首 页 | 关于我们 | 产品中心 | 成功案例 | 新闻中心 | 客户留言 | 联系我们 | 人才招聘  
产品分类
CISCO--交换机
Ruijie--交换机
CISCO--路由器
Ruijie--路由器
CISCO--防火墙
Ruijie--无线
CISCO--租赁服务
CISCO--无线
CISCO--电源
CISCO--其它
CISCO--线缆
CISCO--模块
CISCO--维护服务
CISCO--内存-闪存
Ruijie--其它

联系电话: 010-82888852/7052/8652/6486/双休日请拨打销售手机!
传 真: 010-82888652
QQ: 有事点这里有事点这里有事点这里
MSN:
联系地址: 北京海淀区上地信息路2号国际创业园2号院1号楼6A(京公网安备110108003723号)
您现在的位置:康泰北方(北京)科技有限公司 >>

案例1

添加时间: 2010-5-13
案例1

 

金融服务

金融广域网解决方案

1、 数据加密及VPN:各个营业网点及下级网络一般都是通过专用广域网链路和上级网络互联,这在一定程度上能保证金融业务数据的安全。但是,现在的金融网络已经不是一个完全封闭的网络,而是一个部分开放性的网络,它需要和别的金融网络或者其它外部网络互联,这在一定程度上减弱了网络的安全性。为了保证本网络业务数据的安全,就需要对数据进行加密传输,这样既是数据被窃取也不会造成威胁。IPSec协议是目前最成熟、最安全的数据加密协议,它是在正常的数据通道中建立一个封闭的、加密的安全隧道,因而能保证网络数据的安全,IPSec是VPN中最重要的安全加密技术。NetHammer系列路由器全面支持IPSec及VPN,并支持硬件加密,能充分保证金融业务数据的安全。

2、 防火墙访问控制保证网络核心安全:当金融网络需要和别的外部网络互连时,需要将网络置于防火墙的保护之内。在防火墙之外,用一个安全接入网关对外部网络进行隔离。可以使用VPN、IPSec等安全技术保护网络安全之外,还可以使用地址隐藏(NAT)、访问控制列表等安全技术进一步保证网络的安全。

3、 路由认证:网络中心与各网点间互联的路由器在进行路由信息交换时,需要进行路由认证,以防止路由被扩散到非法的地方以及遭受非法路由的攻击。

4、 用VLAN对不同的业务进行隔离:金融网络中存在多种业务,如会计、清算、验印系统、办公自动化、自动提款机ATM等。要实现这种多网的统一互联,同时又要保证各种个网络,如清算、验印系统等的安全,除了通过加密、签名等手段避免数据泄漏和窜改外,在局域网上应该采用VLAN技术进行,将不同业务网的设备放置在不同的VLAN中进行物理隔离,彻底避免各网之间的不必要的任意相互访问。另外,为保证业务主机及数据的安全,不允许办公网及业务网间的无控制互访,应在进行VLAN划分的三层交换机内或者路由器内设置访问控制列表(ACL),通过VLAN,区分办公网与不同业务网,并对这些网络之间的互访进行严格的控制。

5、 CallBack和主叫识别:对于拨号备份的连接,需要采用CALLBACK技术保证拨号接入的安全性;而对于采用ISDN备份的方案还可以采用识别主叫号码认证的办法。对于进行拨号接入的用户,还可以采用PAP/CHAP及RADIUS协议对用户身份进行认证。


金融局域网安全解决方案

   在前面介绍金融广域网的安全解决方案中,我们提到在金融的广域网中传输的是资金、账号和密码等重要信息,所以必须要确保数据安全可靠地传输。这个要求在局域网中同样非常重要。对于不同的用户和不同的应用应采取隔离的方法或控制权限的方法实现安全策略。

1、虚拟局域网(VLAN)

   金融营业厅局域网平台中运行着多种应用和多种级别的用户,它们对安全的要求都不相同,采用虚拟局域网技术可以将这些用户和应用分类实现安全性策略。虚拟局域网,即VLAN,它依靠依靠用户的逻辑设定将原来物理上互联的一个局域网络划分为多个虚拟网段,划分的依据可以为设备所连的端口、用户节点的MAC地址等。划分的结果使得同一虚网内数据可自由通讯,而不同虚网间的数据交流则需要通过路由来完成。

  划分VLAN具备以下安全性好处:

  提高安全性—不同VLAN的数据不能自由交流,需要接受路由器的检验,因此在一定程度上加强了虚网间的隔离,有效防止外部用户入侵。

  隔离广播信息-一个VLAN内节点发送的广播信息不会被转发到其它VLAN上去。

2、 交换机端口绑定

  端口绑定的安全性将一个端口和一个MAC地址或IP地址建立绑定,只有这个MAC地址或IP地址才可以传输信息,防止非法用户接入。

3、 端口访问控制技术802.1x

  802.1x协议是由IEEE定义的,用于以太网和局域网中的端口访问与控制。该协议
定义了认证和授权,可以用于局域网,也可以用于城域网。802.1x引入了PPP协议定义的扩展认证协议EAP。传统的PPP协议采用PAP/CHAP或Microsoft的MS-CHAP认证方式,它们都是基于用户名/口令或Challenge/Response(对口令加密)方式,而作为扩展认证协议,EAP可以采用更多的认证机制,比如MD5,一次性口令,智能卡,公共密钥等等,从而提供更高级别的安全。

  

4、 三层受控互访ACL

  通过访问控制列表ACL可以对局域网内的各种应用实施各种访问控制策略。

5、 用户带宽控制
  三/四层智能交换机支持七层流控制,可对用户带宽进行精确控制,能有效地防止网络攻击。

6、智能树安全管理

  结合三层SNMP管理协议,可以对全网的网络设备实施管理,可以管理到二层交换机的每一个端口、VLAN,能实时监控网络状态、定性定量分析网络流量和性能,对非法用户访问和非法流量可以通过MAC等信息追查到非法端口,并安全控制关闭端口。

首 页 | 关于我们 | 产品展示 | 成功案例 | 新闻动态 | 客户留言 | 联系我们 | 诚聘英才

京ICP备11000082 手机:18001316128 地址:北京海淀区上地信息路2号国际创业园2号院1号楼6A(京公网安备110108003723号) 技术支持:华昊网络