一级分行互联网接入平台选型方案-建议书.doc

建议书 一级分行互联网接入平台 目 录 目 录 I 1 需求分析 1 1.1 接入平台的现状 1 1.2 网络建设目标 1 2 接入方案设计 2 2.1 一级分行接入平台的设计目标 2 2.2 接入方案的架构设计原则 2 2.3 产品选型的基本原则 2 2.4 接入平台的总体网络架构 3 2.5 方案拓扑图： 4 2.6 方案策略说明: 4 2.7 选型部署说明: 5 3 方案特点 6 4 产品说明： 7 4.1 负载均衡器 7 4.2 外层防火墙： 8 4.3 特性与优势 8 4.4 内层防火墙： 9 4.5 IDS入侵检测： 11 4.6 漏洞扫描： 11 4.7 防毒墙： 12 4.8 代理服务器： 14 4.9 Blue Coat高速缓存技术 15 5 综合管理平台 18 5.1 系统功能 19 5.2 功能特点 21 5.3 系统部署 21 5.4 产品型号 22 需求分析 接入平台的现状 目前，各一级分行及其下属的分支机构已存在一些互联网的接入点，这些接入点为各级机构利用互联网获取信息，促进业务发展起到了较好的作用，但是也应看到，全行互联网的接入点过于分散，技术实现不规范，存在的问题较多。具体表现如下： 接入点多且分散，不符合总行网络规划要求。 根据总行网络规划，互联网接入平台只部署在总行和各一级分行。各一级分行的互联网接入平台，负担一级分行及其所辖机构的上网流量。目前，全行的互联网接入点非常分散，各一级分行、部分二级分行，甚至一些支行都有单独的互联网接入。这种分散接入的方式，不符合总行网络规划要求，没有有效地利用资源。 实现技术不统一、不规范，安全管理困难，存在安全隐患。 一些一级分行根据业务和管理的需求，设置了互联网出口，总行对此也制定了相关网络安全规范，但各行落实情况不一，接入技术上存在不规范的地方，接入的方式比较复杂。一方面不便实现集中统一的安全管理，另一方面给银行的网络带来严重的安全隐患。 安全强度不够，可靠性、稳定性、可用性不高。 由于网络技术的迅速发展，原有的一些防御手段已显不足，加上设备老化、性能不够等因素，网络安全风险不断增多，大多数互联网接入点存在安全强度不够的问题，大大降低了全行网络的安全水平。此外，由于没有采用防病毒、漏洞扫描、缓存等机制，使得互联网的使用效率不高，效果不理想，系统可靠性和稳定性需要增强。 网络建设目标 接入互联网平台的部署从全行网络体系出发、从业务安全角度和节约广域网带宽资源的角度出发，采用接入互联网平台分布式部署方式；在一级分行建立与总行互联网接入平台相对独立的互联网接入平台，满足一级分行及其下属机构访问互联网的需求。这样避免了互联网出口过于分散简陋造成的安全漏洞和系统的不稳定，也避免了统一使用总行互联网出口对骨干网业务流量的冲击和带宽资源的浪费。各一级分行分别设置代理服务器负责辖区内访问互联网的管理、控制、安全以及缓存。一级分行（包括所辖的下属机构）的用户通过本区域的代理服务。 接入方案设计 一级分行接入平台的设计目标 一级分行互联网接入平台建设的主要内容是建立一级分行的安全、可靠、高效的互联网访问平台，配合建立以一级分行为单位的互联网接入平台网管系统，保障相关业务和管理系统的7*24小时不间断运行，实现对互联网资源安全高效的利用。 接入方案的架构设计原则 一致性原则 必须严格按照总行的技术规范和网络安全标准制定。 安全性原则 采用足够的安全措施保障互联网接入平台的安全，对互联网公开发布的信息，应采取安全措施保障信息不被篡改，考虑身份认证、访问控制、数据完整性和审计等安全指标。 层次性原则 互联网接入平台采用多层次安全防御原理，在互联网区域、DMZ区域、内部企业网区域通过划分不同安全等级的区域，设置异构防火墙网关等网络安全产品，多层次拦截和防护降低来自互联网安全威胁，保护企业内部网络的安全。 实用性原则 根据当前互联网面临的安全风险和企业的网络安全需求设计安全方案，充分满足当前需要，充分利用现有资源，充分利用现有的网络安全设备和管理软件，利用现有的AAA软件、用户管理设备和网络管理系统，尽量降低建设成本。 可扩展性原则 在各种不安全因素的网络和应用环境中，建立一定时期内相对安全稳定的互联网接入平台系统；整个系统的安全策略部署可以随着系统的变化、发展而变化、发展的，同时具有长期的有效性；虽然不同时期网络安全策略可能不同，但安全体系能够随着网络的扩展和安全策略的变化而保持相对的稳定并具有灵活性。 可管理性原则 整个互联网接入平台应当具有可管理性，防火墙产品、入侵检测产品、漏洞扫描等网络安全设备应提供方便、安全的管理特性，入侵检测特征库、病毒库等具备实时、在线的更新。采用统一的网络管理平台，实现对安全设备和网络各层应用的管理。 产品选型的基本原则 满足互联网