案例背景
综合考虑存在以下急需解决的问题
1)集团总部及各地智能工厂IP子网的规划
2)办公网与生产网之间的安全访问控制需求
3)智能工厂防火墙的升级(目前使用SSG-20是百兆,不支持SSL-VPN功能,无光口)
4)集团总部网络出口网络性能升级与网络冗余规划(提前规划,防范未然)
综上所述,根据多年的行业经验,针对性的制定网络建议改造方案来解决公司所面临的问题。
解决方案
本方案建议智能工厂采用融合多种安全技术为一体的下一代防火墙部署在企业互联网出口链路和核心交换机之间,安全网关通过划分多网段技术来实现工厂各部门之间的网络访问控制与网络隔离,配置为路由模式,同时启用SNAT技术为员工内外部访问提供支持;开启IPSEC-VPN/SSL-VPN功能,用于分厂计算机工作站与总部ERP服务器的实时安全互联,也可根据实际应用环境开启更细腻度的防火墙访问控制策略, 安全网关不仅支持的多个自定义接口,还能够单独将公司网站等对外服务器进行物理隔离
案例价值
此方案在网络安全层面为企业互联网应用带来如下优势:
高性能VPN,保证数据远程传输效率及数据传输安全:产品最高可支持450M的IPSEC VPN吞吐量,最高可提供5000条加密通道,支持免费授权的SSL-VPN功能,SSL-VPN最高能达到300Mbps的性能,公司员工无论是在工厂办公室或者在外出差,计算机工作站.手机.移动终端Pad只要能接入网络,均能通过方便易用的VPN技术访问总公司ERP服务器,保证各工厂业务数据上传的实时性,因此方案具备超高的性价比,一次性投入能完全满足公司未来5-8年发展的需求,也能完全满足企业远程ERP访问的效率要求。同时VPN技术通过隧道、加密、认证等特性在网络中建立专网,有效避免服务器重要数据被恶意拦截和窃取,为康平纳公司总部和工厂分支间的数据安全传输提供保障。
良好的系统兼容性及网络稳定性:下一代防火墙支持多WAN线路的同时工作,也可根据业务需求通过路由的优先级与管理距离来设置主备线路,同时通过特有的失效网关检测(Ping-server)技术来实现故障外网线路的动态切换,VPN线路可以做双线备援,联通和电信双线可同时接入到安全网关上,按照业务需求,各尽其用,通过防火墙访问规则来控制业务的实时性与安全性,做到物尽其用,保障业务的稳定性。
有效抵御外部攻击,保护企业关键服务:下一代防火墙在传统攻击检测的基础上,都提供了基于行为特征的攻击检测行为,通过对攻击行为的深入分析,来提供更有效的检测方法,在企业互联网出口,能够对关键的服务提供更有效的保护,通过安全事件日志追溯攻击源头。
方便部署,IT人员维护简单:产品配置简单,支持中英文web配置界面,只需配置简单的参数,公司总部管理人员可本地或远程登陆配置下发策略及规则,减少了IT人员的工作难度。
链路实时监控与带宽控制:安全网关在网络流量上,实时监控应用的流量状态,实时会话数,以及总体流量状态,同时根据出口链路的出口带宽占用率,灵活地提供不同的带宽控制策略,为关键应用分配足够的带宽资源。
强大的防火墙功能:支持的流控、恶意代码防范、抗攻击等强大的防火墙功能,为企业机构及移动办公等远程访问节点提供综合性的防护;支持集中管理,实现更有效快捷的配置与管理,为公司内部员工提供灵活的访问内外网的权限(计划时间 流量 协议 网络端口 IP地址)
全面的VPN解决方案:安全网关支持国际标准的各种VPN标准:IPSEC/SSL/L2TP/PPTP/GRE 等主流VPN协议,同时配合强大的防火墙功能,基于时间 用户 地址池 等多种要素,灵活控制VPN访问策略,为远程安全接入提供强大的技术支撑,同时可扩展至iPhone Android iPad等智能系统,而不仅仅局限于windows系统。
安全日志系统:为网络管理人员提供了网络整体的使用情况,包括网络接口应用流量、用户访问目标报表、用户访问行为报表、前后对比报表及多种自定义报表,使网络管理人员可以对网络使用现状一目了然,并可针对相关报表进行相关的网络部署策略调整,优化网络结构
