关于一级分行外联接入平台的研究与实践.pdf

1、责任编辑章继刚Infrastructure&DataManagement基础设施与数据管理关于一级分行外联接入平台的研究与实践南京陈鹏编者按：为践行总体国家安全观，全面落实网络安全主体责任，H银行NJ分行根据总行相关要求，开展了外联接入平台的研究与实践。银行业及金融机构不仅是网络服务的提供者，也是关键信息基础设施的运营者。金融行业要严格履行自身网络安全工作的义务和责任，有效提高金融行业整体的网络安全保护水平。银行外联网络安全现状银行外联网（Extranet）是与监管机构（人民银行、银监局）及其他业务合作单位（地方财政、税务、电力，房产等）信息沟通与金融交易的平台，是银行大力发展中间业务的基础，

2、是基于电信运营商专线或其他公网设施构建的与第三方单位间专用的网络通道。针对外联网络中主要的安全风险点分析如下。1.银行外联业务繁多，对接的外联系统五花八门，缺乏统一的接入规划和标准。目前，外联接入分为总行、一级分行和二级分行三个接入层次，随着二级分行业务的不断扩增，越来越多的外联单位是经过二级分行接入。由于该层次使用的安全产品和技术相对有限，尤其对于部分二级分行外联网络只有基础安全防护，因此对外联接入的监管控制缺乏力度，存在外联接入风险。2.针对外联接入网络，缺少统一规范的安全架构和访问控制策略标准。针对不同的外联业务没有分层分级设定不同的安全策略，在网络层没有设定统一的安全访问控制标准，比如

3、允许开放的端口、必须关闭的高危端口、需要控制访问的端口、安全传输协议等。因此，外联网络的整体可控性不强。3.外联网络缺乏统一完善的安全防御体系，容易被APT攻击攻破，造成严重的网络风险事故。外联接入平台建设的设计原则近年来，我国高度重视网络安全工作及新时代网络安全治理体系建设，已将网络安全上升至国家战略层面。H银行作为关键信息基础设施运营者之一，始终践行总体国家安全观，全面落实网络安全主体责任，出台了一系列网络安全相关准则，不断提升网络安全防护能力。至此，H银行NJ分行也根据总行相关要求开展了外联接入平台的研究与实践。1.外联接入平台的安全设计（1）N J分行作为一级分行建立统一的外联平台，是

4、辖内外联网业务的唯一入口，现有外联业务系统逐步切换至此平台上运行。投稿信箱2023.1177Infrastructure&Data Management基础设施与数据管理/责任编辑章继刚（2）采取层次防护、区域控制的策略，部署异构防火墙，通过边界防护和核心防护保护外联网络系统安全。（3）通过双向NAT技术，第三方外联单位进入银行内网后进行精确的IP地址+端口转换，采用预先规划好的地址段。同时，银行内部提供服务的地址在出口进行精确的IP地址+端口转换，可以有效防范银行内网地址信息的泄露。（4）采用静态路由，严格限制外联单位间的访问。（5）采取最小化访问原则，只开放业务需要的端口，关闭高危端口、严

5、格控制访问的端口等。（6）从节省线路费用以及释放二级分行IT人员生产力的角度出发，针对二级分行外联接入，采用VPN加密技术，将二级分行外联业务经过隧道和一级分行外联平台连接。（7）对第三方外联单位经过互联网接入内网的需求，只能经过总行互联网入口进行接入。（8）将外联平台纳入统一的安全防御平台，将所有外联业务流量都接入内网安全平台进行动态行为分析、异常流量分析及全流量回溯分析，进一步确保外联平台的网络安全。2.外联接入平台的可靠性设计外联接入平台关键网络设备、路由和重要线路应采用几余设计，避免单点故障，提高网络健壮性。（1）防火墙通过几余技术实现双机热备。（2）重要外联单位的连接应具有网络设备和

6、线路的备份措施。（3）二级分行外联接入和一级分行统一管理。外联平台之间的连接按照业务需求来设计线路和路由的备份策略。VPN通道模式可由二级骨干网实现备份，单独专线上联模式可使用几余路由器和穴余线路实现备份。H银行NJ分行外联接入平台建设1.数据中心网络架构H银行NJ分行数据中心采用两台高端交换机作二级分行外同城外联联路由器路由器外联接入平台外联区防火墙广域网区同城支行二级分行商行自助同城灾备接入上联路由器路由器下联路由器路由器核心交换机40G链路10G链路防火墙心跳Peerink核心防火墙安全防护设备奥聚交换机广聚交换机电奥汇聚交换机联交换机接入交换机用户接入区接入交换机光口接入交换机电口接入

7、交换机服务器接入区图1 分行主数据中心网络拓扑光口接入交换机电口接入交换机光口接入交换机电口接入交换机安全管理区开发测试区 2023.11投稿信箱责任编辑章继刚Infrastructure&DataManagement基础设施与数据管理广域网区L3/VRF核心交换机核心防火墙L2/VRF安全管开发测猴大区理区图2 一虚多网络架构为分行的核心，负责各功能分区间高性能的交换。在核心交换机上应预留足够的槽位，满足未来功能和性能扩展。各个区域采用同型号网络设备，并在区域之间部署安全控制策略，对各区域进行安全防护，对安全等级较高的关键区域应进行重点防护。图1 是分行主数据中心网络拓扑。核心交换机采用跨设

8、备端口聚合技术（M-L A G），将M-LAG系统不同设备上的端口聚合到一个逻辑接口中，消除生成树影响并提供链路利用率，即使其中某台设备故障或其中一条聚合链路出现故障，也不会导致聚合链路完全失效，从而保证了数据流量的可靠传输。同时，M-LAG系统的两台设备在逻辑上被虚拟成一台设备，提供了一种没有环路的二层拓扑，逻辑组网更清晰，链路利用更充分。另外，相比堆叠虚拟化技术，M-LAG技术使两台设备控制层面独立，能单独升级且不影响业务，实现效率高、业务秒级中断的目标。核心防火墙设备采用一虚多虚拟系统模式建设，针对每个功能分区划分出不同的虚拟防火墙，每个功能分区的安全策略根据需求单独配置。同时，在外联接

9、入平台二级分行外同城外联联路由器路由器外联区防火墙核心防火墙核心交换机用户接外联区武区入区虚拟防火墙安全防护设备图3外联接入平台网络部署核心交换机上通过VRF一虚多方式逻辑虚拟出两台逻辑设备或者两个层面用于连接核心防火墙。图2是一虚多网络架构。2.外联接入平台架构H银行NJ分行的外联接入平台是所辖分行所有外联业务的出口，也是分行内部网络与外部网络的边界。在网络边界，部署了四台外联路由器，分别为两台同城外联路由器和两台二级分行外联路由器，根据业务重要程度，对关键业务外联单位通过不同运营商的两条链路连接；在外联路由器与内部核心交换机之间，配置两台独立的外联防火墙，并对内部地址和外部地址同时进行地址

10、转换，以达到对外隐藏内部信息，同时避免在内部网引入外部路由的目的。核心防火墙采用一虚多的网络架构，在外联接入平台与内网中间通过VRF方式虚拟出两台逻辑防火墙作为外联接入的网络安全管控，从而实现外联接入平台采用异构防火墙的网络安全部署。同时，所有外联流量都需经过安全防护设备进行流量分析，进一步确保外联业务的网络安全。图3是外联接入平台网络部署。H银行NJ分行下辖九家二级分行，每家二级分投稿信箱2023.1179Infrastructure&DataManagement基础设施与数据管理/责任编辑章继刚业务数据流GRE隧道一级分行第三方一级分行外联路由器级分行GRE隧道第三方二级分行业务数据流第兰

11、方二级分行城网区外区2隧道目的IP地址路由（一级分行外联路由器端口IP地址）外联业务路由行内网络二级分行外联路由器核心区第三方图4 GRE方式一级分行外联接入平台图5 GRE方式路由规划行都开展了外联业务，前期各分行的外联网络都是经过本地接入，部分二级分行外联网络只有基础安全防护，而与之连接的单位或者企业网络情况复杂，网络健壮性和可控性参差不齐，存在较大的网络安全风险。根据外联接入平台建设的安全设计原则，二级分行上联一级分行的外联链路采用共享一二级分行间广域网链路方式部署，即使用GRE隧道连接二级分行外联路由器到一级分行外联路由器。具体方式为：二级分行外联路由器直接与二级分行核心交换机互联，在

12、外联路由器上使用与内部局域网互联端口的IP地址作为GRE隧道源地址，目的地址为一级分行外联路由器与内部局域网互联端口的IP地址，建立点到点GRE隧道，需要在二级分行外联路由器上配置到一级分行外联路由器主机静态路由，下一跳指向二级分行核心交换机。同时，需要在一级分行核心防火墙以及外联防火墙上配置安全策略，允许GRE隧道数据流通过。图4 是GRE方式一级分行外联接入平台。在二级分行外联路由器上配置业务静态路由指向对端一级分行外联路由器上的GRE隧道地址，在二级分行与一级分行局域网内部不会存在第三方单位路由，只有外联路由器上存在第三方单位路由。此时，二级分行外联业务数据流进入二级分行外联路由器后，通过GRE隧道到达一级分行外联路由器，之后传输方式与一级分行其他外联业务模式一致。图5 是GRE方式路由规划。最后，根据外联平台的安全设计要求，针对外联业务部署严格的安全管控策略，包括：（1）规划统一的外联接入IP地址，该类地址只允许外联业务使用。（2）采用双向NAT技术，严格控制行内的IP地址信息泄露。（3）根据最小化访问原则，只开放业务需要的端口，同时严格管控高危端口。（4）通过端口镜像将所有外联业务流量都引流至APT高级威胁检测设备，实现外联业务全流量的深度动态行为检测与回溯分析。N2023.11投稿信箱