【正文】 大樓結(jié)構(gòu)化布線不規(guī)范，線路急需整理，網(wǎng)絡(luò)設(shè)備的運行13 / 58環(huán)境也需要加以改善●　現(xiàn)有的城市綜合網(wǎng)網(wǎng)絡(luò)地址、企業(yè)網(wǎng)地址以及清算 A 卡網(wǎng)地址都不統(tǒng)一，需要按照總行網(wǎng)絡(luò)改造的要求加以規(guī)范●　現(xiàn)有城域網(wǎng)之間的光纖缺乏必要的鏈路備份，一旦光纖出現(xiàn)故障，沒有其他應急方案可供選擇?！瘛∫恍┚W(wǎng)點還外掛諸如查詢機、個貸前置機等，網(wǎng)絡(luò)連接結(jié)構(gòu)凌亂，通信質(zhì)量無法得到保證?！瘛」芾砭W(wǎng)（企業(yè)網(wǎng)）與總行連接的 Motorola 路由器，故障率比較高●　管理網(wǎng)（企業(yè)網(wǎng)）整個 IP 地址分配基本是符合此次總行建議的規(guī)范，但也有部分企業(yè)網(wǎng)需要保留的地址被分配了?！瘛⊥膺B網(wǎng)的網(wǎng)絡(luò)連接模式，不符合總行網(wǎng)絡(luò)安全要求，而且還造成設(shè)備的利用率不高，監(jiān)控管理困難。 網(wǎng)絡(luò)改造需求 三峽建行局域網(wǎng)根據(jù)總行骨干網(wǎng)改造方案，三峽建行局域網(wǎng)需要有兩臺主交換機，而且都必須能夠支持第三層路由交換，而三峽建行目前只有一臺主交換機 Catalyst 5505 且沒有配置第三層交換模塊。16 / 58 三峽建行城域網(wǎng)１、進一步擴展城域網(wǎng)的連接范圍，將丙辦的光纖延伸到己支行機關(guān)，架設(shè)到戊支行機關(guān)的光纖，使庚、戊這兩個城區(qū)主要支行接入三峽建行城域網(wǎng)，減少通信費用。外連網(wǎng)絡(luò)的廣域網(wǎng)連接整合到一套網(wǎng)絡(luò)設(shè)備上，并安裝防火墻與營業(yè)網(wǎng)隔離。17 / 58 網(wǎng)絡(luò)安全管理需求１、網(wǎng)絡(luò)設(shè)計中利用防火墻、VLAN 等技術(shù)，確保計算機網(wǎng)絡(luò)系統(tǒng)計算機網(wǎng)絡(luò)系統(tǒng)安全漏洞最小化，使網(wǎng)絡(luò)入侵的風險得到控制。能夠?qū)φ麄€網(wǎng)絡(luò)系統(tǒng)從網(wǎng)絡(luò)層、系統(tǒng)層、數(shù)據(jù)庫和應用層進行安全脆弱性進行評估，提供安全修復指引?！?實用性網(wǎng)絡(luò)改造方案設(shè)計實施應充分考慮實際需求和費用，追求高的性效比● 安全性制訂統(tǒng)一的網(wǎng)絡(luò)安全策略，整體考慮網(wǎng)絡(luò)平臺的安全性 ● 集中管理對網(wǎng)絡(luò)實行集中監(jiān)測、 ，并統(tǒng)一分配帶寬資源。 ● 靈活性支持大型的動態(tài)路由協(xié)議，支持策略路由功能，保證與其它網(wǎng)絡(luò)(如公共數(shù)據(jù)網(wǎng)、金融網(wǎng)絡(luò)、行內(nèi)其它網(wǎng)絡(luò))之間的平滑連接。 19 / 58分 行 城 域 網(wǎng)分 行 城 域 網(wǎng)縣 支 行縣 支 行 外 接 網(wǎng)外 接 網(wǎng)BB城 區(qū) 各 支 行城 區(qū) 各 支 行 CC網(wǎng) 點網(wǎng) 點 B： 分 布 層C： 接 入 層第 4 章 網(wǎng)絡(luò)總體設(shè)計 三峽建行網(wǎng)絡(luò)系統(tǒng)改造目標總體架構(gòu) 組網(wǎng)模式 大型網(wǎng)絡(luò)的網(wǎng)絡(luò)結(jié)構(gòu)是層次化的，正確理解我行網(wǎng)絡(luò)層次的劃分和每個層次的主要作用，有助于我們合理選擇網(wǎng)絡(luò)拓撲和網(wǎng)絡(luò)技術(shù)。同時，接入層網(wǎng)絡(luò)包括三峽建行與外連網(wǎng)的連接。每臺 Catalyst 6509 配置兩塊帶有 PFC 子卡和 MSFC 子卡的超級引擎，互為備份，其中 PFC 子卡主要用于擴充 Qos 能力，可以實現(xiàn)基于應用（TCP/UDP 應用端口號）的服務質(zhì)量控21 / 58制，而 MSFC 子卡主要是取代原來的路由模塊 MSM 實現(xiàn)線速三層交換，并且進行了很大的擴充，數(shù)據(jù)包吞吐率從原來的 6Mpps 擴充到 15Mpps。VLAN 劃分 將局域網(wǎng)按服務器業(yè)務類型劃分為不同 VLAN，主要有：業(yè)務網(wǎng)、管理網(wǎng)等，也可以按照部門劃分 VLAN，VLAN 之間的通信可以通過諸如主交換機中設(shè)置的策略路由等加以控制。 甲路機房、信用卡部和星辦局域網(wǎng)保持原有結(jié)構(gòu)不變。 三峽建行到上述支行的網(wǎng)絡(luò)拓撲圖如下：24 / 58 鏈路說明：支行采用 64K DDN 鏈路與三峽建行網(wǎng)絡(luò)中心互連，用于傳輸營業(yè)數(shù)據(jù)和企業(yè)內(nèi)部管理數(shù)據(jù)；同時利用 PSTN 鏈路作為備份線路。初步確定有 b、c、d 、e 、f、g、 h、i 各縣支行以及城區(qū)、國際業(yè)務部。初步確定有航空辦、北山辦、五廣分理處等。Catalyst 6509 配置雙引擎和雙路由模塊，同時配置雙電源冗余系統(tǒng)，保證中心交換機的可靠性。 鏈路備份城域網(wǎng)鏈路備份城域網(wǎng)的主干鏈路為光纖連接，為了保證城域網(wǎng)的鏈路的可靠性，可以采用 ISDN 備份 在城域網(wǎng)各節(jié)點申請一條 ISDN 線路，同時增加一臺 CISCO 2600 路由器，配置一個 ISDN 模塊，當光纖主干鏈路出現(xiàn)故障時，啟動 ISDN 線路，保證城域網(wǎng)的連通。在大型網(wǎng)絡(luò)中，靜態(tài)路由和某些動態(tài)路由如 RIP、IGRP 由于其固有的局限性( 擴展性差、不支持 VLSM)，不適合在網(wǎng)絡(luò)節(jié)點多、規(guī)模大的網(wǎng)絡(luò)中使用。故我們在本網(wǎng)絡(luò)方案中內(nèi)部主路由協(xié)議選擇 OSPF。營業(yè)類業(yè)務系統(tǒng)包括綜合網(wǎng)柜面業(yè)務系統(tǒng)、清算系統(tǒng)、龍卡系統(tǒng)、網(wǎng)上銀行等。這一類管理信息目前主要是普通的文件傳輸，數(shù)據(jù)流量大、突發(fā)性強、對實時性要求較低，但要求能夠可靠傳輸，流向目前主要是縱向。同時將要實施的語音等新應用對網(wǎng)29 / 58絡(luò)提出了新的服務質(zhì)量的要求。30 / 58第 5 章 三峽建行網(wǎng)絡(luò)管理設(shè)計 在三峽建行廣域網(wǎng)中，設(shè)備繁多，網(wǎng)絡(luò)規(guī)模大，地理位置跨越廣，且應用環(huán)境復雜。同時，配置 BMC 的數(shù)據(jù)備份與恢復軟件，從而減少因系統(tǒng)停機、重要數(shù)據(jù)信息的丟失等而造成的業(yè)務停頓，最大程度上保證系統(tǒng)的高可用性和可管理性，以保障 7x24 小時關(guān)鍵性應用系統(tǒng)的運行，最終實現(xiàn)企業(yè)信息系統(tǒng)的管理目的。它包含所有節(jié)點運作狀態(tài)，故障記錄的追蹤與檢查及平?？蓪Ω鞣N通訊協(xié)議的測試。? 運行管理: 制定網(wǎng)絡(luò)運行的技術(shù)標準,可靠性, 安全性方案和運行制度。 網(wǎng)絡(luò)管理平臺和網(wǎng)管工作站 通過前面的分析，網(wǎng)絡(luò)系統(tǒng)設(shè)備采用了 cisco 的交換機、路由器和遠程訪問服務器，針對系統(tǒng)的這個特點，推薦 cisco 公司的最新推出的網(wǎng)管系統(tǒng)CiscoWorks2022。cisco 網(wǎng)管軟件和其基本管理模式CiscoWorks2022網(wǎng)管系統(tǒng) works2022 包括局域網(wǎng)和廣域網(wǎng)網(wǎng)組件，還包括語音管理套件。 安全模型（ P2DR 模型）P2DR 方案是一個超前的安全模型，它是在對國際上安全方面可靠的權(quán)威著作進行多年研究的基礎(chǔ)上獨自發(fā)展出來的。Policy(安全策略)安全策略是 P2DR 安全模型的核心，要想實施動態(tài)網(wǎng)絡(luò)安全模型，必須首先制定企業(yè)的安全策略，所有的防護、檢測、響應都是依據(jù)安全策略實施的，企業(yè)安全策略為安全管理提供管理方向和支持手段。檢測主要包括 “漏洞檢測 ”和 “入侵檢測 ”兩個部分 。要解決好緊急響應問題，就要制訂好緊急響應的方案，做好緊急響應方案中的一切準備工作。通過對我行網(wǎng)絡(luò)所面臨的安全狀況的分析，可將整個三峽建行網(wǎng)絡(luò)的安全性在總34 / 58體結(jié)構(gòu)上劃分為四個級別：網(wǎng)絡(luò)級安全、應用級安全、系統(tǒng)級安全和企業(yè)級安全。第一，端對端的網(wǎng)絡(luò)安全要求持續(xù)的、綜合的安全評估，通過自動的基于網(wǎng)絡(luò)的和基于主機的掃描技術(shù)實現(xiàn)；第二，對安全弱點的響應通過已建立的安全策略中相關(guān)的安全漏洞來衡量。網(wǎng)絡(luò)安全的程度必然是動態(tài)變化的，所以網(wǎng)絡(luò)安全不可能是一個靜態(tài)的結(jié)果，需隨著網(wǎng)絡(luò)環(huán)境的變化，并綜合各種可能的影響安全的因素來制訂整個網(wǎng)絡(luò)的安全策略對于系統(tǒng)安全設(shè)計，一定要充分考慮整個三峽建行網(wǎng)絡(luò)系統(tǒng)的實際需求和網(wǎng)絡(luò)現(xiàn)狀，以我行網(wǎng)絡(luò)與外部的連接作為安全設(shè)計的重點，可通過以下措施來從網(wǎng)絡(luò)物理層一直到應用層保證整個網(wǎng)絡(luò)系統(tǒng)的安全使用。交換技術(shù)將傳統(tǒng)的基于廣播的局域網(wǎng)技術(shù)發(fā)展為面向連接的技術(shù)。因此，防止了大部分基于網(wǎng)絡(luò)監(jiān)聽的入侵手段。采用基于 MAC 的 VLAN 劃分將面臨假冒 MAC 地址的攻擊。因此，可以按照系統(tǒng)的安全性來劃分 VLAN：可以將總部中的服務器系統(tǒng)單獨劃作一個 VLAN，如數(shù)據(jù)庫服務器、電子郵件服務器等。安全入侵檢測和響應在三峽建設(shè)銀行整個網(wǎng)絡(luò)系統(tǒng)中，主要應用業(yè)務數(shù)據(jù)（企業(yè)網(wǎng)和營業(yè)網(wǎng)）均是存放在分行中心，中間通過 VLAN 劃分進行各個業(yè)務系統(tǒng)隔離，具備一定的信息安全功能，但缺乏對各個業(yè)務系統(tǒng)數(shù)據(jù)通信的安全檢測和監(jiān)控，不能夠做到對各個系統(tǒng)安全狀況心中有數(shù)，不能夠?qū)Π踩录M行統(tǒng)計和預測，不能夠?qū)ν鈦砣肭趾蛢?nèi)部誤用進行自動的實時響應，在系統(tǒng)遭受破壞之前將入侵者驅(qū)除出外。如從分支機構(gòu)發(fā)一個信息到三峽建行時，這個信息包就可能被人截取和利用。對于從外部撥號訪問三峽建行內(nèi)部局域網(wǎng)的用戶，由于使用公用電話網(wǎng)38 / 58進行數(shù)據(jù)傳輸所帶來的風險，必須嚴格控制其安全性。在數(shù)據(jù)傳輸過程中采用加密技術(shù)，防止資料被非法竊取。使用 DMZ 非軍事化區(qū)，將業(yè)務前置機放置于非軍事化區(qū)，這樣既保證外連網(wǎng)正常業(yè)務，又保證內(nèi)網(wǎng)安全。在網(wǎng)絡(luò)入口處配置 realsecure work sen。該系統(tǒng)包括 RealScure console、RealScure ageng(包括 work sensor 和 os sensor) 兩部分，其中 RealSecure ageng 可以從網(wǎng)絡(luò)和系統(tǒng)兩個層次實時檢測政策違規(guī)，不影響網(wǎng)絡(luò)性能，它分析各個數(shù)據(jù)包的內(nèi)容和上下文，決定流量是否未經(jīng)授權(quán)。外連網(wǎng)的安全設(shè)計在連接外部網(wǎng)時，使用路由器與外網(wǎng)進行隔離，在路由器上設(shè)置訪問控制列表（ACL） ，屏蔽未經(jīng)允許的訪問。加強對撥號用戶的身份認證，使用 RADIUS 等專用身份驗證服務器（AAA服務器） 。能夠?qū)λ芯W(wǎng)絡(luò)訪問活動和攻擊行為進行過程監(jiān)控、威脅統(tǒng)計和預測。通過兩者的配合，對一些危害網(wǎng)絡(luò)安全和信息安全的行為進行阻擊，也可以作為對犯罪分子的犯罪證據(jù)，從法律角度對犯罪分子提出指控。在三峽建行局域網(wǎng)在安全設(shè)計時將采取上述兩種劃分 VLAN 的策略來保證系統(tǒng)的安全性。但這要求整個網(wǎng)絡(luò)桌面使用交換端口或每個交換機所在的網(wǎng)段機器均屬于相同的 VLAN。但是，虛擬網(wǎng)技術(shù)也帶來了新的問題：執(zhí)行虛擬網(wǎng)交換的設(shè)備越來越復雜，從而成為被攻擊的對象。以太網(wǎng)從本質(zhì)上基于廣播機制，但應用了交換機和 VLAN 技術(shù)后，實際上轉(zhuǎn)變?yōu)辄c到點通訊，除非設(shè)置了監(jiān)聽口，信息交換也不會存在監(jiān)聽和插入（改變）問題。三峽建行局域網(wǎng)在空間分布上是城域范圍的，局域網(wǎng)的安全必須認真考慮，局域網(wǎng)安全主要有采取 VLAN 劃分以及利用安全軟件對局域網(wǎng)進行掃描。另外，基于網(wǎng)絡(luò)和主機的實時入侵檢測提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護。此次網(wǎng)絡(luò)改造我們主要對網(wǎng)絡(luò)級安全加以設(shè)計。值得強調(diào)的是， P2DR 安全模型已被正式收錄進人民銀行的安全藍皮書： 《 國家金融信息系統(tǒng)安全 》 總體綱要 三峽建行網(wǎng)絡(luò)系統(tǒng)總體安全體系 安全策略設(shè)計 安全策略描述原則 由于數(shù)據(jù)傳輸?shù)陌踩躁P(guān)系到我行的服務質(zhì)量和信譽保證，關(guān)系到客戶的切身利益，因此在制定安全策略時，要加強對數(shù)據(jù)傳輸?shù)南拗疲粗挥斜硎緸樵试S的才可以進行傳輸這一原則來加強對網(wǎng)絡(luò)安全的限制。在檢測到安全漏洞和安全事件之后必須及時做出正確的響應，從而把系統(tǒng)調(diào)整到安全狀態(tài)。通過防火墻監(jiān)視限制進出網(wǎng)絡(luò)的數(shù)據(jù)包，可以防范外對內(nèi)及內(nèi)對外的非法訪問，提高了網(wǎng)絡(luò)的防護能力，當然需要根據(jù)安全策略制定合理的防火墻策略；也可以利用 SecureID 這種一次性口令的方法來增加系統(tǒng)的安全性等等。P 2DR 模型如圖所示：Policy 策略、Protection 防護、Detection 檢測和 Response 響應組成的完整模型體系，可以描述和解釋任何信息安全問題。32 / 58第 6 章 網(wǎng)絡(luò)系統(tǒng)安全設(shè)計由于網(wǎng)絡(luò)的開放性和網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)安全本身已經(jīng)成為一個與時間和技術(shù)相關(guān)動態(tài)的概念。 網(wǎng)管工作站設(shè)計由于網(wǎng)管工作站將實時處理網(wǎng)絡(luò)設(shè)備上傳的運行參數(shù)，因此必須具備大內(nèi)存、高性能 CPU 和良好圖形顯示功能。一則可作為使用網(wǎng)絡(luò)計費的依據(jù)，更可作為日后網(wǎng)絡(luò)升級或更新規(guī)劃的參考。? 用戶記帳管理: 建立統(tǒng)一的記帳系統(tǒng),對網(wǎng)絡(luò)資源的使用采取收費記帳的方法,對不同的資源訪問制定不同的收費標準和算法。網(wǎng)管系統(tǒng)的職責:? 網(wǎng)絡(luò)監(jiān)控: 監(jiān)視網(wǎng)絡(luò)的運行狀態(tài),控制網(wǎng)絡(luò)路由和流量,分析運行記錄和報警信息? 性能控制:據(jù)網(wǎng)絡(luò)應用狀態(tài),負荷狀態(tài),網(wǎng)絡(luò)利用率,合理調(diào)整網(wǎng)絡(luò)性能。為了提高系統(tǒng)的分級安全性,設(shè)計網(wǎng)絡(luò)管理系統(tǒng)，便于管理和故障處理，監(jiān)控的實時性。 QoS 控制技術(shù) 為了避免增加過多的控制策略導致路由器負載過重，選擇以下幾種 QOS 控制技術(shù)，簡單有效地實現(xiàn)各類應用的 QOS 保障。這些都屬于流量增長最快的應用系統(tǒng)，流量大、隨機性強，流向可能是任意方向的，其中多媒體業(yè)務是面向非連接的，對時延非常敏感。這些業(yè)務的數(shù)據(jù)包大小比較固定，對數(shù)據(jù)傳輸?shù)难訒r要求比較高。在一個統(tǒng)一的網(wǎng)絡(luò)平臺上，應該保證對于不同的應用數(shù)據(jù)根據(jù)其具體要求提供相應的網(wǎng)絡(luò)服務，并能在因故障導致網(wǎng)絡(luò)資源稀缺時優(yōu)先保證關(guān)鍵性業(yè)務數(shù)據(jù)的傳輸。由于在大型的網(wǎng)絡(luò)中有多種平臺的路由器存在，而 EIGRP 僅為 Cisco 獨家支持。 ● 網(wǎng)點廣域網(wǎng)鏈路備份 大的網(wǎng)點采用 CISCO 2600 路由器通過 64K DDN 鏈路與三峽建行網(wǎng)絡(luò)中心互連，用于傳輸營業(yè)數(shù)據(jù)，小的網(wǎng)點采用異步 MODEM 通過 64K DDN 鏈路與三峽建行網(wǎng)絡(luò)中心互連；同時利用 PSTN 鏈路作為備份線路。 城域網(wǎng)設(shè)備備份在三峽建行中心交換機 Catalyst 6509 上備份一塊 24 口 100M 多模光纖模塊，同時提供一臺 Catalyst 1924C 交換機，作為城域網(wǎng)下一級節(jié)點的設(shè)備備份。三峽建行局域網(wǎng)與外網(wǎng)連接圖如下：26 / 58 可靠性設(shè)計三峽建行網(wǎng)絡(luò)可靠性包括網(wǎng)絡(luò)設(shè)備備份和鏈路備份（包括電話撥號） 。 三峽建行到網(wǎng)點的網(wǎng)絡(luò)拓撲圖： 25 / 58 鏈路說明：大的網(wǎng)點采用低端路由器（還可廣泛采用原有的一些非 CiscoL路由設(shè)備）通過 64K DDN 鏈路與三峽建行網(wǎng)絡(luò)中心互連，用于傳輸營業(yè)數(shù)據(jù)，