1.目標概述
在與XX公司進行詳細交流溝通后,我們分析總結本項目客戶希望實現的目標如下:
1) 實現XX公司與下屬分支機構的安全互聯;
2) 下屬分支機構通過互聯網安全接入XX公司網絡后,可以在受控的情況下訪問公司集團本部應用系統;
3) 公司領導和其他人員,可以通過互聯網,實現異地、遠程接入到集團網絡,并可以在安全可控狀態下的進行遠程辦公;
4) 為接入互聯網的公司本部以及分支機構,提供相應的安全保護措施,降低遭受互聯網攻擊、破壞的幾率;
5) 對公司本部及分支機構訪問互聯網行為進行相應的控制,避免因互聯網濫用影響日常辦公對互聯網帶寬的要求;
6) 提供的產品與技術,應安全、可靠、實用,并便于維護。
針對上述目標,結合我們公司多年的網絡安全建設經驗,我們特編制2個均可以滿足上述要求的技術方案,供客戶參考。
2.方案一
在預算允許的情況下,建議優先選擇方案一。
2.1. 網絡拓撲
2.2. 產品部署說明
XX公司-本部VPN(防火墻),圖中序號①所示
在公司本部互聯網接入邊界,部署1臺高端并具備IPSEC VPN功能模塊的防火墻設備,其防火墻功能可以實現公司本部網絡與互聯網網絡間數據傳遞的雙向訪問控制,阻斷來自互聯網對內部網絡的非法訪問和攻擊,同時根據規則配置,可以對公司本部訪問互聯網的用戶計算機進行帶寬控制、訪問內容過濾等等。
而該設備具備的IPSEC VPN功能,配置為VPN接入服務器端,與遠端部署在各個分支機構的VPN(防火墻)設備組建虛擬專用網絡,通過互聯網實現異地安全互聯,并且所有的互聯接入,均是在防火墻功能模塊的控制下完成,這樣可以基本杜絕過于互聯互通的網絡,成為病毒傳播的網絡基礎的情況(計算機基礎知識)。
XX公司-分支機構VPN(防火墻),圖中序號②所示
在各個分支機構互聯網接入邊界,分別部署1臺中低端具備IPSEC VPN功能模塊的防火墻設備,其具備的防火墻功能與本部防火墻功能一樣,可以保護分支機構網絡,免受互聯網非法訪問和攻擊。同時具備的IPSEC VPN功能模塊,可以作為VPN客戶端,與集團本部的VPN組建虛擬專用網絡。
同時,分支機構所部署的VPN(防火墻)設備,具備adsl撥號功能,不受分支機構互聯網接入方式的限制,并且VPN連接在進行合理配置后,可以自動建立連接,基本不需要日常維護。
移動辦公應用,圖中序號③所示
為便于公司領導、網絡維護人員在家辦公或異地接入到公司網絡進行遠程維護,此處在公司本部VPN(防火墻)設備上配置相應的帳號、密碼、訪問權限等等,并為這些人員使用的計算機安裝VPN客戶端軟件(也可以使用免客戶端的SSL VPN),他們就可以在被授權的情況下,安全的通過互聯網訪問公司本部的應用系統以及集團本部的應用系統。
2.3. 應用說明
此處對上述防火墻VPN系統部署后,對用戶實際應用系統的使用影響進行說明。
本方案一的基本原則是,最大限度的避免造成用戶原有網絡結構、應用系統使用方式的調整,故在本方案下,所有應用系統的使用方式不需要任何調整,僅對于移動辦公用戶遠程辦公時的操作方式進行簡單說明(安裝VPN客戶端軟件方式下的使用):
1)安裝VPN客戶端專用軟件;
2)運行VPN客戶端軟件,輸入有公司本部管理員分配的用戶名、密碼等;
3)VPN客戶端軟件會自動連接到公司本部的VPN(防火墻)進行認證,正確認證后,VPN客戶端軟件會自動隱藏至系統圖標欄;
4)此時移動用戶就可以想著公司內網一樣,直接使用公司內網的應用以及集團本部的應用系統了(前提是,公司本部的防火墻為其開放相應的訪問權限)。
2.4. 效果總結
在進行上述防火墻VPN產品部署后,可以實現的功能及效果總結如下:
1)提升了XX公司本部網絡、分支結構網絡的安全性,降低了遭受互聯網非法訪問、攻擊的可能;
2)XX公司本部網絡與其他各個分支機構網絡,通過互聯網組建虛擬專用網,實現了異地安全互聯互通,便于異地協作辦公;
3)實現了安全移動辦公,公司領導可以在任何可以接入互聯網的地點,隨時安全的接入到XX公司網絡,遠程辦公處理事務;
4)通過上述虛擬專用網絡,進一步可以使各個分支機構、移動辦公用戶,訪問到集團本部的應用系統,便于進一步安全互聯互通,更方便的業務處理;
5)通過設備具備的其他輔助功能,可以對互聯網帶寬、用戶互聯網訪問的內容等進行過濾,保證了集團本部、分支機構等互聯網辦公帶寬,杜絕了無關流量大量占用互聯網的情況。
另外,在需要的情況下,可以部署1臺用于日志存儲的服務器,收集防火墻日志,實現日志記錄和網絡訪問行為分析功能。
3. 方案二
本方案與方案的主要區別,在于采用軟件方式,替換了分支機構部署的硬件VPN(防火墻)設備。
(這篇文章內容好像多了點,其實后邊的內容大家應該可以想到了,就到這里吧)
上一條:永遠不進別人QQ黑名單的方法
下一條:使用非本人電腦必須注意的安全事項