某商业银行数据中心设计方案网银安全解决方案.doc

1.1 网银区架构设计某城市商业银行网上银行系统可分为外联区、DMZ区、核心交换区、网银生产区、系统互连区、应用服务器区、数据库服务器区。某城市商业银行网上银行严格按照人行19号文标准规划设计，下图所示：图4-5：网银规划图外联区：主要处理外部访问的区域，访问数据量比较大，需要进行负载均衡。互联网出口是路由器，主要负责数据的路由和转发，同时部署了防火墙进行访问控制，为了保证网银中数据流量的稳定，在路由器和防火墙后面都部署了负载均衡设备，分别用做链路负载和应用负载；DMZ区：是一个公布信息的区域，通过互联网接入的外部客户可以访问该区域。该区中主要放置的是网银的门户网站，服务器上连汇聚交换机，两台汇聚交换机之间互为主备，确保业务可靠性；核心交换区：负责网银中各区之间的数据交换，对性能要求比较高，且其处于网银网络的关键处，两台核心交换机之间要做链路聚合并且互为主备；应用服务器区：是网络应用程序所处区域，处理各种逻辑业务。应用系统服务器上连汇聚交换机，上连核心交换机，并在两台交换机之间增加防火墙做访问控制，汇聚交换机与防火墙之间采用交叉式连接提供冗余链路；数据库服务器区：主要处理各种数据操作，是数据库所在区域。该区设计与应用服务器区相同，在核心交换机和汇聚交换机之间部署防火墙，汇聚交换机与防火墙之间采用交叉式连接提供冗余链路，防火墙做访问控制，只允许来应用服务器区的访问；系统互连区：主要处理网银系统和生产网中核心业务系统互连访问。系统互连区由两台防火墙组成，互为主备，两端分别连接的是网银核心交换机和生产网的核心交换机，通过设置安全策略，形成逻辑隔离。1.2 网银安全防护1.2.1 边界防护网银的边界安全防护可以从四个域来展开；外部区域：网上银行的用户，安装网上银行客户端，通过互联网、移动通信网络、其他公众或专用网络访问网上银行业务系统； 安全区域一：网上银行访问子网，主要提供客户的Web访问； 安全区域二：网上银行业务系统，主要进行网上银行的业务处理； 银行内部系统：银行处理系统，主要进行银行内部的数据处理对这四个域的边界部署防火墙，做访问控制，如下图所示：图5-8：网银边界防护图1.2.2 区域防护除了边界防护外，根据各区域的安全防护需要，有针对性的部署了安全设备。外联区：主要防范拒绝服务攻击，在路由器和防火墙之间部署了防DDOS设备，一旦发生DDOS攻击，造成服务器瘫痪，网上银行业务中断。对流量进行清洗；DMZ区：主要是门户网站服务器，部署应用层防火墙，对SQL注入攻击、XSS攻击等常见Web攻击进行防护、Web恶意代码防护、Web非授权访问防护等。入侵检测系统主要监视并记录以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等；应用服务器区：主要是WEB服务器，对其的防护以入侵检测为主，能够对攻击行为进行有效检测；数据库服务器区：是网银数据存储的区域，因此除了基本的入侵检测之外，还部署了数据库审计系统，对所有数据库的访问操作进行审计，起到事中监督，事后追查的作