銀行同城災(zāi)備中心建設(shè)方案網(wǎng)絡(luò)

1、（一）網(wǎng)絡(luò)2、網(wǎng)絡(luò)技術(shù)方案2.1建設(shè)背景隨著社會(huì)的發(fā)展和科技的進(jìn)步，金融行業(yè)越來(lái)越依賴于數(shù)據(jù)處理來(lái)進(jìn)行業(yè)務(wù)運(yùn)營(yíng)，對(duì)IT系統(tǒng)的依賴性也隨之增加。然而，災(zāi)難就像灰塵一樣伏擊在企業(yè)周圍，您的業(yè)務(wù)可能正在一個(gè)充滿風(fēng)險(xiǎn)和威脅的世界里運(yùn)行：無(wú)法預(yù)知的IT 硬件設(shè)備的損壞、斷電、火災(zāi)、自然災(zāi)害、恐怖襲擊等，造成數(shù)據(jù)丟失或業(yè)務(wù)的突然中斷；系統(tǒng)人員誤操作造成意外宕機(jī)或關(guān)鍵數(shù)據(jù)丟失，無(wú)法避免；手段頻多的黑客攻擊、病毒入侵、垃圾郵件、網(wǎng)絡(luò)與系統(tǒng)的漏洞，造成網(wǎng)絡(luò)癱瘓、系統(tǒng)崩潰。如果不能對(duì)風(fēng)險(xiǎn)采取有效治理，一旦數(shù)據(jù)由于上述某種原因丟失，就有可能造成整個(gè)銀行在運(yùn)營(yíng)上的重大不便和經(jīng)濟(jì)損失，銀行的信譽(yù)也將受到影響。如果核心數(shù)

2、據(jù)丟失，嚴(yán)重時(shí)完全有可能造成整個(gè)銀行的癱瘓。由此可見(jiàn)，保證銀行的業(yè)務(wù)連續(xù)運(yùn)營(yíng)及數(shù)據(jù)處理的高可靠性和高可用性，已經(jīng)成為所有IT人員在建設(shè)IT基礎(chǔ)架構(gòu)中首先要考慮的問(wèn)題。與此同時(shí)，我們需要考慮建立和加強(qiáng)銀行的業(yè)務(wù)恢復(fù)能力，縮短業(yè)務(wù)恢復(fù)的時(shí)間，以便在發(fā)生系統(tǒng)災(zāi)難后能夠從容應(yīng)對(duì)風(fēng)險(xiǎn)。故此，銀行對(duì)IT系統(tǒng)提出了以下要求：1）網(wǎng)絡(luò)系統(tǒng)的高可用性，保證數(shù)據(jù)7X24 小時(shí)的連續(xù)訪問(wèn)；n 2）將現(xiàn)有的網(wǎng)絡(luò)技術(shù)集成，建設(shè)高效、可靠、可自恢復(fù)并且安全的骨干網(wǎng)絡(luò)，為未來(lái)發(fā)展奠定良好的基礎(chǔ)。n 3）需要能夠支撐對(duì)銀行現(xiàn)有的數(shù)據(jù)以及各種應(yīng)用系統(tǒng)進(jìn)行集中化、自動(dòng)化的基于策略的保護(hù)；n 4）需要一套成熟度高，業(yè)內(nèi)應(yīng)用廣泛的網(wǎng)

3、絡(luò)整體解決方案，一旦發(fā)生災(zāi)難(洪水、地震、火災(zāi)等)，或者人為災(zāi)難(用戶失誤、磁盤失效等)導(dǎo)致數(shù)據(jù)丟失或者業(yè)務(wù)中斷時(shí)，能夠快速、及時(shí)地恢復(fù)數(shù)據(jù)，保證業(yè)務(wù)的連續(xù)運(yùn)行。為進(jìn)一步推進(jìn)某銀行信息化建設(shè)，以信息化推動(dòng)某銀行業(yè)務(wù)工作的改革與發(fā)展，需要在撫順本地建設(shè)某銀行的同城災(zāi)備中心，建設(shè)新一代綠色高效能數(shù)據(jù)中心網(wǎng)絡(luò)。同時(shí)主中心需進(jìn)行適當(dāng)?shù)臄U(kuò)容以配合此次同城災(zāi)備的實(shí)施。此次建設(shè)的重點(diǎn)是數(shù)據(jù)中心，數(shù)據(jù)中心（英文拼寫Data Center，簡(jiǎn)寫DC）是數(shù)據(jù)大集中而形成的集成IT應(yīng)用環(huán)境，它是各種IT應(yīng)用服務(wù)的提供中心，是數(shù)據(jù)計(jì)算、網(wǎng)絡(luò)、存儲(chǔ)的中心。數(shù)據(jù)中心實(shí)現(xiàn)了安全策略的統(tǒng)一部署，IT基礎(chǔ)設(shè)施、業(yè)務(wù)應(yīng)用和數(shù)據(jù)的

4、統(tǒng)一運(yùn)維管理。數(shù)據(jù)中心是當(dāng)前各行業(yè)的IT建設(shè)重點(diǎn)。運(yùn)營(yíng)商、電力、能源、金融證券、大型企業(yè)、政府、交通、教育、制造業(yè)、網(wǎng)站和電子商務(wù)公司等正在進(jìn)行或已完成數(shù)據(jù)中心建設(shè)，通過(guò)數(shù)據(jù)中心的建設(shè)，實(shí)現(xiàn)對(duì)IT信息系統(tǒng)的整合和集中管理，提升內(nèi)部的運(yùn)營(yíng)和管理效率以及對(duì)外的服務(wù)水平，同時(shí)降低IT建設(shè)的TCO。數(shù)據(jù)中心的發(fā)展可分為四個(gè)層面：u 數(shù)據(jù)中心基礎(chǔ)網(wǎng)絡(luò)整合：根據(jù)業(yè)務(wù)需求，基于開(kāi)放標(biāo)準(zhǔn)的IP協(xié)議，完成對(duì)企業(yè)現(xiàn)有異構(gòu)業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)資源和IT資源的整合，解決如何建設(shè)數(shù)據(jù)中心的問(wèn)題。u 數(shù)據(jù)中心應(yīng)用智能：基于TCP/IP的開(kāi)放架構(gòu)，保證各種新業(yè)務(wù)和應(yīng)用在數(shù)據(jù)中心的基礎(chǔ)體系架構(gòu)上平滑部署和升級(jí)，滿足用戶的多變需求，

5、保證數(shù)據(jù)中心的持續(xù)服務(wù)和業(yè)務(wù)連續(xù)性。各種應(yīng)用的安全、優(yōu)化與集成可以無(wú)縫的部署在數(shù)據(jù)中心之上。u 數(shù)據(jù)中心虛擬化：傳統(tǒng)的應(yīng)用孤島式的數(shù)據(jù)中心模型擴(kuò)展性差，核心資源的分配與業(yè)務(wù)應(yīng)用發(fā)展出現(xiàn)不匹配，使得資源利用不均勻，導(dǎo)致運(yùn)行成本提高、現(xiàn)有投資無(wú)法達(dá)到最優(yōu)化的利用、新業(yè)務(wù)部署難度增大、現(xiàn)有業(yè)務(wù)持續(xù)性得不到保證、安全面臨威脅。虛擬化通過(guò)構(gòu)建共享的資源池，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)資源、計(jì)算計(jì)算和存儲(chǔ)資源的幾種管理、規(guī)劃和控制，簡(jiǎn)化管理維護(hù)、提高設(shè)備資源利用率、優(yōu)化業(yè)務(wù)流程部署、降低維護(hù)成本。u 數(shù)據(jù)中心資源智能：通過(guò)智能化管理平臺(tái)實(shí)現(xiàn)對(duì)資源的智能化管理，資源智能分配調(diào)度，構(gòu)建高度智能、自動(dòng)化數(shù)據(jù)中心。2.2方案規(guī)劃與

6、設(shè)計(jì)2.2.1 網(wǎng)絡(luò)建設(shè)目標(biāo)某銀行主中心數(shù)據(jù)與備份中心數(shù)據(jù)中心未來(lái)將承載所有生產(chǎn)環(huán)境系統(tǒng)。數(shù)據(jù)中心網(wǎng)絡(luò)作為業(yè)務(wù)網(wǎng)絡(luò)的一個(gè)重要組成部分，為核心業(yè)務(wù)系統(tǒng)服務(wù)器和存儲(chǔ)設(shè)備提供安全可靠的接入平臺(tái)。網(wǎng)絡(luò)建設(shè)應(yīng)達(dá)成以下目標(biāo)：高可用網(wǎng)絡(luò)作為數(shù)據(jù)中心的基礎(chǔ)設(shè)施，網(wǎng)絡(luò)的高可用直接影響到業(yè)務(wù)系統(tǒng)的可用性。網(wǎng)絡(luò)層的高可用至少包括高可靠、高安全和先進(jìn)性三個(gè)方面：u 高可靠：應(yīng)采用高可靠的產(chǎn)品和技術(shù)，充分考慮系統(tǒng)的應(yīng)變能力、容錯(cuò)能力和糾錯(cuò)能力，確保整個(gè)網(wǎng)絡(luò)基礎(chǔ)設(shè)施運(yùn)行穩(wěn)定、可靠。當(dāng)今，關(guān)鍵業(yè)務(wù)應(yīng)用的可用性與性能要求比任何時(shí)候都更為重要。u 高安全：網(wǎng)絡(luò)基礎(chǔ)設(shè)計(jì)的安全性，涉及到銀行業(yè)務(wù)的核心數(shù)據(jù)安全。應(yīng)按照端到端訪問(wèn)安全

7、、網(wǎng)絡(luò)L2-L7層安全兩個(gè)維度對(duì)安全體系進(jìn)行設(shè)計(jì)規(guī)劃，從局部安全、全局安全到智能安全，將安全理念滲透到整個(gè)數(shù)據(jù)中心網(wǎng)絡(luò)中。u 先進(jìn)性：數(shù)據(jù)中心將長(zhǎng)期支撐某銀行的業(yè)務(wù)發(fā)展，而網(wǎng)絡(luò)又是數(shù)據(jù)中心的基礎(chǔ)支撐平臺(tái)，因此數(shù)據(jù)中心網(wǎng)絡(luò)的建設(shè)需要考慮后續(xù)的機(jī)會(huì)成本，采用主流的、先進(jìn)的技術(shù)和產(chǎn)品（如數(shù)據(jù)中心級(jí)設(shè)備、虛擬化支持等），保證基礎(chǔ)支撐平臺(tái)510年內(nèi)不會(huì)被淘汰，從而實(shí)現(xiàn)投資的保護(hù)。易擴(kuò)展某銀行的業(yè)務(wù)目前已向多元化發(fā)展，未來(lái)的業(yè)務(wù)范圍會(huì)更多更廣，業(yè)務(wù)系統(tǒng)頻繁調(diào)整與擴(kuò)展再所難免，因此數(shù)據(jù)中心網(wǎng)絡(luò)平臺(tái)必須能夠適應(yīng)業(yè)務(wù)系統(tǒng)的頻繁調(diào)整，同時(shí)在性能上應(yīng)至少能夠滿足未來(lái)510年的業(yè)務(wù)發(fā)展。對(duì)于網(wǎng)絡(luò)設(shè)備的選擇和協(xié)議的部署

8、，應(yīng)遵循業(yè)界標(biāo)準(zhǔn)，保證良好的互通性和互操作性，支持業(yè)務(wù)的快速部署。易管理數(shù)據(jù)中心是IT技術(shù)最為密集的地方，數(shù)據(jù)中心的設(shè)備繁多，各種協(xié)議和應(yīng)用部署越來(lái)越復(fù)雜，對(duì)運(yùn)維人員的要求也越來(lái)越高，單獨(dú)依賴運(yùn)維人員個(gè)人的技術(shù)能力和業(yè)務(wù)能力是無(wú)法保證業(yè)務(wù)運(yùn)行的持續(xù)性的。因此數(shù)據(jù)中心需要提供完善的運(yùn)維管理平臺(tái)，對(duì)數(shù)據(jù)中心IT資源進(jìn)行全局掌控，減少日常的運(yùn)維的人為故障。同時(shí)一旦出現(xiàn)故障，能夠借助工具直觀、快速定位。網(wǎng)絡(luò)分層網(wǎng)絡(luò)分層設(shè)計(jì)是將網(wǎng)絡(luò)設(shè)備分為核心層、接入層，通過(guò)分層部署可以使網(wǎng)絡(luò)具有很好的擴(kuò)展性（無(wú)需干擾其它區(qū)域就能根據(jù)需要增加容量），可以提升網(wǎng)絡(luò)的可用性（隔離故障域降低故障對(duì)網(wǎng)絡(luò)的影響），可以簡(jiǎn)化網(wǎng)絡(luò)的

9、管理（拓?fù)浣Y(jié)構(gòu)結(jié)構(gòu)更清晰）。對(duì)于某銀行數(shù)據(jù)中心而言，各功能區(qū)域的網(wǎng)絡(luò)核心層都劃歸到數(shù)據(jù)中心核心區(qū)域，也就是說(shuō)各功能區(qū)域包括匯聚層網(wǎng)絡(luò)設(shè)備和接入層網(wǎng)絡(luò)設(shè)備（對(duì)于各服務(wù)器區(qū)，匯聚設(shè)備和接入設(shè)備合二為一），由此而構(gòu)成了一種核心邊緣網(wǎng)絡(luò)結(jié)構(gòu)，以核心區(qū)為中心，其他作為邊緣處理。這樣設(shè)計(jì)的優(yōu)點(diǎn):首先，各功能區(qū)域的業(yè)務(wù)系統(tǒng)都需要和其它區(qū)域的業(yè)務(wù)系統(tǒng)進(jìn)行交互，因此需要在網(wǎng)絡(luò)中設(shè)計(jì)一個(gè)知道其它區(qū)域路由的區(qū)域，這就是數(shù)據(jù)中心核心區(qū)。同時(shí)由于在各個(gè)區(qū)域中已經(jīng)部署了安全管理的功能，因此為了保證更好的網(wǎng)絡(luò)性能，將不需要在核心區(qū)上面再部署額外的安全功能，只需要部署高性能的交換機(jī)即可。其次，這種設(shè)計(jì)將使某銀行數(shù)據(jù)中心獲得更

10、好的伸縮性能，例如，未來(lái)根據(jù)業(yè)務(wù)發(fā)展的需要，可以非常容易的增加新的功能區(qū)域，而不需要對(duì)整個(gè)Server Farm的網(wǎng)絡(luò)架構(gòu)進(jìn)行大的修改。具備更好的可管理性， 因?yàn)槊總€(gè)區(qū)域的安全功能和詳細(xì)的路由可以根據(jù)每個(gè)區(qū)域的功能進(jìn)行定義，因此針對(duì)每個(gè)區(qū)域可以預(yù)測(cè)一些特別路由路線和將來(lái)的需求，同時(shí)也可以在不影響其他應(yīng)用或者整個(gè)區(qū)域的情況下進(jìn)行數(shù)據(jù)中心網(wǎng)絡(luò)的優(yōu)化。2.2.2總體設(shè)計(jì)思路及原則數(shù)據(jù)中心為某銀行業(yè)務(wù)網(wǎng)絡(luò)、日常辦公與外聯(lián)單位提供數(shù)據(jù)訪問(wèn)、OA和視頻等服務(wù)，以及各業(yè)務(wù)的安全隔離控制。數(shù)據(jù)中心并不是孤立存在的，而是與某銀行數(shù)據(jù)中心、網(wǎng)絡(luò)匯聚中心外聯(lián)單位網(wǎng)絡(luò)等網(wǎng)絡(luò)區(qū)域相輔相成，數(shù)據(jù)中心基礎(chǔ)網(wǎng)絡(luò)是業(yè)務(wù)數(shù)據(jù)的傳

11、輸通道，將數(shù)據(jù)的計(jì)算和數(shù)據(jù)存儲(chǔ)有機(jī)的結(jié)合在一起。為保證數(shù)據(jù)中心網(wǎng)絡(luò)的高可用、易擴(kuò)展、易管理，數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)需按照結(jié)構(gòu)化、模塊化和扁平化的原則設(shè)計(jì)：12u 結(jié)構(gòu)化結(jié)構(gòu)化的網(wǎng)絡(luò)設(shè)計(jì)便于上層協(xié)議的部署和網(wǎng)絡(luò)的管理，提高網(wǎng)絡(luò)的收斂速度，實(shí)現(xiàn)高可靠。數(shù)據(jù)中心網(wǎng)絡(luò)結(jié)構(gòu)化設(shè)計(jì)體現(xiàn)在適當(dāng)?shù)娜哂嘈院途W(wǎng)絡(luò)的對(duì)稱性兩個(gè)方面。如下圖所示：冗余的引入可以消除設(shè)備和鏈路的單點(diǎn)故障，但是過(guò)度的冗余同樣會(huì)使網(wǎng)絡(luò)過(guò)于復(fù)雜，不便于運(yùn)行和維護(hù)，因此一般采用雙節(jié)點(diǎn)雙歸屬的架構(gòu)設(shè)計(jì)網(wǎng)絡(luò)結(jié)構(gòu)的對(duì)稱，可以使得網(wǎng)絡(luò)設(shè)備的配置簡(jiǎn)化、拓?fù)渲庇^，有助于協(xié)議設(shè)計(jì)分析。在數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)計(jì)時(shí)，由于引入了冗余和對(duì)稱的設(shè)計(jì)，這必將引入網(wǎng)絡(luò)的環(huán)路，可通過(guò)如

12、下建設(shè)思路消除環(huán)路影響：1 啟用STP和VRRP協(xié)議傳統(tǒng)解決方案，標(biāo)準(zhǔn)的協(xié)議，設(shè)備要求較低。但此種部署方案網(wǎng)絡(luò)的協(xié)議部署復(fù)雜，收斂慢，鏈路帶寬利用率低，運(yùn)維管理工作量大。本方案設(shè)計(jì)不采用此方法。2 IRF網(wǎng)絡(luò)設(shè)備N:1虛擬化技術(shù)通過(guò)H3C IRF技術(shù)對(duì)同一層面的設(shè)備進(jìn)行橫向整合，將兩臺(tái)或多臺(tái)設(shè)備虛擬為一臺(tái)設(shè)務(wù)，統(tǒng)一轉(zhuǎn)發(fā)、統(tǒng)一管理，并實(shí)現(xiàn)跨設(shè)備的鏈路捆綁。因此不會(huì)引入環(huán)路，無(wú)需部署STP和VRRP等協(xié)議，簡(jiǎn)化網(wǎng)絡(luò)協(xié)議的部署，大大縮短設(shè)備和鏈路收斂時(shí)間（毫秒級(jí)），鏈路負(fù)載分擔(dān)方式工作，利用率大大提升。在本方案的設(shè)計(jì)中，將采用端到端的IRF部署，滿足網(wǎng)絡(luò)高可靠的同時(shí)，簡(jiǎn)化網(wǎng)絡(luò)運(yùn)維管理。u 模塊化構(gòu)建

13、數(shù)據(jù)中心基礎(chǔ)網(wǎng)絡(luò)時(shí)，應(yīng)采用模塊化的設(shè)計(jì)方法，將數(shù)據(jù)中心劃分為不同的功能區(qū)域，用于實(shí)現(xiàn)不同的功能或部署不同的應(yīng)用，使得整個(gè)數(shù)據(jù)中心的架構(gòu)具備可伸縮性、靈活性、和高可用性。數(shù)據(jù)中心中的服務(wù)器將會(huì)根據(jù)服務(wù)器上的應(yīng)用的用戶訪問(wèn)特性和應(yīng)用的功能不同部署在不同的區(qū)域中。如下圖所示：數(shù)據(jù)中心網(wǎng)絡(luò)分為網(wǎng)絡(luò)接入?yún)^(qū)、數(shù)據(jù)中心核心交換區(qū)和服務(wù)器接入?yún)^(qū)三大功能區(qū)域，其中網(wǎng)絡(luò)接入?yún)^(qū)和服務(wù)器接入?yún)^(qū)依據(jù)服務(wù)類型的不同，可進(jìn)行子區(qū)的細(xì)分，詳細(xì)參見(jiàn)“業(yè)務(wù)分區(qū)”章節(jié)的描述。數(shù)據(jù)中心核心區(qū)用于承接各區(qū)域之間的數(shù)據(jù)交換，是整個(gè)數(shù)據(jù)中心的核心樞紐，因此核心交換機(jī)設(shè)備應(yīng)選用可靠性高的數(shù)據(jù)中心級(jí)設(shè)備部署。在進(jìn)行模塊化設(shè)計(jì)時(shí)，盡量做到各模塊

14、之間松耦合，這樣可以很好的保證數(shù)據(jù)中心的業(yè)務(wù)擴(kuò)展性，擴(kuò)展新的業(yè)務(wù)系統(tǒng)或模塊時(shí)不需要對(duì)核心或其它模塊進(jìn)行改動(dòng)。同時(shí)模塊化設(shè)計(jì)也可以很好的分散風(fēng)險(xiǎn)，在某一模塊（除核心區(qū)外）出現(xiàn)故障時(shí)不會(huì)影響到其它模塊，將數(shù)據(jù)中心的故障影響降到最小。u 扁平化數(shù)據(jù)中心的網(wǎng)絡(luò)架構(gòu)依據(jù)接入密度和分為三層架構(gòu)和二層架構(gòu)，如下圖所示：傳統(tǒng)的數(shù)據(jù)中心網(wǎng)絡(luò)通常采用三層架構(gòu)進(jìn)行組網(wǎng)，三層架構(gòu)可以保證網(wǎng)絡(luò)具備很好的擴(kuò)展性，同一個(gè)分區(qū)內(nèi)服務(wù)器接入密度高。但三層架構(gòu)網(wǎng)絡(luò)設(shè)備較多，不便于網(wǎng)絡(luò)管理，運(yùn)維工作量大。同時(shí)組網(wǎng)成本相對(duì)較高。隨著網(wǎng)絡(luò)交換技術(shù)的不斷發(fā)展，交換機(jī)的端口接入密度也越來(lái)越高，二層組網(wǎng)的擴(kuò)展性和密度已經(jīng)能夠很好的滿足企業(yè)數(shù)

15、據(jù)中心服務(wù)器接入的要求。同時(shí)在服務(wù)器虛擬化技術(shù)應(yīng)用越來(lái)越廣泛的趨勢(shì)下，二層架構(gòu)更容易實(shí)現(xiàn)VLAN的大二層互通，滿足虛擬機(jī)的部署和遷移。相比三層架構(gòu)，二層架構(gòu)可以大大簡(jiǎn)化網(wǎng)絡(luò)的運(yùn)維與管理。綜合上述因素，數(shù)據(jù)中心的網(wǎng)絡(luò)設(shè)計(jì)采用二層扁平化架構(gòu)，滿足擴(kuò)展性的同時(shí)，實(shí)現(xiàn)易管理。2.3業(yè)務(wù)分區(qū)按照“模塊化”設(shè)計(jì)原則，需要對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行分區(qū)。分區(qū)的優(yōu)點(diǎn)：首先，允許在設(shè)計(jì)中明確不同網(wǎng)絡(luò)區(qū)域之間的安全關(guān)系，允許設(shè)計(jì)者可以對(duì)每一個(gè)區(qū)域進(jìn)行安全的評(píng)估和實(shí)施，不必要考慮對(duì)其他區(qū)域的影響。這樣保障了網(wǎng)絡(luò)的高擴(kuò)展性、可管理性和彈性的網(wǎng)絡(luò)架構(gòu)。其次，采用模塊化分區(qū)設(shè)計(jì)方法可以在數(shù)據(jù)中心中清晰區(qū)分不同的功能區(qū)域，根據(jù)每個(gè)區(qū)域

16、業(yè)務(wù)系統(tǒng)的差異而采用不同的網(wǎng)絡(luò)拓?fù)洹?duì)于區(qū)域而言，從該區(qū)域的功能定義即可預(yù)知未來(lái)這個(gè)區(qū)域?qū)蓴U(kuò)展性、安全性等的要求，例如，核心業(yè)務(wù)系統(tǒng)服務(wù)器區(qū)需要更高的可用性和安全控制能力，而類似開(kāi)發(fā)和測(cè)試功能區(qū)域?qū)?huì)需要更大的靈活性來(lái)適應(yīng)比較頻繁的變化。通過(guò)上述分析也可看出，如果將核心業(yè)務(wù)服務(wù)器區(qū)、業(yè)務(wù)系統(tǒng)服務(wù)器區(qū)整合到一個(gè)區(qū)域中，雖然可以降低建設(shè)投入資金，但帶來(lái)的問(wèn)題是區(qū)域安全邊界不明確、 數(shù)據(jù)路徑復(fù)雜，可管理性和可擴(kuò)展性較差。從技術(shù)看，業(yè)務(wù)分區(qū)需要遵循以下原則：u 分區(qū)優(yōu)先考慮訪問(wèn)控制的安全性，單個(gè)應(yīng)用訪問(wèn)盡量在一個(gè)區(qū)域內(nèi)部完成，單個(gè)區(qū)域故障僅影響一類應(yīng)用，盡量減少區(qū)域間的業(yè)務(wù)耦合度；u 區(qū)域總數(shù)量的限

17、制：但區(qū)域多則運(yùn)維管理的復(fù)雜度和設(shè)備投資增加，區(qū)域總數(shù)量上限不超過(guò)20個(gè)；u 單個(gè)區(qū)域內(nèi)服務(wù)器數(shù)量的限制：受機(jī)房空間、二層域大小、接入設(shè)備容量限制，單個(gè)區(qū)域內(nèi)服務(wù)器數(shù)量有限（通常不超過(guò)200臺(tái)）。u 接入層設(shè)備利用率的限制：受機(jī)房布局的影響，如果每個(gè)機(jī)房都要部署多個(gè)安全區(qū)的接入交換機(jī)，會(huì)導(dǎo)致接入交換機(jī)資源浪費(fèi)，端口利用率低，因此安全區(qū)的數(shù)量不宜過(guò)多。u 防火墻性能的限制: 區(qū)域之間的流量如果超過(guò)10G，則需要考慮通過(guò)防火墻橫向擴(kuò)容，或區(qū)域調(diào)整的方式分擔(dān)流量。在實(shí)際的數(shù)據(jù)中心分區(qū)設(shè)計(jì)中，通常有以下三種分區(qū)方法：1. 按照業(yè)務(wù)功能進(jìn)行分區(qū)：根據(jù)業(yè)務(wù)系統(tǒng)的功能（如生產(chǎn)、OA、支撐等）或業(yè)務(wù)的實(shí)時(shí)性（

18、實(shí)時(shí)業(yè)務(wù)、非實(shí)時(shí)業(yè)務(wù)）或者業(yè)務(wù)系統(tǒng)的功能（如ERP、營(yíng)銷、財(cái)務(wù)等）進(jìn)行分區(qū)劃分，此分區(qū)方法適合大多數(shù)企業(yè)數(shù)據(jù)中心；2. 按照服務(wù)器類型進(jìn)行分區(qū)：一般分為WEB服務(wù)器區(qū)、APP/中間件服務(wù)器區(qū)、DB服務(wù)器區(qū)。此分區(qū)適合互聯(lián)網(wǎng)企業(yè)等數(shù)據(jù)中心。按照需求調(diào)研時(shí)了解的某銀行業(yè)務(wù)系統(tǒng)分布情況，結(jié)合業(yè)務(wù)系統(tǒng)的用戶類型，數(shù)據(jù)中心的分區(qū)設(shè)計(jì)按照業(yè)務(wù)功能進(jìn)行分區(qū)。分區(qū)設(shè)計(jì)如下：各區(qū)域業(yè)務(wù)系統(tǒng)部署描述如下：服務(wù)輸出層中的分區(qū)有：核心服務(wù)器區(qū)、前置服務(wù)器區(qū)、基礎(chǔ)服務(wù)區(qū)、運(yùn)維監(jiān)控區(qū)、辦公服務(wù)器區(qū)、測(cè)試服務(wù)器區(qū)、外聯(lián)區(qū)七個(gè)子區(qū)域。核心路由層，即核心骨干區(qū)：由H3C SR6608骨干路由器、H3C 10500核心交換機(jī)、R

19、G8600交換機(jī)采用主備和OSPF FULLMESH方式組成，作為本網(wǎng)絡(luò)的核心。服務(wù)請(qǐng)求層中的分區(qū)有：分行接入?yún)^(qū)、支行接入?yún)^(qū)、電子銀行接入?yún)^(qū)、離行接入?yún)^(qū)、辦公接入?yún)^(qū)、離行辦公、外聯(lián)接入?yún)^(qū)七個(gè)子區(qū)域。2.4 網(wǎng)絡(luò)設(shè)計(jì)在撫順商業(yè)銀行數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)中，為了實(shí)現(xiàn)一個(gè)可管理的、高可用性的、高性能網(wǎng)絡(luò)，我們將采用層次化的方法，將網(wǎng)絡(luò)分為核心層、分布層和接入層三個(gè)層次進(jìn)行設(shè)計(jì)。這種層次結(jié)構(gòu)劃分方法也是目前國(guó)內(nèi)外網(wǎng)絡(luò)建設(shè)中普遍采用的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。在這種結(jié)構(gòu)下，三個(gè)層次的網(wǎng)絡(luò)設(shè)備各司其職又相互協(xié)同工作，從而有效保證了整個(gè)網(wǎng)絡(luò)的高可靠性、高性能、高安全性和靈活的擴(kuò)展性。數(shù)據(jù)中心標(biāo)準(zhǔn)的拓?fù)浣Y(jié)構(gòu)其每一層的網(wǎng)絡(luò)設(shè)

20、備功能描述如下：l 核心層：提供高速的三層交換骨干Ø 核心層不進(jìn)行終端系統(tǒng)的連接；Ø 核心層少用或不實(shí)施影響高速交換性能的ACL等功能。l 匯聚層：作為接入層和核心層的分界層，分布層完成以下的功能：Ø 本功能區(qū)VLAN 間的路由；Ø IP地址或路由區(qū)域的匯聚；l 接入層：提供Layer2或Layer3的網(wǎng)絡(luò)接入，通過(guò)VLAN定義實(shí)現(xiàn)接入的隔離。網(wǎng)絡(luò)接入層具有以下特點(diǎn)：Ø 接入層接入端口規(guī)劃容量根據(jù)實(shí)際使用情況具有一定的擴(kuò)展性；上述每一個(gè)層次結(jié)構(gòu)內(nèi)部需要采用冗余的架構(gòu)來(lái)保障該層功能的穩(wěn)定可靠。l 核心層：是企業(yè)數(shù)據(jù)交換網(wǎng)絡(luò)的骨干，本層的設(shè)計(jì)目的是

21、實(shí)現(xiàn)快速的數(shù)據(jù)交換，并且提供高可靠性和快速的路由收斂。l 匯聚層：主要匯聚來(lái)自接入層的流量和執(zhí)行策略，當(dāng)?shù)谌龑訁f(xié)議被用于這一層時(shí)可以獲得路由負(fù)載均衡，快速收斂和可擴(kuò)展性等好處。分布層還是網(wǎng)絡(luò)智能服務(wù)的實(shí)施點(diǎn)，包括安全控制、應(yīng)用優(yōu)化等智能功能都在此實(shí)施。l 接入層：負(fù)責(zé)提供服務(wù)器、用戶終端、存儲(chǔ)設(shè)施等等的網(wǎng)絡(luò)第一級(jí)接入功能，另外網(wǎng)絡(luò)智能服務(wù)的初始分類，比如安全標(biāo)識(shí)、QoS分類將也是這一層的基本功能。采用層次化結(jié)構(gòu)有如下好處：l 節(jié)約成本：數(shù)據(jù)中心網(wǎng)絡(luò)意味著巨大的業(yè)務(wù)投資，正確設(shè)計(jì)的數(shù)據(jù)中心網(wǎng)絡(luò)可以提高業(yè)務(wù)效率和降低運(yùn)營(yíng)成本。l 便于擴(kuò)展：一個(gè)模塊化的或者層次化的網(wǎng)絡(luò)由很多更加便于復(fù)制、改造和擴(kuò)展

22、的模塊所構(gòu)成，在添加或者移除一個(gè)模塊時(shí)，并不需要重新設(shè)計(jì)整個(gè)網(wǎng)絡(luò)。每個(gè)模塊可以在不影響其他模塊或者網(wǎng)絡(luò)核心的情況下投入使用或者停止使用。l 加強(qiáng)故障隔離能力：通過(guò)將網(wǎng)絡(luò)分為多個(gè)可管理的小型組件，企業(yè)可以大幅度簡(jiǎn)化故障定位和排障處理時(shí)效。1.1.1. 功能區(qū)域模塊化 第二個(gè)設(shè)計(jì)思想是在充分考慮物理和邏輯結(jié)構(gòu)的基礎(chǔ)上從應(yīng)用的角度出發(fā)對(duì)東北特鋼整體企業(yè)網(wǎng)絡(luò)進(jìn)行模塊化結(jié)構(gòu)設(shè)計(jì)。系統(tǒng)的模塊化是組成企業(yè)網(wǎng)絡(luò)的基石。模塊化特出的優(yōu)勢(shì)是可以提供隔離。故障點(diǎn)可以隔離在其他網(wǎng)絡(luò)模塊之外，提供簡(jiǎn)單的故障排錯(cuò)和整個(gè)網(wǎng)絡(luò)的高可用型。網(wǎng)絡(luò)的變化、升級(jí)或增加新服務(wù)，可以有效控制范圍，提供企業(yè)網(wǎng)絡(luò)的更靈活的維護(hù)和操作。當(dāng)某個(gè)

23、模塊容量不夠或不滿足新的功能服務(wù)需求，可以通過(guò)同樣結(jié)構(gòu)的其他分層設(shè)計(jì)的模塊替代。在本次撫順商業(yè)銀行數(shù)據(jù)中心網(wǎng)絡(luò)的模塊化設(shè)計(jì)中，將依據(jù)銀行業(yè)數(shù)據(jù)中心總體規(guī)劃中的網(wǎng)絡(luò)模塊設(shè)計(jì)標(biāo)準(zhǔn)進(jìn)行設(shè)計(jì)。根據(jù)多年的銀行業(yè)網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)經(jīng)驗(yàn)總結(jié)的一個(gè)銀行業(yè)數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)計(jì)的一個(gè)事實(shí)標(biāo)準(zhǔn)，銀行業(yè)網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)的最佳實(shí)踐，具有很強(qiáng)的指導(dǎo)意義。銀行網(wǎng)絡(luò)總體模塊化標(biāo)準(zhǔn)架構(gòu)1.1.2. 技術(shù)實(shí)現(xiàn)標(biāo)準(zhǔn)化網(wǎng)絡(luò)系統(tǒng)在結(jié)構(gòu)上實(shí)現(xiàn)真正開(kāi)放，符合有關(guān)國(guó)際標(biāo)準(zhǔn)，使網(wǎng)絡(luò)具有良好的開(kāi)放性和兼容性。開(kāi)放的系統(tǒng)可以使用戶自由地選擇不同廠家的計(jì)算機(jī)、網(wǎng)絡(luò)設(shè)備及操作系統(tǒng)，構(gòu)成真正的跨軟硬件平臺(tái)的系統(tǒng)。網(wǎng)絡(luò)的設(shè)計(jì)基于國(guó)際標(biāo)準(zhǔn)，網(wǎng)絡(luò)設(shè)備采用標(biāo)準(zhǔn)的接口和規(guī)范的

24、協(xié)議，滿足用戶的不同需求并充分利用軟硬件資源，有效地保護(hù)用戶投資的長(zhǎng)期效益。1.2. 總體網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)宗旨本方案將采用將兩個(gè)數(shù)據(jù)中心對(duì)應(yīng)的區(qū)域通過(guò)光纖直接連接起來(lái)，在兩個(gè)中心的各個(gè)業(yè)務(wù)區(qū)域之間形成高帶寬的通道，確保數(shù)據(jù)得以進(jìn)行高速傳輸，保障數(shù)據(jù)進(jìn)行實(shí)時(shí)同步。同時(shí)通過(guò)三套骨干設(shè)備（核心交換機(jī)、骨干路由器、二層打通核心交換機(jī)）構(gòu)建三個(gè)環(huán)路，充分保障網(wǎng)絡(luò)的冗余度和穩(wěn)定性。對(duì)于網(wǎng)點(diǎn)來(lái)說(shuō)，保證到各個(gè)數(shù)據(jù)中心至少有兩條鏈路可達(dá)。從網(wǎng)絡(luò)角度來(lái)看，兩中心間通過(guò)裸光纖連接起來(lái)，構(gòu)成一個(gè)拉伸的局域網(wǎng)。兩中心間網(wǎng)絡(luò)設(shè)備組成高可用集群。網(wǎng)絡(luò)示意圖如下：雙數(shù)據(jù)中心之間通過(guò)“二層打通交換機(jī)”互相連接，交換機(jī)使用VSU虛擬

25、化技術(shù)虛擬為一臺(tái)設(shè)備，從而實(shí)現(xiàn)跨設(shè)備的鏈路聚合，以此提高災(zāi)備鏈路的高可用性1.3. 核心層網(wǎng)絡(luò)設(shè)計(jì)服務(wù)輸出層中的七個(gè)分區(qū)連接至核心交換上，兩個(gè)數(shù)據(jù)中心通過(guò)“二層打通交換機(jī)”互聯(lián)，七個(gè)分區(qū)通過(guò)此設(shè)備二層連接到另一個(gè)數(shù)據(jù)中心。二層互聯(lián)交換機(jī)將采用銳捷的RG8600系列核心交換機(jī)，以保證整體網(wǎng)絡(luò)的二層轉(zhuǎn)發(fā)能力，確保主備數(shù)據(jù)中心之間的二層數(shù)據(jù)鏈路的暢通，同時(shí)在核心交換機(jī)、二層打通交換機(jī)、骨干路由器上通過(guò)OSPF動(dòng)態(tài)路由協(xié)議構(gòu)建三個(gè)環(huán)路，以保障數(shù)據(jù)中心之間的冗余度以及鏈路的負(fù)載分擔(dān)。核心交換使用H3C的專有虛擬化技術(shù)IRF的核心交換機(jī)H3C 10500，將每個(gè)數(shù)據(jù)中心的兩臺(tái)核心設(shè)備虛擬為一臺(tái)，這樣各分區(qū)

26、的匯聚交換可以使用鏈路聚合的方式連接到核心交換上，兩個(gè)數(shù)據(jù)中心通過(guò)雙運(yùn)營(yíng)商的線路，采用OSPF動(dòng)態(tài)路由協(xié)議的方式進(jìn)行互聯(lián)，用以保證鏈路貸款以及業(yè)務(wù)的高可用性和連續(xù)性。二層打通交換機(jī)使用銳捷虛擬化技術(shù)將兩臺(tái)設(shè)備虛擬成一臺(tái)設(shè)備，并分別使用兩個(gè)運(yùn)營(yíng)商的裸光纖線路進(jìn)行互聯(lián)。其中每個(gè)運(yùn)營(yíng)商采用兩條鏈路進(jìn)行互聯(lián)，使用共計(jì)室條鏈路進(jìn)行跨設(shè)備鏈路聚合，這樣使數(shù)據(jù)中心間的二層帶寬達(dá)到40G，保證了數(shù)據(jù)中心之間二層鏈路的高速無(wú)阻塞轉(zhuǎn)發(fā)。1.4. 邊界網(wǎng)絡(luò)的設(shè)計(jì)在本次方案中，我們擬將分行、支行和辦公網(wǎng)接入網(wǎng)絡(luò)通過(guò)邊界防火墻接入核心路由器SR6608，進(jìn)而訪問(wèn)服務(wù)輸出層。邊界防火墻通過(guò)虛擬化技術(shù)將防火墻虛擬成多個(gè)供使

27、用。通過(guò)安全策略的限制，控制各個(gè)分區(qū)以及邊界網(wǎng)絡(luò)各個(gè)設(shè)備之間的訪問(wèn)。通過(guò)此方式來(lái)實(shí)現(xiàn)各個(gè)分區(qū)之間的安全訪問(wèn)，具體細(xì)節(jié)在安全設(shè)計(jì)里面會(huì)有詳細(xì)的描述。外聯(lián)機(jī)構(gòu)部分：銀聯(lián)、人民行、銀監(jiān)局、清算中心、其他代收費(fèi)、電話銀行、網(wǎng)銀等通過(guò)外聯(lián)防火墻接入核心路由，從而訪問(wèn)服務(wù)輸出層。在兩個(gè)機(jī)房的各兩個(gè)SR6608和各個(gè)外聯(lián)路由器上，將采用OSPF動(dòng)態(tài)路由協(xié)議構(gòu)建一張環(huán)形網(wǎng)絡(luò)，保證到外聯(lián)機(jī)構(gòu)能有兩條可用的數(shù)據(jù)通道（在有雙線路的業(yè)務(wù)上）。同時(shí)通過(guò)OSPF動(dòng)態(tài)路由協(xié)議實(shí)現(xiàn)兩個(gè)機(jī)房之間的外聯(lián)業(yè)務(wù)數(shù)據(jù)的負(fù)載分擔(dān)和鏈路備份，保障外聯(lián)區(qū)域的高可用性以及業(yè)務(wù)的連續(xù)性需求。2 網(wǎng)絡(luò)安全設(shè)計(jì)2.1 網(wǎng)絡(luò)安全部署思路某銀行本次信息

28、建設(shè)雖然包括主數(shù)據(jù)中心改造，同城災(zāi)備中心新建的改造和建設(shè)，但也必須從全局和架構(gòu)的高度進(jìn)行統(tǒng)一的設(shè)計(jì)。建議采用目前國(guó)際最新的“信息保障技術(shù)框架（IATF）”安全體系結(jié)構(gòu)，其明確提出需要考慮3個(gè)主要的因素：人、操作和技術(shù)。本技術(shù)方案著重討論技術(shù)因素，人和操作則需要在非技術(shù)領(lǐng)域（比如安全規(guī)章制度）方面進(jìn)行解決。技術(shù)因素方面IATF提出了一個(gè)通用的框架，將信息系統(tǒng)的信息保障技術(shù)層面分為了四個(gè)技術(shù)框架域：· 網(wǎng)絡(luò)和基礎(chǔ)設(shè)施：網(wǎng)絡(luò)和基礎(chǔ)設(shè)施的防護(hù)· 飛地邊界：解決邊界保護(hù)問(wèn)題· 局域計(jì)算環(huán)境：主機(jī)的計(jì)算環(huán)境的保護(hù)· 支撐性基礎(chǔ)設(shè)施：安全的信息環(huán)境所需要的支撐平臺(tái)并提

29、出縱深防御的IA原則，即人、技術(shù)、操作相結(jié)合的多樣性、多層疊的保護(hù)原則。如下圖所示：主要的一些安全技術(shù)和應(yīng)用在框架中的位置如下圖所示：我們?cè)诒敬尉W(wǎng)絡(luò)建設(shè)改造中需要考慮的安全問(wèn)題就是上圖中的“網(wǎng)絡(luò)和基礎(chǔ)設(shè)施保護(hù)”、“邊界保護(hù)”兩個(gè)方面，而“計(jì)算機(jī)環(huán)境（主機(jī)）”、“支撐平臺(tái)”則是在系統(tǒng)主機(jī)建設(shè)和業(yè)務(wù)應(yīng)用建設(shè)中需要重點(diǎn)考慮的安全問(wèn)題。2.2 網(wǎng)絡(luò)平臺(tái)建設(shè)所必須考慮的安全問(wèn)題高速發(fā)達(dá)的網(wǎng)絡(luò)平臺(tái)衍生現(xiàn)代的網(wǎng)絡(luò)病毒、蠕蟲、DDoS攻擊和黑客入侵等等攻擊手段，如果我們的防護(hù)手段依然停留在對(duì)計(jì)算環(huán)境和信息資產(chǎn)的保護(hù)，將處于被動(dòng)。需要從網(wǎng)絡(luò)底層平臺(tái)的建設(shè)開(kāi)始，將安全防護(hù)的特性內(nèi)置于其中。因此在SODC架構(gòu)中，安

30、全是一個(gè)智能網(wǎng)絡(luò)應(yīng)當(dāng)對(duì)上層業(yè)務(wù)提供的基本服務(wù)之一。某銀行網(wǎng)絡(luò)從平臺(tái)安全角度的安全設(shè)計(jì)分為以下三個(gè)層次：設(shè)備級(jí)的安全：需要保證設(shè)備本身的安全，因?yàn)樵O(shè)備本身也越來(lái)越可能成為攻擊的最終目標(biāo)；網(wǎng)絡(luò)級(jí)的安全：網(wǎng)絡(luò)作為信息傳輸?shù)钠脚_(tái)，有第一時(shí)間保護(hù)信息資源的能力和機(jī)會(huì)，包括進(jìn)行用戶接入認(rèn)證、授權(quán)和審計(jì)以防止非法的接入，進(jìn)行傳輸加密以防止信息的泄漏和窺測(cè)，進(jìn)行安全劃分和隔離以防止為授權(quán)的訪問(wèn)等等；系統(tǒng)級(jí)的主動(dòng)安全：智能的防御網(wǎng)絡(luò)必須能夠?qū)崿F(xiàn)所謂“先知先覺(jué)”，在潛在威脅演變?yōu)榘踩糁凹右源胧?，包括通過(guò)準(zhǔn)入控制來(lái)使“健康”的機(jī)器才能接入網(wǎng)絡(luò)，通過(guò)事前探測(cè)即時(shí)分流來(lái)防止大規(guī)模DDoS攻擊，進(jìn)行全局的安全管理等

31、。某銀行應(yīng)在上述三個(gè)方面逐步實(shí)施。2.3 網(wǎng)絡(luò)設(shè)備級(jí)安全網(wǎng)絡(luò)設(shè)備自身安全包括設(shè)備本身對(duì)病毒和蠕蟲的防御以及網(wǎng)絡(luò)協(xié)議本身的防范措施。有以下是本項(xiàng)目所涉及的網(wǎng)絡(luò)設(shè)備和協(xié)議環(huán)境面臨的威脅和相應(yīng)的解決方案： 防蠕蟲病毒的等Dos攻擊數(shù)據(jù)中心雖然沒(méi)有直接連接Internet，但內(nèi)部專網(wǎng)中很多計(jì)算機(jī)并無(wú)法保證在整個(gè)使用周期內(nèi)不會(huì)接觸互聯(lián)網(wǎng)和各種移動(dòng)存儲(chǔ)介質(zhì)，仍然會(huì)較多的面臨大量網(wǎng)絡(luò)蠕蟲病毒的威脅，比如Red Code，SQL Slammer等等，由于它們經(jīng)常變換特征，防火墻也不能完全對(duì)其進(jìn)行過(guò)濾，它們一般發(fā)作的機(jī)理如下：· 利用Microdsoft OS或應(yīng)用的緩沖區(qū)溢出的漏洞獲得

32、此主機(jī)的控制權(quán)· 獲得此主機(jī)的控制權(quán)后，安裝病毒軟件，病毒軟件隨機(jī)生成大量的IP地址，并向這些IP地址發(fā)送大量的IP包。· 有此安全漏洞的MS OS會(huì)受到感染，也隨機(jī)生成大量IP地址，并向這些IP地址發(fā)送大量的IP包。· 導(dǎo)致阻塞網(wǎng)絡(luò)帶寬，CPU利用率升高等· 直接對(duì)網(wǎng)絡(luò)設(shè)備發(fā)出錯(cuò)包，讓網(wǎng)絡(luò)設(shè)備CPU占用率升高直至引發(fā)協(xié)議錯(cuò)誤甚至宕機(jī)因此需要在設(shè)備一級(jí)保證受到攻擊時(shí)本身的健壯性。此次某銀行的核心交換機(jī)H3C S10500支持控制平面的多級(jí)保護(hù)及安全性，S10500的控制平面策略特性通過(guò)配置QoS過(guò)濾和限速來(lái)管理從數(shù)據(jù)平面（DP）到控制平面（CP）的報(bào)文流

33、，保護(hù)S10500交換機(jī)在遭受DoS攻擊時(shí)能識(shí)別和保護(hù)重要的報(bào)文，丟棄非法的報(bào)文，保證控制平面在遭受攻擊或者大流量的情形下維護(hù)正常的轉(zhuǎn)發(fā)和協(xié)議狀態(tài)、服務(wù)器接入交換機(jī)RG S5750支持支持集中式MAC地址認(rèn)證、802.1x認(rèn)證、PORTAL認(rèn)證、EAD快速部署，支持用戶帳號(hào)、IP、MAC、VLAN、端口等用戶標(biāo)識(shí)元素的動(dòng)態(tài)或靜態(tài)綁定，同時(shí)實(shí)現(xiàn)用戶策略（VLAN、QoS、ACL）的動(dòng)態(tài)下發(fā)；配合H3C公司的iMC系統(tǒng)對(duì)在線用戶進(jìn)行實(shí)時(shí)的管理，及時(shí)的診斷和瓦解網(wǎng)絡(luò)非法行為。RG S5750系列交換機(jī)提供增強(qiáng)的ACL控制邏輯，支持超大容量的入方向和出方向ACL，并且支持基于VLAN的ACL下發(fā)，在簡(jiǎn)

34、化用戶配置過(guò)程的同時(shí)，避免了ACL資源的浪費(fèi)。另外，S57系列還將支持單播反向路徑查找技術(shù)（uRPF），原理是當(dāng)設(shè)備的一個(gè)接口上收到一個(gè)數(shù)據(jù)包時(shí)，會(huì)反向查找路徑來(lái)驗(yàn)證是否存在從該接收接口到包中制定的源地址之間的路由，即驗(yàn)證了其真實(shí)性，如果不存在就將數(shù)據(jù)包刪除，這樣我們就可以有效杜絕網(wǎng)絡(luò)中日益泛濫的源地址欺騙。防VLAN的脆弱性配置在數(shù)據(jù)中心的不同安全域進(jìn)行防火墻訪問(wèn)控制隔離時(shí)，存在多個(gè)VLAN，雖然廣泛采用端口捆綁、vPC等技術(shù)使正常工作中拓?fù)浜?jiǎn)化甚至完全避免環(huán)路，但由于網(wǎng)絡(luò)VLAN多且關(guān)系復(fù)雜，無(wú)法在工程上完全杜絕諸如網(wǎng)絡(luò)故障切換、誤操作造成的臨時(shí)環(huán)路，因此有必要運(yùn)行生成樹(shù)協(xié)議

35、作為二層網(wǎng)絡(luò)中增加穩(wěn)定性的措施。但是，當(dāng)前有許多軟件都具有STP 功能，惡意用戶在它的PC上安裝STP軟件與一個(gè)Switch相連，引起STP重新計(jì)算，它有可能成為STP Root, 因此所有流量都會(huì)流向惡意軟件主機(jī), 惡意用戶可做包分析。局域網(wǎng)交換機(jī)應(yīng)具有Root guard（根橋監(jiān)控）功能，可以有效防止其它Switch成為STP Root。本項(xiàng)目我們?cè)谒性试S二層生成樹(shù)協(xié)議的設(shè)備上，特別是接入層中都將啟動(dòng)Root Guard特性。還有一些惡意用戶編制特定的STP軟件向各個(gè)Vlan加入，會(huì)引起大量的STP的重新計(jì)算，引起網(wǎng)絡(luò)抖動(dòng)，CPU占用升高。本期所有接入層交換機(jī)的所有端口都將設(shè)置BPDU

36、Guard功能，一旦從某端口接收到惡意用戶發(fā)來(lái)的STP BPDU,則禁止此端口。防止ARP表的攻擊的有效手段本項(xiàng)目大量使用了三層交換機(jī)，在發(fā)送數(shù)據(jù)前其工作方式同路由器一樣先查找ARP，找到目的端的MAC地址，再把信息發(fā)往目的。很多病毒可以向三層交換機(jī)發(fā)一個(gè)冒充的ARP,將目的端的IP地址和惡意用戶主機(jī)的MAC對(duì)應(yīng)，因此發(fā)往目的端的包就會(huì)發(fā)往惡意用戶，以此實(shí)現(xiàn)包竊聽(tīng)。在Host上配置靜態(tài)ARP是一種防止方式，但是有管理負(fù)擔(dān)加重，維護(hù)困難，并當(dāng)通信雙方經(jīng)常更換時(shí)，幾乎不能及時(shí)更新。本期所使用的所有三層交換機(jī)都支持動(dòng)態(tài)ARP Inspection功能，可動(dòng)態(tài)識(shí)別DHCP，記憶MAC地址和IP地址的正

37、確對(duì)應(yīng)關(guān)系，有效防止ARP的欺騙。實(shí)際配置中，主要配置對(duì)Server和網(wǎng)絡(luò)設(shè)備實(shí)施的ARP欺騙，也可靜態(tài)人為設(shè)定，由于數(shù)量不多，管理也較簡(jiǎn)單。2.4 網(wǎng)絡(luò)級(jí)安全網(wǎng)絡(luò)級(jí)安全是網(wǎng)絡(luò)基礎(chǔ)設(shè)施在提供連通性服務(wù)的基礎(chǔ)上所增值的安全服務(wù)，在網(wǎng)絡(luò)平臺(tái)上直接實(shí)現(xiàn)這些安全功能比采用獨(dú)立的物理主機(jī)實(shí)現(xiàn)具有更為強(qiáng)的靈活性、更好的性能和更方便的管理。在本次數(shù)據(jù)中心的設(shè)計(jì)范圍內(nèi)主要是訪問(wèn)控制和隔離（防火墻技術(shù)）。從某銀行全網(wǎng)看，集團(tuán)網(wǎng)絡(luò)、各地機(jī)構(gòu)廣域網(wǎng)、互聯(lián)網(wǎng)、內(nèi)部樓層、內(nèi)部數(shù)據(jù)中心等都是具備明顯不同安全要求的網(wǎng)絡(luò)，按飛地邊界部署規(guī)則，都需要有防火墻進(jìn)行隔離。本文檔僅討論數(shù)據(jù)中心部分內(nèi)部的防火墻安全控制設(shè)計(jì)。安全域的劃

38、分?jǐn)?shù)據(jù)中心安全域的劃分需要建立在對(duì)數(shù)據(jù)中心應(yīng)用業(yè)務(wù)的分析基礎(chǔ)之上，因而與前述的虛擬服務(wù)區(qū)的劃分原則一致。實(shí)際上按虛擬化設(shè)計(jì)原則，每一個(gè)虛擬服務(wù)區(qū)應(yīng)當(dāng)對(duì)應(yīng)唯一的虛擬防火墻，也即對(duì)應(yīng)唯一的一個(gè)安全域。具體原則如下：l 同一業(yè)務(wù)一定要在一個(gè)安全域內(nèi)l 有必要進(jìn)行安全審計(jì)和訪問(wèn)控制的區(qū)域必須使用安全域劃分l 需要進(jìn)行虛擬機(jī)遷移的虛擬主機(jī)要在一個(gè)安全域中l(wèi) 劃分不宜過(guò)細(xì)，安全等級(jí)一致的業(yè)務(wù)可以在安全域上進(jìn)行歸并，建議一期不超過(guò)5個(gè)安全域一般可以劃分為：OA區(qū)，應(yīng)用服務(wù)區(qū)，數(shù)據(jù)庫(kù)區(qū)，開(kāi)發(fā)測(cè)試區(qū)等。2.5 防火墻部署設(shè)計(jì)在此次方案中我們?cè)O(shè)計(jì)將防火墻部署在服務(wù)器區(qū)域，如下圖：上圖中無(wú)論是在主數(shù)據(jù)中心還是在災(zāi)備

39、數(shù)據(jù)中心所有的外聯(lián)鏈路及外聯(lián)區(qū)域我們都部署了防火墻。如上圖：防火墻將被部署在外聯(lián)區(qū)域和服務(wù)器群兩個(gè)地方，外聯(lián)將采用邁普的DPX8000-A5防火墻，通過(guò)虛擬化的方式來(lái)實(shí)現(xiàn)各個(gè)接入設(shè)備之間的安全性保障，新增的Juniper SRX1400防火墻將被部署在服務(wù)器群，通過(guò)防火墻虛擬化為各個(gè)服務(wù)區(qū)域提供服務(wù)。不同安全域之間的訪問(wèn)控制策略只需考慮各個(gè)安全域內(nèi)出方向策略和入方向策略即可。建議初始策略依據(jù)如下原則設(shè)定，然后根據(jù)業(yè)務(wù)需求不斷調(diào)整：l 出方向上不進(jìn)行策略限制，全部打開(kāi)l 入方向上按“最小授權(quán)原則”打開(kāi)必要的服務(wù)l 允許發(fā)自內(nèi)部地址的雙方向的ICMP，但對(duì)ICMP進(jìn)行應(yīng)用檢查（Inspect）l

40、允許發(fā)自內(nèi)部地址的Trace Route，便于網(wǎng)絡(luò)診斷l(xiāng) 關(guān)閉雙方向的TCP Seq Randomization，在數(shù)據(jù)中心內(nèi)的防火墻可以去除該功能以提高轉(zhuǎn)發(fā)效率l 減少或者不進(jìn)行NAT，保證數(shù)據(jù)中心內(nèi)的地址透明性，便于ACE提供服務(wù)l 關(guān)閉nat-control（此為默認(rèn)），關(guān)閉xlate記錄，以保證并發(fā)連接數(shù)在此次設(shè)計(jì)方案我們推薦使用：JUNIPER SRX1400，DP8000-A5 兩款高性能防火墻， JUNIPER SRX1400特點(diǎn)：防火墻性能（最大） 10 GbpsIPS性能(NSS 4.2.1) 2 GbpsAES256+SHA-1 / 3DES+SHA-1 VPN性能 2 G

41、bps最大并發(fā)會(huì)話數(shù) 50萬(wàn)每秒新建會(huì)話數(shù)（持續(xù)、TCP、3向） 45,000最大安全策略數(shù) 40,000支持的最大用戶數(shù) 不限可用于安裝IOC的最大插槽數(shù) 1 (前面插槽)固定I/O端口 GE基本系統(tǒng)6個(gè)10/100/1000 RJ45 + 4個(gè)1000Base-X SFP + 2個(gè)1000Base-X SFP（數(shù)據(jù)或集群控制的共用端口） XGE基本系統(tǒng)3個(gè)10GBase-X SFP plus + 6個(gè)10/100/1000 RJ45 + 1個(gè)1000Base-X SFP + 2個(gè)1000Base-X SFP（數(shù)據(jù)或集群控制的共用端口）CX111 3G網(wǎng)橋支持 N/A內(nèi)部3G Express

42、 Card插槽支持 N/A局域網(wǎng)接口選項(xiàng) 16個(gè)10/100/1000 RJ4516個(gè)1000Base-X SFP2個(gè)10GBase-X XFP高可用性支持 主用/備用，主用/主用低影響的機(jī)箱集群機(jī)箱集群的接口匯聚組AppSecure 服務(wù) 應(yīng)用識(shí)別：有為應(yīng)用提供的拒絕服務(wù)攻擊防護(hù)(AppDoS):有AppTrack:有防火墻 網(wǎng)絡(luò)入侵檢測(cè)：有DoS和DDoS防護(hù):有用于保護(hù)片段數(shù)據(jù)包的TCP流重組：有強(qiáng)行攻擊緩解：有SYN cookie防護(hù)：有基于區(qū)域的IP欺騙防護(hù)：有異常數(shù)據(jù)包防護(hù)：有GPRS狀態(tài)檢測(cè)：有入侵防御系統(tǒng) 狀態(tài)協(xié)議簽名：有攻擊檢測(cè)機(jī)制：狀態(tài)簽名、協(xié)議異常檢測(cè)（包括零日攻擊）、應(yīng)

43、用識(shí)別攻擊響應(yīng)機(jī)制：丟棄連接、關(guān)閉連接、會(huì)話數(shù)據(jù)包日志、會(huì)話匯總、電子郵件、定制會(huì)話攻擊通知機(jī)制：結(jié)構(gòu)化系統(tǒng)日志蠕蟲防御：有SSL加密流量檢測(cè)：有通過(guò)建議使用的策略來(lái)簡(jiǎn)化安裝工作：有特洛伊木馬防護(hù)：有間諜軟件/廣告軟件/鍵盤記錄防護(hù)：有其他惡意軟件防護(hù)：有防止受感染的系統(tǒng)傳播攻擊：有偵聽(tīng)防護(hù)：有請(qǐng)求端和響應(yīng)端的攻擊防護(hù)：有復(fù)合攻擊 - 結(jié)合了狀態(tài)簽名和協(xié)議異常：有創(chuàng)建定制的攻擊簽名：有用于定制的接入上下文： 500+攻擊編輯（端口范圍、其他）：有流特征：有協(xié)議閾值：有狀態(tài)協(xié)議簽名：有大約覆蓋的攻擊數(shù)量： 6,000+詳細(xì)的威脅說(shuō)明和修復(fù)/補(bǔ)丁信息：有創(chuàng)建和執(zhí)行適當(dāng)?shù)膽?yīng)用使用策略：有攻擊者和目標(biāo)

44、審計(jì)跟蹤與報(bào)告：有部署模式：線內(nèi)或TAP 尺寸和電源 尺寸 (W x H x D) :17.5 x 5.25 x 13.8英寸 (44.5 x 13.3 x 35.05厘米)重量：基本機(jī)箱：29.3磅 (13.3千克)完整配置的機(jī)箱：42.5磅(19.3千克)電源(AC)：100 - 127 VAC, 60 Hz, 13.0 A電源(DC)：-40 至 -72 V DC最大功耗：1100 W (AC電源), 1050 W (DC電源)電源冗余： 1 + 12.6某銀行同城災(zāi)備中心建設(shè)邊界網(wǎng)絡(luò)安全防護(hù)解決方案拓?fù)溽槍?duì)某銀行邊界網(wǎng)絡(luò)安全防護(hù)要求，安全防護(hù)解決方案可以從技術(shù)上、工程上以及提供的服務(wù)質(zhì)

45、量上均能非常好的滿足要求，具體組網(wǎng)構(gòu)架如下：主機(jī)房的兩臺(tái)迪普深度安全網(wǎng)關(guān)和備機(jī)房的兩臺(tái)迪普深度安全網(wǎng)關(guān)，分別通過(guò)虛擬化多虛一方式，將兩臺(tái)迪普DPX8000-A5深度安全網(wǎng)關(guān)防火墻、IPS進(jìn)行虛擬化成一個(gè)云平臺(tái)。然后通過(guò)多虛一的方式，將一個(gè)云平臺(tái)，虛擬成兩個(gè)邏輯的深度安全網(wǎng)關(guān)防火墻、IPS設(shè)備，每個(gè)邏輯設(shè)備部署分別部署在支行接入?yún)^(qū)和辦公接入?yún)^(qū)的邊界。主機(jī)房深度安全網(wǎng)關(guān)云平臺(tái)和備機(jī)房深度安全網(wǎng)關(guān)通過(guò)二層打通交換機(jī)互聯(lián)，實(shí)時(shí)同步策略配置，未來(lái)隨著業(yè)務(wù)和技術(shù)的發(fā)展，配合核心交換機(jī)實(shí)現(xiàn)四虛一的平臺(tái)建設(shè)，完全實(shí)現(xiàn)主備機(jī)房的虛擬化，所有數(shù)據(jù)可以靈活根據(jù)設(shè)備的負(fù)載情況智能漂移。2.7某銀行同城災(zāi)備中心建設(shè)支行

46、接入?yún)^(qū)網(wǎng)絡(luò)安全防護(hù)解決方案支行接入?yún)^(qū)負(fù)責(zé)連接轄內(nèi)各個(gè)支行和網(wǎng)點(diǎn)，以及外埠分行接入總行等，支行所有金融業(yè)務(wù)數(shù)據(jù)與數(shù)據(jù)中心的互訪需要經(jīng)過(guò)此區(qū)域，因此，保障該數(shù)據(jù)全方位的安全至關(guān)重要。在核心區(qū)交換機(jī)和接入路由器之間部署深度安全網(wǎng)關(guān)防火墻、IPS，有效對(duì)各支行網(wǎng)點(diǎn)防護(hù)總部進(jìn)行安全防護(hù)，及各支行網(wǎng)點(diǎn)之間業(yè)務(wù)數(shù)據(jù)進(jìn)行安全防護(hù)。2.8某銀行同城災(zāi)備中心建設(shè)辦公接入?yún)^(qū)網(wǎng)絡(luò)安全防護(hù)解決方案用戶接入?yún)^(qū)主要負(fù)責(zé)新大樓內(nèi)機(jī)關(guān)用戶接入網(wǎng)絡(luò)。在核心交換機(jī)和樓層接入?yún)R聚交換機(jī)之間部署應(yīng)該接入路由器之間部署深度安全網(wǎng)關(guān)防火墻、IPS，對(duì)用戶訪問(wèn)安全防護(hù)。2.9邊界網(wǎng)絡(luò)安全解決方案設(shè)計(jì)優(yōu)勢(shì)支行接入?yún)^(qū)、辦公接入?yún)^(qū)使用DPtech

47、 DPX8000-A5深度業(yè)務(wù)交換網(wǎng)關(guān)產(chǎn)品作為核心安全防護(hù)。通過(guò)虛擬化多虛一方式，將兩臺(tái)迪普DPX8000-A5深度安全網(wǎng)關(guān)防火墻、IPS進(jìn)行虛擬化成一個(gè)云平臺(tái)。然后通過(guò)多虛一的方式，將一個(gè)云平臺(tái)，虛擬成兩個(gè)邏輯的深度安全網(wǎng)關(guān)防火墻、IPS設(shè)備，每個(gè)邏輯設(shè)備部署分別部署在支行接入?yún)^(qū)和辦公接入?yún)^(qū)。根據(jù)區(qū)域所需要的安全性能容量進(jìn)行合理分配，最終到達(dá)最優(yōu)的部署方案。后續(xù)根據(jù)區(qū)域業(yè)務(wù)系統(tǒng)的發(fā)展靈活的調(diào)配安全性能容量。另外迪普深度安全網(wǎng)關(guān)具備以下優(yōu)勢(shì)特點(diǎn)：高性能100G平臺(tái)高性能。支持未來(lái)40GE和100GE以太網(wǎng)標(biāo)準(zhǔn)，提供480GE的全線速無(wú)阻塞處理能力；高性能業(yè)務(wù)單板，最大可提供400G整機(jī)深度業(yè)務(wù)

48、處理能力，保證某銀行在啟用防火墻功能、IPS功能、防病毒、復(fù)雜的路由協(xié)議的同時(shí)依然能夠保證業(yè)務(wù)數(shù)據(jù)限速轉(zhuǎn)發(fā)。一體化業(yè)界第一款深度業(yè)務(wù)交換網(wǎng)關(guān)。集業(yè)務(wù)交換、網(wǎng)絡(luò)安全、應(yīng)用交付三大功能于一體，適應(yīng)融合業(yè)務(wù)網(wǎng)絡(luò)發(fā)展趨勢(shì)，使某銀行復(fù)雜的網(wǎng)絡(luò)變得更簡(jiǎn)單易擴(kuò)展DPtech DPX8000-12核心設(shè)備添加防火墻插卡、IPS入侵防御插卡、審計(jì)流控系統(tǒng)UAG插卡和LB負(fù)載均衡插卡，形成2-7層的整體攻擊防護(hù)系統(tǒng)。LB負(fù)載均衡插卡可以同時(shí)實(shí)現(xiàn)對(duì)服務(wù)器的負(fù)載均衡和出口鏈路的負(fù)載均衡和應(yīng)用優(yōu)化。另外DPX8000-A5有擴(kuò)展插槽10個(gè)具備強(qiáng)大的擴(kuò)展性能，某銀行同城災(zāi)備中心建設(shè)項(xiàng)目網(wǎng)絡(luò)安全的擴(kuò)容問(wèn)題。安全性在DPX8

49、000深度業(yè)務(wù)網(wǎng)關(guān)、DPtechFW1000防火墻配置大規(guī)模訪問(wèn)控制列表，針對(duì)應(yīng)用層協(xié)議的狀態(tài)檢測(cè)，數(shù)據(jù)嚴(yán)格的IPS、AV檢查，實(shí)現(xiàn)網(wǎng)絡(luò)二至七的安全防護(hù)。虛擬化N:M和VSM虛擬化技術(shù)。兩臺(tái)獨(dú)立的安全設(shè)備形成一個(gè)邏輯對(duì)象，提高了網(wǎng)絡(luò)安全一倍處理能力，并使得可靠性、無(wú)縫升級(jí)能力大大增強(qiáng)。避免某銀行二層的生成樹(shù)協(xié)議，使帶寬最大程度利用。同時(shí)網(wǎng)絡(luò)安全虛擬化配合服務(wù)器虛擬化、路由交換虛擬化，為某銀行未來(lái)提供云計(jì)算服務(wù)打下堅(jiān)實(shí)平臺(tái)。網(wǎng)絡(luò)適用性強(qiáng)大的網(wǎng)絡(luò)適用性。支持IPv4/IPv6、三層/二層MPLS VPN等豐富的網(wǎng)絡(luò)特性，并提供48GE光、48GE電、4*10GE、8*10GE、4*2.5G POS

50、、4*10G POS等各種高密端口可靠性電信級(jí)高可靠。主控冗余、N+1電源、不間斷重啟、熱補(bǔ)丁、數(shù)據(jù)/控制/監(jiān)測(cè)平面分離等技術(shù)，確保99.999的電信級(jí)可靠性每當(dāng)提及網(wǎng)絡(luò)設(shè)備性能的時(shí)候，很多人總認(rèn)為背板帶寬、背板帶寬交換容量、包轉(zhuǎn)發(fā)率越高越好，這完全是一個(gè)誤區(qū)！真正評(píng)價(jià)一臺(tái)設(shè)備性能好的依據(jù)為線速轉(zhuǎn)發(fā)，或者說(shuō)在所有端口100%利用率的時(shí)候仍然沒(méi)有任何數(shù)據(jù)包丟失。2.10邊界深度安全網(wǎng)關(guān)防護(hù)策略解決方案訪問(wèn)控制通過(guò)FW防火墻業(yè)務(wù)板卡部署大規(guī)模的ACL訪問(wèn)控制列表，采取狀態(tài)的包過(guò)濾技術(shù)，過(guò)濾模塊位于TCP/IP網(wǎng)絡(luò)協(xié)議的數(shù)據(jù)鏈路層和IP層之間，能夠監(jiān)控每一個(gè)通過(guò)網(wǎng)絡(luò)的封包。可以根據(jù)每個(gè)數(shù)據(jù)包的源MA

51、C地址、目的MAC地址、源IP地址、目的IP地址、協(xié)議、源端口、目的端口以及數(shù)據(jù)包通過(guò)的時(shí)間，決定是否對(duì)這個(gè)數(shù)據(jù)包予以放行，或者把它過(guò)濾掉。防火墻系統(tǒng)的安全策略是整個(gè)系統(tǒng)的核心，對(duì)于一個(gè)安全系統(tǒng)，安全策略的制訂至關(guān)重要。策略本身出現(xiàn)問(wèn)題，會(huì)導(dǎo)致整個(gè)安全系統(tǒng)產(chǎn)生致命的安全問(wèn)題。因此，對(duì)于安全系統(tǒng)的策略制訂一定要遵守相關(guān)的原則。幾乎所有防火墻系統(tǒng)的安全策略由以下元素組成：源地址、目的地址、服務(wù)動(dòng)作。所有防火墻策略的執(zhí)行是按照前后順序方式執(zhí)行，當(dāng)策略被執(zhí)行后，其后的策略不被執(zhí)行。因此，在制訂安全策略時(shí)要遵循以下原則：1、越嚴(yán)格的策略越要放在前面2、越寬松的策略越要往后放3、策略避免有二意性可通過(guò)以下

52、三種策略控制信息流的流動(dòng)：1、通過(guò)創(chuàng)建區(qū)段間策略，可以管理允許從一個(gè)安全區(qū)段到另一個(gè)安全區(qū)段的信息流的種類。2、通過(guò)創(chuàng)建區(qū)段內(nèi)部策略，也可以控制允許通過(guò)綁定到同一區(qū)段的接口間的信息流的類型。3、通過(guò)創(chuàng)建全局策略，可以管理地址間的信息流，而不考慮它們的安全區(qū)段。防火墻提供具有單個(gè)進(jìn)入和退出點(diǎn)的網(wǎng)絡(luò)邊界。由于所有信息流都必須通過(guò)此點(diǎn)，因此可以篩選并引導(dǎo)所有通過(guò)執(zhí)行策略組列表（區(qū)段間策略、內(nèi)部區(qū)段策略和全局策略）產(chǎn)生的信息流。策略能允許、拒絕、加密、認(rèn)證、排定優(yōu)先次序、調(diào)度以及監(jiān)控嘗試從一個(gè)安全區(qū)段流到另一個(gè)安全區(qū)段的信息流?？梢詻Q定哪些用戶和信息能進(jìn)入和離開(kāi)，以及它們進(jìn)入和離開(kāi)的時(shí)間和地點(diǎn)。策略的

53、結(jié)構(gòu)策略必須包含下列元素：Ø 區(qū)段（源區(qū)段和目的區(qū)段）Ø 地址（源地址和目的地址）Ø 服務(wù)Ø 動(dòng)作（permit、deny、tunnel）等Ø 策略也可包含下列元素：Ø VPN通道確定Ø Layer 2（第2 層）傳輸協(xié)議(L2TP) 通道確定Ø 策略組列表頂部位置Ø 網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)，使用動(dòng)態(tài)IP (DIP) 池Ø 用戶認(rèn)證Ø 備份HA 會(huì)話Ø 記錄Ø 計(jì)數(shù)Ø 信息流報(bào)警設(shè)置Ø 時(shí)間表Ø 信息流整形時(shí)間表通過(guò)將時(shí)間表與策略相關(guān)聯(lián)

54、，可以確定策略生效的時(shí)間?？梢詫r(shí)間表配置為循環(huán)生效，也可配置為單次事件。時(shí)間表為控制網(wǎng)絡(luò)信息流的流動(dòng)以及確保網(wǎng)絡(luò)安全提供了強(qiáng)有力的工具。入侵防范通過(guò)DPX8000深度安全網(wǎng)關(guān)平臺(tái)+IPS業(yè)務(wù)板卡對(duì)某銀行區(qū)域邊界業(yè)務(wù)系統(tǒng)二至七層入侵防范，包括病毒、掃描、漏洞、黑客、后門等多種攻擊手段防范。網(wǎng)絡(luò)入侵檢測(cè)與防御系統(tǒng)則是從多種計(jì)算機(jī)系統(tǒng)及網(wǎng)絡(luò)中收集信息，再通過(guò)這些信息分析入侵特征的網(wǎng)絡(luò)安全系統(tǒng)。網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)還可以與防火墻等其它安全產(chǎn)品緊密結(jié)合，最大程度地為網(wǎng)絡(luò)系統(tǒng)提供安全保障。網(wǎng)絡(luò)入侵檢測(cè)與防御系統(tǒng)是對(duì)網(wǎng)絡(luò)入侵行為的檢測(cè)和控制。它通過(guò)監(jiān)視計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)報(bào)文，并對(duì)這些報(bào)文進(jìn)行協(xié)議分析和模式匹配，從

55、中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象，一旦發(fā)現(xiàn)攻擊能夠發(fā)出報(bào)警并采取相應(yīng)的措施，如阻斷、跟蹤和反擊等。同時(shí)，記錄受到攻擊的過(guò)程，為網(wǎng)絡(luò)或系統(tǒng)的恢復(fù)和追查攻擊的來(lái)源提供基本數(shù)據(jù)。同時(shí)，目前最新的網(wǎng)絡(luò)入侵檢測(cè)與防御系統(tǒng)還引入全面流量監(jiān)測(cè)發(fā)現(xiàn)異常，結(jié)合地理信息顯示入侵事件的定位狀況，應(yīng)用入侵和漏洞之間具有對(duì)應(yīng)的關(guān)聯(lián)關(guān)系，給出入侵威脅和資產(chǎn)脆弱性之間的關(guān)聯(lián)風(fēng)險(xiǎn)分析結(jié)果，從而有效地管理安全事件并進(jìn)行及時(shí)處理和響應(yīng)。為了減少誤報(bào)、漏報(bào)，提高檢測(cè)效率，網(wǎng)絡(luò)入侵檢測(cè)與防御系統(tǒng)要求具有：Ø 高性能報(bào)文處理架構(gòu)；Ø 基于狀態(tài)的協(xié)議分析；Ø 樹(shù)型規(guī)則和匹配算法；&#

56、216; 準(zhǔn)確特征提取并分析；Ø 分級(jí)管理與控制技術(shù)；Ø 面向?qū)ο蟮奶摂M引擎；惡意代碼防護(hù)在某銀行區(qū)域邊界部署DPX8000+IPS板卡對(duì)防病毒和惡意代碼進(jìn)行防護(hù)，主要作用如下：第一，可以對(duì)蠕蟲進(jìn)行過(guò)濾，蠕蟲可以利用電子郵件、文件傳輸?shù)确绞竭M(jìn)行擴(kuò)散，也可以利用系統(tǒng)的漏洞發(fā)起動(dòng)態(tài)攻擊。近幾年蠕蟲造成的危害越來(lái)越大，可以導(dǎo)致系統(tǒng)嚴(yán)重?fù)p壞和網(wǎng)絡(luò)癱瘓。如尼姆達(dá)（Nimda）、紅色代碼（CodeRed）、蠕蟲王（Slammer）、沖擊波（Blaster）等。根據(jù)蠕蟲的特點(diǎn)，從OSI的多個(gè)層次進(jìn)行處理。在網(wǎng)絡(luò)層和傳輸層過(guò)濾蠕蟲利用漏洞的動(dòng)態(tài)攻擊數(shù)據(jù)，在應(yīng)用層過(guò)濾利用正常協(xié)議（SMTP、

57、HTTP、POP3、FTP等）傳輸?shù)撵o態(tài)蠕蟲代碼。同時(shí)，防病毒網(wǎng)關(guān)不僅需要過(guò)濾靜態(tài)蠕蟲代碼，而且能夠阻斷蠕蟲的動(dòng)態(tài)攻擊（包括所引發(fā)的病毒傳播、后門漏洞、DoS/DDoS攻擊等）。這樣，可以實(shí)現(xiàn)全面防御蠕蟲的目的。第二：病毒過(guò)濾，這里的病毒過(guò)濾是指普通病毒（例如CIH）、郵件病毒（例如求職信、美麗殺手、愛(ài)蟲、Mydoom）、特洛伊木馬、網(wǎng)頁(yè)惡意代碼的過(guò)濾等。對(duì)于網(wǎng)頁(yè)瀏覽（HTTP協(xié)議）、文件傳輸（FTP協(xié)議）、郵件傳輸（SMTP、POP3協(xié)議）等病毒，基于專門的病毒引擎進(jìn)行查殺。對(duì)郵件病毒，可以定義對(duì)病毒的處理方式，決定清除病毒、刪除附件、丟棄等操作，發(fā)現(xiàn)病毒時(shí)通知管理員、收件人、發(fā)件人等操作。

58、第三：內(nèi)容過(guò)濾，進(jìn)行內(nèi)容檢查。具有高度準(zhǔn)確的內(nèi)容識(shí)別能力。同時(shí)支持對(duì)郵件的關(guān)鍵字、附件文件類型進(jìn)行過(guò)濾，通過(guò)定義可信或不可信的URL并進(jìn)行過(guò)濾，可以選擇對(duì)網(wǎng)頁(yè)腳本進(jìn)行過(guò)濾，對(duì)傳輸?shù)男畔⑦M(jìn)行智能識(shí)別過(guò)濾，防止敏感信息的侵?jǐn)_和擴(kuò)散。網(wǎng)絡(luò)設(shè)備防護(hù)合理配置交換機(jī)、路由器、安全設(shè)備，通過(guò)安全管理平臺(tái)統(tǒng)一管理監(jiān)控某銀行網(wǎng)絡(luò)，保證網(wǎng)絡(luò)設(shè)備自身安全防護(hù)。安全運(yùn)營(yíng)平臺(tái)的主要功能如下：1、監(jiān)控各個(gè)網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)等日志信息，以及安全產(chǎn)品的安全事件報(bào)警信息等，以便及時(shí)發(fā)現(xiàn)正在和已經(jīng)發(fā)生的安全事件，例如網(wǎng)絡(luò)蠕蟲攻擊事件、非授權(quán)漏洞掃描事件、遠(yuǎn)程口令暴力破解事件等，及時(shí)協(xié)調(diào)和組織各級(jí)安全管理機(jī)構(gòu)進(jìn)行處理，及時(shí)采取積極主動(dòng)措施，保證網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)的安全、可靠運(yùn)行。2、可以掌握全網(wǎng)各個(gè)系統(tǒng)中存在的安全漏洞情況，結(jié)合當(dāng)前安全的安全動(dòng)態(tài)和預(yù)警信息，