深信服整體技術(shù)方案中行

第1章項目背 第2章項目需 第3章設(shè)計方 1、全網(wǎng)結(jié) 2、審計設(shè)備管理.......................................................................................................3、AC無線控制 4、無線AP管理.......................................................................................................5、WIFI業(yè)務(wù)推送系統(tǒng)用戶使用流 第4章安全控 第5章職責和業(yè)務(wù)規(guī) 第6章市場推 第1 項目背WIFI業(yè)務(wù)推送系統(tǒng)是隨著網(wǎng)絡(luò)發(fā)展和應(yīng)用而出現(xiàn)的一種銀行業(yè)務(wù)服務(wù)系統(tǒng)，當前智能手持終端和在大眾中已經(jīng)普及，銀行在營業(yè)網(wǎng)點內(nèi)安裝無線AP，給用戶提供免費的WIFI上網(wǎng)服務(wù)，和引導客戶使用銀行，起到推廣銀行和金融產(chǎn)品的作用,可提高用戶滿意度、銀行人氣和。通過WIFI業(yè)務(wù)推送系統(tǒng)可有效的向等候區(qū)的客戶進行銀行的介紹演示和使用，加速銀行的普及率。并且通過對客戶上網(wǎng)內(nèi)容進行數(shù)據(jù)挖掘和統(tǒng)計，分析客戶消費習慣，做更的定制。國外發(fā)達城市銀行已經(jīng)實現(xiàn)了對客戶上網(wǎng)行為和金融行為信息的獲取和分析，確定客戶的資產(chǎn)狀態(tài)和，然后做定制、改良金融產(chǎn)品。另有數(shù)據(jù)分析，營業(yè)網(wǎng)點部署WIFI業(yè)務(wù)推送系統(tǒng)，可分流20%以上前來辦理業(yè)務(wù)的，通過銀行辦理業(yè)務(wù)，平均節(jié)省30%的排隊等候時間。當客戶在等候時，可使用WIFI上網(wǎng)休閑，了解金融產(chǎn)品，分散等待注意力，從而提升客戶滿意度。基于WIFI的業(yè)務(wù)服務(wù)已經(jīng)成為銀行不可或缺的服務(wù)形式，是拓展老客戶吸納新客戶WIFI業(yè)務(wù)推送系統(tǒng)并作為各營業(yè)網(wǎng)點的電子銀行服務(wù)區(qū)出現(xiàn)，實現(xiàn)傳統(tǒng)營業(yè)網(wǎng)點+虛擬銀行網(wǎng)點的營業(yè)方式，即傳統(tǒng)營業(yè)柜臺+銀行+智能終端銀行+的全業(yè)務(wù)服務(wù)模式。第2 項目需中國銀行湖南省分行目前需要在全省范圍署WIFI業(yè)務(wù)推送系統(tǒng)，省行營業(yè)部及其他的具體部署和功能要求如下：軟硬件系統(tǒng)各個部署一臺審計設(shè)備和1-2臺無線AP，實現(xiàn)系統(tǒng)軟硬件基礎(chǔ)定制開發(fā)銀行及相關(guān)資訊推送服務(wù)定制開發(fā)個性化推送服務(wù)：用戶在中行各網(wǎng)點的WEB頁面，用于介紹產(chǎn)品，銀行，中行等，并且可以根據(jù)不同地區(qū)的經(jīng)濟認證：以方便快捷的獲取的方式給用戶提供口令安全控制：審計設(shè)備可實現(xiàn)的過濾，和的阻隔，無線AP設(shè)備可防WIFI，避免用戶接錯WIFI，系統(tǒng)可，具備用戶過濾、帶寬流量保障、系統(tǒng)：審計設(shè)備需要實現(xiàn)通過系統(tǒng)配發(fā)安全策略和檢查工作狀態(tài)，統(tǒng)計流量和各種報表；無線AP需要實現(xiàn)的管理和，保證上網(wǎng)的高可用性；政策規(guī)范：根據(jù)和當?shù)匾?，WIFI業(yè)務(wù)推送系統(tǒng)可對上網(wǎng)用戶進行相應(yīng)的安全控制和行為審計保證和強制合理合法上網(wǎng)并且可六個月的上網(wǎng)日志記錄。第3 整體設(shè)計方全省節(jié)點：WIFI業(yè)務(wù)推送系統(tǒng)需要部署的節(jié)點包括：1個省行營業(yè)部，12個地市行160個A類，300個B類，共計473個網(wǎng)點網(wǎng)點設(shè)備網(wǎng)點各部署1臺審計設(shè)備和1-2臺無線AP作為用戶接入和銀行業(yè)務(wù)省行設(shè)備：省行除了部署WIFI設(shè)備外，還需要部署審計設(shè)備集中管理平臺SC和 AP通過在互聯(lián)網(wǎng)上建立IPsec隧道對轄內(nèi)所有設(shè)備和策略進行管理和配置，并和統(tǒng)計，WIFI系立運行，和我行其他系統(tǒng)不相連；網(wǎng)點帶寬：20M光纖專線，用于WIFI上網(wǎng)帶寬，A類類申請企業(yè)級10M光纖ADSL作為WIFI上網(wǎng)帶寬服的無線控制器屬于軟硬件設(shè)備，除了提供無線AP管理的功能以外還提供了無線用戶接入認證、推送等智能無線管理功能，無需額外的管理。設(shè)備還能為每個網(wǎng)點的深信服AP設(shè)備提供備份無線控制器的功能。SCSC對全網(wǎng)范圍內(nèi)的上網(wǎng)行為管理設(shè)備進行集中式管理，下發(fā)策略和配置，有效降低管理復(fù)雜性。第4 無線接入覆蓋子系統(tǒng)善的營業(yè)廳WLAN覆蓋管理及增值解決方案，主要包含無線用戶接入認證、基于PORTA內(nèi)，確保金融業(yè)務(wù)安金融行業(yè)對承載業(yè)務(wù)的性要求很高，接入、業(yè)務(wù)數(shù)據(jù)、網(wǎng)絡(luò)傳輸各個方面都要進行嚴格的安全保障。深信服無線系統(tǒng)可將金融行業(yè)辦公網(wǎng)和公共無線網(wǎng)絡(luò)，防止用戶侵入內(nèi)網(wǎng)竊取敏感信息，同時對同一無線網(wǎng)絡(luò)下的終端進行二層，保證 802.1x一鍵配置，安全也可以很簡802.1x是公認的擁有較高安全性的一種接入認證方式，但配置步驟過于復(fù)雜，尤其是對于分布在各地的營業(yè)網(wǎng)點ITWeb界面下完成所有802.1x認證接入，同時終端和用戶信息綁定，避免其他終端的接內(nèi)置CA認證，加密傳輸數(shù)高的安全性。深信服金融行業(yè)無線解決方案內(nèi)置CA頒發(fā)中心，無需另外部署一臺證書服務(wù)器或向CA機構(gòu)申請，IT可以用最便捷的方式利用內(nèi)置CA頒發(fā)中心為用戶發(fā)布包括信息及用戶和設(shè)備數(shù)據(jù)在內(nèi)的唯一憑據(jù)，保證辦公設(shè)備的唯一性。終端準入控制，管理更加細MC、終端類型（端、dos移動終端、筆記本電腦、臺式機針對金融行業(yè)的特別需求可設(shè)置只允許銀行的筆記本臺式機以及業(yè)務(wù)終端接入銀辦公網(wǎng)，其他終端設(shè)備接入；對于公共絡(luò)，設(shè)置只允許、平板接入，筆記本電腦接入。多級角色，辦公網(wǎng)絡(luò)更加安用戶、終端類型、接入位置等分配不同的上網(wǎng)權(quán)限和流量策略，保證。杜絕AP，防止“上當受騙深信服無線擁有強大的AP監(jiān)測與功能防止辦公辦事接入到部署的AP中，造成個人信息、重要系統(tǒng)賬號等；同時深信服提供完善的WIPS功能有效杜絕個別使用隨身Wi-FiAD-Hoc等個人熱點為自己或他人建“專屬Wi-Fi，防止他人重要業(yè)務(wù)信息。應(yīng)用層空口資源管控為重要業(yè)務(wù)開辟綠色通應(yīng)用層加速無線辦公快人一無線網(wǎng)絡(luò)通過電磁波在空氣中，往往因為各種因素導致無線吞吐速率、速T/IP協(xié)議棧進行專利技術(shù)優(yōu)化，為金融行業(yè)辦公所使用的eb郵件系統(tǒng)等應(yīng)用在有的無線環(huán)境下傳輸速度提升1.5-4倍，享受如同有線通信穩(wěn)定快速的上網(wǎng)體驗。能推廣的網(wǎng)絡(luò)運營平會的訪客網(wǎng) 、號一鍵收除此之外，通過認證/認證方式的無線網(wǎng)絡(luò)可以幫助金融行業(yè)用戶開啟增值服務(wù)：認證方式收集客戶號碼，后續(xù)可通過深信服內(nèi)置的信息推送平臺向客戶進行節(jié)日問候或推送銀行業(yè)務(wù)等信息；通過認證擴大金融行業(yè)用戶銀行業(yè)務(wù)借力無線輕松時至今日，銀行的操作性、功能性、安全性不斷優(yōu)化，銀行業(yè)務(wù)已逐步成熟，普及銀行業(yè)務(wù)可以將簡單業(yè)務(wù)遷移至端操作而不再需要去銀行排隊，關(guān)鍵是如何推廣銀行。利用深信服為金融行業(yè)搭建的無線網(wǎng)絡(luò)作為，客戶在接入Wi-Fi時被要求安裝銀行客戶端方可使用Wi-Fi，銀行裝機量大幅度得到提升。一次認證連接任意網(wǎng)點自動深信服無線系統(tǒng)解決方案支持客戶在一次認證后，在任意部署了深信服無線的其他既提高客戶體驗同時也節(jié)省金融網(wǎng)點認證費用。頁面推送一觸即深信服無線內(nèi)置靈活的推廣平臺，可上傳個性化設(shè)計頁面，客戶連接無線網(wǎng)絡(luò)時即接收到主推的產(chǎn)品、銀行業(yè)務(wù)登內(nèi)容，幫助銀行進行業(yè)務(wù)擴展。客戶流量分析清晰明深信服無線系統(tǒng)解決方案可針對顧客到店情況，統(tǒng)計總到訪客戶、新到客戶、非首次到訪客戶、新用戶、接入用戶數(shù)、返店率、平均駐留時間等信息，每個銀行網(wǎng)點的客流情況清晰明了的展現(xiàn)在控制器。熱點地圖實時情況直觀掌括無線接入點狀態(tài)、出現(xiàn)用戶、接入用戶、用戶、時時流速、使用流量狀態(tài)等，方便了解每一個網(wǎng)點的狀態(tài)信息，讓網(wǎng)絡(luò)工作不再成為負擔。第5 上網(wǎng)行為管理子系助中行提供一整套的無線網(wǎng)絡(luò)上網(wǎng)行為管理解決方案。這即滿足了安全合規(guī)管理的要求，又提升了IT運維效率，還提升了用戶上網(wǎng)的操作體驗。為了針對不用角色的用戶，避免冒充、權(quán)限等出現(xiàn)，提供即安全又便捷的認證方式，深信服上網(wǎng)行為管理可以提供如下多種認證。員工認證上網(wǎng)行為管理支持本地認證功能包括eb認證用戶名/認證I/M-MC-ey絡(luò)權(quán)限。ACLDAP、Radius、POP3SAM、CAMS等認證計費系統(tǒng)結(jié)合進行認證。當用戶在認證服務(wù)器上進行認證后，AC能夠獲取用戶認證信通過認證功能，AC能夠準確識別上網(wǎng)用戶，從而對該用戶進行上網(wǎng)行為管理，而對于未通過認證的用戶則限制其網(wǎng)絡(luò)權(quán)限。外來訪客認證求。深信服上網(wǎng)行為管理AC提供了認證、 賓接入網(wǎng)絡(luò)后，系統(tǒng)會自動推送出專門針對訪客認證界面。認證，只需要輸入號碼，獲得并輸入后，就可以獲得上網(wǎng)權(quán)限。而且為了簡化用戶操作，與傳統(tǒng)的驗證相比，用戶只需要點擊3次既可完成十分便捷，不需要在瀏覽器和界面來回切換。認證，訪客認證頁面會自動提醒需要關(guān)織的“公眾賬號并發(fā)送上網(wǎng)請求，才能獲得上網(wǎng)權(quán)限。這可以幫助組織推廣社交的粉絲數(shù)量，更好的幫認證，訪客認證頁面會自動彈出一個，只有接待用自己的移動終端掃描，確認同意后，訪客才能獲得上網(wǎng)權(quán)限。而且，為了滿足合規(guī)要求，接待，可以在頁面上備注，便于后續(xù)查找。深信服上網(wǎng)行為管理系統(tǒng)具有千萬級URL庫和國內(nèi)最大的應(yīng)用識別規(guī)則庫，包含1100多種應(yīng)用、2400多種規(guī)則，可識別目前網(wǎng)絡(luò)中各種主流應(yīng)用，如IM聊天、金融、、社區(qū)、網(wǎng)盤、等。同時，ACSSL加密應(yīng)用，如加密郵箱、加密網(wǎng)頁等。通過全面的應(yīng)用度的靈活策BYODAC可以windows、IOS、安卓、phone、pad等類型，還可以識別出用以權(quán)限較多；但在接待區(qū)通過無線網(wǎng)絡(luò)，使用iPad接入網(wǎng)絡(luò)時，只有上網(wǎng)權(quán)限，不移動APP管的APP防止AP，架設(shè)的無線AP應(yīng)用，從而防止帶寬資源的，防止通過AP接入企業(yè)網(wǎng)絡(luò)。，加密應(yīng)用識SSL(SecureSocketLayer)協(xié)議，被廣泛地用于Web瀏覽器與服務(wù)器之間的認。正因為如此，一方面，越來越多的網(wǎng)頁使用SSL加密，如搜索、Gmail、郵箱、甚至，而因為采用了加密技術(shù)，普通的管理產(chǎn)品無法對其內(nèi)容進壇發(fā)布的或者是向外發(fā)送組織的信息，導致管理。深信服上網(wǎng)行為管理系統(tǒng)通過多級父子通道技術(shù)，能夠完全匹配企業(yè)組織架構(gòu)和網(wǎng)絡(luò)應(yīng)用結(jié)構(gòu)。在經(jīng)過用戶和應(yīng)用的通道化后，管理員能夠給不同通道分配不同帶寬。P2PP2P流量，使得業(yè)務(wù)應(yīng)用有足夠的帶寬資源P2P智能流目前，通過封IP、端口等限制“帶寬”P2P應(yīng)用的方式不起作用。加密P2P、非主流P2P、新型P2P工具等讓眾多P2P管理。AC憑借P2P智能識別技目前互聯(lián)網(wǎng)上流行的P2P、流等應(yīng)用程序通常具備帶寬特性，傳統(tǒng)流控是通過緩存和丟包來實現(xiàn)流量控制的目的，但是某些P2P應(yīng)用如P2P流、P2P工具等缺乏自身流控機制，即使被丟包依然不會主動降低速率，仍搶占針對這些問題，AC通過智能流控功能，能有效解決P2P應(yīng)用的問題。雖然基于UDPP2P應(yīng)用對丟包不敏感，但是下行流量與上行流量有顯著的相關(guān)性，只要控AC的智能流控功能時，系統(tǒng)會根據(jù)下行流量的設(shè)定值對上行流量進行自動調(diào)整，從而達到控制和減少下行流量的效果，從處有效限制P2P流量。動態(tài)流量控當帶寬有限時，企業(yè)希望通過限制P2P、流等應(yīng)用來保障郵件、等業(yè)AC提供了動態(tài)流控功能。用戶可通過配置線路空閑閥值，以及定深信服上網(wǎng)行為管理系統(tǒng)不僅記錄內(nèi)網(wǎng)用戶了哪些，使用了哪些應(yīng)用，還能對用戶的上網(wǎng)行為內(nèi)容進行深入審計如社交發(fā)帖內(nèi)容等同時還支持加密網(wǎng)頁和應(yīng)用的內(nèi)容審計，避免錯審漏審，幫助企業(yè)深入的了解員工上網(wǎng)行為。實時AC支持實時功能，可對AC設(shè)備的運行狀態(tài)、安全狀態(tài)、流量狀態(tài)、上網(wǎng)行、用戶管理、郵件延遲審計進行實時。管理員不需要登陸數(shù)據(jù)中心即可實時名、用戶流量。安全狀態(tài)實時匯報內(nèi)網(wǎng)用戶安全情況。在實時應(yīng)用流量界面點擊某一個應(yīng)用即可自動彈出該應(yīng)用流量的用戶情況。實時用戶流量界面可針對單個用戶實現(xiàn)用戶的應(yīng)用流量情況的頁面跳轉(zhuǎn)。此外AC還支持實時連接，顯示用戶的所有會話連接狀況。全面、靈活的應(yīng)用審網(wǎng)頁，內(nèi)網(wǎng)用戶的URL地址、網(wǎng)頁標題、時間等內(nèi)容，AC能夠完全同時，通過網(wǎng)頁快照功能，直觀展現(xiàn)網(wǎng)頁內(nèi)容，便于管 快速查看，對于、社交發(fā)帖不僅能夠根據(jù)關(guān)鍵字進行過濾，發(fā)布的內(nèi)容也能全面記錄，準確還帖內(nèi)容，提高可讀性。SSL加密應(yīng)用，同時，對于經(jīng)過SSL加密的webmail外發(fā)郵件、SSLSMTP/POP3，AC大型機構(gòu)每天產(chǎn)生數(shù)十G日志數(shù)據(jù)，通過AC獨立數(shù)據(jù)中心實現(xiàn)日志海量，而IT部門將統(tǒng)計結(jié)果向匯報。對于發(fā)帖，AC還支持進行熱帖，只準看貼發(fā)帖的靈活管控方式。通過AC數(shù)據(jù)中心的內(nèi)容檢索工具，可以實現(xiàn)類似一樣的內(nèi)容搜索，從海日志中查詢需要的日志記錄，并且支持高級搜索，支持訂閱和自動投遞功能，極第6 上網(wǎng)行為管理設(shè)備集中管理平臺子系為了保證WIFI系統(tǒng)安全和可管理，減少日常工作量，以及各種系統(tǒng)信息的收集統(tǒng)計，SC集中管控設(shè)備需要對各網(wǎng)點的上網(wǎng)行為管理設(shè)備進行和策略配置實時：需要對網(wǎng)點實時信息包括『停止服務(wù)』『過濾條件』『搜索』等相關(guān)模塊。SC中心端的受控設(shè)備狀態(tài)、CPU占用率、磁盤占用率、內(nèi)存占用率、發(fā)送/接收流量、隧道發(fā)送/接收流量、隧道數(shù)等相關(guān)信息，頁面如下：『選擇網(wǎng)點狀態(tài)』：包括、離線兩種狀態(tài)，可以看到區(qū)域里哪些設(shè)備、哪些設(shè)備離線。例如：一個區(qū)域內(nèi)的設(shè)備既有的，又有離線的，則同時勾選[]和[離『搜索』：在搜索框里輸入想要查看的網(wǎng)點對稱，點搜索按鈕，即可看到對應(yīng)網(wǎng)點異常信CPU100%100%等。『選擇網(wǎng)點狀態(tài)』：包括、離線兩種狀態(tài)，可以看到區(qū)域里哪些設(shè)備、哪些設(shè)備離線。例如：一個區(qū)域內(nèi)的設(shè)備既有的，又有離線的，則同時勾選[]和[離網(wǎng)點安全策略管0.0.0.0SC中心端進行過自動升級。頁面如下：拓撲件，正常安裝好控件后，才能正常顯示拓撲只有網(wǎng)點的啟動時，對應(yīng)圖標才會變藍，否則是灰色的。網(wǎng)點紅色表示受控設(shè)備本身DLAN服務(wù)有問題，連接線紅色表示2個受控設(shè)備之間建立 拓撲上的網(wǎng)點位置可以任意拖動，直到形成所的拓撲形狀?！哼x擇網(wǎng)點選擇需要查看哪些網(wǎng)點之間的拓撲圖點擊該按鈕頁面如下第7 用說明，搜尋到無線網(wǎng)絡(luò)的；證和動態(tài)認證；類用戶可以直接通過靜態(tài)的方式登錄使用，可為賬號設(shè)定有效期，過期之后需要到管5、對于認證不通過的用戶回收網(wǎng)絡(luò)權(quán)限6、可根據(jù)用戶分類配置對應(yīng)的策略，如權(quán)限、帶寬權(quán)限、流量和時長控制流程圖如下打開WLAN，選擇BOC-WIFI-HEBEI的無線熱點，如圖打 瀏覽器，打開任 ，會彈出認證界面請認真閱讀免責，確定知曉后勾選“我已閱讀并同意免責所述內(nèi)容。輸入自己的真實號碼，點擊“獲取”，如圖等待收到后，將中的輸入到相應(yīng)的框中，并點擊登陸。 第8 安全控用戶上網(wǎng)安全；2、上網(wǎng)所帶來的風險。用戶上網(wǎng)安全可通過WIFI系統(tǒng)的安全機制實現(xiàn)如下功能防范互聯(lián)網(wǎng)、網(wǎng)絡(luò)、破壞等危害用戶的行為智能防DDoS系統(tǒng)(distributeddenialofservice分布式服務(wù))網(wǎng)絡(luò)準入規(guī)則WEB(互聯(lián)網(wǎng))認證技術(shù)反功能WIFI 接入點檢網(wǎng)絡(luò)中或者有的AP它可以是私自接入到網(wǎng)絡(luò)中的AP未配置的AP、者操作的AP這些AP上面部署了和無線控制上面有相同或是相似的無線網(wǎng)絡(luò)終端用戶接入這些的無線網(wǎng)絡(luò)之后，賬號等一些隱私信息可能會被竊取。配置參數(shù)可以配置需要檢測的、B，其中是進行相似或者相同的檢測，B是進行完全匹配檢測。配置例外是指將或B加入白，不進行加入、反 AD-HocAd-hoc模式，Ad-hoc終端可以不需要任何設(shè)備支有干擾的鄰居B檢B檢測是指檢測到環(huán)境中B地址可能會造成無線終端接入到有的B的AP，會造成網(wǎng)絡(luò)掉線，丟包等不可預(yù)知的情況。泛洪（Flooding能無法處理無線用戶的數(shù)據(jù)報文。啟用泛洪檢測可以識別此類，并自動將發(fā)起攻擊的終端MAC地址添加到，一段時間內(nèi)接入無線網(wǎng)絡(luò)。DDOSDDOS是指借助于客戶/服務(wù)器技術(shù)，將多個計算機作為平臺，對一個或多個目標發(fā)動DoS，從而成倍地提高服務(wù)的。是指者其他設(shè)備/終端的名義發(fā)送報文。例如：無線接入點測可以識別此類，將發(fā)起的終端MAC地址添加到，一段時間內(nèi)接入可通過可通過SNCAP對對APWIFI上網(wǎng)的政策符合記錄并留存用戶登錄和退出時間、主叫號碼、賬號、互聯(lián)網(wǎng)地址或、系統(tǒng)維WIFI180或互聯(lián)網(wǎng)上的風險和WIFI系統(tǒng)本身沒有關(guān)系，推送系統(tǒng)可以保證自身，達到遠高于家庭和普通3G上網(wǎng)的安全要求和符合網(wǎng)監(jiān)的政策；中國銀行網(wǎng)上銀行安全須知.doc（中行中國銀行銀行安全須知.doc（中行中國銀行電子銀行章程.doc（中行WIFI業(yè)務(wù)系統(tǒng)使用免責.doc（WIFI系統(tǒng)第9 深信服方案優(yōu)流量管控與控制的功能達到規(guī)范上網(wǎng)行為、規(guī)避網(wǎng)絡(luò)法律風險、保障用戶上網(wǎng)使同時通過該設(shè)備的功能模塊還可以組建一個全省營業(yè)廳WIFI網(wǎng)絡(luò)的骨干網(wǎng)，即各網(wǎng)點（除省行營業(yè)部外）AP與省行的無線控制器（WAC）（無線用戶的接入認證、管理、推送等等）均通過通道進行傳遞，進一步更重要的一點是上網(wǎng)行為