[转载]清华紫光:银行外联业务安全方案
信息来源:太平洋电脑网银行外联业务系统是指银行与银行的企业集团客户和个人及其他单位相连接的网络设备、线路及系统。目前常见的外联业务系统运行模式有以下几类:
1、外联业务系统传输量大,全天24小时都要进行传输。其应用软件结构模式如下:外单位数据服务器、外单位前置机、银行业务前置机、银行数据服务器。它的银行端前置机与防火墙在同一局域网内。这一类外联业务系统使用的网络应用协议有:(1)只使用TCP/IP协议;(2)使用TCP/IP协议封装SNA协议(使用DLSw);
2、外联业务系统传输量相对较小,不需要连续传输。一般使用PSTN或ISDN拨号连接。如代收水电费、代发工资等业务。其应用软件结构模式如下:外单位PC机、拨号、银行业务前置机,这一类外联业务系统使用的网络应用协议为PPP/SLIP协议;
3、外联业务系统为SNA代办所用。将CT前台设备及终端放置在外单位。其应用软件结构模式如下:CT前台设备、SDLC、银行业务主机。这一类外联业务系统使用的网络应用协议为SDLC协议;
4、一类的外联业务系统为IP终端代办所运用。在外单位放置银行路由器、终端服务器和业务终端。其应用软件结构模式如下:业务终端、终端服务器、业务前置机、银行业务主机。这一类外联业务系统使用的网络应用协议为TCP/IP协议。
防火墙解决方案透析
在四种运行模式中,模式3因使用SDLC协议,仅通过应用系统内部控制来解决其安全问题。除此之外,其它运行模式都可以通过选用防火墙设备来保护业务系统的安全。在上述模式1、2、4下,用2台清华紫光UF3500防火墙做双机热备份,配置于银行外联或拨号路由器与银行内部网之间,防火墙工作于网络地址翻译(NAT)模式下,外部接口与外联路由器的局域网口相连,内部接口与内部网边缘交换机连接。
防火墙位于网络的边界用于访问控制,为了能对网络中诸多的防火墙设备进行有效管理和配置,必须考虑配置统一管理平台。在外联业务系统中加入防火墙,不仅可以保证外联业务系统安全可靠的运行,同时还可以保障外联业务系统资源受控合法的使用。
除了防火墙的通用功能外,针对外联业务系统的实际情况,UF3500防火墙还具有下面一些特色功能:基于时间段的访问控制、流量管理和QoS支持,还有完善的日志处理能力、身份认证以及失效转移功能。
UF3500防火墙的双机热备功能支持在同一个网络节点使用两个配置相同的防火墙,备用防火墙系统能够在10秒钟的时间内(具体时延视不同环境而定)完成整个切换过程,切换过程不需要人为操作和除两个防火墙以外的其他系统的参与,真正做到有备无患。
UF3500防火墙产品特性
UF3500防火墙产品具有防火墙、流量控制和网络管理等功能,结合了网络级包过滤和应用级代理服务器的功能;具有网络地址转换、多级过滤、动态过滤和代理的功能;用户认证机制使得所有内部用户必须经过防火墙的认证,方可连入因特网;具有中立区(DMZ),即SSN,额外的安全层将内部网络与诸如HTTP、FTP、DNS、MAIL等公用服务器相隔离;支持自动或手工绑定MAC地址与IP地址,防止了IP地址盗用问题;可根据IP地址和TCP/IP协议指定相应的防火墙策略,审查TCP/IP包,拒绝或授权访问;具有IP映射和端口转移。UF3500提供了一个附加的功能,便于远程用户通过互联网安全地访问内部网络(支持PPTP协议)或通过互联网连接不在同一区域的局域网(支持IPSec协议);基于SSL的浏览器管理界面,保证了防火墙管理的安全性和易用性。
提供厂商联系方式:清华紫光
页:
[1]