一、用戶概況描述

中國建設銀行股份有限公司是一家在中國市場處于領先地位的股份制商業(yè)銀行，為客戶提供全面的商業(yè)銀行產(chǎn)品與服務。截至2006年底，本行的總資產(chǎn)達人民幣54485.11億元，貸款總額達人民幣28736.09億元，存款總額達人民幣47212.56億元。

中國建設銀行營銷網(wǎng)絡覆蓋全國的主要地區(qū)，設有約 13629家分支機構(gòu)，在 香港、新加坡、法蘭克福、約翰內(nèi)斯堡、東京和首爾設有海外分行，在紐約和倫 敦設有代表處。本行的子公司包括中國建設銀行(亞洲)股份有限公司(原美國銀行(亞洲)有限公司)、中國建設銀行(亞洲)有限公司、中德住房儲蓄銀行 和建信基金管理公司。

2007年3月，在美國《福布斯》公布的 2007年全球上市公司 2000強排行 榜中，中國建設銀行位列第69位。

中國建設銀行總行ServerFarm區(qū)域是建行核心服務器集群，大量業(yè)務均需要與ServerFarm內(nèi)服務器通信。

ServerFarm區(qū)與各省市分行、數(shù)據(jù)中心、網(wǎng)上銀行等內(nèi)外網(wǎng)絡相連。

目前 ServerFarm分為核心區(qū)、Intranet 區(qū)、集成區(qū)、OA 區(qū)、測試區(qū)等七個 區(qū)域，各業(yè)務區(qū)又基本分為 Web服務層、應用程序?qū)?、?shù)據(jù)庫層三個層次。 ServerFarm安全建設項目從2005年啟動，目前進行至第三期，已經(jīng)完成了核心區(qū)、Intranet 區(qū)、集成區(qū)、測試區(qū)等區(qū)域的部署。

二、用戶安全需求

1.ServerFarm區(qū)域是整個業(yè)務系統(tǒng)的核心，絕大多數(shù)的業(yè)務服務器都存放在這個區(qū)域，是黑客入侵的重點。

2.向外通過光纖連接到各省分行、數(shù)據(jù)中心及網(wǎng)上銀行，是整個網(wǎng)絡的樞紐，很容易成為安全和性能的瓶頸。

3.外聯(lián)單位眾多，對防火墻的端口數(shù)量有較高要求。

4.由于所有業(yè)務數(shù)據(jù)都要通過安全設備，對性能的要求極高。Intranet 區(qū)和Integration 區(qū)AP層和DB層之間數(shù)據(jù)傳輸量極大，要求防火墻線速轉(zhuǎn)發(fā)。

5.業(yè)務系統(tǒng)需要365×24的服務，對網(wǎng)絡的高可用性要求極高。

6.由于IP網(wǎng)段眾多，而且各業(yè)務系統(tǒng)服務器數(shù)量眾多，IP 地址規(guī)范比較特殊，(如*.*.151.*等),需要安全設備具有很強的網(wǎng)絡適應能力和策略路由功能。策略的條數(shù)很多，對防火墻在多條策略的情況下的性能有較大的考驗。

三、推薦解決方案

1.在核心區(qū)出口處部署2臺FortiGate，形成HA結(jié)構(gòu)。

在Intranet 區(qū)和集成區(qū)的應用層和數(shù)據(jù)庫層之間各部署2臺 FortiGate，形成 HA結(jié)構(gòu)。

FortiGate本身就具有冗余電源和風扇，保證了設備的可靠性，通過HA集群的部署更可以保證3秒鐘內(nèi)進行故障切換，且所有會話均可自動同步并在切換時得以保持，確保網(wǎng)絡的全天候不間斷運行。

FortiGate在建行運行了2年多時間，除了每年的例行維護重啟外，從未發(fā)生意外重啟或其它不穩(wěn)定故障，確保了365×24的高可靠性。

2.部署的FortiGate處理卡采用網(wǎng)絡處理器和內(nèi)容處理器雙芯片加速，保證了高吞吐能力，可以實現(xiàn)所有大小包地線速轉(zhuǎn)發(fā)。核心區(qū)的FortiGate使用了防火墻、IPS 功能，并添加了近1000條防火墻策略，仍然沒有對網(wǎng)絡性能造成任何影響。

3.使用FortiGate可以實現(xiàn)類似*.*.151-161.*的wildcard子網(wǎng)掩碼的定義，很好的滿足建設銀行對于安全策略定制的需求。FortiGate 的策略路由功能可以很方便的根據(jù)源地址、目標地址、端口等參數(shù)選擇下一條路徑，而且添加了 數(shù)十條策略路由之后也沒有對網(wǎng)絡性能產(chǎn)生影響。

4.在網(wǎng)絡中部署了FortiAnalyzer一臺，收集所有FortiGate日志， 并定期生成圖形報表，以便及時直觀的掌握網(wǎng)絡安全狀況。

5.另外在測試區(qū)中采用了4臺FortiGate進行業(yè)務測試。