|
|
银行曾经是一份令人羡慕的职业,高收入、高福利待遇,高稳定性成了银行的代名词。如今,这个观念到了应该变一变的时候,实际上现在银行全部是商业性银行,同样要面临市场的巨大压力,现在的银行不仅要巩固储蓄、贷款等传统业务,还必须拓展服务范围,也就是说要从他人的田里找饭吃。面对银证联网及各类代收代缴业务等中间业务的纷纷推出,此外银行越来越多地需要借助公网与证券、电信、学校、商场、税务、政府机关等单位进行外连。在这种复杂的环境下,银行如何保证系统的安全性就成为了一个的迫在眉睫的话题。对此,中国农业银行辽宁省分行进行了积极地探索和尝试。
考虑到中间业务系统涉及不同单位网络之间的互连,而且传送的多为金融信息,因此对进入本地的信息必须进行访问控制,技术上需要使用防火墙功能,我行采用的是墙外挂器,再与证券等第三方业务相连的方式。
利用防火墙的功能,保护内部工作地址,确定内部地址对应的外部地址,也称为虚拟地址,通过防火墙上的设置来规定证券方哪些地址可以访问银行的哪些虚拟地址,同时银行的哪些地址可以通过防火墙去访问证券方的哪些地址。同时,在墙上只开放互相传送数据时需要的端口,没有使用的端口全部禁止。另外,采用路由器和对方相连,利用路由转发功能来完成银行虚拟地址和证券方提供地址间的通信,同时,可以在器上增加访问控制链表来限制证券方对银行不必要访问。
当使用墙将银行内部网络和本行支持第三方业务的路由器隔开时,也阻挡了银行内部的路由协议的传递,使得第三方业务的路由器虽然也是本行的路由器,却只能通过静态来指到银行内部,且当增加第三方业务的时候,增添新的网段需要改动第三方业务的路由器、墙、内网路由器等多条静态,非常的不方便。
[img][/img]
以上问题可以采用GRE(通用路由协议封装)隧道来解决,使得路由协议可以到达墙外部的本行路由器,通过内部的协议(OSPF、EIGRP)来动态学到新的网段,增加了的灵活性,简化了配置。
GRE是由Cio和Net-smiths等公司于1994年提交给 |
|
发表于 2019-4-12 10:32:53
