面向地市的各大銀行無線營(yíng)業(yè)廳管控審計(jì)解決方案

面向地市的所有銀行無線營(yíng)業(yè)廳管控審計(jì)解決方案深信服科技面向地市銀行無線營(yíng)業(yè)廳管控審計(jì)解決方案深信服科技面向地市的所有銀行無線營(yíng)業(yè)廳管控審計(jì)解決方案深信服科技目錄面向地市的所有銀行無線營(yíng)業(yè)廳管控審計(jì)解決方案一、方案拓?fù)?.1拓?fù)洌ǎ〤MNET城域網(wǎng)太原CMNET城域網(wǎng)NE5000E分光器無線控制ACRadius同步流量POE交換機(jī)POE交換機(jī)POE交APAP智能手機(jī)智能手機(jī)智能手機(jī)筆記本電腦筆記本電腦地面向地市的所有銀行無線營(yíng)業(yè)廳管控審計(jì)解決方案1.2拓?fù)洌ǎ㏄面向地市的所有銀行無線營(yíng)業(yè)廳管控審計(jì)解決方案深信服科技二、方案概述能夠通過免費(fèi)的WIFI接入到互聯(lián)網(wǎng)，中國(guó)移動(dòng)山西省分公司為銀行提供了無線覆蓋的解決方案：將每個(gè)地市的銀行營(yíng)業(yè)廳分別部署無線AP，通過POE交換機(jī)供電，統(tǒng)一匯聚于一點(diǎn)，通過無線控制BRAS和城域網(wǎng)接入路由器接入到中國(guó)移動(dòng)互聯(lián)網(wǎng)骨干網(wǎng)CMNET。82例如通過URL黑白名單進(jìn)行控制，防止用戶在銀行提供的免費(fèi)WIFI環(huán)境訪問非由于用戶P2P下載影響了其他用戶的上網(wǎng)體驗(yàn)?？蛻舸蛟炝巳缦碌囊徽臼浇鉀Q方案：網(wǎng)關(guān)、Radius數(shù)據(jù)采集器、區(qū)中心服務(wù)器。在無線控制AC和AP匯聚點(diǎn)之間部署深信服上網(wǎng)行為管理，實(shí)現(xiàn)面向IP的流量管理、行為審計(jì)和URL黑白名單管理功能；同時(shí)，在省級(jí)的Radius數(shù)據(jù)服務(wù)器和網(wǎng)絡(luò)接入服務(wù)BRAS之間，通過分光器分出一路，將Radius數(shù)據(jù)鏡像給深信服Radius采集器一份，用于分析用戶名和IP的對(duì)應(yīng)關(guān)系，并且將對(duì)應(yīng)關(guān)系同步到用于流控、審計(jì)和URL管理的網(wǎng)關(guān)設(shè)備。兩者整合到一起，就可以實(shí)現(xiàn)面向用戶手機(jī)號(hào)碼（用戶名）的流控、審計(jì)和URL管理方案。2.1方案1按照方案拓?fù)洌?）來建設(shè)WLAN網(wǎng)絡(luò)，一個(gè)地市所有的銀行營(yíng)業(yè)廳統(tǒng)一一個(gè)匯聚點(diǎn)，向上匯聚之后訪問核心網(wǎng)絡(luò)CMNET，為了實(shí)現(xiàn)審計(jì)、流控和URL過Radius數(shù)據(jù)采集器，便可實(shí)現(xiàn)面向用戶名（手機(jī)號(hào)）的流控、審計(jì)和URL管理方案。3面向地市的所有銀行無線營(yíng)業(yè)廳管控審計(jì)解決方案深信服科技2.2方案2按照方案拓?fù)洌?）來建設(shè)地市銀行營(yíng)業(yè)廳WLAN，需要針對(duì)不同的銀行提Radius審計(jì)和URL管理方案。三、方案詳述3.1Radius采集器：用戶名（手機(jī)號(hào)碼）和用戶IP的對(duì)應(yīng)關(guān)系關(guān)聯(lián)如圖所示：采用旁路鏡像模式部署，分析從分光器分流過來的Radius流量RadiusRadiusRadius數(shù)據(jù)包中的user-name和framed-ip-address應(yīng)起來，保存在Radius采集器本地。為管理網(wǎng)關(guān)，如圖：4面向地市的所有銀行無線營(yíng)業(yè)廳管控審計(jì)解決方案深信服科技這樣便可以實(shí)現(xiàn)用戶名和IP關(guān)聯(lián)，并且將用戶名信息轉(zhuǎn)發(fā)給部署在每一個(gè)地市的行為管理設(shè)備。3.2行為管理設(shè)備：流控、審計(jì)、URL黑白名單首先實(shí)現(xiàn)面向IP的流控和審計(jì)及URL黑白名單控制，在同步Radius采集器的用戶名和IP的對(duì)應(yīng)關(guān)系，在行為審計(jì)方面，就可以直觀的了解到每一個(gè)用戶的上網(wǎng)行為記錄了。3.2.1流量管理策略。如圖：在全天時(shí)間，所有用戶的下載行為（P2P、下載工具和網(wǎng)絡(luò)流媒體等）的帶寬資源不可超過38.4KB，并且每個(gè)人的下載速度不可超過5KB。P2P應(yīng)用，若不對(duì)這些應(yīng)用加以限制管理，企業(yè)的帶寬資源必會(huì)被搶占，而核心問。因此，企業(yè)需要一種流量管理工具，識(shí)別應(yīng)用流量，對(duì)現(xiàn)有的帶寬進(jìn)行合理的分配。父子通道通過部署，可對(duì)網(wǎng)絡(luò)出口鏈路總帶寬進(jìn)行細(xì)分，采用“基于隊(duì)列的流控5面向地市的所有銀行無線營(yíng)業(yè)廳管控審計(jì)解決方案深信服科技同用戶或者應(yīng)用，在通道中可以限制或保障其帶寬，控制靈活。AC支持多級(jí)父8用戶提供細(xì)致的流量管理手段，使得帶寬分配更靈活、更合理。P2P智能流控IP“帶寬殺手”P2PP2P、非主流P2P、新型P2P工具等讓眾多P2P管理手段形同虛設(shè)。AC憑借P2P智能識(shí)別技術(shù)，不僅識(shí)別和管控常用P2P、加密P2P，還能對(duì)不常見和未來將出現(xiàn)的P2P應(yīng)用加以控制。目前互聯(lián)網(wǎng)上流行的P2P特性，傳統(tǒng)流控手段是通過緩存和丟包手段來實(shí)現(xiàn)流量控制的目的，但是某些P2P應(yīng)用如P2PP2P下載工具等缺乏自身流控機(jī)制，即使被丟包依然不預(yù)期的效果。針對(duì)這些問題，AC通過智能流控功能，能有效解決P2P應(yīng)用的問題。雖然6面向地市的所有銀行無線營(yíng)業(yè)廳管控審計(jì)解決方案深信服科技基于UDP協(xié)議的P2P應(yīng)用對(duì)丟包不敏感，但是下行流量與上行流量有顯著的相關(guān)性，只要控制住上行流量，下行流量就能得到控制。當(dāng)開啟AC的智能流控功減少下行流量的效果，從源頭處有效限制P2P流量。動(dòng)態(tài)流量控制當(dāng)帶寬有限時(shí)，銀行希望通過限制P2P、流媒體等應(yīng)用來保障郵件、訪問網(wǎng)寬資源不足，而其他應(yīng)用的帶寬資源卻處于空閑狀態(tài)，得不到有效利用。針對(duì)此類問題，AC提供了動(dòng)態(tài)流控功能。用戶可通過配置線路空閑閥值，帶寬管理，最大滿足業(yè)務(wù)對(duì)帶寬的需求，實(shí)現(xiàn)帶寬的最大價(jià)值。虛擬線路分配不均，導(dǎo)致部分線路負(fù)荷過重。AC通過虛擬線路技術(shù)，即定義不同的虛擬7面向地市的所有銀行無線營(yíng)業(yè)廳管控審計(jì)解決方案深信服科技線路中結(jié)合父子通道、P2P3.2.2URL黑白名單過濾深信服上網(wǎng)行為管理內(nèi)置千萬級(jí)別URL深信服上網(wǎng)行為管理支持自定義URL內(nèi)容：深信服上網(wǎng)行為管理支持基于URL授權(quán)策略，如圖，建立策略：在全天時(shí)間，所有用戶拒絕訪問成人內(nèi)容的網(wǎng)站信息。8面向地市的所有銀行無線營(yíng)業(yè)廳管控審計(jì)解決方案深信服科技發(fā)帖過濾法律責(zé)任。ACAC可設(shè)置只允許登陸、看帖，但不允許發(fā)帖，或者實(shí)行發(fā)帖關(guān)鍵字過濾，靈活避免企業(yè)中出現(xiàn)泄密或者發(fā)表不良言論帶來法律追究責(zé)任的風(fēng)險(xiǎn)。郵件過濾Email不僅是組織重要的溝通方式之一，同時(shí)也是最常見的泄密方式。AC支/個(gè)數(shù)/大小過濾外發(fā)郵件，對(duì)于將文件修改后綴名、刪除后綴名，或者壓縮、加密后作為Email附件外發(fā)，試圖躲過攔截與審查的行為，AC能夠識(shí)別并進(jìn)行報(bào)警。同時(shí)，對(duì)于所有收發(fā)的webmail、Email郵件AC都可以全面記錄并完整還原原郵件，并通過數(shù)據(jù)中心方便管理員對(duì)郵件日志進(jìn)行查詢、審計(jì)、報(bào)表統(tǒng)計(jì)等操作。文件傳輸過濾行為而用戶對(duì)此茫然無知，有意泄密者甚至?xí)⑼獍l(fā)文件的后綴名修改、刪除，或者加密、壓縮該文件，然后通過HTTP、FTP、Email附件等形式外發(fā)。AC支持管控文件外發(fā)行為，如僅允許用戶從指定的可信的下載站點(diǎn)下載文件而封堵其他站點(diǎn)，基于關(guān)鍵字、文件類型控制上傳/下載行為，封堵QQ/MSN等IM傳文件，允許使用Webmail收郵件而禁止發(fā)送郵件等。其中，僅僅實(shí)現(xiàn)對(duì)件擴(kuò)展名過濾外發(fā)文件、外發(fā)Email也無法應(yīng)對(duì)以上風(fēng)險(xiǎn)。鑒于此AC的文件類綴名，或者加密、壓縮文件文件外發(fā)的行為，AC也能發(fā)現(xiàn)并且告警，保護(hù)企業(yè)的信息資產(chǎn)安全。9面向地市的所有銀行無線營(yíng)業(yè)廳管控審計(jì)解決方案深信服科技3.2.3行為審計(jì)認(rèn)證信息同步（獲取用戶名）Radius采集器的認(rèn)證信息（用戶名和IP的對(duì)應(yīng)關(guān)系）同步到本地設(shè)備。行為審計(jì)WEBBBSWEBMAIL、客戶端MAIL、上傳文本內(nèi)容、微博內(nèi)容、訪問網(wǎng)址、發(fā)表言論、外發(fā)附件等上網(wǎng)行為記錄。由于關(guān)聯(lián)了用戶名和IP的關(guān)系，可以直接對(duì)應(yīng)到用戶名（手機(jī)號(hào)）的上網(wǎng)行為記錄。訪問網(wǎng)站行為記錄10面向地市的所有銀行無線營(yíng)業(yè)廳管控審計(jì)解決方案深信服科技搜索關(guān)鍵字行為記錄在數(shù)據(jù)中心查詢歷史記錄郵件收發(fā)對(duì)于Webmail或郵件客戶端收發(fā)郵件，AC能夠記錄郵件的時(shí)間、發(fā)件人、收件人、標(biāo)題、正文內(nèi)容和附件等，附件內(nèi)容可提供下載做進(jìn)一步審核。11面向地市的所有銀行無線營(yíng)業(yè)廳管控審計(jì)解決方案深信服科技IM聊天對(duì)于MSNGtalk等聊天應(yīng)用，無論是Web版或是桌面版，AC均能詳細(xì)記錄其聊天內(nèi)容。微博論壇面記錄，準(zhǔn)確還原發(fā)帖內(nèi)容，提高可讀性。12面向地市的所有銀行無線營(yíng)業(yè)廳管控審計(jì)解決方案深信服科技3.2.4無線協(xié)議剝離（識(shí)別用戶上網(wǎng)數(shù)據(jù)）AC和AP之間通過隧道封裝來傳輸數(shù)據(jù),例如道協(xié)議剝離來定位數(shù)據(jù)包內(nèi)容部分，進(jìn)一步分析出來用戶上網(wǎng)數(shù)據(jù)的真正內(nèi)容。13面向地市的所有銀行無線營(yíng)業(yè)廳管控審計(jì)解決方案深信服科技3.3面向某個(gè)銀行所有營(yíng)業(yè)廳的個(gè)性化解決方案（一個(gè)銀行&一個(gè)組別）為了實(shí)現(xiàn)X地市每個(gè)銀行（建行、工行、農(nóng)行）的個(gè)性化需求，需要將單個(gè)個(gè)用戶組的URL控制策略和流控策略，可以給每個(gè)銀行提供個(gè)性化的管理需求。深信服為此提供了如下的解決方案：配合山西移動(dòng)提供的表格資料（具體包含：AP_MAC、熱點(diǎn)、AP名稱和NAS_ID14面向地市的所有銀行無線營(yíng)業(yè)廳管控審計(jì)解決方案深信服科技信服品牌上網(wǎng)行為管理設(shè)備上。IP地址：，完成兩者之間的組別和AP之間關(guān)聯(lián)同步。中心服務(wù)器”的AP_MAC信息，上網(wǎng)行為管理通過識(shí)別每一個(gè)AP的MAC地址，將從該AP登錄上網(wǎng)的終端用戶歸屬到該AP，再講所有同類的AP歸屬到同一個(gè)個(gè)銀行所有營(yíng)業(yè)廳的個(gè)性化管理和流控需求。15面向地市的所有銀行無線營(yíng)業(yè)廳管控審計(jì)解決方案深信服科技管理員可以清楚看到每個(gè)組別下屬的具體用戶（Radius采集器截圖）管理員可以清楚看到