银行分行数据中心项目工程实施方案

银行分行数据中心项目工程实施方案
银行分行数据中心项目工程实施方案
第1章项目概况
1.1 项目背景
某银行某分行为满足业务需求，将根据模块化的、分层的、分级的现代数据中心设计理念，构建一个满足可扩展性、灵活性和高可用性的网络基础架构，实现对分行各业务系统提供统一的基础设施服务支持的目标。

1.2 项目目标
随着数据大集中的完成，分行业务处理模式将发生根本性变化，由先前的业务处理发生在分行本地演变成所有核心业务均上送总行统一处理。

另一方面全行各类信息业务平台、管理平台的不断投入使用，带来明显的网络交易压力，对网络带宽、稳定性和安全性提出了更高要求。

同时，由于网络设备持续运行，年久老化，面临较重的运行压力。

今后拟对分行网络系统进行一次升级改造，确保网络处理能力满足未来发展需要，真正实现业务处理和信息管理的高速运行。

根据当前成熟的网络技术并结合网络技术将来的发展趋势，分行网络系统改造目标是建成一个高性能、高可靠性、安全冗余、可扩展的网络安全通信平台。

网络改造具体涉及到以下几点：
1.网络设备更换或升级
分行网络自建成运行以来，已经连续运转八年，网络设备已出现不同程度的老化，部分设备性能已严重落后于现有同等网络产品，甚至部分产品已停产或淘汰，为保证分行网络的安全运转，优化分行网络性能，预防网络故障的发生，对分行老旧网络设备进行更换或升级。

同时，网络改造必须采用国际通用的标准，在网络模式、设备的选择、线路的选择、实施和管理等各个环节上都采用现行国际标准和行业标准，以方便以后对网络的升级、更新和维护；充分考虑各个网络产品(软件、硬件)的兼容性，网络设备的冗余性；所有网络设备必须支持IPV6，满足下一代数据通信网络的需要。

2.千兆网络建设
随着数据大集中项目的实施，以及各种新业务系统的上线，网络系统资源的占用越来越大，提高业务处理的速度和质量，成为分行网络建设的重点。

鉴于分行现有的百兆网络面临的业务压力，必须提升网络带宽，对分行核心网络设备实现千兆光纤互联，保证网络的快速处理能力，并实现核心应用服务器的千兆连接。

3.网络区域划分
目前分行网络划分为外网、内网、DMZ区三个大的区域。

为了增加网络的安全性、可管理性，对网络按不同的功用，进行更细致的区域划分，共划分为十一个区域，通过区域的划分使分行网络结构更加合理，各部分的功能一目了然，便于管理和安全规则的设置。

为了保证网络的安全，在各区域间架设防火墙，对网络的访问进行过滤和限制。

第2章网络总体规划
2.1 网络现状
原组网图如下：
到外联单位（证券公司、人行、电信代收费等）
华夏银行济南分行网络逻辑拓扑图
目前某银行某分行（以下简称分行）网络系统分为内网、外网、DMZ区三部分，各区之间通过防火墙进行了有效隔离。

内网由核心、汇聚、接入三层结构组成，严格按照网络的三层结构设计建设，是分行内部网络业务系统；外网是第三方接入网络；DMZ区是部分公用系统和无线网络接入区。

分行网络经过总行大集中网络改造后，已实现了核心冗余，汇聚冗余、接入冗余，实现了设备和线路的冗余。

内网核心网络设备采用两台思科6509高端设备，处理速度快，稳定性高。

两台设备互为备份，实现核心冗余；汇聚设备由两台思科75系列设备构成，并互为备份，一台设备出现故障，另一台可立即接管；接入层为思科2621XM路由器，通过网通和广电两条2M SDH接入核心网络，两条线路一主一备，保证业务连续性。

在内部网络的基础上分行又建设了终端网，各支行终端可通过10M光纤接入核心终端服务器，从而访问分行生产网络，大大提高了网络访问速度。

外联网是第三方接入分行网络区域，第三方用户通过一台思科75系列路由器和两台思科28系列路由器接入分行生产网络。

另外，为保证接入银联网络的稳定性，分行把银联业务网络单独隔离，与核心网络直接联接，并通过防火墙进行了有效隔离。

DMZ区是部分公用系统区和联通无线网络接入区，分行利用联通网络建设了无线vpn网络，通过无线vpn网络分行单点ATM和移动办公终端可在联通无线信号覆盖的任何区域接入分行网络。

为保证网络安全，通过防火墙与联通网络进行了隔离，单点ATM和移动办公终端在数据传输时均采取了严格的加密措施。

内部网络三个区域之间通过防火墙（pix520）进行隔离，并设置了相应的访问策略，同时利用思科的内容交换机（cisco11051）和防火墙相结合，实现了防火墙的负载均衡和冗余备份。

分行网络通过cisco7606和华为NE16接入总行网络，两台设备互为备份，通过防火墙与总行网络隔离。

在网络监控和预防非法入侵方面，分行采用联想N820入侵检测设备，实时监测网络运行状况。

目前的网络存在以下问题：
1、设备的老化，故障频发：分行网络从建设运行至今已有八年，大部分设备已出现不同
程度的老化现象，网络设备运行故障升高，断电后再启动、死机，重启后无法启动等
现象频繁发生。

6台内容交换机和1台PIX防火墙都出现过硬件故障；两台汇聚路由器
cisco7567和cisco7507引擎故障，自动重启；各支行网络由路由器cisco2621陆续出
现了故障。

设备的老化已经严重影响了网络的正常运行。

2、系统陈旧，功能匮乏：现有两台核心交换设备cisco6509操作系统为CATOS，而现在
CATOS已淘汰，目前市场流行的路由和交换设备都使用IOS，因此导致不能兼容多数新
型的网络设备和各种新的功能特性，致使许多安全措施无法应用，影响核心网络的安
全性。

3、架构落后，安全风险大：随着业务系统的扩展，现有网络虽采用了分层的设计思想，
但没有对各功能区域进行划分，各业务系统及功能区域之间没有指定清洗的安全等级，
不利于安全策略的制定。

2.2 新建网络设计
新网络拓扑如下：
华夏银行济南分行网络拓扑
新建网络有如下优点：
1.结构整齐，层次清晰，便于管理。

2.采用动态路由协议，维护简单，扩展性好；
第3章设备部署
3.1 设备命名规则
为便于进行网络故障诊断和远程监测，参照总行《网络设备命名规范》分行将统一全辖网络设备的命名。

网络系统中设备的命名使用五个字段组成，分别表示该设备所在区域，功能，层次，类型等，便于设备维护管理。

设备名称的字母全部采用大写表示。

主要网络设备的ID命名规则如下：
A_B_C_D_E：
A：分行名称（如上海分行、等）
B：区域名称（如核心区、服务器区、办公区、管理区、等，也可表示支行名称）
C：区域层次（如汇聚层或接入层）
D：设备类型（如核心交换机、路由器、防火墙、入侵检测、等）E：设备序列号（如第一台、第二台、等）
根据上述描述，每个字段做如下进一步的明确：
A：分行名称
B：区域名称
C：区域层次
D：设备类型
E：设备序列号
例如：
BJ_CORE_SW_1：表示北京分行（BJ）核心区(CORE)核心交换机（SW）第一台（1）；
SH_ADMIN_DL_SW_1：表示上海分行（SH）管理区（ADMIN）汇聚层（DL）交换机（SW）第一台（1）；
SH_APPSVR_AL_SW_1（或_2）：表示上海分行（SH）业务服务区（APPSVR）接入层（AL）交换机（SW）第一/二台（1或2）；
SH_EXTCONN_FW_1：表示上海分行（SH）外联区（EXTCONN）防火墙（FW）第一台（1）；
TJ_YYB_RT_1：表示天津分行（TJ）分行营业部（YYB）路由器（RT）第一台（1）；
下表是本次项目全网设备的命名
3.2 网络设备的链路描述（Description）规则
为了便于网络设备的维护，应在网络设备中用到的接口中配置相应的描述（Description）命令，对链路的走向进行描述，具体格式为：
行内线路描述：
description <To 对端设备ID 对端设备接口ID>
其中，设备ID请参照《网络设备ID命名规范》，设备接口ID请参照设备厂商的端口命名规范。

外联线路描述：
description <To 外联单位名称>
3.3 VLAN命名规则
为便于管理，VLAN名称应使用统一的命名规则
网络互联VLAN主要以英文缩写命名：
本方案涉及的VLAN名称如下:
3.3.1 核心区
3.3.2 业务服务器区
3.3.3 办公服务器区
3.3.4 开发测试区
3.3.5 终端接入区
3.3.6 分行用户接入区
3.3.7 管理控制区
3.3.8 外联接入区及DMZ区
3.4 软件版本
3.5 槽位部署
第4章VLAN及IP地址规划
4.1 VLAN规划
4.1.1 核心区
根据分行新网络建设的统一规划核心区设备VLAN的划分见下表：
4.1.2 业务服务器区
4.1.3 办公服务器区
4.1.4 开发测试区
4.1.5 终端接入区
4.1.6 分行用户接入区
4.1.7 管理控制区
4.1.8 外联接入区及DMZ区
4.2 端口划分
1. 核心区
2. 业务服务器区
3. 办公服务器区
4. 开发测试区
5. 终端接入区
6. 分行用户接入区
7. 管理控制区
8. 外联接入区及DMZ区
4.3 IP地址规划
4.3.1 IP的规划
根据《总行IP地址规划》的要求，某分行新建网络的互联IP网段和应用系统IP规划如下：
1. 核心区
2. 业务服务器区
3. 办公服务器区
4. 开发测试区
5. 终端接入区
6. 分行用户接入区
7. 管理控制区
8. 外联接入区及DMZ区
4.3.2 设备管理地址
第5章路由协议部署5.1 网络总体路由策略
路由总体规划图如下所示：
华夏银行济南分行网络拓扑
●与总行互联的广域网
广域网保持BGP路由协议不变，某银行某分行路由器与总部路由器之间建立eBGP邻居关系，与总行交换路由。

●中心网络以及下联支行采用ospf
某分行以及各地支行局域网与广域网路由器相连，使用OSPF协议。

与总行互联的核心路由器为分行局域网与总行广域网的路由边界点，负责OSPF与BGP的路由再发布，将BGP的路由导入OSPF，使局域网学到外部路由，同时也将OSPF 的路由以network 的方式导入BGP，使广域网学到局域网的路由。

每个分支划归一个区域，所用区域号保持不变。

●外联两台路由器之间启用单独的ospf
外联两台路由器启用ospf，将外联单位静态路由引入并发布给另一台路由器。

总体cost值规划如下：
5.2 核心区域路由设计
核心区域拓扑图如下所示：
华夏银行济南分行核心区网络拓扑
如图所示，核心交换机7506E作为二层使用，其内置的防火墙模块与上联路由器、下联路由器、业务服务器区交换机、办公服务器区交换机、开发测试区汇聚交换机、终端接入区汇聚交换机、分行用户接入区汇聚交换机、管理控制区汇聚交换机运行OSPF动态路由协议，各互联接口划分至Area 0。

在核心交换机7506E内置的防火墙上配置外联区静态路由，下一跳指向外联区防火墙VRRP虚地址，将静态路由引入到OSPF中。

5.3 广域网区路由设计
广域网区拓扑图如下所示：
华夏银行济南分行广域网拓扑。

5.4 分行用户接入区域路由设计
分行用户接入区域拓扑图如下所示：
核心交换机
S7506E
图表36 客户端区路由设计图
如上图所示，各分行用户网关在汇聚交换机上创建，利用VRRP形成虚拟网关，VRRP主为汇聚交换机1。

汇聚交换机以及与核心区交换机互联的接口划分至OSPF Area 0，正常情况下报文由主设备进行转发，在主用路径失效的情况下走备份路径，主备汇聚交换机之间COST值为1，使得VRRP主在备设备上时仍走主线。

核心两台75E与各汇聚交换机之间通过骨干区域0互通，两台汇聚之间配置trunk，允许业务VLAN和互联vlan通过，通过一对地址建立ospf邻居关系，对于其他业务vlan，在ospf 中使用network发布，但为了避免建立多余的ospf邻居关系，将这些vlan ospf silence。

业务服务器区交换机、办公服务器区交换机、开发测试区汇聚交换机、终端接入区汇聚交换机、分行用户接入区汇聚交换机、管理控制区汇聚交换机网络规划类似。

5.5 外联区路由设计
外联接入区
Area 0
华夏银行济南分行外联区网络拓扑
5.6 OSPF设计
5.6.1 OSPF Router-id设置
OSPF需要使用唯一的Router ID标识每一台路由器，建议相关网络设备的Loopback地址作为其OSPF Router ID。

5.6.2 OSPF Cost设置
两核心交换机之间cost值设为30。

为了避免核心网络设备路由表中出现负载均衡路由,经过调试,核心网络各互联线路的cost值配置如下图所示：
核心交换机1到两台上联总行路由器的cost值设为30，核心交换机2到两台上联总行路由器cost值设为50。

核心交换机1到两台下联支行路由器的cost值设为10，核心交换机2到两台下联支行路由器cost值设为30。

核心交换机1到各功能区交换机线路cost值设为10，核心交换机2到各功能区交换机线路cost值设为30。

核心交换机1与核心交换机2之间线路cost值设为30。

核心交换机静态路由的重分布也做相应调整,静态路由在核心交换机1上重分布入OSPF协议时cost值设为10,在核心交换机2上重分布入OSPF协议cost值设为30 各功能区互联线路cost值设为：业务服务器区为6，办公服务器区为5，办公用户区为5。

第6章安全策略
6.1 总体安全目标
网络安全策略的总体目标是保护网络不受攻击，控制异常行为影响网络高效数据转发，以及保护服务器区的计算资源。

6.2 安全分析
在本次项目中，某分行局域网内的安全威胁分析基于：
⏹网络基础拓扑架构在逻辑上分成了7个功能区
⏹应用系统访问关系
6.2.1 应用系统服务器内部安全分析
应用系统服务器按应用类型被分为业务展现层（Web层），应用/业务逻辑层（AP层）和数据库层（DB 层）。

安全风险存在于:
⏹低安全级别服务器对高安全级别服务器上不适当的访问；
⏹授权客户端对服务器的不适当访问；
⏹非授权客户端对服务器的不适当访问；
⏹不同应用系统服务器之间非授权的不适当访问；
⏹恶意代码对服务器的不良影响。

6.2.2 应用系统之间安全分析
应用系统之间的互访，安全风险主要存在于：
⏹不同应用系统服务器之间非授权的不适当访问；
⏹应用系统不同安全等级服务器之间不适当的互访；
6.2.3 客户端与服务器之间安全分析
客户端访问服务器，主要的安全风险存在于：
⏹非授权客户端不适当的访问服务器；
⏹授权客户端不适当的访问高安全级别的服务器；
6.2.4 客户端之间安全分析
在业务1类客户端和管理类客户端之间，安全风险存在于：
⏹客户端访问另一类客户端上的非授权数据；
⏹客户端利用另一类客户端达到对非授权服务器的非法访问；
6.2.5 恶意代码安全分析
恶意代码在网络中的传播，可能对所有的应用系统产生严重的影响。

6.2.6 网络设备自身安全分析
网络设备自身的安全风险主要有：
⏹网络设备的物理安全；
⏹网路设备操作系统Bug和对外提供的网络服务风险；
⏹网络管理协议SNMP非授权访问的风险；
⏹设备访问密码安全；
⏹设备用户安全风险；
6.3 安全技术
6.3.1 网络分区
某分行安全设计基于分行基础设施总体架构设计中使用的模块化设计方案，是基于业界企业级网络参考架构和安全架构进行的，在设计中考虑了网络的扩展性、可用性、管理性、高性能等因素，也重点覆盖了安全性设计。

通过网络分区，明确不同网络区域之间的安全关系，也可以对每一个区域进行安全的评估和实施，不必考虑对其他区域的影响，保障了网络的高扩展性、可管理性和弹性。

达到了一定程度的物理安全性。

6.3.2 VLAN
在局域网内采用VLAN技术，出了在网络性能、管理方面的有点外，在网络安全上，也具有明显的优点：
⏹限制局域网中的广播包；
⏹隔离不同的网段，使不同VLAN之间的设备互通必须经过路由，为安全控制提供了基础；
⏹提供了基础的安全性，VLAN之间的数据包在链路层上隔离，防止数据不适当的转发或
窃听。

6.3.3 ACL
ACL通过对网络数据源地址、源端口、目的地址、目的端口全部或部分组合的控制，能够限制数据在网络中的传输。

在网络中应用ACL，能够达到这样一些目的：
⏹阻断网络中的异常流量
⏹应用系统间访问控制
⏹SNMP网管工作站控制
⏹设备本身防护
6.3.4 防火墙
专用的硬件防火墙，是网络中重要的安全设备，为网络提供快速、安全的保护。

⏹专用的软硬件，设备自身安全性很高；
⏹提供网络地址转换（NAT或PAT）功能，把内部地址转换为外部地址，以保护内部地址
的私密性；
⏹提供严格的安全管理策略，除了明确定义允许通过的数据，其他数据都是被拒绝的；
⏹多层次的安全级别，为不同的安全区域提供差异化的安全级别，如DMZ区域；
⏹提供多样的系统安全策略和日志功能。

6.4 安全策略设计
核心区防火墙对应不同的业务分区创建不同的分区，各分区的安全级别由高至低依次为：
管理区> 业务服务器区> 办公服务器区> 上联区> 下联区> 业务用户区> 办公用户区> 外联区
在默认情况下，高安全级别分区可以主动访问低安全级别分区，而低安全级别分区无法访问高安全级别分区，必须通过制订具体的访问策略方可访问。

两台防火墙互联接口加入单独的一个区（防火墙互联区），允许所有区域访问该区，以实现业务跨越两台防火墙访问。

6.4.1 网络分区
根据某分行网络基础架构的设计结构，某分行局域网被划分为9个功能区域。

通过网络结构的功能分区，在网络安全上实现了以下目标：
⏹实现不同功能的设备处在不同的分区内，实现了数据链路层上物理隔离；
⏹各分区有单一的出入口；
⏹分区之间互访必须经过网络层路由；
⏹为其他安全控制策略的部署奠定了基础。

⏹应用系统内部安全策略
在服务器区内，根据确定的应用系统内部三层架构，服务器的应用类型被分为业务展现层（Web层），应用/业务逻辑层（AP层）和数据库层（DB层），对应的安全控制策略如下：
⏹通过应用类型分层保护不同级别服务器的安全；
⏹划分VLAN，各分层分别位于不同的VLAN中；
⏹在三个应用类型分层中，安全级别的定义是接入层（Web层）安全级别最低，应用/业
务逻辑层（AP层）安全级别较高，数据库层（DB层）安全级别最高；
⏹应用类型分层之间，通过单向的ACL允许较低级别的服务器访问较高级别的服务器。

6.4.2 应用系统之间的安全策略
根据应用系统内部三层架构和应用系统之间关系，制定了应用系统之间的安全访问规则。

对应的安全控制策略如下：
⏹划分VLAN，隔离各应用系统和各应用系统内部处在不同安全层次上的服务器；
⏹根据确定的类规则在VLAN上部署ACL。

6.4.3 客户端与服务器之间的安全策略
客户端与服务器之间的安全控制，主要采用了部署专用硬件防火墙和设置客户端和服务器之间的严格的访问规则来实现。

安全控制设计如下：
⏹在服务器区边界部署专用硬件防火墙，防火墙采用双机主备工作模式，保障系统可靠
性；
⏹在防火墙上部署严格的安全控制策略，对数据流执行双向控制；
⏹确定客户端和服务器之间的访问规则，部署在服务器区边界防火墙上。

6.4.4 客户端之间的安全策略
在某分行局域网内客户端区，存在着管理类客户端和业务1类客户端，两者之间的安全策略设计如下：
⏹在客户端区划分VLAN，管理类客户端和业务1类客户端分属不同的VLAN；
⏹在管理类客户端和业务1类客户端的VLAN上部署ACL，限制两类客户端之间的互访。

6.4.5 预防恶意代码的安全策略
网络中的恶意代码包括病毒、蠕虫、木马等，这类恶意代码发作时，对网络安全有严重的影响。

预防恶意代码的安全控制策略如下：
⏹根据已知的各类恶意代码，识别其传输特征，编写相应的ACL；
⏹把ACL部署在关键的控制点上，这些控制点包括：
各功能区的出口交换机上（防火墙默认情况下已经可以拒绝这些恶意代码）；在必要时，也可以部署在功能区内各VLAN上，达到更进一步控制恶意代码传播的目的。

ACL单向部署，控
制从区内出（out）的流量。

在RTP区的上下联路由器广域网端口上，ACL单向部署，控制这些端口出（out）和入（in）的流量。

6.4.6 网络设备自身安全策略
网络设备自身安全防护，安全策略设计如下：
⏹物理安全：
安装环境温度、湿度、空气洁净度需要满足设备正常运行条件；
禁止非授权人员物理接触设备。

⏹网络服务安全：关闭设备上确认有软件Bug的网络服务和可能对自身产生安全威胁的
服务；
⏹加密设备密码；
⏹用户安全，只允许经授权的用户在设备上执行权限范围内的操作，（且对操作有相应
的授权、认证和审计）
⏹网管SNMP安全，对SNMP访问设置ACL控制，只允许许可范围内的IP地址通过SNMP
管理设备。

6.5 分区安全策略的部署
6.5.1 核心区安全策略的部署
核心区作为分行局域网高速交换区，不做过多的安全策略，只要求部署交换机自我保护策略。

6.5.2 服务器区安全策略的部署
1. 控制客户端对服务器的访问
各区域对服务器区访问要受到严格控制，控制策略在防火墙上双向实施，控制策略参照下面的表格。

安全控制策略具体描述如下：
●业务1类客户端能访问业务1类WEB服务器。

限定客户ip地址段、应用系统ip地址集、端口号
集。

●业务1类客户端能访问网管安管类服务器。

不限制源IP地址，限制目标的ip地址集、端口。

●管理类客户端能访问业务2类WEB、管理类WEB服务器和网管安管类服务器。

不限制源IP地址，
限制目标的ip地址集、端口。

●管理类客户端能访问Internet。

不限制目标的IP地址、端口，限制源IP地址
2. 应用系统服务器之间的访问控制
根据建行安全规范和应用系统访问需求，应用系统间必须增加访问控制，控制策略在服务器交换机上使用访问控制列表实施，控制策略参照下。

●业务1和业务2互访，业务1和基础设施互访。

限定访问源应用系统主机IP地址集，目的应用系
统主机IP地址集，目的端口集。

●业务2、管理类和基础设施能相互访问。

仅对应用系统类别IP地址段进行限制。

●网管安管和业务1互访，网管安管和业务2互访，网管安管和管理类互访，网管安管和基础设施
互访。

不限制源IP地址，限制目标的ip地址集、端口集。

3. 预防恶意代码
服务器区不做恶意代码防范，防恶意代码工作实施在其他边缘区域，保证恶意代码不会侵犯到服务器区。

4. 网络设备自身安全保护
为了防止对网络设备的非法入侵，服务器区交换机和服务器区防火墙应做好自我保护。

5. 安全策略特例
总推分应用系统安全策略在部署中与上述原则有冲突，须向总行提出申请需求，总行将根据应用需求修改安全策略方案。

分行自建应用系统按照总推分应用系统安全策略调整。

6.5.3 客户端区安全策略的部署
客户端区划分VLAN，隔离业务1类客户端和管理类客户端，在两类客户端的VLAN上部署ACL，限制两类客户端之间的互访。

在客户端区的出口交换机（汇聚交换机）连接核心区核心交换机端口上，部署防恶意代码ACL，方向为out，单向部署。

在客户端区的网络设备上，根据网络设备自身安全策略设计，配置相应的安全管理命令。

6.5.4 广域网区安全策略的部署
广域网区安全策略在上联和下联路由器上实现，保持现有策略不变。

6.5.5 外联区安全策略的部署
外联区保持现有策略不变，详细参见《一级分行统一外联平台建设网络技术规范_详细设计规范》。

6.6 对已有安全策略的支持
除在防火墙和交换机上配置详细的安全访问策略外，本项目必须遵守总行相关各项安全管理规定。

如有冲突或例外，必须上报总行，经批准后才能执行。

第7章割接方案
7.1 割接计划
割接对象：总部核心路由器、分支机构上联路由器
割接时间：200X年X月X日 0：00-5：00
参与人员：甲，电话：，（客户方工程负责人）
乙，电话：，（施工方工程负责人）
丙，电话：，（客户方分支机构配合人员）。