• 經典方案
  • 行業方案
H3C金融無線

一、 七層立體安全防護

管理平臺、統一監管

3-7層安全防護

ARP攻擊、MAC/IP欺騙、應用層攻擊方案、用戶流量行為審計

終端準入、權限可控

無線接入安全

7X24頻譜監控,無線安全加密(WPA2/WAPI),非法AP檢測,WIPS

建立空口加密,保障鏈路層安全

由于WLAN的開放式訪問方式,非法用戶可以未經授權而擅自使用網絡資源,不僅會占用寶貴的無線信道資源,增加帶寬費用,降低內部用戶的服務質量,更重要的是會成為金融的安全泄密點,因此利用WLAN進行通信必須具有較高的通信保密能力,目前有多種技術及手段可保證WLAN的安全管理,首先就是建立無線的空口加密機制。主要的方法為對數據報文進行加密,保證只有特定的設備可以對接收到的報文成功解密,其他的設備雖然可以接收到數據報文,但是由于沒有對應的密鑰,無法對數據報文解密,從而實現WLAN數據的安全性保護。

現階段常用的WLAN空口加密標準有WEP(Wired Equivalent Privacy,有線等效保密)、WPA(Wi-Fi Protected Access,Wi-Fi網絡安全存?。?、IEEE 802.11i(WPA2)、WAPI(Wireless LAN Authentication and Privacy Infrastructure,無線局域網鑒別和保密基礎結構,中國WLAN安全強制標準)等。鑒于金融業所需的高安全性,建議使用更健壯的WPA、802.11i或WAPI等安全體系,保障WLAN網絡的鏈路層安全。只要用戶在首次選用WALN網絡時,在AP接入模式上選擇對應的加密算法即可,后續應用中對用戶是透明的,與其他商業環境使用開放、共享的無線網絡感受一樣,既方便又能保障空口安全。

開通企業接入策略,保障網絡層安全

空口加密只是WLAN安全管理的第一步,只是保證了接入無線網絡的空口安全,由于金融客戶采用WLAN主要進行辦公及開展Wi-Fi Portal推送等業務,必須要和生產網隔離開來,因此有必要對WLAN實施企業級的接入控制策略,對每個接入的終端進行認證鑒權,控制其可達網絡的范圍。

對終端用戶實施接入控制策略包含三方面的手段:

熱點用戶隔離

通過限制相同SSID下的接入用戶的互訪,可以保證終端用戶無法在AP接入點上做互訪,而不同SSID下的用戶所對應的是不同的VLAN,因此所有的數據流量必須上行到AC,由AC控制器統一進行轉發、交換和策略控制,從而防止信息進行本地交換而造成網絡性能下降或病毒的泛濫等安全事件。

用戶接入認證

通過用戶接入認證實現對接入用戶的身份認證,為網絡服務提供安全保護。常用的無線接入認證主要有802.1X接入認證、MAC接入認證以及有線網絡常用的Portal認證和PPPoE認證等。

動態控制用戶權限

接入認證只解決了用戶的身份驗證問題,而無法對不同身份的用戶提供不同等級的服務和訪問權限,通過和Radius策略服務器配合,將帶寬、VLAN、ACL、優先級等參數動態下發給終端用戶,對于不同的用戶群和業務可以控制其訪問網絡的權限,限制網絡資源的使用,通過VLAN和優先級來標識用戶和業務,并做到業務隔離。

對于內部辦公的用戶,必要時可部署終端準入控制(EAD)解決方案,通過增強的Radius策略服務器與無線客戶端、WLAN設備和第三方軟件配合,對接入WLAN網絡的用戶終端強制實施企業安全策略,比如是否正確安裝殺毒軟件、版本是否正確,操作系統是否安裝了最新的補丁,是否安裝了一些違規軟件等,嚴格控制終端用戶的網絡使用行為,加強WLAN網絡的主動防御能力。

另外,再配合Rogue AP檢測功能,AC無線控制器可以識別并屏蔽所有非法接入的AP設備,從而確保了無線網絡私搭亂建的威脅。通過以上方案,WLAN網絡可以保證一個合法的用戶被限定到一個唯一的網絡訪問路徑中,并在這個網絡中只能訪問到限定的網絡資源,同時又不會受到外界的侵犯,保證了WLAN網絡在金融行業應用的端到端安全。但是金融機構是一個分布廣、人員多的大型企業,WLAN規模部署不同于單點建設,安全策略如何便捷、快速、統一的部署變得更為重要,否則即使再安全的方案,也難免存在漏洞。

因此,近兩年不僅僅是WLAN網絡,甚至是整個IT的運維管理機制已和安全問題受到同等的關注。WLAN網絡"三分靠建、七分靠管",要充分發揮WLAN的作用,使WLAN能夠提供高效、可靠的業務,功能強大的網絡管理應成為WLAN的重要組成部分,無線網絡直接面對最終用戶,對管理系統穩定性、實時性、有效性要求都較高。

二、 可靠網絡、保障業務永續運營

金融業務對于可靠性的要求遠大于其他行業,任何一次網絡中斷都可能造成巨大損失。從而要求了金融業務的永續性。而無線網絡部署模式從FAT模式到FIT模式的轉變,固然帶來了管理運維簡化,三層漫游等便利,也使得AP高度集中,由無線控制器統一管理,一旦發生故障將導致大部分無線網絡癱瘓,雖然可以開啟AP本地轉發功能,但此時無線網絡僅承擔轉發功能,其他功能的缺失將造成網絡安全隱患。

為了解決此弊端,H3C無線控制器可實現 DHCP,PORTAL熱備,當無線控制發生故障時,備份無線控制器將第一時間感知到,并同步復制AP信息,用戶信息,當備份控制器將直接接管無線網絡后,由于主備倒換時間非常短,用戶側無感知,也不需要重新認證,即可繼續使用無線網絡,以保障業務永續運行。

三、 靈活接入,智能辦公

智能終端的大量普及,使其與我們生活已然密不可分,金融行業也不例外;在網點我們會見到各種各樣的體驗機,大堂經理們會拿著IPAD進行產品演示;無線的便捷,快速,靈活已經成為我們生活辦公的一部分,但種類繁多的終端勢必會使得網絡更加混亂,而終端本身的不成熟,不可靠將造成整網的安全隱患。

為了既滿足無線的靈活快捷,又符合金融行業對于安全的高要求,H3C推出了BYOD解決方案:

終端識別技術

為了針對不同種類的終端實現資產管理,安全策略下發,必備條件便是對終端進行識別,以區分設備廠商、產品型號、操作系統等信息;H3C可以通過對終端設備的MAC,HTTP、DHCP等信息進行精確解析,從而進行區分。

終端合規檢查

在智能終端上安裝H3C客戶端以后,可針對終端進行防病毒軟件、防間諜軟件管理;Android智能終端安全隱患較多,可對智能終端進行安全策略檢查,不符合安全要求的智能終端拒絕其接入企業網絡:可進行APP(白名單/黑名單)管理,通信功能管理(藍牙、GPS、Wi-Fi等)

靈活授權

H3C可根據接入用戶身份、所用終端類別、用戶所連SSID、用戶所在區域、用戶繼入時間等元素進行靈活組合以制定安全策略。

四、 規范無線業務管理,簡單有效

WLAN網絡實際上包含數據交換、轉發和Wi-Fi射頻兩部分,既具有有線網絡的共性,又具有無線的特性,因此運維管理系統需要能夠覆蓋有線和無線,實現一體化管理。通過統一的規劃、監控、控制AC、PoE交換機、AP、終端STA等網絡資源的使用和各種網絡活動,能夠優化網絡性能,降低維護成本,提高無線的服務質量。

有線無線一體化管理

當前主流的WLAN組網一般為AC + PoE 交換機 + Fit AP方案,對管理員來說,除了需要了解無線設備,還需要了解給AP供電的PoE交換機,這就要求在一張拓撲視圖內能夠畫出從AP到交換機甚至是路由器到托管的AC的物理路徑,一旦網絡出現狀況,管理員能夠迅速定位究竟是無線設備還是有線設備出現問題。

如果AP是使用PoE供電的方式,管理員可以在一體化的拓撲內對AP上聯的設備進行查詢并判斷,通過對PoE端口的操作實現對AP的斷電、上電;對AP按計劃周期性啟動和斷電,比如在凌晨時段自動關閉設備或射頻口,這樣既節能減排、降低輻射同時充分提高了管理員的運維效率。

另外,通過無線射頻覆蓋和物理位置拓撲的集合,可以展現一個房間或樓層目前的無線信號覆蓋情況,幫助用戶定位信號過弱,上網速度慢或無法上網問題,通過調整AP的部署位置以及發射功率、信道等參數配置,實現最優、最經濟的無線的信號覆蓋。如圖右側顯示了障礙物的詳細情況,便于精準掌握的射頻信號的衰減,右側圖顯示了按信號強度查看射頻的真實覆蓋效果。

無線RF熱圖覆蓋

告警管理

除了設備宕機、超過性能閾值等常見告警外,為了更進一步的定位WLAN網絡問題,管理系統應該充分考慮到WLAN設備相關的特性例如提供Radio信道變更、終端STA關聯失敗、非法設備、Ad-hoc設備等WLAN特有業務告警,真正實現WLAN網絡的無線管理。

當管理系統收到告警后會根據告警級別改變拓撲節點顏色(也可根據用戶需求定制),還可將告警以email、短信、SNMP Trap等方式轉發給管理員,方便管理員在第一時間了解WLAN網絡的故障。

性能管理

WLAN技術從802.11b一路走到802.11n,帶寬得到了質的飛躍。WLAN逐漸從備份線路轉變為承載線路,其資源利用情況逐漸成為用戶關注點。以H3C WLAN管理系統為例,管理員可以通過WSM無線管理平臺實時了解無線網絡中的終端STA在線趨勢、寬帶趨勢、終端STA最多的熱點TopN、終端STA最多的SSID TopN等指標并給出形象的圖標,從而使管理員能夠及時掌握網絡的性能負載。



中文字幕乱在线伦视频,永久精品视频无码一区,欧美熟乱第1页,手机看片日韩国产高清视频,国产一区日韩二区欧美三区