分支行互联网方案设计

这种方案可行吗?能保证可靠性和安全吗？

方案说明：

结合区分行现有互联网部署情况，各分支行互联网流量采用直接从网点出口上网。

为确保各分支行上网安全，在网点互联网出口部署上网行为管理，与区分行互联网出口区的上网行为管理建立IPSec VPN隧道在无线控制器上进行（员工/访客）上网认证，由区分行统一认证通过后才能上网。

上网行为管理设备开启准入机制，对各分支无线AP进行入网检查，不符合入网要求的AP则拒绝其入网。各分支行终端安装安装联软准入及桌面管控客户端，实现上网终端的准入、杀毒、及上网行为审计等。通过事前终端风险梳理、事中威胁检测、事后威胁定位的安全能力，有效防护各分支行的终端安全，同时可与上网行为管理实现联动，为各分支行办公终端安全建立基线要求。

同时，各分支行上网行为管理开通IPSEC VPN隧道，利用IPSec VPN隧道将各网点的上网行为日志回传至区分行日志服务器中进行保存，存储时间大于6个月。