【正文】 墻，利用防火墻的數(shù)據(jù)包過濾、地址隱藏以及 VPN 功能保證外部的非法訪問無法進(jìn)入建行內(nèi)部網(wǎng)。一方面，實現(xiàn)對撥號用戶帳號的統(tǒng)一管理；另一方面，在身份驗證過程中采用加密的手段，避免用戶口令泄露的可能性。VLAN 的劃分方式的目的是保證系統(tǒng)的安全性。最后，對安全威脅的網(wǎng)絡(luò)自動更正包括主動中斷連接和網(wǎng)絡(luò)設(shè)備的重新配置。Detection（檢測） 在 P2DR 模型，檢測是非常重要的一個環(huán)節(jié)，檢測是動態(tài)響應(yīng)的依據(jù)，它也是強(qiáng)制落實安全策略的有力工具，通過不斷地檢測和監(jiān)控網(wǎng)絡(luò)和系統(tǒng)，來發(fā)現(xiàn)新的威脅和弱點，通過循環(huán)反饋來及時作出有效的響應(yīng)。網(wǎng)絡(luò)管理員能夠借助網(wǎng)管軟件，對網(wǎng)絡(luò)上的任何資源和進(jìn)程調(diào)用?！?接入速率控制(CAR) CommittedAccessRate(● IP 優(yōu)先級控制● 隊列機(jī)制(WeightedFairQueuing)● 先期擁塞控制(WRED)● 標(biāo)記交換(MPLS)● 語音數(shù)據(jù)優(yōu)先 在三峽建行在此次網(wǎng)絡(luò)改造中將廣泛采用上述技術(shù)保證網(wǎng)絡(luò)通暢，特別是營業(yè)數(shù)據(jù)的正常傳輸。由于我們?yōu)榱顺浞掷迷芯W(wǎng)絡(luò)設(shè)備（其中很大一部分是非 Cisco 的）無法選23 / 51擇 EIGRP，且在最新內(nèi)部路由的設(shè)計中，OSPF 的性能在流量整形方面遠(yuǎn)超于Eigrp。 節(jié)點確定原則：該節(jié)點就近有多條營業(yè)網(wǎng)的廣域網(wǎng)的接入。將原有 Catalyst 5000 交換機(jī)從網(wǎng)絡(luò)中心下移到江閣大樓，同時增加兩個千兆模塊，分別以 1000Mbps 速率同 Catalyst 6509 和 Catalyst 5505 相連。根據(jù)未來業(yè)務(wù)的增長和變化，網(wǎng)絡(luò)可以平滑地擴(kuò)充和升級，減少對網(wǎng)絡(luò)架構(gòu)和現(xiàn)有設(shè)備的調(diào)整?？紤]對伍支行、東辦等城區(qū)支行以及各縣支行等綜合性的網(wǎng)點的企業(yè)網(wǎng)、城綜網(wǎng)線路合并，接入帶寬提高到 64K，通過路由器連接到三峽建行；對于業(yè)務(wù)量大或線路集中的網(wǎng)點也考慮使用路由器，并提高接入速率到64K；其他網(wǎng)點提速后仍使用目前的串口協(xié)議連入三峽建行中心網(wǎng)絡(luò)，將 SLIP改為 PPP； 前臺網(wǎng)點的廣域網(wǎng)采用的 PSTN 撥號備份實現(xiàn)后臺無人干預(yù)。●　管理網(wǎng)（企業(yè)網(wǎng)）廣域網(wǎng)中使用的 Motorola 路由器故障率高，端口損壞嚴(yán)重，維修困難。如：與外界相連應(yīng)用系統(tǒng)沒有按照總行要求的安全連接模式連接，前置機(jī)可能存在未屏蔽非必要的通訊端口，可能存在多余的路由表等等。8 / 51 網(wǎng)絡(luò)應(yīng)用現(xiàn)狀根據(jù)三峽建行對網(wǎng)絡(luò)業(yè)務(wù)的劃分，可以將三峽建行網(wǎng)絡(luò)業(yè)務(wù)劃分為：核心業(yè)務(wù)和外連業(yè)務(wù)。以計算機(jī)網(wǎng)絡(luò)為支撐平臺，我行的各類業(yè)務(wù)應(yīng)用系統(tǒng)不斷推陳出新，開拓了多項新的業(yè)務(wù)，為我行的業(yè)務(wù)快速發(fā)展發(fā)揮了巨大的作用。網(wǎng)絡(luò)設(shè)備以 CISCO、MOTOROLA 為主。一些系統(tǒng)缺乏備份鏈路和備份設(shè)備，一旦出現(xiàn)故障，勢必影響業(yè)務(wù)的正常開展?！瘛∫恍┚W(wǎng)點還外掛諸如查詢機(jī)、個貸前置機(jī)等，網(wǎng)絡(luò)連接結(jié)構(gòu)凌亂，通信質(zhì)量無法得到保證。 三峽建行城域網(wǎng)１、進(jìn)一步擴(kuò)展城域網(wǎng)的連接范圍，將丙辦的光纖延伸到己支行機(jī)關(guān)，架設(shè)到戊支行機(jī)關(guān)的光纖，使庚、戊這兩個城區(qū)主要支行接入三峽建行城域網(wǎng)，減少通14 / 51信費用?！?實用性網(wǎng)絡(luò)改造方案設(shè)計實施應(yīng)充分考慮實際需求和費用，追求高的性效比● 安全性制訂統(tǒng)一的網(wǎng)絡(luò)安全策略，整體考慮網(wǎng)絡(luò)平臺的安全性 ● 集中管理對網(wǎng)絡(luò)實行集中監(jiān)測、 ，并統(tǒng)一分配帶寬資源。每臺 Catalyst 6509 配置兩塊帶有 PFC 子卡和 MSFC 子卡的超級引擎，互為備份，其中 PFC 子卡主要用于擴(kuò)充Qos 能力，可以實現(xiàn)基于應(yīng)用（TCP/UDP 應(yīng)用端口號）的服務(wù)質(zhì)量控制，而MSFC 子卡主要是取代原來的路由模塊 MSM 實現(xiàn)線速三層交換，并且進(jìn)行了很大的擴(kuò)充，數(shù)據(jù)包吞吐率從原來的 6Mpps 擴(kuò)充到 15Mpps。初步確定有 b、c、d、 e、f、g、h、 i 各縣支行以及城區(qū)、國際業(yè)務(wù)部。在大型網(wǎng)絡(luò)中，靜態(tài)路由和某些動態(tài)路由如 RIP、IGRP 由于其固有的局限性(擴(kuò)展性差、不支持 VLSM)，不適合在網(wǎng)絡(luò)節(jié)點多、規(guī)模大的網(wǎng)絡(luò)中使用。同時將要實施的語音等新應(yīng)用對網(wǎng)絡(luò)提出了新的服務(wù)質(zhì)量的要求。? 運行管理: 制定網(wǎng)絡(luò)運行的技術(shù)標(biāo)準(zhǔn),可靠性, 安全性方案和運行制度。Policy(安全策略)安全策略是 P2DR 安全模型的核心，要想實施動態(tài)網(wǎng)絡(luò)安全模型，必須首先制定企業(yè)的安全策略，所有的防護(hù)、檢測、響應(yīng)都是依據(jù)安全策略實施的，企業(yè)安全策略為安全管理提供管理方向和支持手段。第一，端對端的網(wǎng)絡(luò)安全要求持續(xù)的、綜合的安全評估，通過自動的基于網(wǎng)絡(luò)的和基于主機(jī)的掃描技術(shù)實現(xiàn)；第二，對安全弱點的響應(yīng)通過已建立的安全策略中相關(guān)的安全漏洞來衡量。采用基于 MAC 的 VLAN劃分將面臨假冒 MAC 地址的攻擊。對于從外部撥號訪問三峽建行內(nèi)部局域網(wǎng)的用戶，由于使用公用電話網(wǎng)進(jìn)行數(shù)據(jù)傳輸所帶來的風(fēng)險，必須嚴(yán)格控制其安全性。該系統(tǒng)包括 RealScure console、RealScure ageng(包括 work sensor和 os sensor) 兩部分，其中 RealSecure ageng 可以從網(wǎng)絡(luò)和系統(tǒng)兩個層次實時檢測政策違規(guī)，不影響網(wǎng)絡(luò)性能，它分析各個數(shù)據(jù)包的內(nèi)容和上下文，決定流量是否未經(jīng)授權(quán)。通過兩者的配合，對一些危害網(wǎng)絡(luò)安全和信息安全的行為進(jìn)行阻擊，也可以作為對犯罪分子的犯罪證據(jù)，從法律角度對犯罪分子提出指控。以太網(wǎng)從本質(zhì)上基于31 / 51廣播機(jī)制，但應(yīng)用了交換機(jī)和 VLAN 技術(shù)后，實際上轉(zhuǎn)變?yōu)辄c到點通訊，除非設(shè)置了監(jiān)聽口，信息交換也不會存在監(jiān)聽和插入（改變）問題。值得強(qiáng)調(diào)的是， P2DR 安全模型已被正式收錄進(jìn)人民銀行的安全藍(lán)皮書： 《 國家金融信息系統(tǒng)安全 》 總體綱要 三峽建行網(wǎng)絡(luò)系統(tǒng)總體安全體系 安全策略設(shè)計 安全策略描述原則 由于數(shù)據(jù)傳輸?shù)陌踩躁P(guān)系到我行的服務(wù)質(zhì)量和信譽保證，關(guān)系到客戶的切身利益，因此在制定安全策略時，要加強(qiáng)對數(shù)據(jù)傳輸?shù)南拗?，即只有表示為允許的才可以進(jìn)行傳輸這一原則來加強(qiáng)對網(wǎng)絡(luò)安全的限制。27 / 51第 6 章 網(wǎng)絡(luò)系統(tǒng)安全 設(shè)計由于網(wǎng)絡(luò)的開放性和網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)安全本身已經(jīng)成為一個與時間和技術(shù)相關(guān)動態(tài)的概念。網(wǎng)管系統(tǒng)的職責(zé):? 網(wǎng)絡(luò)監(jiān)控: 監(jiān)視網(wǎng)絡(luò)的運行狀態(tài),控制網(wǎng)絡(luò)路由和流量,分析運行記錄和報警信息? 性能控制:據(jù)網(wǎng)絡(luò)應(yīng)用狀態(tài),負(fù)荷狀態(tài),網(wǎng)絡(luò)利用率,合理調(diào)整網(wǎng)絡(luò)性能。這些業(yè)務(wù)的數(shù)據(jù)包大小比較固定，對數(shù)據(jù)傳輸?shù)难訒r要求比較高。 城域網(wǎng)設(shè)備備份在三峽建行中心交換機(jī) Catalyst 6509 上備份一塊 24 口 100M 多模光纖模塊，22 / 51同時提供一臺 Catalyst 1924C 交換機(jī)，作為城域網(wǎng)下一級節(jié)點的設(shè)備備份。 城域網(wǎng)改造后，網(wǎng)絡(luò)拓?fù)鋱D如下： 城域網(wǎng)鏈路備份方案有兩種： 方案一是通過 ISDN 連接路由器的方式，20 / 51 方案二是通過 10M 的無線以太網(wǎng)方式（方案見附件） 。 分布層：實現(xiàn)網(wǎng)絡(luò)統(tǒng)一策略的互聯(lián)層，訪問層向核心層的匯接點，三峽建行到各縣支行構(gòu)成的二級網(wǎng)絡(luò)即屬于網(wǎng)絡(luò)分布層。３、可監(jiān)控到來自網(wǎng)絡(luò)內(nèi)部和外部的“黑客”入侵。三峽建行網(wǎng)絡(luò)改造作為整個建行網(wǎng)絡(luò)改造工作的一個組成部分，成功的網(wǎng)絡(luò)改造將使三峽建行能夠在較長時間里在當(dāng)?shù)赝瑯I(yè)的競爭中繼續(xù)保持科技優(yōu)勢，從而推動各項業(yè)務(wù)的快速發(fā)展。 三峽建行網(wǎng)絡(luò)存在主要問題 三峽建行城域網(wǎng)存在的問題●　根據(jù)總行網(wǎng)絡(luò)改造要求，三峽建行主交換機(jī)需要兩臺，并要求支持第三層交換，而三峽建行現(xiàn)有的主交換機(jī) Catalyst 5505 沒有第三層交換模塊，另一臺主交換機(jī)的備份 Catalyst 5000，無論從交換能力還有模塊配置均無法滿足網(wǎng)絡(luò)改造的要求。營業(yè)網(wǎng)拓?fù)溥B接如下圖: 外連網(wǎng)應(yīng)用現(xiàn)狀三峽建行充分利用三峽建行網(wǎng)絡(luò)優(yōu)勢，積極開拓業(yè)務(wù)領(lǐng)域，先后與電信、證券、人行、社保局等多家實現(xiàn)了網(wǎng)絡(luò)互連互通，通常我們是采用路由器+前置機(jī)的方式，使外連網(wǎng)與城綜網(wǎng)隔離，即每個外連系統(tǒng)都獨自采用一臺路由器和一臺前置機(jī)，路由器配置靜態(tài)路由和相應(yīng)的訪問控制，前置機(jī)屏蔽所有無關(guān)的服務(wù)。路由器應(yīng)用見表一：設(shè)備 端口 線路 速率 說明5 / 51Cisco 7206A Port 1 64K 至各縣支行清算Cisco 7206BPort18 DDN 銀企互聯(lián)、戊地電信代收費Cisco 3640A Port196 DDN 城綜網(wǎng)前臺網(wǎng)點Cisco 3640B Port164 DDN 城綜網(wǎng)前臺網(wǎng)點Cisco 2501A Port 1 人行同城清算Cisco 2501B Port 1 DDN 64K 移動通信代收Cisco 2501C Port 1 DDN 64K 社保Cisco 2501D Port 1 DDN 64K 銀企互聯(lián)Cisco 2501E Port 1 DDN 2M 支付網(wǎng)關(guān)與 Inter 接入Cisco 2501F Port 1 人行貸款資料查詢Port 19 64K 總行清算Motorola MP6520 Port 20 PSTN 19．2K 總行清算備份Motorola MP6520 Port 19 64K 部分縣支行清算Motorola MP6560 Port 19 DDN/FR 64K 總行企業(yè)網(wǎng)三峽建行 318 機(jī)房是三峽建行辦公大樓結(jié)構(gòu)化布線所有信息點的集合地，318 機(jī)房的 1924 從中心機(jī)房的 Catalyst 5505 得到 VLAN 信息，通過對其端口劃分不同的 VLAN，三峽建行大樓中各個不同的網(wǎng)絡(luò)系統(tǒng)實現(xiàn)了與中心機(jī)房的通信。目前，三峽建行網(wǎng)絡(luò)中心機(jī)房共配有 13 臺路由器分別接入局域網(wǎng)中各個VLAN。另外隨著新業(yè)務(wù)的開展，前臺網(wǎng)點還往往下聯(lián)一些特定業(yè)務(wù)的前置設(shè)備（例如金融查詢機(jī)和個貸前置機(jī)） ，這些設(shè)備地址也沒有統(tǒng)一的規(guī)定。三峽建行在業(yè)務(wù)管理中成功引進(jìn)了 BMC 管理系統(tǒng)，在對 BMC 的移植過程中，三峽建行科技人員開發(fā)設(shè)計了對前臺網(wǎng)點實時監(jiān)控程序，目前這項工作正在實驗推廣過程中。13 / 51第 2 章 網(wǎng)絡(luò)改造的 需求規(guī)定 總體目標(biāo)總行骨干網(wǎng)改造是 A 總行為了適應(yīng)新形勢下銀行激烈競爭，提高 A 銀行核心競爭力的一項具有戰(zhàn)略意義的舉措。２、能夠使安全管理員了解計算機(jī)網(wǎng)絡(luò)系統(tǒng)的整體安全狀況。鑒于三峽建行的特殊性，我們將網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計為如下層次： 城域網(wǎng)：城域網(wǎng)實現(xiàn)建行同城網(wǎng)絡(luò)的連接，包括中心機(jī)房到丁機(jī)房、甲路機(jī)房的連接。 戊和己支行需鋪架光纖，接入三峽建行城域網(wǎng)，己支行需增加一臺 Catalyst 2924 交換機(jī)。提供一臺 CISCO 3662交換機(jī)，配置同異步模塊，作為中心路由器的設(shè)備備份。 這些業(yè)務(wù)是我行最重要的業(yè)務(wù)，應(yīng)優(yōu)先得到保障。 網(wǎng)管系統(tǒng)功能及其職責(zé)為了保障網(wǎng)絡(luò)運行的品質(zhì)，維持網(wǎng)絡(luò)傳送頻率，降低傳送錯誤率，確保網(wǎng)絡(luò)安全等，網(wǎng)絡(luò)系統(tǒng)技術(shù)人員借助網(wǎng)絡(luò)管理工具或本身的技術(shù)經(jīng)驗實施網(wǎng)絡(luò)管理，職責(zé)內(nèi)容可分為下列八大類。自主網(wǎng)絡(luò)監(jiān)控軟件的開發(fā)由于 cisco 網(wǎng)管軟件的專用性，無法有效監(jiān)控到非 Cisco 設(shè)備，更不能監(jiān)控到大部分采用串口協(xié)議的網(wǎng)點，為了能夠監(jiān)控到所有網(wǎng)點，需要對相關(guān)軟件做大量的客戶化開發(fā)工作。總之，一個信息安全方案必須對安全策略、安全防護(hù)、安全檢測和安全響應(yīng)有準(zhǔn)確和完整的描述。因此，網(wǎng)管系統(tǒng)有能力限制局域網(wǎng)通訊的范圍而無需通過開銷很大的路由器。32 / 51故在各個業(yè)務(wù)系統(tǒng)核心數(shù)據(jù)服務(wù)器網(wǎng)絡(luò)入口處，配置 ISS 的 realsecure work sensor 對外來與本業(yè)務(wù)系統(tǒng)核心數(shù)據(jù)服務(wù)器連接的所有通信流量進(jìn)行安全監(jiān)控，同時在核心業(yè)務(wù)主機(jī)中配置 realsecure OS sensor 從系統(tǒng)層面中對系統(tǒng)攻擊事件進(jìn)行安全監(jiān)控。在 DMZ 區(qū)、連接外連網(wǎng)的網(wǎng)段，配置了 ISS 入侵監(jiān)測系統(tǒng)實時監(jiān)視網(wǎng)絡(luò)的非法入侵行為。對于內(nèi)部廣域網(wǎng)采用撥號備份時可以使用回?fù)艽_認(rèn)等方式來防止非法訪問。因此，VLAN 的劃分最好基于交換機(jī)。更正動作很容易獲得并迅速實現(xiàn)。Protection（保護(hù)） 保護(hù)通常是通過采用一些傳統(tǒng)的靜態(tài)安全技術(shù)及方法來實現(xiàn)的， 主要有防火墻、加密、認(rèn)證等方法 。? 計費管理：了解網(wǎng)絡(luò)使用時間，能針對各個局部網(wǎng)絡(luò)做使用量統(tǒng)計。要保證以上數(shù)據(jù)的網(wǎng)絡(luò)服務(wù)質(zhì)量，需要采用策略路由實現(xiàn)根24 / 51據(jù)不同的業(yè)務(wù)數(shù)據(jù)種類選擇不同鏈路傳輸，并在每條線路上采用帶寬分配、優(yōu)先級控制等 QOS 控制技術(shù)保證各類應(yīng)用數(shù)據(jù)的有效傳輸。目前在大型網(wǎng)絡(luò)中最常見的路由協(xié)議是 OSPF 和 EIGRP。 廣域網(wǎng)接入層改造 接入層網(wǎng)絡(luò)主要是指三峽建行到網(wǎng)點的網(wǎng)絡(luò)連接。同時，Catalyst 6509 配置一個 48 口 10M/100M 模塊分別提供與網(wǎng)管工作站、路由器等的連接。選用先進(jìn)的網(wǎng)絡(luò)管理平臺，具有對設(shè)備、端口等的管理、流量統(tǒng)計分析，及可提供故障自動報警。２、為三峽建行城域網(wǎng)提供必要的鏈路備份措施。 管理網(wǎng)（企業(yè)網(wǎng)）存在的問題●　管理網(wǎng)（企業(yè)網(wǎng)）所有非以太網(wǎng)連接的用戶接入帶寬嚴(yán)重不足。10 / 51 ● 應(yīng)用系統(tǒng)安全隱患各種應(yīng)用缺乏統(tǒng)一的規(guī)劃，未能充分考慮網(wǎng)絡(luò)上的安全要求，導(dǎo)致三峽建行中心機(jī)房的業(yè)務(wù)運行網(wǎng)段上與外連的應(yīng)用網(wǎng)段之間缺乏必要的安全屏蔽。此外以城市綜合網(wǎng)為基礎(chǔ)，我行獨立開發(fā)了多種新業(yè)務(wù)，實現(xiàn)了與證券、電信、人行等外單位的網(wǎng)絡(luò)互連，連接線路一般為 DDN，通信速率 960064K 都是采用路由器連接的方式。三峽建行網(wǎng)絡(luò)改造總體設(shè)計方案書