为了帮助用户来建立动态安全防御体系并维持其良好运转，宝亮网智提供了一系列的安全服务项目和服务手段。以下是宝亮网智的安全服务体系架构图：

    以宝亮网智强大的技术核心队伍为依靠，并与动态防御体系的理念相呼应，我们开展了安全咨询、安全集成、安全审计和安全维护四大类服务，同时提供安全培训。各服务子项既可自成体系，也可以多种方式组合，成为一个整体服务包提供。

  a) 应用需求

    银行数据中心的网络是银行的业务核心的基础，其重要性不必赘述。在这一网络体系中，银行的生产应用所运行的网络是需要受到最大程度保护的，以保障其可靠性、性能和安全性，同时还要保证高速数据处理能力；不同生产应用位于不同区域，具有不同的访问需求和安全级别要求。

    除了生产网络之外，数据中心还需要为其办公人员提供办公应用的平台，即OA网。OA网络中存在着许多易受安全攻击的系统和应用，并且通常与Internet相关联，往往是安全事件的发源地。为此，一方面我们需要通过安全架构和管理加固OA网络本身，更重要的是要将办公数据与生产核心应用分离开来，即实现两网分离。

  b) 解决方案

    数据中心网络安全架构按照由外向内的顺序，下面对所部署的安全设备与技术进行简要描述：

• 第一道防范：广域网入口处部署防止DOS/DDOS攻击的工具，如专用DOS防范设备、IPS等；将由人为攻击和蠕虫病毒带来的DOS威胁隔离在核心网之外；
• 第二道防范：部署流量分析仪，对流经核心交换机的流量进行分析检测，掌握流量走势，及时发现异常情况并迅速找到威胁源，以进行有效排除；
• 第三道防范：在各生产应用区域部署防火墙，对进入该区域的数据进行访问控制；
• 办公网的安全性：办公网以防火墙进行隔离，形成单独的区域，办公网往往是攻击的发源地，对办公网应实现严格的双向访问控制，如有必要可部署第二层DOS防范设备；
• 入侵检测能力：部署IDS系统，对流经区域核心交换机的流量进行入侵检测；
• 管理区域的部署：管理区域包括整个网络的管理与安全监控，包括：网管平台，IDS管理器，认证服务器，防病毒管理平台，日志服务器等，部署于办公与生产网隔离防火墙的DMZ区；
• 测试、开发区域的隔离：对测试、开发区域通过防火墙实现访问控制，避免与生产和办公网之间的相互影响；

  c) 关键点描述各区域防火墙的设置原则有：

• 开放尽量少的端口和应用；
• 只开放需要作跨网数据访问的地址；
• 除对有特别需求的应用节点，一般不需采用NAT地址转换；
• 考虑到防火墙一般不具备复杂的动态路由功能，同时为将对现有网络结构的影响降到最小，建议采用透明模式。

    在同一安全域内，可以实施的安全手段有：

• 在第三层网络设备上可以实现的安全功能有：VLAN间的访问控制，反向路由检测（防止地址欺骗），设备本身登录的AAA认证等；
• 在第二层交换机上可以实现的安全功能有：端口与MAC地址的绑定，802.1x用户身份认证、设备本身登录的AAA认证等。

    除安全性之外，数据中心对网络运行的可靠性和高性能都有极高的要求，为此，所有设备都采用双机冗余架构；并且在选购防火墙和DOS防范设备时要重点考虑其处理能力。

  a) 应用需求

    从理想的角度，省级分行也可以拥有与数据中心类似的两网架构。但出于实施的成本和对现有网络调整的影响的考虑，我们可以在现有架构的基础上作最小改动来加固安全，即考虑逻辑上的两网分离。

    考虑到安全攻击或病毒的超强的扩散能力――安全事件往往首先由一个分支发起，然后迅速在全辖内扩散，故在各省边界的防范是需要考虑的因素。

  b) 解决方案

    按照由外向内的顺序，下面对所部署的安全设备与技术进行简要描述：

• 第一道防范：与数据中心安全结构类似，在广域网入口处部署防止DOS/DDOS攻击的工具；在一级网和二级网出口不一致的情况下，可以将DOS防范工具部署在核心交换机之前；
• 两网分离：局域网的办公和生产网通过VLAN划分来实现；
• 管理VLAN：管理相关服务器被放置于独立的管理VLAN中，包括：网管平台，IDS管理器，认证服务器，防病毒管理平台，日志服务器等；

入侵检测能力：部署IDS系统，对流经核心交换机的流量进行入侵检测。

  c) 关键点描述

在本地局域网内，可以实施的安全手段有：

• 在第三层网络设备上可以实现的安全功能有：VLAN间的访问控制，反向路由检测（防止地址欺骗），设备本身登录的AAA认证等；
• 在第二层交换机上可以实现的安全功能有：端口与MAC地址的绑定，802.1x用户身份认证、设备本身登录的AAA认证等。

考虑到数据集中后跨省的生产流量和到总行的办公数据流量可能会较大，因此，在选择DOS防范产品时需要特别考虑其处理性能。

  a) 应用需求

    地市级分行具有与省级行相似的网络架构和应用模式，只不过规模有大小差异，数据传输的压力稍小，故希望能有集成式的安全工具，实现All-in-one的安全防范，同时简化网络结构与管理。

  b) 解决方案

    按照由外向内的顺序，下面对所部署的安全设备与技术进行简要描述：

• 第一道防范：在广域网路由器后采用安全网关设备实现本网的安全防护，安全网关可以集成防火墙、VPN、防病毒、防垃圾邮件、内容过滤等功能；
• 两网分离：局域网的办公和生产网通过VLAN划分来实现；
• 管理VLAN：管理相关服务器被放置于独立的管理VLAN中，包括：网管平台，IDS管理器，认证服务器，防病毒管理平台，日志服务器等；
• 入侵检测能力：部署IDS系统，对流经核心交换机的流量进行入侵检测。

  c) 关键点描述

    地市级网络与省级网络的最大区别在于将DOS防范工具替换为安全网关，这是基于对地市级网络对建设成本、易于管理性的要求和相对较小的数据压力的考虑，集成功能设备可以满足上述要求。

    在本地局域网内，可以实施的安全手段有：

• 在第三层网络设备上可以实现的安全功能有：VLAN间的访问控制，反向路由检测（防止地址欺骗），设备本身登录的AAA认证等；
• 在第二层交换机上可以实现的安全功能有：端口与MAC地址的绑定，802.1x用户身份认证、设备本身登录的AAA认证等。

  a) 应用需求

    企业的边缘接入可以具有多方面含义，如拨号用户的远程接入，Internet接入，与其它机构的外联等。目前各省级以上分行对外联应用都已经架设了统一、完备的安全架构，以两台防火墙来隔离对其它企业的专线和拨号外联。故对外联网络这里不作描述。

    Internet访问的最大考虑便是其安全性，目前已有许多基于Internet的成熟解决方案，同样可以用于金融行业的Internet解决方案中。

  b) 解决方案

• 安全区域的分割：一个典型的Internet边缘接入安全架构分为三大区域：内部网（IN），Internet（OUT），Internet应用服务器区域（DMZ），三部分通过两台互为冗余的防火墙互连；
• DMZ内部网是企业需要访问Internet的用户所在的网络，具有相对最高的安全级别；Internet是开放空间，安全级别最低；DMZ区放置了许多与企业Internet应用有关的服务器，它既要接受Internet用户的访问，又要防御来自外部的攻击，属中间安全区域；
• 在DMZ区和内部网均放置了IDS探测器，用于监测穿透防火墙的或内部的攻击行为；
• 对规模较大的网络，可能会考虑Internet出口的冗余性，而选择两条ISP链路，这时需要在出口前添加链路均衡器以实现双向负载均衡，这一架构在本文中不作描述。

  c) 关键点描述

    作Internet连接的防火墙有以下配置原则：

• 开放尽量少的端口和应用；
• 对由外向内的访问，只开放有限的目标地址和服务；
• 对由内向外的访问，也要避免默认的全部开放策略，而应根据实际情况加上适当的限制条件；
• 一般需要用到NAT地址转换，防火墙采用NAT模式。

    DMZ区是针对Internet应用的服务器区，它的组件包括但不仅限于：

• Web/FTP服务器：提供企业对外的信息访问和文件下载资源，根据实际需要布设；
• DNS服务器：作为企业获得授权的外部域名解析服务器，负责将内部DNS请求转发到互联网；
• 外部邮件服务器：作为企业用户与Internet用户互送邮件的中继；
• 防垃圾邮件网关：作用于邮件服务器之前，根据邮件内容和性质判断其是否为垃圾邮件，并进行相应处理；
• 内容过滤服务器：用于内部用户向Internet作WWW访问时作URL过滤，以去除非法信息或网页可能携带的Java Applets、ActiveX等恶意代码的小程序；
• 病毒网关：检测双向FTP/HTTP/SMTP数据流，发现其中的病毒代码，对病毒进行清除、隔离或过滤；
• 代理服务器：作为Internet访问用户身份验证的网关，提供应用级的访问控制功能，并提供访问审计和跟踪；一个功能完善的代理服务器可以与防垃圾邮件网关、内容过滤服务器和病毒网关协同工作，提高数据检测的效率；

    内容过滤、病毒网关和垃圾邮件网关可能采用的结构有：

• 穿透性结构，如同防火墙一样，需要让被检测的数据由外向内流经该设备；这种结构下需要在防火墙之内再添置一道相同结构的内容检测设备；
• 旁路性结构：通过第四层交换机或代理服务器将数据旁路到检测设备，经过检验和过滤的数据再流回内容交换机或代理服务器，去往真正的目的地；
• 代理性结构：在客户端需要指定HTTP或邮件代理，通过IP互连将数据流定向到代理检测设备，经过检验后再送往真正的目的地；在这种结构下内容过滤和病毒网关可以考虑放置在防火墙的DMZ区。