交行网点接入互联网方案.doc

交通银行网点接入互联网解决方案中国联通镇江分公司2013年3月目录一、应用背景2二、需求分析2三、解决方案3四、部署方式6五、认证过程8六、可实现详细功能9一、应用背景随着手持智能终端在大众中的普及，银行在营业厅内提供免费WiFi服务，方便了银行客户体验网银的方便，减轻了窗口工作人员的工作量，给银行带来了极高的人气。(同时兼容台式机接入登陆！)有数据初步分析，营业厅内部署WiFi系统，可分流20%以上前来办理业务的人员，通过手机网上银行办理业务，平均节省30%的排队等候时间。当客户在等候时，可使用WiFi免费上网，分散等待注意力，从而减少客户排队等待时间过长的抱怨，提升客户满意度。目前国内多家银行开始在营业厅部署WiFi，以提高客户的服务水平，其中光大银行提出“打造客户体验最好的电子银行”，在全国各分行陆续推出了无线营业厅的概念，受到了广泛认可。二、需求分析交行此次计划在市区各营业网点为客户提供网络服务。同时对部分领导和员工有限开通外网。对于所有用户的上网行为，交行总部要求能够全程掌控，出现特殊情况，有据可查。银行营业厅的WiFi通过两种方式提供，第一种是银行单独租赁运营商线路专门供营业厅WiFi使用，第二种是使用营业厅内办公网的网络，利用无线AP提供WiFi服务。无论使用哪种方式，银行营业厅在提供WiFi服务时，都需要考虑以下问题：a. 上网用户身份确定：用户在使用WiFi网络前需要一套身份认证的方式，以便确定哪些用户在使用；b. 发表免责声明：银行营业厅是一个公共上网场所，客户在营业厅的上网行为不应该由银行来承担，因此银行需要说明上网政策，发表免责声明。咨询电话：800-830-9565服务电话：800-830-6430c. 保障上网体验：WiFi网络带宽有限，若有客户使用在线流媒体或下载大流量的电影类文件，将影响其他使用WiFi网络客户的上网体验，因此需要针对使用网络的用户做一定的流量限制。d. 提供健康上网环境：客户在营业厅上网浏览不健康的网页，发表不负责任的言论，将给银行带来一定的影响，在必要的情况下，银行需要限制部分应用，提供上网用户的行为记录给相关部门，以供追查。三、解决方案针对交行业务需求，结合交行目前网络状况。本方案计划采用基于我公司互联网的MPLS-VPN方式组网。与交行现在的业务网，实现物理隔离，确保业务网络安全。及在交行总部接入一条互联网。各营业网点通过VPN网络与总部连接，实现上外网。对于上网行为的管理，可通过部署上网行为管理设备来实现。本方案采用深信服系列上网行为管理设备。主要功能如下： 短信认证：使用WiFi网络的客户输入手机号，与短信猫联动，获取密码登录。短信认证是目前公共上网场所上网中使用最方便的认证方式，且大多手机号已经实现实名制，可确定客户的唯一身份。 个性化PORTAL服务：发表免责声明。用户在上网之前，打开页面，弹出银行行定制的web页面（部分银行总行已有统一的模板），用于提示上网政策及业务宣传。上图示例为某银行总行发布，全国各分行营业厅使用。 上网流量控制：建议可限制下载类的大流量应用，限制单用户使用网络的流量，保障用户的上网体验。 行为管理：利用上网行为管理设备过滤不良网页和应用，提供健康绿色的上网环境。对部分敏感信息进行记录，满足公安部82号令的要求。 安全防护：上网行为管理设备同时内置NAT、防火墙、防DDOS攻击等功能，为WIFI用户上网安全提供完整的防护。 精确营销：通过深信服个性化PORTAL服务，给上网用户推送业务宣传及理财产品。定位手机号，从而通过识别手机号进行精确营销，凡使用WiFi网络的客户进行行为分析。四、部署方式设备的部署方式，根据网点上网人数的不同，可分为以下两种方式。1、 集中部署如上图所示，在交行总部部署一套高性能深信服上网行为管理设备，通过将核心路由器数据流镜像到上网行为管理设备，上网行为管理设备通过识别帐号和密码来判断是否让数据流通过，对未授权的上网申请进行阻塞。各营业网点新增一台交换机和无线发射点。总部可通过VPN网络对各营业网点的上网行为进行统一管理。该方式适合上网人数较少的情况（约不超过300人）。2、 分布式部署如上图所示，在分行总部以及各个营业网点核心路由器或交换机前端部署普通的深信服上网行为管理设备，通过将核心路由器或交换机数据流镜像到上网行为管理设备，上网行为管理设备通过识别帐号和密码来判断是否让数据流通过，对未授权的上网申请进行阻塞。在分行总部放一台集中管理设备，可以对营业厅设备进行统一管理及下放策略，方便总部人员统一管理。五、认证过程1、PC终端通过DHCP获取IP地址和网关后，打开IE浏览器时，会强制弹出如下提示界面，提示用户输入手机号。2、用户输入手机号并点击获取认证码后，审计设备随机生成一个验证码，通过短信猫将短信发到用户手机上，短信中会告之用户此次验证操作不产生任何费用。3、用户输入手机上收到的验证码后即可正常上网。以此种方式识别用户后，用户所有上网记录都归到收取验证码的手机号上，但是短信猫向外发送短信需要收费。六、可实现详细功能1、深信服上网行为管理设备，功能如下： 实时封堵不良信息功能。系统实时拦截任何访问不良站点的网络行为，并返回警告页面信息给用户端。 实时封堵即时通讯及网络游戏功能。系统实时控制用户端的QQ、MSN、ICQ、YahooMessenger等通讯及文件传输，控制QQ游戏、联众、边锋等网络游戏的登录。 QQ、MSN、ICQ、YahooMessenger等通讯及文件传输，控制QQ游戏、联众、边锋等网络游戏的登录。 实时封堵财经股票功能。系统实时控制用户端登录财经股票系统，如大智慧行情分析、飞天行情分析、龙卷风行情分析等。 P2P下载及下载文件类型控制功能。由于终端客户机上网时可能下载一些与工作内容无关的大数据量的文件，比如AVI、MPEG等文件，这些文件在下载时极大地影响了整体的网络速度。网络管理者可以控制是否允许P2P下载、定义可以下载的文件类型，以确保正常的网络速度。比如：“eMule”和“BT软件”。 URL地址关键字过滤功能。根据上网请求URL之中的关键字进行智能模糊匹配过滤，与关键字匹配的网址将被限制访问。 收发邮件控制功能。可以设置WEBMAIL邮箱的URL控制列表，以实现禁止使用指定的WEBMAIL收发邮件或者设置POP3、SMTP协议的邮件服务器控制列表，通过选择只封堵或只开放该列表中的邮件服务器来实现对收发邮件的控制。 局域网内机器管理和帐号管理功能。可以实现对局域网内IP地址和机器名的搜索，并对搜索到的机器信息进行分组管理；还可以设定部分或全部机器须用帐号上网，通过对帐号的分组管理，可实现在同一机器上不同用户具有不同的上网活动权限。 网络控制策略功能。管理人员可以根据实际需要实现灵活的网络控制策略，包括对全局、机器组、帐号组进行网络控制策略设置，以满足部分小组对网络使用的特殊需要。 IP与MAC绑定功能。允许您将特定机器或批量机器设置成绑定机器的IP地址和MAC地址。该功能杜绝了改动IP地址就不受控制策略限制的情况。 实时查看上网情况功能。可实时查看当天流量情况，查看正在进行网络活动的用户及活动情况，以获知当前网络流量比较大的用户及距当前某段时间内上网很活跃的用户。上网记录中可记录终端用户的MAC地址。 记录全面的互联网访问信息功能。系统通过捕获并分析网络数据包，还原出完整的协议原始信息，并准确记录网络访问的关键信息。分析协议包括HTTP、HTTPS、SMTP、POP3、TELNET、FTP、QQ、MSN、ICQ等。日志记录保存在产品自身的存储设备中，用户可自行设定日志保留的天数及磁盘限额。 日志备份与恢复功能。可以通过将记录上传至指定的FTP服务器来备份日志。备份的方式有自动备份和临时手工备份。当因异常导致系统日志数据丢失时，还可从备份服务器中恢复以前的日志数据到系统中。 丰富的日志报表和趋势分析图功能。系统提供各种上网活动的排名、统计、趋势分析图。可对分组、对人员进行网络活动排名，对访问资源进行统计，对各网络活动进行访问趋势分析。 自定义封堵站点及报表功能。用户可自行设置需要封堵或策略控制的站点列表，还可选择各种报表。 自定义MAC地址黑白名单，利用MAC地址对终端授权。2、可记录用户所有的上网记录，包括： 标准协议及其衍生应用基于HTTP协议的网页浏览（GET）、网页提交（POST），其中POST应用可细分为WEBMAIL、WEBBBS、WEBCHAT（聊天）、WEB登录等上网行为，对基于HTTPS加密协议的网页浏览行为也将记录其关键数据；基于TELNET协议的远程登录；基于FTP协议的文件传输；基于SMTP/POP3的电子邮件收发、基于Samba协议的文件共享传输、基于HTTP的搜索引擎访问等。任天行系统将全面记录基于这些协议的行为日志和必要的帐号、文件名等关键信息。 即时通讯（IM）/网络电话应用包括QQ、MSN、ICQ、雅虎通、新浪UC、网易泡泡、Google Talk、飞信、阿里旺旺、搜Q、E话通等10多种国内外流行的IM或网络电话应用软件，任天行系统将全面记录这些IM/网络电话应用的行为日志和必要的帐号信息。 流媒体/网络视频直播标准的MMS、RTSP流媒体播放协议和主流视频网站和视频直播软件所使用的视频直播应用协议（QQLIVE、PPLIVE、PPStream、优酷、酷六、六间房、新浪视频、搜狐视频、网易视频、央视高清等）。 P2P下载应用包括BT、eMule等国内外流行的P2P下载应用协议。 娱乐/游戏应用包括国内外流行的数种娱乐游戏平台和大型网络游戏，例如：联众、浩方、边锋、QQ游戏、中国游戏中心、游戏茶苑、远航、CS、魔兽世界、武林外传、征服、跑跑卡丁车、劲舞团、大话西游、冒险岛等数十种网络游戏，任天行系统将全面记录这些娱乐/游戏应用的行为日志和必要的帐号信息。 财经证券类能够对国内流行的证券软件所使用的协议记录行为日志，主要包括以大智慧、钱龙、核新同花顺、通达信、大福星、龙卷风等研发厂商为核心的国内各大证券商数十种OEM版本，如安信证券、广发证券、国联证券、银河证券、招商证券、方正泰阳证券、湘财证券、国信证券等。 网上银行/网上支付能够识别通过客户端、网页登陆的网上银行、网上支付应用，支持的银行有：工商银行、招商银行、建设银行、农业银行、光大银行、交通银行、中国银行、民生银行、中信银行、上海浦东发展银行、华夏银行、深圳发展银行、广东发展银行、邮政储蓄银行、兴业银行、平安银行、渤海银行、杭州银行、重庆银行、浙商银行、成都银行、大连银行、齐鲁银行、东莞银行、东莞农村商业银行、广州银行、汉口银行、台州银行、河北银行、长沙银行、重庆农村商业银行、天津银行、上海农村商业银行、青岛银行、深圳农村商业银行、上海