金融行业统一互联网出口解决方案
客户背景
随着金融企业多渠道服务的拓展,越来越多的服务及业务应用需要通过互联网来进行。Internet技术的快速发展为广大用户获取广泛的资讯提供了很大的便利,同时网络中充斥的病毒、木马也使用户面临着更大的使用风险。如何在满足客户的服务需求、保证正常业务开展的同时,进行集中有效的风险控制与管理?这是广大金融企业目前考虑的重要问题。
客户关注点
由于目前金融企业的互联网应用非常广泛,应用的高风险性,导致客户面临着如下共同的问题:
1)出口散:出口分散,省、地市、网点均有互联网出口(专线、私设代理等)
2)高风险:一机器多用,病毒、攻击易从互联网引入到内网中
3)上网慢:资讯浏览速度缓慢,高峰时间更慢
4)管理难:上网行为难以掌控,无法满足监管部门安全审计的要求
因此互联网应用的安全问题为金融企业客户IT建设工作的重中之重。工、农、中、建四大商业银行均确定了各自的互联网出口规范并进行实施,在充分了解四大商业银行互联网出口应用模式的基础上,锐捷网络总结出了统一互联网出口解决方案。
解决方案描述
在省级网络中心建立独立的互联网接入安全区,Internet入口放置两台IPS入侵防护系统,对来自公网的各种攻击进行阻断、告警。在省网络中心建立统一的互联网出口,如下图所示:
双层防火墙中间通过千兆交换机相连形成了一个安全缓冲区,缓冲区交换机可以接入上网代理服务器,上网行为统一安全管理软件等服务器。
在设备的选型上,建议采用锐捷的RG-S5750-48GT/4SFP全千兆线速交换机作为安全缓冲区接入设备。该交换机具有强大的抗攻击能力及防arp欺骗能力。防火墙选用锐捷的RG-WALL 1600。
本解决方案特点
1)风险集中、统一出口
为了满足金融用户的上网需求,规范上网统一管理,增强网络的安全性,减少从Internet入口流入的病毒或木马的威胁。必须对金融各一级分支机构Internet出口进行整合,在各一级分支机构本部建设与企业内网逻辑隔离的集中的Internet出口。通过实施各种网络安全防护和客户端安全管理措施,满足银行各网点网银业务操作及演示、保险企业上网进行业务办理及各级办公用户互联访问需求。实现风险集中控制,管理上收。
2)多层防御、安全缓冲
处在网络最外层的是双IPS,同时具备检测和防御功能IPS 不仅能检测攻击还能阻止攻击, 做到检测和防御兼顾,而且是在入口处就开始检测, 而不是等到进入内部网络后再检测,这样,检测效率和内网的安全性都大大提高。
内外层防火墙建议采用两家不同厂商的设备,异构防火墙设备大大增强了网络的安全稳固程度。当第一层防火墙意外被攻破时,增加了攻破第二层防火墙的难度。由于是省内机构上Internet唯一的出口,这就要求防火墙必须具备先进的数据包状态检测功能及强大的数据处理能力,这样可以保证防火墙不会成为瓶颈;而且海量日志分析、压缩、储存也至关重要。这样便于日常的维护与管理。
从职责分工上来看,IPS主要偏重于攻击检测与防护,而防火墙则偏重于访问控制,两者可以很好地互为补充。大大提高Internet入口的安全防护能力。
3)资源有限、精细管理
由于金融网点的互联网访问数据需通过三级网和二级骨干网访问位于一级分支机构的代理服务器,因此网点到二级分支机构的三级网、二级分支机构到省网络中心的二级骨干网流量将增大,因此需要对带宽进行必要的扩充和控制,有两种方法,第一:可以考虑增加专业的流量管理工具来对上网行为进行严格的带宽控制;第二、可以通过上网代理服务器,关闭相应的服务端口,然后借助网络设备的QOS能力,保证有限的线路资源下最大的业务应用。对具体实施方法如下文所述。三级接入网带宽考虑对银行用户来说,考虑到网点网银自助服务机访问网站有限,且IE浏览器本身存在缓存机制,每个终端考虑提供60K的访问带宽,每个网点设计4台终端,需要增加240K的实际流量。
对保险用户来说,统一核保核赔业务集中上收省公司,增加了大量的图片信息的传输,鉴于网点的PC数量也相对较少,除生产、OA业务以外,仅浏览网页信息而言,每终端60K的流量也基本能满足需求。
综合上述,初步预计,金融网点使用2M线路基本能满足要求。增加二级骨干网的带宽 由于下级机构需要访问位于省一级网络中心的代理服务器,这个数据流和内网其他业务数据流带宽占用方向一致,因此需要进一步确定每个用户数和访问特性,对二级骨干网线路进行一定的扩容。建议给每个二级机构至少增加2M的带宽。Qos设计相比内网核心业务来言,访问互联网的应用需求应为最低,即可将访问数据流配置到最低优先级的default的队列中,以避免在网络发生拥塞情况下对其他高优先级业务的影响。
4)统一规划、严格控制
·信任站点管理:根据企业内部的管理规定,对OA用户需通过Internet进行业务处理需要访问的站点列表。各科室、部门用户的需求不一样,可能有多个信任站点列表。
·上网用户规划管理:上网代理服务器通过配置防火墙策略实现对内部用户访问外网的控制。部分企业采用的Windows AD的方式进行应用层面的准入管理,这样可以根据客户端的IP地址和用户认证来作为策略匹配条件,将用户进行分组,指定组成员,并最终确定这些用户都有什么样的上网权限。
·上网机器规划管理:坚决避免上和Internet有连接的机器同时上内网生产网络。
·上网行为管理