从1998年开始，广东发展银行最初的网络安全体系就依据思科SAFE蓝图部署。SAFE主张，网络安全建设不能一蹴而就，而应该是一个动态的过程。所以在最初的部署中，思科主要协助广东发展银行解决了最突出的网络安全问题――网络对外连接出口的安全问题。

 
        网上业务需安全保障

 
        随着广东发展银行业务的迅速发展，尤其是近年来，用户纷纷把业务转移到网上进行，广东发展银行的网上业务呈几何数字增长。在这种情况下，广东发展银行提出，为了更好地抵御网上的非法访问，作好关键用户的网上认证，确保能够给用户提供不间断的高质量金融服务，必须要在原有的基础上，进一步加强银行在网络安全方面的部署。

 
        通过分析广东发展银行的具体业务流程和网络结构，思科在SAFE蓝图指导下，针对广东发展银行的不同网段，分别实施了可以统一管理的不同安全措施，具体措施如下。

 
        横向：分网段防御

 
        总行数据中心部署了双冗余的PIX535防火墙，把总行网络分成多个隔离网段：企业内部各功能网、外联网、Internet等。通过防火墙的隔离，防止了跨网攻击、网络间干扰等安全问题，同时病毒的感染范围也可以得到有效的控制，使各网段的安全性大大提高。

 
        业务网的核心交换机采用两台带有IDS模块的Catalyst 6500高性能交换机，通过IDS模块，增强对业务网的安全监控。

 
        OA(办公自动化)网是安全的关键部分，也是产生内部安全隐患的主要环节。所以OA网采用两台带有IDS和Firewall模块的Catalyst 6500高性能交换机。Firewall模块可以实现虚拟局域网(VLAN)之间的安全隔离，这对于大型的OA网络来说是非常重要的。

 
        广东发展银行的网络系统，包括总行数据中心和分行网络中心，都需要与Internet、网上银行、税银通、银券通及人民银行清算等多个公共信息网互连。由于这些公共信息网是一个完全对外开放的信息资源，因此与这些网络的接口成为易受到黑客攻击的环节，需要进行特别的安全控制，提供可靠的安全保障。因此，思科采用了Cisco PIX防火墙产品和先进、可靠的防火墙技术，为整个网络系统提供可靠的安全防护。PIX所具有的NAT功能，可为广东发展银行内部网各工作站提供动态或静态的地址转换，获得合法的外部地址。这样既可对外隐藏内部网络，又能够节省地址资源。

 
        纵向：分层防御

 
        思科SAFE认为，成功的安全解决方案应该在整个网络基础设施上采用集成化保护，而不能只考虑某些专用安全性设备。因此思科在各种网络产品上都集成了安全性能，从而确保整个网络实现立体的集成化安全防御。广东发展银行就实施了这样立体的集成化安全防御。以广东发展银行外联网络系统为例，这个网段就采用了包括路由器、防火墙和交换机在内的三层集成化的安全防御。

 
        第一层防护由路由器实现 路由器提供Internet/外联网等公共信息网的广域连接，与广东发展银行的DNS服务器、WWW服务器和E-Mail服务器等一起位于PIX防火墙的外部。为了对这些服务器提供有效的安全保障，防止外部的用户对服务器进行非法操作，对服务器的内容进行删除、修改等破坏，必须对外部访问的操作进行严格控制。利用Cisco路由器所具有的防火墙功能，可限制外部用户对各服务器进行的操作，从而防止各服务器受到来自外部的破坏。

 
        第二层防护由PIX防火墙保障 PIX防火墙将企业内部网和外部完全分开，PIX是内部各网络子系统对外的惟一出口。通过使用PIX防火墙隔离内、外网络，更进一步保障了内部网络的安全。

 
        PIX对所有的访问都可提供完整的记录，包括非法入侵尝试。PIX实现了从网络层到应用层的安全保护，可通过对数据包源点地址、目的地址、TCP端口号和包长等因素对通信进行控制，禁止任何非法访问。

 
        第三层防护由交换机提供 Catalyst 6500核心交换机部署了IDS和防火墙模块，对复杂的内部网进行有效的安全监控，是抵御外部攻击的第三道屏障，也是防止内部攻击的有利手段。

 
        另外，Catalyst系列交换机具有MAC地址过滤功能，因此可根据需要对交换机的每个端口进行定义，只允许特定MAC地址的工作站通过特定的端口进行访问，与连接PIX的端口进行通信。由于MAC地址的惟一性和不可配置，这种控制实际上是从硬件上对特定的机器进行控制，与对IP地址的过滤相比，这种防护具有更高的安全性。

 
        通过以上三层安全保护，广东发展银行的网络系统实现了从链路层到应用层的可靠安全控制，有效地防止了外部的非法访问，具有很高的安全性。