华为金融园区解决方案

业务随行
有线无线融合
质量感知
策略随行：用户集中认证，组间权限精细控制
认证点设备 执行点设备
WAN/Internet
数据中心
•有线无线认证网关 •有线无线策略控制点
X
核心交换机 ENP板卡 /随板AC
X
用户组访问资源组
业务报文 IP
交换机执行的策略
组
组间策略
源IP 目的IP
访客 服务器
Deny
用户组访问用户组
应对双MAC和MAC伪 2
造的风险
VPN接入的账号和权限 统一归网络控制器管理
3
数据中心
网络控制器
敏捷交换机
核心层
NGFW
敏捷交换机
大楼汇聚
NGFW
敏捷交换机
大楼汇聚
敏捷交换机 生产&办公
楼层接入
AP
NAC客户端
生产终端 办公终端 智能终端 （配发/BYOD）
Ukey
用户
金融园区网
敏捷交换机 生产&办公
楼层接入
AP
NAC客户端
生产终端 办公终端 智能终端 （配发/BYOD）
Ukey
用户
同城支行网点
1
权限和VLAN解耦， 权限配置简单
2
自动化下发权限， 权限变更简单智能
权限和VLAN解耦， 3 无需改动现网即可
推广802.1x
4
账号权限集中管理， 出差员工业务随行
5
iPCA智能感知ip质 量
业务随行
Shenzhen
Silicon valley
WAN/Internet
Agile Controller
接入无差别 体验有保障
业务随行
有线无线融合
质量感知
方案特点：基于SDN思想，全网集中式的策略管理
安全组定义
组名
Gro
upI
D
VIP
30
访客
10
员工
20
服务器
57
面向用户、应用、体验定义全网策略
5W1H情景感知 (who/when/where/w hose/how) 领导、有线无线、随时
酒店
1
权限和VLAN绑定制约了 银行权限配置灵活性
2 银行权限变更异常复杂
3 802.1x难以在现网推广
4
出差员工到分支机构不能 接入网络获取自己权限
5
视频语音会议体验受损无 法定位解决
2 金融园区网解决方案
华为金融园区网解决方案
一账号多套权限，
自动识别多种接入场景， 1
自动下发权限
增强的终端识别，有效
华为金融园区解决方案
1 金融园区网关键需求 2 华为金融园区网解决方案
1
金融园区网关键需求
金融机构业务发展方向
流程银行建设
后督、银行卡、融资结算多业务中心建 设，前中后台分离 60%的银行进行了架构重组，流程银行 建设
产品快速创新
新业务：中间业务、货币市场、个人理 财类、小微融资 新技术：大数据、富媒体
1、定义安全组及策略
策略下发 的设备
园区出口 NGFW
交换机
园区出口 NGFW
2、策略自动翻译、下发 3、用户上线/认证
4、策略匹配、执行
应用安全 权限
带宽 QoS
1Mbps
Mark
2Mbps Terry
访客
员工
4Mbps Jim
VIP
业务随行
有线无线融合
质量感知
方案特点：基于自然语言的策略管理，提升网络部署效率
业务报文
交换机执行的策略
IP
组
组间策略
源IP
访客
目的IP
员工
Deny
访客
员工
统一用户管理，组间策略控制
• 多种认证方式支持，满足不同场景需求
敏捷交换机支持802.1x、Portal、MAC、 PPPoE及组合认证，匹配不同业务场景
• 有线无线集中认证，简化网络配置管理
有线、无线认证点统一部署在核心交换机，减 少多个认证点的配置和管理复杂度
不同安全性的多种接入场景 导致一个账号一套权限难以
1
支撑
笔记本的普及套权限 管理的复杂性
3
数据中心 生产业务区
开发测试区 办公业务区
融合的接入网络 （生产+办公）
生产终端 办公终端 办公终端 智能终端 （配发） （BYOD）
金融园区网
本地支行网点 /异地分支行
源组
访客 员工 员工
目的组
Internet Internet DC服务器
应用
不涉及 http ALL
动作
引流致安全资 源中心
√
√
应用安全
不涉及
AV+URL+ SPAM AV
策略下发的设备
核心交换机 园区出口NGFW DC出口NGFW
业务流策略：
利用敏捷园区的业务编排技术，在认证点交换机将特定组的流量引流至 安全资源中心进行处理，设定流量需要经哪些安全设备处理，以及处理的 安全顺序。
• 统一用户管理，精细化控制 认证点统一在核心交换机，核心交换机掌 握全网用户和组信息，实现用户组间策略 控制
业务随行
有线无线融合
质量感知
策略随行：基于用户组的业务流&应用安全策略
数据中心
WAN/Internet 应用安全策略
安全资源中心 应用安全策略
敏捷交换机/ 随板AC
业务流策略
Agile Controller上集中配置策略，一键式下发
精细化情景感知与策略授权，可视化配置
Who
Where When What/ How Whose
基于自然语言的策略矩阵，所见即所得
① 用户组规划
② 资源组规划
③ 访问策略/应用策略
带宽
QOS体验保障 访问授权
Agile Controller上可视化配置用户组、权限策略、体验策略， 保证全网策略一致。
符合用户业务习惯的策略矩阵配置，策略一键下发，自 动翻译，减少手工配置维护工作量。
打造一流零售银行
网点转型，突出销售作用：社区网 点、智慧网点 电子渠道创新：手机银行、远程银 行、网银
集约化稳健运营
IT设施灵活高效，按需使用 多网合一，业务统一承载 巴塞尔协议，完善灾备体系
新趋势下，金融园区网面临的问题和挑战
银行业务规模扩大和科技的进步，要求金融园区网络具备更高的安全性和灵活性，需要面临3个新增问题。 此外，由于认证系统自身的缺陷，还存在5个历史问题。
有线无线融合
质量感知
方案特点：业务随行
策略随行
1. 权限(Permit/Deny) 2. 业务流策略(业务编排)
3. 应用安全策略 4. 应用策略（new）
体验随身
1、优先级 2、带宽 3、VPN资源预留
rPesooliucriecse,s
rPesooliucriecse,s
Beijing
rPesooliucriecse,s
访客、无线、上班时段….
员工，有线/无线….
Server固定IP地址
源组 目的组
应用
动 应用安 作全
网络服务 带宽 优先级
访客 Internet
BT
X
—
1M
Pri:低
员工 VIP
—
√
—
2M
Pri:高
VIP
Internet
ALL
√
AV+URL +SPAM
4M
Pri:高
用户
应用识别 安全管控 应用安全 体验保障