一、用戶概況描述

中國建設(shè)銀行股份有限公司是一家在中國市場處于領(lǐng)先地位的股份制商業(yè)銀行，為客戶提供全面的商業(yè)銀行產(chǎn)品與服務(wù)。截至2006年底，本行的總資產(chǎn)達(dá)人民幣54485.11億元，貸款總額達(dá)人民幣28736.09億元，存款總額達(dá)人民幣47212.56億元。

中國建設(shè)銀行營銷網(wǎng)絡(luò)覆蓋全國的主要地區(qū)，設(shè)有約 13629家分支機(jī)構(gòu)，在 香港、新加坡、法蘭克福、約翰內(nèi)斯堡、東京和首爾設(shè)有海外分行，在紐約和倫 敦設(shè)有代表處。本行的子公司包括中國建設(shè)銀行(亞洲)股份有限公司(原美國銀行(亞洲)有限公司)、中國建設(shè)銀行(亞洲)有限公司、中德住房儲(chǔ)蓄銀行 和建信基金管理公司。

2007年3月，在美國《福布斯》公布的 2007年全球上市公司 2000強(qiáng)排行 榜中，中國建設(shè)銀行位列第69位。

中國建設(shè)銀行總行ServerFarm區(qū)域是建行核心服務(wù)器集群，大量業(yè)務(wù)均需要與ServerFarm內(nèi)服務(wù)器通信。

ServerFarm區(qū)與各省市分行、數(shù)據(jù)中心、網(wǎng)上銀行等內(nèi)外網(wǎng)絡(luò)相連。

目前 ServerFarm分為核心區(qū)、Intranet 區(qū)、集成區(qū)、OA 區(qū)、測試區(qū)等七個(gè) 區(qū)域，各業(yè)務(wù)區(qū)又基本分為 Web服務(wù)層、應(yīng)用程序?qū)印?shù)據(jù)庫層三個(gè)層次。 ServerFarm安全建設(shè)項(xiàng)目從2005年啟動(dòng)，目前進(jìn)行至第三期，已經(jīng)完成了核心區(qū)、Intranet 區(qū)、集成區(qū)、測試區(qū)等區(qū)域的部署。

二、用戶安全需求

1.ServerFarm區(qū)域是整個(gè)業(yè)務(wù)系統(tǒng)的核心，絕大多數(shù)的業(yè)務(wù)服務(wù)器都存放在這個(gè)區(qū)域，是黑客入侵的重點(diǎn)。

2.向外通過光纖連接到各省分行、數(shù)據(jù)中心及網(wǎng)上銀行，是整個(gè)網(wǎng)絡(luò)的樞紐，很容易成為安全和性能的瓶頸。

3.外聯(lián)單位眾多，對(duì)防火墻的端口數(shù)量有較高要求。

4.由于所有業(yè)務(wù)數(shù)據(jù)都要通過安全設(shè)備，對(duì)性能的要求極高。Intranet 區(qū)和Integration 區(qū)AP層和DB層之間數(shù)據(jù)傳輸量極大，要求防火墻線速轉(zhuǎn)發(fā)。

5.業(yè)務(wù)系統(tǒng)需要365×24的服務(wù)，對(duì)網(wǎng)絡(luò)的高可用性要求極高。

6.由于IP網(wǎng)段眾多，而且各業(yè)務(wù)系統(tǒng)服務(wù)器數(shù)量眾多，IP 地址規(guī)范比較特殊，(如*.*.151.*等),需要安全設(shè)備具有很強(qiáng)的網(wǎng)絡(luò)適應(yīng)能力和策略路由功能。策略的條數(shù)很多，對(duì)防火墻在多條策略的情況下的性能有較大的考驗(yàn)。

三、推薦解決方案

1.在核心區(qū)出口處部署2臺(tái)FortiGate，形成HA結(jié)構(gòu)。

在Intranet 區(qū)和集成區(qū)的應(yīng)用層和數(shù)據(jù)庫層之間各部署2臺(tái) FortiGate，形成 HA結(jié)構(gòu)。

FortiGate本身就具有冗余電源和風(fēng)扇，保證了設(shè)備的可靠性，通過HA集群的部署更可以保證3秒鐘內(nèi)進(jìn)行故障切換，且所有會(huì)話均可自動(dòng)同步并在切換時(shí)得以保持，確保網(wǎng)絡(luò)的全天候不間斷運(yùn)行。

FortiGate在建行運(yùn)行了2年多時(shí)間，除了每年的例行維護(hù)重啟外，從未發(fā)生意外重啟或其它不穩(wěn)定故障，確保了365×24的高可靠性。

2.部署的FortiGate處理卡采用網(wǎng)絡(luò)處理器和內(nèi)容處理器雙芯片加速，保證了高吞吐能力，可以實(shí)現(xiàn)所有大小包地線速轉(zhuǎn)發(fā)。核心區(qū)的FortiGate使用了防火墻、IPS 功能，并添加了近1000條防火墻策略，仍然沒有對(duì)網(wǎng)絡(luò)性能造成任何影響。

3.使用FortiGate可以實(shí)現(xiàn)類似*.*.151-161.*的wildcard子網(wǎng)掩碼的定義，很好的滿足建設(shè)銀行對(duì)于安全策略定制的需求。FortiGate 的策略路由功能可以很方便的根據(jù)源地址、目標(biāo)地址、端口等參數(shù)選擇下一條路徑，而且添加了 數(shù)十條策略路由之后也沒有對(duì)網(wǎng)絡(luò)性能產(chǎn)生影響。

4.在網(wǎng)絡(luò)中部署了FortiAnalyzer一臺(tái)，收集所有FortiGate日志， 并定期生成圖形報(bào)表，以便及時(shí)直觀的掌握網(wǎng)絡(luò)安全狀況。

5.另外在測試區(qū)中采用了4臺(tái)FortiGate進(jìn)行業(yè)務(wù)測試。