案例背景
综上所述VPN技术不适为一个非常好的解决方案,北京科能腾达信息技术股份有限公司凭借多年在网络安全行业实际经验结合公司的实际情况,推荐使用科能腾达公司自主生产研发的下一代防火墙部署在公司核心ERP业务系统前端,下一代防火墙提供完善的VPN解决方案,支持SSL/IPsec/PPTP/GRE/L2TP等各种vpn协议,同时具备攻击防护功能,能检测各种类型的网络攻击,并采取相应的安全策略来保护内部网络免受恶意攻击,防止非授权的内部用户访问公司内部核心业务系统,保证内部网络及系统的安全稳定,同时也通过VPN技术利用隧道、加密、认证等特性在互联网上组建专网,可以有效避免重要数据被非法截获破解,保证公司内部业务信息在整个VPN网络中安全传输,同时也为分公司内部员工或出差办公员工获取公司最新信息,掌握更新的讯息提供了安全的途径。
建设目标
从技术角度来看,有以下需求
1)石家庄总部与北京,邯郸分公司,ERP业务数据实时共享,公司网络平台互联互通的迫切需求。
2)保障北京,邯郸分公司能安全实时的访问总公司ERP核心业务系统 ,保障远程传输数据的安全,公司内部信息的安全与隐私。
3)地域分散,IT部门的人员水平不均,需要减少网络配置和实施难度,集中管控降低整体难度。
4)分支VPN远程用户访问互联网外网的管理,没有公司IT部门的授权,保障分支机构自身的安全防护,防止恶意代码传播,互联网攻击者以分支机构作为跳板向总部发起攻击。
5) 员工远程移动办公安全VPN接入的需求,出差或家中办公访问公司ERP服务器。
6)能保证与公司原有信息系统的兼容性,比如OA,CRM,同时为下一步,公司其它信息化建设项目打下基础,搭建异地信息互联安全平台。
解决方案
全面的VPN解决方案:综合安全网关支持国际标准的各种VPN标准:IPSEC/SSL/L2TP/PPTP/GRE 等主流VPN协议,同时配合强大的防火墙功能,基于网络应用、用户、地址池 等多种要素,灵活控制VPN访问策略,为远程安全接入提供强大的技术支撑。
互联网链路实时监控与带宽控制:安全网关在应用识别的基础上,实时监控应用的流量状态,以及总体流量状态,同时根据出口链路的出口带宽占用率,灵活地提供不同的带宽控制策略,为关键应用分配足够的带宽资源。
方便部署,IT人员维护简单:产品配置简单,只需配置简单的参数,公司总部管理人员便可集中配置下发策略及规则,减少了分支IT人员的工作难度。
有效抵御外部攻击,保护公司关键业务:安全网关在传统攻击检测的基础上,还提供了基于行为特征的攻击检测行为,通过对攻击行为的深入分析,来提供更有效的检测方法,在公司互联网出口,能够对关键的网络服务提供更有效的保护。
案例价值
高性能的VPN传输隧道,利用廉价的ADSL线路,支持全动态IP组网(无需申请专线固定IP,节约企业使用成本),整个方案一次性投入,后期没有服务费用,方案性价比高。支持SSL/IPSEC/GRE/PPTP/L2TP VPN隧道技术,USG1000最大可支持450Mbps的IPsec的吞吐量,300Mbps的SSL-VPN吞吐量完全能满足企业对远程访问的需求
多种加密算法保证传输安全:网关支持 3DES DES AES128/192/256 等多种加密算法,支持标准的IPSEC VPN协议,能够为企业的远程互联安全提供有效的防护。
方便部署的VPN:安全网关配置简单,只需要在总部配置好相关参数,分支机构PC只配置简单上网参数,其他参数均由总部的VPN统一下发,大大降低了分支的配置难度
防范来自互联网点的安全威胁,保证各分支机构的网络安全:产品综合运用了恶意代码过滤和攻击防护等技术,通过隧道分割技术及防火墙功能,进行了有效防护,不会通过VPN通道传染病毒,一方面提升了分支机构自身的安全性,另一方面也防范一旦分支出现的安全问题,会通过广域网链路进行大面积传播。
QoS(Quality of Service)带宽管理提升链路利用率:在实施带宽管理策略后,将使得企业与分支之间的广域网链路分配更加合理,还能够根据总体带宽占用情况调整流量管理策略,进一步提升链路的利用率.
实现集中安全管理:网关配置在公司总部后,可实现集中管理分支SSL-VPN远程用户,包括设备运行状态的实时监控、远程SSL-VPN用户登录的信息,安全日志的审计,策略的下发,安全管理的实施大大提升了企业全局安全控制的能力。
