银行中间业务综合出口安全建设

项目背景

中国XX银行综合出口是将人行监管、支付清算、代收费(电信、电力、燃气、水利、罚没等)、银行证券业务等多条点对点链路汇总后所形成的同一出口,代表着中国XX银行所具备的绝大多数Extranet连接。

综合出口接入区的网络链路采用双链路Active-Standby模式,一条为主链路,另一条为备份链路。正常工作状态下网络数据均通过主链路进行传输,当有网络故障时自动切换到备份链路。在该位置进行的网络安全建设将直接影响到中国XX银行中间业务的整体安全状况。

需求分析

  • 中国XX银行综合出口链路安全域分界点是客户指定的,即在统一出口接入路由器与中国XX银行中间业务系统交换机之间;
  • 为提高该分界点的访问控制和攻击检测强度,要求综合出口每一个下行流量均需多次通过访问控制设备的检查;
  • 在中国XX银行综合出口内的网络中,提供多条冗余链路供该出口使用,以提高己方网络的可用性。

解决方案

东软公司根据上述需求分析结果,给出相对应的解决方案。在本项目中,东软NetEye充分尊重客户对网络安全建设的既定要求,严格把建设范围重点放在多层次、多冗余链路的访问控制设计上,通过多品牌产品的串联部署提高访问控制设备的壁垒效果。

  • 采用国外知名品牌防火墙设备与东软NetEye防火墙多机串联方式,共同对一条链路进行访问控制和攻击防护。由于不同产品在功能上呈现出很多特色,串联部署能够使多家产品形成互补,使整个访问控制点获得多种产品的最大功能集并提高安全程度;
  • 国外产品部署在外侧,对访问请求进行较粗粒度的过滤筛选,在传输层/IP层等较低层面上进行访问控制;
  • 东软NetEye防火墙部署在内侧,在外侧设备粗略过滤的基础上,对访问请求进行会话层/应用层的访问控制,如命令级过滤、资源访问权限控制、应用行为审计等较高层面的操作;
  • 在前置系统与数据中心之间,同样部署东软NetEye访问控制产品,在此分界点上,NetEye唯一目的在于保护数据中心不受到该分界点外侧的非法访问,因此只允许前置系统对数据中心进行有限操作,其他来源的访问请求、超出访问权限的信息流量将被完全拒绝。

多层堆叠的部署方式能够综合多家产品的优势,通过一里一外(拓扑层次上)和一高一低(防护层面上)的相互配合,能够把大批量的底层过滤作业从NetEye设备中分离出去,在串联拓扑中实现访问过滤的多机负载分担,有利于NetEye集中实现更贴近应用层的指令过滤和行为审计操作。