随着银行数据大集中的完成，原来至于网点和二三级银行的前置系统已经上移至一级行，而原来位于一级行的数据大机也已经上移至数据中心。在业务结构上，二级行更多的起到网络承上启下的作用，在这种情况下，二级行更多的将精力放在开发新的业务，而银行的网络也变得越来越开放，办公外联、生产外联、网上银行等业务，使得银行与外部网络产生了越来越多的联系，从而也带来了越来越多的安全隐患，如何在网络越来越开放的同时保障安全性，成为二级行局域网建设的重中之重。

方案拓扑：



锐捷网络银行“安全办公局域网”解决方案

方案特点：

   1、 双网隔离。由于办公网中运行的程序众多，而且许多程序需要访问外部的网络，极易感染各种病毒，或者遭受攻击，所以可以说办公网对于生产网的安全造成了威胁。“安全办公局域网”解决方案中，将生产网和办公网利用锐捷网络的高性能防火墙隔离开来，最大程度上保证了生产网的安全，使得病毒大面积爆发时，银行业务不会受到影响。

   2、 功能分块。为保证办公网络的稳定运行，让不同业务之间不受到影响，“安全办公局域网”解决方案将办公局域网按照业务的需求进行了分块设计，例如将OA服务器、Notes服务器以及病毒库服务器和RG-GSN系统所需的服务器隔离出来，成为单独的服务器区域，对此区域进行完善的安全防护，以保证核心业务服务器的安全。而在对外接口方面，为防止“病从口入”，也将这部分划分为单独的区域，来保障办公网核心的安全。分区之间通过高速链路相连，并加以适当的安全策略，实现了性能和安全的双重保障。

   3、 双核备份。在“安全办公局域网”解决方案中，采用锐捷网络RG-S6800E作为办公网的双核心，通过冗余备份和负载均衡的连接，辅以VRRP和OSPF等协议，在保障稳定的同时也提升了网络的性能。RG-S6800E系列万兆交换机是锐捷网络自主研发的国内首款万兆交换机，它所独有的SPOH同步式硬件转发技术、ECMP/WCMP技术、三平面分离等特色技术，为银行办公网提供了高性能、高稳定的解决方案。

   4、 身份准入。方案中使用了锐捷网络的全局安全解决方案--GSN，作为GSN的重要组件，SAM身份认证系统起到了重要的作用。通过与锐捷安全智能交换机S2100系列的联动，SAM系统可以实现对于用户身份的完全验证，并可实现基于IP、MAC、交换机端口号、交换机ID、VLAN号、用户名和密码等在内的六元素绑定，实现了入网用户身份的唯一、合法，也使的在安全事件发生时，方便的追查、排除。RG-SAM身份认证系统在高校中已经有了非常广泛的应用，而针对银行更高的安全要求，锐捷网络对SAM系统进行了有针对性的研发，更加适应银行网络的需求。

   5、 安全检测。作为GSN全局安全解决方案的第二个重要组成部分，RG-IDS即入侵检测系统的作用就像植入网络中的一个探针，它实时收集着网络中发生的安全事件，并将它及时的报告给GSN的另一个组成部分即安全管理平台SMP，从而是SMP能够对安全事件进行及时准确的处理。IDS可以方便的部署在办公网络的核心交换机中，通过交换机的端口镜像功能，在不影响任何办公数据流的情况下，即可对网络中的数据流进行细致的检测。

   6、 自动修复。作为GSN全局安全解决方案的总管，RG-SMP即安全管理平台担负着主机完整性检测、主机信息检测、系统漏洞检测、安全事件分析处理、系统补丁下发、必要软件及更新下发等多项工作，通过与RG-SAM和RG-IDS以及安全交换机的联动，RG-SMP对于全网安全情况以及接入网络中的PC的安全情况了如指掌，并通过内置的数据库对发生在网络中的安全事件自动做出分析和决策。

方案总结：

   锐捷网络银行“安全办公局域网”解决方案，融合了锐捷高性能的万兆交换机RG-S6800E、成熟的安全智能接入交换机RG-S2100、完善的全局安全解决方案RG-GSN等诸多锐捷网络成熟优秀的产品，并采用隔离、备份的思想设计，为银行打造了一个安全、高效、稳定、易管理的办公局域网。