1.目標(biāo)概述
在與XX公司進(jìn)行詳細(xì)交流溝通后,我們分析總結(jié)本項(xiàng)目客戶希望實(shí)現(xiàn)的目標(biāo)如下:
1) 實(shí)現(xiàn)XX公司與下屬分支機(jī)構(gòu)的安全互聯(lián);
2) 下屬分支機(jī)構(gòu)通過(guò)互聯(lián)網(wǎng)安全接入XX公司網(wǎng)絡(luò)后,可以在受控的情況下訪問公司集團(tuán)本部應(yīng)用系統(tǒng);
3) 公司領(lǐng)導(dǎo)和其他人員,可以通過(guò)互聯(lián)網(wǎng),實(shí)現(xiàn)異地、遠(yuǎn)程接入到集團(tuán)網(wǎng)絡(luò),并可以在安全可控狀態(tài)下的進(jìn)行遠(yuǎn)程辦公;
4) 為接入互聯(lián)網(wǎng)的公司本部以及分支機(jī)構(gòu),提供相應(yīng)的安全保護(hù)措施,降低遭受互聯(lián)網(wǎng)攻擊、破壞的幾率;
5) 對(duì)公司本部及分支機(jī)構(gòu)訪問互聯(lián)網(wǎng)行為進(jìn)行相應(yīng)的控制,避免因互聯(lián)網(wǎng)濫用影響日常辦公對(duì)互聯(lián)網(wǎng)帶寬的要求;
6) 提供的產(chǎn)品與技術(shù),應(yīng)安全、可靠、實(shí)用,并便于維護(hù)。
針對(duì)上述目標(biāo),結(jié)合我們公司多年的網(wǎng)絡(luò)安全建設(shè)經(jīng)驗(yàn),我們特編制2個(gè)均可以滿足上述要求的技術(shù)方案,供客戶參考。
2.方案一
在預(yù)算允許的情況下,建議優(yōu)先選擇方案一。
2.1. 網(wǎng)絡(luò)拓?fù)?br />
2.2. 產(chǎn)品部署說(shuō)明
XX公司-本部VPN(防火墻),圖中序號(hào)①所示
在公司本部互聯(lián)網(wǎng)接入邊界,部署1臺(tái)高端并具備IPSEC VPN功能模塊的防火墻設(shè)備,其防火墻功能可以實(shí)現(xiàn)公司本部網(wǎng)絡(luò)與互聯(lián)網(wǎng)網(wǎng)絡(luò)間數(shù)據(jù)傳遞的雙向訪問控制,阻斷來(lái)自互聯(lián)網(wǎng)對(duì)內(nèi)部網(wǎng)絡(luò)的非法訪問和攻擊,同時(shí)根據(jù)規(guī)則配置,可以對(duì)公司本部訪問互聯(lián)網(wǎng)的用戶計(jì)算機(jī)進(jìn)行帶寬控制、訪問內(nèi)容過(guò)濾等等。
而該設(shè)備具備的IPSEC VPN功能,配置為VPN接入服務(wù)器端,與遠(yuǎn)端部署在各個(gè)分支機(jī)構(gòu)的VPN(防火墻)設(shè)備組建虛擬專用網(wǎng)絡(luò),通過(guò)互聯(lián)網(wǎng)實(shí)現(xiàn)異地安全互聯(lián),并且所有的互聯(lián)接入,均是在防火墻功能模塊的控制下完成,這樣可以基本杜絕過(guò)于互聯(lián)互通的網(wǎng)絡(luò),成為病毒傳播的網(wǎng)絡(luò)基礎(chǔ)的情況(計(jì)算機(jī)基礎(chǔ)知識(shí))。
XX公司-分支機(jī)構(gòu)VPN(防火墻),圖中序號(hào)②所示
在各個(gè)分支機(jī)構(gòu)互聯(lián)網(wǎng)接入邊界,分別部署1臺(tái)中低端具備IPSEC VPN功能模塊的防火墻設(shè)備,其具備的防火墻功能與本部防火墻功能一樣,可以保護(hù)分支機(jī)構(gòu)網(wǎng)絡(luò),免受互聯(lián)網(wǎng)非法訪問和攻擊。同時(shí)具備的IPSEC VPN功能模塊,可以作為VPN客戶端,與集團(tuán)本部的VPN組建虛擬專用網(wǎng)絡(luò)。
同時(shí),分支機(jī)構(gòu)所部署的VPN(防火墻)設(shè)備,具備adsl撥號(hào)功能,不受分支機(jī)構(gòu)互聯(lián)網(wǎng)接入方式的限制,并且VPN連接在進(jìn)行合理配置后,可以自動(dòng)建立連接,基本不需要日常維護(hù)。
移動(dòng)辦公應(yīng)用,圖中序號(hào)③所示
為便于公司領(lǐng)導(dǎo)、網(wǎng)絡(luò)維護(hù)人員在家辦公或異地接入到公司網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程維護(hù),此處在公司本部VPN(防火墻)設(shè)備上配置相應(yīng)的帳號(hào)、密碼、訪問權(quán)限等等,并為這些人員使用的計(jì)算機(jī)安裝VPN客戶端軟件(也可以使用免客戶端的SSL VPN),他們就可以在被授權(quán)的情況下,安全的通過(guò)互聯(lián)網(wǎng)訪問公司本部的應(yīng)用系統(tǒng)以及集團(tuán)本部的應(yīng)用系統(tǒng)。
2.3. 應(yīng)用說(shuō)明
此處對(duì)上述防火墻VPN系統(tǒng)部署后,對(duì)用戶實(shí)際應(yīng)用系統(tǒng)的使用影響進(jìn)行說(shuō)明。
本方案一的基本原則是,最大限度的避免造成用戶原有網(wǎng)絡(luò)結(jié)構(gòu)、應(yīng)用系統(tǒng)使用方式的調(diào)整,故在本方案下,所有應(yīng)用系統(tǒng)的使用方式不需要任何調(diào)整,僅對(duì)于移動(dòng)辦公用戶遠(yuǎn)程辦公時(shí)的操作方式進(jìn)行簡(jiǎn)單說(shuō)明(安裝VPN客戶端軟件方式下的使用):
1)安裝VPN客戶端專用軟件;
2)運(yùn)行VPN客戶端軟件,輸入有公司本部管理員分配的用戶名、密碼等;
3)VPN客戶端軟件會(huì)自動(dòng)連接到公司本部的VPN(防火墻)進(jìn)行認(rèn)證,正確認(rèn)證后,VPN客戶端軟件會(huì)自動(dòng)隱藏至系統(tǒng)圖標(biāo)欄;
4)此時(shí)移動(dòng)用戶就可以想著公司內(nèi)網(wǎng)一樣,直接使用公司內(nèi)網(wǎng)的應(yīng)用以及集團(tuán)本部的應(yīng)用系統(tǒng)了(前提是,公司本部的防火墻為其開放相應(yīng)的訪問權(quán)限)。
2.4. 效果總結(jié)
在進(jìn)行上述防火墻VPN產(chǎn)品部署后,可以實(shí)現(xiàn)的功能及效果總結(jié)如下:
1)提升了XX公司本部網(wǎng)絡(luò)、分支結(jié)構(gòu)網(wǎng)絡(luò)的安全性,降低了遭受互聯(lián)網(wǎng)非法訪問、攻擊的可能;
2)XX公司本部網(wǎng)絡(luò)與其他各個(gè)分支機(jī)構(gòu)網(wǎng)絡(luò),通過(guò)互聯(lián)網(wǎng)組建虛擬專用網(wǎng),實(shí)現(xiàn)了異地安全互聯(lián)互通,便于異地協(xié)作辦公;
3)實(shí)現(xiàn)了安全移動(dòng)辦公,公司領(lǐng)導(dǎo)可以在任何可以接入互聯(lián)網(wǎng)的地點(diǎn),隨時(shí)安全的接入到XX公司網(wǎng)絡(luò),遠(yuǎn)程辦公處理事務(wù);
4)通過(guò)上述虛擬專用網(wǎng)絡(luò),進(jìn)一步可以使各個(gè)分支機(jī)構(gòu)、移動(dòng)辦公用戶,訪問到集團(tuán)本部的應(yīng)用系統(tǒng),便于進(jìn)一步安全互聯(lián)互通,更方便的業(yè)務(wù)處理;
5)通過(guò)設(shè)備具備的其他輔助功能,可以對(duì)互聯(lián)網(wǎng)帶寬、用戶互聯(lián)網(wǎng)訪問的內(nèi)容等進(jìn)行過(guò)濾,保證了集團(tuán)本部、分支機(jī)構(gòu)等互聯(lián)網(wǎng)辦公帶寬,杜絕了無(wú)關(guān)流量大量占用互聯(lián)網(wǎng)的情況。
另外,在需要的情況下,可以部署1臺(tái)用于日志存儲(chǔ)的服務(wù)器,收集防火墻日志,實(shí)現(xiàn)日志記錄和網(wǎng)絡(luò)訪問行為分析功能。
3. 方案二
本方案與方案的主要區(qū)別,在于采用軟件方式,替換了分支機(jī)構(gòu)部署的硬件VPN(防火墻)設(shè)備。
(這篇文章內(nèi)容好像多了點(diǎn),其實(shí)后邊的內(nèi)容大家應(yīng)該可以想到了,就到這里吧)
上海廣樂網(wǎng)絡(luò)科技有限公司 
滬ICP備14038021號(hào)-2 版權(quán)所有. 上海市市轄區(qū)浦東新區(qū)盛夏路666號(hào)盛銀大廈E棟 13151091625
