项目背景:
德国北德集团是欧洲最早建立的最大的从事检验、实验、质量保证和认证的国际性检验认证机构之一,其总部设在德国的汉堡和汉诺威。经过130多年的发展,它已在23个国家设立了分支机构、办事处或合资公司,并成为国际上最有权威的认证机构之一,其证书被85个国家所认可。
由于国际化的发展背景,北德集团内部人员经常需要通过外网访问公司网络,安全和私密性成为不容忽视的重要问题。而公司网络系统在病毒等网络安全问题的威胁下也急需一套完整高效的安全网络解决方案。
用户需求:
TUEV NORD及其子公司拥有8,500名雇员。在未来的36个月,90% 的员工将从他们的家里接入到公司网络。另外,所有的汽车服务站都将包含到这个网络中。且公司还规划了其他增值服务,如为正在等待汽车检查的用户提供自由的网络接入等。所以安全、稳定、高效的网络是必须的。同时,为了给网络中需要具备更高安全级别的设施(如核电站等)提供安全保障,还必须考虑级别更高的安全功能。
解决方案:
针对用户的需求,在经过对北德集团情况进行周密研究和全面评估后,合勤科技(ZyXEL)决定采用ZyWALL 1050,ZyWALL 2, ZyWALL P1/P2(配合Vantage CNM)系列性价比极高的产品来建立和管理一个拥有7,500个节点的庞大的VPN网络。其中,VPN集中器ZyWALL 1050将被安置在汉堡、汉诺威和埃森3个地点。所有的移动用户和出差员工都将配备ZyWALL P1/P2来构建安全畅通的VPN通道。同时,考虑到合作伙伴的雇员是没有高端技术的人员,所以网络建设将采用规范化的网络架设。
对于方案中应用的系列产品,ZyWALL 1050,ZyWALL 2, ZyWALL P1/P2均继承了ZyWALL家族强大的防火墙功能并被定位在终端和家庭工作者。作为通过了ICSA认证的高性能产品,在保证防火墙和IPSec VPN与其他厂商拥有的ICSA认证的产品进行极佳的互联互通的同时,能提供高速率的采用DES\3DES\AES等加密方式保护的VPN连接,并具有VPN备份功能以保证在主要网络连接中断时能够及时地替换到备份连接上,从而保障了网络的畅通。ZyWALL 1050更将可升级实现整合防火墙、VPN、负载平衡、宽带管理、内容过滤、防病毒、IDP、防垃圾邮件的8合1安全应用,从而实现更高的安全特性。
此外,还将提供包括拨号备份和流量重定向等附加的增值优势,及增强的保护多重互联网连接可靠性的功能。同时,该系列产品均提供了一个友好的用户界面作为接入互联网的快速配置接口,从而保证了非专业人士能够快速的熟悉掌握配置ZyWALL的方法。可以看出,合勤科技从安全,简便,高性价比等方面来进行了方案的设计。
具体实施:
北德集团的具体网络应用拓扑图如下:
北德集团网络应用拓扑图
在整个网络的构建中,首先在汉堡总公司的出口处放置一台ZyWALL 1050 UTM,在提供完全安全保障的前提下,可提供24小时不间断的稳定网络服务。另外,在汉诺威和埃森各架设一台ZyWALL 1050以建立起虚拟私有网络(VPN)来连接远程分公司、商业合作伙伴、移动办公用户等,从而实现无缝的保护公司数据在一个安全、受信任的VPN网络中传输。为了提供最佳的传输质量,ZyWALL 1050提供了设置传输优先级或限制每个连接使用带宽的管理策略,能根据应用类型或企业中的主机来进行带宽管理。从而确保了传输服务质量。此外,ZyWALL 1050还能让管理员以集中日志的方式始终跟踪网络带宽的使用情况,实现了对网络使用情况的实时的监控。
对于企业来说,提高生产力是非常重要的,这就需要对IM/P2P,垃圾邮件,访问内容等进行有效的控制。而ZyWALL 1050的内容过滤特性创建了一个强有力的Internet访问策略,能通过预设的列表来监测并阻止不良WEB站点。而对于经常变更的的WEB站点,ZyWALL 1050还能激活内容过滤的动态数据库,以进行动态的URL过滤管理,从而真正确保了企业制定的策略能够被准确的实施,提高了工作效率。
在重要的安全环节,ZyWALL 1050提供了更加强有力的支持。ZyWALL 1050支持三层的虚拟技术(VLAN、Virtual/Alias interface),能根据需要为不同的物理端口设置VLAN接口或虚拟接口。通过虚拟化和区域概念,ZyWALL 1050很容易的实现了复杂的部署和建议的安全管理。同时,ZyWALL 1050具有的增强型IDP(Intrusion Detection and Prevention)引擎能够进行深达7层的数据包即时检测。因此有效实现了入侵检测和即时阻断,侦测并保护了网络不被潜在的蠕虫、病毒、木马、VOIP攻击等的侵犯。同时,ZyWALL 1050更能升级实现整合防火墙、VPN、负载平衡、宽带管理、内容过滤、防病毒、IDP、防垃圾邮件的8合1安全应用,从而提供更加全面的UTM安全管理特性。
在整个网络的构建中,ZyWALL 2被放置在各个部门的出口及员工住所,以实现层层保护,确保公司内每个点都处在安全的保护和监控之下。作为通过ICSA的防火墙国际安全认证的产品,ZyWALL 2能提供包括状态侦测(Stateful Inspection),阻断服务(Daniel of Service)等在内的高性能防火墙功能,在强化网络安全的同时,也保障了高速上网的质量。此外,方案中将公众服务器连接到了防火墙的DMZ端口,以形成公共服务器安全区域。同时,将来自ISP运营商的专线接入到ZyWALL 1050 的WAN端口,以形成Internet区域。通过如此不同区域的划分,实现了不同区域间互相访问的严格限制,从而既保证了用户的严格的安全特性,又实现服务器的安全保障。
另外,由于TUEV有移动用户的需求,所以专门为TUEV的移动用户提供了便携式防火墙ZyWALL P1及带有Wireless功能的便携式防火墙ZyWALL P2供移动用户使用。这两款个人防火墙设备,均实现了随插即用的人性化设计和极为容易的安装及设定。通过USB供电,即能提供防火墙及VPN安全加密的传输功能,同时,先进的SPI防火墙也随时确保了使用者的PC避免来自网络的任何攻击,充分体现了安全性,便捷性的特点。从而为个人和企业间构建起了一座随时随地安全沟通的桥梁。
在通过上述配置保证服务器和用户安全使用的同时,方案在管理上的悉心设计也体现出了人性化的关怀。在应用中的所有ZyWALL系列产品均可以通过提供的CNM管理软件进行统一管理,以实现统一的管理和监控。如图中所示,方案在汉堡架设了一台ZyXEL Vantage CNM server来管控整个网络中的TUEV的设备。CNM让TUEV在无需投入大量的网管人员来进行复杂手动设置的情况下,即实现了对网络使用情况轻松有效的辨别,并帮助网管人员准确高效地将VPN配置及升级固件实施到各个设备,从而保证TUEV能够在期望结果相同的情况下大幅节省了人力成本。
实施效果:
在新搭建的网络系统运行后,整个网络一直运行稳定。通过ZyXEL 1050,CNM等的设置,网管员实现了对网络的实时监控和及时处理,并保证了网络带宽的有效分配。ZyXEL 1050建立的VPN网络将各远程分公司、商业合作伙伴及移动办公用户等都连接了起来,在网络的各个终端,大家都能在保证数据私密的情况下,通过简单的操作来进行公司内部网络的畅通访问。通过IDP策略库的实时升级,网络有效对各种病毒,攻击等安全威胁进行了及时检测和阻断,创造了一个安全的网络环境。
用户评价:
TUEV某网管讲:“采用ZyXEL解决方案, TUEV IT团队能够架设拥有很大数量的VPN终端节点的网络,并且仅需采用3个职员来维护它们。在固件升级和策略变化方面是非常简单高效的。 AES加密和ZyWALL系列的专业防火墙功能够适应TUEV的高级别安全需要。” TUEV某高级经理称:“采用ZyXEL产品,TUEV员工的工作效率明显提高。高效的网络保证了TUEV的高效运转,ZyXEL是值得信赖的合作伙伴。
应用特色:
1、 强大的速度保障和安全特性。ZyWALL 1050,ZyWALL 2, ZyWALL P1/P2均继承了ZyWALL家族强大的防火墙功能。能提供高速率的采用DES\3DES\AES等加密方式保护的VPN连接,并具有VPN备份功能以保证在主要网络连接中断时能够及时地替换到备份连接上,从而保障了网络的畅通。同时,ZyWALL 1050还将能升级实现整合防火墙、VPN、负载平衡、宽带管理、内容过滤、防病毒、IDP、防垃圾邮件的8合1安全应用,从而实现更加全面高效的UTM安全管理特性。
2、 可集中式管理及最低数量的维护人员需求。ZyWALL系列产品均可通过提供的CNM管理软件进行统一的管理和监控。通过CNM,管理员可轻松了解和掌握整个网络的使用情况,从而准确高效地将VPN配置及固件升级实施到各个设备。在保证管理高效的同时,节约了人力成本。
3、 简单的架设、维护和升级,适用于没有技术背景的雇员。专门为移动用户提供的便携式防火墙ZyWALL P1及带有Wireless功能的便携式防火墙ZyWALL P2通过USB供电,即能提供防火墙及VPN安全加密的传输功能。且均实现了随插即用的人性化设计和极为容易的安装及设定,而无须任何繁复软件的安装,也大大减少了维护及管理成本。
4、 合理的价格。在提供高效的网络应用方案的同时,价格合理,同时在维护,管理等各方面都能有效降低人员配置,设备安装等成本。具有极高的性价比优势。