云南省钢材物流中心VPN组网方案介绍
根据企业需求,丘先生最终委托专业多WANVPN防火墙厂商侠诺科技,为云南钢材市场规划整体的VPN组网方案。其具体的组网架构拓朴与方案如下:
图二:云南省钢材物流中心SSL VPN互联网络应用拓扑图
本部中心端:云南省钢材物流中心本部作为中心端,统筹内外运营事宜,需要具备更优秀的网络环境,因此建议丘先生将其分为两部分。中心本部内部上网,采用侠诺新一代千兆共享产品GQF1150,四条6M网通ADSL汇聚接入,下接核心交换机连接到各部门PC提供局域网上网服务。并通过VLAN划分不同的子网,有效防止病毒传播的同时,也便于内网用户的管理。而对于外部资源访问服务等,则采用了侠诺SSL/IPSEC复合式防火墙--SSL002作为中心端接入设备,ERP、OA、业务管理等系统服务器直连SSL002,提供微软终端、远程桌面、VPN网络等信息远程共享服务。中心端网管根据远程用户不同的身份,划分不同的群组,以设置权限区隔,达到保护机密信息资源的目的。
分点:钢材市场的业务人员及企业合作伙伴,则可采用SSL VPN方式接入,无需安装客户端即可轻松安全的远程访问企业服务资源。
大型分支:目前云南钢材正在全省范围内网络布点,规划中相对较大型的分支外点,同时可以采用IPsec或者SSL VPN方式,灵活调整。
方案特点介绍
管理一键通简化管理端设定:管理端全面设置与管理众多外点是一项很吃力的事,SSL002具备的"管理一键通"功能,轻松解决了管理设置复杂问题。在认证管理上,企业可采用连接既有的Exchange Server的AD(Active Directory)认证服务器,网管不需花时间一一重建员工帐户;在用户权限设置上,预置All Users、Supervisor、Branch Staff、Mobile User四个群组样版,提供企业网管直接套用,网管不需再一一配置群组特性,省去繁复设置流程。网管可直接套用预置样版,实现管理一键通,超快速的完成企业SSL VPN建置,节省配置时间。
群组管理便于权限区隔:在管理方面,SSL002所具备的群组管理功能,可集中管理用户、服务器及应用资源。采角色管理模式,根据用户、用户群组提供细致访问权限控制,不同用户、群组具有不同权限,登入不同的使用者界面,可使用的资源服务也不相同。中心网管丘先生,就把移动办公的业务人员、合作伙伴及公司高层划分为不同的群组,远程桌面和终端服务只开放给企业内人员,则企业合作伙伴的远程登录界面就不会看该两项功能,从而进一步保障了企业内部信息的机密性。
联机一键通客户端快速访问:客户端零配置,只需要一台可以上网的电脑,使用操作系统自带的支持SSL浏览器,入口网页输入用户名及口令,即可快速登录帐户所对应的画面,使用权限内的资源服务。SSL002还具有一次性登入功能,用户登入内部服务器的用户名及口令如果和登入SSL VPN相同,只需进行一次登入SSL入口网站,后续再登入应用服务,SSL VPN即可自动完成登入,节省登入动作,提高用户工作效率。
多项远程服务实现应用共享:提供网络服务、微软终端服务、远程桌面、在线网络邻居、VPN安全隧道五种服务,方便用户远程办公与信息存取。如业务人员在外地需要应用微软终端,不需要安装该软件即可登入远程随时应用。还可远程登录自己办公桌的电脑桌面,存取资源,让在外办公有如在办公室一样轻松自在。
安全保护措施增强安全性:远程信息共享,SSL002在设计上除了强效的防火墙外,还支持其它一些安全防护措施。当用户打开IE联机Qno SSL VPN,会跳出安全性警讯提示您正透过SSL的加密保护。Qno侠诺SSL VPN设备允许设置用户用户名称、密码、到期日、没有动作强制注销时间等,如果一段时间用户没有动作或用户使用时效到期,该帐户则无法登入或被强制注销,从而避免内部网络被恶意入侵。登录注销后还提供清除Web缓存、Cookie等各种记录功能,避免数据资料被有心人士窃取,在安全上更增一层保障。
多WAN端口接入汇聚带宽:SSL002支持带宽汇聚、自动线路备援等功能,多WAN口接入方式,让企业有更大和弹性配置空间。目前云南省钢材市场采用一条6MADSL电信线路与3条6MADSL网通线路接入,四线不同ISP接入,不仅可以汇聚带宽以节省成本,而且还可以实现线路备援、数据分流、负载均衡等效果。当一条线路掉线,会自动改用另一个WAN连接端口的线路连接,确保VPN联机不掉线,避免掉线时造成无形的损失与伤害。
策略路由解决VPN跨网瓶颈:由于国内长期存在电信、网通互连不互通的问题,许多企业建立VPN时会发生跨ISP网络时带宽不足,导致VPN不稳定或易于掉线。侠诺多WAN口的设计,可搭配策略路由的设定,让不同ISP外点可直接连到对应VPN服务器入口,即可解决此问题。因此,无论业务人员或其它外点用户使用电信还是网通,拨入本部时都可得到快速稳定的响应。
