一、用户概况描述
中国建设银行股份有限公司是一家在中国市场处于领先地位的股份制商业银行,为客户提供全面的商业银行产品与服务。截至2006年底,本行的总资产达人民币54485.11亿元,贷款总额达人民币28736.09亿元,存款总额达人民币47212.56亿元。
中国建设银行营销网络覆盖全国的主要地区,设有约 13629家分支机构,在 香港、新加坡、法兰克福、约翰内斯堡、东京和首尔设有海外分行,在纽约和伦 敦设有代表处。本行的子公司包括中国建设银行(亚洲)股份有限公司(原美国银行(亚洲)有限公司)、中国建设银行(亚洲)有限公司、中德住房储蓄银行 和建信基金管理公司。
2007年3月,在美国《福布斯》公布的 2007年全球上市公司 2000强排行 榜中,中国建设银行位列第69位。
中国建设银行总行ServerFarm区域是建行核心服务器集群,大量业务均需要与ServerFarm内服务器通信。
ServerFarm区与各省市分行、数据中心、网上银行等内外网络相连。
目前 ServerFarm分为核心区、Intranet 区、集成区、OA 区、测试区等七个 区域,各业务区又基本分为 Web服务层、应用程序层、数据库层三个层次。 ServerFarm安全建设项目从2005年启动,目前进行至第三期,已经完成了核心区、Intranet 区、集成区、测试区等区域的部署。
二、用户安全需求
1.ServerFarm区域是整个业务系统的核心,绝大多数的业务服务器都存放在这个区域,是黑客入侵的重点。
2.向外通过光纤连接到各省分行、数据中心及网上银行,是整个网络的枢纽,很容易成为安全和性能的瓶颈。
3.外联单位众多,对防火墙的端口数量有较高要求。
4.由于所有业务数据都要通过安全设备,对性能的要求极高。Intranet 区和Integration 区AP层和DB层之间数据传输量极大,要求防火墙线速转发。
5.业务系统需要365×24的服务,对网络的高可用性要求极高。
6.由于IP网段众多,而且各业务系统服务器数量众多,IP 地址规范比较特殊,(如*.*.151.*等),需要安全设备具有很强的网络适应能力和策略路由功能。策略的条数很多,对防火墙在多条策略的情况下的性能有较大的考验。
三、推荐解决方案
1.在核心区出口处部署2台FortiGate,形成HA结构。
在Intranet 区和集成区的应用层和数据库层之间各部署2台 FortiGate,形成 HA结构。
FortiGate本身就具有冗余电源和风扇,保证了设备的可靠性,通过HA集群的部署更可以保证3秒钟内进行故障切换,且所有会话均可自动同步并在切换时得以保持,确保网络的全天候不间断运行。
FortiGate在建行运行了2年多时间,除了每年的例行维护重启外,从未发生意外重启或其它不稳定故障,确保了365×24的高可靠性。
2.部署的FortiGate处理卡采用网络处理器和内容处理器双芯片加速,保证了高吞吐能力,可以实现所有大小包地线速转发。核心区的FortiGate使用了防火墙、IPS 功能,并添加了近1000条防火墙策略,仍然没有对网络性能造成任何影响。
3.使用FortiGate可以实现类似*.*.151-161.*的wildcard子网掩码的定义,很好的满足建设银行对于安全策略定制的需求。FortiGate 的策略路由功能可以很方便的根据源地址、目标地址、端口等参数选择下一条路径,而且添加了 数十条策略路由之后也没有对网络性能产生影响。
4.在网络中部署了FortiAnalyzer一台,收集所有FortiGate日志, 并定期生成图形报表,以便及时直观的掌握网络安全状况。
5.另外在测试区中采用了4台FortiGate进行业务测试。
