市級銀行網(wǎng)絡(luò)規(guī)劃與安全策略設(shè)計

摘 要：為了適應(yīng)市場經(jīng)濟(jì)的發(fā)展和滿足用戶對銀行業(yè)務(wù)的需求，優(yōu)化地市級銀行的網(wǎng)絡(luò)狀況，提高銀行網(wǎng)絡(luò)的運(yùn)行效率、安全等方面因素，文章設(shè)計了一個模擬的銀行網(wǎng)絡(luò)并加以優(yōu)化，為各銀行提供了網(wǎng)絡(luò)設(shè)計模型。模擬中，原網(wǎng)絡(luò)線路比較單一，設(shè)計不夠冗余，負(fù)載比較嚴(yán)重，服務(wù)器的安全不夠合理。需要在原有骨干線路上在進(jìn)行拓?fù)鋬?yōu)化，增添網(wǎng)絡(luò)設(shè)備，設(shè)計路由和安全策略。最終能夠?qū)崿F(xiàn)設(shè)備間運(yùn)行效率更高，數(shù)據(jù)的傳輸更加安全可靠，保證了重要服務(wù)器的安全。最后經(jīng)過測試，優(yōu)化后的網(wǎng)絡(luò)無論在運(yùn)行效率還是安全性方面都有顯著的提高。

關(guān)鍵詞：模型；拓?fù)鋬?yōu)化；路由；安全策略

中圖分類號：TP393

隨著社會的發(fā)展和市場經(jīng)濟(jì)發(fā)展的需要，人們對于銀行的業(yè)務(wù)需求越來越多，業(yè)務(wù)處理越來越復(fù)雜，簡單的網(wǎng)絡(luò)運(yùn)行管理，已經(jīng)無法滿足銀行快速的發(fā)展。銀行網(wǎng)絡(luò)的設(shè)計中，拓?fù)?、路由和安全的設(shè)計關(guān)系著銀行業(yè)務(wù)的處理效率[1]和數(shù)據(jù)安全[2]以及網(wǎng)絡(luò)運(yùn)行的可靠性等。

1 建設(shè)基礎(chǔ)

1.1 網(wǎng)絡(luò)現(xiàn)狀

當(dāng)前銀行網(wǎng)絡(luò)核心網(wǎng)絡(luò)，以兩臺CISCO3550作為核心交換機(jī)，并啟用三層，各區(qū)域之間通過單線程進(jìn)行鏈接，比較簡單，各區(qū)域之間也都是單線程連接非常簡單。

1.2 存在的問題

舊網(wǎng)建設(shè)時采用的是當(dāng)時先進(jìn)的技術(shù)和優(yōu)良的設(shè)備，但隨著各種技術(shù)層出不窮，舊網(wǎng)在新的形勢面前變得乏力。因此，有如下問題較為明顯是急需改造設(shè)計中需要重點(diǎn)考慮[3，4]。

（1）網(wǎng)絡(luò)冗余：舊網(wǎng)只是在總部對核心采用了備份。一旦某區(qū)域有一條線路斷開，會導(dǎo)致該區(qū)域的癱瘓，無法工作。

（2）網(wǎng)絡(luò)的負(fù)載均衡：舊網(wǎng)僅有一條主鏈路。在大規(guī)模的數(shù)據(jù)傳遞時會產(chǎn)生網(wǎng)絡(luò)擁塞，導(dǎo)致網(wǎng)絡(luò)癱瘓。

（3）舊線路的老化：由于當(dāng)時技術(shù)條件的限制，加上時間的長久，在數(shù)據(jù)的傳輸上不是能夠完全做到快速有效及時。

（4）內(nèi)外部的信息交流：銀行網(wǎng)絡(luò)的建設(shè)重點(diǎn)就是安全性。應(yīng)當(dāng)對部門做一些安全策略。

（5）設(shè)備的不足：當(dāng)前網(wǎng)絡(luò)多區(qū)域共用一臺防火墻，導(dǎo)致網(wǎng)絡(luò)擁塞。

2 建設(shè)方案

通過對現(xiàn)有網(wǎng)絡(luò)的分析，本次的設(shè)計方案在設(shè)備的選擇上更加合理，充分利用IP地址，解決了地址浪費(fèi)和不足的問題。路由方面全網(wǎng)動態(tài)和靜態(tài)相結(jié)合，讓各區(qū)域之間的工作效率更高。充分考慮信息的安全，做好設(shè)備間冗余和備份。

2.1 網(wǎng)絡(luò)設(shè)計

整網(wǎng)按業(yè)務(wù)功能和安全需要分為不同的網(wǎng)絡(luò)區(qū)域。各個區(qū)域部署獨(dú)立的網(wǎng)絡(luò)設(shè)備連接相應(yīng)的主機(jī)、服務(wù)器等設(shè)備，網(wǎng)絡(luò)區(qū)域的匯聚交換機(jī)再連接到核心交換機(jī)上。設(shè)計過程中，要避免過多的環(huán)路，充分考慮備份冗余和數(shù)據(jù)傳輸?shù)男室约案鲄^(qū)域之間網(wǎng)絡(luò)安全等[5，6]。

2.2 路由策略設(shè)計

為保持良好的擴(kuò)展性，此次全網(wǎng)改造中，將使用OSPF動態(tài)路由協(xié)議代替靜態(tài)路由協(xié)議。同時，由于全網(wǎng)采用的三層的分區(qū)結(jié)構(gòu)設(shè)計，且每個功能區(qū)都有防火墻做完全隔離，因此功能區(qū)與核心交換之間仍然使用靜態(tài)路由。對于新建的大型網(wǎng)絡(luò)來說，選擇一個合適的路由協(xié)議非常重要。路由協(xié)議對網(wǎng)絡(luò)的穩(wěn)定高效運(yùn)行、網(wǎng)絡(luò)在拓樸變化時的快速收斂、網(wǎng)絡(luò)帶寬的充分有效利用、網(wǎng)絡(luò)在故障時的快速恢復(fù)、網(wǎng)絡(luò)的靈活擴(kuò)展都有很重要的影響。

數(shù)據(jù)中心網(wǎng)絡(luò)系統(tǒng)路由協(xié)議的選擇要點(diǎn)如下：

（1）適用于實(shí)際網(wǎng)絡(luò)結(jié)構(gòu)，支持大規(guī)模的IP網(wǎng)絡(luò)。

（2）路由選擇的準(zhǔn)確性。

（3）路由算法的簡單、穩(wěn)定，以減少由算法帶來的網(wǎng)絡(luò)流量。

（4）路由算法的迅速收斂。減少由收斂慢可能引起的路由環(huán)路。

（5）路由算法的靈活性。

（6）路由協(xié)議具有很好的可擴(kuò)展性。

3 路由安全策略

3.1 下聯(lián)區(qū)安全部署

ACL（Access Control List，訪問控制列表）是路由器和交換機(jī)接口的指令列表，用來控制端口進(jìn)出的數(shù)據(jù)包，其目的是為了對某種訪問進(jìn)行控制。信息點(diǎn)間通信和內(nèi)外網(wǎng)絡(luò)的通信都是企業(yè)網(wǎng)絡(luò)中必不可少的業(yè)務(wù)需求，但是為了保證內(nèi)網(wǎng)的安全性，需要通過安全策略來保障非授權(quán)用戶只能訪問特定的網(wǎng)絡(luò)資源，從而達(dá)到對訪問進(jìn)行控制的目的。簡而言之，ACL可以過濾網(wǎng)絡(luò)中的流量，是控制訪問的一種網(wǎng)絡(luò)技術(shù)手段。

ACL是整個網(wǎng)絡(luò)安全環(huán)境構(gòu)架的基礎(chǔ)。哪些可以和銀行內(nèi)部進(jìn)行交流，哪些銀行部門可以與哪些銀行部門互訪或隔離，哪些數(shù)據(jù)信息需要什么要求才可以訪問，都是由ACL進(jìn)行設(shè)定。因此，對于ACL通常在網(wǎng)絡(luò)的各個節(jié)點(diǎn)寫好之后，會統(tǒng)一在建行總部留有備份，屬于銀行機(jī)密信息。ACL是安全方面的軟防護(hù)，具體的設(shè)備及相關(guān)的安全設(shè)備（如防火墻等）則是安全方面的硬防護(hù)，軟硬結(jié)合方可達(dá)到安全效益的最大化。

3.2 核心功能區(qū)及關(guān)鍵業(yè)務(wù)主機(jī)的安全

（1）應(yīng)考慮在核心交換區(qū)與運(yùn)維監(jiān)控區(qū)、開發(fā)測試區(qū)等之間部署防火墻設(shè)備，并設(shè)置適當(dāng)?shù)脑L問策略。

（2）應(yīng)考慮對生產(chǎn)業(yè)務(wù)區(qū)的關(guān)鍵業(yè)務(wù)主機(jī)、網(wǎng)銀區(qū)的網(wǎng)站主機(jī)部署第二層的防護(hù)措施。

（3）網(wǎng)對數(shù)據(jù)中心內(nèi)部的邊界應(yīng)部署防火墻進(jìn)行隔離，園區(qū)網(wǎng)向數(shù)據(jù)中心內(nèi)部的訪問應(yīng)限制在辦公等功能區(qū)。

（4）應(yīng)考慮在二層交換機(jī)上，采用相應(yīng)的安全技術(shù)來保障和加強(qiáng)網(wǎng)絡(luò)二層的安全，防范如MAC Flooding、VLAN Hopping等攻擊。

3.3 網(wǎng)絡(luò)設(shè)備自身的安全防護(hù)和加固

數(shù)據(jù)中心網(wǎng)絡(luò)整體安全架構(gòu)設(shè)計的基礎(chǔ)上，加強(qiáng)網(wǎng)絡(luò)設(shè)備自身的安全防護(hù)也非常重要，一旦網(wǎng)絡(luò)設(shè)備自身的安全受到威脅，將會給帶來非常嚴(yán)重的后果。思科的網(wǎng)絡(luò)設(shè)備提供了很多功能來加強(qiáng)設(shè)備自身的安全防護(hù)，充分而合理的使用可以大大提高和加固這些設(shè)備自身的安全性。

思科路由器和多層交換機(jī)均有一些缺省開啟的服務(wù)，很有可能會被非法利用，通過關(guān)閉這些服務(wù)，可以增強(qiáng)網(wǎng)絡(luò)設(shè)備自身的安全，只有明確需要時才啟用這些特性。

4 結(jié)束語

通過本次對銀行網(wǎng)絡(luò)拓?fù)湟?guī)劃和路由安全策略設(shè)計，解決了網(wǎng)絡(luò)中線路比較單一、設(shè)計不夠冗余、負(fù)載比較嚴(yán)重、服務(wù)器的安全不夠合理、局域網(wǎng)之間通訊緩慢的問題。在原有骨干線路上在進(jìn)行設(shè)計，增添一些網(wǎng)絡(luò)設(shè)備，制定一些新的安全策略，運(yùn)用動態(tài)路由協(xié)議和靜態(tài)路由協(xié)議的結(jié)合，節(jié)約了大量成本。最終能夠?qū)崿F(xiàn)設(shè)備間運(yùn)行效率更高，數(shù)據(jù)的傳輸更加安全可靠，保證了重要服務(wù)器的安全。

參考文獻(xiàn)：

[1]隆重.某企業(yè)信息化建設(shè)網(wǎng)絡(luò)系統(tǒng)設(shè)計原則[J].工業(yè)設(shè)計，2011（08）.

[2]胡曦明，董淑福，郭榮平.新型分布式網(wǎng)絡(luò)工程實(shí)驗(yàn)室的設(shè)計與建設(shè)[J].實(shí)驗(yàn)室研究與探索，2011（10）.

[3]吳建平，林嵩，徐恪.可演進(jìn)的新一代互聯(lián)網(wǎng)體系結(jié)構(gòu)研究進(jìn)展[J].2012（06）.

[4]尹本兵.一種基于信任證書管理的可信OSPF協(xié)議[D].北京郵電大學(xué)，2012（01）.

[5]黃向農(nóng)，曾毅夫，譚永欣.關(guān)于OSPF路由優(yōu)化技術(shù)的探討[J].實(shí)驗(yàn)技術(shù)與管理，2012（02）.

[6]姚林燕.IGP-OSPF路由協(xié)議網(wǎng)絡(luò)優(yōu)化技術(shù)[J].電腦與電信，2012（02）.

[7]于本成，陳彥，楊勇.ACL在中小型企業(yè)網(wǎng)絡(luò)中的應(yīng)用[J].軟件工程師，2011（07）.

[8]彭薇.ACL在網(wǎng)絡(luò)管理中的應(yīng)用[J].太原大學(xué)學(xué)報，2011（09）.

[9]Thawatchai Chomsiri；Preecha Noiumkar The Theories for Analyzing Matched Packets on Cisco ACL Rules，The Proceedings of 2011 1st International Conference on Network and Electronics Engineering，2011-09-16.

作者簡介：李道偉（1974-），男，江蘇徐州人，本科，研究方向：網(wǎng)絡(luò)管理。

作者單位：徐州工業(yè)職業(yè)技術(shù)學(xué)院，江蘇徐州 221000