基于虛擬隧道的第三方外聯(lián)網(wǎng)絡(luò)研究

戴鵬 王洋 張宇

【摘 要】本文介紹了國(guó)有商業(yè)銀行第三方外聯(lián)網(wǎng)絡(luò)的服務(wù)對(duì)象和運(yùn)行情況。重點(diǎn)介紹了新的安全形勢(shì)下，第三方外聯(lián)網(wǎng)絡(luò)面臨的挑戰(zhàn)和解決方案，商業(yè)銀行應(yīng)用虛擬隧道技術(shù)重構(gòu)了第三方外聯(lián)網(wǎng)絡(luò)，有效保證了銀行與客戶之間的信息安全。本文也介紹了新的外聯(lián)網(wǎng)絡(luò)采用的主要網(wǎng)絡(luò)技術(shù)和安全技術(shù)。最后介紹了基于虛擬隧道的第三方外聯(lián)網(wǎng)絡(luò)的應(yīng)用成果。

【關(guān)鍵詞】第三方外聯(lián)網(wǎng)絡(luò)；虛擬隧道；架構(gòu)設(shè)計(jì)

一、第三方外聯(lián)網(wǎng)絡(luò)概述

國(guó)有商業(yè)銀行第三方外聯(lián)網(wǎng)絡(luò)采用運(yùn)營(yíng)商專線對(duì)接模式，主要服務(wù)于政府部門、事業(yè)單位、國(guó)有大型企業(yè)等對(duì)網(wǎng)絡(luò)安全要求較高的客戶。第三方外聯(lián)單位的網(wǎng)絡(luò)結(jié)構(gòu)日趨復(fù)雜，管理成本提高，安全風(fēng)險(xiǎn)日趨增大。尤其最近一個(gè)時(shí)期，外聯(lián)網(wǎng)絡(luò)面臨著一些新的挑戰(zhàn)。一是外部隱患，部分客戶內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜，其內(nèi)部網(wǎng)絡(luò)不僅連接銀行，而且也和互聯(lián)網(wǎng)直接連通，連接客戶的專線變成了可連通互聯(lián)網(wǎng)的“假專線”；而且新的網(wǎng)絡(luò)攻擊層出不窮，外部風(fēng)險(xiǎn)日益顯現(xiàn)。二是內(nèi)部短板，多家單位是從銀行地市分支機(jī)構(gòu)接入金融網(wǎng)絡(luò)的，而地市分行安全防御設(shè)備比較單一、人員相對(duì)不足、管理比較分散，成為防御上的薄弱點(diǎn)?；谏鲜銮闆r，構(gòu)建新的外聯(lián)網(wǎng)絡(luò)已刻不容緩。

二、新外聯(lián)網(wǎng)絡(luò)建設(shè)目標(biāo)

以有效保障客戶信息安全、提高業(yè)務(wù)運(yùn)行效率為主要目標(biāo)，設(shè)計(jì)新的高安全低成本的第三方外聯(lián)網(wǎng)絡(luò)，為客戶提供安全穩(wěn)固、智能高效、接入靈活的金融服務(wù)。主要內(nèi)容包括：以虛擬隧道為核心，重構(gòu)第三方外聯(lián)網(wǎng)絡(luò)架構(gòu)；應(yīng)用多種網(wǎng)絡(luò)技術(shù)、安全技術(shù)完善一級(jí)分行外聯(lián)區(qū)安全防御體系；建立一級(jí)分行、二級(jí)分行的外聯(lián)區(qū)虛擬隧道；提高第三方網(wǎng)絡(luò)運(yùn)行效率，降低網(wǎng)絡(luò)運(yùn)維成本等。

三、新外聯(lián)網(wǎng)絡(luò)的設(shè)計(jì)與實(shí)現(xiàn)

（一）系統(tǒng)架構(gòu)設(shè)計(jì)

基于虛擬隧道的第三方外聯(lián)網(wǎng)絡(luò)采用統(tǒng)一的“物理+邏輯”的兩層組網(wǎng)結(jié)構(gòu)，輔助以軟件控制轉(zhuǎn)發(fā)平面，在外聯(lián)區(qū)最外層實(shí)現(xiàn)對(duì)數(shù)據(jù)專線的接入或通過(guò)VPN接入第三方，在DMZ區(qū)（隔離區(qū)：demilitarized zone）部署通訊前置機(jī)等，同時(shí)部署相應(yīng)的安全防護(hù)設(shè)備（包括防火墻、入侵檢測(cè)、入侵阻斷、防APT全流程攻擊、防流量回溯、全流量分析、訪問(wèn)控制和威脅檢測(cè)等）。在外聯(lián)區(qū)的不同安全域通過(guò)相應(yīng)的安全策略實(shí)現(xiàn)不同區(qū)域間的安全訪問(wèn)。

二級(jí)分行到一級(jí)分行第三方外聯(lián)區(qū)建立虛擬隧道。在二級(jí)分行部署2臺(tái)冗余外聯(lián)路由器，對(duì)下作為二級(jí)分行第三方外聯(lián)單位的本地物理鏈路接入，在二級(jí)廣域網(wǎng)鏈路上建立與內(nèi)網(wǎng)邏輯隔離的虛擬隧道，升級(jí)接入一級(jí)分行第三方外聯(lián)區(qū)的外聯(lián)路由器。邊界安全防護(hù)和IP地址轉(zhuǎn)換均在一級(jí)分行第三方外聯(lián)區(qū)實(shí)現(xiàn)。

（二）系統(tǒng)功能實(shí)現(xiàn)

1、網(wǎng)絡(luò)服務(wù)提供

網(wǎng)絡(luò)設(shè)備方面：在一級(jí)分行，部署2臺(tái)廣域網(wǎng)交換機(jī)、2臺(tái)VPN網(wǎng)關(guān)、2臺(tái)LNS路由器；在省市分行之間的二級(jí)骨干網(wǎng)部署2臺(tái)一級(jí)節(jié)點(diǎn)路由器確保網(wǎng)絡(luò)服務(wù)的提供。

網(wǎng)絡(luò)通信方面：引入電信、聯(lián)通兩家運(yùn)營(yíng)商，確保網(wǎng)絡(luò)線路冗余，為第三方客戶提供高質(zhì)量的通信服務(wù)。

2、數(shù)據(jù)資源調(diào)度

設(shè)計(jì)了網(wǎng)絡(luò)資源調(diào)度層，引入網(wǎng)絡(luò)資源池（NFV）的概念，通過(guò)多級(jí)智能流量調(diào)度、端到端安全隔離、行為識(shí)別帶寬保障等網(wǎng)絡(luò)技術(shù)，實(shí)現(xiàn)數(shù)據(jù)資源科學(xué)調(diào)度。

3、訪問(wèn)控制管理

一級(jí)分行統(tǒng)一負(fù)責(zé)外聯(lián)邊界安全防護(hù)訪問(wèn)，規(guī)范及新定義第三方單位的接入IP地址、地址映射、路由策略等訪問(wèn)控制規(guī)則。

4、安全防御功能

在一級(jí)分行外聯(lián)區(qū)部署了雙層異構(gòu)防火墻、IDS入侵檢測(cè)、IPS入侵阻斷、防APT全流程攻擊、防流量回溯系統(tǒng)、SOC全流量分析系統(tǒng)、TDA威脅檢測(cè)系統(tǒng)等安全設(shè)備；統(tǒng)一進(jìn)行ACL訪問(wèn)控制、NAT地址轉(zhuǎn)換、路由策略等安全配置。

（三）技術(shù)特點(diǎn)

基于虛擬隧道的第三方外聯(lián)網(wǎng)絡(luò)應(yīng)用了多項(xiàng)網(wǎng)絡(luò)技術(shù)、安全技術(shù)，下面做簡(jiǎn)要介紹。

1、虛擬隧道技術(shù)

虛擬隧道技術(shù)是一種通過(guò)公共網(wǎng)絡(luò)的基礎(chǔ)設(shè)施，在專用網(wǎng)絡(luò)或?qū)Ｓ迷O(shè)備之間實(shí)現(xiàn)加密數(shù)據(jù)通信的技術(shù)。通信的內(nèi)容可以是任何通信協(xié)議的數(shù)據(jù)包。通過(guò)智能流量調(diào)度（SDH-WAN）將這些協(xié)議的數(shù)據(jù)包重新封裝在新的包中發(fā)送。新的包頭提供了路由信息，從而使封裝的數(shù)據(jù)能夠通過(guò)公共網(wǎng)絡(luò)傳遞，傳遞時(shí)所經(jīng)過(guò)的邏輯路徑稱為隧道。當(dāng)數(shù)據(jù)包到達(dá)通信終點(diǎn)后，將被拆封并轉(zhuǎn)發(fā)到最終目的地。

2、行為識(shí)別帶寬保障（Diff-Serv）

行為識(shí)別帶寬保障（Diff-Serv）是一種保證QoS的網(wǎng)絡(luò)技術(shù)。定義了一種可以在互聯(lián)網(wǎng)上實(shí)施的、可擴(kuò)展的、可分類服務(wù)的網(wǎng)絡(luò)結(jié)構(gòu)。服務(wù)對(duì)象是由同一網(wǎng)絡(luò)內(nèi)，在相同傳輸方向上，通過(guò)一條或幾條路徑傳輸數(shù)據(jù)包時(shí)的某些重要特征所決定的。這些特征可能包括吞吐率、網(wǎng)絡(luò)時(shí)延、時(shí)延抖動(dòng)，丟包率的量化值或統(tǒng)計(jì)值等，也可以是指其獲取網(wǎng)絡(luò)資源的優(yōu)先級(jí)別。主要特點(diǎn)就是簡(jiǎn)單高效、可擴(kuò)展性強(qiáng)。具體實(shí)施的時(shí)候，采用聚合的方式將具有相同特性的若干業(yè)務(wù)流聚合起來(lái)，提供為整體聚合流服務(wù)，而不再面向單個(gè)業(yè)務(wù)流。

3、端到端安全隔離（MPLS-VPN）

MPLS-VPN是指采用MPLS（多協(xié)議標(biāo)記轉(zhuǎn)換）技術(shù)在骨干的寬帶IP網(wǎng)絡(luò)上構(gòu)建企業(yè)IP專網(wǎng)，實(shí)現(xiàn)跨地域、安全、高速、可靠的數(shù)據(jù)、語(yǔ)音、圖像多業(yè)務(wù)通信，并結(jié)合差別服務(wù)、流量工程等相關(guān)技術(shù)，將公眾網(wǎng)可靠的性能、良好的擴(kuò)展性、豐富的功能與專用網(wǎng)的安全、靈活、高效結(jié)合在一起。

四、結(jié)語(yǔ)

基于虛擬隧道的第三方網(wǎng)絡(luò)防御能力較傳統(tǒng)網(wǎng)絡(luò)顯著增強(qiáng)，可適用場(chǎng)景更廣泛。新的第三方外聯(lián)網(wǎng)絡(luò)架構(gòu)趨于扁平，網(wǎng)絡(luò)接入靈活，安全管控集中到一級(jí)分行，網(wǎng)絡(luò)安全防御能力大大增強(qiáng)，一方面使客戶的信息安全得到了更好的保障，另一方面減輕了二級(jí)分行的網(wǎng)絡(luò)運(yùn)維壓力。該方案對(duì)各國(guó)有商業(yè)銀行的外聯(lián)網(wǎng)絡(luò)建設(shè)有一定的借鑒作用。

【參考文獻(xiàn)】

[1]謝希仁《計(jì)算機(jī)網(wǎng)絡(luò)》北京：電子工業(yè)出版社，2008.1 第五版

[2]現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)應(yīng)用及發(fā)展研究.《信息與網(wǎng)絡(luò)》.2016年1期.吳江海

[3]計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)發(fā)展模式研究《網(wǎng)絡(luò)安全技術(shù)與應(yīng)用》.2015年3期.曹卉.付賢軍