行业背景

  • 分享到微博
  • 分享到腾讯
  • Share on Twitter

经过二十多年的建设,计算机网络极大的促进了金融企业的业务开展和办公效率提升,成为各个银行、保险,证券等金融企业信息化建设的基石。但近年来,各主流金融企业随着我国金融改革的进行,其纷纷将竞争的焦点集中到服务手段上,不断加大电子化建设投入,扩大计算机网络规模和应用范围。但是,应该看到,随着金融企业网络的不断扩大和延伸,这也给网络的安全带来的来更多的威胁。

合勤科技为了平衡上述矛盾关系提出了一个高效可靠,安全可控,易监控审计的金融行业整体解决方案。

行业背景 | ZyXEL

方案描述

作为金融系统核心,其重要数据必须集中且绝对安全,为金融系统最生要的生产系统提供灾备方案。

接入层:

负责将百兆以太网延伸至各金融机构最终节点或办公室的桌面PC,同时使用千兆线缆将用户的数据汇总至上层汇聚层交换机。接入层采用设备为ZyXEL GS-2024。接入层需要的交换机主要特征是端口密度较大,有高速上行接口,并且处理能力较强。ZyXEL GS-2024是带有24个100/1000M自适应接口和2对千兆SFP接口,SFP包含千兆光电可选的上联接口,,接入层交换机可以视具体情况来选择与上层交换机的连接方式。GS-2024具备50GB的处理能力,同时具有完善的智能化功能,可以配合核心层及汇聚层交换机定制各种安全策略。

汇聚层:

汇聚层使用XGS4528F,处于核心层与接入层之间,当核心层与接入层高效的联合在一起,提供金融系统的网络安全稳定运行。不同于其他产品只能提供中低密度的Combo千兆接入, XGS-4528F将1U机架设计扩充到了极限,提供24个千兆Combo接口, 即24个千兆电口,24个千兆光口。该技术突破大大增加了汇聚层交换机在布网时的灵活性,同时也为维护人员带来管理方面的便利性。XGS-4528F背板提供了一个上联模块插槽,可插入万兆交换模块EM-422。EM-422带有两个10G XFP接口,可供上联或级联使用。该特性让整个网络汇聚层具备了更好的扩充性与灵活性。

核心层:

全网的核心交换设备,连接所有接入层交换机的千兆光纤线路,同时连接千兆防火墙以及内部服务器。核心层采用设备为ZyXEL MS-7206,MS-7206为大型机箱式交换机,设有6个卡板槽位,其中主控卡为双卡热备,并支持主控负载均衡,阻塞率为1:1。I/O线路卡提供多种可选接口,其中包括48POE、48电、24光+24电三种I/O板卡。在本方案中由于接入层交换机均采用光纤上联,因此核心交换机应以光接口为主,辅以部分电接口用于连接各服务器及网管机。除此之外MS-7206还提供双备份电源模块、大功率风扇模块及以太网供电模块,整机最大处理能力达768GB。MS-7206支持分布式交换技术,同一I/O模块的信息交换可以由该模块直接处理而无须经过主控板卡,最大限度的提高了网络通信的效率。

安全网关:

主要负责整个金融专网的安全保护。安全网关选用的产品为USG2000千兆网络防火墙。USG2000是一款面向大型应用的高性能千兆网络防火墙,同时具有防病毒、入侵检测保护、流量异常保护、动态内容过滤、多重VPN、多链路负载均衡、双机热备份等功能。通过USG2000不仅可以使各金融网内部得到很好的保护,免受网络攻击的威胁,还可以控制和监视内部用户的网络行为,如:禁止使用多线程软件或访问非法网站等不良行为,记录内部用户的上网行为并进行统计,实现外部用户的VPN接入访问等,所有安全策略可以根据用户组、IP端口、时间段等特征进行定制,能给予用户最大的策略灵活性,同时也能更好的规范金融网内部的网络秩序和上网环境。

WLAN系统:

WLAN系统使用无线控制器NXC5200与NWA5000系列瘦AP联合组成,通过无线控制器对所有的瘦AP进行统一集中管理的配置,以实现全网的无线连接。无线控制器和瘦AP可以跨L3层通信,因此无线控制器和瘦AP的部署就没有地域的限制。

WLAN系统的优点:

集中配置

这种新的安全无线局域网解决方案是由合勤NXC5200中央控制器和NWA5160N被管理AP组成,被管理AP通过扩展可以达到240个,提供全面的无线覆盖范围。无缝漫游,认证和负载均衡等实时功能在NXC5200上被执行下发到NWA5160N,NWA5160N只作为一个信号转换器。其优点在于只要IP网络可达就可以集中下发配置到被管理的无线AP。

基于区域的可靠保护

移动用户会比固定用户给公司网络带来更严重的威胁。为了解决这个问题, 内置防火墙的NXC5200具有基于区域的数据包状态检查功能,防范来至于移动用户的威胁。此外, 通过可选的基于license的IDP和AV功能, NXC5200可以充当安全网关来保护无线边缘网络。

高性能设计,无需担忧

由于越来越多的带宽受到用户移动设备不断增加的消耗, 因此拥有高带宽的11n产品逐渐被亲睐。合勤科技企业无线控制系统业务功能强大的系统设计保证了设备良好的投资, 由于运用了11n的技术,它可以很好的满足用户高带宽的需求。通过每个AP的数据流量可以被配置成本地桥接和流经NXC5200控制器两中模式,达到更好的数据流量管理。合勤科技企业无线控制系统通过智能的数据转发功能来负载分担网络的流量,同时为用户提供11n的性能。

更好的无线体验

中央统一集中管理方便灵活。为了保证无线局域网接收效果,被管理AP首先需要放置在最合适的位置,当覆盖面不足或传输数据速率很低时无线控制器可以方便的运用周边闲置的被管理AP去解决。合勤科技NXC5200解决方案是一个在大的会客环境为访客提供良好无线服务的商业解决方案。由于各个企业涉及访客和雇员对网络访问需求不同的问题,NXC5200通过内置的SSID来区分不同的业务,有效的隔离内网数据,同时保证了访客的正常网络访问需求,使用户得到更好的无线体验。

强制门户认证

强制门户认证拦截来至所有地址和端口的数据流量直到用户通过了指定的认证页面的身份验证。强制门户认证作为一个附加的安全措施,意味着所有网页请求将都重定向到一个特殊的网页,要求用户输入用户名和密码进行认证,一旦认证成功,用户可以连接到局域网络或互联网。强制门户认证页面上的内容可以根据用户需求定制,如公司标志,背景,或是其他的文字描述等等。强制门户认证提供了一个有效的网络控制功能,可以提高网路的安全。