无线接入技术在银行ATM项目应用.docVIP

无线接入技术在银行ATM项目应用 　　摘要：本文通过实际改造项目，阐述了无线接入技术在银行项目的应用。 　　关键词：VPN、防病毒、IPS 　　 中图分类号：TN711 文献标识码：A 　　1. 项目需求 　　目前，本项目作为一个地级市银行，拥有几百台ATM 自动取款机，其大部分采用电信提供的DDN 专线接入。原有的DDN 接入方式，不但每年的接入费用相当高，而且维护工作多，工程施工及故障排除十分麻烦；其次该银行ATM 自动取款机的分布广泛，涉及到商场、超市等场所，具体安装位置也经常调整，传统的有线接入方式不太适合；再次DDN专线月租费是恒定的，不会因业务量大小而调整费用。 　　本项目改造建议采用无线接入技术方案。 　　无线接入以其灵活便捷的接入方式、便宜的资费、施工快捷、维护量小等特点展示了它在银行ATM接入的优势与魅力。ATM通过移动网络无线接入的示意图如下： 　　 　　 　　 　　2. 总体设计思想 　　2.1主要设计思想 　　本项目银行随着业务的不断发展，对网络的依赖程度越来越高。从需求来看我们推荐采用VPN技术来实现，它具备以下优势可以很好的满足安全性、节约成本和便利性的要求。 　　安全性：VPN虚拟专用网采用加密协议传输数据。 　　节约链路成本：VPN可以避免申请专用线路的费用，这样每年可以节省很多专线的使用费和维护成本。 　　便利性：从VPN使用的角度看，随着技术的发展它的使用越来越方便，只需要在用户端的电脑上安装拨入软件经过简单的配置就可以使用。 　　2.2接入安全的控制 　　 银行是主要的金融组织，对网络安全的要求非常严格。VPN技术保证了数据传输过程中的安全性，但对用户的身份认证、计算机病毒和基于应用层的攻击行为缺乏有效的控制。在部署VPN方案时，一般情况下采用的是基于用户名和静态密码的认证方式。 　　只要使用计算机或者网络就不可避免的要同计算机病毒接触，因此采取有效的防病毒措施必不可少，我们需要在VPN的接入设备和交换机间部署硬件的防病毒墙来保护内部网络不受网络病毒的攻击。 　　VPN技术部署之后，因为终端的电脑很容易被恶意攻击者安装木马或其他远程控制软件??而且传统的防火墙等安全设备是无法有效抑制这种攻击的，所以有必要部署入侵保护系统来适时的监控对内部应用系统的访问并在发现攻击行为是主动采取措施将攻击行为阻止掉。 　　3. 应用方案 　　根据本项目的ATM网络接入需求，考虑到相关安全和病毒的防护等问题，我们建议采用如下的网络接入方案： 　　 　　如上图所示，在每一分点上安装能支持无线GPRS/CDMA的VPN设备，就能很方便地在有无线信号的任何地方链接上网络。实现了灵活便捷的接入方式、灵活便宜的资费方案。 　　在中心机房，全部ATM远程VPN拨入终结在远程VPN接入服务器。考虑到防病毒、用户认证、网络入侵防护等，分别在远程VPN接入服务器后放置了防病毒墙、IPS入侵防护、安全管理器。考虑到远程VPN接入服务器的重要性，建议在此部分采用HA的结构。 　　下图是site to site VPN的建立示意图 　　 　　从上图可以看到，每一个分点通过VPN设备，和中心的远程VPN接入服务器建立了site to site VPN通道。当ATM有流量到中心的相关服务器时，就通过这个安全VPN通道，和中心的相关服务器建立链接。 　　以下会按照如下部分分别讲述相关部分的技术方案： 　　VPN技术方案 　　网络防病毒墙技术方案 　　入侵防御系统技术方案 　　安全管理技术方案 　　 　　3.1VPN技术方案 　　目前在远程接入VPN领域主要采用的技术分别是IPSec VPN和SSL VPN，两种技术各有利弊。相对于IPSec VPN，SSL VPN可以比较好的解决用户终端的安全性和用户使用便利这两个方面。但SSL VPN由于是基于传输层的，所以它对应用比较敏感，作为银行往往会自行开发一些应用系统，这些应用系统是否能被SSL VPN支持还需要进行测试。 　　根据本项目的VPN需求我们推荐采用思科公司的ASA5500系列产品来实现VPN的功能。 　　ASA 5500系列自适应安全设备是结合了一流安全性与VPN服务的专用平台。该产品能够提供易于管理的IP安全（IPSec）和基于VPN的安全套接层（SSL）远程接入，以及网络感知的站点到站点VPN连接，使企业能在公共网络上建立到移动用户、远程站点、业务合作伙伴的安全连接。同时，帮助确保VPN部署不会成为蠕虫、病毒、恶意软件或黑客攻击等网络攻击的渠道。此外，还可以对VPN流量实施详细的应用和访问控制策略，使个人和用户组能够访问他们获得授权的应用、网络服务和资源（图1）。 　　图1. 适用于所有部署方案的V