金融银行业网络及安全解决方案

,JuniperNetworks金融行业解决方案,Juniper公司简介,Juniper,致力于解决网络和安全的最尖端的难题，以技术创新为主导的公司,IncludesAcquisitions,超过1900人的研发队伍(45%),每年3亿美金的产品研发投入,可靠、安全和速度Juniper企业解决方案,UAC,EnterpriseCoreRouters,FUNK,SecureAccessSSLVPN,SecurityManagement,IntegratedFirewall/IPSecVPN,IntrusionPrevention,J-SeriesEdgeRouters,DX&WX,Juniper企业解决方案组成,三大系统、六大技术门类，都以网络通信为应用目的群体与群体之间的安全通信安全网关系统个体与群体之间的安全通信安全接入系统传输通道的建立与优化广域网优化通信系统,JuniperNetworks金融行业防火墙方案,大型银行网络结构,Branch,DataCenterMainShanghai,DataCenterBackupBeijing,总行/数据中心,一级行（省行）,二级行（地市行）,ISP1,ISP2,WAN1,WAN2,Branch,数据集中处理流程,主机,主机接入,协议转换网络,广域网接入,协议转换,分行大前置机,数据中心,行,网点前端,网点,SNA,DLSWSNAOverIP,SNA,IP,终端,ATM,前端,DLSW,DLSW,WAN,CIP,大前置,TokenRing,分,数据中心防火墙方案,一级分行,一级分行,数据中心,交换核心,生产业务系统,网银/中间业务,OA办公系统,开发测试系统,经营管理系统,网管系统,externet,internet,internet,一级分行防火墙方案,营业网点,营业网点,一级分行,总行业务网,总行办公网,交换核心,生产业务系统,OA办公系统,internet,中间业务系统,extranet,经营管理系统,ATM机防火墙保护方案,专线连接：提供安全性无线连接或ADSL:提供安全性与其它收益,大幅度降低银行ATM自助终端业务运营成本扩大ATM机的铺设范围缩短ATM机的铺设周期增加ATM机移动、迁移的灵活性为银行带来其它不可忽视的众多收益,ATM方案投资回报分析,SecureMeetingforcross-enterprise,onlinemeetings,我们以一个分行向CDMA迁移200台ATM机计算：迁移前：以电信DDN专线连接每条线路租金：￥1,000/月200台一年的专线运营成本：200*￥1000*12=2,400,000/年迁移后：部署VPN安全接入解决方案，以ADSL方式连接，每条线路的ADSL费用：￥150/月每台ATM机内部部署的安全网关的费用：￥6,000/台分行/支行部署的VPN中心安全网关的费用（双机冗余）：￥150,000*2=￥300,000方案投资费用：200*￥6,000+￥300,000=￥1,500,000迁移后运行一年的运营成本：200*￥150*12=￥360,000迁移前后运营成本差别：￥2400000-￥360000=￥2,040,000/年结论：迁移后，运行不到1年即可收回方案所有投资费用，并且每年运营成本节省2,040,000/年,银行防火墙部署环境需求,流量：数据中心200M，一级分行1030M连接数：数据中心5万，一级分行5000功能及版本：ScreenOS5.0内网生产网：基本的访问控制(ip/port)内网OA网：访问控制、防蠕虫、防扫描、深层检测外联网：NAT，访问控制OA的Internet出口：抗DoS、访问控制、防蠕虫、防扫描、深层检测、URL过滤接口使用/区段划分：26/24工作模式：所有银行部署均使用路由模式HA需求：所有银行部署均使用AP或AP-FullMesh,JuniperBankingsolution,Internet,DataCenterMainShanghai,DataCenterBackupBeijing,Extranet,ATMS,防火墙异构在银行的需求,电信路由器,ALO-0,ALO-1,东软防火墙,Alteon-02,6509-01,Nokia防火墙,Alteon-01,Alteon-11,Alteon-12,6509-02,Alteon-22,Alteon-21,6509-11,6509-12,Alteon-31,Alteon-32,Alteon-41,Alteon-42,Netscreen防火墙,分布层6509,分布层6509,Internet,OverviewofJuniperstrengthinbanking,BankingcustomerinChina,Thousandsoffwsrunninginbankingnetwork,中国银行：全国范围部署JuniperNetscreen防火墙包括5200/500/208/204/100等，总数200台左右中国农业银行：数据中心，某些一级行部署JuniperNetscreen防火墙包括5200/200系列等。中国工商银行：全国南北数据中心、全国各省行全部部署JuniperNetscreen防火墙，产品包括5000/2000/500/208/204等，总数500台以上。中国建设银行：数据中心，某些一级行部署JuniperNetscreen防火墙2000/1000/200系列等中国农业发展银行：数据中心各、全国各省行均采用JuniperNetscreen防火墙，包括5200/500/204/208防火墙。共600多台。中国光大银行：总行及全国各省行采用JuniperNetscreen防火墙，包括500/200/100总数200台以上中国造币总公司：全国采用JuniperNetscreen防火墙，包括500/200系列等中国邮政储蓄：总部及全国各省行采用JuniperNetscreen500防火墙中国人民银行：部分分行采用JuniperNetscreen防火墙。深圳发展银行：部分采用JuniperNetscreen防火墙。,Juniper银行业经验价值,“Juniper不仅仅是把这些当作一个个的案例，而是把这些资源作为我们能为每一个银行用户提供更好的服务和产品的基础，我们有专业的银行服务支持小组，负责把这些银行的服务联成一个大的体系，每一家银行用户在这个大体系中都不是孤立的，而是靠我们的服务和支持使之互通的，在经验相互共享、相互参照中获得健康的生存，每家客户的网络安全性都靠这个大的体系获得了更强的生命力”JuniperNetworks,Inc.,Juniperfirewallproductline,办公室,区县,总部,地市,省级单位,Juniper防火墙产品线,NetScreen-5GT,NetScreen-25/50,NetScreen-HardwareSecurityClient,NetScreen-5400,ISG2000,ISG1000,NetScreen-5GTWireless,NetScreen-5200,100M,200M,4G-30G,200-600M,1G-4G,SSG520,SSG550,Netscreen-500,Netscreen204/208,品质就是不一样,ISG2000,保护的企业,入侵防护,反垃圾邮件,用户认证授权,基本防火墙,防病毒,业界最优的防火墙产品,IPSecVPN,被Gartner评为防火墙领域的领导者,Juniper#1outof18vendors,GartnerMagicQuadran报告是针对IT特定细分市场上的厂商实力所进行的极具声望的评价，它从各个方面来全方位评价厂商，包括产品线的完整度和功能、技术实力、创新性、成功实施情况、满足客户现有和未来需求的能力，以及包括服务和支持在内的执行能力、市场份额、财务健康状况和其它关键指标,被Gartner评为防火墙领域的领导者,Juniper#1outof14vendors,GartnerMagicQuadran报告是针对IT特定细分市场上的厂商实力所进行的极具声望的评价，它从各个方面来全方位评价厂商，包括产品线的完整度和功能、技术实力、创新性、成功实施情况、满足客户现有和未来需求的能力，以及包括服务和支持在内的执行能力、市场份额、财务健康状况和其它关键指标,国内防火墙市场分额Juniper稳步上升,Source:Frost&Sullivan,国内安全市场分额06年Q1第一,Source:Frost&Sullivan,Juniper全球高端防火墙市场分额,举例来说，Juniper在05年全球卖出了5000台左右的高端千兆设备，而fortinet只卖了170台左右,JuniperNetworks金融行业入侵检测与防御(IDP)方案,IDS只检测攻击不阻挡攻击,0000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000,000000000000000000000000000,000000000000000000000000000,000000000000000000000000000,000000000000000000000000000,00000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000,0000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000,拒绝流量,允许流量,拒绝一些攻击,公司网络,Juniper-IDP是一个主动的，在线方式的，能够在线检测攻击并在检测过程中将恶意流量丢弃的系统,真正的入侵保护：Juniper-IDP第一台能够丢弃攻击的安全设备,用户,服务器群,用户,用户,Mail服务器,Web服务器,防火墙,Codered,HTTPTraffic,IDS只是空摆设,时间,保证安全的条件：Dt+RtPt,Juniper-IDP能帮用户解决的问题,检测并阻断拒绝服务攻击检测并且阻挡针对多种应用服务器和主机的攻击检测并且阻挡网络病毒和蠕虫的传输检测并且阻挡P2P的网络流量网络邻居共享BT下载QQ,MSN检测并且阻挡后门程序、Spyware的流量检测自定义的违规行为完全完成IDS系统的功能,Juniper的IDP技术创新,1st检测和防范攻击的安全设备能够丢弃恶意数据包1st多方式检测(MMD)能够最大化攻击的检测1st基于状态签名的检测通过检查相关的数据流量来减少误报1st中央式、基于策略的管理1st支持针对所有及时短消息协议(InstantMessagingProtocols)的保护，防止潜在的系统缺陷1st支持当天对微软软件漏洞提供防护的安全设备1st有能力提供每天攻击状态签名更新的公司1st针对间谍软件提供抵御措施1st更多,JuniperNetworks金融行业移动办公(SSLVPN)方案,银行业移动办公解决方案,MRP/ERP,Intranet/WebServer,Unix/NFS,企业内部广域网,客户,DirectoryStore,合作伙伴,企业的合作伙伴与客户,ServerFarms,E-mail,在外的网管人员,出差员工/分支机构员工,本企业的在外员工,家庭办公人员,=加密的外部会话=标准的内部会话,内部员工用机,方案优势,实施简单(免客户端软件、免服务端配置）使用方便（随时随地、任意设备、对人的要求低）扩展性强，适合快速的大规模扩展安全（应用层，比IPSec更高的安全性）投资成本低特别适合保险、传媒等行业,移动办公解决方案举例,移动办公解决方案举例,Gartner的评价,Juniper#1outof16vendors,GartnerMagicQuadran报告是针对IT特定细分市场上的厂商实力所进行的极具声望的评价，它从各个方面来全方位评价厂商，包括产品线的完整度和功能、技术实力、创新性、成功实施情况、满足客户现有和未来需求的能力，以及包括服务和支持在内的执行能力、市场份额、财务健康状况和其它关键指标,2005年市场分额,Source:InfoneticsResearch,VPN&FirewallProductsAppliancesandSoftware,2005Report，UnitMarketshare,Juniper46%,F512%,Aventail11%,Nokia5%,Other27%,JNPRis#1intheSSLmarket.,市场分额长期情况-2004,市场分额长期情况-2003,JuniperSSL获得的奖项,InfoWorldtestAward,SecureEnterprise-TestersChoiceAward(#1outof9vendors)Aug01,2005,NetworkComputing-EditorsChoice(#1outof8vendors),InfoWorldTopHonors(#1outof6vendors),Juniper是SSLVPN领域的领导者,市场领导地位,产品评测AwardsNov.2003topresent,#1of7,#1of8,#1of6,Morethan1,250enterprisecustomerdeploymentsGreaterthan2millionlicensedusersworldwide,市场份额,Infonetics,JuniperNetworks金融行业网络加速与优化(WX)方案,方案概述,作用通过数据压缩、应用加速、流量控制和应用监控等功能，提供综合的广域网优化解决方案目标改善企业应用系统在广域网上的传输性能，从而提升其商业效率,OptimizedatatransferbetweenNetworksconnectedviaWAN,DataCenter,Branch1,Branch2,HQ,Web-enabled=10 xbandwidth,Bandwidth,Serverconsolidation,Newapps,Appperformance,Datareplication,QoS,VoIP,为什么需要广域网优化？,广域网优化技术的崛起传统技术-数据压缩、QoS服务质量、流量整型等新兴技术-应用加速、网络缓存、应用管理监控等广域网优化市场的发展趋势目前的特点：单一的技术、单一的产品导致存在诸多单一市场发展趋势：技术融合、市场融合,形成综合的广域网优化技术和市场,应用加速,网络缓存,目前网络加速市场的问题,Juniper是此领域拥有最全面技术解决方案的厂商,*Requiresaseparatebox,Compression,Reporting,QoS,PathOptimization,SequenceCaching,HTTPAcceleration,TCP/FECAccel.,Exch(MAPI).Accel.,CIFSAcceleration,IPSECEncryption,*,*,WANOptimization,Juniper是唯一在广域网优化领域提供最全面解决方案的厂商,通过WX和WXC系列产品提供10到100倍的带宽容量减少了网络的数据流量节省WAN链路升级投资节省添加额外的路由器/交换机模块,应用性能报告、监控和远程管理具有WAN探测器功能提供WAN监控和报告软件节省额外的人工维护管理成本,通过TCP和应用层加速技术，提高应用响应时间提高用户满意度提高内部员工的效力提高商业运行效率,带宽管理和多链路路径优化提高了带宽利用效率解决了应用冲突的烦恼提供了应用保护的功能,JuniperWXFrameworks技术体系架构,部署透明、简单,EasyLANsideofroutersNoroutingchanges10-minuteorautoinstallReliableFault-tolerantbypassmodeIntegrateswithH/AenvironmentsLoad-balancednetworksFlexiblePoint-to-pointandmulti-pointnetworksAnyWANconnectionWorkswithprivateIP,VPNs,orMPLSnetworks,LAN,LAN,LAN,Switch,Switch,Switch,WAN,Router,Router,Router,银行广域网优化提速解决方案-BancoSantanderCentralHispano,需求：核心数据频繁备份需要在Miami与NewYork这2个站点之间，利用T1线路实现Veritas的磁盘卷的复制，一次性备份数据量高达40GB需要快速完成数据备份，减少带宽消耗,应用JuniperWX后带来的收益：(1)广域网传输数据量减少了68%(2)简单的管理和快速的复制速率减少了95%的维护时间(3)节省链路扩容费用$60,000/年。,银行广域网优化提速解决方案-Absa,Absa(AmalgamatedBanksofSouthAfrica)是南非第二大银行，业务遍及南非、坦桑尼亚、莫桑比亚等非洲国家，提供商业银行业务、金融、保险等服务IT管理上存在的问题：Absa的网络数据流量不断增加Absa想将企业应用分布到各地的数据中心，但受阻於广域网链路的限制，如带宽紧张、应用延迟较大、无法保证QoS有些链路只有64Kbps，而且链路成本非常昂贵。例如：由莫桑比亚至南非的64Kbps的卫星链路成本$1,700/月，IT部门预计须每年增加两百万以支付广域网链路租金寻求解决方案曾经研究路由器的压缩方案，但是路由器负担过重而且增加了应用延迟寻找一些数据压缩产品，但这些产品缺乏全面的优化手段在市场上，很多厂商只支持单一功能的产品，有只增加带宽的、也有只支持服务质量最终发现JuniperWX的序列压缩产品不仅支持增加带宽功能、也支持服务质量、而且用户对包流加速非常感兴趣，因为此功能帮助缩减应用延迟,银行广域网优化提速解决方案-Absa,Absa在关键的地区部署45台JuniperWX分子序列压缩器，以应付不断增加的数据流量WX方案增加了从Absa各区主要的分行到网络中心三倍的带宽，同时也提供实时监测功能，使Absa能即时了解到每个应用对数据通信模式的影响WX序列压缩器減少了Absa广域网上76的通信流量，为分布式的应用策略提供基础与广域网的租金相比，WX的解决方案相等於广域网的十一个月的租金,典型案例分析-ABSA,运行报告Oracle/ERP实现约4倍压缩Mail实现约3倍压缩Web实现约4倍压缩带来的好处Peribit解决方案增加了从Absa各区主要的分行到网络中心三倍的带宽，同时也提供实时监测功能，使Absa能即时了解到每个应用对数据通信模式的影响Peribit序列压缩器減少了Absa广域网上68的通信流量，为分布式的应用策略提供基础与广域网的租金相比，Peribit的解决方案相等於广域网的十一个月的租金Peribit的解决方案提供了综合的优化手段，如数据压缩、应用加速、QoS功能、中央管理系统及应用监控等功能,WX销售如何引导用户？,A、有所少分布在全球或全国的分支机构，是否通过广域网连接这些分支机构，他们的链路带宽租金是否昂贵？B、用户是否现在有增加带宽的需求？C、网络链路的延迟大吗？例如象网通和电信之间的互连（很多使用Internet做VPN的企业遇到这个问题，延迟很大，应用性能很差）D、是否因为有数据集中的考虑，而考虑广域网优化，保证系统集中后，分支机构对数据中心系统的数据访问性能？E、是否因为做数据中心的异地备份，而考虑广域网优化（前提是数据中心和备份中心之间通过广域网连接）F、是否有特殊的应用需要有足够的网络资源保证（如视频会议、voip）G、是否现有的典型应用如Http、FTP、EMAIL、CIFS、ExchangeServer、数据库（ERP）等性能较差？H、是否用户特别希望了解各种应用系统在网络上的运行状况？,JuniperNetworks金融行业网站解决方案(DX)方案,网上银行解决方案,TransactionValidation,OldSolutionforbuildingWebdataCenter:SLBatthecenterRapidproliferationoflimitedfunctionality,pointproductsForresiliency,eachboxmustbeduplicatedDatacenterbecomesunmanageableLotsofWebandApplicationservers,网上银行解决方案-JuniperDX,将Web服务器的容量提高10倍将用户下载速度加快70%将带宽利用率降低70%提供7层负载均衡，Catch能力自动保护应用安全(SSL,入侵保护）,JuniperDX,市场公共网站零售、媒体、旅行、金融等企业网站基于web的所有应用,网上银行解决方案-扩容,所有连接都终接在JuniperDX上到JuniperDX的浏览器连接与到服务器的连接的比例是：50:11000:1提高了服务器可扩展性并缩短了响应时间不再为管理连接而消耗CPU和内存,以线速向JuniperDX发送响应消息，解决了日志拥塞问题,通过JuniperDX服务器在几毫秒内生成响应消息，并能够在几毫秒内将消息发送给JuniperDX解决方案:无服务器日志拥塞；服务器速度提升至线速水平！,网上银行解决方案-压缩提速,最终用户带宽服务器,网络安全级别防止协议范围内的恶意网络行为线速抵御DDOS、SYN泛滥、窃听