電信運營商銀行代收費網絡改造方案

董寒暉 韓 靜 尹彥華

泰山醫學院

為保證電信運營商銀行代收費網絡的安全性、保密性，避免外部竊密、搭線竊聽、病毒等安全威脅與漏洞，根據銀行代收網絡結構，設計出安全可靠的改造實施方案。

銀行代收費網絡結構

銀行代收費網絡拓撲結構如圖1 所示。

通過三層防線對銀行網絡和數據包進行隔離和控制：第一層：各個銀行分別使用一臺路由器與電信運營商網絡相連，在路由器上使用相應的訪問控制列表限制路由數據。第二層：通過增加堡壘機進行網絡、病毒、業務的隔離。第三層：增加硬件防火墻針隔離、限制控制IP 地址。

電信運營商銀行代收費網絡改造實施方案設計

銀行代收網絡改造分為三個實施階段：1.更改銀行與電信運營商的網絡連接方式及線路；2.增加堡壘機，保證雙網卡堡壘機的加載與正常運行；3.加載防火墻，并驗證其功能。

線路及連接方式改造

每個銀行使用獨立的2M 專線接入到與其對應的獨立的路由器上，以替換原來的公網或者DDN 網絡。

改造前的準備

（1）將每個銀行對應的路由器上架、進行加電測試。

（2）對每個銀行的2M 線路進行鋪設，并連接到路由器的2M 端口上。雙方通過連接到路由器上的2M 端口，測試2M 線路的通路完好性。

（3）對與銀行側相連接的2M 端口，按照原來連接地址進行配置。考慮到第二階段要加載堡壘機，對與運營商內網連接的地址使用堡壘機內網網卡地址作為內網地址。內網地址需要單獨VLAN 劃分的地址，內網地址在確定后，以后的改造將不再涉及運營商內部核心設備的配置，減少割接風險。

圖1 銀行代收費網絡拓撲結構

（4）根據確定的IP 地址，在路由器上配置相應的路由協議、端口信息及相應的控制信息。

（5）配置運營商內網IP 地址段，并連接內網與路由器的線路。

改造步驟

（1）通知銀行側割接開始，雙方中斷現有連接線路。

（2）運營商側將配置注入路由器中，觀測2M 端口和以太端口狀態，確定兩個端口均已經UP，同時協議UP。

（3）由于路由器上訪問控制的限制，不能使用網絡命令進行測試。通知銀行側進行業務測試。

改造回退

如果改造割接不成功，則需要進行改造回退

（1）業務沒有恢復，并不能確定原因或者回復時間，經雙方商定開始回退。

（2）中斷路由器與內網相連線路。

（3）恢復原來連接線路，并測試。

堡壘機的加載改造

對每個銀行加載堡壘機，保證雙網卡堡壘機的加載與正常運行。

改造前的準備

（1）對所有銀行的堡壘機安裝Scounix 操作系統，每臺堡壘機安裝第二塊網卡，并將堡壘機上架。

（2）運營商網絡收費系統前有中間件服務器，要訪問數據庫必須要先訪問中間件服務器，在堡壘機上安裝訪問運營商內部數據庫的中間件軟件。

（3）對每臺堡壘機進行操作系統安全優化。

①限制root 用戶遠程登錄

在/etc/default/login 中增加一行命令：CONSOLE＝tty01。設置后，用戶只能在第一個控制臺上以ROOT登錄，任何其他控制臺和所有遠程用戶均無法登錄。

②限制IP 遠程登錄

在/etc/telhosts 文件中按照：“allow 用戶名 IP地址 登錄個數”格式進行輸入。例如：allow root 134.40.9.1 2，即允許134.40.9.1 這個地址使用root 用戶進行登錄，最多能登陸2 個。

③對FTP 功能進行限制

在/etc/inetd.conf 文件中FTP 命令所在的行注釋掉，即在行首加上#號，然后重啟inetd 服務。在需要使用的時候將/etc/inetd.conf 文件中FTP 前的#去掉，重啟inetd 服務器即可完成。

④修改SNMP 默認屬性串。修改/etc/snmpd.comm文件中的public 字符。Public 是默認的屬性串，需要將其修改其他的字符串，以保證使用默認的屬性串不能管理到堡壘機。

⑤修改堡壘機上所有用戶的密碼。為了保證密碼的復雜度，要求必須使用“數字、大寫、小寫、特殊字符”四種的組合。將密碼進行封存，確保密碼的安全使用和留存。密碼放置在領導處，以便管理、使用人員不在或者忘記密碼的情況下，也可以登錄到系統。按照安全要求，每90天修改密碼并封存。

（4）確定兩塊網卡的地址，并進行配置。本階段連接運營商內部網絡的地址是第一階段路由器的地址；連接路由器的地址需要重新劃分。

（5）制定修改路由器的配置腳本。將第一階段路由器與內網連接的地址修改到堡壘機與內部網絡連接的網卡上，路由器與堡壘機的連線重新配置IP 地址，路由器與堡壘機相連使用私網192.168.200.XX/24 地址。即將第一階段的：

改造割接步驟

（1）將第一階段運營商內部網絡與路由器的連線，更改至堡壘機連接內部網卡的端口。

（2）將路由器與堡壘機的另外一塊網卡相連。

（3）修改路由器與堡壘機相連端口的配置。

（4）對堡壘機的路由進行設置。確保進入運營商內網的數據流從134.40.XX.XX 地址的網卡經過；向銀行側的數據流從192.168.200.XX 地址的網卡經過。

具體配置為：

（5）進行業務測試

改造回退

如果改造割接不成功，則需要進行改造回退：

（1）業務沒有恢復，并不能確定原因或者回復時間，經雙方商定開始回退。

（2）拆除堡壘機與路由器相連線路。

（3）將堡壘機與運營商內網連線更改至路由器上。

（4）恢復路由器以太端口配置。從192.168.200.XX地址修改回原來134.40.XX.XX 地址。

（5）進行業務測試。

防火墻的加載改造

在運營商內部網絡與堡壘機之間增加硬件Netscreen防火墻。

改造前的準備

（1）將防火墻上架，進行加電測試。

（2）鋪設防火墻至運營商內部網絡端口的連線；鋪設防火墻與堡壘機交換機的連線。

（3）配置防火墻：

①配置防火墻成為透明模式：

將第一端口配置為V1-trust 即信任域，與運營商內網相連；將第三端口配置為V1-untrust 即不信任域，與堡壘機相連。

②配置相應的進入運營商內網的服務器端口，假設內網服務端口為6666，名稱為bank。

③配置相應的時間安排，為時間安排起名為work。例：set scheduler work recurrent monday start 8：00 stop 18：00。即每周的周一至周日8：00 至18：00 時間段內防火墻允許數據流通過；非定義的時間內，數據流則不能通過。

④配置相應的訪問策略，以部分配置為例：

配置的意義為：從v1-untrust 域至v1-strust 域，源地址是134.40.XX.XX，目的地址是134.32..XX.XX，從代號為bank 的端口允許在work 時間安排內可以通過。

改造步驟

因為防火墻上有時間安排控制，此次割接必須白天進行。如果選擇在晚上，防火墻則會關閉所有端口，將不能進行業務測試。

（1）通知銀行側割接開始，測試代收業務中斷。

（2）在前面的配置中已經將第三端口配置為v1-untrust 域，將原堡壘機與內網的連線中斷，并更改至防火墻的第三端口。

（3）將防火前的第一端口與內部網絡接口相連接。

（4）測試業務流通性。

改造回退

（1）業務沒有恢復，并不能確定原因或者回復時間，經雙方商定開始回退

（2）將防火墻與內部網絡、堡壘機的連線中斷。

（3）將內部網絡與堡壘機的聯系恢復。

（4）測試業務。

結語

此次改造實施后，提高了傳輸信道質量和穩定性；改造了連接方式，保證電信運營商內部網絡的安全；建筑了防火墻，實現網絡的隔離和訪問控制，有效增強了網絡的可用、安全性。改造實施設計方案充分考慮實用性、安全性和穩定性，能夠滿足各項改造需求。