宁夏某银行后援中心网络的改建设计毕业设计(编辑修改稿)

宁夏某银行后援中心网络的改建设计毕业设计(编辑修改稿)内容摘要：

0 . 3 . 7 . 5 2 / 2 8V l a n 3 0 1 0 . 3 . 8 . 6 / 2 8V l a n 4 0 1 0 . 3 . 7 . 2 9 / 2 8VR R P1 0 . 3 . 7 . 0 / 3 01 0 . 3 . 7 . 2 0 11 0 . 3 . 7 . 2 0 51 0 . 3 . 7 . 2 0 21 0 . 3 . 7 . 2 0 61 0 . 3 . 7 . 2 0 91 0 . 3 . 7 . 2 1 01 0 . 3 . 7 . 2 1 31 0 . 3 . 7 . 2 1 41 0 . 3 . 7 . 2 1 71 0 . 3 . 7 . 2 1 81 0 . 3 . 7 . 2 2 11 0 . 3 . 7 . 2 2 21 0 . 3 . 7 . 2 2 51 0 . 3 . 7 . 2 2 91 0 . 3 . 7 . 2 3 0E 0 n x y 1 0 . 3 . 8 . 1 / 2 8E 3 r e n h a n g 1 0 . 3 . 7 . 2 5 / 2 8E 4 e w z j y w 1 0 . 3 . 7 . 2 9 / 2 8HA6 1 . 1 3 3 . 2 1 9 . 2 3 3 / 2 9 2 1 1 . 9 3 . 3 . 2 4 1 / 2 9C IS C O 3560防火墙 _A防火墙 _BHA7 . 5 4 / 2 97 . 5 2 / 2 9 G 3 / 57 . 5 3 / 2 9 G 3 / 7V90V90E 1 / 1E 1 / 1E 1 / 2E 1 / 27 . 49 / 297 . 46 / 29E 3 / 3E 3 / 4E 3 / 3E 3 / 47 . 4 2 G 0 / 0 / 07 . 4 3 G 0 / 0 / 07 . 2 G 0 / 0 / 87 . 3 87 . 67 . 1 47 . 2 27 . 3 07 . 2 9 G 2 / 0 / 3 17 . 2 5 G 2 / 0 / 3 07 . 2 1 G 2 / 0 / 3 17 . 1 7 G 2 / 0 / 3 0V l an 60V l an 30V l an 50V l an 407 . 1 F0 / 0 / 07 . 5 F0 / 0 / 17 . 9 F0 / 0 / 17 . 1 3 F0 / 0 / 07 . 3 3 G 0 / 07 . 3 7 G 0 / 21 0 . 0 . 3 3 . 1 / 2 9N et 3 N et 3F0 / 1 3F0 / 1 3F0 / 1 4 F0 / 1 41 0 . 0 . 3 3 . 1 / 2 9N et 1N et 2N et 1 N et 2F0 / 1 F0 / 1F0 / 2F0 / 3F0 / 2F0 / 3 54 /29 E 0/01 9 2 . 1 6 8 . 2 4 0 . 2 5 4 / 2 5 E 0 / 21 9 2 . 1 6 8 . 2 4 0 . 2 4 1手机银行J un i pe rVP N办公 交换机E X 8208 _ A办公 交换机E X 8208 _ B农信 银总行及总行营业部 图 后援中心网络构架拓扑图 办公业务区 整个办公网部分网络结构基本清晰，包含：办公区、开发测试区、 OA 及管理系统区、总行办公区，办公区网络通过冗余的接入设备和冗余链路汇接到 2 台冗余的 EX8280 交换机，通过 EX8280 接入到网络核心。 办公区主要为数据中心所在办公场所的用户提供网络接入，该场所办公用户大约有100200 人左右，另该区域还有约 100200 人的开发测试类用户接入，此类用户为外部服务商人员。 开发测试区用于为开发测试类测试服务器（约 10 台）提供网络接入。 OA 及管理系统区主要为办公类服务器提供网络接入，包括例如一卡通、信贷、财务、公文流转、 ERP 等服务器。 总行办公区为总行的办公用户提供接入，总行办公人员约 200 人，另总行营业部也通过总行办公区接入网络，总行网络通过 10M MSTP 链路连接到 EX8208。 Inter 网络外联 Inter 连接区是为基于互联网的应用系统提供网络接入，同时也是整个网络连接外部互联网的区域。 Inter 连接区域网络结构相对复杂，网络层次稍显繁琐。 Inter 接入区通过 1 对冗余的防火墙（ ASA5520）接入到网络核心交换机 EX3200，在防火墙与 Inter 之间部署了 IDS 设备。 DMZ区内部署了手机银行、企业 WEB 服务器以及其他网络管理类服务器，例如 NSM、 Radius 服务器等，DMZ 区部署了防火墙和 IDS 设备 提供安全防护；另 DMZ 区还部署了 VPN 接入设备为行内用户提供 VPN接入，以访问企业办公应用系统。 与 Inter 的连接有 2 个出口：电信和联通，并由深信服 AD 设备实施链路均衡操作。 网络安全现状 IBM 认为，网络安全不应该是产品、技术的堆砌，需要体系化的方法论来指导网络安全体系的建设，并通过不断的评估和规划，提高企业整体的安全水平，本项目将从网络安全架构、网络安全技术和网络设备配置安全几个角度对银行的网络安全现状进行评估。 陕西理工学院毕业设计 第 6 页 共 38 页 网络安全体系架构需要考虑三个层面的内容：网络安全架构、网络安全技术和网络设备 配置安全。 本项目也将从上述三个方面评估银行的网络安全现状。 从网络安全架构角度来看如图 ，银行网络存在结构相对松散的问题： – 网络安全边界分布相对松散，缺乏整合，不利于安全控制策略的部署 – 在核心业务区及 OA 及管理系统区，考虑服务器安全分级时，分级过细，造成安全纵深过大，增加了网络安全管理的复杂性 – 办公类服务器缺少防火墙的安全防护，存在一定安全隐患 – 办公接入区的外部系统开发人员直接接入到银行网络，存在一定安全隐患 – DMZ 区的网络结构有待商榷 – 中间业务区的安全防护层次有待强化 图 网络安全问题标示图 从网络安全技术角度来看，银行网络部署了相应的防火墙、 IDS/IPS、防病毒等，具备一定的安全技术水平，但是在技术部署方面，存在一定的优化空间，部分网络安全技术部署存在一定技术性缺陷，例如 DMZ 区的 IDP 设备，存在单故障节点的问题。 部分安全技术的部署策略存在不尽合理的问题，例如在核心设备（ C6509）上部署了 378 条访问控制列表（ ACL），其中很多策略是基于单体的主机地址，造成管理上的困难，也造成了网络通讯性能的下降。 部分安全边界的设定有待商榷，例如在抽样 的接入层交换机上部署了 ACL 用于控制用户网段之间的访问控制，另此类接入设备的部署点选择不尽合理。 DMZ 区的安全技术部署可以考虑进行适当的整合，以简化管理。 存在问题 本节主要从前面在网络中所划分的区域来阐述网络中存在的问题。 分别从核心业务区、办公业务区、中间业务区、网络外联区这四个区域说明网络中存在的种种问题。 网络核心区主要存在的问题 在如此严格的网络现状调查中，我们可以看出 网络核心区的设备资源配置欠佳，服务器区分网段过多，核心区设备互联架构略显复杂。 EX3200 设备是固定配置的高性 能独立交换机，具备 L3 交换功能，产品主要定位是适用于分支办事处、远程办事处和园区网络中的接入层部署，在扩展性和可靠性方面并不是最佳的核心交换设备的选择。 而做为关键业务系统接入的交换机 Cisco 6509，在性能方面又存在资源过剩的问题， 电信 联通办公区 开发测试区 OA 及管理系统区市县机构网络核心业务区W E B N S M R a d i u s中间业务、代收代缴、 农信银、宁夏银 联中间业务区银川汇聚路由器R S R 50 40C IS C O 互联网交换机入侵防御IDP 800深信服AF 设备深信服AD 设备互联网防火墙S S G _ A深信服AD 设备S W 1 S W 2核心业务交换机C 6509_ A核心业务交换机C 6509_ B核心防火墙 _ A核心防火墙 _BP IX _ BP IX _ A互联网防火墙S S G _ B各联社汇聚路由器C 7507_ A各联社汇聚路由器C7507_ B链路交换机E X 3200 _ A链路交换机E X 3200 _ B深信服 AD 实现双链路负载均衡R G R 5080 备 R G R 50 80 主RG M 6600 2RG M 6600 1R G R 7708R G R 7708联通电信V l a n 1 0 1 0 . 3 . 7 . 5 2 / 2 8V l a n 3 0 1 0 . 3 . 8 . 6 / 2 8V l a n 4 0 1 0 . 3 . 7 . 2 9 / 2 8VR R P1 0 . 3 . 7 . 0 / 3 01 0 . 3 . 7 . 2 0 11 0 . 3 . 7 . 2 0 51 0 . 3 . 7 . 2 0 21 0 . 3 . 7 . 2 0 61 0 . 3 . 7 . 2 0 91 0 . 3 . 7 . 2 1 01 0 . 3 . 7 . 2 1 31 0 . 3 . 7 . 2 1 41 0 . 3 . 7 . 2 1 71 0 . 3 . 7 . 2 1 81 0 . 3 . 7 . 2 2 11 0 . 3 . 7 . 2 2 21 0 . 3 . 7 . 2 2 51 0 . 3 . 7 . 2 2 91 0 . 3 . 7 . 2 3 0E 0 n x y 1 0 . 3 . 8 . 1 / 2 8E 3 r e n h a n g 1 0 . 3 . 7 . 2 5 / 2 8E 4 e w z j y w 1 0 . 3 . 7 . 2 9 / 2 8HA6 1 . 1 3 3 . 2 1 9 . 2 3 3 / 2 9 2 1 1 . 9 3 . 3 . 2 4 1 / 2 9C IS C O 3560防火墙 _A防火墙 _BHA7 . 5 4 / 2 97 . 5 2 / 2 9 G 3 / 57 . 5 3 / 2 9 G 3 / 7V90V90E 1 / 1E 1 / 1E 1 / 2E 1 / 27 . 49 / 297 . 46 / 29E 3 / 3E 3 / 4E 3 / 3E 3 / 47 . 4 2 G 0 / 0 / 07 . 4 3 G 0 / 0 / 07 . 2 G 0 / 0 / 87 . 3 87 . 67 . 1 47 . 2 27 . 3 07 . 2 9 G 2 / 0 / 3 17 . 2 5 G 2 / 0 / 3 07 . 2 1 G 2 / 0 / 3 17 . 1 7 G 2 / 0 / 3 0V l an 60V l an 30V l an 50V l an 407 . 1 F0 / 0 / 07 . 5 F0 / 0 / 17 . 9 F0 / 0 / 17 . 1 3 F0 / 0 / 07 . 3 3 G 0 / 07 . 3 7 G 0 / 21 0 . 0 . 3 3 . 1 / 2 9N et 3 N et 3F0 / 1 3F0 / 1 3F0 / 1 4 F0 / 1 41 0 . 0 . 3 3 . 1 / 2 9N et 1N et 2N et 1 N et 2F0 / 1 F0 / 1F0 / 2F0 / 3F0 / 2F0 / 3 54 /29 E 0/01 9 2 . 1 6 8 . 2 4 0 . 2 5 4 / 2 5 E 0 / 21 9 2 . 1 6 8 . 2 4 0 . 2 4 1手机银行J un i pe rVP N办公 交换机E X 8208 _ A办公 交换机E X 8208 _ B农信 银总行及总行营业部陕西理工学院毕业设计 第 7 页 共 38 页 Cisco 6509 产品的定位是承担企业网络核心的任务；另外，从接口成本角度来看， Cisco6509 的每端口平均成本是明显高于普通接入交换机。 银川市网点和各个市县联社网点的汇聚路由器分别通过不同设备接入到网络，在管理上增加了管理难度，技术上也会导致路由相对复杂。 总行营业部 通过总行办公网接入网络，导致网络架构不统一，造成管理上和安全上潜在问题。 核心业务区服务器划分网段过多，增加了网络管理复杂度，同时，也给网络安全策略部署带来一定的困难。 核心区设备互联架构略显复杂，技术实现存在可优化空间。 当前的核心区网络设备互联架构往往是全网状 (full mesh)互联，此类架构路由冗余度高，并且存在路由相对复杂的问题，对于路由的稳定性和收敛。