银行业务网络建设方案.doc

资源描述

银行业务网络建设方案 45 2020年4月19日文档仅供参考 XX银行业务网络建设方案 10月目录 1 整体建设项目概述 2 2 网络项目规划 2 2.1 网络规划概述 2 2.2 安全域划分 3 2.3 业务网规划 5 2.4 网管监控网络规划 7 2.5 数据中心规划 8 2.6 业务网网络安全规划 9 2.7 后续网络扩容规划 10 3 UPS电源系统规划 12 3.1 UPS电源系统概述 12 3.2 电源系统用户需求分析 13 3.3 电源系统设备选型 13 3.4 系统解决方案主要技术特点及参数 13 4 消防系统规划 14 4.1 灭火系统产品简介 14 4.2 气体灭火系统设置要求 15 5 项目实施安排 15 5.1 实施进度 16 5.2 实施分工 17 6 选型设备介绍及资质 18 6.1 核心路由器介绍 18 6.2 防火墙介绍 21 6.3 核心交换机介绍 27 6.4 服务器产品介绍 29 6.5 存储产品介绍 31 7 设备预算 33 7.1 预算概要 33 7.2 预算清单 33 1 整体建设项目概述 XX银行地处XX市中心,当前设立市场部、风险管理部、营业部、综合办公室…,信息接入点XX个。因业务开展,需建设银行业务系统,上联系统为浙江总部。机房面积70平方米;周围无易燃、易爆等隐患,无危险建筑;机房区域划分为主机房区与监控机房区;按机房消防标准进行设计;强电、弱电分布符合国家标准;综合布线清晰、合理、安全、规范,易于维护,易于扩展;管道铺设保证机房安全。 2 网络项目规划银行业务网络是银行运营信息系统的基础。网络平台将信息交换、安全防护、安全管理和监控有机结合起来,贯穿整个信息系统的所有层次,是系统正常运转的重要保障。本部分重点讲述及细化XX银行业务网络的具体规划建设和项目预算。 2.1 网络规划概述 XX银行从整网结构分析,属于二级分行角色。经过跨省WAN链路上联浙江一级分行,经过城域网内WAN链路下联村镇分行。网络规划以XX业务网络为原点,从横向和纵向开始规划,逐渐形成一个横纵联系的网络。从纵向来看,XX银行网络分为2层,第1层为XX业务网络,第2层为村镇分行业务网络;从横向来看,一般银行网络都按照应用划分为办公子网、生产子网和外联三个子网,省级以上网络还要包含MIS子网、网上银行、测试子网等。由于网络当前还处在组网的初级阶段,因此本次规划仅考虑XX生产子网的建设,不考虑其它子网的建设,但在规划时要考虑网络可扩展性,保证在总体结构不变的情况下,业务网络能够部署连接其它子网的横向接口,以及连接村镇分行的纵向接口。 2.2 安全域划分对于银行业务网络来说,首要的一点就是应该根据国家有关部门对相关规定,将整个业务网络进行网络结构的优化和安全域的划分,从结构上实现对安全等级化保护。根据<中国人民银行计算机安全管理暂行规定(试行)>的相关要求: ”第六十一条　内联网上的所有计算机设备,不得直接或间接地与国际互联网相联接,必须实现与国际互联网的物理隔离。” ”第七十五条　计算机信息系统的开发环境和现场应当与生产环境和现场隔离。” 因此进行网络规划时,有必要将生产业务网络与具有互联网连接的办公网络之间区分开来,经过强有力的安全控制机制最大化实现生产系统与其它业务系统之间的隔离。同时,对银行所有信息资源进行安全分级,根据不同业务和应用类型划分不同安全等级的安全域,并分别进行不同等级的隔离和保护。初步规划将业务网络划分成多个具备不同安全等级的区域,参考公安部发布的<信息系统安全保护等级定级指南>,我们对安全区域划分和定级的建议如下(不涉及的子网没有列出): 安全区域说明定级建议生产核心区域包含业务服务器主机;业务审计系统(可选) 3级业务区域业务前台终端 2级网管监控区域包含维护网络信息系统有效运行的监控服务器主机和管理终端;动环监控服务器和终端。 1级办公区域包含办公网络PC和其它网络设备 1级上表安全级别为降序排列,生产核心区域具有最高安全级别,原则上与办公区域、网管监控区域物理隔离,特殊情况下,如果部分办公业务用户需要访问生产业务中的特定数据,而部分生产应用也需要访问办公网中的特定数据,建议在业务网与办公网之间采用逻辑隔离手段进行严格控制。业务审计系统(可选)要对业务网络的所有流量进行审计,因此也部署在生产区域。业务区域包括柜台终端,需要连接核心区域,具有较高安全级别。网管监控区域用于网络监控,设备远程维护,以及动环监控,该区域不需要与其它区域连接,因此建议网络设备使用带外管理方式,与其它网络物理隔离。办公区域安全级别较低,在大型网络中一般使用MIS子网进行过渡,这里建议使用严格访问控制,仅允许办公区域访问生产区域中特定数据。总体逻辑结构如图所示: 银行网络安全结构示意图 2.3 业务网规划业务网作为信息资源平台,主要包括以下信息业务: l 业务核心服务器和服务前台终端数据交换。 l 服务器之间,服务器和存储之间数据交换、数据处理。 l 业务网和总部数据中心之间数据交换、报表。根据各种信息流的特点,以及各种网络设备的功能角色,建议网络如下图部署。核心路由器作为总出口经过专线与浙江总部上联;下行经过千兆链路连接防火墙。建议使用高性能、可靠性路由器,保证双主控、双路由引擎、双电源、双风扇的硬件冗余;线卡引擎和业务板卡的两级热插拔技术、双主控热备份技术,全面保证可靠性达到电信级标准。中心网络所有出网流量都经过防火墙。建议使用数据中心防护级别的防火墙,同时具备IPS功能防御网络攻击。防火墙根据各区域的安全级别,分配各端口的优先级和防护策略;; 核心交换机承载中心服务器、存储、前置机等核心设备的数据交换。建议使用支持主控板冗余、电源冗余的高性能、高端口密度交换机。生产前台区域需要部署1台或多台汇聚交换机。各网络设备(系统)功能需求如下表序号设备(系统) 功能设备参数需求 1 核心路由器提供XX业务网上联双主控、双路由引擎、电源1+1、4GE接口(含至少1个光口) 2 防火墙网络隔离,为其它网络提供接口;防范非法入侵和攻击; FW+IPS功能启用后保证吞吐量>2G;提供至少4GE接口; 3 核心交换机生产中心数据交换双主控、双路由引擎、电源1+1、至少24GE接口 4 汇聚交换机生产前台数据交换至少4GE、24FE接口 5 办公网交换机办公网数据交换至少4GE、24FE接口 2.4 网管监控网络规划网管监控网络独立与其它网络,整合了网络设备管理系统、动环监控系统、业务审计系统,主要包括以下功能: l 网络设备经过带外方式集中管理 l 动环监控采集器、视频采集器等设备与动环监控终端联网 l 业务审计系统与报表服务器联网根据各种监控的特点,以及各种网络设备的功能角色,建议网络如下图部署。网络设备经过带外网管接口连接到网管交换机,与网络维护终端互联; 动环监控采集器连接到网管交换机与动环监控终端互联; 业务审计系统(可选)旁路在核心交换机,经过交换机的流量复制,接受所有入出核心区域的流量。分析后输出至审计报表服务器。各网络设备(系统)功能需求如下表序号设备(系统) 功能设备参数需求 1 动环监控系统机房消防系统、门禁系统、图像系统、温湿度监控等功能。满足50平米机房需求 2 网管交换机网管、监控数据交换至少2GE、24FE接口 3 业务审计系统(可选) 对重要业务数据流采集、分析和识别;发现并及时制止用户的误操作、非法访问、恶意攻击。事物处理性能> 事物数/秒,至少提供2GE接口 4 审计报表服务器(可选) 审计日志采集、存储 PC server 2.5 数据中心规划数据中心结构图数据中心分别新增两台服务器和存储,服务器和存储采用直连方式。在服务器和存储上配置6GB SAS接口,实现服务器和存储的互联。为防止数据存储出现单点故障,服务配置两个双口SAS HBA卡,存储采用双控制器架构,服务器的每块HBA卡分别与存储的两个控制器连接。本方案中,一套服务器和存储承载业务系统,对外提供服务。另外一套服务器和存储作为备份服务器和存储,经过symantec SYMC BACKUP ECXC备份软件对业务系统进行系统级的备份,当业务系统出现故障能够使用备份数据对业务系统进行恢复。 2.6 业务网网络安全规划业务网网络安全作为平台业务的重要保障,安全建设需要包含以下几方面的内容: 1、安全防护需求在满足联网业务应用需求的同时,也为网络安全带来了新的风险,包括非法访问、身份不确定、黑客入侵、病毒和恶意代码、安全事件发现和追查不及时等,在建设时必须采取相应的安全措施予以防范。 (1)非法访问风险。网络存在多个对外网络接口,因此应建立边界隔离机制,防止非法访问和对管理网的入侵行为。 (2)黑客入侵风险。与外部网络互联,具有黑客非法入侵风险。因此网络应具有足够的抗攻击能力,能够检测和抵御来自外部的各种攻击行为。 (3)网络攻击风险。不但有来自外部的网络攻击,内部网络终端和服务器在中木马或病毒后,也会产生攻击流量。要求网络具有攻击源识别功能,并作为网络日志实时存储。 2、应用层安全针对当前日益增多的应用层网络攻击行为,需要对应用系统和业务数据能够提供有效的安全防护,防止非法访问应用系统、防止对后台数据库的恶意访问、防止DoS攻击并保障系统服务的持续性。经过访问审计,帮助用户了解整个系统的使用情况,提供辅助决策功能。 3、用户管理对于网络的运维人员进行集中账号管理,账号和资源的集中管理是集中授权、认证和审计的基础。集中账号管理能够完成对账号整个生命周期的监控和管理,而且还降低了管理大量用户账号的难度和工作量。同时,经过统一的管理还能够发现账号中存在的安全隐患,而且制定统一的、标准的用户账号安全策略。 4、安全管理对于各种安全事件应具有安全审计功能,各关键组件应能提供详细的日志记录,能够妥善存储和集中分析,并能进行攻击回放。针对上述需求,除做好安全防护和认证授权外,必须有完善的安全审计功能。综上所述,针对当前最常见的互联网攻击类型以及国内外网上系统一般面临的安全威胁,结合云平台实际情况,我们认为可能面临的安全风险和对应的安全需求如下: 序号风险名称受影响对象安全需求 1 非法入侵和攻击(网络级、应用级) 所有网络防火墙、IPS 2 内网攻击大量不安全的主机可能成为僵尸,被利用来向重要网络进行攻击防火墙制定策略,限制攻击流量、攻击规模,以及漏洞机理分析和日志找出问题主机。 3 数据窃密、篡改数据库系统业务审计 2.7 后续网络扩容规划网络扩容分为以下3种情况: 1、其它网络连接生产核心网络生产中心网络与其它网络接口必须经过防火墙,为新网络指定安全级别后,防火墙分配互联端口的优先级和防护策略。如图: 2、村镇分行接入到生产中心网络村镇分行与生产前台网络优先级一致,都为2级,因此也需要经过防火墙接入中心网络,建议扩容汇聚交换机,将各村镇分行网络连接到生产前台区域的汇聚交换机。如图 3、其它功能设备入网随着网络规模扩大,网络安全重要性越来越突出,后续可能会引入业务审计、安全运行中心等系统,由于建网时规划了1个独立的网管监控网络,因此建议业务审计等系统也部署在网管监控网络。如图: 3 UPS电源系统规划 3.1 UPS电源系统概述 UPS电源系统是保障机房设备365×24小时”全天候”稳定、可靠、安全运行的关键因素之一。不同类型的UPS供电系统只能为用户提供不同级别的保护,它们为信息中心提供的可利用率水平也相差很大。因此UPS供电系统应该为各类计算机设备提供充分发挥其技术潜力的运行环境,不应该是只保证对计算机设备提供100%的不中断供电的系统,也应该确保”计算机网络设备”不会因为UPS的供电质量不高而处于降额使用状态。另外,从提高信息中心的运行效率的角度来看,还需特别注意正确地设计UPS供电系统的接地系统,以便为信息中心能达到100%的高”可利用率”创造优良的电源供电环境。 3.2 电源系统用户需求分析用户数据中心机房内设备主要为服务器、网络交换、网络存储磁盘阵列类IT设备,大部分设备均采用19英寸机柜安装方式。现有负载的计算负荷按10KVA,根据实际需要,结合客户相关意见,综合、全面考虑。用户对供电系统的要求: ---- 保证高可用性,在场地允许的情况下,采用冗余供电方式; ---- 提供一套能够跟随用户实际需求,灵活调整容量的电源系统; ---- 管理/监控方便,便于及时维护; ---- 保证市电中断后120分钟的后备时间; ---- 其它合理的机房相关解决方案 3.3 电源系统设备选型根据项目具体情况,结合用户需求及我公司多年工程经验,建议采用15KVA UPS 1套,单机运行方式,电池采用12V/100AH电池29块。 3.4 系统解决方案主要技术特点及参数主要技术特点: Ø 双变换纯在线式设计; Ø 可多台UPS并机冗余,无须外加并联控制卡; Ø 使用大型中文及多国语言图形化LCD显示; Ø 宽广的输入电压范围(380VAC -32%～35%); Ø 具有ECO模式(效率98%),可节省大量的电能,节省运营成本; Ø 逆变器采用全桥架构技术,可100%三相不平衡供电且负载适应性最强; Ø 充电系统采DIN41773国际标准,可快速对电池充电; Ø 设计有电池温度补偿,延长电池使用寿命; Ø 具有电池防漏液侦测功能; Ø 具有电池组共享(Common Battery)功能; Ø 可远程遥控或面板控制警急事故关机功能(EPO); Ø 高整机效率,节省能源,减少运营成本; Ø 标配有手动维护旁路开关功能(MBS); Ø 输入端可作双回路供电设计; Ø 具有输出隔离变压器设计; Ø 隔离变压器的磁性组件采用H级绝缘防护等级设计,安全性高; Ø 输出过载能力强,且负载适应能力最强; Ø 采用多组微处理器控制与模块化设计,维护简易方便; Ø 内建SRAM,能够储存多于500笔信息数据; Ø 可搭配电力监控软件,对UPS作网络及远程遥控遥测; Ø 提供超过4种以上的通信接口可供选择; Ø 智能变速风扇,低噪音,节省电费及提高风扇使用寿命; Ø 短路保护设计与超强防雷击保护,确保负载设备安全可靠运行; Ø 可作多台(N+1)并机扩容冗余,提供经济可靠的高效率供电保护。 4 消防系统规划 4.1 灭火系统产品简介气体灭火系统在结构上具有以下特点: Ø 容器阀采用金属膜片密封设计,保证了可靠的密封性能,使灭火剂永久性储存成为可能。 Ø 多种启动方式(气动启动、电启动、电气手动启动、机械应急手动启动)确保系统绝对可靠地启动。 Ø 特殊的电启动装置使启动电流很小,有效地解决了控制部分功耗大,蓄电池容量大等问题,使布局更加合理紧凑。 Ø 直通式瓶头阀的独特结构,使灭火剂流动阻力降低。 Ø 系统结构简单,规格多样,安装、调试方便,操作简单可靠。适用范围 Ø 贵重物品、无价珍宝或公司资料档案及软件。 Ø 无自动喷淋系统或使用水系统造成水损的设备。 Ø 人员常驻的区域。 Ø 灭火剂钢瓶空间有限,须少量的灭火剂,即能达到灭火效能者。 4.2 气体灭火系统设置要求灭火剂储瓶间设置在专用的钢瓶间内。防护区应设泄压装置,并宜设在外墙或屋顶上。当设置在外墙上时应位于防护区净高的2/3以上。防护区的门窗的耐压强度>1200Pa;门窗的玻璃应采用5毫米以上的防火玻璃;保护区的通风系统在喷放七氟丙烷(HFC-227ea)灭火剂前应关闭,并设置防火阀门;保护区的门必须采用自动防火门,保证在任何情况下均能从保护区内打开。保护区应有排风设备,释放灭火剂后,应将废气排尽后,人员方可进入进行检修,如需提前进入,需带氧气呼吸器,在控制室设置氧气呼吸器。 5 项目实施安排本项目实施与机房建设、装修同时进行,首先进行设备采购和设计规划工作,配电系统部署完毕后,进行UPS系统建设和网络设备安装;再依次进行服务器和存储安装、网络联调;同时进行消防系统建设、动环系统建设、网管监控系统建设。最后进行业务上线测试。 5.1 实施进度实施时间以项目开工协调会时间开始时间为准。预计从开工到业务系统上线需24天,整体完工需要30天。任务名称工期开始时间完成时间备注工程开工协调会 1 day 第1工作日第1工作日中心机房装修实施 8 days 第2工作日第9工作日 UPS系统实施 11 days UPS采购 1 days 第2工作日第2工作日 UPS发货 10 days 第3工作日第12工作日 UPS安装 2 days 第13工作日第14工作日 UPS设备及机柜安装 1 day 第14工作日第14工作日配电及系统测试 1 day 第15工作日第15工作日网络设备(含服务器)实施 23 days 设备采购 1 days 第2工作日第2工作日设备发货 7 days 第3工作日第9工作日设备及机柜安装 5 days 第10工作日第14工作日网络布线、调通及测试 3 days 第15工作日第17工作日业务系统调研 2 days 第18工作日第19工作日业务系统上线测试 4 days 第20工作日第23工作日系统整体测试 1 day 第24工作日第24工作日消防系统实施 12 days 设备采购 1 days 第2工作日第2工作日设备发货 7 days 第3工作日第9工作日设备安装 3 days 第10工作日第12工作日设备测试 1 days 第13工作日第13工作日动环系统实施 12 days 设备采购 1 days 第2工作日第2工作日设备发货 7 days 第3工作日第9工作日设备安装 3 days 第16工作日第18工作日设备测试 1 days 第19工作日第19工作日初验 1 day 第30工作日第30工作日试运行 3个月终验 1 day 5.2 实施分工项目建设方集成商设备厂商业务调研配合主要负责人方案编写配合主要负责人配合光路申请/调通主要负责人配合配合工程硬件安装实施配合配合配合设备调测配合配合主要负责人业务割接配合主要负责人主要负责人网络/业务测试主要负责人配合配合验收主要负责人配合配合 6 选型设备介绍及资质 6.1 核心路由器介绍核心路由器实现大型网络的互联。对它的要求是速度和可靠性,而成本则处于次要地位。硬件可靠性体现在双主控、双转发引擎、双电源、双数据通路等来获得。 XX银行核心路由器推荐型号为华为公司的NE20E-8款式路由器,NE20E-8秉承华为公司高端路由器的设计思路,以其高性能、双主控、双NPU和热备份优势,能够满足企业网汇聚以及数据中心和运营商的电信级高可用性的要求。【产品形态】转发性能:15Mpps~80Mpps 背板带宽:40G 冗余电源:内置(AC/DC/PoE),N+1备份配置双主控板【产品特点】领先的 VRP平台 NE20E-8系列采用VRP5.0平台,与华为NE5000E是同一平台。VRP操作系统采用 RDF (ResilientDistributed Framework) 弹性分布式架构 ,经过相对分离的管理平面,业务平面,数据平面和控制平面,极大的提升了整个系统的灵活性,可靠性,可管理性,扩展性。华为VRP平台成熟稳定,当前现网运行超过400万套,其功能丰富性和稳定性也经过了大规模实际应用的磨砺,具备了丰富的业务特性和功能。领先的工业设计 NE20E-8采用业界领先的工业设计,在大容量的基础上实现了220mm深度,适合各种空间布放条件;同时其抗高温低温的设计能够满足-40~65℃的工作条件,非常适合条件恶劣的室外布放。同时其功耗能够做到低于业界水平。强大的业务支持能力 NE20E-8具有强大的路由能力,支持超大路由表,提供RIP、OSPF、IS-IS、BGP4和多播路由等丰富的路由协议,支持明/密文认证,具备快速收敛功能,保证在复杂路由环境下安全稳定。 NE20E-8具有强大的业务承载能力,根据组网需求能够同时部署L2VPN、 L3VPN、MVPN,支持和TE (TrafficEngineering)同时部署,支持丰富的接入类型(E1、POS、cPOS、GE、10GE),支持灵活QinQ,支持DHCP,还可提供Netstream等功能,适应传统的接入需求和新兴的业务需求,满足多业务融合丰富的承载需求。 NE20E-8具有强大的可扩展组播能力,支持丰富的IPv4/IPv6组播协议,包括PIM-SM/SSM、MLDv1/v2、IGMPv3,IGMPSnooping等特性,能够灵活承载IPTV等视频业务,能够满足各种规模的组播业务的需求。全方位的可靠性解决方案 NE20E-S从多个层面提供可靠性保护,包括设备级、网络级、业务级可靠性,形成了面向整个网络的解决方案,完全满足电信级的可靠性需求,是构筑电信级业务的基石,达到99.999％的系统可用性。设备级可靠:NE20E-S提供关键部件的冗余备份。关键组件支持热插拔与热备份,NSR(Non-Stop Routing),NSF(Non-Stop Forwarding)等技术一起保障无中断业务运行。网络级可靠:NE20E-S提供IP/LDP/VPN/TE快速重路由,Hot-Standby,IGP、BGP以及组播路由快速收敛,虚拟路由冗余协议(VRRP,Virtual Router Redundancy Protocol),TRUNK链路分担备份,BFD链路快速检测,MPLS/ Ethernet/MPLS-TP OAM,保证整网稳定性,能够提供端到端200ms保护倒换,业务无中断。业务级可靠: NE20E-S提供的VPN FRR和E-VRRP技术,VLL FRR和Ethernet OAM技术以及PW Redundancy和 E-Trunk技术,能够应用于L3VPN和L2VPN组网方案中,保证业务层面的冗余备份,使业务稳定可靠,不中断。【组网应用】金融网点接入组网对于金融行业来说,NE20E-8可作为地市或省级的汇聚设备,是适合作为金融网点的理想接入设备。NE系列路由器具有超强的并发业务处理能力,可保证金融网点业务的流畅处理,另外,NE系列路由器具有综合的硬件和软件的可靠性技术支撑,确保金融网点业务的不间断。独联体某银行数据中心组网地市或省级采用NE20E-8设备来做汇聚路由器,为提高汇网络的可靠性,汇聚层一般采用双设备新型金融网点会对不同客户群提供差异化的服务,NE路由器丰富的QoS技术可满足这种对带宽进行差异化的应用需求 6.2 防火墙介绍 XX银行防火墙推荐型号为深信服公司的AF-1320款式防火墙。深信服下一代防火墙(Next-Generation Application Firewall)NGAF 是面向应用层设计,能够精确识别用户、应用和内容,具备完整安全防护能力,能够全面替代传统防火墙,并具有强劲应用层处理能力的全新网络安全设备。NGAF 解决了传统安全设备在应用识别、访问控制、内容安全防护等方面的不足,同时开启所有功能后性能不会大幅下降。区别于传统的网络层防火墙,NGAF 具备L2-L7 层的协议的理解能力。不但能够实现网络层访问控制的功能,且能够对应用进行识别、控制、防护,解决了传统防火墙应用层控制和防护能力不足的问题。区别于传统DPI 技术的入侵防御系统,深信服NGAF 具备深入应用内容的威胁分析能力,具备双向的内容检测能力为用户提供完整的应用层安全防护功能。同样都能防护web 攻击,与web 应用防火墙关注web 应用程序安全的设计理念不同,深信服下一代防火墙NGAF 关注web 系统在对外发布的过程中各个层面的安全问题,为对外发布系统打造坚实的防御体系。【产品形态】网络吞吐量:2Gbps 并发连接数:1000000 VPN会话支持:400 主要功能:状态检测、VPN、抗DDoS、NAT、应用扫描、漏洞攻击、Web入侵、非法访问、蠕虫病毒、带宽滥用、恶意代码。端口容量:6GE 选配功能模块:IPS、URL、AV 【产品特点】 1、双向内容检测技术 NGAF可实现对HTTP/HTTPS协议的深入解析,精确识别出协议中的各种要素,如cookie、Get参数、Post表单等,并对这些数据进行快速的解析,以还原其原始通信的信息,根据这些解析后的原始信息,能够精确的检测其是否包含威胁内容。而传统的IPS基于DPI深度数据包解析技术,只能实现在网络层数据包层面进行重组还原及特征匹配,无法解析基于HTTP协议的内容分析,很难有效检测针对web应用的攻击。而具备简单web攻击防护的IPS,仅仅是基于简单的特征检测技术,存在大量的漏报误报的信息。 NGAF作为web客户端与服务器请求与响应的中间人,能够有效的避免web服务器直接暴露在互联网之上,NGAF双向内容检测技术可检测过滤HTTP双向交互的数据流包括response报文,对恶意流量,以及服务器外发的有风险信息进行实时的清洗与过滤。 2、典型的Web攻击防护,防止Owasp十大web安全威胁深信服下一代防火墙NGAF有效结合了web攻击的静态规则及基于黑客攻击过程的动态防御机制,实现双向的内容检测,提供OWASP定义的十大安全威胁的攻击防护能力,有效防止常见的web攻击。(如,SQL注入、XSS跨站脚本、CSRF跨站请求伪造)从而保护电子政务网站免受网站篡改、网页挂马、隐私侵犯、身份窃取、经济损失、名誉损失等问题。 3、基于应用的深度入侵防御,有效防止服务器漏洞利用攻击 NGAF基于应用的深度入侵防御采用六大威胁检测机制:攻击特征检测、特殊攻击检测、威胁关联分析、异常流量检测、协议异常检测、深度内容分析能够有效的防止各类已知未知攻击,实时阻断黑客攻击。如,缓冲区溢出攻击、利用漏洞的攻击、协议异常、蠕虫、木马、后门、DoS/DDoS攻击探测、扫描、间谍软件、以及各类IPS逃逸攻击等。经过NGAF的部署可有效防止利用web服务器、数据库服务器、中间件服务器等网站服务器本身应用程序、操作系统、应用软件的漏洞经过缓冲区溢出、恶意蠕虫、病毒等应用层攻击,使黑客获取更高的服务器权限、使服务器瘫痪导致服务器、存储等资源被攻击的问题。 4、可定义的敏感信息防泄漏,有效防止”拖库”、”暴库” NGAF提供可定义的敏感信息防泄漏功能,根据储存的数据内容可根据其特征清晰定义,经过短信、邮件报警及连接请求阻断的方式防止大量的敏感信息被窃取。深信服敏感信息防泄漏解决方案能够自定义多种敏感信息内容进行有效识别、报警并阻断,防止大量敏感信息被非法泄露。邮箱账户信息 MD5加密密码银行卡号身份证号码社保账号信用卡号手机号码 …… 经过深信服深度内容检测技术的应用,深信服下一代防火墙具备深度内容检测的能力。能够检测出经过文件、数据流、标准协议等经过网关的内容。因此具备针对敏感信息,如186、139等有特征的11位的手机号码、18位身份证号,有标准特征的@邮箱等有特征数据进行识别。并经过分离平面设计的软件构架,实现控制平面与内容平面检测联动,经过控制平面向底层数据转发平面发送操作指令来阻断敏感信息的泄漏。有防护了各单位、政府、金融机构的敏感泄漏的风险。 5、智能的DOS攻击防护,保证网络访问可用性 NGAF采用自主研发的DOS攻击算法,可防护基于数据包的DOS攻击、IP协议报文的DOS攻击、TCP协议报文的DOS攻击、基于HTTP协议的DOS攻击等,实现对网络层、应用层的各类资源耗尽的拒绝服务攻击的防护,实现L2-L7层的异常流量清洗。 6、安全风险评估与策略联动,降低安全维护成本 NGAF基于时间周期的安全防护设计提供事前风险评估及策略联动的功能。经过端口、服务、应用扫描帮助用户及时发现端口、服务及漏洞风险,并经过模块间的智能策略联动及时更新对应的安全风险的安全防护策略。帮助用户快速诊断电子商务平台中各个节点的安全漏洞问题,并做出有针对性的防护策略。 7、完善产品容错能力,保证网站访问的稳定性硬件bypass NGAF可实现硬件故障bypass保证数据中心稳定性。借助于掉电保护模块,可保证NGAF透明模式在断电、硬件故障等异常情况下能够确保网络的通畅性,并实现微秒级切换。关键部件冗余 NGAF支持关键部件冗余的容错机制,保证设备在高温等恶劣环境下出现故障时的快速切换。支持双电源,避免由于单电源故障造成的系统不能访问风扇1+1冗余,避免单风扇在高温情况下不能工作的问题支持热插拔存储介质冗余为保证存储日志的冗余,防止硬盘出现故障时无法记录日志的问题,能够避免由于单磁盘故障造成设备不能使用的情况。分离平面设计深信服NGAF采用OS分离平面设计,数据流平面上分为控制平面、网络数据转发平面与内容检测平面。网络层数据转发平面主要作用在于使数据包快速缓存并转发;内容检测平面主要用户数据流应用识别与安全分析,结合应用识别、漏洞特征识别、web攻击流量识别等模块完成应用层安全分析与防护。使用数据转发平面与内容检测平面相分离的技术设计,能够优化处理流程,有效保障网络数据的可用性。正常情况下,数据流由数据转发平面复制到内容检测平面进行深度内容检测,当有威胁内容时,经过控制平面阻断数据转发平面有威胁数据的外发,保证内容的安全性。当内容检测模块出现故障时,经过控制平面数据转发层面会将数据正常转发,保证网络畅通保障业务正常运行。【组网应用】 6.3 核心交换机介绍核心交换机提供高密度的千兆、万兆接口线速转发能力,适于业务集中数据中心、城域网出口等应用场景。业务的重要性也对它提出了双主控、双转发引擎、双电源的需求。 XX银行核心路由器推荐型号为华为公司的S9300款式交换机。 Quidway S9300系列是华为公司面向以业务为核心的网络架构而推出的新一代高端智能T比特核心路由交换机。广泛适用于能源、政府、交通、电力、教育、医疗、军队、公安、金融、广电等各行业。主要定位于企业广域网/城域网,企业出口/核心/汇聚,高密度千兆接入,以及数据中心,帮助企业构建面向业务的网络平台。【产品形态】 720G交换容量,3T背板带宽最大端口密度:144GE/144FE/ 144*10GE 包转发率540Mpps 配置24GE光接口板和48GE电接口板各1块。【产品特点】 1、端口交换容量平滑升级线卡支持48*10G高密万兆接口,业界密度最高,充分满足园区高密核心与数据中心大带宽需求; 整机硬件架构满足未来交换容量和功率需求,单端口40G/100G平滑升级,节省投资;支持多框集群技术,交换容量显著提升。 2、丰富的软件协议平台华为多持续研发VRP软件平台支持上千种协议,全面满足客户需求;当前全球数万家客户,现网600万+设备运行考验;与现网全部主流数据厂商设备无缝互通对接,保护现网投资。 3、归一化平台,节能芯片整机高度归一化设计,电源、风扇等全部通用,减少备件种类,节省投资。自主节能芯片,高效节能管理平台,成为业界绿色标杆。【组网应用】 6.4 服务器产品介绍 XX银行数据中心推荐服务器为DELL 公司的PowerEdge R720款式服务器。Dell PowerEdge R720 机架式服务器是一款配有高度可扩展内存(最高可配768 GB)与超强I/O 能力的通用平台,能够轻松运行大中型企业的各种应用程序以及虚拟化环境。借助英特尔® 至强® E5-2600 处理器和对双RAID 控制器的支持,R720 能够稳健地处理要求极为苛刻的工作负载,如数据仓库、电子商务、虚拟桌面基础架构(VDI)、数据库以及作为数据节点的高性能计算(HPC)。【产品形态】处理器:英特尔® 至强® 处理器E5-2600 产品系列处理器插槽数量:2 个内部互连: 2 个英特尔QuickPath 互连(QPI) 链路;6.4 GT/s ;7.2 GT/s ;8.0 GT/s 高速缓存: 每核心2.5 MB ;核心数量选项:2、4、6、8 内存: 最高可配768 GB(24 个DIMM 插槽):2 GB/4 GB/8 GB/16 GB/32 GB DDR3(最高1600 MT/s) I/O 插槽:7 个PCIe 插槽: • 1 个x16 插槽,全长、全高 • 3 个x8 插槽,全长、全高 • 3 个x8 插槽,半长、半高最大内部存储容量: 24 TB 【产品特点】双路2U 机架式Dell™ PowerEdge™ R720 服务器树立了功能灵活性方面的新标准,配备高度可扩展的内存、I/O 容量和灵活的网络选项,能够轻松运行复杂的工作负载。管理数据过载借助R720 灵活而又强大的I/O 和存储能力,跟上虚拟化时代数据急剧增长的步伐。最多可配16 个内置硬盘和支持PCI Express® 3.0 的集成扩展插槽极大地提高了容量,而可选配的热插拔、正面接插PCIe 固态硬盘(最多可配4 个)可实现性能增强和机箱内存储分层。另外,戴尔精选网络适配器能够视需要选择正确的网络结构,而无需占用宝贵的PCI 插槽。加速解决方案经过将PowerEdge R720 的高内存密度与可选配的GPU 加速器(有些有超过500 个内核)相结合,大幅增强HPC 或VDI 环境的性能。从一系列GPU 选项中选择,以获得更大的辅助性能。借助R720 提高虚拟化水平经过使用PowerEdge R720 的大内存配置扩展虚拟环境,从而最大限度地提高数据中心的应用程序容量。选择业界领先的虚拟机管理程序,并利用我们的系统管理功能管理物理和虚拟资产。利用冗余的故障保护型虚拟机管理程序,R720 可帮助您最大限度地提高虚拟机的正常运行时间。最后一点,经过戴尔的虚拟集成系统™(VIS) 解决方案,您只需轻点几下鼠标就能够启用复杂的虚拟化环境。 6.5 存储产品介绍 XX银行数据中心推荐存储设备为DELL 公司的PowerVault MD3200阵列。PowerVault

展开阅读全文