护航网银业务 农行数据中心筑安全屏障.docVIP

护航网银业务 农行数据中心筑安全屏障 　　神秘、低调、不为人知，是银行数据中心给人的第一印象。千里之外的ATM能否实现转帐、存取款，网银水电费缴款操作可否顺利完成，银行各类业务都离不开背后数据中心的运营支撑。 　　“如果说总行是银行经营的大脑，数据中心就是银行经营的心脏。只有一颗安全、健康跳动的心脏，经营才能搞好。”中国农业银行董事长项俊波如是说。 　　对中国农业银行而言，成立于2005年11月的总行数据中心是农行总行直属一级部门，是农行整体信息化架构的重要核心，更是农行生产运营向集约化、科学化战略目标迈进的一项重要举措。 　　网络升级先行 　　目前，农行正通过全国24064家分支机构，30089台自动柜员机和遍布全球的1171家境外代理行，向全世界超过3亿5千万客户提供便利、高效、优质的金融服务。 　　境内星罗密布的营业网点，以及境内外各分支机构的巨大网络差异性，使得农行整体网络结构复杂，要不断满足新业务上线要求，数据中心网络升级成为农行整个系统升级改造的重中之重。 　　据了解，农行数据中心网络架构如下：各级分行的生产网有8个分区、办公网有5个分区，分区多达13个，两套物理隔离的网络分别承载生产和办公业务，但生产业务区与办公业务区部分功能重叠，业务分区之间需要部署防火墙进行网络隔离，以增强业务流量的安全控制。 　　为更好地科学制定网络改造升级计划，农行选择合作伙伴华为，帮助其重新规划涉及所有36个一级分行数据中心和一级骨干网的网络架构，以改变农行当前网络架构，实现两网融合，即采用一套物理网络承载生产和办公业务。 　　华为在充分调研中国农行网络现状后，针对数据中心网络架构进行了结构性调整、规划：全网按照“多地、多中心”架构进行设计，实现网络全时服务能力；所有核心设备采用双主控、多交换板、多电源等最高荣誉等级配置，实现核心节点超过5个9的可靠性。这次网络改造涉及所有36个一级分行数据中心和一级骨干网。 　　要解决生产网和办公网功能重叠问题，农行科技部的具体思路是将生产网与办公网功能重复的网络分区归类合并，整合之后网络分区从13个减少至6个，网络结构大大简化，可扩展性也大大增强。 　　但合并之后的公共网络分区，在安全性上又提出了更高要求，因此，华为实施团队在本地用户接入区、开放平台区、开发测试区等区域部署防火墙，以增加对业务互访的安全控制策略。 　　其次，生产网和办公网的外联网合并后，华为在关键网络核心节点采用双机热备，进一步增强网络可靠性。同时，为确保业务流量无阻塞转发，华为在核心层和汇聚层部署了高性能交换机CE12800。 　　关注高可靠性 　　数据中心网络升级为农行业务运行提供了更高稳定性，与此同时，也对业务系统的出口安全提出了更为严苛的要求。 　　为满足国家安全审查建设，2014年，农行总行针对电子认证系统建设规划，开展了“某系统国家安全审查建设项目“万兆防火墙入围选型工作。从银行业务的特点出发，农总行对设备的性能提出了明确要求：防火墙吞吐40G以上，能够实现基于用户、应用的下一代防火墙特性以及负载均衡、VPN、多种路由协议等网络特性。 　　经过谨慎检验，H3C SecPath F5040入围农总行数据中心。作为下一代高性能万兆防火墙产品，H3C SecPath F5040采用最新64位多核高性能处理器和高速存储器，支持多维一体化安全防护，可从用户、应用、时间、五元组等多个维度，对流量展开IPS、AV、DLP等一体化安全访问控制，能够有效的保证网络的安全；支持多种VPN业务，如L2TP VPN、GRE VPN 、IPSec VPN和SSL VPN等，与智能终端对接实现移动办公；提供丰富的路由能力，支持RIP/OSPF/BGP/路由策略及基于应用与URL的策略路由；支持IPv4/IPv6双协议栈同时，可实现针对IPV6的状态防护和攻击防范。 　　高可靠性是农总行最为关注的一个方面，H3C SecPath F5040防火墙采用互为冗余备份的双电源模块，支持可插拔的交、直流输入电源模块，同时支持双机状态热备，充分满足高性能网络的可靠性要求，这对银行业务来具有实际意义。 　　更易用的网络防护 　　目前，已经有两台H3C SecPath F5040部署在农总行数据中心，作为数据中心出口的“屏障”，为网银业务保驾护航。对于农总行IT部门而言，采用H3C SecPath F5040，也一定程度减轻了在系统部署和运维环节的压力。 　　采用双机热备，是高端用户普遍采用的一种增强系统稳定性的方法。以往农总行数据中心采用的是VRRP+HA的双机部署方式，这也是国内厂商设备的普遍方式。但这种方式的短板十分明显，由于单组VRRP需要消耗三个IP地址，如果双主方式需要两组VRRP；两台设备需要单独配置