压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

客戶背景

隨著金融企業(yè)多渠道服務(wù)的拓展，越來越多的服務(wù)及業(yè)務(wù)應(yīng)用需要通過互聯(lián)網(wǎng)來進(jìn)行。Internet技術(shù)的快速發(fā)展為廣大用戶獲取廣泛的資訊提供了很大的便利，同時(shí)網(wǎng)絡(luò)中充斥的病毒、木馬也使用戶面臨著更大的使用風(fēng)險(xiǎn)。如何在滿足客戶的服務(wù)需求、保證正常業(yè)務(wù)開展的同時(shí)，進(jìn)行集中有效的風(fēng)險(xiǎn)控制與管理？這是廣大金融企業(yè)目前考慮的重要問題。

客戶關(guān)注點(diǎn)

由于目前金融企業(yè)的互聯(lián)網(wǎng)應(yīng)用非常廣泛，應(yīng)用的高風(fēng)險(xiǎn)性，導(dǎo)致客戶面臨著如下共同的問題：

1）出口散：出口分散，省、地市、網(wǎng)點(diǎn)均有互聯(lián)網(wǎng)出口（專線、私設(shè)代理等）

2）高風(fēng)險(xiǎn)：一機(jī)器多用，病毒、攻擊易從互聯(lián)網(wǎng)引入到內(nèi)網(wǎng)中

3）上網(wǎng)慢：資訊瀏覽速度緩慢，高峰時(shí)間更慢

4）管理難：上網(wǎng)行為難以掌控，無法滿足監(jiān)管部門安全審計(jì)的要求

因此互聯(lián)網(wǎng)應(yīng)用的安全問題為金融企業(yè)客戶IT建設(shè)工作的重中之重。工、農(nóng)、中、建四大商業(yè)銀行均確定了各自的互聯(lián)網(wǎng)出口規(guī)范并進(jìn)行實(shí)施，在充分了解四大商業(yè)銀行互聯(lián)網(wǎng)出口應(yīng)用模式的基礎(chǔ)上，銳捷網(wǎng)絡(luò)總結(jié)出了統(tǒng)一互聯(lián)網(wǎng)出口解決方案。

解決方案描述

在省級網(wǎng)絡(luò)中心建立獨(dú)立的互聯(lián)網(wǎng)接入安全區(qū)，Internet入口放置兩臺IPS入侵防護(hù)系統(tǒng)，對來自公網(wǎng)的各種攻擊進(jìn)行阻斷、告警。在省網(wǎng)絡(luò)中心建立統(tǒng)一的互聯(lián)網(wǎng)出口，如下圖所示：

雙層防火墻中間通過千兆交換機(jī)相連形成了一個(gè)安全緩沖區(qū)，緩沖區(qū)交換機(jī)可以接入上網(wǎng)代理服務(wù)器，上網(wǎng)行為統(tǒng)一安全管理軟件等服務(wù)器。

在設(shè)備的選型上，建議采用銳捷的RG-S5750-48GT/4SFP全千兆線速交換機(jī)作為安全緩沖區(qū)接入設(shè)備。該交換機(jī)具有強(qiáng)大的抗攻擊能力及防arp欺騙能力。防火墻選用銳捷的RG-WALL 1600。

本解決方案特點(diǎn)

1）風(fēng)險(xiǎn)集中、統(tǒng)一出口

為了滿足金融用戶的上網(wǎng)需求，規(guī)范上網(wǎng)統(tǒng)一管理，增強(qiáng)網(wǎng)絡(luò)的安全性，減少從Internet入口流入的病毒或木馬的威脅。必須對金融各一級分支機(jī)構(gòu)Internet出口進(jìn)行整合，在各一級分支機(jī)構(gòu)本部建設(shè)與企業(yè)內(nèi)網(wǎng)邏輯隔離的集中的Internet出口。通過實(shí)施各種網(wǎng)絡(luò)安全防護(hù)和客戶端安全管理措施，滿足銀行各網(wǎng)點(diǎn)網(wǎng)銀業(yè)務(wù)操作及演示、保險(xiǎn)企業(yè)上網(wǎng)進(jìn)行業(yè)務(wù)辦理及各級辦公用戶互聯(lián)訪問需求。實(shí)現(xiàn)風(fēng)險(xiǎn)集中控制，管理上收。

2）多層防御、安全緩沖

處在網(wǎng)絡(luò)最外層的是雙IPS，同時(shí)具備檢測和防御功能IPS 不僅能檢測攻擊還能阻止攻擊， 做到檢測和防御兼顧，而且是在入口處就開始檢測， 而不是等到進(jìn)入內(nèi)部網(wǎng)絡(luò)后再檢測，這樣，檢測效率和內(nèi)網(wǎng)的安全性都大大提高。

內(nèi)外層防火墻建議采用兩家不同廠商的設(shè)備，異構(gòu)防火墻設(shè)備大大增強(qiáng)了網(wǎng)絡(luò)的安全穩(wěn)固程度。當(dāng)?shù)谝粚臃阑饓σ馔獗还テ茣r(shí)，增加了攻破第二層防火墻的難度。由于是省內(nèi)機(jī)構(gòu)上Internet唯一的出口，這就要求防火墻必須具備先進(jìn)的數(shù)據(jù)包狀態(tài)檢測功能及強(qiáng)大的數(shù)據(jù)處理能力，這樣可以保證防火墻不會成為瓶頸；而且海量日志分析、壓縮、儲存也至關(guān)重要。這樣便于日常的維護(hù)與管理。

從職責(zé)分工上來看，IPS主要偏重于攻擊檢測與防護(hù)，而防火墻則偏重于訪問控制，兩者可以很好地互為補(bǔ)充。大大提高Internet入口的安全防護(hù)能力。

3）資源有限、精細(xì)管理

由于金融網(wǎng)點(diǎn)的互聯(lián)網(wǎng)訪問數(shù)據(jù)需通過三級網(wǎng)和二級骨干網(wǎng)訪問位于一級分支機(jī)構(gòu)的代理服務(wù)器，因此網(wǎng)點(diǎn)到二級分支機(jī)構(gòu)的三級網(wǎng)、二級分支機(jī)構(gòu)到省網(wǎng)絡(luò)中心的二級骨干網(wǎng)流量將增大，因此需要對帶寬進(jìn)行必要的擴(kuò)充和控制，有兩種方法，第一：可以考慮增加專業(yè)的流量管理工具來對上網(wǎng)行為進(jìn)行嚴(yán)格的帶寬控制；第二、可以通過上網(wǎng)代理服務(wù)器，關(guān)閉相應(yīng)的服務(wù)端口，然后借助網(wǎng)絡(luò)設(shè)備的QOS能力，保證有限的線路資源下最大的業(yè)務(wù)應(yīng)用。對具體實(shí)施方法如下文所述。三級接入網(wǎng)帶寬考慮對銀行用戶來說，考慮到網(wǎng)點(diǎn)網(wǎng)銀自助服務(wù)機(jī)訪問網(wǎng)站有限，且IE瀏覽器本身存在緩存機(jī)制，每個(gè)終端考慮提供60K的訪問帶寬，每個(gè)網(wǎng)點(diǎn)設(shè)計(jì)4臺終端，需要增加240K的實(shí)際流量。

對保險(xiǎn)用戶來說，統(tǒng)一核保核賠業(yè)務(wù)集中上收省公司，增加了大量的圖片信息的傳輸，鑒于網(wǎng)點(diǎn)的PC數(shù)量也相對較少，除生產(chǎn)、OA業(yè)務(wù)以外，僅瀏覽網(wǎng)頁信息而言，每終端60K的流量也基本能滿足需求。

綜合上述，初步預(yù)計(jì)，金融網(wǎng)點(diǎn)使用2M線路基本能滿足要求。增加二級骨干網(wǎng)的帶寬 由于下級機(jī)構(gòu)需要訪問位于省一級網(wǎng)絡(luò)中心的代理服務(wù)器，這個(gè)數(shù)據(jù)流和內(nèi)網(wǎng)其他業(yè)務(wù)數(shù)據(jù)流帶寬占用方向一致，因此需要進(jìn)一步確定每個(gè)用戶數(shù)和訪問特性，對二級骨干網(wǎng)線路進(jìn)行一定的擴(kuò)容。建議給每個(gè)二級機(jī)構(gòu)至少增加2M的帶寬。Qos設(shè)計(jì)相比內(nèi)網(wǎng)核心業(yè)務(wù)來言，訪問互聯(lián)網(wǎng)的應(yīng)用需求應(yīng)為最低，即可將訪問數(shù)據(jù)流配置到最低優(yōu)先級的default的隊(duì)列中，以避免在網(wǎng)絡(luò)發(fā)生擁塞情況下對其他高優(yōu)先級業(yè)務(wù)的影響。

4）統(tǒng)一規(guī)劃、嚴(yán)格控制

·信任站點(diǎn)管理：根據(jù)企業(yè)內(nèi)部的管理規(guī)定，對OA用戶需通過Internet進(jìn)行業(yè)務(wù)處理需要訪問的站點(diǎn)列表。各科室、部門用戶的需求不一樣，可能有多個(gè)信任站點(diǎn)列表。

·上網(wǎng)用戶規(guī)劃管理：上網(wǎng)代理服務(wù)器通過配置防火墻策略實(shí)現(xiàn)對內(nèi)部用戶訪問外網(wǎng)的控制。部分企業(yè)采用的Windows AD的方式進(jìn)行應(yīng)用層面的準(zhǔn)入管理，這樣可以根據(jù)客戶端的IP地址和用戶認(rèn)證來作為策略匹配條件，將用戶進(jìn)行分組，指定組成員，并最終確定這些用戶都有什么樣的上網(wǎng)權(quán)限。

·上網(wǎng)機(jī)器規(guī)劃管理：堅(jiān)決避免上和Internet有連接的機(jī)器同時(shí)上內(nèi)網(wǎng)生產(chǎn)網(wǎng)絡(luò)。

·上網(wǎng)行為管理