董寒暉 韓 靜 尹彥華

泰山醫(yī)學(xué)院

為保證電信運(yùn)營商銀行代收費(fèi)網(wǎng)絡(luò)的安全性、保密性，避免外部竊密、搭線竊聽、病毒等安全威脅與漏洞，根據(jù)銀行代收網(wǎng)絡(luò)結(jié)構(gòu)，設(shè)計(jì)出安全可靠的改造實(shí)施方案。

銀行代收費(fèi)網(wǎng)絡(luò)結(jié)構(gòu)

銀行代收費(fèi)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖1 所示。

通過三層防線對(duì)銀行網(wǎng)絡(luò)和數(shù)據(jù)包進(jìn)行隔離和控制：第一層：各個(gè)銀行分別使用一臺(tái)路由器與電信運(yùn)營商網(wǎng)絡(luò)相連，在路由器上使用相應(yīng)的訪問控制列表限制路由數(shù)據(jù)。第二層：通過增加堡壘機(jī)進(jìn)行網(wǎng)絡(luò)、病毒、業(yè)務(wù)的隔離。第三層：增加硬件防火墻針隔離、限制控制IP 地址。

電信運(yùn)營商銀行代收費(fèi)網(wǎng)絡(luò)改造實(shí)施方案設(shè)計(jì)

銀行代收網(wǎng)絡(luò)改造分為三個(gè)實(shí)施階段：1.更改銀行與電信運(yùn)營商的網(wǎng)絡(luò)連接方式及線路；2.增加堡壘機(jī)，保證雙網(wǎng)卡堡壘機(jī)的加載與正常運(yùn)行；3.加載防火墻，并驗(yàn)證其功能。

線路及連接方式改造

每個(gè)銀行使用獨(dú)立的2M 專線接入到與其對(duì)應(yīng)的獨(dú)立的路由器上，以替換原來的公網(wǎng)或者DDN 網(wǎng)絡(luò)。

改造前的準(zhǔn)備

（1）將每個(gè)銀行對(duì)應(yīng)的路由器上架、進(jìn)行加電測(cè)試。

（2）對(duì)每個(gè)銀行的2M 線路進(jìn)行鋪設(shè)，并連接到路由器的2M 端口上。雙方通過連接到路由器上的2M 端口，測(cè)試2M 線路的通路完好性。

（3）對(duì)與銀行側(cè)相連接的2M 端口，按照原來連接地址進(jìn)行配置?？紤]到第二階段要加載堡壘機(jī)，對(duì)與運(yùn)營商內(nèi)網(wǎng)連接的地址使用堡壘機(jī)內(nèi)網(wǎng)網(wǎng)卡地址作為內(nèi)網(wǎng)地址。內(nèi)網(wǎng)地址需要單獨(dú)VLAN 劃分的地址，內(nèi)網(wǎng)地址在確定后，以后的改造將不再涉及運(yùn)營商內(nèi)部核心設(shè)備的配置，減少割接風(fēng)險(xiǎn)。

圖1 銀行代收費(fèi)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

（4）根據(jù)確定的IP 地址，在路由器上配置相應(yīng)的路由協(xié)議、端口信息及相應(yīng)的控制信息。

（5）配置運(yùn)營商內(nèi)網(wǎng)IP 地址段，并連接內(nèi)網(wǎng)與路由器的線路。

改造步驟

（1）通知銀行側(cè)割接開始，雙方中斷現(xiàn)有連接線路。

（2）運(yùn)營商側(cè)將配置注入路由器中，觀測(cè)2M 端口和以太端口狀態(tài)，確定兩個(gè)端口均已經(jīng)UP，同時(shí)協(xié)議UP。

（3）由于路由器上訪問控制的限制，不能使用網(wǎng)絡(luò)命令進(jìn)行測(cè)試。通知銀行側(cè)進(jìn)行業(yè)務(wù)測(cè)試。

改造回退

如果改造割接不成功，則需要進(jìn)行改造回退

（1）業(yè)務(wù)沒有恢復(fù)，并不能確定原因或者回復(fù)時(shí)間，經(jīng)雙方商定開始回退。

（2）中斷路由器與內(nèi)網(wǎng)相連線路。

（3）恢復(fù)原來連接線路，并測(cè)試。

堡壘機(jī)的加載改造

對(duì)每個(gè)銀行加載堡壘機(jī)，保證雙網(wǎng)卡堡壘機(jī)的加載與正常運(yùn)行。

改造前的準(zhǔn)備

（1）對(duì)所有銀行的堡壘機(jī)安裝Scounix 操作系統(tǒng)，每臺(tái)堡壘機(jī)安裝第二塊網(wǎng)卡，并將堡壘機(jī)上架。

（2）運(yùn)營商網(wǎng)絡(luò)收費(fèi)系統(tǒng)前有中間件服務(wù)器，要訪問數(shù)據(jù)庫必須要先訪問中間件服務(wù)器，在堡壘機(jī)上安裝訪問運(yùn)營商內(nèi)部數(shù)據(jù)庫的中間件軟件。

（3）對(duì)每臺(tái)堡壘機(jī)進(jìn)行操作系統(tǒng)安全優(yōu)化。

①限制root 用戶遠(yuǎn)程登錄

在/etc/default/login 中增加一行命令：CONSOLE＝tty01。設(shè)置后，用戶只能在第一個(gè)控制臺(tái)上以ROOT登錄，任何其他控制臺(tái)和所有遠(yuǎn)程用戶均無法登錄。

②限制IP 遠(yuǎn)程登錄

在/etc/telhosts 文件中按照：“allow 用戶名 IP地址 登錄個(gè)數(shù)”格式進(jìn)行輸入。例如：allow root 134.40.9.1 2，即允許134.40.9.1 這個(gè)地址使用root 用戶進(jìn)行登錄，最多能登陸2 個(gè)。

③對(duì)FTP 功能進(jìn)行限制

在/etc/inetd.conf 文件中FTP 命令所在的行注釋掉，即在行首加上#號(hào)，然后重啟inetd 服務(wù)。在需要使用的時(shí)候?qū)?etc/inetd.conf 文件中FTP 前的#去掉，重啟inetd 服務(wù)器即可完成。

④修改SNMP 默認(rèn)屬性串。修改/etc/snmpd.comm文件中的public 字符。Public 是默認(rèn)的屬性串，需要將其修改其他的字符串，以保證使用默認(rèn)的屬性串不能管理到堡壘機(jī)。

⑤修改堡壘機(jī)上所有用戶的密碼。為了保證密碼的復(fù)雜度，要求必須使用“數(shù)字、大寫、小寫、特殊字符”四種的組合。將密碼進(jìn)行封存，確保密碼的安全使用和留存。密碼放置在領(lǐng)導(dǎo)處，以便管理、使用人員不在或者忘記密碼的情況下，也可以登錄到系統(tǒng)。按照安全要求，每90天修改密碼并封存。

（4）確定兩塊網(wǎng)卡的地址，并進(jìn)行配置。本階段連接運(yùn)營商內(nèi)部網(wǎng)絡(luò)的地址是第一階段路由器的地址；連接路由器的地址需要重新劃分。

（5）制定修改路由器的配置腳本。將第一階段路由器與內(nèi)網(wǎng)連接的地址修改到堡壘機(jī)與內(nèi)部網(wǎng)絡(luò)連接的網(wǎng)卡上，路由器與堡壘機(jī)的連線重新配置IP 地址，路由器與堡壘機(jī)相連使用私網(wǎng)192.168.200.XX/24 地址。即將第一階段的：

改造割接步驟

（1）將第一階段運(yùn)營商內(nèi)部網(wǎng)絡(luò)與路由器的連線，更改至堡壘機(jī)連接內(nèi)部網(wǎng)卡的端口。

（2）將路由器與堡壘機(jī)的另外一塊網(wǎng)卡相連。

（3）修改路由器與堡壘機(jī)相連端口的配置。

（4）對(duì)堡壘機(jī)的路由進(jìn)行設(shè)置。確保進(jìn)入運(yùn)營商內(nèi)網(wǎng)的數(shù)據(jù)流從134.40.XX.XX 地址的網(wǎng)卡經(jīng)過；向銀行側(cè)的數(shù)據(jù)流從192.168.200.XX 地址的網(wǎng)卡經(jīng)過。

具體配置為：

（5）進(jìn)行業(yè)務(wù)測(cè)試

改造回退

如果改造割接不成功，則需要進(jìn)行改造回退：

（1）業(yè)務(wù)沒有恢復(fù)，并不能確定原因或者回復(fù)時(shí)間，經(jīng)雙方商定開始回退。

（2）拆除堡壘機(jī)與路由器相連線路。

（3）將堡壘機(jī)與運(yùn)營商內(nèi)網(wǎng)連線更改至路由器上。

（4）恢復(fù)路由器以太端口配置。從192.168.200.XX地址修改回原來134.40.XX.XX 地址。

（5）進(jìn)行業(yè)務(wù)測(cè)試。

防火墻的加載改造

在運(yùn)營商內(nèi)部網(wǎng)絡(luò)與堡壘機(jī)之間增加硬件Netscreen防火墻。

改造前的準(zhǔn)備

（1）將防火墻上架，進(jìn)行加電測(cè)試。

（2）鋪設(shè)防火墻至運(yùn)營商內(nèi)部網(wǎng)絡(luò)端口的連線；鋪設(shè)防火墻與堡壘機(jī)交換機(jī)的連線。

（3）配置防火墻：

①配置防火墻成為透明模式：

將第一端口配置為V1-trust 即信任域，與運(yùn)營商內(nèi)網(wǎng)相連；將第三端口配置為V1-untrust 即不信任域，與堡壘機(jī)相連。

②配置相應(yīng)的進(jìn)入運(yùn)營商內(nèi)網(wǎng)的服務(wù)器端口，假設(shè)內(nèi)網(wǎng)服務(wù)端口為6666，名稱為bank。

③配置相應(yīng)的時(shí)間安排，為時(shí)間安排起名為work。例：set scheduler work recurrent monday start 8：00 stop 18：00。即每周的周一至周日8：00 至18：00 時(shí)間段內(nèi)防火墻允許數(shù)據(jù)流通過；非定義的時(shí)間內(nèi)，數(shù)據(jù)流則不能通過。

④配置相應(yīng)的訪問策略，以部分配置為例：

配置的意義為：從v1-untrust 域至v1-strust 域，源地址是134.40.XX.XX，目的地址是134.32..XX.XX，從代號(hào)為bank 的端口允許在work 時(shí)間安排內(nèi)可以通過。

改造步驟

因?yàn)榉阑饓ι嫌袝r(shí)間安排控制，此次割接必須白天進(jìn)行。如果選擇在晚上，防火墻則會(huì)關(guān)閉所有端口，將不能進(jìn)行業(yè)務(wù)測(cè)試。

（1）通知銀行側(cè)割接開始，測(cè)試代收業(yè)務(wù)中斷。

（2）在前面的配置中已經(jīng)將第三端口配置為v1-untrust 域，將原堡壘機(jī)與內(nèi)網(wǎng)的連線中斷，并更改至防火墻的第三端口。

（3）將防火前的第一端口與內(nèi)部網(wǎng)絡(luò)接口相連接。

（4）測(cè)試業(yè)務(wù)流通性。

改造回退

（1）業(yè)務(wù)沒有恢復(fù)，并不能確定原因或者回復(fù)時(shí)間，經(jīng)雙方商定開始回退

（2）將防火墻與內(nèi)部網(wǎng)絡(luò)、堡壘機(jī)的連線中斷。

（3）將內(nèi)部網(wǎng)絡(luò)與堡壘機(jī)的聯(lián)系恢復(fù)。

（4）測(cè)試業(yè)務(wù)。

結(jié)語

此次改造實(shí)施后，提高了傳輸信道質(zhì)量和穩(wěn)定性；改造了連接方式，保證電信運(yùn)營商內(nèi)部網(wǎng)絡(luò)的安全；建筑了防火墻，實(shí)現(xiàn)網(wǎng)絡(luò)的隔離和訪問控制，有效增強(qiáng)了網(wǎng)絡(luò)的可用、安全性。改造實(shí)施設(shè)計(jì)方案充分考慮實(shí)用性、安全性和穩(wěn)定性，能夠滿足各項(xiàng)改造需求。