APN系统在证券公司中的应用

具体方案
　　一般证券公司在全市或全国都有多个营业部。各部之间采用DDN、帧中继线路连接起来。在运行重要数据的同时也运行一些自己的OA系统或财务软件。这不免会来了以下问题：
　　占用大量带宽。传统的C/S模式的软件，一般都是针对局域网设计的，对带宽的要求较高。而现在几的带宽商运行了email服务，web服务和甚至voip后，这些都大量占用有限的带宽；
　　传统的C/S模式的软件，大量的数据交换在client和server之间进行，而这种数据在100M的局域网中可能觉察不出缓慢，如在64K的专线上其速度将会明显的不同。
　　以下是本方案的网络拓朴图： 　　

　　说明：
　　1. 采用APN作为现在线路的备份；
　　2. 平时OA系统的路由通过APN出去，这将大大缓解原专线的负担；
　　3. 在总部安装Citrix MetaFrame软件，同时在该服务器上安装OA系统或其他软件例如财务软件的Client端；
　　4. 营业部只需要安装Citrix软件的Client端或浏览器（基于WEB方式运行程序），就可以实现远程使用；
　　5. 整个过程中，现在的系统无需任何改动
　　6. 由于每个应用只需要不到20K的带宽，所以一般的Modem拨号都可以满足要求。只是如果同时对总部通讯，总部的带宽需要有足够的保证。
　　安全保证
　　本解决方案在安全性方面做了五个层次的考虑：网络层、系统层、用户层、应用层、数据层。
　　（一）网络层安全性：体现在网络安全通讯、防火墙、侦测非法入侵等方面；
　　APN自带防火墙：仅允许Windows 2000通过防火墙访问Internet，不允许有反向访问。保证从Internet上无法和Windows 2000直接连接进行攻击。
　　自己定制APN防火墙：拒绝ICMP的ping包；防止ping洪水；加强系统管理口令；关闭DNS服务；关闭DHCP服务；通过访问列表定制部分甚至全部机器对Internet的访问；
　　直接限制对Internet的访问：拒绝所有来自非自己定制的内外IP的包。例如可以设定，凡是非10.10.10.0这个网段的包全部拒绝，而这个网段是来之其他营业部的。非自己设定的IP就拒绝进入系统；
　　在网络传输过程中，由于采用ICA技术，网络传输的是图象数据，即使捕获也没有隐患。同时传输过程可支持128位加密；
　　APN体系整个系统完整。可以采用3DES或其他国家推荐的加密算法，多层安全保证。
　　（二）系统层安全性：通过Windows2000 Server提供的域策略管理和资源安全性管理实现；
　　Windows2000是符合C2级标准的安全操作系统，具有完善的策略管理和审计功能。例如：
　　仅安装终端服务(甚至不安装Active Directory服务)
　　禁用网络登录(终端服务实质上是本地登录)
　　禁用OA以外的应用程序
　　退出时禁止保存
　　禁止安装、修改Windows组件
　　禁止使用控制面板
　　禁止Run As服务
　　系统文件自动恢复
　　选择安装防病毒软件
　　……….
　　保证了黑客无法从网络上访问到Windows 2000服务器，并且无法修改它的系统配置或系统文件。
　　（三）用户层安全性：体现在用户和用户组的管理、身份验证等方面；
　　用户磁盘使用配额
　　本地不可访问网络
　　不可浏览访问本地磁盘
　　仅可运行OA，不许执行其他应用程序
　　………
　　保证了用户通过终端方式本地登录到Windows 2000服务器后，仅有权限使用OA系统或指定的软件，不可能对服务器进行其他操作或通过它对网络访问。
　　（四）应用层安全性：体现在权限控制和授权等方面；
　　OA系统采用口令校验使用
　　（五）数据层安全性：体现在加密技术上；
　　Citrix ICA技术通讯的数据均加密，所以营业部和总部之间所有的通讯数据都是加密的，其它人不可能截取你的信息。
　　在Windows 2000上存储的个人文件，通过Windows2000的安全设置是相互隔离的。
　　通过以上windows2000 server 和ICA安全加密特性，完全可以保证系统的安全和稳定运行。如果再加上第三方防火墙，同时考虑采用APN的加密产品，整个网络几乎无懈可击。
　　各营业部使用APN产品实现各地的免费IP电话及其他市话
　　对于公众业务，和传统的PSTN相比，IP电话有以下优点:
　　（一）能够更加高效地利用网络资源
　　由于IP电话采用的是分组交换技术，可以实现信道的统计复用，并且采用了高效的语音压缩技术，使网络资源的利用效率更高，大大降低了运营商的成本。
　　（二）可以提供更为廉价的服务
　　对于企业用户来说，通过IP网关传送长途电话/传真，同样具有重要的意义:
　　节省长途电话费用
　　用IP网络完成所有话音/传真的传送，能极大地降低了公司内部跨地域、跨国界的电话/传真成本。
　　减少设备投资
　　公司可以在原来只能传送数据的网络上获得增值的话音服务，而无需再另外租用或者购买单独用于话音的设备和线路。由于所有内部通信（话音、数据、传真）都通过同一网络传送，企业可以大大降低购买和维护设备的费用。
　　IP电话的其基本原理是：通过语音压缩算法对语音数据进行压缩编码处理，然后把这些语音数据按TCP／IP标准进行打包，经过IP网络把数据包送至接收地，再把这些语音数据包串起来，经过解码解压处理后，恢复成原来的语音信号，从而达到由互联网传送语音的目的。IP电话的核心与关键设备是IP网关。
　　建立虚拟专网后，再加上APN 1000系列语音产品，可以实现任意分公司、任何人的无需支付话费的高清晰话质的通话。
　　可与CISCO5300,26/36系列 、NetMeeting等主流厂商的VOIP网关、GateKeeper设备互联互通，被主流GateKeeper管理如(Vocoltec)。由于本设备含有独特的软件协议捕捉分析功能模块，能很快支持多种H.323的变种协议，如中国IP网关标准等。
　　APN 1000－V4提供4路语音同时通话，其中每路约占8K的带宽。这个带宽即使室56K的Modem上网，在环境条件好的时候也能购满足要求。如果是通话各方都是ADSL或宽带等，还能够运行流畅的视频会议。
　　APN GW VOIP提供－FXS和－FXO的接口，可以直接连接普通电话机或程控交换机或外线
　　实现网络拓扑图：
　　

　　具体使用举例：
　　以上图为例，假设通话的双方一边在广州，另外一边上海， 就可以实现以下的功能。
　　1．内部电话： 广州的A先生与上海的B先生在上班时通话，因为走的是Internet，所以通话是免费的。这种通讯不限于两地之间，可以若干个营业部之间同时、异地、高质量、免费的通话。
　　2．异地长途普通市话：下班后，A先生发现还有事情和和B先生商量，他就用他的电话拨打一个特殊号码然后在拨B先生家的电话或手机。这时实际上是他拨打本地公司的电话然后通过Internet就可以拨打异地的B先生的电话。