銀行曾經(jīng)是一份令人羨慕的職業(yè)，高收入、高福利待遇，高穩(wěn)定性成了銀行的代名詞。如今，這個(gè)觀念到了應(yīng)該變一變的時(shí)候，實(shí)際上現(xiàn)在銀行全部是商業(yè)性銀行，同樣要面臨市場(chǎng)的巨大壓力，現(xiàn)在的銀行不僅要鞏固儲(chǔ)蓄、貸款等傳統(tǒng)業(yè)務(wù)，還必須拓展服務(wù)范圍，也就是說(shuō)要從他人的田里找飯吃。面對(duì)銀證聯(lián)網(wǎng)及各類代收代繳業(yè)務(wù)等中間業(yè)務(wù)的紛紛推出，此外銀行越來(lái)越多地需要借助公網(wǎng)與證券、電信、學(xué)校、商場(chǎng)、稅務(wù)、政府機(jī)關(guān)等單位進(jìn)行外連。在這種復(fù)雜的環(huán)境下，銀行如何保證網(wǎng)絡(luò)系統(tǒng)的安全性就成為了一個(gè)的迫在眉睫的話題。對(duì)此，中國(guó)農(nóng)業(yè)銀行遼寧省分行進(jìn)行了積極地探索和嘗試。 　　

考慮到中間業(yè)務(wù)系統(tǒng)涉及不同單位網(wǎng)絡(luò)之間的互連，而且傳送的多為金融信息，因此對(duì)進(jìn)入本地網(wǎng)絡(luò)的信息必須進(jìn)行訪問(wèn)控制，技術(shù)上需要使用防火墻功能，我行采用的是防火墻外掛路由器，再與證券等第三方業(yè)務(wù)相連的方式。 　　

利用防火墻的功能，保護(hù)內(nèi)部工作地址，確定內(nèi)部地址對(duì)應(yīng)的外部地址，也稱為虛擬地址，通過(guò)防火墻上的設(shè)置來(lái)規(guī)定證券方哪些地址可以訪問(wèn)銀行的哪些虛擬地址，同時(shí)銀行的哪些地址可以通過(guò)防火墻去訪問(wèn)證券方的哪些地址。同時(shí)，在防火墻上只開(kāi)放互相傳送數(shù)據(jù)時(shí)需要的端口，沒(méi)有使用的端口全部禁止。另外，采用路由器和對(duì)方相連，利用路由轉(zhuǎn)發(fā)功能來(lái)完成銀行虛擬地址和證券方提供地址間的通信，同時(shí)，可以在路由器上增加訪問(wèn)控制鏈表來(lái)限制證券方對(duì)銀行不必要訪問(wèn)。 　　

當(dāng)使用防火墻將銀行內(nèi)部網(wǎng)絡(luò)和本行支持第三方業(yè)務(wù)的路由器隔開(kāi)時(shí)，也阻擋了銀行內(nèi)部的路由協(xié)議的傳遞，使得第三方業(yè)務(wù)的路由器雖然也是本行的路由器，卻只能通過(guò)靜態(tài)路由來(lái)指到銀行內(nèi)部網(wǎng)絡(luò)，且當(dāng)增加第三方業(yè)務(wù)的時(shí)候，增添新的網(wǎng)段需要改動(dòng)第三方業(yè)務(wù)的路由器、防火墻、內(nèi)網(wǎng)路由器等多條靜態(tài)路由，非常的不方便。

以上問(wèn)題可以采用GRE(通用路由協(xié)議封裝)隧道來(lái)解決，使得路由協(xié)議可以到達(dá)防火墻外部的本行路由器，通過(guò)內(nèi)部的路由協(xié)議（OSPF、EIGRP）來(lái)動(dòng)態(tài)學(xué)到新的網(wǎng)段，增加了網(wǎng)絡(luò)的靈活性，簡(jiǎn)化了配置。 　　

GRE是由Cisco和Net-smiths等公司于1994年提交給IETF的，標(biāo)記號(hào)為RFC1701和RFC1702,目前有多數(shù)廠商的網(wǎng)絡(luò)設(shè)備均支持GRE隧道協(xié)議。GRE不僅支持IP協(xié)議，而且還支持其他類型的網(wǎng)絡(luò)層協(xié)議，它允許任何一種協(xié)議的數(shù)據(jù)包作為凈荷封裝在任何其他一種協(xié)議的數(shù)據(jù)包中。 　　

在進(jìn)行多協(xié)議封裝時(shí)將要封裝在其他協(xié)議數(shù)據(jù)包中作為凈荷的數(shù)據(jù)包被稱為凈荷包，封裝其他數(shù)據(jù)包的外層數(shù)據(jù)包被稱為傳送包。按照通常的封裝機(jī)制，如果M種不同協(xié)議的凈荷包里封裝在N種傳送包中要有MXN中的轉(zhuǎn)換協(xié)議來(lái)處理這種封裝，在通用路由封裝中則將M種凈荷包封裝進(jìn)GRE中，然后再把GRE封裝到傳送包中，這種只需要M+N種轉(zhuǎn)換協(xié)議來(lái)處理這種封裝。 　　

GRE規(guī)定了如何用一種網(wǎng)絡(luò)協(xié)議去封裝另一種網(wǎng)絡(luò)協(xié)議的方法，GRE的隧道由兩端的源IP地址和目的IP地址來(lái)定義，允許用戶使用IP包封裝IP、IPX、AppleTalk包，并支持全部的路由協(xié)議（如RIP2、OSPF等）。通過(guò)GRE，用戶可以利用公共IP網(wǎng)絡(luò)連接IPX網(wǎng)絡(luò)、AppleTalk網(wǎng)絡(luò)，還可以使用保留地址進(jìn)行網(wǎng)絡(luò)互連，或者對(duì)公網(wǎng)隱藏企業(yè)網(wǎng)的IP地址。 　　

利用防火墻的功能，保護(hù)我內(nèi)部工作地址，確定我部?jī)?nèi)部地址對(duì)應(yīng)的外部地址，也稱為虛擬地址，通過(guò)防火墻上的設(shè)置來(lái)規(guī)定證券方哪些地址可以訪問(wèn)哪些虛擬地址，同時(shí)銀行的哪些地址可以過(guò)防火墻去訪問(wèn)證券方的哪些地址。同時(shí)，在防火墻上只開(kāi)放互相傳送數(shù)據(jù)時(shí)需要的端口，沒(méi)有使用的端口全部禁止。另外，采用路由器和對(duì)方相連，利用路由器的路由轉(zhuǎn)發(fā)功能來(lái)完成銀行的虛擬地址和證券方提供的地址間的通信，同時(shí)，可以在路由器上增加訪問(wèn)控制鏈表來(lái)限制證券方對(duì)我部不必要的訪問(wèn)。

【編輯推薦】

1. GRE：通用路由封裝