金融WLAN解决方案-客户版.pptx

架构安全、稳定、易用的金融无线网络 锐捷网络金融WLAN产品解决方案 A市 B市 C市 AC1 AC2 一级分行主中心 集中管理平台 CA、认证服务器 AC1 AC2 二级分行灾备中心 集中管理平台 CA、认证服务器 构建安全的金融无线网络 用户数据全链路加密全方位信息安全保障 1 有线网 在终端到AP再到AC的整个链路中，锐捷网络的WLAN产品全部采用最高级别的加密方式，无线链路所有数据采用AES加密，有线链路所有数据采用DTLS，全方位数据安全保障，让金融用户不再担忧数据被窃取。 AP和AC的隧道采用DTLS加密传输 AP和终端的无线数据采用AES加密传输 802.1X安全接入认证业内最全面的安全接入方式支持 2 采用802.1X用户接入时即需要认证，用户可采用安全证书、一次性口令（OTP）或固定设置的用户名口令作为接入网络的凭据进行接入，在银行的认证平台验证通过后，才允许接入网络，而未进行认证的客户被拒绝接入。 锐捷网络的WLAN产品已和各大行的认证平台均完成对接，全面的支持业界所有WLAN安全接入方式。 AP和终端的无线数据采用WPA2加密传输 SMP 认证平台 OTP 服务器 证书 服务器 采用合法的用户证书进行认证 采用OTP方式进行用户名口令认证 采用固定的用户名口令进行认证 未经过认证用户不允许接入网络 域服务器 无感知接入方案安全与简便完全可以兼得 3 安全性的提升始终会带来接入的不便，当使用802.1X接入时，一个普通的终端至少需要5个步骤的设置才能完成一次安全接入，同时还会面临8个生涩的术语，而采用锐捷网络的无感知快速接入方案，只需要3个步骤，无需看到任何术语，即可完成安全认证，简单却又确保安全。 1 连接名称为GUEST的SSID，在弹出的上网页面中，选择1X快速配置工具。 2 在弹出的窗口中选择运行快速配置工具 3 填入账号名密码，即完成认证，可以访问网络 1 点击安装 点击打开 2 3 输入账号密码 电脑终端 移动终端 4 短信注册访问无线网络来访用户安全和易用性同时提升 SMP 认证平台 短信猫/ 短信网关 基站设备 运营商核心网 银行使用WLAN网络来为本行的客户提供上网服务，但用户名和密码的安全简易发放存在问题，借助锐捷网络的短信注册和短信密码发布方案，用户可以通过手机来获取密码，轻松访问无线网络。 同时该账号，密码均支持过期时间设置，还可以和银行用户的银行卡号等实现绑定。 用户接入信息多维度绑定让非法用户无法遁形 5 为了保证账号口令、终端和接入网络的有效性与安全性，锐捷网络的WLAN支持IP、MAC、用户名、密码、 SSID、 硬盘序列号、数字证书等多维可选绑定，同时还可以支持多种扩展绑定方式的开发，如此强大的功能，足以让非法用户无以遁形。 同时，基于锐捷网络的WLAN安全解决方案，可以有效采集和分析用户的使用行为，确保网络使用的安全性。 灵活的多维绑定 6 根据用户账号灵活授权确保用户只能访问特定网络 银行内建设一套WLAN系统，可以为各种用户提供服务，用户的分权就变得尤其关键。锐捷网络的WLAN解决方案可以根据用户的账号类别、所关联的区域、甚至终端类型等等信息进行灵活的授权配置，精确的做到分权管理，保证不同用户只能访问自身权限下的目标网络。 SMP 认证平台 服务器1 服务器2 服务器3 7 非法AP和非法用户的防御只让安全的用户接入安全网络 无线网络很可能受到非法AP的攻击，通过使用非法AP诱骗银行用户接入并伺机盗取用户的密码，或者非法用户采用大量的无线攻击来影响网络，都会带来严重的危害。 锐捷网络采用基于有线，无线的一整套非法AP和非法用户的防御体系，为您构建最安全的无线网络。 侦测到非法AP 射频防御模块 通过解关联攻击让该非法AP上关联的终端下线，并使其连接到合法的AP上 有线无线联动 如果非法AP上联锐捷交换机，还可以通过关闭交换机端口将非法AP阻断 WIDS模块 发现用户在进行无线攻击时，从AP侧将非法用户踢下线，并保持一段时间不让其再次连接 侦测到非法用户 8 终端互访的有效隔离规避在网终端间的相互影响 金融系统的无线网络可以为多个用户带来服务，但用户间互访数据不能隔离，则会出现相互影响的情况，特别是通过互访恶意进行数据窃取，发送病毒文件等，将严重威胁网络安全。 锐捷网络采用AC上的终端访问隔离技术，可以通过灵活设置，有效杜绝终端间的互访，更大限度确保接入安全。 9 隐藏SSID和终端MAC过滤无线接入的第一道安全 名单内的MAC地址 名单外的MAC地址 不广播SSID，用户需在终端上通过手工输入正确的SSID，才能连接到无线网络 锐捷网络的WLAN解决方案中，可以通过设置MAC地址的黑白名单和开启SSID隐藏来架构第一道接入安全门槛。 只允许符合要求的