金融自助终端无线安全接入解决方案
客户需求分析

随着金融行业的飞速发展,传统的金融业务呈现出多元化的发展模式,网上银行、电话银行、移动银行等各种新兴金融业务悄然 兴起,同时全国数据大集中系统建设也提上日程,种种迹象都预示着我国金融行业正在朝国际化方向发展,创新服务模式成为必然趋 势。

在银行系统中,现有自助服务设备,如ATM终端、自助查询终端等,多数采用有线网络接入方式,这种接入方式,受有线网络覆 盖的影响,只能设置在金融机构营业网点和大型商业机构内部(具有有线网络接入),束缚了服务模式。同时,自助设备要具备有线 网络的布设方式,削弱了自助设备的便捷、方便的特点,无法实现利用自助交易方式扩大营业网站业务覆盖的初衷。但随着无线通信 3G/4G/5G飞速发展进入平常生活,也让金融自助设备便捷、方便的服务成为可能,对于通过无线接入自助终端的方案,需重点考虑 的问题有:

◆ 无线接入的方便性所隐藏的安全问题。通过无线接入的金融自助终端,通常部署在比较偏远或有线网络不易部署的地方,接入非 常方便、灵活,但无线不同于有线网络有看得见摸得着的传输介质,在安全方面,无线接入这种方式必将是重中之重考虑的问题, 确保自助终端每笔交易的安全性。

◆ 无线接入的可靠性保障。无线传输很容易受到天气、周围环境等很多因素的干扰,影响无线信号,导致交易数据传输的不稳定性, 影响到用户的业务操作体验。

◆ 优化无线传输效率。无线传输带宽的波峰和波谷差值比较大,如何保障业务在波谷时能进行正常的快速交易,仍是规划、建设值 得深思的问题。

◆ 事件回溯能力。在金融互联网化的今天,任何网络相关的事件都不容小视,都有可能影响到业务,如何通过网络层面进行回溯、 分析、定位,防范于未然,这至关重要。

解决方案

通过在金融机构的多运营商线路入口部署应用交付设备,在前置区部署下一代防火墙,保障金融机构无线接入服务水平和用户满 意度,齐杉科技金融自助终端无线安全接入解决方案具体如下:

◆ 整体方案由运营商为金融机构提供独立的无线接入点为基础,自助终端以无线网络为基本通道,在无线网络之上部署VPN通道, 交易数据通过VPN通道进入金融机构的业务前置区域,完成后续业务相关操作。

◆ 在金融自助终端前部署Cedar NGFW,通过接入运营商3G/4G/5G卡实现对金融机构业务出口的路由可达,在路由可达的情况下, 通过Cedar NGFW设备开启IPsecVPN功能,与金融机构的IPsecVPN网关建立安全通道,自助终端所有业务数据通过VPN通道来承 载。

◆ 在金融机构互联网出口部署齐杉Cedar ADC产品,负责各家运营商线路的接入,主要解决入站VPN业务组流量高可靠调度,业务 通道的实时检测,业务故障自愈等;

◆ 在业务前置安全区域部署齐杉Cedar NGFW产品,主要为业务数据提供VPN安全通道,防范数据被伪造、篡改可能,同时有效过 滤异常安全事件。

◆ Cedar系列强大的日志能力,结合Log分析平台,可以完整的输出经过设备的所有安全攻击日志、NAT转换过程、VPN通信事件、 流量调度过程、链路健康检查状态、应用健康检查状态、路由日志等。

■入站流量调度

智能DNS功能是解决入站流量调度方面的问题。首先需自助终端通过拨域名的方式与金融机构IPsecVPN网关来建立隧道,接下来 需将IPsecVPN通道的域名解析功能指向齐杉科技Cedar ADC设备,由Cedar ADC设备来进行域名A记录的解析,自助终端通过解析出 的A记录地址建立VPN隧道,VPN流量到达Cedar ADC设备时再通过算法调度到具体提供VPN业务组内的成员。

举个例子来说,当自助终端访问业务系统时,首先通过域名建立VPN隧道,逐步通过自助终端上配置的本地DNS服务器、根DNS服 务器,最终由Cedar ADC设备来进行域名的A记录解析。Cedar ADC设备在进行A记录解析时,会通过智能DNS模块检测出口线路的健 康状况、线路的响应时延、自助终端的归属等,最终反馈最佳入口运营商公网IP地址为A记录地址。自助终端通过IP地址建立VPN通道, 当VPN流量到达Cedar ADC设备时,设备通过应用调度功能,结合VPN业务组成员的优先级、负荷情况、健康状况、响应时延等,将 VPN业务调度到最优的VPN业务成员上,由VPN业务成员完成VPN隧道的建立。

■安全控制

Cedar NGFW设备不但具有齐全的VPN功能,满足VPN业务的需要,同时Cedar NGFW还具有全面的安全功能,通过安全过滤功能, 允许、拒绝、重定向通过防火墙的数据量,提供对服务访问的控制和审计,包括基于用户和协议的策略定义、URL过滤、协议识别等 特性。Cedar NGFW根据网络中配置的安全规则策略,有选择的在不同网络间发送信息流,默认安全规则策略拒绝所有入站和出站的 信息流,仅授权的管理员具有改变安全规则策略的权限,从而过滤外部网络发起的非法主动访问请求。

■事件回溯平台

金融系统对日志事件回溯要求非常高,一方面需对故障时原因进行分析定位,作为追责的依据,另一方面也需要通过日志对隐藏 的安全问题进行及时补救,防范于未然。Cedar NGFW/ADC设备具有强大的日志功能,能完整的输出经过设备的所有安全攻击日志、 NAT转换过程、VPN通信事件、流量调度过程、链路健康检查状态、应用健康检查状态、路由日志等,结合Log分析平台,为故障排查、 追责提供不可抵赖的证据。

■持续优化

通过TCP连接复用技术,将自助终端的多个连接合并为与服务器的一个连接来进行通信,减少TCP连接的三次握手次数,提高实际 有效数据的交换比率。同时连接复用功能还将Web流量的多个短连接合并为一个长连接,提高服务器的响应速度,改善服务器的性能。 提升业务在无线流量波谷时交易的用户体验。

客户价值

◆ 灵活性。通过运营商3G/4G/5G网络为载体,为自助终端提供安全的数据传输方案,及大的提升了金融机构的服务能力,提升了 用户对金融机构公众形象。

◆ 高可靠。通过入站VPN流量调度机制,可将业务故障自愈能力缩短到秒级,真正满足业务7*24的高可靠。

◆ 高安全。2-7层多重立体安全防护体系,保障业务系统数据安全。