戴鵬 王洋 張宇

【摘 要】本文介紹了國有商業(yè)銀行第三方外聯(lián)網(wǎng)絡的服務對象和運行情況。重點介紹了新的安全形勢下，第三方外聯(lián)網(wǎng)絡面臨的挑戰(zhàn)和解決方案，商業(yè)銀行應用虛擬隧道技術(shù)重構(gòu)了第三方外聯(lián)網(wǎng)絡，有效保證了銀行與客戶之間的信息安全。本文也介紹了新的外聯(lián)網(wǎng)絡采用的主要網(wǎng)絡技術(shù)和安全技術(shù)。最后介紹了基于虛擬隧道的第三方外聯(lián)網(wǎng)絡的應用成果。

【關鍵詞】第三方外聯(lián)網(wǎng)絡；虛擬隧道；架構(gòu)設計

一、第三方外聯(lián)網(wǎng)絡概述

國有商業(yè)銀行第三方外聯(lián)網(wǎng)絡采用運營商專線對接模式，主要服務于政府部門、事業(yè)單位、國有大型企業(yè)等對網(wǎng)絡安全要求較高的客戶。第三方外聯(lián)單位的網(wǎng)絡結(jié)構(gòu)日趨復雜，管理成本提高，安全風險日趨增大。尤其最近一個時期，外聯(lián)網(wǎng)絡面臨著一些新的挑戰(zhàn)。一是外部隱患，部分客戶內(nèi)部網(wǎng)絡結(jié)構(gòu)日益復雜，其內(nèi)部網(wǎng)絡不僅連接銀行，而且也和互聯(lián)網(wǎng)直接連通，連接客戶的專線變成了可連通互聯(lián)網(wǎng)的“假專線”；而且新的網(wǎng)絡攻擊層出不窮，外部風險日益顯現(xiàn)。二是內(nèi)部短板，多家單位是從銀行地市分支機構(gòu)接入金融網(wǎng)絡的，而地市分行安全防御設備比較單一、人員相對不足、管理比較分散，成為防御上的薄弱點?；谏鲜銮闆r，構(gòu)建新的外聯(lián)網(wǎng)絡已刻不容緩。

二、新外聯(lián)網(wǎng)絡建設目標

以有效保障客戶信息安全、提高業(yè)務運行效率為主要目標，設計新的高安全低成本的第三方外聯(lián)網(wǎng)絡，為客戶提供安全穩(wěn)固、智能高效、接入靈活的金融服務。主要內(nèi)容包括：以虛擬隧道為核心，重構(gòu)第三方外聯(lián)網(wǎng)絡架構(gòu)；應用多種網(wǎng)絡技術(shù)、安全技術(shù)完善一級分行外聯(lián)區(qū)安全防御體系；建立一級分行、二級分行的外聯(lián)區(qū)虛擬隧道；提高第三方網(wǎng)絡運行效率，降低網(wǎng)絡運維成本等。

三、新外聯(lián)網(wǎng)絡的設計與實現(xiàn)

（一）系統(tǒng)架構(gòu)設計

基于虛擬隧道的第三方外聯(lián)網(wǎng)絡采用統(tǒng)一的“物理+邏輯”的兩層組網(wǎng)結(jié)構(gòu)，輔助以軟件控制轉(zhuǎn)發(fā)平面，在外聯(lián)區(qū)最外層實現(xiàn)對數(shù)據(jù)專線的接入或通過VPN接入第三方，在DMZ區(qū)（隔離區(qū)：demilitarized zone）部署通訊前置機等，同時部署相應的安全防護設備（包括防火墻、入侵檢測、入侵阻斷、防APT全流程攻擊、防流量回溯、全流量分析、訪問控制和威脅檢測等）。在外聯(lián)區(qū)的不同安全域通過相應的安全策略實現(xiàn)不同區(qū)域間的安全訪問。

二級分行到一級分行第三方外聯(lián)區(qū)建立虛擬隧道。在二級分行部署2臺冗余外聯(lián)路由器，對下作為二級分行第三方外聯(lián)單位的本地物理鏈路接入，在二級廣域網(wǎng)鏈路上建立與內(nèi)網(wǎng)邏輯隔離的虛擬隧道，升級接入一級分行第三方外聯(lián)區(qū)的外聯(lián)路由器。邊界安全防護和IP地址轉(zhuǎn)換均在一級分行第三方外聯(lián)區(qū)實現(xiàn)。

（二）系統(tǒng)功能實現(xiàn)

1、網(wǎng)絡服務提供

網(wǎng)絡設備方面：在一級分行，部署2臺廣域網(wǎng)交換機、2臺VPN網(wǎng)關、2臺LNS路由器；在省市分行之間的二級骨干網(wǎng)部署2臺一級節(jié)點路由器確保網(wǎng)絡服務的提供。

網(wǎng)絡通信方面：引入電信、聯(lián)通兩家運營商，確保網(wǎng)絡線路冗余，為第三方客戶提供高質(zhì)量的通信服務。

2、數(shù)據(jù)資源調(diào)度

設計了網(wǎng)絡資源調(diào)度層，引入網(wǎng)絡資源池（NFV）的概念，通過多級智能流量調(diào)度、端到端安全隔離、行為識別帶寬保障等網(wǎng)絡技術(shù)，實現(xiàn)數(shù)據(jù)資源科學調(diào)度。

3、訪問控制管理

一級分行統(tǒng)一負責外聯(lián)邊界安全防護訪問，規(guī)范及新定義第三方單位的接入IP地址、地址映射、路由策略等訪問控制規(guī)則。

4、安全防御功能

在一級分行外聯(lián)區(qū)部署了雙層異構(gòu)防火墻、IDS入侵檢測、IPS入侵阻斷、防APT全流程攻擊、防流量回溯系統(tǒng)、SOC全流量分析系統(tǒng)、TDA威脅檢測系統(tǒng)等安全設備；統(tǒng)一進行ACL訪問控制、NAT地址轉(zhuǎn)換、路由策略等安全配置。

（三）技術(shù)特點

基于虛擬隧道的第三方外聯(lián)網(wǎng)絡應用了多項網(wǎng)絡技術(shù)、安全技術(shù)，下面做簡要介紹。

1、虛擬隧道技術(shù)

虛擬隧道技術(shù)是一種通過公共網(wǎng)絡的基礎設施，在專用網(wǎng)絡或?qū)Ｓ迷O備之間實現(xiàn)加密數(shù)據(jù)通信的技術(shù)。通信的內(nèi)容可以是任何通信協(xié)議的數(shù)據(jù)包。通過智能流量調(diào)度（SDH-WAN）將這些協(xié)議的數(shù)據(jù)包重新封裝在新的包中發(fā)送。新的包頭提供了路由信息，從而使封裝的數(shù)據(jù)能夠通過公共網(wǎng)絡傳遞，傳遞時所經(jīng)過的邏輯路徑稱為隧道。當數(shù)據(jù)包到達通信終點后，將被拆封并轉(zhuǎn)發(fā)到最終目的地。

2、行為識別帶寬保障（Diff-Serv）

行為識別帶寬保障（Diff-Serv）是一種保證QoS的網(wǎng)絡技術(shù)。定義了一種可以在互聯(lián)網(wǎng)上實施的、可擴展的、可分類服務的網(wǎng)絡結(jié)構(gòu)。服務對象是由同一網(wǎng)絡內(nèi)，在相同傳輸方向上，通過一條或幾條路徑傳輸數(shù)據(jù)包時的某些重要特征所決定的。這些特征可能包括吞吐率、網(wǎng)絡時延、時延抖動，丟包率的量化值或統(tǒng)計值等，也可以是指其獲取網(wǎng)絡資源的優(yōu)先級別。主要特點就是簡單高效、可擴展性強。具體實施的時候，采用聚合的方式將具有相同特性的若干業(yè)務流聚合起來，提供為整體聚合流服務，而不再面向單個業(yè)務流。

3、端到端安全隔離（MPLS-VPN）

MPLS-VPN是指采用MPLS（多協(xié)議標記轉(zhuǎn)換）技術(shù)在骨干的寬帶IP網(wǎng)絡上構(gòu)建企業(yè)IP專網(wǎng)，實現(xiàn)跨地域、安全、高速、可靠的數(shù)據(jù)、語音、圖像多業(yè)務通信，并結(jié)合差別服務、流量工程等相關技術(shù)，將公眾網(wǎng)可靠的性能、良好的擴展性、豐富的功能與專用網(wǎng)的安全、靈活、高效結(jié)合在一起。

四、結(jié)語

基于虛擬隧道的第三方網(wǎng)絡防御能力較傳統(tǒng)網(wǎng)絡顯著增強，可適用場景更廣泛。新的第三方外聯(lián)網(wǎng)絡架構(gòu)趨于扁平，網(wǎng)絡接入靈活，安全管控集中到一級分行，網(wǎng)絡安全防御能力大大增強，一方面使客戶的信息安全得到了更好的保障，另一方面減輕了二級分行的網(wǎng)絡運維壓力。該方案對各國有商業(yè)銀行的外聯(lián)網(wǎng)絡建設有一定的借鑒作用。

【參考文獻】

[1]謝希仁《計算機網(wǎng)絡》北京：電子工業(yè)出版社，2008.1 第五版

[2]現(xiàn)代計算機網(wǎng)絡技術(shù)應用及發(fā)展研究.《信息與網(wǎng)絡》.2016年1期.吳江海

[3]計算機網(wǎng)絡技術(shù)發(fā)展模式研究《網(wǎng)絡安全技術(shù)與應用》.2015年3期.曹卉.付賢軍