银行中间业务综合出口安全建设

项目背景

中国XX银行综合出口是将人行监管、支付清算、代收费（电信、电力、燃气、水利、罚没等）、银行证券业务等多条点对点链路汇总后所形成的同一出口，代表着中国XX银行所具备的绝大多数Extranet连接。

综合出口接入区的网络链路采用双链路Active－Standby模式，一条为主链路，另一条为备份链路。正常工作状态下网络数据均通过主链路进行传输，当有网络故障时自动切换到备份链路。在该位置进行的网络安全建设将直接影响到中国XX银行中间业务的整体安全状况。

需求分析

• 中国XX银行综合出口链路安全域分界点是客户指定的，即在统一出口接入路由器与中国XX银行中间业务系统交换机之间；
• 为提高该分界点的访问控制和攻击检测强度，要求综合出口每一个下行流量均需多次通过访问控制设备的检查；
• 在中国XX银行综合出口内的网络中，提供多条冗余链路供该出口使用，以提高己方网络的可用性。

解决方案

东软公司根据上述需求分析结果，给出相对应的解决方案。在本项目中，东软NetEye充分尊重客户对网络安全建设的既定要求，严格把建设范围重点放在多层次、多冗余链路的访问控制设计上，通过多品牌产品的串联部署提高访问控制设备的壁垒效果。

• 采用国外知名品牌防火墙设备与东软NetEye防火墙多机串联方式，共同对一条链路进行访问控制和攻击防护。由于不同产品在功能上呈现出很多特色，串联部署能够使多家产品形成互补，使整个访问控制点获得多种产品的最大功能集并提高安全程度；
• 国外产品部署在外侧，对访问请求进行较粗粒度的过滤筛选，在传输层/IP层等较低层面上进行访问控制；
• 东软NetEye防火墙部署在内侧，在外侧设备粗略过滤的基础上，对访问请求进行会话层/应用层的访问控制，如命令级过滤、资源访问权限控制、应用行为审计等较高层面的操作；
• 在前置系统与数据中心之间，同样部署东软NetEye访问控制产品，在此分界点上，NetEye唯一目的在于保护数据中心不受到该分界点外侧的非法访问，因此只允许前置系统对数据中心进行有限操作，其他来源的访问请求、超出访问权限的信息流量将被完全拒绝。

多层堆叠的部署方式能够综合多家产品的优势，通过一里一外（拓扑层次上）和一高一低（防护层面上）的相互配合，能够把大批量的底层过滤作业从NetEye设备中分离出去，在串联拓扑中实现访问过滤的多机负载分担，有利于NetEye集中实现更贴近应用层的指令过滤和行为审计操作。