市级银行网络规划和安全策略设计.docVIP

市级银行网络规划和安全策略设计 　　摘 要：为了适应市场经济的发展和满足用户对银行业务的需求，优化地市级银行的网络状况，提高银行网络的运行效率、安全等方面因素，文章设计了一个模拟的银行网络并加以优化，为各银行提供了网络设计模型。模拟中，原网络线路比较单一，设计不够冗余，负载比较严重，服务器的安全不够合理。需要在原有骨干线路上在进行拓扑优化，增添网络设备，设计路由和安全策略。最终能够实现设备间运行效率更高，数据的传输更加安全可靠，保证了重要服务器的安全。最后经过测试，优化后的网络无论在运行效率还是安全性方面都有显著的提高。 　　关键词：模型；拓扑优化；路由；安全策略 　　中图分类号：TP393 　　随着社会的发展和市场经济发展的需要，人们对于银行的业务需求越来越多，业务处理越来越复杂，简单的网络运行管理，已经无法满足银行快速的发展。银行网络的设计中，拓扑、路由和安全的设计关系着银行业务的处理效率[1]和数据安全[2]以及网络运行的可靠性等。 　　1 建设基础 　　1.1 网络现状 　　当前银行网络核心网络，以两台CISCO3550作为核心交换机，并启用三层，各区域之间通过单线程进行链接，比较简单，各区域之间也都是单线程连接非常简单。 　　1.2 存在的问题 　　旧网建设时采用的是当时先进的技术和优良的设备，但随着各种技术层出不穷，旧网在新的形势面前变得乏力。因此，有如下问题较为明显是急需改造设计中需要重点考虑[3，4]。 　　（1）网络冗余：旧网只是在总部对核心采用了备份。一旦某区域有一条线路断开，会导致该区域的瘫痪，无法工作。 　　（2）网络的负载均衡：旧网仅有一条主链路。在大规模的数据传递时会产生网络拥塞，导致网络瘫痪。 　　（3）旧线路的老化：由于当时技术条件的限制，加上时间的长久，在数据的传输上不是能够完全做到快速有效及时。 　　（4）内外部的信息交流：银行网络的建设重点就是安全性。应当对部门做一些安全策略。 　　（5）设备的不足：当前网络多区域共用一台防火墙，导致网络拥塞。 　　2 建设方案 　　通过对现有网络的分析，本次的设计方案在设备的选择上更加合理，充分利用IP地址，解决了地址浪费和不足的问题。路由方面全网动态和静态相结合，让各区域之间的工作效率更高。充分考虑信息的安全，做好设备间冗余和备份。 　　2.1 网络设计 　　整网按业务功能和安全需要分为不同的网络区域。各个区域部署独立的网络设备连接相应的主机、服务器等设备，网络区域的汇聚交换机再连接到核心交换机上。设计过程中，要避免过多的环路，充分考虑备份冗余和数据传输的效率以及各区域之间网络安全等[5，6]。 　　2.2 路由策略设计 　　为保持良好的扩展性，此次全网改造中，将使用OSPF动态路由协议代替静态路由协议。同时，由于全网采用的三层的分区结构设计，且每个功能区都有防火墙做完全隔离，因此功能区与核心交换之间仍然使用静态路由。对于新建的大型网络来说，选择一个合适的路由协议非常重要。路由协议对网络的稳定高效运行、网络在拓朴变化时的快速收敛、网络带宽的充分有效利用、网络在故障时的快速恢复、网络的灵活扩展都有很重要的影响。 　　数据中心网络系统路由协议的选择要点如下： 　　（1）适用于实际网络结构，支持大规模的IP网络。 　　（2）路由选择的准确性。 　　（3）路由算法的简单、稳定，以减少由算法带来的网络流量。 　　（4）路由算法的迅速收敛。减少由收敛慢可能引起的路由环路。 　　（5）路由算法的灵活性。 　　（6）路由协议具有很好的可扩展性。 　　3 路由安全策略 　　3.1 下联区安全部署 　　ACL（Access Control List，访问控制列表）是路由器和交换机接口的指令列表，用来控制端口进出的数据包，其目的是为了对某种访问进行控制。信息点间通信和内外网络的通信都是企业网络中必不可少的业务需求，但是为了保证内网的安全性，需要通过安全策略来保障非授权用户只能访问特定的网络资源，从而达到对访问进行控制的目的。简而言之，ACL可以过滤网络中的流量，是控制访问的一种网络技术手段。 　　ACL是整个网络安全环境构架的基础。哪些可以和银行内部进行交流，哪些银行部门可以与哪些银行部门互访或隔离，哪些数据信息需要什么要求才可以访问，都是由ACL进行设定。因此，对于ACL通常在网络的各个节点写好之后，会统一在建行总部留有备份，属于银行机密信息。ACL是安全方面的软防护，具体的设备及相关的安全设备（如防火墙等）则是安全方面的硬防护，软硬结合方可达到安全效益的最大化。 　　3.2 核心功能区及关键业务主机的安全 　　（1）应考虑在核心交换区与运维监控区、开发测试区等之间部署防火墙设备，并设置适当的访问策略。