平台业务整合、系统网络无忧
根据金融业务信息化现状及发展要求,结合华为3Com金融行业方案战略,就金融行业实际存在的问题,华为3Com提出了新一代高安全金融业务网络系统的几个基本构建思路:
l 专网化构建提高网络安全性;
l 金融网络内部安全布署;
l 新体系构架为业务提供良好融合;
l 大集中趋势下整合型金融网点建设。
2.1专网化构建提高网络安全性
金融系统网络往往存在着多种组网需求,笼统的说需要分别考虑:生产(营业)网、办公(OA)网、综合信息网、网管网、(业务)测试网等等,再细分,各网络、区域内部还存在众多不同的网络访问、服务需求,如何在网络安全、建网成本、保证海量业务网络需求之间达到平衡?当然,满足业务需求是我们追求的最终目标,那么在当今金融数据大集中、网络平台化的基础上,下面我们要做的就是在更快更好的达成业务网络需求同时保证网络安全。
华为3Com提出业务专网的构建原则,即:为同类别的业务定制专网服务,道理很简单,专一的,才是最符合具体需求的、最安全的。基于ip平台,我们很轻易就联想到了VPN技术,而对于一个大规模的树型网络来说,MPLS VPN技术当仁不让的成为首选。在网状网、大规模网络以及需要在同一个IP网络上承载多个相互独立的网络系统时,MPLS VPN表现出强大的扩展性和前所未见的高性能。MPLS VPN可以提供完全独立、定制形态的各种网络安全策略,同时兼具了网络配置简单、动态的发现相邻节点、可以直接利用现有路由协议而无需任何改动、更具理想的可扩展性等特点。此外,MPLS VPN在速度和QoS策略支持上还表现出强大的优势。
图1.基于MPLS VPN技术实现高安全网络平台支撑
各个业务需求网络获得了独立的逻辑网络,每一个网络用户都可以象使用一套独立的物理网络那样使用相同的一套网络,而用户之间却没有交互影响!我们可以在系统中快速的增加一个新网络,而不需要考虑在多个网络层次上修改原有系统之间的策略。
MPLS VPN技术到目前已经相当成熟,我们关心的是假如MPLS VPN技术作为金融网络新一代系统的安全支撑技术,如何在现有的网络平台中实现全面覆盖。我们知道,在当今的金融系统中,已经建立了一套比较完整的IP网络体系,设备从高性能的高端设备一直到几乎最低端的设备,如何有效的实现端到端的VPN?如何将VPN延伸到网络边缘?边缘网络设备几乎不可能考虑承受一个标准的MPLS模块!HOPE技术成为解决这个问题的理想方案。
(注:HOPE全称是:Hiberarchy Of PE,即分层PE技术。HOPE是华为3Com公司专有技术,2002年初正式向ITUT提交并且获得国际电联专家委员会大力推荐的RFC国际技术标准。)
HOPE通过引入UPE和SPE等角色和新构建流程的方式解决了边缘网络设备对MPLS VPN和路由协议支持的性能等系列问题,将MPLS VPN的良好支持范围覆盖到了全线高端路由器、交换机甚至华为3Com公司系列中低端路由器上,这成为我们选择MPLS VPN技术体系作为金融新一代网络系统业务专网支撑技术的重要依据。结合HOPE 的MPLS VPN技术为新一代网络系统提供了一个硬件平台下构建多个纵向业务网络的有效途径。
(注:在分层PE的结构中直接连结用户的设备称为下层PE‘Underlayer PE‘或’User-end PE’,即用户侧PE,简写为UPE,连结UPE并位于网络内部的设备称为上层PE‘Superstratum PE’或‘Sevice PRovider-end PE’,即服务网络侧PE,简写为SPE。)
不同业务类别、应用区域从网络层就开始的完全“独立布设”使得网络安全的布署更加简明和坚固。
2.2金融网络内部安全布署
我们知道,各种防火墙技术、ACL、VLAN等等技术属于一种被动式安全手段,它们只对路过的报文进行控制和感知,这样的结构要求在每一个可能有路径聚合的节点进行访问控制和过滤。华为3Com在新一代高安全的金融网络系统的方案建议中提出了一个全新的网络角色--内容接入服务器,这是一个可以实现具体到每一个网络用户进行网络权限和路径控制的硬件服务器(Quidway MA5200系列),这个设备将主要布署在复杂的大型局域网环境中,局域网用户的访问权限、操作内容以及服务连接的建立都将通过该服务器进行分布式控制,也就是说,现在对于一个不被获准的访问我们要做的是在其刚刚发出的时候就被控制住,这个访问要求根本就没有必要到达骨干路由器。
图2. 增加内容接入服务器加强局域网的访问安全策略
结合原有的安全控制系统,内容导向型网络控制可以提供一个更高精确性的安全控制策略。
2.3 新体系构架为业务提供良好融合
结合基于纵向的端到端VPN覆盖与基于安全控制策略内部安全防御体系为实施集中式的安全架构奠定了技术基础??而我们知道,在数据大集中的业务背景下,集中式的安全构架是最为坚固和经济的。基于端到端的MPLS VPN我们可以轻易的布设一个覆盖全国的业务区域,这个区域的透明程度视我们的预期而定,它甚至可以覆盖到网点,而只有网点和数据中心可以感知,对于其他部分用户来说,它完全透明同时不可访问,这样,网络的系统安全控制的需求就完全收归到了数据中心。在数据中心安全策略系统的配合下,整个金融网络的安全系统实现联动,为整个金融业务系统提供一套完整的安全防御堡垒。
我们以中间业务系统的构建方式为例,在新一代高安全的网络系统中,中间业务系统和内部生产系统中,我们可以这样以分行为单位分布式的布设安全区域,在网络的每一级,业务系统和内部生产系统相互隔离,每一级的每个区域有两层Quidway Eudemon防火墙构筑非军事区域(DMZ区),防火墙、网络设备与内部网络的安全系统构建联动的安全防御体系,其实际的逻辑结构如框图所示,除了分行的主机数据访问节点外,其他用户不可见,而我们在网络布局上则获得了解放!
图3.中间业务系统在新一代高安全金融网络中的构建逻辑示意图
2.4大集中趋势下整合型金融网点建设
新形势下,新的金融网点需要如何应对挑战?网点业务改造何去何从?一方面各种业务的增加需要更高的硬件支持,另一方面运营成本又需要有效压缩,如何平衡?华为3Com全新整合型业务网点解决方案助您一臂之力。
当前各大银行的网点级分支机构主要包括各种直接面对客户的营业机构:各级分理处、储蓄所以及自助银行网点等等,银行系统的各类业务将从这些机构发起,大多数金融客户也将从这里获得服务,而在新的网络建设中,传统的对公、储蓄业务处理正在整合,各类中间业务也正在逐步集中,如何满足系统过渡期以及过渡后的柜面业务、ATM业务以及全面的OA系统内部治理平台的要求,成为解决方案所需解决的重点。
华为3Com公司整合型网点解决方案同时提供了三个层面的整合特性支持:设备整合、数据整合和业务整合,在全面整合的同时,更提供一体化的安全、可靠性支持和完善的可治理特性,并且全面预留下一代面向业务的骨干网络特性支持。
图4. 高安全的整合网点业务逻辑示意图
以前,一个IP网点需要多种网络通信设备,例如:路由器、终端服务器、加密机等等,而原有的系统在终端的使用上也需要分工,储蓄、对公等等业务操作需要在不同的窗口上进行,现在,华为3Com公司Quidway提供全面的设备整合方案,实现一个标准网点只需要一台网络设备的解决方案,全面解决终端接入、ATM接入QOS、POS以及数据加密等各方面需求。
面向全新的多业务系统骨干网络,华为3Com公司Quidway整合型网点解决方案从边缘作起,提供面向业务的网络服务,区别业务、区别备份,更提供全面的金融业务接入能力,全面满足大集中综合业务系统对边缘网络的需求。