客戶需求分析
隨著金融行業(yè)的飛速發(fā)展�����,傳統(tǒng)的金融業(yè)務(wù)呈現(xiàn)出多元化的發(fā)展模式�,網(wǎng)上銀行、電話銀行����、移動銀行等各種新興金融業(yè)務(wù)悄然
興起,同時全國數(shù)據(jù)大集中系統(tǒng)建設(shè)也提上日程�,種種跡象都預示著我國金融行業(yè)正在朝國際化方向發(fā)展,創(chuàng)新服務(wù)模式成為必然趨
勢����。
在銀行系統(tǒng)中����,現(xiàn)有自助服務(wù)設(shè)備�,如ATM終端���、自助查詢終端等���,多數(shù)采用有線網(wǎng)絡(luò)接入方式,這種接入方式����,受有線網(wǎng)絡(luò)覆
蓋的影響,只能設(shè)置在金融機構(gòu)營業(yè)網(wǎng)點和大型商業(yè)機構(gòu)內(nèi)部(具有有線網(wǎng)絡(luò)接入)�,束縛了服務(wù)模式。同時�����,自助設(shè)備要具備有線
網(wǎng)絡(luò)的布設(shè)方式�����,削弱了自助設(shè)備的便捷�、方便的特點����,無法實現(xiàn)利用自助交易方式擴大營業(yè)網(wǎng)站業(yè)務(wù)覆蓋的初衷�����。但隨著無線通信
3G/4G/5G飛速發(fā)展進入平常生活��,也讓金融自助設(shè)備便捷����、方便的服務(wù)成為可能,對于通過無線接入自助終端的方案���,需重點考慮
的問題有:
◆ 無線接入的方便性所隱藏的安全問題�����。通過無線接入的金融自助終端�����,通常部署在比較偏遠或有線網(wǎng)絡(luò)不易部署的地方�,接入非
常方便�����、靈活,但無線不同于有線網(wǎng)絡(luò)有看得見摸得著的傳輸介質(zhì)��,在安全方面�����,無線接入這種方式必將是重中之重考慮的問題�,
確保自助終端每筆交易的安全性����。
◆ 無線接入的可靠性保障。無線傳輸很容易受到天氣�����、周圍環(huán)境等很多因素的干擾�����,影響無線信號��,導致交易數(shù)據(jù)傳輸?shù)牟环€(wěn)定性�,
影響到用戶的業(yè)務(wù)操作體驗���。
◆ 優(yōu)化無線傳輸效率。無線傳輸帶寬的波峰和波谷差值比較大�����,如何保障業(yè)務(wù)在波谷時能進行正常的快速交易�,仍是規(guī)劃、建設(shè)值
得深思的問題�。
◆ 事件回溯能力。在金融互聯(lián)網(wǎng)化的今天�,任何網(wǎng)絡(luò)相關(guān)的事件都不容小視,都有可能影響到業(yè)務(wù)����,如何通過網(wǎng)絡(luò)層面進行回溯、
分析�����、定位�,防范于未然,這至關(guān)重要�����。
解決方案
通過在金融機構(gòu)的多運營商線路入口部署應用交付設(shè)備,在前置區(qū)部署下一代防火墻�����,保障金融機構(gòu)無線接入服務(wù)水平和用戶滿
意度�����,齊杉科技金融自助終端無線安全接入解決方案具體如下:
◆ 整體方案由運營商為金融機構(gòu)提供獨立的無線接入點為基礎(chǔ)����,自助終端以無線網(wǎng)絡(luò)為基本通道����,在無線網(wǎng)絡(luò)之上部署VPN通道,
交易數(shù)據(jù)通過VPN通道進入金融機構(gòu)的業(yè)務(wù)前置區(qū)域��,完成后續(xù)業(yè)務(wù)相關(guān)操作��。
◆ 在金融自助終端前部署Cedar NGFW����,通過接入運營商3G/4G/5G卡實現(xiàn)對金融機構(gòu)業(yè)務(wù)出口的路由可達,在路由可達的情況下�,
通過Cedar NGFW設(shè)備開啟IPsecVPN功能���,與金融機構(gòu)的IPsecVPN網(wǎng)關(guān)建立安全通道,自助終端所有業(yè)務(wù)數(shù)據(jù)通過VPN通道來承
載��。
◆ 在金融機構(gòu)互聯(lián)網(wǎng)出口部署齊杉Cedar ADC產(chǎn)品���,負責各家運營商線路的接入����,主要解決入站VPN業(yè)務(wù)組流量高可靠調(diào)度����,業(yè)務(wù)
通道的實時檢測,業(yè)務(wù)故障自愈等���;
◆ 在業(yè)務(wù)前置安全區(qū)域部署齊杉Cedar NGFW產(chǎn)品����,主要為業(yè)務(wù)數(shù)據(jù)提供VPN安全通道��,防范數(shù)據(jù)被偽造��、篡改可能,同時有效過
濾異常安全事件�。
◆ Cedar系列強大的日志能力,結(jié)合Log分析平臺�,可以完整的輸出經(jīng)過設(shè)備的所有安全攻擊日志、NAT轉(zhuǎn)換過程�、VPN通信事件、
流量調(diào)度過程��、鏈路健康檢查狀態(tài)��、應用健康檢查狀態(tài)�����、路由日志等����。
■入站流量調(diào)度
智能DNS功能是解決入站流量調(diào)度方面的問題��。首先需自助終端通過撥域名的方式與金融機構(gòu)IPsecVPN網(wǎng)關(guān)來建立隧道�����,接下來
需將IPsecVPN通道的域名解析功能指向齊杉科技Cedar ADC設(shè)備��,由Cedar ADC設(shè)備來進行域名A記錄的解析,自助終端通過解析出
的A記錄地址建立VPN隧道�����,VPN流量到達Cedar ADC設(shè)備時再通過算法調(diào)度到具體提供VPN業(yè)務(wù)組內(nèi)的成員�。
舉個例子來說,當自助終端訪問業(yè)務(wù)系統(tǒng)時��,首先通過域名建立VPN隧道����,逐步通過自助終端上配置的本地DNS服務(wù)器、根DNS服
務(wù)器��,最終由Cedar ADC設(shè)備來進行域名的A記錄解析����。Cedar ADC設(shè)備在進行A記錄解析時,會通過智能DNS模塊檢測出口線路的健
康狀況�、線路的響應時延、自助終端的歸屬等����,最終反饋最佳入口運營商公網(wǎng)IP地址為A記錄地址。自助終端通過IP地址建立VPN通道���,
當VPN流量到達Cedar ADC設(shè)備時����,設(shè)備通過應用調(diào)度功能,結(jié)合VPN業(yè)務(wù)組成員的優(yōu)先級�����、負荷情況����、健康狀況、響應時延等�,將
VPN業(yè)務(wù)調(diào)度到最優(yōu)的VPN業(yè)務(wù)成員上,由VPN業(yè)務(wù)成員完成VPN隧道的建立����。
■安全控制
Cedar NGFW設(shè)備不但具有齊全的VPN功能,滿足VPN業(yè)務(wù)的需要���,同時Cedar NGFW還具有全面的安全功能,通過安全過濾功能�,
允許、拒絕��、重定向通過防火墻的數(shù)據(jù)量,提供對服務(wù)訪問的控制和審計����,包括基于用戶和協(xié)議的策略定義、URL過濾����、協(xié)議識別等
特性。Cedar NGFW根據(jù)網(wǎng)絡(luò)中配置的安全規(guī)則策略���,有選擇的在不同網(wǎng)絡(luò)間發(fā)送信息流����,默認安全規(guī)則策略拒絕所有入站和出站的
信息流����,僅授權(quán)的管理員具有改變安全規(guī)則策略的權(quán)限,從而過濾外部網(wǎng)絡(luò)發(fā)起的非法主動訪問請求����。
■事件回溯平臺
金融系統(tǒng)對日志事件回溯要求非常高,一方面需對故障時原因進行分析定位���,作為追責的依據(jù)��,另一方面也需要通過日志對隱藏
的安全問題進行及時補救����,防范于未然。Cedar NGFW/ADC設(shè)備具有強大的日志功能��,能完整的輸出經(jīng)過設(shè)備的所有安全攻擊日志�、
NAT轉(zhuǎn)換過程、VPN通信事件��、流量調(diào)度過程�、鏈路健康檢查狀態(tài)、應用健康檢查狀態(tài)�、路由日志等,結(jié)合Log分析平臺��,為故障排查����、
追責提供不可抵賴的證據(jù)。
■持續(xù)優(yōu)化
通過TCP連接復用技術(shù)����,將自助終端的多個連接合并為與服務(wù)器的一個連接來進行通信,減少TCP連接的三次握手次數(shù)���,提高實際
有效數(shù)據(jù)的交換比率���。同時連接復用功能還將Web流量的多個短連接合并為一個長連接,提高服務(wù)器的響應速度�����,改善服務(wù)器的性能��。
提升業(yè)務(wù)在無線流量波谷時交易的用戶體驗���。
客戶價值
◆ 靈活性�。通過運營商3G/4G/5G網(wǎng)絡(luò)為載體�,為自助終端提供安全的數(shù)據(jù)傳輸方案,及大的提升了金融機構(gòu)的服務(wù)能力�,提升了
用戶對金融機構(gòu)公眾形象。
◆ 高可靠��。通過入站VPN流量調(diào)度機制�����,可將業(yè)務(wù)故障自愈能力縮短到秒級�����,真正滿足業(yè)務(wù)7*24的高可靠。
◆ 高安全���。2-7層多重立體安全防護體系���,保障業(yè)務(wù)系統(tǒng)數(shù)據(jù)安全。
