電信運營商銀行代收費網(wǎng)絡(luò)改造方案

董寒暉 韓 靜 尹彥華

泰山醫(yī)學(xué)院

為保證電信運營商銀行代收費網(wǎng)絡(luò)的安全性、保密性，避免外部竊密、搭線竊聽、病毒等安全威脅與漏洞，根據(jù)銀行代收網(wǎng)絡(luò)結(jié)構(gòu)，設(shè)計出安全可靠的改造實施方案。

銀行代收費網(wǎng)絡(luò)結(jié)構(gòu)

銀行代收費網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖1 所示。

通過三層防線對銀行網(wǎng)絡(luò)和數(shù)據(jù)包進行隔離和控制：第一層：各個銀行分別使用一臺路由器與電信運營商網(wǎng)絡(luò)相連，在路由器上使用相應(yīng)的訪問控制列表限制路由數(shù)據(jù)。第二層：通過增加堡壘機進行網(wǎng)絡(luò)、病毒、業(yè)務(wù)的隔離。第三層：增加硬件防火墻針隔離、限制控制IP 地址。

電信運營商銀行代收費網(wǎng)絡(luò)改造實施方案設(shè)計

銀行代收網(wǎng)絡(luò)改造分為三個實施階段：1.更改銀行與電信運營商的網(wǎng)絡(luò)連接方式及線路；2.增加堡壘機，保證雙網(wǎng)卡堡壘機的加載與正常運行；3.加載防火墻，并驗證其功能。

線路及連接方式改造

每個銀行使用獨立的2M 專線接入到與其對應(yīng)的獨立的路由器上，以替換原來的公網(wǎng)或者DDN 網(wǎng)絡(luò)。

改造前的準(zhǔn)備

（1）將每個銀行對應(yīng)的路由器上架、進行加電測試。

（2）對每個銀行的2M 線路進行鋪設(shè)，并連接到路由器的2M 端口上。雙方通過連接到路由器上的2M 端口，測試2M 線路的通路完好性。

（3）對與銀行側(cè)相連接的2M 端口，按照原來連接地址進行配置?？紤]到第二階段要加載堡壘機，對與運營商內(nèi)網(wǎng)連接的地址使用堡壘機內(nèi)網(wǎng)網(wǎng)卡地址作為內(nèi)網(wǎng)地址。內(nèi)網(wǎng)地址需要單獨VLAN 劃分的地址，內(nèi)網(wǎng)地址在確定后，以后的改造將不再涉及運營商內(nèi)部核心設(shè)備的配置，減少割接風(fēng)險。

圖1 銀行代收費網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

（4）根據(jù)確定的IP 地址，在路由器上配置相應(yīng)的路由協(xié)議、端口信息及相應(yīng)的控制信息。

（5）配置運營商內(nèi)網(wǎng)IP 地址段，并連接內(nèi)網(wǎng)與路由器的線路。

改造步驟

（1）通知銀行側(cè)割接開始，雙方中斷現(xiàn)有連接線路。

（2）運營商側(cè)將配置注入路由器中，觀測2M 端口和以太端口狀態(tài)，確定兩個端口均已經(jīng)UP，同時協(xié)議UP。

（3）由于路由器上訪問控制的限制，不能使用網(wǎng)絡(luò)命令進行測試。通知銀行側(cè)進行業(yè)務(wù)測試。

改造回退

如果改造割接不成功，則需要進行改造回退

（1）業(yè)務(wù)沒有恢復(fù)，并不能確定原因或者回復(fù)時間，經(jīng)雙方商定開始回退。

（2）中斷路由器與內(nèi)網(wǎng)相連線路。

（3）恢復(fù)原來連接線路，并測試。

堡壘機的加載改造

對每個銀行加載堡壘機，保證雙網(wǎng)卡堡壘機的加載與正常運行。

改造前的準(zhǔn)備

（1）對所有銀行的堡壘機安裝Scounix 操作系統(tǒng)，每臺堡壘機安裝第二塊網(wǎng)卡，并將堡壘機上架。

（2）運營商網(wǎng)絡(luò)收費系統(tǒng)前有中間件服務(wù)器，要訪問數(shù)據(jù)庫必須要先訪問中間件服務(wù)器，在堡壘機上安裝訪問運營商內(nèi)部數(shù)據(jù)庫的中間件軟件。

（3）對每臺堡壘機進行操作系統(tǒng)安全優(yōu)化。

①限制root 用戶遠(yuǎn)程登錄

在/etc/default/login 中增加一行命令：CONSOLE＝tty01。設(shè)置后，用戶只能在第一個控制臺上以ROOT登錄，任何其他控制臺和所有遠(yuǎn)程用戶均無法登錄。

②限制IP 遠(yuǎn)程登錄

在/etc/telhosts 文件中按照：“allow 用戶名 IP地址 登錄個數(shù)”格式進行輸入。例如：allow root 134.40.9.1 2，即允許134.40.9.1 這個地址使用root 用戶進行登錄，最多能登陸2 個。

③對FTP 功能進行限制

在/etc/inetd.conf 文件中FTP 命令所在的行注釋掉，即在行首加上#號，然后重啟inetd 服務(wù)。在需要使用的時候?qū)?etc/inetd.conf 文件中FTP 前的#去掉，重啟inetd 服務(wù)器即可完成。

④修改SNMP 默認(rèn)屬性串。修改/etc/snmpd.comm文件中的public 字符。Public 是默認(rèn)的屬性串，需要將其修改其他的字符串，以保證使用默認(rèn)的屬性串不能管理到堡壘機。

⑤修改堡壘機上所有用戶的密碼。為了保證密碼的復(fù)雜度，要求必須使用“數(shù)字、大寫、小寫、特殊字符”四種的組合。將密碼進行封存，確保密碼的安全使用和留存。密碼放置在領(lǐng)導(dǎo)處，以便管理、使用人員不在或者忘記密碼的情況下，也可以登錄到系統(tǒng)。按照安全要求，每90天修改密碼并封存。

（4）確定兩塊網(wǎng)卡的地址，并進行配置。本階段連接運營商內(nèi)部網(wǎng)絡(luò)的地址是第一階段路由器的地址；連接路由器的地址需要重新劃分。

（5）制定修改路由器的配置腳本。將第一階段路由器與內(nèi)網(wǎng)連接的地址修改到堡壘機與內(nèi)部網(wǎng)絡(luò)連接的網(wǎng)卡上，路由器與堡壘機的連線重新配置IP 地址，路由器與堡壘機相連使用私網(wǎng)192.168.200.XX/24 地址。即將第一階段的：

改造割接步驟

（1）將第一階段運營商內(nèi)部網(wǎng)絡(luò)與路由器的連線，更改至堡壘機連接內(nèi)部網(wǎng)卡的端口。

（2）將路由器與堡壘機的另外一塊網(wǎng)卡相連。

（3）修改路由器與堡壘機相連端口的配置。

（4）對堡壘機的路由進行設(shè)置。確保進入運營商內(nèi)網(wǎng)的數(shù)據(jù)流從134.40.XX.XX 地址的網(wǎng)卡經(jīng)過；向銀行側(cè)的數(shù)據(jù)流從192.168.200.XX 地址的網(wǎng)卡經(jīng)過。

具體配置為：

（5）進行業(yè)務(wù)測試

改造回退

如果改造割接不成功，則需要進行改造回退：

（1）業(yè)務(wù)沒有恢復(fù)，并不能確定原因或者回復(fù)時間，經(jīng)雙方商定開始回退。

（2）拆除堡壘機與路由器相連線路。

（3）將堡壘機與運營商內(nèi)網(wǎng)連線更改至路由器上。

（4）恢復(fù)路由器以太端口配置。從192.168.200.XX地址修改回原來134.40.XX.XX 地址。

（5）進行業(yè)務(wù)測試。

防火墻的加載改造

在運營商內(nèi)部網(wǎng)絡(luò)與堡壘機之間增加硬件Netscreen防火墻。

改造前的準(zhǔn)備

（1）將防火墻上架，進行加電測試。

（2）鋪設(shè)防火墻至運營商內(nèi)部網(wǎng)絡(luò)端口的連線；鋪設(shè)防火墻與堡壘機交換機的連線。

（3）配置防火墻：

①配置防火墻成為透明模式：

將第一端口配置為V1-trust 即信任域，與運營商內(nèi)網(wǎng)相連；將第三端口配置為V1-untrust 即不信任域，與堡壘機相連。

②配置相應(yīng)的進入運營商內(nèi)網(wǎng)的服務(wù)器端口，假設(shè)內(nèi)網(wǎng)服務(wù)端口為6666，名稱為bank。

③配置相應(yīng)的時間安排，為時間安排起名為work。例：set scheduler work recurrent monday start 8：00 stop 18：00。即每周的周一至周日8：00 至18：00 時間段內(nèi)防火墻允許數(shù)據(jù)流通過；非定義的時間內(nèi)，數(shù)據(jù)流則不能通過。

④配置相應(yīng)的訪問策略，以部分配置為例：

配置的意義為：從v1-untrust 域至v1-strust 域，源地址是134.40.XX.XX，目的地址是134.32..XX.XX，從代號為bank 的端口允許在work 時間安排內(nèi)可以通過。

改造步驟

因為防火墻上有時間安排控制，此次割接必須白天進行。如果選擇在晚上，防火墻則會關(guān)閉所有端口，將不能進行業(yè)務(wù)測試。

（1）通知銀行側(cè)割接開始，測試代收業(yè)務(wù)中斷。

（2）在前面的配置中已經(jīng)將第三端口配置為v1-untrust 域，將原堡壘機與內(nèi)網(wǎng)的連線中斷，并更改至防火墻的第三端口。

（3）將防火前的第一端口與內(nèi)部網(wǎng)絡(luò)接口相連接。

（4）測試業(yè)務(wù)流通性。

改造回退

（1）業(yè)務(wù)沒有恢復(fù)，并不能確定原因或者回復(fù)時間，經(jīng)雙方商定開始回退

（2）將防火墻與內(nèi)部網(wǎng)絡(luò)、堡壘機的連線中斷。

（3）將內(nèi)部網(wǎng)絡(luò)與堡壘機的聯(lián)系恢復(fù)。

（4）測試業(yè)務(wù)。

結(jié)語

此次改造實施后，提高了傳輸信道質(zhì)量和穩(wěn)定性；改造了連接方式，保證電信運營商內(nèi)部網(wǎng)絡(luò)的安全；建筑了防火墻，實現(xiàn)網(wǎng)絡(luò)的隔離和訪問控制，有效增強了網(wǎng)絡(luò)的可用、安全性。改造實施設(shè)計方案充分考慮實用性、安全性和穩(wěn)定性，能夠滿足各項改造需求。