银行业互联网接入平台解决方案

一、网络拓扑结构

区域功能分析

一、接入控制区

 本区域主要部署防DDOS攻击设备、接入设备和IPS（入侵保护系统）。

 因为XX银行通过2条线路接入不同的运营商，连接到Internet，本方案中我们配置了1台链路负载均衡设备，可以无缝地监视多条连接的可用性和性能，确保将流量导向最佳的链路和ISP，确保为用户提供最高质量的服务和速度。

 为防止黑客攻击，我们在该区域部署DDos攻击设备，用于防范DDos攻击。部署IPS系统（入侵保护系统），自动识别网络攻击并记录，如果配置为在线方式的话，可以对网络攻击自动进行中止和防护。

外层防火墙区

 外层防火墙区设置一台防火墙。

 在外层防火墙的内侧有一台连接防火墙的交换机，用于DMZ区域网络安全设备和对外服务器的接入平台。

 防火墙具体功能如下：

1隔离互联网和DMZ；

1访问控制：IP包过滤，仅允许从互联网到DMZ公共服务器的访问和经由内层防火墙到互联网访问的IP包进出；

1地址合法性检查，防止地址欺骗；

1对网络访问和分组过滤规则情况进行审计；

1对网络攻击情况进行审计。

二、DMZ区

 区主要用于放置对外提供服务的服务器和应用系统，比如Web网站、DNS系统、邮件系统和SSL VPN网关。

 其中SSL VPN网关可以做为移动办公和设备远程维护的平台，对出差在外的员工对内网办公系统访问和设备远程维护提供统一的认证、授权和审计。

三、内层防火墙区

 内层防火墙区设置一台防火墙，使用国产防火墙。具体功能如下：

3隔离DMZ和内部网；

3支持代理服务器从内部网到互联网和DMZ的单向访问；

3地址合法性检查，防止地址欺骗；

3对网络访问进行监控审计；

3对发生的攻击行为进行审计；

3配置高速缓存加速访问、节约带宽资源。

四、信息管理区

 主要放置用于内网管理的各种系统，包括：

4系统——用于对用户访问应用进行认证、授权和审计；

4漏洞管理系统——用于对用户和网络设备进行漏洞扫描和补丁分发。

4网络防病毒系统——用于对服务器和桌面用户进行统一病毒防护。

4日志审计系统——用于对关键设备、服务器和主机的日志进行收集和审计分析。

五、内网区

 内网区用于连接内网用户，其中分行本部员工通过局域网接入，支行、网点用户通过广域网专线接入。

 在内网放置1台代理服务器，用于对用户上网的总控制设备，在内网防火墙上只允许内网来自代理服务器的流量访问。内网用户访问互联网必须经过代理服务器的代理，可以通过代理服务器设置用户权限，对用户访问进行认证、授权和审计，对用户上网行为进行控制和管理。

 内网用户访问DMZ区服务器的资源不需要经过代理服务器，在访问该类资源时需要内网用户直接输入服务器IP地址进行访问。