【IT168 资讯】用户背景

    浙江青年尼奥普兰汽车集团是一家国家定点的豪华客车生产企业，引进世界优秀的德国 NEOPLAN 客车制造技术，专业生产青年．尼奥普兰系列豪华客车。公司占地 640 亩，年生产能力达 5000 台。公司现有员工 2300 余人，其中科技研发人员 300 多人，外国专家 4 人。

    经过短短几年的努力，浙江青年尼奥普兰汽车集团有限公司已在国内同行业中获得车辆等级、高档车产量、高档车销售量、高三等级车型数量、同比增长速度五个第一，跻身全国客车企业 10 强，中国机械工业 500 强之内，被建设部评为国家旅游行业最高等级五星级客车。 2002 年公司销售产值突破 10 亿元； 2003 年销售产值 13.3 亿元， 2004 年销售产值 14 亿元，连续几年列全市工业企业首位。目前，公司 130 万元以上的豪华客车在全国的市场占有率在 70% 以上， 200 万元以上客车的全国市场占有率达 100% 。

    用户需求

    • 采用相关的访问控制产品及控制技术来防范来自不安全网络或不信任域的非法访问或非授权访问，具体就是控制办公和其他网络对业务网络的访问。

    • 采用安全检测技术来实时检查进出网络的数据流，动态防范各种来自内外网络的恶意攻击，在产生任何有威胁的安全行为时，要及时通知网络管理人员，尽可能在初期就把安全的隐患消灭掉，尤其是在病毒大规模爆发以前就提出详细的解决办法，并提供安全策略。

    • 采用防病毒产品及技术实时监测进入网络或主机的数据，防范病毒对网络或主机的侵害，避免病毒和蠕虫在网络内泛滥。

    组网方案

    网络安全的整体方案不可能是一步到位的，它是一个循序渐进的的过程。针对浙江尼奥普兰公司网络和应用的状况，在其网络系统的安全建设中，网络安全的部署将依据应用业务的具体需求，进行详尽合理的网络设计，提供一个高可靠性、高安全性的网络安全体系，实现企业预期的安全目标。

    • Fortigate 500A 做为总出口对内外网的流量做病毒扫描和策略过滤，利用 Fortigate 500A 自带的多个接口来划分多个网段，有效解决不同部门之间访问的问题，并且限制了病毒在不同网段之间的传播。

    • 用两台 Fortigate 50A 做透明模式分别放在研发部门和财务部的前面， FortiGate 系列防火墙支持路由（ NAT ）模式、透明模式和混合模式三种工作模式。可以很好的适应各种网络环境，不需改变用户原有网络拓扑结构。

    • FT 500A 支持 3000 条ＶＰＮ遂道数，使各地分公司和移动用户可以与总部实现资源共享和信息即时传输。

    产品选型

    为了尽量减少浙江尼奥普兰公司中心网络受到病毒的攻击，根据以上的现有网络运营情况和具体业务要求，我们推荐 利用美国 FortiGate 500A 高性能的防火墙来构建网络 。 FortiGate 产品支持远程管理和集中管理。由于是基于 Web 方式的管理，管理员只需要任何一台带有 IE 浏览器的计算机，可以访问到 FortiGate 的 IP 地址，并且拥有相应的访问权限，便可随时对 FortiGate 进行管理和监控。

    作为 Firewall 安全设备的领先厂商， Fortinet 公司的 FortiGate 安全平台通过动态威胁防御技术、高级启发式异常扫描引擎提供了非常好的功能和检测能力。 Fortinet 公司的 FortiGate 500A 提供以下功能和好处：

    • 集成关键安全组件的状态检测防火墙。

    • 可实时更新病毒和攻击特征的网关防病毒。

    • IDS 和 IPS 预置 1400 个以上的攻击特征，并提供用户定制特征的机制。

    • VPN （支持 PPTP 、 L2TP 、 IPSec 和 SSL VPN ）。

    • 反垃圾邮件具备多种用户自定义的阻挡机制，包括黑白名单和实时黑名单（ RBL ）等。

    • Web 内容过滤具有用户可定义的过滤器和全自动的 FortiGuard 过滤服务。

    • 带宽管理防止带宽滥用。

    • 用户认证，防止非授权的网络访问。

    • 动态威胁防御提供先进的威胁关联技术。

    • ASIC 加速提供比基于 PC 工控机的安全方案高出 4-6 倍的性能。

    • 加固的操作系统，不含第三方组件，保证了物理上的安全。

    • 完整的系列支持服务，包括日志和报告生成器、客户端安全组件。

    方案拓朴图

    方案特点

    本方案提供了良好的网络的集中管理和监控功能。利用防火墙设备，可以严格的控制数据的流向和各种数据服务，方便管理各总部的网络配置。

    • 适宜具体需求，满足用户的应用；

    • 完整的解决了私网互连和上 Internet 之间的问题；

    • 可行性强，实施方便，在各分支网络中不需做其他工作 ;

    • 减少整体投资，具有良好的性能价格比 ;

    • 系统可扩展性强，因为 IP VPN 是建立在公网上的私有连接，因此当网络拓扑改变时，只需更改软件配置，不依附于资源提供商和物理设备；

    • 数据高度保密 , 提供 IPSEC 较高级别的安全保护

    • 利用防火墙设备的日志、监控、告警功能，可以方便的管理和监控各分部的网络运行状态。

    方案达到目的

    本项目主要是实现主干网络的防护。将总部作为核心防护区域，在研发和财务这两个部门的网关处部署防病毒网关，有效地隔离各部门和服务器区间病毒相互传播的途径，即使病毒发作，也可以将病毒控制在一个部门之内，不会影响到其他部门以及主干网的安全，同时也可以弥补各家分部门单一依靠部署防病毒软件来防护网络病毒的漏洞，切实保护好主干网络，防止病毒阻塞带宽。

    通过网络安全建设，需要实现以下目标：

    （1）．技术层面：

    • 保护网络系统的原有性

    • 保护网络资源的合法使用性

    • 防范入侵者的恶意攻击与破坏

    • 保护信息通过网上传输的机密性、完整性及不可抵赖性

    • 防范病毒的侵害

    • 防范来自网络内外的攻击

    • 有效的日志管理为安全运维提供支持

    （2）．应用层面：

    • 切合实际应用，满足业务运营要求。

    • 提供简单、实用、完整的网络运营体系。

    • 充分考虑公司网络运营的未来发展

    • 充分考虑公司网络建设整体投资

    • 提供方便、完善的网络运行监控和管理功能

    使用效果

    系统通过了用户验收以后，起到防火墙和防病毒等功能，给用户网络阻挡了大量的攻击和病毒，网上非正常会话数大大降低，彻底改善了网络性能。同时简化了用户的网管工作，用户反映良好，表示满意。