金融行业VPN解决方案.docVIP

金融行业VPN解决方案 　　当网络化的势头再也不能阻挡，互联成为一种需求的时候，孤立的计算机系统已经逐步退出了现代生产活动的范畴。网络在无形中改变了我们的生存方式，也改变了各行各业的运作方式。 　　在金融行业中e-Bank、e-Business、e-wallet等业务正方兴未艾，而其整体的运营也基本实现了业务的互联、资源的共享。与此同时，以前人们认为机密不过的信息却在这个开放的没有任何安全保障的环境里传输和交换着。因为TCP/IP网络的安全保障是建立在“信任”的基础上的，一旦这种信任关系遭受破坏，与之相关的安全性也不复存在。 　　金融系统已经建立了覆盖全国的网络，包括广泛的企业内部网、办公网和开放web站点。随着业务的合并、应用的整合，事实上所有这些网络就构成了LAN+WAN+Internet的一个复杂的而又不可分割的有机体。这样一个有着多层次、广用户的业务应用，存在纵横交错的逻辑合并和物理连接的网络，不可避免的存在众多安全隐患。 　　从金融网络的逻辑结构上来讲，其脆弱性可以从以下几方面分析: 　　CONFIDENTIALITY（机密性）:在一个开放的网络，绝大多数的数据是明文传输的，那么就很容易遭受搭线窃听。在一个交换环境中，无论是通过SPAN、Monitor的端口设定，还是通过Sniffer监听网络中的广播数据，都是轻易而举的事，因此不管是通过Intranet/Extranet或者恶意的ISP传输的明文数据都没有安全性可言。 　　INTEGRITY（完整性）:数据在传输过程中一旦被窃听、截获，那么就很容易被窜改并重发，无论是偶尔的被动传输错误还是故意的人为攻击，数据的完整性都会被破坏。“中间人攻击”、“会话劫持”就是典型的针对数据完整性的攻击方式，而随着类似Juggernaut这种工具的普及，使得攻击越来越容易也越来也频繁。 　　AUTHENTICATION AUTHORIZATION（认证与授权）:对于金融系统，市场行情信息，成交记录，并进行清算和银行割账等行为，都需要进行一定的访问控制，而对于电子交易更是需要严格的身份认证。如果没有一个可信第三方作出权威的仲裁，那么对于随时可能被篡改的请求和回应，就无法进行安全性的校验，主客体双方身份得不到确认，自然无法保证其行为的合法性。 　　 　　为了解决端到端的数据安全，许多VPN方案被提出:比如PPTP、L2TP、L2F VPN以及MPLS VPN。 　　什么是VPN，VPN (Virtual Private Network) 也叫虚拟专网，它是企业网在Internet上的拓展和延伸。VPN通过一个私有的通道来创建一个安全的私有连接，将远程用户、分支机构、业务伙伴等跟企业网连接起来，形成一个扩展的网络。事实上，VPN的初衷就是为了解决两个私有网络的连接问题，这也是PPTP、L2TP等VPN的根本目的，因为这样就可以为行业或者企业提供高性能、低价位的因特网接入。 　　基于目前的安全现状，作为国内领先的网络安全产品提供商、行业解决方案的先导者，东软提出了针对金融行业的网络安全整体解决方案，从防火墙、VPN、IDS到Universal CA,而东软的拳头产品NetEye Firewall with VPN成为众多行业网络安全的坚壁利盾。 　　NetEye VPN采用了先进的IPSec协议，和其他的几种VPN方案相比较。它们基本上是基于2层的，本身并不提供加密能力，必须依赖于其他协议来提供加密，同时它们也没有对每个数据包的认证，因此数据的机密性和完整性得不到充分的保证。IPSec协议集则定义了终端实体或网络之间如何通过Internet来进行安全的数据传输，它既可运行在 L2TP上，也可运行在 PPTP上。 　　和其他同类的IPSec VPN产品相比较，NetEye VPN提供了最完善的产品线，提供了最全面的解决方案。 　　 　　NetEye VPN中心网关。带有VPN功能的NetEye防火墙。 　　NetEye VPN灵巧网关。浓缩和精简的NetEye Firewall with VPN,为用户提供便捷的接入，灵活的安全策略控制，和大网关相比功能上要简化。需要说明的是，灵巧网关的VPN功能模块是可选组件。 　　NetEye VPN个人移动客户端。也叫个人安全平台，其基本功能是一个个人防火墙，但是用于与NetEye VPN中心网关的VPN连接。个人安全平台还能与策略服务器连接，或者在多个个人安全平台之间协商建立一个虚拟的安全域。 　　NetEye VPN和防火墙紧密的结合在一起，因此在利用VPN强大的加密和认证功能的同时，充分发挥了NetEye防火墙独有的“流过滤”技术的优势，并且集认证、访问控制、安全管理和审计于一身，构建了SVPN（Super-