1、會員提供：金融行業(yè)網絡方案設計來源：作者：56cto會員 發(fā)布時間：2008-06-15 閱讀次數(shù)214 1、數(shù)據(jù)中心的安全架構a) 應用需求銀行數(shù)據(jù)中心的網絡是銀行的業(yè)務核心的基礎，其重要性不必贅述。在這一網絡體系中，銀行的生產應用所運行的網絡是需要受到最大程度保護的，以保障其可靠性、性能和安全性，同時還要保證高速數(shù)據(jù)處理能力；不同生產應用位于不同區(qū)域，具有不同的訪問需求和安全級別要求。除了生產網絡之外，數(shù)據(jù)中心還需要為其辦公人員提供辦公應用的平臺，即OA網。OA網絡中存在著許多易受安全攻擊的系統(tǒng)和應用，并且通常與Internet相關聯(lián)，往往是安全事件的發(fā)源地。為此

2、，一方面我們需要通過安全架構和管理加固OA網絡本身，更重要的是要將辦公數(shù)據(jù)與生產核心應用分離開來，即實現(xiàn)兩網分離。b) 解決方案數(shù)據(jù)中心網絡安全架構按照由外向內的順序，下面對所部署的安全設備與技術進行簡要描述： 第一道防范：廣域網入口處部署防止DOS/DDOS攻擊的工具，如專用DOS防范設備、IPS等；將由人為攻擊和蠕蟲病毒帶來的DOS威脅隔離在核心網之外； 第二道防范：部署流量分析儀，對流經核心交換機的流量進行分析檢測，掌握流量走勢，及時發(fā)現(xiàn)異常情況并迅速找到威脅源，以進行有效排除； 第三道防范：在各生產應用區(qū)域部署防火墻，對進入該區(qū)域的數(shù)據(jù)進行訪問控制； 辦公網的安全性：辦公網以防火墻進行

3、隔離，形成單獨的區(qū)域，辦公網往往是攻擊的發(fā)源地，對辦公網應實現(xiàn)嚴格的雙向訪問控制，如有必要可部署第二層DOS防范設備； 入侵檢測能力：部署IDS系統(tǒng)，對流經區(qū)域核心交換機的流量進行入侵檢測； 管理區(qū)域的部署：管理區(qū)域包括整個網絡的管理與安全監(jiān)控，包括：網管平臺，IDS管理器，認證服務器，防病毒管理平臺，日志服務器等，部署于辦公與生產網隔離防火墻的DMZ區(qū)； 測試、開發(fā)區(qū)域的隔離：對測試、開發(fā)區(qū)域通過防火墻實現(xiàn)訪問控制，避免與生產和辦公網之間的相互影響； c) 關鍵點描述各區(qū)域防火墻的設置原則有： 開放盡量少的端口和應用； 只開放需要作跨網數(shù)據(jù)訪問的地址； 除對有特別需求的應用節(jié)點，一般不需采用

4、NAT地址轉換； 考慮到防火墻一般不具備復雜的動態(tài)路由功能，同時為將對現(xiàn)有網絡結構的影響降到最小，建議采用透明模式。 在同一安全域內，可以實施的安全手段有： 在第三層網絡設備上可以實現(xiàn)的安全功能有：VLAN間的訪問控制，反向路由檢測（防止地址欺騙），設備本身登錄的AAA認證等； 在第二層交換機上可以實現(xiàn)的安全功能有：端口與MAC地址的綁定，802.1x用戶身份認證、設備本身登錄的AAA認證等。 除安全性之外，數(shù)據(jù)中心對網絡運行的可靠性和高性能都有極高的要求，為此，所有設備都采用雙機冗余架構；并且在選購防火墻和DOS防范設備時要重點考慮其處理能力。 2、省級分行的安全架構a) 應用需求從理想的角

5、度，省級分行也可以擁有與數(shù)據(jù)中心類似的兩網架構。但出于實施的成本和對現(xiàn)有網絡調整的影響的考慮，我們可以在現(xiàn)有架構的基礎上作最小改動來加固安全，即考慮邏輯上的兩網分離?？紤]到安全攻擊或病毒的超強的擴散能力安全事件往往首先由一個分支發(fā)起，然后迅速在全轄內擴散，故在各省邊界的防范是需要考慮的因素。b) 解決方案按照由外向內的順序，下面對所部署的安全設備與技術進行簡要描述： 第一道防范：與數(shù)據(jù)中心安全結構類似，在廣域網入口處部署防止DOS/DDOS攻擊的工具；在一級網和二級網出口不一致的情況下，可以將DOS防范工具部署在核心交換機之前； 兩網分離：局域網的辦公和生產網通過VLAN劃分來實現(xiàn)； 管理VL

6、AN：管理相關服務器被放置于獨立的管理VLAN中，包括：網管平臺，IDS管理器，認證服務器，防病毒管理平臺，日志服務器等； 入侵檢測能力：部署IDS系統(tǒng)，對流經核心交換機的流量進行入侵檢測。c) 關鍵點描述在本地局域網內，可以實施的安全手段有： 在第三層網絡設備上可以實現(xiàn)的安全功能有：VLAN間的訪問控制，反向路由檢測（防止地址欺騙），設備本身登錄的AAA認證等； 在第二層交換機上可以實現(xiàn)的安全功能有：端口與MAC地址的綁定，802.1x用戶身份認證、設備本身登錄的AAA認證等。 考慮到數(shù)據(jù)集中后跨省的生產流量和到總行的辦公數(shù)據(jù)流量可能會較大，因此，在選擇DOS防范產品時需要特別考慮其處理性能

7、。 3、地市級分行的安全架構a) 應用需求地市級分行具有與省級行相似的網絡架構和應用模式，只不過規(guī)模有大小差異，數(shù)據(jù)傳輸?shù)膲毫ι孕?，故希望能有集成式的安全工具，實現(xiàn)All-in-one的安全防范，同時簡化網絡結構與管理。b) 解決方案按照由外向內的順序，下面對所部署的安全設備與技術進行簡要描述： 第一道防范：在廣域網路由器后采用安全網關設備實現(xiàn)本網的安全防護，安全網關可以集成防火墻、VPN、防病毒、防垃圾郵件、內容過濾等功能； 兩網分離：局域網的辦公和生產網通過VLAN劃分來實現(xiàn)； 管理VLAN：管理相關服務器被放置于獨立的管理VLAN中，包括：網管平臺，IDS管理器，認證服務器，防病毒管理平

8、臺，日志服務器等； 入侵檢測能力：部署IDS系統(tǒng)，對流經核心交換機的流量進行入侵檢測。 c) 關鍵點描述地市級網絡與省級網絡的最大區(qū)別在于將DOS防范工具替換為安全網關，這是基于對地市級網絡對建設成本、易于管理性的要求和相對較小的數(shù)據(jù)壓力的考慮，集成功能設備可以滿足上述要求。在本地局域網內，可以實施的安全手段有： 在第三層網絡設備上可以實現(xiàn)的安全功能有：VLAN間的訪問控制，反向路由檢測（防止地址欺騙），設備本身登錄的AAA認證等； 在第二層交換機上可以實現(xiàn)的安全功能有：端口與MAC地址的綁定，802.1x用戶身份認證、設備本身登錄的AAA認證等。 4、Internet接入安全架構a) 應用需

9、求企業(yè)的邊緣接入可以具有多方面含義，如撥號用戶的遠程接入，Internet接入，與其它機構的外聯(lián)等。目前各省級以上分行對外聯(lián)應用都已經架設了統(tǒng)一、完備的安全架構，以兩臺防火墻來隔離對其它企業(yè)的專線和撥號外聯(lián)。故對外聯(lián)網絡這里不作描述。Internet訪問的最大考慮便是其安全性，目前已有許多基于Internet的成熟解決方案，同樣可以用于金融行業(yè)的Internet解決方案中。b) 解決方案 安全區(qū)域的分割：一個典型的Internet邊緣接入安全架構分為三大區(qū)域：內部網（IN），Internet（OUT），Internet應用服務器區(qū)域（DMZ），三部分通過兩臺互為冗余的防火墻互連； DMZ內部網

10、是企業(yè)需要訪問Internet的用戶所在的網絡，具有相對最高的安全級別；Internet是開放空間，安全級別最低；DMZ區(qū)放置了許多與企業(yè)Internet應用有關的服務器，它既要接受Internet用戶的訪問，又要防御來自外部的攻擊，屬中間安全區(qū)域； 在DMZ區(qū)和內部網均放置了IDS探測器，用于監(jiān)測穿透防火墻的或內部的攻擊行為； 對規(guī)模較大的網絡，可能會考慮Internet出口的冗余性，而選擇兩條ISP鏈路，這時需要在出口前添加鏈路均衡器以實現(xiàn)雙向負載均衡，這一架構在本文中不作描述。 c) 關鍵點描述作Internet連接的防火墻有以下配置原則： 開放盡量少的端口和應用； 對由外向內的訪問，只

11、開放有限的目標地址和服務； 對由內向外的訪問，也要避免默認的全部開放策略，而應根據(jù)實際情況加上適當?shù)南拗茥l件； 一般需要用到NAT地址轉換，防火墻采用NAT模式。 DMZ區(qū)是針對Internet應用的服務器區(qū)，它的組件包括但不僅限于： Web/FTP服務器：提供企業(yè)對外的信息訪問和文件下載資源，根據(jù)實際需要布設； DNS服務器：作為企業(yè)獲得授權的外部域名解析服務器，負責將內部DNS請求轉發(fā)到互聯(lián)網； 外部郵件服務器：作為企業(yè)用戶與Internet用戶互送郵件的中繼； 防垃圾郵件網關：作用于郵件服務器之前，根據(jù)郵件內容和性質判斷其是否為垃圾郵件，并進行相應處理； 內容過濾服務器：用于內部用戶向Internet作WWW訪問時作URL過濾，以去除非法信息或網頁可能攜帶的Java Applets、ActiveX等惡意代碼的小程序； 病毒網關：檢測雙向FTP/HTTP/SMTP數(shù)據(jù)流，發(fā)現(xiàn)其中的病毒代碼，對病毒進行清除、隔離或過濾； 代理服務器：作為Internet訪問用戶身份驗證的網關，提供應用級的訪問控制功能，并提供訪問審計和跟蹤；一個功能完善的代理服務器可以與防垃圾郵件網關、內容過濾服務器和病毒網關協(xié)同工作，提高數(shù)據(jù)檢測的效率； 內容過濾、病毒網關和垃圾郵件網關可能采用的結構有： 穿透性結構，如同防火墻一樣，需要讓被檢測的數(shù)據(jù)由外向內流經該設備