【正文】 過濾、地址隱藏以及 VPN 功能保證外部的非法訪問無法進(jìn)入建行內(nèi)部網(wǎng)。一方面，實(shí)現(xiàn)對(duì)撥號(hào)用戶帳號(hào)的統(tǒng)一管理；另一方面，在身份驗(yàn)證過程中采用加密的手段，避免用戶口令泄露的可能性。VLAN 的劃分方式的目的是保證系統(tǒng)的安全性。最后，對(duì)安全威脅的網(wǎng)絡(luò)自動(dòng)更正包括主動(dòng)中斷連接和網(wǎng)絡(luò)設(shè)備的重新配置。Detection（檢測(cè)） 在 P2DR 模型，檢測(cè)是非常重要的一個(gè)環(huán)節(jié)，檢測(cè)是動(dòng)態(tài)響應(yīng)的依據(jù)，它也是強(qiáng)制落實(shí)安全策略的有力工具，通過不斷地檢測(cè)和監(jiān)控網(wǎng)絡(luò)和系統(tǒng)，來發(fā)現(xiàn)新的威脅和弱點(diǎn)，通過循環(huán)反饋來及時(shí)作出有效的響應(yīng)。網(wǎng)絡(luò)管理員能夠借助網(wǎng)管軟件，對(duì)網(wǎng)絡(luò)上的任何資源和進(jìn)程調(diào)用?！?接入速率控制(CAR) CommittedAccessRate(● IP 優(yōu)先級(jí)控制● 隊(duì)列機(jī)制(WeightedFairQueuing)● 先期擁塞控制(WRED)● 標(biāo)記交換(MPLS)● 語音數(shù)據(jù)優(yōu)先 在三峽建行在此次網(wǎng)絡(luò)改造中將廣泛采用上述技術(shù)保證網(wǎng)絡(luò)通暢，特別是營業(yè)數(shù)據(jù)的正常傳輸。由于我們?yōu)榱顺浞掷迷芯W(wǎng)絡(luò)設(shè)備（其中很大一部分是非 Cisco 的）28 / 58無法選擇 EIGRP，且在最新內(nèi)部路由的設(shè)計(jì)中，OSPF 的性能在流量整形方面遠(yuǎn)超于 Eigrp。 節(jié)點(diǎn)確定原則：該節(jié)點(diǎn)就近有多條營業(yè)網(wǎng)的廣域網(wǎng)的接入。將原有 Catalyst 5000 交換機(jī)從網(wǎng)絡(luò)中心下移到江閣大樓，同時(shí)增加兩個(gè)千兆模塊，分別以 1000Mbps 速率同 Catalyst 6509 和 Catalyst 5505 相連。根據(jù)未來業(yè)務(wù)的增長(zhǎng)和變化，網(wǎng)絡(luò)可以平滑地?cái)U(kuò)充和升級(jí)，減少對(duì)網(wǎng)絡(luò)架構(gòu)和現(xiàn)有設(shè)備的調(diào)整。考慮對(duì)伍支行、東辦等城區(qū)支行以及各縣支行等綜合性的網(wǎng)點(diǎn)的企業(yè)網(wǎng)、城綜網(wǎng)線路合并，接入帶寬提高到 64K，通過路由器連接到三峽建行；對(duì)于業(yè)務(wù)量大或線路集中的網(wǎng)點(diǎn)也考慮使用路由器，并提高接入速率到 64K；其他網(wǎng)點(diǎn)提速后仍使用目前的串口協(xié)議連入三峽建行中心網(wǎng)絡(luò)，將SLIP 改為 PPP； 前臺(tái)網(wǎng)點(diǎn)的廣域網(wǎng)采用的 PSTN 撥號(hào)備份實(shí)現(xiàn)后臺(tái)無人干預(yù)。●　管理網(wǎng)（企業(yè)網(wǎng)）廣域網(wǎng)中使用的 Motorola 路由器故障率高，端口損壞嚴(yán)重，維修困難。如：與外界相連應(yīng)用系統(tǒng)沒有按照總行要求的安全連接模式連接，前置機(jī)可能存在未屏蔽非必要的通訊端口，可能存在多余的路由表等等。8 / 58 網(wǎng)絡(luò)應(yīng)用現(xiàn)狀根據(jù)三峽建行對(duì)網(wǎng)絡(luò)業(yè)務(wù)的劃分，可以將三峽建行網(wǎng)絡(luò)業(yè)務(wù)劃分為：核心業(yè)務(wù)和外連業(yè)務(wù)。以計(jì)算機(jī)網(wǎng)絡(luò)為支撐平臺(tái)，我行的各類業(yè)務(wù)應(yīng)用系統(tǒng)不斷推陳出新，開拓了多項(xiàng)新的業(yè)務(wù)，為我行的業(yè)務(wù)快速發(fā)展發(fā)揮了巨大的作用。網(wǎng)絡(luò)設(shè)備以 CISCO、MOTOROLA 為主。一些系統(tǒng)缺乏備份鏈路和備份設(shè)備，一旦出現(xiàn)故障，勢(shì)必影響業(yè)務(wù)的正常開展?！瘛∫恍┚W(wǎng)點(diǎn)還外掛諸如查詢機(jī)、個(gè)貸前置機(jī)等，網(wǎng)絡(luò)連接結(jié)構(gòu)凌亂，通信質(zhì)量無法得到保證。16 / 58 三峽建行城域網(wǎng)１、進(jìn)一步擴(kuò)展城域網(wǎng)的連接范圍，將丙辦的光纖延伸到己支行機(jī)關(guān)，架設(shè)到戊支行機(jī)關(guān)的光纖，使庚、戊這兩個(gè)城區(qū)主要支行接入三峽建行城域網(wǎng)，減少通信費(fèi)用?！?實(shí)用性網(wǎng)絡(luò)改造方案設(shè)計(jì)實(shí)施應(yīng)充分考慮實(shí)際需求和費(fèi)用，追求高的性效比● 安全性制訂統(tǒng)一的網(wǎng)絡(luò)安全策略，整體考慮網(wǎng)絡(luò)平臺(tái)的安全性 ● 集中管理對(duì)網(wǎng)絡(luò)實(shí)行集中監(jiān)測(cè)、 ，并統(tǒng)一分配帶寬資源。每臺(tái) Catalyst 6509 配置兩塊帶有 PFC 子卡和 MSFC 子卡的超級(jí)引擎，互為備份，其中 PFC 子卡主要用于擴(kuò)充 Qos 能力，可以實(shí)現(xiàn)基于應(yīng)用（TCP/UDP 應(yīng)用端口號(hào)）的服務(wù)質(zhì)量控21 / 58制，而 MSFC 子卡主要是取代原來的路由模塊 MSM 實(shí)現(xiàn)線速三層交換，并且進(jìn)行了很大的擴(kuò)充，數(shù)據(jù)包吞吐率從原來的 6Mpps 擴(kuò)充到 15Mpps。初步確定有 b、c、d 、e 、f、g、 h、i 各縣支行以及城區(qū)、國際業(yè)務(wù)部。在大型網(wǎng)絡(luò)中，靜態(tài)路由和某些動(dòng)態(tài)路由如 RIP、IGRP 由于其固有的局限性( 擴(kuò)展性差、不支持 VLSM)，不適合在網(wǎng)絡(luò)節(jié)點(diǎn)多、規(guī)模大的網(wǎng)絡(luò)中使用。同時(shí)將要實(shí)施的語音等新應(yīng)用對(duì)網(wǎng)29 / 58絡(luò)提出了新的服務(wù)質(zhì)量的要求。? 運(yùn)行管理: 制定網(wǎng)絡(luò)運(yùn)行的技術(shù)標(biāo)準(zhǔn),可靠性, 安全性方案和運(yùn)行制度。Policy(安全策略)安全策略是 P2DR 安全模型的核心，要想實(shí)施動(dòng)態(tài)網(wǎng)絡(luò)安全模型，必須首先制定企業(yè)的安全策略，所有的防護(hù)、檢測(cè)、響應(yīng)都是依據(jù)安全策略實(shí)施的，企業(yè)安全策略為安全管理提供管理方向和支持手段。第一，端對(duì)端的網(wǎng)絡(luò)安全要求持續(xù)的、綜合的安全評(píng)估，通過自動(dòng)的基于網(wǎng)絡(luò)的和基于主機(jī)的掃描技術(shù)實(shí)現(xiàn)；第二，對(duì)安全弱點(diǎn)的響應(yīng)通過已建立的安全策略中相關(guān)的安全漏洞來衡量。采用基于 MAC 的 VLAN 劃分將面臨假冒 MAC 地址的攻擊。對(duì)于從外部撥號(hào)訪問三峽建行內(nèi)部局域網(wǎng)的用戶，由于使用公用電話網(wǎng)38 / 58進(jìn)行數(shù)據(jù)傳輸所帶來的風(fēng)險(xiǎn)，必須嚴(yán)格控制其安全性。該系統(tǒng)包括 RealScure console、RealScure ageng(包括 work sensor 和 os sensor) 兩部分，其中 RealSecure ageng 可以從網(wǎng)絡(luò)和系統(tǒng)兩個(gè)層次實(shí)時(shí)檢測(cè)政策違規(guī)，不影響網(wǎng)絡(luò)性能，它分析各個(gè)數(shù)據(jù)包的內(nèi)容和上下文，決定流量是否未經(jīng)授權(quán)。通過兩者的配合，對(duì)一些危害網(wǎng)絡(luò)安全和信息安全的行為進(jìn)行阻擊，也可以作為對(duì)犯罪分子的犯罪證據(jù)，從法律角度對(duì)犯罪分子提出指控。以太網(wǎng)從本質(zhì)上基于廣播機(jī)制，但應(yīng)用了交換機(jī)和 VLAN 技術(shù)后，實(shí)際上轉(zhuǎn)變?yōu)辄c(diǎn)到點(diǎn)通訊，除非設(shè)置了監(jiān)聽口，信息交換也不會(huì)存在監(jiān)聽和插入（改變）問題。值得強(qiáng)調(diào)的是， P2DR 安全模型已被正式收錄進(jìn)人民銀行的安全藍(lán)皮書： 《 國家金融信息系統(tǒng)安全 》 總體綱要 三峽建行網(wǎng)絡(luò)系統(tǒng)總體安全體系 安全策略設(shè)計(jì) 安全策略描述原則 由于數(shù)據(jù)傳輸?shù)陌踩躁P(guān)系到我行的服務(wù)質(zhì)量和信譽(yù)保證，關(guān)系到客戶的切身利益，因此在制定安全策略時(shí)，要加強(qiáng)對(duì)數(shù)據(jù)傳輸?shù)南拗?，即只有表示為允許的才可以進(jìn)行傳輸這一原則來加強(qiáng)對(duì)網(wǎng)絡(luò)安全的限制。32 / 58第 6 章 網(wǎng)絡(luò)系統(tǒng)安全設(shè)計(jì)由于網(wǎng)絡(luò)的開放性和網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)安全本身已經(jīng)成為一個(gè)與時(shí)間和技術(shù)相關(guān)動(dòng)態(tài)的概念。網(wǎng)管系統(tǒng)的職責(zé):? 網(wǎng)絡(luò)監(jiān)控: 監(jiān)視網(wǎng)絡(luò)的運(yùn)行狀態(tài),控制網(wǎng)絡(luò)路由和流量,分析運(yùn)行記錄和報(bào)警信息? 性能控制:據(jù)網(wǎng)絡(luò)應(yīng)用狀態(tài),負(fù)荷狀態(tài),網(wǎng)絡(luò)利用率,合理調(diào)整網(wǎng)絡(luò)性能。這些業(yè)務(wù)的數(shù)據(jù)包大小比較固定，對(duì)數(shù)據(jù)傳輸?shù)难訒r(shí)要求比較高。 城域網(wǎng)設(shè)備備份在三峽建行中心交換機(jī) Catalyst 6509 上備份一塊 24 口 100M 多模光纖模塊，同時(shí)提供一臺(tái) Catalyst 1924C 交換機(jī)，作為城域網(wǎng)下一級(jí)節(jié)點(diǎn)的設(shè)備備份。 城域網(wǎng)改造后，網(wǎng)絡(luò)拓?fù)鋱D如下：23 / 58 城域網(wǎng)鏈路備份方案有兩種： 方案一是通過 ISDN 連接路由器的方式， 方案二是通過 10M 的無線以太網(wǎng)方式（方案見附件） 。 分布層：實(shí)現(xiàn)網(wǎng)絡(luò)統(tǒng)一策略的互聯(lián)層，訪問層向核心層的匯接點(diǎn)，三峽建行到各縣支行構(gòu)成的二級(jí)網(wǎng)絡(luò)即屬于網(wǎng)絡(luò)分布層。３、可監(jiān)控到來自網(wǎng)絡(luò)內(nèi)部和外部的“黑客”入侵。三峽建行網(wǎng)絡(luò)改造作為整個(gè)建行網(wǎng)絡(luò)改造工作的一個(gè)組成部分，成功的網(wǎng)絡(luò)改造將使三峽建行能夠在較長(zhǎng)時(shí)間里在當(dāng)?shù)赝瑯I(yè)的競(jìng)爭(zhēng)中繼續(xù)保持科技優(yōu)勢(shì)，從而推動(dòng)各項(xiàng)業(yè)務(wù)的快速發(fā)展。 三峽建行網(wǎng)絡(luò)存在主要問題 三峽建行城域網(wǎng)存在的問題●　根據(jù)總行網(wǎng)絡(luò)改造要求，三峽建行主交換機(jī)需要兩臺(tái)，并要求支持第三層交換，而三峽建行現(xiàn)有的主交換機(jī) Catalyst 5505 沒有第三層交換模塊，另一臺(tái)主交換機(jī)的備份 Catalyst 5000，無論從交換能力還有模塊配置均無法滿足網(wǎng)絡(luò)改造的要求。營業(yè)網(wǎng)拓?fù)溥B接如下圖:10 / 58 外連網(wǎng)應(yīng)用現(xiàn)狀三峽建行充分利用三峽建行網(wǎng)絡(luò)優(yōu)勢(shì)，積極開拓業(yè)務(wù)領(lǐng)域，先后與電信、證券、人行、社保局等多家實(shí)現(xiàn)了網(wǎng)絡(luò)互連互通，通常我們是采用路由器+前置機(jī)的方式，使外連網(wǎng)與城綜網(wǎng)隔離，即每個(gè)外連系統(tǒng)都獨(dú)自采用一臺(tái)路由器和一臺(tái)前置機(jī)，路由器配置靜態(tài)路由和相應(yīng)的訪問控制，前置機(jī)屏蔽所有無關(guān)的服務(wù)。路由器應(yīng)用見表一：設(shè)備 端口 線路 速率 說明Cisco 7206A Port 1 64K 至各縣支行清算Cisco 7206BPort18 DDN 銀企互聯(lián)、戊地電信代收費(fèi)Cisco 3640A Port196 DDN 城綜網(wǎng)前臺(tái)網(wǎng)點(diǎn)Cisco 3640B Port164 DDN 城綜網(wǎng)前臺(tái)網(wǎng)點(diǎn)Cisco 2501A Port 1 人行同城清算Cisco 2501B Port 1 DDN 64K 移動(dòng)通信代收Cisco 2501C Port 1 DDN 64K 社保Cisco 2501D Port 1 DDN 64K 銀企互聯(lián)Cisco 2501E Port 1 DDN 2M 支付網(wǎng)關(guān)與 Inter 接入Cisco 2501F Port 1 人行貸款資料查詢Port 19 64K 總行清算Motorola MP6520 Port 20 PSTN 19．2K 總行清算備份Motorola MP6520 Port 19 64K 部分縣支行清算Motorola MP6560 Port 19 DDN/FR 64K 總行企業(yè)網(wǎng)三峽建行 318 機(jī)房是三峽建行辦公大樓結(jié)構(gòu)化布線所有信息點(diǎn)的集合地，318 機(jī)房的 1924 從中心機(jī)房的 Catalyst 5505 得到 VLAN 信息，通過對(duì)其端口劃6 / 58分不同的 VLAN，三峽建行大樓中各個(gè)不同的網(wǎng)絡(luò)系統(tǒng)實(shí)現(xiàn)了與中心機(jī)房的通信。目前，三峽建行網(wǎng)絡(luò)中心機(jī)房共配有 13 臺(tái)路由器分別接入局域網(wǎng)中各個(gè)VLAN。另外隨著新業(yè)務(wù)的開展，前臺(tái)網(wǎng)點(diǎn)還往往下聯(lián)一些特定業(yè)務(wù)的前置設(shè)備（例如金融查詢機(jī)和個(gè)貸前置機(jī)） ，這些設(shè)備地址也沒有統(tǒng)一的規(guī)定。三峽建行在業(yè)務(wù)管理中成功引進(jìn)了 BMC 管理系統(tǒng)，在對(duì) BMC 的移植過程中，三峽建行科技人員開發(fā)設(shè)計(jì)了對(duì)前臺(tái)網(wǎng)點(diǎn)實(shí)時(shí)監(jiān)控程序，目前這項(xiàng)工作正在實(shí)驗(yàn)推廣過程中。15 / 58第 2 章 網(wǎng)絡(luò)改造的需求規(guī)定 總體目標(biāo)總行骨干網(wǎng)改造是 A 總行為了適應(yīng)新形勢(shì)下銀行激烈競(jìng)爭(zhēng)，提高 A 銀行核心競(jìng)爭(zhēng)力的一項(xiàng)具有戰(zhàn)略意義的舉措。２、能夠使安全管理員了解計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的整體安全狀況。鑒于三峽建行的特殊性，我們將網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)為如下層次： 城域網(wǎng)：城域網(wǎng)實(shí)現(xiàn)建行同城網(wǎng)絡(luò)的連接，包括中心機(jī)房到丁機(jī)房、甲路機(jī)房的連接。 戊和己支行需鋪架光纖，接入三峽建行城域網(wǎng)，己支行需增加一臺(tái) Catalyst 2924 交換機(jī)。提供一臺(tái) CISCO 3662交換機(jī)，配置同異步模塊，作為中心路由器的設(shè)備備份。 這些業(yè)務(wù)是我行最重要的業(yè)務(wù)，應(yīng)優(yōu)先得到保障。 網(wǎng)管系統(tǒng)功能及其職責(zé)為了保障網(wǎng)絡(luò)運(yùn)行的品質(zhì)，維持網(wǎng)絡(luò)傳送頻率，降低傳送錯(cuò)誤率，確保網(wǎng)絡(luò)安全等，網(wǎng)絡(luò)系統(tǒng)技術(shù)人員借助網(wǎng)絡(luò)管理工具或本身的技術(shù)經(jīng)驗(yàn)實(shí)施網(wǎng)絡(luò)管理，職責(zé)內(nèi)容可分為下列八大類。自主網(wǎng)絡(luò)監(jiān)控軟件的開發(fā)由于 cisco 網(wǎng)管軟件的專用性，無法有效監(jiān)控到非 Cisco 設(shè)備，更不能監(jiān)控到大部分采用串口協(xié)議的網(wǎng)點(diǎn)，為了能夠監(jiān)控到所有網(wǎng)點(diǎn)，需要對(duì)相關(guān)軟件做大量的客戶化開發(fā)工作?？傊?，一個(gè)信息安全方案必須對(duì)安全策略、安全防護(hù)、安全檢測(cè)和安全響應(yīng)有準(zhǔn)確和完整的描述。因此，網(wǎng)管系統(tǒng)有能力限制局域網(wǎng)通訊的范圍而無需通過開銷很大的路由器。故在各個(gè)業(yè)務(wù)系統(tǒng)核心數(shù)據(jù)服務(wù)器網(wǎng)絡(luò)入口處，配置 ISS 的 realsecure work sensor 對(duì)外來與本業(yè)務(wù)系統(tǒng)核心數(shù)據(jù)服務(wù)器連接的所有通信流量進(jìn)行安全監(jiān)控，同時(shí)在核心業(yè)務(wù)主機(jī)中配置 realsecure OS sensor 從系統(tǒng)層面中對(duì)系統(tǒng)攻擊事件進(jìn)行安全監(jiān)控。在 DMZ 區(qū)、連接外連網(wǎng)的網(wǎng)段，配置了 ISS 入侵監(jiān)測(cè)系統(tǒng)實(shí)時(shí)監(jiān)視網(wǎng)絡(luò)的非法入侵行為。對(duì)于內(nèi)部廣域網(wǎng)采用撥號(hào)備份時(shí)可以使用回?fù)艽_認(rèn)等方式來防止非法訪問。因此，VLAN 的劃分最好基于交換機(jī)。更正動(dòng)作很容易獲得并迅速實(shí)現(xiàn)。Protection（保護(hù)） 保護(hù)通常是通過采用一些傳統(tǒng)的靜態(tài)安全技術(shù)及方法33 / 58來實(shí)現(xiàn)的， 主要有防火墻、加密、認(rèn)證等方法 。? 計(jì)費(fèi)管理：了解網(wǎng)絡(luò)使用時(shí)間，能針對(duì)各個(gè)局部網(wǎng)絡(luò)做使用量統(tǒng)計(jì)。要保證以上數(shù)據(jù)的網(wǎng)絡(luò)服務(wù)質(zhì)量，需要采用策略路由實(shí)現(xiàn)根據(jù)不同的業(yè)務(wù)數(shù)據(jù)種類選擇不同鏈路傳輸，并在每條線路上采用帶寬分配、優(yōu)先級(jí)控制等 QOS 控制技術(shù)保證各類應(yīng)用數(shù)據(jù)的有效傳輸。目前在大型網(wǎng)絡(luò)中最常見的路由協(xié)議是 OSPF 和 EIGRP。 廣域網(wǎng)接入層改造 接入層網(wǎng)絡(luò)主要是指三峽建行到網(wǎng)點(diǎn)的網(wǎng)絡(luò)連接。同時(shí)，Catalyst 6509 配置一個(gè) 48 口 10M/100M 模塊分別提供與網(wǎng)管工作站、路由器等的連接。選用先進(jìn)的網(wǎng)絡(luò)管理平臺(tái)，具有對(duì)設(shè)備、端口等的管理、流量統(tǒng)計(jì)分析，及可提供故障自動(dòng)報(bào)警。２、為三峽建行城域網(wǎng)提供必要的鏈路備份措施。 管理網(wǎng)（企業(yè)網(wǎng)）存在的問題●　管理網(wǎng)（企業(yè)網(wǎng)）所有非以太網(wǎng)連接的用戶接入帶寬嚴(yán)重不足。 ● 應(yīng)用系統(tǒng)安全隱患各種應(yīng)用缺乏統(tǒng)一的規(guī)劃，未能充分考慮網(wǎng)絡(luò)上的安全要求，導(dǎo)致三峽建行中心機(jī)房的業(yè)務(wù)運(yùn)行網(wǎng)段上與外連的應(yīng)用網(wǎng)段之間缺乏必要的安全屏蔽。此外以城市綜合網(wǎng)為基礎(chǔ)，我行獨(dú)立開發(fā)了多種新業(yè)務(wù)，實(shí)現(xiàn)了與證券、電信、人行等外單位的網(wǎng)絡(luò)互連，連接線路一般為 DDN，通信速率 960064K 都是采用路由器連接的方式。1 / 58三峽建行網(wǎng)絡(luò)改造