銀行曾經是一份令人羨慕的職業，高收入、高福利待遇，高穩定性成了銀行的代名詞。如今，這個觀念到了應該變一變的時候，實際上現在銀行全部是商業性銀行，同樣要面臨市場的巨大壓力，現在的銀行不僅要鞏固儲蓄、貸款等傳統業務，還必須拓展服務范圍，也就是說要從他人的田里找飯吃。面對銀證聯網及各類代收代繳業務等中間業務的紛紛推出，此外銀行越來越多地需要借助公網與證券、電信、學校、商場、稅務、政府機關等單位進行外連。在這種復雜的環境下，銀行如何保證網絡系統的安全性就成為了一個的迫在眉睫的話題。對此，中國農業銀行遼寧省分行進行了積極地探索和嘗試。 　　

考慮到中間業務系統涉及不同單位網絡之間的互連，而且傳送的多為金融信息，因此對進入本地網絡的信息必須進行訪問控制，技術上需要使用防火墻功能，我行采用的是防火墻外掛路由器，再與證券等第三方業務相連的方式。 　　

利用防火墻的功能，保護內部工作地址，確定內部地址對應的外部地址，也稱為虛擬地址，通過防火墻上的設置來規定證券方哪些地址可以訪問銀行的哪些虛擬地址，同時銀行的哪些地址可以通過防火墻去訪問證券方的哪些地址。同時，在防火墻上只開放互相傳送數據時需要的端口，沒有使用的端口全部禁止。另外，采用路由器和對方相連，利用路由轉發功能來完成銀行虛擬地址和證券方提供地址間的通信，同時，可以在路由器上增加訪問控制鏈表來限制證券方對銀行不必要訪問。 　　

當使用防火墻將銀行內部網絡和本行支持第三方業務的路由器隔開時，也阻擋了銀行內部的路由協議的傳遞，使得第三方業務的路由器雖然也是本行的路由器，卻只能通過靜態路由來指到銀行內部網絡，且當增加第三方業務的時候，增添新的網段需要改動第三方業務的路由器、防火墻、內網路由器等多條靜態路由，非常的不方便。

以上問題可以采用GRE(通用路由協議封裝)隧道來解決，使得路由協議可以到達防火墻外部的本行路由器，通過內部的路由協議（OSPF、EIGRP）來動態學到新的網段，增加了網絡的靈活性，簡化了配置。 　　

GRE是由Cisco和Net-smiths等公司于1994年提交給IETF的，標記號為RFC1701和RFC1702,目前有多數廠商的網絡設備均支持GRE隧道協議。GRE不僅支持IP協議，而且還支持其他類型的網絡層協議，它允許任何一種協議的數據包作為凈荷封裝在任何其他一種協議的數據包中。 　　

在進行多協議封裝時將要封裝在其他協議數據包中作為凈荷的數據包被稱為凈荷包，封裝其他數據包的外層數據包被稱為傳送包。按照通常的封裝機制，如果M種不同協議的凈荷包里封裝在N種傳送包中要有MXN中的轉換協議來處理這種封裝，在通用路由封裝中則將M種凈荷包封裝進GRE中，然后再把GRE封裝到傳送包中，這種只需要M+N種轉換協議來處理這種封裝。 　　

GRE規定了如何用一種網絡協議去封裝另一種網絡協議的方法，GRE的隧道由兩端的源IP地址和目的IP地址來定義，允許用戶使用IP包封裝IP、IPX、AppleTalk包，并支持全部的路由協議（如RIP2、OSPF等）。通過GRE，用戶可以利用公共IP網絡連接IPX網絡、AppleTalk網絡，還可以使用保留地址進行網絡互連，或者對公網隱藏企業網的IP地址。 　　

利用防火墻的功能，保護我內部工作地址，確定我部內部地址對應的外部地址，也稱為虛擬地址，通過防火墻上的設置來規定證券方哪些地址可以訪問哪些虛擬地址，同時銀行的哪些地址可以過防火墻去訪問證券方的哪些地址。同時，在防火墻上只開放互相傳送數據時需要的端口，沒有使用的端口全部禁止。另外，采用路由器和對方相連，利用路由器的路由轉發功能來完成銀行的虛擬地址和證券方提供的地址間的通信，同時，可以在路由器上增加訪問控制鏈表來限制證券方對我部不必要的訪問。

【編輯推薦】

1. GRE：通用路由封裝