金融行业3g无线安全接入解方案金融行业3g无线安全接入解决方案金融行业3g无线安全接入解决方案金融行业3g无线安全接入解决方案.docVIP

3G无线安全接入解决方案 锐捷网络 目　　录 １、客户存在的困惑 3 ２、3G数据业务介绍 3 ３、解决方案 6 ３．１．整体方案概述 6 ３．２．安全保障措施 8 ４、附 3G无线安全介绍 9 １、客户存在的困惑 长期以来SDH/ATM/DDN等专线做为银行柜面网点、自助银行、离行式ATM、上门服务业务接入的唯一选择，很好地保障了金融业务的开展。但是这几年银行以下几点的变化，使得传统的专线存在一些不足： 近年来银行部署了大量的离行式ATM机、查询机、自助银行，让客户体验到无处不在的便利服务。但是这些网点分散在大街小巷、商场社区、甚至沿海省份海岛上、西北省份大型油田/电力/军队系统中，外部专线难以进入，影响布放点的选择和业务开展。 银行为VIP客户提供上门办理业务的服务，需要移动网点。银行在学校/企业/大型会议提供的临时服务，需要临时网点。这两种需求都有一个共同的特点，机动灵活，但专线开通的周期长，机动灵活性不足。 集约化已经成为银行经营管理的主旋律，银行更加关注成本及收益，大量的柜面网点由于重要性高，都要求采用双线路保证更高的可靠性，采用双专线线路备份成本高。尤其是备份线路，只在主线路故障时才启用，长期闲置，投资利用率低。 ２、3G数据业务介绍 3G飞速发展 2009年１月份国家工业与信息化部正式向移动、电信、联通三家运营商分别颁发了TD-SCDMA、 CDMA2000、WCDMA三张牌照，3G开始正式拉开序幕。通过3G用户可以实现无线宽带接入，在速度方面和2.5G相比有质的飞越，这使得3G在更多企业通讯场合中替代有线成为了可能。目前三种3G的理论速率如下： 中国联通：WCDMA，下行7.2M，上行5.76M； 中国移动：TD-SCDMA，下行2M，上行384K； 中国电信：WCDMA2000，下行3.1M，上行1.8M； 经过近一年的发展，3G无线信号已经覆盖了众多的城市，并且运营商仍不断在扩大覆盖的范围，优化信号质量。目前情况大致如下： 中国联通：覆盖全国285个城市（截止2009年9月） 中国移动：覆盖全国238个城市（截止2009年底） 中国电信：覆盖全国342个城市（截止2009年9月） 3G的飞速发展为银行通过无线技术解决目前有线专线存在的问题，成为可能。 3G两种数据业务 3G用于企业数据通讯的业务可以归结为两种：一种是普通互联网业务；一种是无线VPDN业务（或无线DDN）。相对应就有两种解决方案： 自建VPN） （2.运营商VPDN） 第一种，通过互联网自建VPN的方案。网点路由器通过3G拨到普通互联网，总部出口架设一条直通互联网的专线，且分配公有地址。网点和总部的路由器之间直接建立IPSEC VPN加密隧道。由于有些运营商为3G分配私有地址，运营商内部要经过NAT，所以需要采用IPSEC VPN穿越NAT的机制。 第二种，利用运营商提供的VPDN方案。网点路由器通过3G拨号至运营商的LAC设备，然后LAC设备通过专线和总部出口的路由器（即LNS）建立L2TP VPN隧道。然后网点路由器再与总部路由器，在L2TP基础之上建立IPSEC VPN加密隧道。运营商可以通过策略使网点3G SIM卡，只开通VPDN服务，禁止互联网服务，这样即保证安全又可以防止员工非法使用。运营商和总部之间可以采用专线、城域网VPN等线路，针对银行一般采用SDH/MSTP等专线更加安全。 两种方案优劣势的分析对比如下： 第一种方案网点3G和总部出口链路都连接普通互联网，成本较低，但安全性较差，网点的3G和总部的链路不一定是同一家运营商，组网灵活性好。因此，适用于移动办公等应用场合。 第二种方案网点的3G只能拨到总部，总部采用专线，两端都和互联网隔离，安全性高，成本较高，网点的3G必须和总部的专线隶属同一家运营商，灵活性较差。因此适用于生产环境下的应用场合。 ３、解决方案 ３．１．整体方案概述 如上图所示，网点采用路由器+3G MODEM，运营商需要有LAC及配套的AAA服务器。总部需要准备一台路由器（LNS），一条专线，一台AAA服务器。AAA服务器负责对3G用户进行认证并向LAC下发该用户对应的LNS信息，LAC负责与LNS建立隧道。网点路由器的IP地址，可以静态指定也可以由AAA服务器分配（注：中国移动VPDN的3G用户地址空间不能随意分配，须按照移动的统一规划，使用地址空间）。解决方案建议网点端采用静态IP地址。LNS端路由器必须采用静态IP地址。 锐捷RSR10/20可以直接扩展内置的3G卡，满足柜面网点、临时网点、上门服务车等环境中应用需求。为了增强安全性RSR10/20可以扩展国密办的加密算法卡，这样在涉及到现金生产交易业务的环境中，如离行式ATM、柜面网点