银行曾经是一份令人羡慕的职业,高收入、高福利待遇,高稳定性成了银行的代名词。如今,这个观念到了应该变一变的时候,实际上现在银行全部是商业性银行,同样要面临市场的巨大压力,现在的银行不仅要巩固储蓄、贷款等传统业务,还必须拓展服务范围,也就是说要从他人的田里找饭吃。面对银证联网及各类代收代缴业务等中间业务的纷纷推出,此外银行越来越多地需要借助公网与证券、电信、学校、商场、税务、政府机关等单位进行外连。在这种复杂的环境下,银行如何保证网络系统的安全性就成为了一个的迫在眉睫的话题。对此,中国农业银行辽宁省分行进行了积极地探索和尝试。
考虑到中间业务系统涉及不同单位网络之间的互连,而且传送的多为金融信息,因此对进入本地网络的信息必须进行访问控制,技术上需要使用防火墙功能,我行采用的是防火墙外挂路由器,再与证券等第三方业务相连的方式。
利用防火墙的功能,保护内部工作地址,确定内部地址对应的外部地址,也称为虚拟地址,通过防火墙上的设置来规定证券方哪些地址可以访问银行的哪些虚拟地址,同时银行的哪些地址可以通过防火墙去访问证券方的哪些地址。同时,在防火墙上只开放互相传送数据时需要的端口,没有使用的端口全部禁止。另外,采用路由器和对方相连,利用路由转发功能来完成银行虚拟地址和证券方提供地址间的通信,同时,可以在路由器上增加访问控制链表来限制证券方对银行不必要访问。
当使用防火墙将银行内部网络和本行支持第三方业务的路由器隔开时,也阻挡了银行内部的路由协议的传递,使得第三方业务的路由器虽然也是本行的路由器,却只能通过静态路由来指到银行内部网络,且当增加第三方业务的时候,增添新的网段需要改动第三方业务的路由器、防火墙、内网路由器等多条静态路由,非常的不方便。
以上问题可以采用GRE(通用路由协议封装)隧道来解决,使得路由协议可以到达防火墙外部的本行路由器,通过内部的路由协议(OSPF、EIGRP)来动态学到新的网段,增加了网络的灵活性,简化了配置。
GRE是由Cisco和Net-smiths等公司于1994年提交给IETF的,标记号为RFC1701和RFC1702,目前有多数厂商的网络设备均支持GRE隧道协议。GRE不仅支持IP协议,而且还支持其他类型的网络层协议,它允许任何一种协议的数据包作为净荷封装在任何其他一种协议的数据包中。
在进行多协议封装时将要封装在其他协议数据包中作为净荷的数据包被称为净荷包,封装其他数据包的外层数据包被称为传送包。按照通常的封装机制,如果M种不同协议的净荷包里封装在N种传送包中要有MXN中的转换协议来处理这种封装,在通用路由封装中则将M种净荷包封装进GRE中,然后再把GRE封装到传送包中,这种只需要M+N种转换协议来处理这种封装。
GRE规定了如何用一种网络协议去封装另一种网络协议的方法,GRE的隧道由两端的源IP地址和目的IP地址来定义,允许用户使用IP包封装IP、IPX、AppleTalk包,并支持全部的路由协议(如RIP2、OSPF等)。通过GRE,用户可以利用公共IP网络连接IPX网络、AppleTalk网络,还可以使用保留地址进行网络互连,或者对公网隐藏企业网的IP地址。
利用防火墙的功能,保护我内部工作地址,确定我部内部地址对应的外部地址,也称为虚拟地址,通过防火墙上的设置来规定证券方哪些地址可以访问哪些虚拟地址,同时银行的哪些地址可以过防火墙去访问证券方的哪些地址。同时,在防火墙上只开放互相传送数据时需要的端口,没有使用的端口全部禁止。另外,采用路由器和对方相连,利用路由器的路由转发功能来完成银行的虚拟地址和证券方提供的地址间的通信,同时,可以在路由器上增加访问控制链表来限制证券方对我部不必要的访问。