在非暴露域和核心域、管理域之間的防火墻，保證了核心域和管理域的安全。即使整個業務網絡受到威脅，但是存儲域和管理域還有一層存儲/管理防火墻的保護，很大可能網絡威脅只影響運行業務，而不是讓整個基礎設施架構受到攻擊。

另外，管理域和存儲域又劃分不同的邏輯網絡平面，嚴格禁止不同網絡平面的互訪。不同的角色設置不同的權限，分權分域。

其實，電信云中各類域的劃分比較類似于古代城池的建造，通過區別不同的功能區域和設置風險等級來方便管理，并且通過建造城門來有效控制不同區域的人員流動，以達到安全可控的目的。

通過分域管理，我們能夠精準、快捷地對電信云中的每個區域模塊進行有效部署和控制。這就像我們上面所講的城池建造一樣，一個人管理城中那么多的百姓是很困難的。但是，通過劃分不同的區域，再給每個區域安排專人負責就可以輕松達到全局可控的目的了。

防火墻部署

理解了分域管理的概念，我們接著上面的例子來講下防火墻。

通常在古代，一個國家的每個城門都是一種界限的象征。當沒有城門的時候，百姓可以在各城中隨意出入，容易產生各種矛盾和糾紛，并且不方便協調和管理，因此我們設置了城門來對其進行控制，這樣每個城中的人只能在有限的范圍內流動，既提升了管理效率，又避免了各種問題。這里的“城門”就類似于防火墻的概念。

在電信云層面，防火墻的用途主要用于安全域邊界的隔離。DC（Data Center，數據中心）業務網和外部網絡之間的隔離，一般使用南北向防火墻。DC內不同安全域之間互訪的隔離，一般使用跨域東西向防火墻。

其中在東西方向，流量安全采用分布式防火墻（安全組）進行隔離。同一個安全組的VM（Virtual Machine，虛機）可以互訪，不同安全組VM間默認是不能互相訪問的。安全組是有狀態的，租戶可以設置某個VM能夠主動訪問其它外網資源，但是拒絕外部的主動訪問。

南北向流量安全防護，采用外置硬件防火墻進行安全隔離。

安全域間部署的東西向防火墻掛接在網關上，跨安全域的流量要經過防火墻進行互通。

講到這里，我們可以看出，5G電信云的分域管理和防火墻部署相互結合，可以為5G電信云構建層層安全屏障。這種措施切實保證了網絡的通暢和安全。

網絡發展，安全隨行。未來，隨著5G電信云網絡規模的不斷擴大，安全策略也將越來越完善。