金融数据中心网络安全与自动化方案

业务2区
1. AppSecure: AppDoS, AppTrack 2. Firewall 3. Authentication 4. Encryption
5. NAT 6. Intrusion prevention 7. Real-time visibility 8. Traffic prioritization
PROFILE LSYS1 SESSION:1000 ALG: 200 NAT POOL: 500
LSYS1 LSYS2 LSYS3
业务一区
业务二区
业务三区
防火墙部署方式
安全部署模型：
高速交换核心和区域之间不放置防火墙，防火墙部署在区域内部 防火墙部署位置：分区入口，物理上挂接在区域核心交换机
防火墙
VM 1
VM 2
VM 3
… VM 20
vGW Virtual Gateway
VMware vSphere Hypervisor
Policies
向数据中心转移
1. 高密度端口互联 2. 按需动态扩展 3. 分布式防御 4. 虚拟主机安全 5. 统一管理 6. 自动化运维
数据中心自动化运维
增加交易投资业务
双向信息同步
物理与虚拟安全融合 简化虚拟层安全管理
Firewall DB
Firewall AP
VM5 VM1
VM2
VM3
VM4
1.1.1.2 1.1.1.1 10.10.10.1 2.2.2.2 20.20.20.1
vGW VF
ZONE DB 1.1.1.0/24 10.10.10.0/24
ZONE AP 2.2.2.0/24 20.20.20.0/24
虚拟主机安全防护的演变
1 VLANs & Physical Segmentation
2 Traditional Security Agents
VM1
VM2
VM3
VM1
VM2
VM3
3 Purpose Built Virtual Security
VM1
VM2
VM3
ESX/ESXi Host ESX/ESXi Host ESX/ESXi Host
ESX HOST
10.10.10.0/24
ZONE DB 1.1.1.1/24
ADDRESS BOOK ZONE DB VM5 = 1.1.1.2
ZONE AP 2.2.2.2/24
20.20.20.0/24
PHYSICAL NETWORK
防火墙部署方式的改变
计算资源更加集中 业务伸缩性提高 物理位置松散化
VS HYPERVISOR
VS HYPERVISOR
Regular Thick Agent for FW & AV
Virtual Security Layer
VS
HYPERVISOR
虚拟防火墙与区域防火墙联动
“Change cycles which used to happen in days and weeks in the physical data center can now happen in minutes or seconds within the virtual data centerБайду номын сангаас”
FBF
区域核心
区域核心
防火墙部署方式的改变
安全处理卡 8CORE CPU *2 MEMORY 4G *2
Business Attack
Management
业务处理平面
业务接口卡 NPU *4 MEMORY 2G *4
Switch fabric
防攻击平面
管理平面
路由/管理引擎 INTEL CPU MEMORY 2G
DMZ
Policies
Reporting
管理平台
日志系统
Management & Compliance
User App
身份识别 应用防护
SSL VPN
VM VM VM VM 1 2 34
vGW Virtual Gateway
Hypervisor Virtual Machines
数据中心
业务1区
Virtualized Security Services
● 平台集中监控 ● 主动故障处理
研发中心
职能中心节点
海外中心
核心骨干节点
主数据中心
呼叫中心
同城备份中心
职能中心节点
外联节点
一 分行节点 级 骨 干 节 点
二 级 支行节点 骨 干 节 点
分行节点
网点
金融数据中心解决方案
金融数据中心安全 / 自动化解决方案
数据中心安全
客户端 Internet
外联
适应云数据中心的部署特点
DYNAMIC SERVICE ARCHITECTURE 零配置性能升级 零停机性能升级
最大并发会话数 每秒新建会话数 吞吐量
端到端的数据中心安全
Juniper SRX with IPS and AppSecure
Fabric Switching
Security Design
金融数据中心网络安全与自动化方案
银行网络架构演变的 驱动力
不同需求带动信息系统改变
增加交易投资业务 多元化盈利增长
波动性的业务突发
分行的自建业务
● 业务系统繁多，难以实现信息交互、 数据共享和统一风险管理
● 集团体系信息系统的共用平台风险
和服务质量难以保证
● 应对大量新型业务造成的突发流量 ● 如何引入云计算平台实现信息系统
P to V
第三阶段
混合云
爆发阶段
互联网节点
JUNIPER 金融平台解决方案
职能中心
● 多大数据平台架构 ● 中心架构互联优化 ● 同城/异地数据中心多活
骨干网
● SOA架构 ● 多业务承载 ● 骨干网扁平化
安全
● 各节点业务隔离 ● 风控/合规 ● 智能化攻击防范 ● 云桌面/移动终端安全
管理
● 变更自动化 ● 风险预估
池化
● 保证自建业务的数据备份和迁移 ● 如何实现分行平台虚拟化
信息系统基础架构的演进
虚拟
自动化
融合
私有云
P to V 开始
Automate Processes
P to V 第一阶段
Converged Systems Automate Processes
P to V
第二阶段
Self Service IT Converged Systems Automate Processes
多提元化高盈生利增产长率
波降动低性运的业维务压突力发
提高分行业的务特持色续业务性
网络层的增值开发 业务触发型网络
设备间协同控制层面整合
网络自我诊断 变更自我审核
如何快速收集信息定位故障
Software crashes, aborts, traps, terminations (i.e.,daemon, kernel, PIC, FPC, board)