金融行業統一互聯網出口解決方案
責編:cnetsec |2015-04-21 11:32:40客戶背景
隨著金融企業多渠道服務的拓展,越來越多的服務及業務應用需要通過互聯網來進行。Internet技術的快速發展為廣大用戶獲取廣泛的資訊提供了很大的便利,同時網絡中充斥的病毒、木馬也使用戶面臨著更大的使用風險。如何在滿足客戶的服務需求、保證正常業務開展的同時,進行集中有效的風險控制與管理?這是廣大金融企業目前考慮的重要問題。
客戶關注點
由于目前金融企業的互聯網應用非常廣泛,應用的高風險性,導致客戶面臨著如下共同的問題:
1)出口散:出口分散,省、地市、網點均有互聯網出口(專線、私設代理等)
2)高風險:一機器多用,病毒、攻擊易從互聯網引入到內網中
3)上網慢:資訊瀏覽速度緩慢,高峰時間更慢
4)管理難:上網行為難以掌控,無法滿足監管部門安全審計的要求
因此互聯網應用的安全問題為金融企業客戶IT建設工作的重中之重。工、農、中、建四大商業銀行均確定了各自的互聯網出口規范并進行實施,在充分了解四大商業銀行互聯網出口應用模式的基礎上,銳捷網絡總結出了統一互聯網出口解決方案。
解決方案描述
在省級網絡中心建立獨立的互聯網接入安全區,Internet入口放置兩臺IPS入侵防護系統,對來自公網的各種攻擊進行阻斷、告警。在省網絡中心建立統一的互聯網出口,如下圖所示:
雙層防火墻中間通過千兆交換機相連形成了一個安全緩沖區,緩沖區交換機可以接入上網代理服務器,上網行為統一安全管理軟件等服務器。
在設備的選型上,建議采用銳捷的RG-S5750-48GT/4SFP全千兆線速交換機作為安全緩沖區接入設備。該交換機具有強大的抗攻擊能力及防arp欺騙能力。防火墻選用銳捷的RG-WALL 1600。
本解決方案特點
1)風險集中、統一出口
為了滿足金融用戶的上網需求,規范上網統一管理,增強網絡的安全性,減少從Internet入口流入的病毒或木馬的威脅。必須對金融各一級分支機構Internet出口進行整合,在各一級分支機構本部建設與企業內網邏輯隔離的集中的Internet出口。通過實施各種網絡安全防護和客戶端安全管理措施,滿足銀行各網點網銀業務操作及演示、保險企業上網進行業務辦理及各級辦公用戶互聯訪問需求。實現風險集中控制,管理上收。
2)多層防御、安全緩沖
處在網絡最外層的是雙IPS,同時具備檢測和防御功能IPS 不僅能檢測攻擊還能阻止攻擊, 做到檢測和防御兼顧,而且是在入口處就開始檢測, 而不是等到進入內部網絡后再檢測,這樣,檢測效率和內網的安全性都大大提高。
內外層防火墻建議采用兩家不同廠商的設備,異構防火墻設備大大增強了網絡的安全穩固程度。當第一層防火墻意外被攻破時,增加了攻破第二層防火墻的難度。由于是省內機構上Internet唯一的出口,這就要求防火墻必須具備先進的數據包狀態檢測功能及強大的數據處理能力,這樣可以保證防火墻不會成為瓶頸;而且海量日志分析、壓縮、儲存也至關重要。這樣便于日常的維護與管理。
從職責分工上來看,IPS主要偏重于攻擊檢測與防護,而防火墻則偏重于訪問控制,兩者可以很好地互為補充。大大提高Internet入口的安全防護能力。
3)資源有限、精細管理
由于金融網點的互聯網訪問數據需通過三級網和二級骨干網訪問位于一級分支機構的代理服務器,因此網點到二級分支機構的三級網、二級分支機構到省網絡中心的二級骨干網流量將增大,因此需要對帶寬進行必要的擴充和控制,有兩種方法,第一:可以考慮增加專業的流量管理工具來對上網行為進行嚴格的帶寬控制;第二、可以通過上網代理服務器,關閉相應的服務端口,然后借助網絡設備的QOS能力,保證有限的線路資源下最大的業務應用。對具體實施方法如下文所述。三級接入網帶寬考慮對銀行用戶來說,考慮到網點網銀自助服務機訪問網站有限,且IE瀏覽器本身存在緩存機制,每個終端考慮提供60K的訪問帶寬,每個網點設計4臺終端,需要增加240K的實際流量。
對保險用戶來說,統一核保核賠業務集中上收省公司,增加了大量的圖片信息的傳輸,鑒于網點的PC數量也相對較少,除生產、OA業務以外,僅瀏覽網頁信息而言,每終端60K的流量也基本能滿足需求。
綜合上述,初步預計,金融網點使用2M線路基本能滿足要求。增加二級骨干網的帶寬 由于下級機構需要訪問位于省一級網絡中心的代理服務器,這個數據流和內網其他業務數據流帶寬占用方向一致,因此需要進一步確定每個用戶數和訪問特性,對二級骨干網線路進行一定的擴容。建議給每個二級機構至少增加2M的帶寬。Qos設計相比內網核心業務來言,訪問互聯網的應用需求應為最低,即可將訪問數據流配置到最低優先級的default的隊列中,以避免在網絡發生擁塞情況下對其他高優先級業務的影響。
4)統一規劃、嚴格控制
·信任站點管理:根據企業內部的管理規定,對OA用戶需通過Internet進行業務處理需要訪問的站點列表。各科室、部門用戶的需求不一樣,可能有多個信任站點列表。
·上網用戶規劃管理:上網代理服務器通過配置防火墻策略實現對內部用戶訪問外網的控制。部分企業采用的Windows AD的方式進行應用層面的準入管理,這樣可以根據客戶端的IP地址和用戶認證來作為策略匹配條件,將用戶進行分組,指定組成員,并最終確定這些用戶都有什么樣的上網權限。
·上網機器規劃管理:堅決避免上和Internet有連接的機器同時上內網生產網絡。
·上網行為管理
上一篇:金融行業全局安全網絡解決方案