金融行业3g无线安全接入解决方案.docxVIP

3G无线安全接入解决方案 锐捷网络 TOC \o 1-5 \h \z \o Current Document 1、 客户存在的困惑 3 \o Current Document 2、 3G数据业务介绍 3 \o Current Document 3、 解决方案 6 \o Current Document 3 . 1 .整体方案概述 6 \o Current Document 3.2 .安全保障措施 8 \o Current Document 4、 附3G无线安全介绍 9 1、客户存在的困惑 长期以来SDH/ATM/DD游专线做为银行柜面网点、自助银行、离行式 ATM上门服务业 务接入的唯一选择，很好地保障了金融业务的开展。 但是这几年银行以下几点的变化， 使得 传统的专线存在一些不足： 1、 近年来银行部署了大量的离行式 ATM机、查询机、自助银行，让客户体验到无处不 在的便利服务。但是这些网点分散在大街小巷、商场社区、甚至沿海省份海岛上、 西北省份大型油田/电力/军队系统中，外部专线难以进入，影响布放点的选择和业 务开展。 2、 银行为VIP客户提供上门办理业务的服务，需要移动网点。银行在学校 /企业/大型 会议提供的临时服务，需要临时网点。这两种需求都有一个共同的特点， 机动灵活， 但专线开通的周期长，机动灵活性不足。 3、 集约化已经成为银行经营管理的主旋律，银行更加关注成本及收益，大量的柜面网 点由于重要性高，都要求采用双线路保证更高的可靠性，采用双专线线路备份成本 高。尤其是备份线路，只在主线路故障时才启用，长期闲置，投资利用率低。 2、3G数据业务介绍 3G飞速发展 2009年1月份国家工业与信息化部正式向移动、电信、联通三家运营商分别颁发了 TD-SCDMA CDMA2000 WCDMA张牌照，3G开始正式拉开序幕。通过 3G用户可以实现无线 宽带接入，在速度方面和2.5G相比有质的飞越，这使得3G在更多企业通讯场合中替代有线 成为了可能。目前三种 3G的理论速率如下： 中国联通： WCDMA下行7.2M,上行5.76M; 中国移动：TD-SCDMA下行2M 上行384K; 中国电信： WCDMA2000下行3.1M,上行1.8M; 经过近一年的发展,3G无线信号已经覆盖了众多的城市，并且运营商仍不断在扩大覆 经过近一年的发展, 盖的范围，优化信号质量。目前情况大致如下: 中国联通：覆盖全国285 中国联通：覆盖全国 285个城市（截止 2009年9月） 中国移动：覆盖全国 238个城市（截止2009年底） 中国电信：覆盖全国342 中国电信：覆盖全国 342个城市（截止 2009年9月） 3G的飞速发展为银行通过无线技术解决目前有线专线存在的问题，成为可能。 3G两种数据业务 3G用于企业数据通讯的业务可以归结为两种： 一种是普通互联网业务；一种是无线VPDN 业务（或无线DDN 业务（或无线DDN。相对应就有两种解决方案: (1.白建VPN （2.运营商VPDN ④ 第一种，通过互联网自建 VPN的方案。网点路由器通过 3G拨到普通互联网，总 部出口架设一条直通互联网的专线，且分配公有地址。网点和总部的路由器之间 直接建立IPSEC VPN加密隧道。由于有些运营商为 3G分配私有地址，运营商内 部要经过NAT所以需要采用IPSEC VPN穿越NAT的机制。 ■4 第二种，利用运营商提供的 VPD防案。网点路由器通过 3G拨号至运营商的LAC 设备，然后LAC设备通过专线和总部出口的路由器 （即LN0建立L2TP VPN隧道。 然后网点路由器再与总部路由器，在 L2TP基础之上建立IPSEC VPN加密隧道。 运营商可以通过策略使网点 3G SIM卡，只开通VPDNI艮务，禁止互联网服务，这 样即保证安全又可以防止员工非法使用。运营商和总部之间可以采用专线、城域 网VPN?线路，针对银行一般采用 SDH/MST痔专线更加安全。 两种方案优劣势的分析对比如下： * 第一种方案网点 3G和总部出口链路都连接普通互联网，成本较低，但安全性较 差，网点的3G和总部的链路不一定是同一家运营商，组网灵活性好。因此，适 用于移动办公等应用场合。 ④ 第二种方案网点的 3G只能拨到总部，总部采用专线，两端都和互联网隔离，安 全性高，成本较高，网点的 3G必须和总部的专线隶属同一家运营商，灵活性较 差。因此适用于生产环境下的应用场合。 3、解决方案 整体方案概述 如上图所示，网点采用路由器 +3G MODEM运营商需要有LAC及配套的AAA服务器。总 部需要准备一台路由器（LN0, 一条专线，一台 AAA服务器。AAA服务器负责对 3G用户进 行认证并向LAC下发该用户对应的 LNS信息，