中国农业银行两网合一安全建设项目

用户介绍

中国农业银行是我国主要的五大综合性金融服务提供商之一。近年来，农行凭借全面的业务组合、庞大的分销网络和领先的技术平台，向最广大客户提供各种公司银行和零售银行产品和服务。目前共有总行本部、总行营业部、3个总行专营机构、37个一级（直属）分行、348个二级分行（含省区分行营业部）以及3000多个一级支行。

随着业务的发展，原有的办公网和生产网各自独立，分别有各自的核心交换的网络架构，已经无法很好的满足整个业务处理流程上大量存在的，即面向生产又面向办公的管理类应用的需求，很大程度上对业务发展造成了一些瓶颈。因此原有的办公和生产隔离的网络架构已不适合当前的业务需求，急需完成两网融合。

用户网络现状及安全需求

中国农业银行于2012年进行了两网改造项目，将办公和生产网络合并，合并后需要对安全设备进行相应的改造。根据银监会《商业银行信息科技风险管理指引》要求，农业银行需要将生产管理类业务与核心生产业务进行隔离，并能够防范恶意及跳板攻击。两网合一后在保证核心业务和管理类业务的运行效率的前提下，还要保证核心业务的绝对稳定性。因为农业银行各省级分行的组网模式不尽相同，所以安全设备需要能够适应多种部署环境，并且具有最高等级的第三方稳定性认证。

山石网科解决方案及特点

中国农业银行采购了近千台山石网科万兆高端级下一代防火墙，部署在其数据中心和所有的一级和二级分行，并根据数据中心和一级、二级分行的具体情况，采取了多种部署方式。部署方式具体如下：

部署方式1:按照分域防护的方案，在用户区（同城支付、网银管理、运维管理等区域）部署多台山石网科万兆高端级下一代防火墙，在运维管理区部署多台山石网科万兆高端级下一代防火墙。所有设备均启用了防火墙和入侵防御功能，针对安全域实现访问控制和攻击防范。

部署方式2:两台山石网科万兆高端级下一代防火墙以HA形式进行旁挂部署，进行配置及业务的同步与冗余。两台山石网科万兆高端级下一代防火墙的IPS配置和防火墙策略配置都是根据实际应用不断调整，采取初期宽松，后期随实际业务逐步细化的方式，最终实现根据实际需求调整最终配置。

部署方式3:两台山石网科万兆高端级下一代防火墙以HA形式进行串行透明部署，进行配置及业务的同步与冗余。两台山石网科万兆高端级下一代防火墙的IPS配置和防火墙策略配置都是根据实际应用不断调整，采取初期宽松，后期随实际业务逐步细化的方式，最终实现根据实际需求调整最终配置。

部署方式4:两台山石网科万兆高端级下一代防火墙以冷备份的方式进行串行部署，整个网络不论那个防火墙作为主防火墙使用时，均与原网络保持一致。两台山石网科万兆高端级下一代防火墙的IPS配置和防火墙策略配置都是根据实际应用不断调整，采取初期宽松，后期随实际业务逐步细化的方式，最终实现根据实际需求调整最终配置。

山石网科解决方案的优势：

高性能的安全保护

山石网科万兆高端级下一代防火墙，采用业界领先的多核硬件平台，配合64位全并行操作系统，能够在开启多种安全功能的前提下，提供高性能安全保证。本项目所选设备均为万兆多功能安全网关，能够满足农行当前和未来的业务性能需求。

多种安全功能协同防御

为了保障业务运行安全，中国农业银行在山石网科万兆高端级下一代防火墙上开启了防火墙及IPS入侵防御功能，能够实现业务访问的精细控制和各种网络攻击的过滤，从而实现从网络层到应用层，为业务提供全面安全防护。

设备高可靠保障

在中国农业银行的环境中，山石网科万兆高端级下一代防火墙均采用HA部署，实现系统级可靠性，有效保障农行业务连续运行。山石网科万兆高端级下一代防火墙在硬件和软件的稳定性和可靠性均具有最高级别的第三方认证，并且经过农行近两年的运行，表现出极高的运行稳定性。

用户评价

中国农业银行已经上线数百台山石网科万兆高端级下一代防火墙，很多设备已经稳定运行两年，并保证零故障运行。并且性能方面超出预期要求，一定程度方面可以满足未来发展需求。项目实施以来，本次项目已经收到了来自总行数据中心和各地支行发来的感谢信，总计11份。