一、用戶概況描述

中國建設銀行股份有限公司是一家在中國市場處于領先地位的股份制商業銀行，為客戶提供全面的商業銀行產品與服務。截至2006年底，本行的總資產達人民幣54485.11億元，貸款總額達人民幣28736.09億元，存款總額達人民幣47212.56億元。

中國建設銀行營銷網絡覆蓋全國的主要地區，設有約 13629家分支機構，在 香港、新加坡、法蘭克福、約翰內斯堡、東京和首爾設有海外分行，在紐約和倫 敦設有代表處。本行的子公司包括中國建設銀行(亞洲)股份有限公司(原美國銀行(亞洲)有限公司)、中國建設銀行(亞洲)有限公司、中德住房儲蓄銀行 和建信基金管理公司。

2007年3月，在美國《福布斯》公布的 2007年全球上市公司 2000強排行 榜中，中國建設銀行位列第69位。

中國建設銀行總行ServerFarm區域是建行核心服務器集群，大量業務均需要與ServerFarm內服務器通信。

ServerFarm區與各省市分行、數據中心、網上銀行等內外網絡相連。

目前 ServerFarm分為核心區、Intranet 區、集成區、OA 區、測試區等七個 區域，各業務區又基本分為 Web服務層、應用程序層、數據庫層三個層次。 ServerFarm安全建設項目從2005年啟動，目前進行至第三期，已經完成了核心區、Intranet 區、集成區、測試區等區域的部署。

二、用戶安全需求

1.ServerFarm區域是整個業務系統的核心，絕大多數的業務服務器都存放在這個區域，是黑客入侵的重點。

2.向外通過光纖連接到各省分行、數據中心及網上銀行，是整個網絡的樞紐，很容易成為安全和性能的瓶頸。

3.外聯單位眾多，對防火墻的端口數量有較高要求。

4.由于所有業務數據都要通過安全設備，對性能的要求極高。Intranet 區和Integration 區AP層和DB層之間數據傳輸量極大，要求防火墻線速轉發。

5.業務系統需要365×24的服務，對網絡的高可用性要求極高。

6.由于IP網段眾多，而且各業務系統服務器數量眾多，IP 地址規范比較特殊，(如*.*.151.*等),需要安全設備具有很強的網絡適應能力和策略路由功能。策略的條數很多，對防火墻在多條策略的情況下的性能有較大的考驗。

三、推薦解決方案

1.在核心區出口處部署2臺FortiGate，形成HA結構。

在Intranet 區和集成區的應用層和數據庫層之間各部署2臺 FortiGate，形成 HA結構。

FortiGate本身就具有冗余電源和風扇，保證了設備的可靠性，通過HA集群的部署更可以保證3秒鐘內進行故障切換，且所有會話均可自動同步并在切換時得以保持，確保網絡的全天候不間斷運行。

FortiGate在建行運行了2年多時間，除了每年的例行維護重啟外，從未發生意外重啟或其它不穩定故障，確保了365×24的高可靠性。

2.部署的FortiGate處理卡采用網絡處理器和內容處理器雙芯片加速，保證了高吞吐能力，可以實現所有大小包地線速轉發。核心區的FortiGate使用了防火墻、IPS 功能，并添加了近1000條防火墻策略，仍然沒有對網絡性能造成任何影響。

3.使用FortiGate可以實現類似*.*.151-161.*的wildcard子網掩碼的定義，很好的滿足建設銀行對于安全策略定制的需求。FortiGate 的策略路由功能可以很方便的根據源地址、目標地址、端口等參數選擇下一條路徑，而且添加了 數十條策略路由之后也沒有對網絡性能產生影響。

4.在網絡中部署了FortiAnalyzer一臺，收集所有FortiGate日志， 并定期生成圖形報表，以便及時直觀的掌握網絡安全狀況。

5.另外在測試區中采用了4臺FortiGate進行業務測試。