面向地市的各大银行无线营业厅管控审计解决方案文档格式.docx
《面向地市的各大银行无线营业厅管控审计解决方案文档格式.docx》由会员分享,可在线阅读,更多相关《面向地市的各大银行无线营业厅管控审计解决方案文档格式.docx(15页珍藏版)》请在冰豆网上搜索。
同时对每个用户的上网行为进行合法控制,例如通过URL黑白名单进行控制,防止用户在银行提供的免费WIFI环境访问非法网站;
希望对每一个用户进行上网流量管理,合理规划用户的带宽资源,防止由于用户P2P下载影响了其他用户的上网体验。
为了满足银行客户提出的需求,中国移动山西分公司联合深信服科技一同为客户打造了如下的一站式解决方案:
在中国移动给银行客户提供的方案基础上,整合深信服面向运营商的上网行为管理解决方案。
在原有无线网络拓扑架构的基础上,增加深信服上网行为管理网关、Radius数据采集器、区中心服务器。
在无线控制AC和AP汇聚点之间部署深信服上网行为管理,实现面向IP的流量管理、行为审计和URL黑白名单管理功能;
同时,在省级的Radius数据服务器和网络接入服务BRAS之间,通过分光器分出一路,将Radius数据镜像给深信服Radius采集器一份,用于分析用户名和IP的对应关系,并且将对应关系同步到用于流控、审计和URL管理的网关设备。
两者整合到一起,就可以实现面向用户手机号码(用户名)的流控、审计和URL管理方案。
2.1方案1
按照方案拓扑
(1)来建设WLAN网络,一个地市所有的银行营业厅统一一个汇聚点,向上汇聚之后访问核心网络CMNET,为了实现审计、流控和URL过滤管控,需要在该汇聚点部署一台高端深信服上网行为管理网关,同时搭配一台Radius数据采集器,便可实现面向用户名(手机号)的流控、审计和URL管理方案。
2.2方案2
按照方案拓扑
(2)来建设地市银行营业厅WLAN,需要针对不同的银行提供不同的汇聚节点,这样就需要在不同的汇聚节点各部署一台深信服上网行为管理网关,同时搭配一台Radius采集器,便可实现面向用户名(手机号)的流控、审计和URL管理方案。
三、方案详述
3.1Radius采集器:
用户名(手机号码)和用户IP的对应关系关联
如图所示:
采用旁路镜像模式部署,分析从分光器分流过来的Radius流量数据,在深信服Radius采集器上,开启单点登录。
可以通过分析镜像过来的Radius数据,提炼出Radius数据包中的user-name和framed-ip-address字段,将两者对应起来,保存在Radius采集器本地。
得到如上的认证信息,将该认证信息同步到部署在该银行每个地市的上网行为管理网关,如图:
这样便可以实现用户名和IP关联,并且将用户名信息转发给部署在每一个地市的行为管理设备。
3.2行为管理设备:
流控、审计、URL黑白名单
首先实现面向IP的流控和审计及URL黑白名单控制,在同步Radius采集器的用户名和IP的对应关系,在行为审计方面,就可以直观的了解到每一个用户的上网行为记录了。
3.2.1流量管理
建立流量管理策略,可以建立面向用户、面向应用、基于时间段的流量管理策略。
如图:
在全天时间,所有用户的下载行为(P2P、下载工具和网络流媒体等)的带宽资源不可超过38.4KB,并且每个人的下载速度不可超过5KB。
企业的出口带宽有限,随着网络应用的丰富,出现各种吞噬带宽的应用,如P2P应用,若不对这些应用加以限制管理,企业的带宽资源必会被抢占,而核心业务却得不到带宽,从而导致整体网络速度变慢,影响正常的邮件发送和网络访问。
因此,企业需要一种流量管理工具,识别应用流量,对现有的带宽进行合理的分配。
3.2.1.1父子通道
通过部署AC,可对网络出口链路总带宽进行细分,采用“基于队列的流控技术”,即建立通道,将不同的控制对象分配到不同的通道里。
通道可应用于不同用户或者应用,在通道中可以限制或保障其带宽,控制灵活。
AC支持多级父子通道,即在父通道中嵌套子通道,最大可支持8级父子通道。
通过多级父子通道技术,能够完全匹配企业的组织架构,针对不同级别的通道进行带宽调整,为用户提供细致的流量管理手段,使得带宽分配更灵活、更合理。
3.2.1.2P2P智能流控
目前,通过封IP、端口等限制“带宽杀手”P2P应用的方式不起作用。
加密P2P、非主流P2P、新型P2P工具等让众多P2P管理手段形同虚设。
AC凭借P2P智能识别技术,不仅识别和管控常用P2P、加密P2P,还能对不常见和未来将出现的P2P应用加以控制。
目前互联网上流行的P2P下载、流媒体等应用程序通常具备强烈的带宽侵占特性,传统流控手段是通过缓存和丢包手段来实现流量控制的目的,但是某些P2P应用如P2P流媒体、P2P下载工具等缺乏自身流控机制,即使被丢包依然不会主动降低速率,仍抢占大量的带宽资源。
同时对于下行的接收流量来说,被丢弃的数据包已经占用了线路带宽,关键业务的带宽依然得不到提升,流控达不到预期的效果。
针对这些问题,AC通过智能流控功能,能有效解决P2P应用的问题。
虽然基于UDP协议的P2P应用对丢包不敏感,但是下行流量与上行流量有显著的相关性,只要控制住上行流量,下行流量就能得到控制。
当开启AC的智能流控功能时,系统会根据下行流量的设定值对上行流量进行自动调整,从而达到控制和减少下行流量的效果,从源头处有效限制P2P流量。
3.2.1.3动态流量控制
当带宽有限时,银行希望通过限制P2P、流媒体等应用来保障邮件、访问网站等业务相关应用的流畅性。
传统的解决方法是通过静态的带宽分配策略,根据应用的重要性分配相应的带宽。
无论网络情况如何变动,分配的带宽都是固定的,不能自动调整,这样的流控策略往往造成带宽资源的浪费。
比如某些业务应用带宽资源不足,而其他应用的带宽资源却处于空闲状态,得不到有效利用。
针对此类问题,AC提供了动态流控功能。
用户可通过配置线路空闲阀值,以及定义线路的空闲和繁忙状态,实现针对性制定流控策略。
当线路空闲时可以放宽通道带宽限制,应用流量可突破原来设定的最大带宽限制;
当线路繁忙时可以下压通道带宽,使带宽恢复到被限制状态,执行原有的流控策略。
通过灵活的带宽管理,最大满足业务对带宽的需求,实现带宽的最大价值。
3.2.1.4虚拟线路
用户出口有多条运营商线路,而在防火墙和核心交换中间,往往只有一条链路。
在一条物理线路中很难实现精细化的流量划分,容易造成几条外网线路流量分配不均,导致部分线路负荷过重。
AC通过虚拟线路技术,即定义不同的虚拟线路来匹配多条出口线路流量或是来自内网不同网段的流量,同时在不同的虚拟线路中结合父子通道、P2P智能识别和动态流控等技术,实现更灵活的带宽分配。
3.2.2URL黑白名单过滤
深信服上网行为管理内置千万级别URL库,将目前所有的网址进行归类,按照“成人内容”“网上购物”“新闻门户”“教育”“宗教”等进行归类,如图所示。
深信服上网行为管理支持自定义URL内容:
深信服上网行为管理支持基于URL、面向用户,基于时间段的URL授权策略,如图,建立策略:
在全天时间,所有用户拒绝访问成人内容的网站信息。
3.2.2.1发帖过滤
网络的开放性给人们带来更多的言论自由,但发表一些类似色情、反动、迷信或者暴力的信息,影响社会安定,造成了不必要的影响,企业或个人也要承担法律责任。
AC可对发帖进行关键字过滤。
天涯、猫扑、XX贴吧等论坛网站,AC可设置只允许登陆、看帖,但不允许发帖,或者实行发帖关键字过滤,灵活避免企业中出现泄密或者发表不良言论带来法律追究责任的风险。
3.2.2.2邮件过滤
Email不仅是组织重要的沟通方式之一,同时也是最常见的泄密方式。
AC支持基于关键字、收发地址、附件类型/个数/大小过滤外发邮件,对于将文件修改后缀名、删除后缀名,或者压缩、加密后作为Email附件外发,试图躲过拦截与审查的行为,AC能够识别并进行报警。
同时,对于所有收发的webmail、Email邮件AC都可以全面记录并完整还原原邮件,并通过数据中心方便管理员对邮件日志进行查询、审计、报表统计等操作。
3.2.2.3文件传输过滤
利用网络来进行文件传输在日常办公中普遍出现,而在文件传输过程中存在种种管理和安全隐患,如用户通过不可信的下载源下载了带毒文件、在文件打包外发过程中不慎夹带了涉密文件、终端因为中毒或被黑客控制主动发起外发文件行为而用户对此茫然无知,有意泄密者甚至会将外发文件的后缀名修改、删除,或者加密、压缩该文件,然后通过HTTP、FTP、Email附件等形式外发。
AC支持管控文件外发行为,如仅允许用户从指定的可信的下载站点下载文件而封堵其他站点,基于关键字、文件类型控制上传/下载行为,封堵QQ/MSN等IM传文件,允许使用Webmail收邮件而禁止发送邮件等。
其中,仅仅实现对外发文件的审计和记录显然无法挽回泄密已经给企业造成的损失,单纯的基于文件扩展名过滤外发文件、外发Email也无法应对以上风险。
鉴于此AC的文件类型深度识别技术能基于特征能够识别文件类型,即便存在修改、删除外发文件后缀名,或者加密、压缩文件文件外发的行为,AC也能发现并且告警,保护企业的信息资产安全。
3.2.3行为审计
3.2.3.1认证信息同步(获取用户名)
对于行为审计,需要将用户的言行记录对应到用户的手机号(用户名),如图,开启“认证信息同步”,将Radius采集器的认证信息(用户名和IP的对应关系)同步到本地设备。
3.2.3.2行为审计
开启行为审计策略,审计所有用户的上网行为,包括WEBBBS、WEBMAIL、客户端MAIL、上传文本内容、微博内容、访问网址、发表言论、外发附件等上网行为记录。
由于关联了用户名和IP的关系,可以直接对应到用户名(手机号)的上网行为记录。
访问网站行为记录
搜索关键字行为记录
在数据中心查询历史记录
3.2.3.3邮件收发
对于Webmail或邮件客户端收发邮件,AC能够记录邮件的时间、发件人、收件人、标题、正文内容和附件等,附件内容可提供下载做进一步审核。
3.2.3.4IM聊天
对于QQ、MSN、Gtalk等聊天应用,无论是Web版或是桌面版,AC均能详细记录其聊天内容。
3.2.3.5微博论坛
对于微博、社交论坛发帖不仅能够根据关键字进行过滤,发布的内容也能全面记录,准确还原发帖内容,提高可读性。
3.2.4无线协议剥离(识别用户上网数据)
在无线环境中,经常会出现无线隧道封装的情况(AC和AP之间通过隧道封装来传输数据,例如CAPWAP),对于这种情况,深信服上网行为管理可以通过隧道协议剥离来定位数据包内容部分,进一步分析出来用户上网数据的真正内容。
3.3面向某个银行所有营业厅的个性化解决方案(一个银行&
一个组别)
为了实现X地市每个银行(建行、工行、农行)的个性化需求,需要将单个银行在该地市区域内所有的营业厅都归类到同一个用户组别,通过面向单个或多个用户组的URL控制策略和流控策略,可以给每个银行提供个性化的管理需求。
深信服为此提供了如下的解决方案:
配合山西移动提供的
表格资料(具体包含:
AP_MAC、热点、AP名称和NAS_ID等),将该表格资料导入到深信服“区域中心服务器”,如下图。
导入之后,“区中心服务器”能够将该表格的内容下发到所有与之关联的深信服品牌上网行为管理设备上。
同时部署在每个地市的上网行为管理开启同步策略,配置好区中心服务器的IP地址:
192.168.254.6,完成两者之间的组别和AP之间关联同步。
如此,部署在每个地市的深信服品牌上网行为管理网关,都能够得到来自“区中心服务器”的AP_MAC信息,上网行为管理通过识别每一个AP的MAC地址,将从该AP登录上网的终端用户归属到该AP,再讲所有同类的AP归属到同一个热点或组别,即可完成每一个银行都有一个自己的组别,从而可以实现基于每一个银行所有营业厅的个性化管理和流控需求。
管理员可以清楚看到每个组别下属的具体用户(Radius采集器截图)
管理员可以清楚看到每个组别下属的具体用户(部署在地市的行为管理设备)
这样我们就可以面向具体某一个银行来提供个性化的管理流控需求了。
四、方案对比
4.1每个地市所有银行汇聚
每个地市可以部署一台高端的上网行为管理设备,对该地市所有的银行营业厅进行统一的管理流控和审计。
方案优点:
投资成本低
方案缺点:
行为审计记录查询,同一个行为管理网关,只能够面向所有的银行,无法面向单独银行提供单独的管理权限(A银行的管理员可以同时查看B银行的审计记录)。
4.2每个地市每个银行汇聚
投资成本高,每个地市需要部署多台上网行为管理设备(一个银行需要一个),对该地市内部同一银行所有营业厅进行统一的管理流控和审计。
能够提供面向单独银行的行为审计查询,不存在查看其它银行数据的风险。
投资成本高
升级会员 