该方案特点:
典型的大公司的网络连接架构。总部具有真实 IP ,各地分支机构采用多种接入方式: ADSL , Cable , Modem 等接入 Internet 。通过安全网关在 Internet 上构建企业内部虚拟专用网络,并解决企业内部移动用户的远程接入问题。
方案概述:
1、目前网络的现状及需求
XX 公司为实现办公自动化应用和内部 WEB 和 MAIL 服务,能实时地与全省各地市分支机构互联。为各地市分支提供办公自动化、 WEB 、 MAIL 服务,建设覆盖全省的信息服务网络。
目前 XX 公司总部通过 100M 宽带接入方式接入 Internet 。公司在全省各地设 30 个分支机构或办事处,通过 ADSL 、宽带或拨号方式接入 Internet ,分支机构或办事处需要实时将信息传送到公司总部,总部也需要将反馈的信息实时向分支机构或办事处下发。目前集团总部的一台高性能服务器,对分支机构或办事处提供 MAIL 、 WEB 和办公自动化应用服务。
网络示意图如下:
XX 公司提出网络互联及安全总的需求: 1 个中心节点与 30 个分节点进行安全互联。加密要求:商密;处理速度: 10Mbps 以上;要求支持动态 IP 地址,支持 CA 认证。
目前的网络示意图
现在公司的情况是:总部通过光纤接入互联网,内部实现办公自动化和 WEB 、 MAIL 等服务。其它各地市与总部的信息交流主要是通过邮件来实现,现在无法实现办公自动化、 WEB 等服务。
随着公司业务的迅速发展,各地分公司、办事处也相继多了起来,信息交互也越来越频繁,随着企业 ERP 系统的实施,重要的数据和信息在网络中传输也越来越多,安全性要求也越来越重要,目前仅仅依靠 Modem 拨号、 ADSL 以及专线的组网模式已经越来越不适应 XX 公司对信息传输平台的要求了。
从经济角度考虑,电信提供的专线组网方式费用比较昂贵,由于 XX 公司是一个大型的现代化企业,在省内大部分城市设立了多家分支机构,同时拥有多家紧密型的合作伙伴或分销客户网络,相关需要联网的网点数目比较多,分部地区比较广,信息交互比较频繁,每月的巨额通讯费用和专线租用费会给 XX 集团带来很大的压力。
从安全方面考虑,电信提供的 DDN 、 ADSL 等传输平台没有经过加密处理,重要数据和信息均是以明文在网上传输,如果别有用心的人利用 Sniffer 等网络监听分析工具,极易篡改、窃取甚至破坏企业数据,给企业造成不可估量的损失;由于传输平台没有认证功能,企业内部员工的越权访问、误操作、有意或无意的泄密、甚至是少数员工恶意的破坏,都会对企业的信息和数据造成很大的威胁;由于传输平台没有访问控制和安全隔离的功能,给外部非法人员提供了入侵的机会,非法人员可以通过专用的黑客程序(此类工具在 Internet 上可以任意下载),或者盗取授权员工的访问权限,进入公司网络系统内部,让 “ 企业巨人折戟沉沙,使系统安全溃于蚁穴 ” 。由于 XX 分支机构和联网网点数目众多,知名度大,受攻击的几率相对较大,一旦通过计算机终端进入公司总部服务器,后果将不堪设想。
从管理方面考虑, XX 公司处于高速发展阶段,拥有的连锁网点和计算机终端较多,面临最紧迫的问题就是信息的汇总、连锁网点的信息交互以及计算机终端的集中管理。 DDN 、 ADSL 等组网方式由于本身的技术限制,不可能提供强大的管理平台,也不可能解决大规模的应用和管理问题。
从经营角度考虑, XX 公司需要一个实时的、安全的、高速的、快捷的、稳定的信息交互平台,来满足企业信息频繁传输的需要,增加企业的工作效率,提高企业的服务质量,加快企业的信息化建设,适应企业的快速发展,提升企业的良好形象。
综上所述,如何快捷地解决 XX 公司的企业联网问题,如何有效地降低企业的巨额通讯费用,如何很好地解决 “ 信息的共享和信息的安全问题 ” 是本方案重点讨论要解决的问题,使整个网络的互联性得到极大提高,使整个网络的安全性达到一个全面加强,使网络系统的每个部分都不会成为 “ 木桶的最短一块木板 ” 是本系统方案要实现的目标。
2、目前网络系统互联问题及存在的安全隐患
2.1 网络系统互联问题:
XX 公司针对现有业务,提出网络互联建设中心节点 1 个,分节点 30 个。网络系统如采用专线方式相比较 VPN 组网方式有诸多不足:(见下表)
由此可见,采用 VPN 方式组网具有投资成本低、高带宽、高可靠性、高安全性以及灵活的可扩展性的优点,且我公司 VPN 产品特有的具有对 Internet 上的内部移动用户安全接入功能,可以彻底消除地域差异,实现可移动用户的网络互联及基于 Internet 的可移动安全访问控制。因此,采用 VPN 方式组网对 XX 公司来说是现实可行的,完全可以满足公司的业务需要。
2.2 网络系统存在的安全隐患:
目前办公自动化用户数据都通过公网( Internet )直接传输,因办公自动化网络传输的数据包含公司的业务敏感信息,属于商业机密,在公网上直接传输存在着很大的隐患,黑客或网络运营商中的某些有不良居心的人员可以利用专用软件在网络结点设备或线路上截获业务数据,如果这些数据被公布或篡改,对于 XX 公司而言,后果是非常严重的。
另一方面,如果公司总部的网络边界没有防火墙来保护内部网络,也没有做任何访问控制,这样就存在极大的安全隐患,外部网络可以随意访问服务器,一旦服务器的密码被暴力破解,或者黑客利用操作系统的某些漏洞进入了服务器,不但服务器中办公自动化系统的数据面临危险,而且黑客极易利用服务器作为跳板,转而攻击内部网络的机器,那么整个系统将无安全性可言。
3、网络规划与产品部署
3.1 XX 公司总部设计方案
XX 公司总部是整个 XX 公司的 “ 心脏地带 ” ,重要信息的交互、共享,重要数据的频繁传输,组成了 XX 公司的业务流。随着企业信息化程度的不断加深,各种应用系统会逐步得到应用。随之而来,信息安全问题也会成为我们关注的焦点。
目前, XX 公司总部的内部网络,通过电信网络直接接入 Internet 。考虑以后总部业务需求的发展和承担的重要任务,建议在总部网络出口处部署两台鼎成的 SECCN 型 VPN 硬件安全网关(安全网关综合利用了隧道技术、加密技术、认证技术来保护 XX 公司总部和分支机构内网的安全通讯、安全传输),实现 “ 双机热备系统 ” 。一台工作网关,一台备份网关,两台网关通过串口 2 的心跳线相连,并进行通讯。一旦工作网关发生故障,备份网关可以平滑接替工作网关进行工作,保证中心系统业务的不中断。
SECCN G478 具有 6 个网络接口:内网口、外网口、 DMZ 口和扩展口。
VPN 网络建设示意图
3.2 各地驻外机构设计方案
由于各地驻外机构需要与 XX 公司总部进行大量的信息交换,并且随着办公自动化系统的应用加深,物流、资金流在企业 Intranet 网上的频繁传输,为了保证总部与分支机构、分支机构与分支机构之间进行安全的信息传输,我们可以根据各分支机构的不同情况,分别部署中低端的硬件安全网关和安全客户端系统到各驻外机构。同时,建议具有子网的各驻外机构采用 ADSL 或者宽带的方式接入 Internet ,并在网络出口处部署 SECCN G478 、 SECCN G300 或 SECCN G50 硬件安全网关设备;建议在仅有少数终端的分支机构(如:办事处)采用 Modem 或 ADSL 的方式接入 Internet ,并在该代理上网的 PC 上安装安全客户端系统,从而达到和总部以及其他分支机构的 VPN 通讯。如下图:
分公司网络示意图
上图中 SECCN G300 部署在分支机构局域网的出口,既充当防火墙,对本地局域网实施有效保护;又充当 VPN ,和总部的安全网关建立 VPN 隧道。
在代理上网和拨号 PC 上装 “ 安全客户端 ” 软件,整个局域网内 PC 都通过该代理 PC 建立的 VPN 隧道安全接入总部。
办事处网络示意图
3.3 移动用户的远程安全接入
在外出差的移动用户可以通过安装在笔计本电脑上的 “ 安全客户端 ” 软件,随时通过当地的 ISP (如:拨号上网)接入 Internet 。再使用该软件和远端的安全网关建立加密隧道,安全接入公司总部和各个分公司,并在任何地方使用公司内部的 OA 系统。