无线接入技术在银行ATM项目的应用

无线接入技术在银行ATM项目的应用

封春花

霍尼韦尔（天津）有限公司广州分公司工程师510220

摘要：本文通过实际改造项目，阐述了无线接入技术在银行项目的应用。

关键词：VPN、防病毒、IPS

1.项目需求

目前，本项目作为一个地级市银行，拥有几百台ATM自动取款机，其大部分采用电信提供的DDN专线接入。原有的DDN接入方式，不但每年的接入费用相当高，而且维护工作多，工程施工及故障排除十分麻烦；其次该银行ATM自动取款机的分布广泛，涉及到商场、超市等场所，具体安装位置也经常调整，传统的有线接入方式不太适合；再次DDN专线月租费是恒定的，不会因业务量大小而调整费用。

本项目改造建议采用无线接入技术方案。

无线接入以其灵活便捷的接入方式、便宜的资费、施工快捷、维护量小等特点展示了它在银行ATM接入的优势与魅力。ATM通过移动网络无线接入的示意图如下：

2.总体设计思想

2.1主要设计思想

本项目银行随着业务的不断发展，对网络的依赖程度越来越高。从需求来看我们推荐采用VPN技术来实现，它具备以下优势可以很好的满足安全性、节约成本和便利性的要求。

安全性：VPN虚拟专用网采用加密协议传输数据。

节约链路成本：VPN可以避免申请专用线路的费用，这样每年可以节省很多专线的使用费和维护成本。

便利性：从VPN使用的角度看，随着技术的发展它的使用越来越方便，只需要在用户端的电脑上安装拨入软件经过简单的配置就可以使用。

2.2接入安全的控制

银行是主要的金融组织，对网络安全的要求非常严格。VPN技术保证了数据传输过程中的安全性，但对用户的身份认证、计算机病毒和基于应用层的攻击行为缺乏有效的控制。在部署VPN方案时，一般情况下采用的是基于用户名和静态密码的认证方式。

只要使用计算机或者网络就不可避免的要同计算机病毒接触，因此采取有效的防病毒措施必不可少，我们需要在VPN的接入设备和交换机间部署硬件的防病毒墙来保护内部网络不受网络病毒的攻击。

VPN技术部署之后，因为终端的电脑很容易被恶意攻击者安装木马或其他远程控制软件，而且传统的防火墙等安全设备是无法有效抑制这种攻击的，所以有必要部署入侵保护系统来适时的监控对内部应用系统的访问并在发现攻击行为是主动采取措施将攻击行为阻止掉。

3.应用方案

根据本项目的ATM网络接入需求，考虑到相关安全和病毒的防护等问题，我们建议采用如下的网络接入方案：

如上图所示，在每一分点上安装能支持无线GPRS/CDMA的VPN设备，就能很方便地在有无线信号的任何地方链接上网络。实现了灵活便捷的接入方式、灵活便宜的资费方案。

在中心机房，全部ATM远程VPN拨入终结在远程VPN接入服务器。考虑到防病毒、用户认证、网络入侵防护等，分别在远程VPN接入服务器后放置了防病毒墙、IPS入侵防护、安全管理器。考虑到远程VPN接入服务器的重要性，建议在此部分采用HA的结构。

下图是sitetositeVPN的建立示意图

从上图可以看到，每一个分点通过VPN设备，和中心的远程VPN接入服务器建立了sitetositeVPN通道。当ATM有流量到中心的相关服务器时，就通过这个安全VPN通道，和中心的相关服务器建立链接。

以下会按照如下部分分别讲述相关部分的技术方案：

?VPN技术方案

?网络防病毒墙技术方案

?入侵防御系统技术方案

?安全管理技术方案

3.1VPN技术方案

目前在远程接入VPN领域主要采用的技术分别是IPSecVPN和SSLVPN，两种技术各有利弊。相对于IPSecVPN，SSLVPN可以比较好的解决用户终端的安全性和用户使用便利这两个方面。但SSLVPN由于是基于传输层的，所以它对应用比较敏感，作为银行往往会自行开发一些应用系统，这些应用系统是否能被SSLVPN支持还需要进行测试。

根据本项目的VPN需求我们推荐采用思科公司的ASA5500系列产品来实现VPN的功能。

ASA5500系列自适应安全设备是结合了一流安全性与VPN服务的专用平台。该产品能够提供易于管理的IP安全（IPSec）和基于VPN的安全套接层（SSL）远程接入，以及网络感知的站点到站点VPN连接，使企业能在公共网络上建立到移动用户、远程站点、业务合作伙伴的安全连接。同时，帮助确保VPN部署不会成为蠕虫、病毒、恶意软件或黑客攻击等网络攻击的渠道。此外，还可以对VPN流量实施详细的应用和访问控制策略，使个人和用户组能够访问他们获得授权的应用、网络服务和资源（图1）。

图1.适用于所有部署方案的VPN服务：带有威胁防御的强大IPSec和SSLVPN服务

利用CiscoASA5500系列安全设备提供的网络敏感型IPSec站点到站点VPN功能，企业可以利用低成本的互联网连接，安全地将其网络扩展到商业合作伙伴以及世界各地的远程和卫星办公室。基于CiscoASA5500系列的VPN解决方案能够在多个位置之间建立安全的高速通信，提供企业通信所需要的性能、可靠性和可用性。VPN连接可以使用数字证书和预共享加密等多种方法认证。

CiscoASA5500能同时支持750个sitetosite的VPN链接，能满足本项目现有和将来的ATM接入需求。

3.2网络防病毒墙技术方案

前面我们提到无论是采用哪种VPN接入技术一旦终端感染了病毒有可能会对内部网络造成危害，因此我们建议通过部署硬件的网络防病毒墙来抵御来自远程VPN用户的计算机病毒威胁。

Fortinet的防病毒技术采用特征库与启发式扫描引擎，提供实时的主机/网关防护，阻断来自网络的攻击。

防病毒的特点如下:

?防病毒系统极具扩展性，提供适合SOHO至大型网络的系统模型架构

?ASIC加速技术硬件设计

?自动更新病毒特征库

?扫描SMTP、POP3、IMAP、FTP与HTTP等协议

?扫描VPN(IPSec与SSL)封包内容

?双向内容过滤

?支持tar、gzip、rar、lzh、iha、cab、arj、zip等压缩格式

?可集中管理上千台FortiGate主机

?具有透明、NAT与路由等模式

3.3入侵防御系统技术方案

3.3.1IPS系统的工作模式

IPS采用在线工作模式，它部署在数据传输的路径中，任何数据流都必须经过IPS设备并被进行深入细致的检测，一旦发现攻击行为立即阻断攻击。

IPS工作的模式是全透明的，本身除了设置管理IP地址外不需要设置IP地址，这样不会对现有的网络拓扑产生影响。

3.3.2IPS系统如何保障高性能

由于IPS采用在线的工作模式，所以IPS必须保证具备高速的性能，优秀的IPS设备综合采用网络处理器（NP）、专用集成电路（ASIC）、现场可编程逻辑阵列（FPGA）等高新技术的强大功能和处理能力实现对数据包的高速处理，其处理能力高达5G并能够保证处理延迟小于125微秒，不会影响现有的网络性能。

3.3.3IPS系统如何保障连通性

正常工作的情况下IPS系统串接在内部网络中，用在线工作的方式实时检测通过它的所有网络流量，一旦发现攻击行为就可以根据用户事先的定义阻断或者向IT管理人员报警，但是由于采用在线的工作模式，因此如何保证在单台IPS系统出现故障的情况下也能保证网络的联通性不造成网络的中断是IT人员必须要考虑的，成熟的IPS设备都会内置故障侦测和快速重启自愈功能，如采用看门狗计时器（watchdogtimers）持续的监控IPS引擎，一旦系统错误被侦测到，IPS可以自动或手动的切换成二层设备，确保网络不断线。如下图所示：

3.3.4IPS设备的部署建议

考虑到某地级市银行的实际需求，我们建议将一台IPS设备部署在VPN设备之后，实现对外网用户通过Internet链路对内部网络访问的实时监控和主动防御。

采用这样的部署方式可以对IPS设备之后所有网络设备包括核心交换机、接入交换机等应用服务器的防护，利用IPS设备深层检测应用层数据包的能力可以发现合法和非法的数据包内容，在第一时间发现异常并及时阻断，同时可以有效地减轻DoS或DDoS攻击对网络造成的影响。

3.4安全管理服务器技术方案

CiscoSecurityManager提供了全面的策略和加强思科自我防御网络。该产品提供全面解决方案的供应，监测，减轻和身份保持网络安全，更灵活，更易于操作。该套件还包括思科安全监控，分析和响应系统（cs-mars）。

CiscoSecurityManager允许安全策略配置每个设备，每设备组。安全策略，可用于思科asa5500系列自适应安全设备，思科pix?安全设备，思科IPS4200系列传感器，CATALYST?6500系列服务模块，思科路由器平台上运行的思科ios?软件安全软件。

参考文献：

[1]思科相关网络设备产品手册

[2](英)瓦卡，无线宽带网络技术指南[M]，人民邮电出版社，2006.07

[3]黎连业，郭春芳，向东明。无线网络及其应用技术[M]，清华大学出版社，2004.06