H省农信社内网数据中心改造项目

  一、 项目背景

  H省农信社省中心内网数据中心的外联接入由2台小型防火墙和2台AR4680路由器构成,采用双机冷备份方式运行,作为中间业务的接入与外联单位安全访问控制。

  现有的设备运行情况如下:一是设备运行五年,使用的防火墙产品厂家已停产,不能购买服务与产品升级,存在一定的安全隐患;二是接入业务已超负荷,设备接入已不能满足业务的发展要求,不能再扩展业务;三是业务设备采用冷备份方式,不符合银监局双机热备份运行要求。因此,中间业务的外联改造是今年网络改造的一个重要工作任务。

  网络改造项目新增两台H3C S7506E-S作为业务汇聚同时提供IPS;新增两台H3C SecPath F5000-A5防火墙提供安全访问控制及地址转换等;在原有AR46分别新增一个CPOS板卡,汇接所有原有E1链路及新增业务。要求改造后网络能满足中间业务快速发展的需求,提高外联接入的可扩展性,特别是今年农保通业务的开通,需要增加多个外联的接入;二是增强冗余性,改冷备份为双机热备份方式,提高外联访问的安全性和可靠性;三是把外联的分散接入改为集中接入,提高业务运行的稳定性,方便管理。

  二、 网络现状

  H省内网数据中心目前的网络示意图如下:

  

图片22.png


  原网络主要提供外联单位接入。目前外联业务有20家,其中人民银行、银联、贷记卡三家单位分别有联通和电信两条线路互为备份。其中新农保、计费、人行个人征信使用以太网方式直接接入到防火墙,其他业务使用E1线路接入到路由器,然后接入到防火墙。

  原网络部分业务需要提供地址转换,地址转换功能全部在5台防火墙实现。有双线路接入的3家单位业务采用浮动路由提供备份。

  三、 网络改造方案

  目标网络新增两台F5000系列防火墙,原有以太网方式接入的外联业务直接挂于新增防火墙上;原有设备AR4680新增CPOS板卡汇接所有原E1线路接入的外联业务,其中通过电信传输网络汇接的业务全部挂于第一台AR4680;通过联通传输网络汇接的业务全部挂于第二台AR4680。

  新增防火墙之间新建一条GE链路,实现防火墙双机热备。新增S7506之间新建一条GE链路实现其他非外联业务之间的VLAN透传。下层设备均新建两条链路上行到两台上层设备。

  防火墙仅仅部署trust(上联接口)、untrust(下行接口)两个区域,IPS部署在7506E上。同时防火墙实现地址转换。

  流量走向:E1汇接外联业务分为三类即电信线路业务、联通线路业务、双线路业务。在网络正常情况下,双线业务、电信线路业务两个方向均走01编号设备;联通线路业务两个方向均走02编号设备。双线业务当电信传输线路故障则两个方向均走02编号设备。双线业务、电信线路业务当01编号设备故障或线路故障则两个方向均走02编号设备;联通线路业务当02编号设备故障或链路故障则两个方向均走01编号设备。

  两台防火墙地址转换配置相同,但业务禁用不对称方式,同时两台防火墙实现热备对NAT会话表进行备份。双线业务NAT策略均包含防火墙上行互联(trust)地址。

  改造后网络拓扑图如下:

  

图片23.png


  四、 解决方案特点

  4.1. 设备性能高,方便扩展

  本项目中采用的H3C SecPath F5000-A5是目前全球处理性能最高的分布式防火墙,旨在满足大型企业、运营商和数据中心网络高性能的安全防护。SecPath F5000-A5采用多核多线程、ASIC等先进处理器构建分布式架构,将系统管理和业务处理相分离,实现整机吞吐量达到40Gbps,使其具有全球最高性能的分布式安全处理能力。SecPath F5000-A5支持外部攻击防范、内网安全、流量监控、邮件过滤、网页过滤、应用层过滤等功能,能够有效的保证网络的安全;采用ASPF(Application Specific Packet Filter)应用状态检测技术,可对连接状态过程和异常命令进行检测。

  两台H3C SecPath F5000-A5均配备一块12端口千兆以太网业务单元板,充分满足用户需求。设备上另外还空余3个槽位,方便后续扩展。

  4.2. 高可靠性

  在设备备份方面,数据中心交换机、防火墙、接入路由器均有两台,且每台设备均配置双电源,任一设备故障,可迅速恢复连接,保障24小时不停顿的IT服务。

  在广域网线路备份方面,对于重点业务,如连接人民银行、银监局均选择两个运营商,任意1条运营商线路故障,不影响业务的正常运行。

  4.3. 设备集中,便于管理

  原有网络中负责接入外联业务的设备达到7台,通过本次改造,将防火墙设备减少到2台,改造后负责外联业务的设备大大减少,便于管理。

  4.4. 高安全性

  在防火墙上通过精确定义NAT地址池,详细定义访问规则,在保证业务正常的同时,限制外部用户的访问。在S7506E上配备的IPS板卡,通过深入到7层的分析与检测,实时阻断网络流量中隐藏的病毒、蠕虫、木马、间谍软件、DDoS等攻击和恶意行为,并对分布在网络中的各种P2P、IM等非关键业务进行有效管理,实现对网络应用、网络基础设施和网络性能的全面保护。


2016年01月

本期文章