面向地市的各大银行无线营业厅管控审计解决方案

面向地市的所有银行无线营业厅管控审计解决方案深信服科技面向地市银行无线营业厅管控审计解决方案深信服科技面向地市的所有银行无线营业厅管控审计解决方案深信服科技目录面向地市的所有银行无线营业厅管控审计解决方案一、方案拓扑1.1拓扑（）CMNET城域网太原CMNET城域网NE5000E分光器无线控制ACRadius同步流量POE交换机POE交换机POE交APAP智能手机智能手机智能手机笔记本电脑笔记本电脑地面向地市的所有银行无线营业厅管控审计解决方案1.2拓扑（）P面向地市的所有银行无线营业厅管控审计解决方案深信服科技二、方案概述能够通过免费的WIFI接入到互联网，中国移动山西省分公司为银行提供了无线覆盖的解决方案：将每个地市的银行营业厅分别部署无线AP，通过POE交换机供电，统一汇聚于一点，通过无线控制BRAS和城域网接入路由器接入到中国移动互联网骨干网CMNET。82例如通过URL黑白名单进行控制，防止用户在银行提供的免费WIFI环境访问非由于用户P2P下载影响了其他用户的上网体验。客户打造了如下的一站式解决方案：网关、Radius数据采集器、区中心服务器。在无线控制AC和AP汇聚点之间部署深信服上网行为管理，实现面向IP的流量管理、行为审计和URL黑白名单管理功能；同时，在省级的Radius数据服务器和网络接入服务BRAS之间，通过分光器分出一路，将Radius数据镜像给深信服Radius采集器一份，用于分析用户名和IP的对应关系，并且将对应关系同步到用于流控、审计和URL管理的网关设备。两者整合到一起，就可以实现面向用户手机号码（用户名）的流控、审计和URL管理方案。2.1方案1按照方案拓扑（1）来建设WLAN网络，一个地市所有的银行营业厅统一一个汇聚点，向上汇聚之后访问核心网络CMNET，为了实现审计、流控和URL过Radius数据采集器，便可实现面向用户名（手机号）的流控、审计和URL管理方案。3面向地市的所有银行无线营业厅管控审计解决方案深信服科技2.2方案2按照方案拓扑（2）来建设地市银行营业厅WLAN，需要针对不同的银行提Radius审计和URL管理方案。三、方案详述3.1Radius采集器：用户名（手机号码）和用户IP的对应关系关联如图所示：采用旁路镜像模式部署，分析从分光器分流过来的Radius流量RadiusRadiusRadius数据包中的user-name和framed-ip-address应起来，保存在Radius采集器本地。为管理网关，如图：4面向地市的所有银行无线营业厅管控审计解决方案深信服科技这样便可以实现用户名和IP关联，并且将用户名信息转发给部署在每一个地市的行为管理设备。3.2行为管理设备：流控、审计、URL黑白名单首先实现面向IP的流控和审计及URL黑白名单控制，在同步Radius采集器的用户名和IP的对应关系，在行为审计方面，就可以直观的了解到每一个用户的上网行为记录了。3.2.1流量管理策略。如图：在全天时间，所有用户的下载行为（P2P、下载工具和网络流媒体等）的带宽资源不可超过38.4KB，并且每个人的下载速度不可超过5KB。P2P应用，若不对这些应用加以限制管理，企业的带宽资源必会被抢占，而核心问。因此，企业需要一种流量管理工具，识别应用流量，对现有的带宽进行合理的分配。父子通道通过部署，可对网络出口链路总带宽进行细分，采用“基于队列的流控5面向地市的所有银行无线营业厅管控审计解决方案深信服科技同用户或者应用，在通道中可以限制或保障其带宽，控制灵活。AC支持多级父8用户提供细致的流量管理手段，使得带宽分配更灵活、更合理。P2P智能流控IP“带宽杀手”P2PP2P、非主流P2P、新型P2P工具等让众多P2P管理手段形同虚设。AC凭借P2P智能识别技术，不仅识别和管控常用P2P、加密P2P，还能对不常见和未来将出现的P2P应用加以控制。目前互联网上流行的P2P特性，传统流控手段是通过缓存和丢包手段来实现流量控制的目的，但是某些P2P应用如P2PP2P下载工具等缺乏自身流控机制，即使被丢包依然不预期的效果。针对这些问题，AC通过智能流控功能，能有效解决P2P应用的问题。虽然6面向地市的所有银行无线营业厅管控审计解决方案深信服科技基于UDP协议的P2P应用对丢包不敏感，但是下行流量与上行流量有显著的相关性，只要控制住上行流量，下行流量就能得到控制。当开启AC的智能流控功减少下行流量的效果，从源头处有效限制P2P流量。动态流量控制当带宽有限时，银行希望通过限制P2P、流媒体等应用来保障邮件、访问网宽资源不足，而其他应用的带宽资源却处于空闲状态，得不到有效利用。针对此类问题，AC提供了动态流控功能。用户可通过配置线路空闲阀值，带宽管理，最大满足业务对带宽的需求，实现带宽的最大价值。虚拟线路分配不均，导致部分线路负荷过重。AC通过虚拟线路技术，即定义不同的虚拟7面向地市的所有银行无线营业厅管控审计解决方案深信服科技线路中结合父子通道、P2P3.2.2URL黑白名单过滤深信服上网行为管理内置千万级别URL深信服上网行为管理支持自定义URL内容：深信服上网行为管理支持基于URL授权策略，如图，建立策略：在全天时间，所有用户拒绝访问成人内容的网站信息。8面向地市的所有银行无线营业厅管控审计解决方案深信服科技发帖过滤法律责任。ACAC可设置只允许登陆、看帖，但不允许发帖，或者实行发帖关键字过滤，灵活避免企业中出现泄密或者发表不良言论带来法律追究责任的风险。邮件过滤Email不仅是组织重要的沟通方式之一，同时也是最常见的泄密方式。AC支/个数/大小过滤外发邮件，对于将文件修改后缀名、删除后缀名，或者压缩、加密后作为Email附件外发，试图躲过拦截与审查的行为，AC能够识别并进行报警。同时，对于所有收发的webmail、Email邮件AC都可以全面记录并完整还原原邮件，并通过数据中心方便管理员对邮件日志进行查询、审计、报表统计等操作。文件传输过滤行为而用户对此茫然无知，有意泄密者甚至会将外发文件的后缀名修改、删除，或者加密、压缩该文件，然后通过HTTP、FTP、Email附件等形式外发。AC支持管控文件外发行为，如仅允许用户从指定的可信的下载站点下载文件而封堵其他站点，基于关键字、文件类型控制上传/下载行为，封堵QQ/MSN等IM传文件，允许使用Webmail收邮件而禁止发送邮件等。其中，仅仅实现对件扩展名过滤外发文件、外发Email也无法应对以上风险。鉴于此AC的文件类缀名，或者加密、压缩文件文件外发的行为，AC也能发现并且告警，保护企业的信息资产安全。9面向地市的所有银行无线营业厅管控审计解决方案深信服科技3.2.3行为审计认证信息同步（获取用户名）Radius采集器的认证信息（用户名和IP的对应关系）同步到本地设备。行为审计WEBBBSWEBMAIL、客户端MAIL、上传文本内容、微博内容、访问网址、发表言论、外发附件等上网行为记录。由于关联了用户名和IP的关系，可以直接对应到用户名（手机号）的上网行为记录。访问网站行为记录10面向地市的所有银行无线营业厅管控审计解决方案深信服科技搜索关键字行为记录在数据中心查询历史记录邮件收发对于Webmail或邮件客户端收发邮件，AC能够记录邮件的时间、发件人、收件人、标题、正文内容和附件等，附件内容可提供下载做进一步审核。11面向地市的所有银行无线营业厅管控审计解决方案深信服科技IM聊天对于MSNGtalk等聊天应用，无论是Web版或是桌面版，AC均能详细记录其聊天内容。微博论坛面记录，准确还原发帖内容，提高可读性。12面向地市的所有银行无线营业厅管控审计解决方案深信服科技3.2.4无线协议剥离（识别用户上网数据）AC和AP之间通过隧道封装来传输数据,例如道协议剥离来定位数据包内容部分，进一步分析出来用户上网数据的真正内容。13面向地市的所有银行无线营业厅管控审计解决方案深信服科技3.3面向某个银行所有营业厅的个性化解决方案（一个银行&一个组别）为了实现X地市每个银行（建行、工行、农行）的个性化需求，需要将单个个用户组的URL控制策略和流控策略，可以给每个银行提供个性化的管理需求。深信服为此提供了如下的解决方案：配合山西移动提供的表格资料（具体包含：AP_MAC、热点、AP名称和NAS_ID14面向地市的所有银行无线营业厅管控审计解决方案深信服科技信服品牌上网行为管理设备上。IP地址：，完成两者之间的组别和AP之间关联同步。中心服务器”的AP_MAC信息，上网行为管理通过识别每一个AP的MAC地址，将从该AP登录上网的终端用户归属到该AP，再讲所有同类的AP归属到同一个个银行所有营业厅的个性化管理和流控需求。15面向地市的所有银行无线营业厅管控审计解决方案深信服科技管理员可以清楚看到每个组别下属的具体用户（Radius采集器截图）管理员可以清楚看到