查看详情

PGM方案-金融行业网络安全解决方案

发表于2016-11-18 02:04:27

问题和挑战

从整体网络架构来看,金融用户在进行 数据中心安全架构设计时,主要会面临 如下几点问题:

  • 如何设计各个功能区域的网络边界, 保障可控的安全访问?
  • 在无法明确每个功能区域的流量大小 时,如何选用合适的产品?
  • 在引入了虚拟化技术后,如何保证网 络安全?
  • 移动银行、移动支持的兴起,对internet接入安全会有怎样的影响?
  • 如何实现远程维护、远程办公的安全 接入?
  • 如何实现安全产品的自动化运维? 如何提供新一代数据中心的安全防护,成为数据中心规划时最重要的一环。
  •  

 

建设目标

普天网络公司一直关注着银行行业的发展,凭借在安全领域多年积累的经验,结合银行业的发展特点,普天提出了独有的安全 解决方案。目的就是保证银行在引入新技术、对数据中心内部进行改造、外围环境发生变化时,整网的安全性不会受到影响。普天网络公司将会继续通过提供业界领先的安全整体解决方案,为银行行业的持续发展提供最安全的保障。

 

解决方案

梳理/重构安全区域>

如左图所示,先定义最基本的分区架构:Internet区域与业务及OA区域物理隔离,业务与OA业务之间通过防火墙隔离。然后 进一步界定业务区域的分区:根据安全级别,将外联区、WEB服务区、测试区、骨干网接入区、网管区等区域划分出来;再根据 职能详细划分某些关键区域的安全,例如将DNS等基础业务剥离独立城区,将开放业务区根据类别分成多个区域,将需要引入虚拟 化的主机业务单独分区等等。

虚拟化安全

普天通过vGW虚拟网关这来解决数据中心的虚拟化安全问题,vGW能够监控和保护虚拟环境的安全,同时确保最高水平的虚拟 机主机容量。管理人员利用基于Web的管理控制台来定义和集中管理传统的防火墙规则,其中包括允许和拒绝的源、目的地、协议 以及采取的行动等。规则可以适用于所有虚拟机、一组具有相似的连接性和安全需求的虚拟机,或者单个虚拟 机。采用这些规则的策略还可以在全局、群组和单个虚拟机级别上执行。这种三层的规则和策略结构在简化管理的同时,还能让网 络管理员对虚拟网络的流量进行细粒度的控制。

得益于普天的P+V架构,可以 保障虚拟防火墙与物理防火墙之间的 信息同步。当vGW虚拟网关部署到物 理主机上时,vGW会直接调取普天 SRX防火墙的配置,了解自己所管辖 虚拟主机与其他虚拟主机之间的访问 关系,并相应调整vGW的配置;同样的,当vGW生成了新的虚拟机配置时,vGW也会将新虚拟机的命名、主机地址、访问关系等同步到普天SRX防火墙。

 

远程维护、远程办公的安全接入

普天通过 MAG系列网关为授权用户提供安全的远程和移动SSL VPN连接。普天 MAG支持为不同接入需求的用户提供不同的接入页面,用户在登录前可了解安全提示、系统维护时间等等信息。用户在登 录时,MAG网关可以基于多种因素进行授权,如用户的登陆地址、安全状况、登录时间等,甚至可以根据终端的文件系统与注册 表等信息来判断是否用户是使用自己的笔记本还是用的公用终端。在授权时,可支持细粒度的访问控制机制,实现应用层的访问控制,例如判断出用户是在网吧使用公用终端,MAG会临时限制用户可以访问的URL、文件、读写权限等。

对于机场、网吧、公共平台这类特殊站点MAG还可以建立基 于用户的虚拟安全工作站,保证内部 文件和数据的安全。在完成登录后, MAG会持续检测终端的安全状态,如 果终端的安全状况发生了变化,将强 制重新对用户进行评估和授权。