证券行业分支组网SD WAN解决方案

证券营业部网络划分业务说明：营业部网络分为交易网和办公网，交易网需访问总部数据中心，办理柜台业务（普通交易、融资融券、机构开户、双录、港股通、科创板、创业板开户等），办公网即访问总部OA办公类业务系统和互联网。

• 营业部至总部内网组网（柜台业务）

A类营业部两条专线到总部主备数据中心，B类营业部一条专线到总部数据中心，C类仅有互联网线路；证券公司需部署统一的广域网组网方案，实现对营业部所有线路的统一管理、优化和营业部路由分发。



• 营业部到总部办公业务系统的访问

部分券商柜台业务与OA系统共用一套网络访问，部分券商已做到了内外网的隔离，部分券商仍将OA等系统直接部署在互联网上；券商营业部需做到内外网安全隔离，营业部办公业务系统访问的统一接入、安全管控。



• 营业部设备的统一管理运维

总部管理员通过命令行对营业部网络设备逐台管理运维。但随着企业业务流程变革和数字化进程的推进，云计算和移动互联网的快速发展，企业内部的应用和数据流量的分布已经发生变化，传统网络变得越来越不可预测、不安全且更加复杂。传统命令行配置效率低下，故障定位时间长。



• 营业部互联网、无线的安全管控

互联网接入点多，出口分散，各职场、各营业部均有互联网出口，接入点全国分散，难以实现集中的安全管控；互联网接入技术实现上不统一、不规范，存在安全隐患；互联网接入的安全强度不够，可靠性、稳定性、可用性不高；互联网应用的管理有待加强，人员网络安全意识有待提高。

总部数据中心说明

总部三中心均部署一套WOC作为营业部VPN接入，并具备链路优化、线路优化等功能；营业部与生产灾备数据中心建立VPN隧道组，根据数据中心的业务划分，营业部通过隧道策略就近访问，生产灾备隧道且互为备份；营业部与办公数据中心建立VPN隧道，访问公司OA、邮件、财务等办公系统。

营业部拓扑说明

营业部部署多合一网关，作为互联网线路接入+防火墙+IPSec VPN。营业部划分三个网络区域：员工办公、客户访问、柜台内网，区域之间相互隔离，不能互访，专网专用；营业部与总部三个数据中心（生产、灾备和办公）分别建设IPSec VPN隧道；员工办公通过VPN隧道访问公司OA等办公系统；客户可访问证券公司相关互联网行情交易站点，其它权限按需分配；柜台内网仅通过VPN访问公司总部内网业务系统，无互联网访问权限。