路由器叠加替换防火墙的方法
(2012-09-05 07:13:08)
作者:江苏/潘顺军
编辑提示:本文简要地介绍了人民银行××市中心支行的网络结构。作者从安全角度出发,向您介绍一个利用备用设备实现路由器叠加后替换防火墙的案例。
经过人民银行总行“内联网升级扩容二期工程”实施后,××市中心支行的网络做了较大整合并调整到位。目前,主干网由路由设备Cisco 3640、Cisco 3660、NetEye防火墙和一台核心交换设备Catalyst 4500构成一个上联省分行、下联县支行、外接财、税、库、各商业银行的网络硬件平台。各县支行皆有一台Cisco 2611路由器和交换机在线运行。当前,网络整体运行稳定,路由设备运行良好。到省分行主备线路的自动切换与主备路由设备的按需接管有力地保证了业务和办公自动化的正常营运。
为了让系统安全、稳定、可靠地运行,××市中心支行建立了计算机网络系统应急方案。该方案设计的指导思想是“保障安全、简便实用、投入较小”,设计目标是在全市网络中单台设备故障和一条或几条通信线路瘫痪的情况下能够快速处置,保障网络应用恢复正常。
将路由器叠加后替换防火墙的步骤就是应急方案的一部分。这种方法一方面充分利用了网络整合后的备用设备——化废为宝,另一方面起到了冷备份的作用。
下面笔者就和您一起探讨一下路由器叠加后替换防火墙技术。
表1
|
服务系统名称
|
DMZ区IP地址
|
对外Out公布地址
|
对内In公布地址
|
对外Out端口号
|
对内In端口号
|
|
信贷登记咨询
|
119.49.31.1
|
119.49.15.100
|
13.24.129.1
|
80,1414,1818
|
80,1414,1818,5000,53
|
|
财税库行系统
|
119.49.31.34
|
119.49.15.134
|
13.24.129.34
|
8000,7000,6002
|
8000,7000,6002
|
|
外汇申报
|
119.49.31.33
|
119.49.15.133
|
100.70.112.33
|
23
|
23
|
|
统计信息
|
119.49.31.134
|
119.49.15.234
|
13.24.129.134
|
1352
|
1352
|
网络现状分析
全市人民银行建立起一个新的以PC机作为端点主设备、以Cisco路由器和交换机作为网络通信主干的功能强大、性能优越的计算机网络系统。当前网络的主要特点:
◆ 主线路的传输介质均为2M SDH链路,备份线路是DDN链路,该线路分别接入到Cisco 3845和Cisco 3640路由器上,而这两台路由器之间采用了热交换路由协议(HSRP),有力地解决了内联网上的相连结点因线路或中心两台路由器任何一台故障而引起的问题,确保路由可以自动切换。
◆ 新进的核心三层交换机Cisco 4506在吞吐率、端口密度和扩展能力方面远胜于路由器,具有成熟的路由、队列、QoS技术;交换机Cisco 4506和楼层间Cisco 3550以1000Base-LX光纤相联,保证到桌面达到百兆;VLAN的划分避免了各子网产生的广播风暴,保证了整个网络的安全可靠。
◆ 按照人民银行《全国金融信息交换网IP地址规范》的要求,统一规划了与人民银行相连的所有外部单位的广域网互联端口和外部通信区的IP地址。商业银行和非金融机构(财政局、国税局及地税局)同人民银行间的所有信息,比如业务应用系统(如财税库行系统、同城清算系统、信贷登记咨询系统)及非业务系统(如外汇申报、统计信息等)在通信时,均经过防火墙的地址转换和安全规则过滤后才能与人民银行进行信息交换。这不但便于集中管理,还实现了“一网打尽”。
◆ 在主干网上统一规划和启用了QoS服务。
主干网示意图如图1所示。
从示意图中可以看出,防火墙是人民银行和外单位连接的所有信息的必经之路,它的正常作业至关重要,而目前只有一台这样的设备。我们所用的防火墙是东软公司NetEye-FW 4032,这是一款基于状态包过滤的流过滤防火墙,实现了端口级访问控制。
在防火墙控制台管理器中有地址转换和包过滤规则的设计,如表1所示。(以下地址和端口号仅作参考)。
相关链接
- 光端机选购注意事项 (2023-01-06)
- 数字光端机为什么更有优势? (2023-01-06)
- 模拟光端机有哪些缺点? (2023-01-06)
- 光纤收发器相关故障及解决方法 (2022-12-29)
- 电话光端机和PDH光端机的区别 (2022-12-29)
- poe光纤收发器使用教程 (2022-12-29)
- 光纤终端盒怎么使用? (2022-12-22)
- 如何选择光纤芯数? (2022-12-22)
- 根据光缆的使用环境选择光缆 (2022-12-22)
- 光纤和宽带有什么区别? (2022-12-14)