面向地市的各大銀行無線營業(yè)廳管控審計解決方案

面向地市的所有銀行無線營業(yè)廳管控審計解決方案深信服科技面向地市銀行無線營業(yè)廳管控審計解決方案深信服科技面向地市的所有銀行無線營業(yè)廳管控審計解決方案深信服科技目錄面向地市的所有銀行無線營業(yè)廳管控審計解決方案一、方案拓撲1.1拓撲（）CMNET城域網太原CMNET城域網NE5000E分光器無線控制ACRadius同步流量POE交換機POE交換機POE交APAP智能手機智能手機智能手機筆記本電腦筆記本電腦地面向地市的所有銀行無線營業(yè)廳管控審計解決方案1.2拓撲（）P面向地市的所有銀行無線營業(yè)廳管控審計解決方案深信服科技二、方案概述能夠通過免費的WIFI接入到互聯(lián)網，中國移動山西省分公司為銀行提供了無線覆蓋的解決方案：將每個地市的銀行營業(yè)廳分別部署無線AP，通過POE交換機供電，統(tǒng)一匯聚于一點，通過無線控制BRAS和城域網接入路由器接入到中國移動互聯(lián)網骨干網CMNET。82例如通過URL黑白名單進行控制，防止用戶在銀行提供的免費WIFI環(huán)境訪問非由于用戶P2P下載影響了其他用戶的上網體驗?？蛻舸蛟炝巳缦碌囊徽臼浇鉀Q方案：網關、Radius數(shù)據(jù)采集器、區(qū)中心服務器。在無線控制AC和AP匯聚點之間部署深信服上網行為管理，實現(xiàn)面向IP的流量管理、行為審計和URL黑白名單管理功能；同時，在省級的Radius數(shù)據(jù)服務器和網絡接入服務BRAS之間，通過分光器分出一路，將Radius數(shù)據(jù)鏡像給深信服Radius采集器一份，用于分析用戶名和IP的對應關系，并且將對應關系同步到用于流控、審計和URL管理的網關設備。兩者整合到一起，就可以實現(xiàn)面向用戶手機號碼（用戶名）的流控、審計和URL管理方案。2.1方案1按照方案拓撲（1）來建設WLAN網絡，一個地市所有的銀行營業(yè)廳統(tǒng)一一個匯聚點，向上匯聚之后訪問核心網絡CMNET，為了實現(xiàn)審計、流控和URL過Radius數(shù)據(jù)采集器，便可實現(xiàn)面向用戶名（手機號）的流控、審計和URL管理方案。3面向地市的所有銀行無線營業(yè)廳管控審計解決方案深信服科技2.2方案2按照方案拓撲（2）來建設地市銀行營業(yè)廳WLAN，需要針對不同的銀行提Radius審計和URL管理方案。三、方案詳述3.1Radius采集器：用戶名（手機號碼）和用戶IP的對應關系關聯(lián)如圖所示：采用旁路鏡像模式部署，分析從分光器分流過來的Radius流量RadiusRadiusRadius數(shù)據(jù)包中的user-name和framed-ip-address應起來，保存在Radius采集器本地。為管理網關，如圖：4面向地市的所有銀行無線營業(yè)廳管控審計解決方案深信服科技這樣便可以實現(xiàn)用戶名和IP關聯(lián)，并且將用戶名信息轉發(fā)給部署在每一個地市的行為管理設備。3.2行為管理設備：流控、審計、URL黑白名單首先實現(xiàn)面向IP的流控和審計及URL黑白名單控制，在同步Radius采集器的用戶名和IP的對應關系，在行為審計方面，就可以直觀的了解到每一個用戶的上網行為記錄了。3.2.1流量管理策略。如圖：在全天時間，所有用戶的下載行為（P2P、下載工具和網絡流媒體等）的帶寬資源不可超過38.4KB，并且每個人的下載速度不可超過5KB。P2P應用，若不對這些應用加以限制管理，企業(yè)的帶寬資源必會被搶占，而核心問。因此，企業(yè)需要一種流量管理工具，識別應用流量，對現(xiàn)有的帶寬進行合理的分配。父子通道通過部署，可對網絡出口鏈路總帶寬進行細分，采用“基于隊列的流控5面向地市的所有銀行無線營業(yè)廳管控審計解決方案深信服科技同用戶或者應用，在通道中可以限制或保障其帶寬，控制靈活。AC支持多級父8用戶提供細致的流量管理手段，使得帶寬分配更靈活、更合理。P2P智能流控IP“帶寬殺手”P2PP2P、非主流P2P、新型P2P工具等讓眾多P2P管理手段形同虛設。AC憑借P2P智能識別技術，不僅識別和管控常用P2P、加密P2P，還能對不常見和未來將出現(xiàn)的P2P應用加以控制。目前互聯(lián)網上流行的P2P特性，傳統(tǒng)流控手段是通過緩存和丟包手段來實現(xiàn)流量控制的目的，但是某些P2P應用如P2PP2P下載工具等缺乏自身流控機制，即使被丟包依然不預期的效果。針對這些問題，AC通過智能流控功能，能有效解決P2P應用的問題。雖然6面向地市的所有銀行無線營業(yè)廳管控審計解決方案深信服科技基于UDP協(xié)議的P2P應用對丟包不敏感，但是下行流量與上行流量有顯著的相關性，只要控制住上行流量，下行流量就能得到控制。當開啟AC的智能流控功減少下行流量的效果，從源頭處有效限制P2P流量。動態(tài)流量控制當帶寬有限時，銀行希望通過限制P2P、流媒體等應用來保障郵件、訪問網寬資源不足，而其他應用的帶寬資源卻處于空閑狀態(tài)，得不到有效利用。針對此類問題，AC提供了動態(tài)流控功能。用戶可通過配置線路空閑閥值，帶寬管理，最大滿足業(yè)務對帶寬的需求，實現(xiàn)帶寬的最大價值。虛擬線路分配不均，導致部分線路負荷過重。AC通過虛擬線路技術，即定義不同的虛擬7面向地市的所有銀行無線營業(yè)廳管控審計解決方案深信服科技線路中結合父子通道、P2P3.2.2URL黑白名單過濾深信服上網行為管理內置千萬級別URL深信服上網行為管理支持自定義URL內容：深信服上網行為管理支持基于URL授權策略，如圖，建立策略：在全天時間，所有用戶拒絕訪問成人內容的網站信息。8面向地市的所有銀行無線營業(yè)廳管控審計解決方案深信服科技發(fā)帖過濾法律責任。ACAC可設置只允許登陸、看帖，但不允許發(fā)帖，或者實行發(fā)帖關鍵字過濾，靈活避免企業(yè)中出現(xiàn)泄密或者發(fā)表不良言論帶來法律追究責任的風險。郵件過濾Email不僅是組織重要的溝通方式之一，同時也是最常見的泄密方式。AC支/個數(shù)/大小過濾外發(fā)郵件，對于將文件修改后綴名、刪除后綴名，或者壓縮、加密后作為Email附件外發(fā)，試圖躲過攔截與審查的行為，AC能夠識別并進行報警。同時，對于所有收發(fā)的webmail、Email郵件AC都可以全面記錄并完整還原原郵件，并通過數(shù)據(jù)中心方便管理員對郵件日志進行查詢、審計、報表統(tǒng)計等操作。文件傳輸過濾行為而用戶對此茫然無知，有意泄密者甚至會將外發(fā)文件的后綴名修改、刪除，或者加密、壓縮該文件，然后通過HTTP、FTP、Email附件等形式外發(fā)。AC支持管控文件外發(fā)行為，如僅允許用戶從指定的可信的下載站點下載文件而封堵其他站點，基于關鍵字、文件類型控制上傳/下載行為，封堵QQ/MSN等IM傳文件，允許使用Webmail收郵件而禁止發(fā)送郵件等。其中，僅僅實現(xiàn)對件擴展名過濾外發(fā)文件、外發(fā)Email也無法應對以上風險。鑒于此AC的文件類綴名，或者加密、壓縮文件文件外發(fā)的行為，AC也能發(fā)現(xiàn)并且告警，保護企業(yè)的信息資產安全。9面向地市的所有銀行無線營業(yè)廳管控審計解決方案深信服科技3.2.3行為審計認證信息同步（獲取用戶名）Radius采集器的認證信息（用戶名和IP的對應關系）同步到本地設備。行為審計WEBBBSWEBMAIL、客戶端MAIL、上傳文本內容、微博內容、訪問網址、發(fā)表言論、外發(fā)附件等上網行為記錄。由于關聯(lián)了用戶名和IP的關系，可以直接對應到用戶名（手機號）的上網行為記錄。訪問網站行為記錄10面向地市的所有銀行無線營業(yè)廳管控審計解決方案深信服科技搜索關鍵字行為記錄在數(shù)據(jù)中心查詢歷史記錄郵件收發(fā)對于Webmail或郵件客戶端收發(fā)郵件，AC能夠記錄郵件的時間、發(fā)件人、收件人、標題、正文內容和附件等，附件內容可提供下載做進一步審核。11面向地市的所有銀行無線營業(yè)廳管控審計解決方案深信服科技IM聊天對于MSNGtalk等聊天應用，無論是Web版或是桌面版，AC均能詳細記錄其聊天內容。微博論壇面記錄，準確還原發(fā)帖內容，提高可讀性。12面向地市的所有銀行無線營業(yè)廳管控審計解決方案深信服科技3.2.4無線協(xié)議剝離（識別用戶上網數(shù)據(jù)）AC和AP之間通過隧道封裝來傳輸數(shù)據(jù),例如道協(xié)議剝離來定位數(shù)據(jù)包內容部分，進一步分析出來用戶上網數(shù)據(jù)的真正內容。13面向地市的所有銀行無線營業(yè)廳管控審計解決方案深信服科技3.3面向某個銀行所有營業(yè)廳的個性化解決方案（一個銀行&一個組別）為了實現(xiàn)X地市每個銀行（建行、工行、農行）的個性化需求，需要將單個個用戶組的URL控制策略和流控策略，可以給每個銀行提供個性化的管理需求。深信服為此提供了如下的解決方案：配合山西移動提供的表格資料（具體包含：AP_MAC、熱點、AP名稱和NAS_ID14面向地市的所有銀行無線營業(yè)廳管控審計解決方案深信服科技信服品牌上網行為管理設備上。IP地址：，完成兩者之間的組別和AP之間關聯(lián)同步。中心服務器”的AP_MAC信息，上網行為管理通過識別每一個AP的MAC地址，將從該AP登錄上網的終端用戶歸屬到該AP，再講所有同類的AP歸屬到同一個個銀行所有營業(yè)廳的個性化管理和流控需求。15面向地市的所有銀行無線營業(yè)廳管控審計解決方案深信服科技管理員可以清楚看到每個組別下屬的具體用戶（Radius采集器截圖）管理員可以清楚看到