欢迎user
概述
近年来,为了大限度的提升服务能力、挖掘客户资源、开拓赢利渠道,金融行业在业务品种和服务手段上不断的创新和发展,应运而生了大量的中间业务品种,例如:跨行支付、银联卡、各类代收代付业务、银证转账、银证通、银保通、银财通、银税通、收支两条线管理等。金融企业通过与外联企业的联网大规模的拓展了服务渠道、丰富了业务品种。
从最初与人行联网开始到今天,各家金融机构已在各级机构发展了大量的外联接入,而且随着业务品种的不断创新数量越来越多。目前业务品种已达数百种,大型金融企业仅一个一级分行辖内与合作伙伴的网络连接就可达一、二百个。
金融企业的开放服务带来了银企双赢的新格局,而金融企业的外联网络逐渐成为至关重要的信息系统组成部分,外联网络引发的安全性和稳定性问题都可能给金融企业和合作伙伴带来巨大的损失。
当前金融企业外联网络面临的问题
接入模式种类繁多,可维护性差
接入电路类型多种多样
接入点地理位置分散
外联接入设备分布散乱
IP地址规划缺乏规范性
可靠性低
由于采用大量的低端路由器,接入设备的健壮性比较差。、
外联网络结构存在单点故障,例如接入路由器、防火墙、交换机等。
没有高可靠性的网络结构设计和冗余路由设计,网络也就无法实现冗余。
网络安全性差
外联网络的可信度低;基于IP的攻击手段和各类威胁层出不穷,各种蠕虫、病毒、应用层攻击技术和EMAIL、移动代码结合,形成复合攻击手段,使威胁更加危险和难以抵御,来自外联网络的DDoS攻击,更是会造成基础设施的瘫痪。
易受攻击的风险点多,大量分散的接入边界导致攻击风险点广泛分布。外联网络存在的安全短板比比皆是。
安全防护措施不完备,基本只在边界采用防火墙来进行简单的地址/端口控制,没有多点多层面的立体安全防护体系。
可扩展性差
不利于新外联业务的快速发展
新的应用容易产生新的问题
整合金融企业外联网络的目标
集中整合的外联网络边界,大容量的接入能力,以适应未来外联网络快速发展的需要和强化管理的需要。
安全、合理的网络架构,完备的冗余度、高稳定度。
全面的安全防护措施,多种手段、多点保护外联网络安全。
高可管理性,简化的维护方式,提高工作效率。
完整的IP地址规划,有效控制外部的访问和保护内部网络的具体信息不被透露。
H3C整合分行外联网络平台解决方案
金融外联网络边界整合
金融企业的外联业务系统面临向一级分行集中甚至向总行集中的趋势,外联边界应尽量减少,可在一级分行和二级分行中心整合边界。集中的边界有利于传输环路保护、动态链路检测等高可靠性手段的部署,采用不同运营商的CPOS或ATM方式集中汇接外网链路,有利于原有电路的平滑迁移。
H3C公司的SR系列骨干路由设备,基于多核CPU的分布式多业务路由器,能提供集中的接入模式及丰富的接口类型,提供的接口覆盖了CPOS、ATM、LAN等,大容量的扩展能力确保了对外联业务的承载能力。
高可靠性的网络架构
网络架构中针对外联网络特点进行分区,将对外直接提供服务的服务器集中到DMZ区,使后台应用与服务界面分离;内网测试区域相对独立,加强外联网络生产、测试同时在一套网络环境上承载的控制能力,从应用结构和网络结构确保了整个外联网络的高安全性。
每个网络节点都采用冗余设备布局,连接上采用冗余模式,利用大量的高可靠性技术确保了网络任何环节的问题都能及时恢复。例如:路由器可采用VRRP虚拟路由技术;防火墙采用HA;交换机基于VRRP和IRF架构;IPS的透明接入模式等。
全方位的立体安全防护策略
面对外联网络存在的巨大风险,必须采用全方位的安全防护体系进行风险防范,避免短板的出现。
外联接入路由器作为面临风险的第一道关,自身必须具备足够的抗攻击能力,通常采用关闭端口、关闭服务等方式进行自防御,H3C公司的SR6600路由器除具备基本的自防御能力外,还具备深度业务感知,通过高性能的网络处理器对数据进行分析,轻松识别各种状态协议。
IPS作为基于应用流的安全防护设备,对数据流进行深度检测、线性过滤,能截杀各类病毒、木马、DDOS和其他攻击手段,H3CIPS 采用专有的基于ASIC、FPGA和NP的威胁抑制引擎(TSE)实现深度应用检测和威胁抵御,同时保持与交换机同等的高吞吐量和低延时。自动数字疫苗分发服务、虚拟软件补丁功能、即插即用的部署大大提高了IPS设备的可用性。
防火墙作为安全防护体系的绝对主力,在外联网络中的作用无可替代,其基于源、目标的精确控制及基于端口的精确控制,确保了外联网络对金融网络的访问处于绝对控制之下。以H3C公司SecPath 为代表的防火墙,是新一代基于网络处理器(NP)技术的硬件高速状态检测防火墙设备,具有强大的数据处理能力、丰富的安全特性和DoS/DDoS防护等功能,基于地址和端口的访问控制策略轻松实现,同时其具有电信级设备高可靠性,完全支持关键部件冗余、接口模块热插拔、热补丁技术,支持双机状态热备功能,支持Active/Active和Active/Passive两种工作模式,实现负载分担和业务备份。
IP地址管理
完善的NAT策略可确保IP地址的规范性和网络环境变更的易管理性,本方案可利用H3C公司防火墙和SR6600路由器所具备的高性能NAT功能,对合作伙伴网络地址进入内网后进行精确的IP地址转换,大大简化了由于对方网络变更导致的己方系统变更工作。同时将内部地址翻译后再向外发布,既可以有效防范内部地址信息的泄漏,又可以避免己方网络地址的变更给对方造成的麻烦。
结束语
H3C公司金融企业外联网络解决方案,充分关注金融行业发展趋势和企业业务目标。通过整合建设一个更加安全、高效、智能和更高风险控制能力的金融企业外联平台,支持金融业务的不断创新和发展。