需求分析
当全球化和信息化成为世界的主题,在国民经济中举足轻重的中国金融、证券行业,他的信息化建设也就被推到了时代的前沿舞台。尤其是异地机构网络的互联,移动办公等已经成为焦点。
虽然金融、证券行业的异地网络一般都已经采用了专线的方案,但是随着信息化的不断深入,原有线路已经不能满足业务及办公的需要,而且随着移动办公的需求增加,互联的问题再次出现。
为了确保业务的稳定和可靠,金融、证券公司基本都采用专线方式(DDN、帧中继)将公司总部和各分公司或营业部连接起来,每年庞大的专线费用对每个公司来说都是一笔不小的开支。但是,大部分金融、证券公司的内部网络非常复杂,且目前信息化程度都有很大程度上的完善,非凡是办公信息化,假如还通过原有的DDN等线路来传输,那么会出现很影响业务系统的正常运行或需要加大对线路的成本投入的现象,且还不能解决移动。针对于以上的需求,随着目前VPN产品及技术的成熟、广泛的应用,采用低成本的连接方式(VPN),传输那些非主流的数据,将会大大降低金融、证券公司在信息化成本上的投入,同时也很好的解决了移动办公和部分移动性较大业务的与客户的数据传输。
其次,一:金融、证券公司的分公司或营业部非凡多,且分部在全国的大多数城市,所以上网线路ISP的选择很难统一;二:他们的数据是相当敏感和重要的,其传输过程不答应因线路故障而出现中断;所以,具不同运营商的线路叠加和稳定的备份线路将是所有金融、证券公司需要考虑的问题。如何选择一条价格上具优势,性能相对其它方式又有良好的备份线路呢?
VPN组网方案
VPN产品的出现很好的解决了上述的问题,相对于按期付费的专线,一次性投入的VPN系统将在整体成本上具有无可比拟的优越性。以下是VPN在金融、证券行业网络拓展的应用的大概情况:
实施拓扑图如下:
产品选型:
SINFOR M5100
作为国内领先的VPN和网络安全研发产商,深信服科技推出的SINFOR M5100,获得2004~2005年“计算机世界”的年度产品奖和“中国计算机报”的编辑选择奖。是一款高性价比的硬件VPN/防火墙网关,用于中型企业总部网络或大型企业的区域总部网络。该产品又分标准版、专业版两款,其中标准版支持3个百兆网络接口(1 LAN, 1 WAN, 1 DMZ),为单线路VPN。专业版支持4个百兆网络接口(1 LAN, 2 WAN, 1 DMZ),为双线路VPN,支持两条Internet线路带宽叠加及备份。SINFOR M5100具有强大的VPN功能,支持各种Internet接入方式(包括ADSL、LAN宽带、XDSL等等)。设备内置WebAgent动态ip寻址机制,双寻址方式保证了寻址的稳定性。SINFOR M5100采用了改进的IPSEC协议,在确保VPN隧道安全的同时、进一步提高了数据传输的效率。同时集成了LZO高速流压缩算法,对常见的应用(如文件传输、数据库查询等)大大提高了速度 。同时,在安全性上,SINFOR M5100网关集成了高强度的加密算法,并可以进一步通过软件或硬件卡的形式进行加密算法的扩展,保证了数据传输的安全。其次,网关系统内置Radius服务、并采用了HARDCA硬件证书的形式进行身份认证,确保接入用户的合法有效。另外,SINFOR M5100还针对内网用户可以设定细致的访问权限、避免了病毒类文件的随意传播和越权访问带来的安全隐患。并且,M5100本身也是一台高性能的防火墙设备,能有效抵御外网的攻击。
SINFOR S5100
SINFOR S5100是集成VPN/防火墙的硬件网关,采用了最先进的嵌入式一体化硬件平台、RISC NP处理器,保证了高可靠性和突出的性能。S5100支持3个百兆网络接口(1 LAN, 1 WAN, 1 DMZ),为小型企业、分支机构提供了强大的安全网关(VPN/防火墙/共享上网)功能。S5100的VPN吞吐量为:5-10M(AES加密),而防火墙的吞吐量达到50M,完全能够满足绝大部分中小型企业ADSL等宽带网络接入环境。
在外观设计上,SINFOR S5100设备紧凑、美观。所采用全钢结构的外壳,一体化的嵌入式硬件平台,以及低功耗的设计,非常适用于小型企业或分支机构等规模较小的网络。
SINFOR M5400
SINFOR M5400是一款功能强大的安全平台,是千兆高性能的硬件VPN/防火墙网关,用于大型企业或重要网络的中心节点。标准配置的一台设备支持4个千兆接口(其中2个WAN口,1个LAN口,1个DMZ口)和2个百兆接口(用于WAN口)。各网口均可自定义,并能通过模块扩充的方式、增加网口或者光口。
对于大型企业或重要网络来说,带宽和稳定性的要求更高。SINFOR M5400支持4个WAN口(其中1000M*2 & 10/100M * 2),可支持四条Internet出口线路的带宽叠加和备份,增强了网络的稳定性和出口带宽。同时,多条线路与其他节点建立VPN连接时,能够根据线路匹配质量智能选择通信线路,尤其适用于分支或移动节点便于于不同运营商网络中的情况。
SINFOR M5400同样支持深信服科技VPN产品的全部特性,能够和M5400、M5100、S5100及SINFOR DLAN VPN软件互连互通,按需组网。
SINFOR DLAN VPN
SINFOR DLAN VPN软件是领先的VPN软件系统,从产品功能上分为标准版、安全版(集成DWALL软件防火墙)和专业版(支持多线路绑定、带宽叠加)三种类型。每一类型的产品均由总部模块(MDLAN)、分支模块(SDLAN)和移动用户模块(PDLAN)构成,用户可根据自身的网络规模,选择合适的产品类型、模块数量,构建适合自身业务需求的VPN网络平台。
SINFOR VPN集中安全治理中心
VPN产品与其他网络产品相比、有一个非常显著的特点,就是VPN产品在应用中的部署一定是跨地域的、分布式的,如何将这个跨地域的网络集中、统一的治理起来,并有效的进行部署和升级,保障整网的安全和可持续发展?SINFOR VPN集中安全治理中心(Secure Center)能够很好的解决这些问题。
SC平台包括中心安全策略服务器、GUI治理器、数据库服务器、日志报表服务器、集中监控服务器、升级部署服务器、VPN网关设备(3.0以上)、VPN网关软件等十几个组件。
主要特点有:
快速集中配置和部署,集中治理,集中维护
实时、可视化的集中监控
整网集中、智能升级
实现效果及特点:
一、不同运营商(ISP)线路绑定,避免网络瓶颈
采用SINFOR 多线路叠加功能产品,可以实现不同ISP的线路绑定,实现总部与分公司互联时,分公司或移动主动与总部采用对接较快的ISP线路,保证整个互联应用的效果、速度、稳定等特性。避免了不同ISP线路之间互联存在的问题。同时,也避免了金融、证券行业分公司多,分部在不同城市,而无法实现要求统一的ISP运营商的问题。总之,避免网络的瓶颈。
二、稳定性
作为金融、证券行业,基础应用的连接链路以及VPN网络的可靠性是极其重要的。作为领先的VPN研发产商,深信服科技在保证VPN网络稳定性方面有独到的技术。
1、互为备份的Web寻址技术:基于Web的动态寻址技术是深信服公司专利技术,通过该技术,使得SINFOR DLAN可以支持ADSL等动态IP拨号上网方式,无需固定IP,大大降低了客户使用VPN的成本。由于动态寻址过程依靠于WEB的可靠性,因此,在SINFOR 所有VPN中均采用了互为备份的WEB设置,只要有一个WEB能够正常工作,即可正常实现动态寻址,保证了VPN寻址的可靠性。
2、多线路技术增加线路稳定性:由于Internet线路具有不可靠性的特点,使用Internet线路存在断线的可能性,对VPN网络的可靠运行产生了隐患,因此,深信服SINFOR VPN创新性的提出了多线路捆绑技术,在一个VPN节点上可以同时使用多条Internet线路,只要其中的一条线路仍然正常工作,DLAN VPN网络即可保持正常。
3、断线重拨技术:为了保证拨号网络的稳定性,SINFOR VPN产品中集成了自动拨号软件,在拨号中断后,5秒内可以重拨。网络物理连接恢复正常后,VPN隧道将在1分钟内自动建立,从而保证系统迅速恢复。
三、高效性
通过平均传输效率为130%的“数据流压缩”技术,对所有的传输数据进行压缩传输,很多应用情况下超过直接连接速度。对速度要求高的金融、证券行业,SINFOR VPN独有的带宽叠加技术(深信服科技发明专利之一),能够将多条Internet的接入带宽叠加,提高VPN互联的速度。同时,还具有多线路备份功能,确保VPN通道不断线,持续畅通。
四、安全性
基于Internet构建的VPN网络安全性相对于金融、证券公司来说是一个非常重要的问题,在这一点上,SINFOR VPN凭借以下四层防护充分保障了金融、证券公司及其用户的利益不受侵犯:
1、隧道的安全。在隧道的建立过程中,深信服科技的所有产品都采用国际先进的AES 128位加密技术加密隧道,防止数据窃取和侦听。先进的加密技术在保证高加密级别的同时提供了强大的性能保证,有效加强隧道传输效率。
2、接入用户身份验证。除基于用户账号的Radius身份验证外,SINFOR VPN 产品创新性的采用了深信服科技专利技术-基于硬件身份的鉴权体系,将用户账号与其所在计算机硬件信息进行绑定,即便用户账号意外泄露,由于非法用户无法使用与此账号事先绑定的那台计算机,不会因此造成非法用户接入。对于远程移动办公人员,由于计算机存在失窃或被非法使用的可能性,深信服科技还对移动用户采用了基于硬件USB KEY的身份验证机制,利用DKEY这种USB的便携设备的唯一ID号作为其使用VPN的许可方式,使得只有指定人员使用指定账号及指定计算机接入总部访问指定资源成为可能,极大的提高了VPN的整体安全性。
3、接入用户权限控制。普通的VPN产品在用户接入后即可随意访问局域网内任意资源,对于安全要求较高的单位来说,这种不受限制的访问轻易造成极大的安全隐患,深信服科技所有产品都可以通过在VPN系统中设置更细致的服务访问权限来杜绝这些安全隐患。可以针对每个用户设定不同的接入访问权限,如某些用户只能访问总部的OA系统,不能访问财务系统等,不同的VPN用户可以设定对不同资源的访问权限,避免因为VPN用户权限过大造成的安全隐患。
4、集成企业级的防火墙。深信服科技提供的SINFOR M5100、S5100、M5400安全网关、SINFOR DLAN VPN以及SINFOR SC产品均集成VPN及企业级防火墙于一体,在提供丰富的VPN功能的同时,其自带的企业级防火墙能够提供对网络强大的保护和治理功能,确保网络不被Internet非法用户攻击及入侵,并对内网用户上网行为进行非常细致的治理,避免内网用户随意的Internet访问行为带来的安全隐患,能够充分保护金融、证券VPN网络工作于Internet时其内外网络的安全。
五、灵活性。
对移动IP的全面实现:一般VPN部署都需要改变网络结构,SINFOR DLAN在充当远程接入服务器时,不需要客户网络做任何改变。远程用户接入到网络来时,可获得一个该网络的内外IP地址,并以此IP与网络内其它节点进行双向的访问,若该远程用户原本就是该网络内的一个用户,则在远程接入后仍可保留原本的IP地址,做到在远程和在本地时一模一样。
对各种接入方式的全面支持:通过改进的IPSEC隧道封装技术,SINFOR DLAN能很好的支持NAT穿透功能,使得SINFOR DLAN可以支持任何接入方式,包括GPRS, CDMA1X,WLAN等最新的无线上网接入方式,甚至是未来NGN接入方式。SINFOR DLAN实现了用户随时随地移动办公的梦想,并能保护用户对未来的网络投资。
安全策略随时携带,客户端零配置:SINFOR DLAN 集成DKEY技术,可以将移动用户的安全策略存储在类似U盘的USB Key(又名DKEY)中。这样移动用户随身携带标识自己身份和存储了对应安全策略配置信息的DKEY,可以在任何一台电脑安全的接入到总部。安装好PDLAN软件后,用户只需要插入DKEY,输入自己的密码就可以完成接入,做到了VPN客户端零配置,和使用银行取款机一样安全方便。
简单方便的配置备份和恢复:SINFOR VPN采用多个加密的配置文件形式保存配置信息。系统提供了对所有配置的打包备份功能,治理员可方便的对配置文件进行备份和恢复。同时治理员还可以在本地配置好远程网络,利用配置恢复功能在远程导入配置。
支持远程部署、软硬兼施:SINFOR VPN既有安装方便的纯软件产品,也有相应的硬件模块。软件模块可以实现远程安装、远程部署。模块化设计,用户可以根据需要,下载相应的模块文件即可增加新的功能。而深信服科技的所有硬件模块,如: M5400、M5100、S5100、等硬件产品系列之间可以互连互通,也可以和SINFOR DLAN系列软件VPN互连互通,方便金融、证券行业公司根据自身的实际环境、按需选择产品模块,构建量身定制的VPN网络。
成功案例
中国银联商务
银联商务有限公司是中国银联控股的一家专业为银行卡金融机构服务的全国性有限责任公司,注册资本1.5亿元人民币,总部设在上海。公司通过在全国设立的分(子)公司为各地商业银行、特约商户和广大持卡人提供高质量的银行卡专业化服务。
由于信息化应用的迅速发展,及宽带的普及应用,目前银联商务有限公司的业务主要是银行卡专业化服务,是指专业服务机构在一定范围内,通过规模化、集约化的经营治理,为商业银行、特约商户和持卡人提供与银行卡业务相关的一系列服务,以便金融机构致力于银行卡产品研发、风险治理等核心环节,达到发挥专业分工优势、节约经营成本、提高银行卡受理水平的目点。专业化服务是国际上银行卡产业发展的成功经验。银联商务有限公司本着“市场第一、客户第一、服务第一”的经营宗旨,为广大客户竭诚提供高效周到的商户服务,使持卡人真正享受到“银联在手,走遍神州”的方便于快捷,安全与高效。
同时,为了解决分部在全国各地的分公司及移动人员的统一信息化,实时同步使用总部的财务系统、NOTES系统,银联商务选用了“SINFOR DLAN VPN”的多线路产品,把总部基于不同ISP(电信,网通)的两条线路叠加起来,解决总部线路备份,总部宽带瓶颈,及不同ISP线路之间带宽瓶颈的问题,保证了整个互联的稳定性,快速性,当然,所有的一切还是要基于产品的安全性,可靠性,及厂商的服务为基础之上的。现在,SINFOR VPN平台已经成为支撑银联商务的所有分公司和移动人员办公的安全,稳定,快速互联VPN平台。
华夏证券
华夏证券股份有限公司成立于1992年10月,是我国较早成立的全国性证券公司。其下属营业厅采用DDN专线与总部相连,并采用SINFOR DLAN VPN作为DDN专线的备份线路,在DDN专线出现故障的时候SINFOR DLAN VPN可迅速承担起数据传输的任务。同时所有非核心业务的数据(如日常的办公数据)则全部通过SINFOR DLAN VPN传送到总部,确保有限的DDN带宽全部用来进行核心业务的开展。对于部分规模较小的非核心营业厅则完全采用SINFOR 网网通VPN作为连接方式,大大削减了信息化投入成本。
其他金融、证券行业典型用户列表
中国建设银行
深圳金融电子结算中心
海通证券有限公司
富国基金
金信信托投资
新闻热点
疑难解答