【正文】 服務(wù)器和數(shù)據(jù)備份服務(wù)器通過HACMP群集技術(shù)構(gòu)成一個雙機(jī)互備系統(tǒng)，劃分在VLAN18中；測試服務(wù)器和事后監(jiān)督服務(wù)器通過HACMP群集技術(shù)構(gòu)成一個雙機(jī)互備系統(tǒng)，劃分在VLAN22中；金融平臺服務(wù)器通過HACMP群集技術(shù)構(gòu)成一個雙機(jī)互備系統(tǒng)，劃分在VLAN6 中；后臺維護(hù)服務(wù)器劃分在VLAN7中；網(wǎng)絡(luò)管理服務(wù)器劃分在VLAN5中。 網(wǎng)絡(luò)一級中心防火墻設(shè)計網(wǎng)絡(luò)一級中心采用虛擬防火墻與獨立防火墻技術(shù)，即在中心核心交換設(shè)備上根據(jù)安全分區(qū)的定義配置 6 個虛擬防火墻以及 2 個獨立防火墻。通過防火墻來保護(hù)整個核心網(wǎng)絡(luò)的安全，防止非法連接，實現(xiàn)以下功能：（1）實現(xiàn)數(shù)據(jù)中心的安全策略防火墻的主要意圖是強(qiáng)制執(zhí)行我們需要的安全策略。對整個網(wǎng)絡(luò)的訪問進(jìn)行有效的控制。首先限制所有的訪問[44]，然后，再開啟需要的訪問。安全訪問控制主要是在三層的 IP 地址進(jìn)行訪問控制和四層 TCP 上的端口進(jìn)行訪問控制。（2）創(chuàng)建一個阻塞點（設(shè)置網(wǎng)絡(luò)邊界）防火墻在中心的各個區(qū)域之間各建立一個阻塞點，要求所有的流量都要通過阻塞點，防火墻設(shè)備就可以監(jiān)視，過濾和檢查所有進(jìn)來和出去的流量。通過強(qiáng)制所有進(jìn)出流量都通過這些阻塞點，就可以對進(jìn)入核心交換區(qū)域的流量進(jìn)行有效的控制，阻擊一些非法的網(wǎng)絡(luò)攻擊，從而保證核心交換區(qū)域的安全性。（3）記錄外部網(wǎng)絡(luò)活動防火墻進(jìn)行強(qiáng)制日志記錄，開啟警報功能。通過在防火墻上實現(xiàn)日志服務(wù)，從而就可以監(jiān)視所有從外部網(wǎng)對核心網(wǎng)絡(luò)的訪問。優(yōu)秀日志策略是保證適當(dāng)數(shù)據(jù)中心網(wǎng)絡(luò)安全的有效工具之一。（4）限制網(wǎng)絡(luò)暴露防火墻網(wǎng)絡(luò)周圍創(chuàng)建了一個保護(hù)的邊界。通過 NAT 技術(shù)對于外部網(wǎng)隱藏了核心網(wǎng)絡(luò)系統(tǒng)的重要信息增強(qiáng)保密性。當(dāng)遠(yuǎn)程節(jié)點偵測網(wǎng)絡(luò)時，僅僅能看到防火墻。遠(yuǎn)程設(shè)備將不會知道核心網(wǎng)絡(luò)的布局以及 IP 地址等這些重要的信息。通過對所能進(jìn)來的流量時行源檢查，以限制從外部發(fā)動的攻擊。（5）VPN 接入防火墻為來之外部網(wǎng)絡(luò)的用戶提供安全的 L2TP VPN 和 IPSec VPN 接入。同時使用 ACS 做用戶名和密碼的驗證服務(wù)器，更加保證了 VPN 接入的安全性。 網(wǎng)絡(luò)一級中心防火墻設(shè)計圖在上述所設(shè)計的防火墻策略中，主要做以下幾點考慮：定義每個防火墻中各個區(qū)域的安全級別，在Cisco 防火墻中，安全級別的定義是從0到100，其中0的安全級別最低，100的安全級別最高。安全級別值高的分區(qū)才能訪問安全級別值低的分區(qū)，反之，安全級別值低的分區(qū)是不能訪問安全級別值高的分區(qū)。（1）根據(jù)不同的虛擬防火墻定義各個安全分區(qū)級別的高低一是生產(chǎn)虛擬防火墻。生產(chǎn)虛擬防火墻涉及的安全分區(qū)安全級別定義如表 所示: 生產(chǎn)分區(qū)安全級別定義表區(qū)域名稱安全級別值DB 數(shù)據(jù)庫100AP 應(yīng)用服務(wù)器90M85 大前置80MIS 服務(wù)器70測試服務(wù)器60外聯(lián)區(qū)0各個服務(wù)器間根據(jù)以下規(guī)則過濾數(shù)據(jù)包：DB 數(shù)據(jù)庫服務(wù)器—最為核心的數(shù)據(jù)區(qū)域，這個區(qū)域僅允許 AP 應(yīng)用服務(wù)器的直接訪問；AP 應(yīng)用服務(wù)器—最為核心的應(yīng)用提供區(qū)域，為所有其它區(qū)域到數(shù)據(jù)庫的訪問提供接口和橋梁，所有到數(shù)據(jù)庫的訪問都必須先提交給 AP 應(yīng)用服務(wù)器；M85 大前置服務(wù)器—所有業(yè)務(wù)渠道的整合平臺，接受來自于各個網(wǎng)點和中間業(yè)務(wù)系統(tǒng)的交易請求，將交易請求轉(zhuǎn)發(fā)給 AP 應(yīng)用服務(wù)器進(jìn)行處理；MIS 服務(wù)器—用于生成報表等管理信息，MIS 服務(wù)器的數(shù)據(jù)庫可能直接核心數(shù)據(jù)庫交互，取得原始數(shù)據(jù)，也可能通過 AP 應(yīng)用服務(wù)器取得相關(guān)數(shù)據(jù)，形成報表等管理信息，供管理層參考；測試服務(wù)器—用于進(jìn)行新業(yè)務(wù)的測試，需要訪問 M85 大前置服務(wù)器。外聯(lián)區(qū)（外聯(lián)合作伙伴）—用于連接核心交換機(jī)的多層交換引擎，實現(xiàn)外網(wǎng)與各個被保護(hù)網(wǎng)段之間的通信[45]。二是運行管理虛擬防火墻。運行管理虛擬防火墻涉及的安全分區(qū)安全級別定義如表 。 運行管理分區(qū)安全級別定義表區(qū)域名稱安全級別值DB 數(shù)據(jù)庫服務(wù)器100AP 應(yīng)用服務(wù)器100M85 大前置100MIS 服務(wù)器100測試服務(wù)器100OA 服務(wù)器100開發(fā)主機(jī)100運行管理主機(jī)75外聯(lián)區(qū)0各個服務(wù)器間根據(jù)以下規(guī)則過濾數(shù)據(jù)包：運行管理虛擬防火墻實現(xiàn)了對所有管理流量的安全設(shè)定。因為管理流量必須能夠到達(dá)所有的安全區(qū)域，對相應(yīng)安全區(qū)域內(nèi)的主機(jī)、應(yīng)用和網(wǎng)絡(luò)設(shè)備實施管理。如果不能實現(xiàn)管理流量的安全設(shè)定，則可能由于管理實施主機(jī)的安全漏洞造成整個系統(tǒng)的安全漏洞。這個虛擬防火墻中只會存在兩種流量，一種是在管理實施主機(jī)與更高安全級別的被管設(shè)備之間的流量；一種是在管理實施主機(jī)與較低安全級別的被管設(shè)備之間的流量。所有被管設(shè)備之間不許在這個虛擬防火墻內(nèi)通信。因此運行管理主機(jī)區(qū)域的安全級別設(shè)置為 75，更高安全級別的所有區(qū)域安全級都設(shè)為 100，外聯(lián)區(qū)安全級別設(shè)為 0，并且本防火墻內(nèi)不允許相同級別的安全區(qū)域之間相互通信。所有的網(wǎng)絡(luò)管理設(shè)備，包括網(wǎng)絡(luò)管理機(jī)、MARS 服務(wù)器、IDS 的管理接口都設(shè)置在這個區(qū)域；所有主機(jī)管理設(shè)備也設(shè)置在這個區(qū)域內(nèi)。三是辦公業(yè)務(wù)虛擬防火墻。辦公業(yè)務(wù)虛擬防火墻涉及的安全分區(qū)安全級別定義如表 ： 辦公分區(qū)安全級別定義表區(qū)域名稱安全級別值OA 服務(wù)器100開發(fā)主機(jī)60外聯(lián)區(qū)0各個服務(wù)器間根據(jù)以下規(guī)則過濾數(shù)據(jù)包：OA 服務(wù)器區(qū)—提供對所有 OA 服務(wù)器的保護(hù)，包括電子郵件、內(nèi)部 DNS、內(nèi)部 WEB 服務(wù)器等，允許所有的辦公網(wǎng)用戶訪問；開發(fā)主機(jī)—提供對開發(fā)主機(jī)的保護(hù)，允許所有辦公網(wǎng)上被授權(quán)的開發(fā)人員訪問；外聯(lián)區(qū)—用于連接核心交換機(jī)的多層交換引擎，實現(xiàn)外網(wǎng)與各個被保護(hù)網(wǎng)段之間的通信。四是生產(chǎn)外聯(lián)區(qū)域（合作伙伴）防火墻。該區(qū)域的防火墻為獨立于中心核心交換網(wǎng)絡(luò)的防火墻，主要與企業(yè)以及其他金融機(jī)構(gòu)相連，可信度較高，按照以下規(guī)則過濾數(shù)據(jù)包：防火墻為交互的服務(wù)器提供代理服務(wù)，并根據(jù)內(nèi)外通信的具體業(yè)務(wù)在應(yīng)用層進(jìn)行訪問控制；如果是外部服務(wù)器訪問內(nèi)部資源，使用認(rèn)證技術(shù)；五是辦公外聯(lián)區(qū)域防火墻。該區(qū)域考慮到 OA 網(wǎng)辦公時使用 Internet 的需要，OA 網(wǎng)的服務(wù)器需要開通收發(fā)郵件的服務(wù)，而 OA 網(wǎng)的計算機(jī)必須通過代理服務(wù)接入 Internet，禁止在內(nèi)網(wǎng)直接撥號接入 Internet。對于移動辦公，允許通過電話撥號方式連接撥號服務(wù)器，進(jìn)入 OA 網(wǎng)。對于內(nèi)部訪問 Internet 的資源，可以通過具有代理功能的防火墻或者代理服務(wù)器進(jìn)行理和控制；防火墻提供自內(nèi)而外的 NAT 地址轉(zhuǎn)換，隱蔽內(nèi)網(wǎng)的拓?fù)浣Y(jié)構(gòu)，也防止外部的用戶對內(nèi)部資源的訪問；在防火墻上可以限定被訪問的 Internet 資源，例如針對敏感 URL 地址，內(nèi)容進(jìn)行過濾；只有授權(quán)的用戶才能合法的訪問內(nèi)部資源(使用防火墻的認(rèn)證技術(shù)校驗用戶身份)；通過防火墻限定撥號用戶由外而內(nèi)的可訪問的資源；撥號用戶通過 VPN 加密方式訪問內(nèi)網(wǎng)資源，保證數(shù)據(jù)傳輸?shù)陌踩?。?）定義各個安全分區(qū)間數(shù)據(jù)流向生產(chǎn)服務(wù)區(qū) 廣域網(wǎng)區(qū)生產(chǎn)服務(wù)區(qū) 生產(chǎn)外聯(lián)區(qū)生產(chǎn)服務(wù)區(qū) 運行管理區(qū)生產(chǎn)服務(wù)區(qū) MIS 區(qū)MIS 區(qū) 廣域網(wǎng)區(qū)MIS 區(qū) 運行管理區(qū)MIS 區(qū) 廣域網(wǎng)區(qū)開發(fā)測試區(qū) 生產(chǎn)外聯(lián)區(qū)開發(fā)測試區(qū) 辦公區(qū)開發(fā)測試區(qū) 運行管理區(qū)廣域網(wǎng)區(qū) 運行管理區(qū)其中，廣域網(wǎng)分區(qū)是指下級的二級網(wǎng)絡(luò)中心通過專有廣域網(wǎng)接入網(wǎng)絡(luò)一級中心的區(qū)域，主要運行綜合業(yè)務(wù)系統(tǒng)，屬于行內(nèi)專有網(wǎng)絡(luò)，直接與生產(chǎn)服務(wù)分區(qū)相連，中間不經(jīng)過防火墻。 網(wǎng)絡(luò)一級中心入侵檢測系統(tǒng)設(shè)計IDS 掃描當(dāng)前網(wǎng)絡(luò)的活動，監(jiān)視和記錄網(wǎng)絡(luò)的流量，根據(jù)生產(chǎn)服務(wù)區(qū)、MIS（信息服務(wù)）區(qū)、運行管理區(qū)、開發(fā)測試區(qū)和辦公區(qū)的安全等級的不同，定義不同地規(guī)則來過濾流量，提供實時報警。提供關(guān)于網(wǎng)絡(luò)流量非常詳盡的分析。它們可以監(jiān)視任何定義好的流量。大多數(shù)的程序?qū)?FTP，HTTP 和 Telnet 流量都有缺省的設(shè)置，還有其它的流量像 NetBIOS，本地和遠(yuǎn)程登錄失敗等等?？梢詫ιa(chǎn)外聯(lián)區(qū)域和辦公區(qū)域的阻塞點進(jìn)行 IDS 控制對阻塞點的 IP 地址進(jìn)行流量分析[46]。網(wǎng)絡(luò)一級中心入侵檢測系統(tǒng)的部署遵循如下原則:（1）入侵檢測工具的選擇應(yīng)根據(jù)每個具體情況的資產(chǎn)的價值、風(fēng)險的等級、成本的平衡、及可用的資源等原則進(jìn)行選擇。（2）入侵檢測可按不同的方式實現(xiàn)，應(yīng)依據(jù)所要保護(hù)網(wǎng)絡(luò)的類型、采用的邊界防護(hù)系統(tǒng)和安全策略規(guī)定的保護(hù)級別來決定采用哪種實現(xiàn)方法。（3）對于網(wǎng)絡(luò)一級中心來說，應(yīng)該在高風(fēng)險和重點保護(hù)的網(wǎng)絡(luò)環(huán)境中，部署基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)。為了有效的防止內(nèi)部威脅，我們在核心交換區(qū)域部署 IDS，監(jiān)測內(nèi)部所有分區(qū)的數(shù)據(jù)。 防病毒系統(tǒng)設(shè)計沂南縣農(nóng)村信用社的各級網(wǎng)絡(luò)節(jié)點，采用統(tǒng)一的基于網(wǎng)絡(luò)的防病毒體系。一個方面需要建立完整的網(wǎng)絡(luò)防病毒機(jī)制，另一方面建立嚴(yán)格完善的防病毒管理規(guī)范。結(jié)合沂南縣農(nóng)村信用社的網(wǎng)絡(luò)結(jié)構(gòu)，病毒防范主要包括:（1） 嚴(yán)格控制沂南縣農(nóng)村信用社內(nèi)部網(wǎng)與 Internet 之間的接觸，特別是生產(chǎn)網(wǎng)必須嚴(yán)格保護(hù)。嚴(yán)格規(guī)范好生產(chǎn)網(wǎng)的出入口，除了特定的受控的計算機(jī)外，禁止生產(chǎn)網(wǎng)上的計算機(jī)接入 Internet；（2）統(tǒng)一 OA 網(wǎng)和 Internet 之間的連接，OA 網(wǎng)的計算機(jī)必須通過代理服務(wù)器才能接入 Internet。在接入口的代理服務(wù)器上加以病毒監(jiān)測；（3）生產(chǎn)網(wǎng)與 OA 網(wǎng)之間必須用防火墻隔離，OA 網(wǎng)上只有指定的少數(shù)受控的計算機(jī)才能連接到生產(chǎn)網(wǎng)中，而且連接方式要嚴(yán)格控制，只開放少數(shù)與生產(chǎn)相關(guān)的協(xié)議、端口；（4）生產(chǎn)、測試、OA 網(wǎng)上合理劃分 VLAN，各 VLAN 之間要相對隔離。使得病毒難以跨 VLAN 傳播；（5）采用網(wǎng)絡(luò)防病毒服務(wù)器，運用網(wǎng)絡(luò)機(jī)制，實現(xiàn)服務(wù)器與客戶端病毒代碼的動態(tài)實時升級；（6）對于 Unix, Windows 平臺，采用系統(tǒng)安全漏洞掃描，及時修補(bǔ)安全漏洞。做好攻擊的跟蹤審計；通過上述系統(tǒng)設(shè)計，沂南縣農(nóng)村信用社信息系統(tǒng)安全體系基本建立起來，能滿足沂南縣農(nóng)村信用社當(dāng)前業(yè)務(wù)工作的需要。 網(wǎng)絡(luò)一級中心網(wǎng)絡(luò)安全方案實施 網(wǎng)絡(luò)核心交換區(qū)實施 交換機(jī)設(shè)備選型及指標(biāo)根據(jù)以上對網(wǎng)絡(luò)一級中心的安全設(shè)計，通過比較選擇，我們采用了思科公司的兩臺 Cisco Catalyst 6509 交換機(jī)作為網(wǎng)絡(luò)一級中心的核心交換設(shè)備。該設(shè)備主要特點和性能參數(shù)如下：（1）最長的網(wǎng)絡(luò)正常運行時間利用平臺、電源、控制引擎、交換矩陣和集成網(wǎng)絡(luò)服務(wù)冗余性提供 1～3 秒的狀態(tài)故障切換，提供應(yīng)用和服務(wù)連續(xù)性統(tǒng)一在一起的融合網(wǎng)絡(luò)環(huán)境，減少關(guān)鍵業(yè)務(wù)數(shù)據(jù)和服務(wù)的中斷。（2）全面的網(wǎng)絡(luò)安全性將切實可行的數(shù)千兆位級思科安全解決方案集成到現(xiàn)有網(wǎng)絡(luò)中，包括入侵檢測、防火墻、VPN 和 SSL。（3）可擴(kuò)展性能利用分布式轉(zhuǎn)發(fā)體系結(jié)構(gòu)提供高達(dá) 400Mpps 的轉(zhuǎn)發(fā)性能。（4）能夠適應(yīng)未來發(fā)展并保護(hù)投資的體系結(jié)構(gòu)在同一種機(jī)箱中支持三代可互換、可熱插拔的模塊，以提高 IT 基礎(chǔ)設(shè)施利用率，增大投資回報，并降低總體擁有成本；（5）卓越的服務(wù)集成和靈活性將安全和內(nèi)容等高級服務(wù)與融合網(wǎng)絡(luò)集成在一起，提供從 10/100 和 10/100/1000 以太網(wǎng)到萬兆以太網(wǎng)，從 DS0 到 OC48 的各種接口和密度，并能夠在任何部署項目中端到端地執(zhí)行。（6）集成式高性能的網(wǎng)絡(luò)安全性和網(wǎng)絡(luò)管理。不需要部署外部設(shè)備，直接在 6509機(jī)箱內(nèi)部署集成式的千兆位的網(wǎng)絡(luò)服務(wù)模塊，以簡化網(wǎng)絡(luò)管理，降低網(wǎng)絡(luò)的總體成本。這些網(wǎng)絡(luò)服務(wù)模塊包括：數(shù)千兆位防火墻模塊提供接入保護(hù)高性能入侵檢測系統(tǒng)（IDS）模塊提供入侵檢測保護(hù)千兆位網(wǎng)絡(luò)分析模塊提供可管理性更高的基礎(chǔ)設(shè)施和全面的遠(yuǎn)程超級（RMON）支持高性能 SSL 模塊提供安全的高性能電子商務(wù)流量終結(jié)千兆位 VPN 和基于標(biāo)準(zhǔn)的 IP Security（IPSec）模塊降低的互聯(lián)網(wǎng)和內(nèi)部專網(wǎng)的連接成本。高速廣域網(wǎng)接口提供與其它核心路由器兼容的高速廣域網(wǎng)、ATM 和 SONET 接口單一平臺實現(xiàn)廣域網(wǎng)匯聚以及園區(qū)網(wǎng)和城域連接管理。（7）高度靈活的模塊化體系結(jié)構(gòu)，在同一機(jī)箱內(nèi)支持多代模塊互操作。所有引擎上都支持 Cisco IOS Software 和 Cisco Catalyst Operating System Software。10/100Mbps 和 10/100/1000Mbps 以太網(wǎng)模塊可現(xiàn)場升級為隨線供電的模塊，可讓用戶在需要時升級實現(xiàn) IP 電話技術(shù)和無線局域網(wǎng)連接（8） 和 隧道（QinQ）提供點到點和點到多點以太網(wǎng)服務(wù)（9）EoMPLS 的功能提供了 VLAN 的透傳功能，大幅提升 MPLS 骨干網(wǎng)中的以太網(wǎng)服務(wù)擴(kuò)展能力（10）通過在第2層和第3層QOS功能中提供速率限制和流量整形，可在城域以太網(wǎng)服務(wù)中提供分級的帶寬服務(wù)。 模塊配置這兩臺核心交換機(jī)配置兩個相同 48 口千兆以太網(wǎng)模塊。當(dāng)任何一個模塊出現(xiàn)故障時，馬上切換到另外一個模塊，這樣能在最短的時間內(nèi)解決問題，保證系統(tǒng)的不間斷運行。在兩臺核心交換之間使用 Fast Ether Channel，把多個物理鏈路捆綁成一個快速邏輯通道，從而提供了鏈路備份，當(dāng) Fast Ehter Channel 一個物理鏈路發(fā)生故障時，所有的數(shù)據(jù)都會從其他正常物理鏈路上進(jìn)行傳輸；同時也提供了更高的互聯(lián)帶寬。方案實施中，我們將兩臺核心交換機(jī)上的兩個光纖端口使用 FastEther Channel 連接起來，形成一個 2Gbit/s 的一個快速邏輯通道，傳遞兩臺交換機(jī)上數(shù)據(jù)。所有服務(wù)器均采用跨接的方式連接在這兩臺交換機(jī)上，確保在其一臺交換機(jī)出現(xiàn)問題時整個網(wǎng)絡(luò)系統(tǒng)可用。 VLAN 配置按照網(wǎng)絡(luò)一級中心 VLAN 劃分設(shè)計，兩臺交換劃分相同的 VLAN，通過 HSRP協(xié)議配置成熱備份模式，部分 VLAN 配置如下：interface Vlan101ip address ip flow ingressip routecache flowstandby 101 ip standby 101 priority 150standby 101 preempt!inte