香港金六福珠宝(集团)有限公司于2002年在香港成立，是一家集首饰原料采购，设计，生产，加工，批发及零售于一体的大型珠宝集团。采用国际先进的质量管理体系及优质连锁服务,享誉香港珠宝界。2005年， “金六福”在深圳成立中国市场营销中心，现已在中国大陆数百家连锁店，建立起良好的口碑，品牌影响力在大陆珠宝界首屈一指。

　　在金六福珠宝在国内连锁店增加，业务蒸蒸日上之时，也带来了管理上负担和瓶颈。目前金六福珠宝整个连锁加盟体系采用统一管理的方式。库管，财务，采办等通过网络和ERP软件管理，采取了非常先进方案。但是目前所遇到的困境是：ERP软件常常出现无法正常连接的状态，数据连通出现问题。这样使很多分店的日常经营受阻，损失巨大!

　　金六福珠宝管理层非常重视，经过联系ERP软件公司、网络集成商，进行多次的网络问题会诊并给出了解决方案进行尝试，包括使用硬件防火墙设备、建立VPN隧道进行信息加密传输、使用上网行为管理和带宽管理设备等等。而网络的断线、卡滞问题仍未得到解决，ERP系统的信息传输仍会出现中断。企业高速发展依托的网络信息化遇到了瓶颈，信息时代带来的企业经营管理效率的提高难道是可望而不可即的吗?

　　保证企业网络稳定就需要对其当前网络结构进行分析，找到网络问题的根源，以便使用相对应的网络安全设备，达到最终解决问题的目的。专业从事企业网络安全管理的北京欣全向科技，对香港金六福珠宝的网络进行了分析，以此找到为何金六福珠宝尝试的多种网络安全方案均不能解决其网络安全稳定的问题。

　　金六福珠宝原有网络简图

　　对原有网络方案分析：金六福珠宝是企业信息化前沿的企业，信息化程度高，业务对网络依赖性强。主要管理都依赖于基于网络的管理软件。如果网络出现问题，那么将损失巨大。目前网络结构是典型的第二代基础组网，加上网络应用的双层结构。第一层是红色线代表基础网络通信，即网络通讯是否连通;第二层是绿色线代表网络应用，既ERP软件数据。只有第一层网络基础通信保证连通，建立起良好的“通信公路”那么第二层的ERP数据才可以在这条路上跑数据。黑色则代表不可靠的网络数据，可能是病毒，木马等以太网协议攻击。这样我们可以看到，原有路由器防火墙，属于接入型设备，只负责网络接入端，在接入端进行数据转发和管理。当发生内网某台机器中病毒，并且通过交换机进行内网攻击时，防火墙根本接受不到数据，更无法阻止中毒机器通过交换机对整个网络的攻击。那么其他的电脑终端，交换机等，在网络攻击下，会产生终端断线，交换机断线，以至于网络瘫痪。整个过程中，防火墙始终正常工作，但是却对终端——交换机——终端的攻击数据无能为力。而企业内网的安全稳定问题一直遭受这样的挑衅，而管理员却没有相应的处理手段。

　　当黑色线代表的网络攻击对网络造成破坏时，红色的网络基础通信将中断，那么承载业务的绿色ERP数据将失去行使的“通信公路”，数据终端，业务瘫痪。

　　而企业之前使用过的防火墙主要用于外网的攻击防护无法解决内网电脑之间的攻击;VPN设备主要解决企业信息在Internet传输时的安全问题;上网行为管理设备和带宽管理设备也均是在对Internet访问时进行的控制管理;以上安全方案均需要在内网之间即终端---交换机---终端连接正常，稳定、安全的情况下才能发挥作用，否则以上安全手段均不能起到其应用效果。内网的安全管理、稳定属于网络基础安全，需要相应的网络管理手段解决。

　　经过以上网络分析诊断，北京欣全向公司为金六福珠宝提供了免疫墙路由器，全面实施免疫网络方案，彻底解决网络底层安全问题，保证底层网络通信稳定，从而保障ERP等应用稳定运行，为企业业务应用保驾护航。网络方案如下：

　　金六福珠宝免疫网络简图

　　对免疫网络进行分析：免疫墙路由器作为最新的第三代的基础组网设备，对于网络的理解已经突破原有“接入型设备”的概念(注：接入型设备即是指在网络接入端，连接内外网，做数据转发。即使做管理也是在路由器内部基于接收到的数据进行安全和行为的管理)。网络由路由器，交换机，终端组成，免疫墙路由器通过免疫协议管理整个网络，包括内网终端。免疫网络方案由免疫路由器，运营中心，免疫上网驱动，免疫协议组成，通过这种方式，可以在每个终端控制上网数据，阻拦病毒攻击。通过智能实施安装免疫上网驱动，由免疫协议进行策略分发和管理监控，任何攻击内网电脑、交换机、路由器的数据都不能通过网卡。从而保证内网的安全和稳定。

　　总结免疫墙路由器方案：

　　免疫墙路由器通过四个方面紧紧管控整个内网，达到比前普通二代路由方案更稳定、更高速、更安全、可管理的应用效果。

　　1、 拓展到网络的最末端。免疫墙路由器对内网中的每一台终端进行管控，没有免疫身份的终端不允许上网，阻止了从内网终端发起的攻击，并对内网终端进行行为策略管理，与此同时保护每一台终端的安全，全面净化网络环境。

　　2、 深入到协议的最底层。免疫墙路由器对协议层的管理在路由器和终端网卡上同时展开。路由器的协议管理从NAT开始进行，而上网驱动则安装在每一个终端的网卡驱动层。所有上网数据都必须要通过这层驱动，任何应用无一漏网。它能够有效地防范ARP、IP分片、洪水包等协议型病毒，精确调整每台终端的上网带宽，管理P2P下载、QQ、游戏等上网行为。

　　3、 盘查到外网的出入口。免疫墙路由器作为外网和内网连接的大门，是企业网的核心设备。不但有高速的转发效率，免疫墙路由器还强调对网关的保护和外网攻击的防范，它对来自内外网的ARP截获网关数据攻击，伪造IP等非法操作有先天免疫的能力。

　　4、 总览到内网的最全貌。免疫墙路由器提供了安装到内网服务器上的一套免疫监控中心。它能够时时刻刻监控全网每一台终端的运行状况和路由器的工作过程，对包括内外网流量、异常攻击和被攻击、特殊的数据格式等等内网中发生的状况，按照要求及时拦截、记录、告警。监控中心与路由器和终端上网驱动三者联动，全面掌控内网运行，同时允许管理者进行内网终端的分组管理、带宽动态分配、制定上网权限、全网策略分发等工作。

　　金六福珠宝升级使用的是09新版的免疫墙路由器，更加人性化的配置界面，QQ、MSN、BT等的上网行为管理，全面网络报警和监控的远程管理，图形化的带宽分析，使得免疫墙路由器不但部署容易，更重要的是管理彻底，网络运行状况尽在眼底。

　　09新版免疫墙路由器管理

　　金六福珠宝通过免疫网络方案的实施，经过了实际测试，即各种网络病毒攻击的轮番轰炸、长时间的运营实际测试，都取得了良好的稳定性。在稳定网络的基础上，ERP工作也没有再出现过中断问题。免疫墙路由器作为第三代组网的标志性产品，成功为珠宝首饰连锁企业的信息化保驾护航!

　　金六福珠宝经过防火墙设备、VPN设备、上网行为管理设备、带宽管理设备均不能解决其网络问题终选欣向免疫墙路由器，说明在企业网络安全领域，各种网络安全产品各负其责，有的主外有的主内，应用范围迥然不同。对于一个信息化程度较高的企业，来自外网和内网的侵入和攻击都要予以解决，所以防火墙等安全设备和免疫墙都不可缺。但从解决网络掉线等问题上来看，无疑深入内网终端进行全面管理控制保障安全稳定的免疫墙路由器所起的作用更直接、更有针对性。