1、无线接入技术在银行 ATM 项目的应用摘要:本文通过实际改造项目,阐述了无线接入技术在银行项目的应用。 关键词:VPN、防病毒、IPS 中图分类号:TN711 文献标识码:A 1. 项目需求 目前,本项目作为一个地级市银行,拥有几百台 ATM 自动取款机,其大部分采用电信提供的 DDN 专线接入。原有的 DDN 接入方式,不但每年的接入费用相当高,而且维护工作多,工程施工及故障排除十分麻烦;其次该银行 ATM 自动取款机的分布广泛,涉及到商场、超市等场所,具体安装位置也经常调整,传统的有线接入方式不太适合;再次 DDN 专线月租费是恒定的,不会因业务量大小而调整费用。 本项目改造建议采用无线接
2、入技术方案。 无线接入以其灵活便捷的接入方式、便宜的资费、施工快捷、维护量小等特点展示了它在银行 ATM 接入的优势与魅力。ATM 通过移动网络无线接入的示意图如下: 2. 总体设计思想 2.1 主要设计思想 本项目银行随着业务的不断发展,对网络的依赖程度越来越高。从需求来看我们推荐采用 VPN 技术来实现,它具备以下优势可以很好的满足安全性、节约成本和便利性的要求。 安全性:VPN 虚拟专用网采用加密协议传输数据。 节约链路成本:VPN 可以避免申请专用线路的费用,这样每年可以节省很多专线的使用费和维护成本。 便利性:从 VPN 使用的角度看,随着技术的发展它的使用越来越方便,只需要在用户端
3、的电脑上安装拨入软件经过简单的配置就可以使用。2.2 接入安全的控制 银行是主要的金融组织,对网络安全的要求非常严格。VPN 技术保证了数据传输过程中的安全性,但对用户的身份认证、计算机病毒和基于应用层的攻击行为缺乏有效的控制。在部署 VPN 方案时,一般情况下采用的是基于用户名和静态密码的认证方式。 只要使用计算机或者网络就不可避免的要同计算机病毒接触,因此采取有效的防病毒措施必不可少,我们需要在 VPN 的接入设备和交换机间部署硬件的防病毒墙来保护内部网络不受网络病毒的攻击。 VPN 技术部署之后,因为终端的电脑很容易被恶意攻击者安装木马或其他远程控制软件,而且传统的防火墙等安全设备是无法
4、有效抑制这种攻击的,所以有必要部署入侵保护系统来适时的监控对内部应用系统的访问并在发现攻击行为是主动采取措施将攻击行为阻止掉。 3. 应用方案 根据本项目的 ATM 网络接入需求,考虑到相关安全和病毒的防护等问题,我们建议采用如下的网络接入方案: 如上图所示,在每一分点上安装能支持无线 GPRS/CDMA 的 VPN 设备,就能很方便地在有无线信号的任何地方链接上网络。实现了灵活便捷的接入方式、灵活便宜的资费方案。 在中心机房,全部 ATM 远程 VPN 拨入终结在远程 VPN 接入服务器。考虑到防病毒、用户认证、网络入侵防护等,分别在远程 VPN 接入服务器后放置了防病毒墙、IPS 入侵防护
5、、安全管理器。考虑到远程 VPN 接入服务器的重要性,建议在此部分采用 HA 的结构。 下图是 site to site VPN 的建立示意图 从上图可以看到,每一个分点通过 VPN 设备,和中心的远程 VPN 接入服务器建立了 site to site VPN 通道。当 ATM 有流量到中心的相关服务器时,就通过这个安全 VPN 通道,和中心的相关服务器建立链接。 以下会按照如下部分分别讲述相关部分的技术方案: VPN 技术方案 网络防病毒墙技术方案 入侵防御系统技术方案 安全管理技术方案 3.1VPN 技术方案 目前在远程接入 VPN 领域主要采用的技术分别是 IPSec VPN 和 SS
6、L VPN,两种技术各有利弊。相对于 IPSec VPN,SSL VPN 可以比较好的解决用户终端的安全性和用户使用便利这两个方面。但 SSL VPN 由于是基于传输层的,所以它对应用比较敏感,作为银行往往会自行开发一些应用系统,这些应用系统是否能被 SSL VPN 支持还需要进行测试。 根据本项目的 VPN 需求我们推荐采用思科公司的 ASA5500 系列产品来实现 VPN 的功能。 ASA 5500 系列自适应安全设备是结合了一流安全性与 VPN 服务的专用平台。该产品能够提供易于管理的 IP 安全(IPSec)和基于 VPN 的安全套接层(SSL)远程接入,以及网络感知的站点到站点 VP
7、N 连接,使企业能在公共网络上建立到移动用户、远程站点、业务合作伙伴的安全连接。同时,帮助确保 VPN 部署不会成为蠕虫、病毒、恶意软件或黑客攻击等网络攻击的渠道。此外,还可以对 VPN 流量实施详细的应用和访问控制策略,使个人和用户组能够访问他们获得授权的应用、网络服务和资源(图 1) 。 图 1. 适用于所有部署方案的 VPN 服务:带有威胁防御的强大 IPSec和 SSL VPN 服务 利用 Cisco ASA 5500 系列安全设备提供的网络敏感型 IPSec 站点到站点 VPN 功能,企业可以利用低成本的互联网连接,安全地将其网络扩展到商业合作伙伴以及世界各地的远程和卫星办公室。基于
8、 Cisco ASA 5500 系列的 VPN 解决方案能够在多个位置之间建立安全的高速通信,提供企业通信所需要的性能、可靠性和可用性。VPN 连接可以使用数字证书和预共享加密等多种方法认证。 Cisco ASA 5500 能同时支持 750 个 site to site 的 VPN 链接,能满足本项目现有和将来的 ATM 接入需求。 3.2 网络防病毒墙技术方案 前面我们提到无论是采用哪种 VPN 接入技术一旦终端感染了病毒有可能会对内部网络造成危害,因此我们建议通过部署硬件的网络防病毒墙来抵御来自远程 VPN 用户的计算机病毒威胁。 Fortinet 的防病毒技术采用特征库与启发式扫描引擎
9、,提供实时的主机/网关防护,阻断来自网络的攻击。 防病毒的特点如下: 防病毒系统极具扩展性,提供适合 SOHO 至大型网络的系统模型架构 ASIC 加速技术硬件设计 自动更新病毒特征库 扫描 SMTP、POP3、IMAP、FTP 与 HTTP 等协议 扫描 VPN (IPSec 与 SSL)封包内容 双向内容过滤 支持 tar、gzip、rar、lzh、iha、cab、arj、zip 等压缩格式 可集中管理上千台 FortiGate 主机 具有透明、NAT 与路由等模式 3.3 入侵防御系统技术方案 3.3.1 IPS 系统的工作模式 IPS 采用在线工作模式,它部署在数据传输的路径中,任何数
10、据流都必须经过 IPS 设备并被进行深入细致的检测,一旦发现攻击行为立即阻断攻击。 IPS 工作的模式是全透明的,本身除了设置管理 IP 地址外不需要设置 IP 地址,这样不会对现有的网络拓扑产生影响。 3.3.2 IPS 系统如何保障高性能 由于 IPS 采用在线的工作模式,所以 IPS 必须保证具备高速的性能,优秀的 IPS 设备综合采用网络处理器(NP) 、专用集成电路(ASIC) 、现场可编程逻辑阵列(FPGA)等高新技术的强大功能和处理能力实现对数据包的高速处理,其处理能力高达 5G 并能够保证处理延迟小于 125 微秒,不会影响现有的网络性能。 3.3.3 IPS 系统如何保障连通
11、性 正常工作的情况下 IPS 系统串接在内部网络中,用在线工作的方式实时检测通过它的所有网络流量,一旦发现攻击行为就可以根据用户事先的定义阻断或者向 IT 管理人员报警,但是由于采用在线的工作模式,因此如何保证在单台 IPS 系统出现故障的情况下也能保证网络的联通性不造成网络的中断是 IT 人员必须要考虑的,成熟的 IPS 设备都会内置故障侦测和快速重启自愈功能,如采用看门狗计时器(watchdog timers)持续的监控 IPS 引擎,一旦系统错误被侦测到,IPS 可以自动或手动的切换成二层设备,确保网络不断线。如下图所示: 3.3.4 IPS 设备的部署建议 考虑到某地级市银行的实际需求
12、,我们建议将一台 IPS 设备部署在VPN 设备之后,实现对外网用户通过 Internet 链路对内部网络访问的实时监控和主动防御。 采用这样的部署方式可以对 IPS 设备之后所有网络设备包括核心交换机、接入交换机等应用服务器的防护,利用 IPS 设备深层检测应用层数据包的能力可以发现合法和非法的数据包内容,在第一时间发现异常并及时阻断,同时可以有效地减轻 DoS 或 DDoS 攻击对网络造成的影响。 3.4 安全管理服务器技术方案 Cisco Security Manager 提供了全面的策略和加强思科自我防御网络。该产品提供全面解决方案的供应,监测,减轻和身份保持网络安全,更灵活,更易于操作。该套件还包括思科安全监控,分析和响应系统(cs-mars) 。 Cisco Security Manager 允许安全策略配置每个设备,每设备组。安全策略,可用于思科 asa 5500 系列自适应安全设备,思科 pix 安全设备,思科 IPS 4200 系列传感器,CATALYST 6500 系列服务模块,思科路由器平台上运行的思科 ios软件安全软件。 参考文献: 1思科相关网络设备产品手册 2 (英)瓦卡,无线宽带网络技术指南M,人民邮电出版社,2006.07 3 黎连业,郭春芳,向东明。无线网络及其应用技术M,清华大学出版社,2004.06
