锐捷网络银行“安全办公局域网”解决方案

　　方案特点：

　　1、双网分离。由于办公网中运行的程序众多，而且许多程序需要访问外部的网络，极易感染各种病毒，或者遭受攻击，所以可以说办公网对于生产网的安全造成了威胁。“安全办公局域网”解决方案中，在尽量节约成本的前提下，将生产网和办公网利用VLAN隔离开来，并架设锐捷网络的高性能防火墙进行病毒和网络攻击的过滤，最大程度上保证了生产网的安全，使得病毒大面积爆发时，银行业务不会受到影响。

　　2、功能分块。为保证办公网络的稳定运行，让不同业务之间不受到影响，“安全办公局域网”解决方案将办公局域网按照业务的需求进行了分块设计，例如将OA服务器、Notes服务器以及病毒库服务器和GSN系统所需的服务器隔离出来，成为单独的服务器区域，对此区域进行完善的安全防护，以保证核心业务服务器的安全。而在对外接口方面，为防止“病从口入”，也将这部分划分为单独的区域，来保障办公网核心的安全。分区之间通过高速链路相连，并加以适当的安全策略，实现了性能和安全的双重保障。

　　3、双核备份。在“安全办公局域网”解决方案中，采用锐捷网络RG-S8600作为办公网的双核心，通过冗余备份和负载均衡的连接，辅以VRRP和OSPF等协议，在保障稳定的同时也提升了网络的性能。RG-S8600系列十万兆交换机是锐捷网络自主研发的国内首款十万兆交换机，它所独有的SPOH同步式硬件转发技术、ECMP/WCMP技术、三平面分离等特色技术以及强大的CSS安全体系，为银行办公网提供了高性能、高稳定的解决方案。

　　4、身份准入。方案中使用了锐捷网络的全局安全解决方案——GSN，作为GSN的重要组件，SAM身份认证系统起到了重要的作用。通过与锐捷安全智能交换机S2100系列的联动，SAM系统可以实现对于用户身份的完全验证，并可实现基于IP、MAC、交换机端口号、交换机ID、VLAN号、用户名和密码等在内的六元素绑定，实现了入网用户身份的唯一、合法，也使的在安全事件发生时，方便的追查、排除。RG-SAM身份认证系统在高校中已经有了非常广泛的应用，而针对银行更高的安全要求，锐捷网络对SAM系统进行了有针对性的研发，更加适应银行网络的需求。

　　5、安全检测。作为GSN全局安全解决方案的重要组成部分，RG-IDS即入侵检测系统的作用就像植入网络中的一个探针，它实时收集着网络中发生的安全事件，并将它及时的报告给GSN的另一个组成部分即安全管理平台SMP，从而是SMP能够对安全事件进行及时准确的处理。IDS可以方便的部署在办公网络的核心交换机中，通过交换机的端口镜像功能，在不影响任何办公数据流的情况下，即可对网络中的数据流进行细致的检测。

　　6、自动修复。作为GSN全局安全解决方案的总管，RG-SMP即安全管理平台担负着主机完整性检测、主机信息检测、系统漏洞检测、安全事件分析处理、系统补丁下发、必要软件及更新下发等多项工作，通过与RG-SAM和RG-IDS以及安全交换机的联动，RG-SMP对于全网安全情况以及接入网络中的PC的安全情况了如指掌，并通过内置的数据库对发生在网络中的安全事件自动做出分析和决策。