基于虚拟隧道的第三方外联网络研究

戴鹏 王洋 张宇

【摘 要】本文介绍了国有商业银行第三方外联网络的服务对象和运行情况。重点介绍了新的安全形势下，第三方外联网络面临的挑战和解决方案，商业银行应用虚拟隧道技术重构了第三方外联网络，有效保证了银行与客户之间的信息安全。本文也介绍了新的外联网络采用的主要网络技术和安全技术。最后介绍了基于虚拟隧道的第三方外联网络的应用成果。

【关键词】第三方外联网络；虚拟隧道；架构设计

一、第三方外联网络概述

国有商业银行第三方外联网络采用运营商专线对接模式，主要服务于政府部门、事业单位、国有大型企业等对网络安全要求较高的客户。第三方外联单位的网络结构日趋复杂，管理成本提高，安全风险日趋增大。尤其最近一个时期，外联网络面临着一些新的挑战。一是外部隐患，部分客户内部网络结构日益复杂，其内部网络不仅连接银行，而且也和互联网直接连通，连接客户的专线变成了可连通互联网的“假专线”；而且新的网络攻击层出不穷，外部风险日益显现。二是内部短板，多家单位是从银行地市分支机构接入金融网络的，而地市分行安全防御设备比较单一、人员相对不足、管理比较分散，成为防御上的薄弱点。基于上述情况，构建新的外联网络已刻不容缓。

二、新外联网络建设目标

以有效保障客户信息安全、提高业务运行效率为主要目标，设计新的高安全低成本的第三方外联网络，为客户提供安全稳固、智能高效、接入灵活的金融服务。主要内容包括：以虚拟隧道为核心，重构第三方外联网络架构；应用多种网络技术、安全技术完善一级分行外联区安全防御体系；建立一级分行、二级分行的外联区虚拟隧道；提高第三方网络运行效率，降低网络运维成本等。

三、新外联网络的设计与实现

（一）系统架构设计

基于虛拟隧道的第三方外联网络采用统一的“物理+逻辑”的两层组网结构，辅助以软件控制转发平面，在外联区最外层实现对数据专线的接入或通过VPN接入第三方，在DMZ区（隔离区：demilitarized zone）部署通讯前置机等，同时部署相应的安全防护设备（包括防火墙、入侵检测、入侵阻断、防APT全流程攻击、防流量回溯、全流量分析、访问控制和威胁检测等）。在外联区的不同安全域通过相应的安全策略实现不同区域间的安全访问。

二级分行到一级分行第三方外联区建立虚拟隧道。在二级分行部署2台冗余外联路由器，对下作为二级分行第三方外联单位的本地物理链路接入，在二级广域网链路上建立与内网逻辑隔离的虚拟隧道，升级接入一级分行第三方外联区的外联路由器。边界安全防护和IP地址转换均在一级分行第三方外联区实现。

（二）系统功能实现

1、网络服务提供

网络设备方面：在一级分行，部署2台广域网交换机、2台VPN网关、2台LNS路由器；在省市分行之间的二级骨干网部署2台一级节点路由器确保网络服务的提供。

网络通信方面：引入电信、联通两家运营商，确保网络线路冗余，为第三方客户提供高质量的通信服务。

2、数据资源调度

设计了网络资源调度层，引入网络资源池（NFV）的概念，通过多级智能流量调度、端到端安全隔离、行为识别带宽保障等网络技术，实现数据资源科学调度。

3、访问控制管理

一级分行统一负责外联边界安全防护访问，规范及新定义第三方单位的接入IP地址、地址映射、路由策略等访问控制规则。

4、安全防御功能

在一级分行外联区部署了双层异构防火墙、IDS入侵检测、IPS入侵阻断、防APT全流程攻击、防流量回溯系统、SOC全流量分析系统、TDA威胁检测系统等安全设备；统一进行ACL访问控制、NAT地址转换、路由策略等安全配置。

（三）技术特点

基于虚拟隧道的第三方外联网络应用了多项网络技术、安全技术，下面做简要介绍。

1、虚拟隧道技术

虚拟隧道技术是一种通过公共网络的基础设施，在专用网络或专用设备之间实现加密数据通信的技术。通信的内容可以是任何通信协议的数据包。通过智能流量调度（SDH-WAN）将这些协议的数据包重新封装在新的包中发送。新的包头提供了路由信息，从而使封装的数据能够通过公共网络传递，传递时所经过的逻辑路径称为隧道。当数据包到达通信终点后，将被拆封并转发到最终目的地。

2、行为识别带宽保障（Diff-Serv）

行为识别带宽保障（Diff-Serv）是一种保证QoS的网络技术。定义了一种可以在互联网上实施的、可扩展的、可分类服务的网络结构。服务对象是由同一网络内，在相同传输方向上，通过一条或几条路径传输数据包时的某些重要特征所决定的。这些特征可能包括吞吐率、网络时延、时延抖动，丢包率的量化值或统计值等，也可以是指其获取网络资源的优先级别。主要特点就是简单高效、可扩展性强。具体实施的时候，采用聚合的方式将具有相同特性的若干业务流聚合起来，提供为整体聚合流服务，而不再面向单个业务流。

3、端到端安全隔离（MPLS-VPN）

MPLS-VPN是指采用MPLS（多协议标记转换）技术在骨干的宽带IP网络上构建企业IP专网，实现跨地域、安全、高速、可靠的数据、语音、图像多业务通信，并结合差别服务、流量工程等相关技术，将公众网可靠的性能、良好的扩展性、丰富的功能与专用网的安全、灵活、高效结合在一起。

四、结语

基于虚拟隧道的第三方网络防御能力较传统网络显著增强，可适用场景更广泛。新的第三方外联网络架构趋于扁平，网络接入灵活，安全管控集中到一级分行，网络安全防御能力大大增强，一方面使客户的信息安全得到了更好的保障，另一方面减轻了二级分行的网络运维压力。该方案对各国有商业银行的外联网络建设有一定的借鉴作用。

【参考文献】

[1]谢希仁《计算机网络》北京：电子工业出版社，2008.1 第五版

[2]现代计算机网络技术应用及发展研究.《信息与网络》.2016年1期.吴江海

[3]计算机网络技术发展模式研究《网络安全技术与应用》.2015年3期.曹卉.付贤军