大型企业网络安全解决方案
1、网络概况
某大型企业总部设在上海,下属5个分公司,在全国各地都设有办事处,每个办事处设3-4名工作人员,海外也有一、二个办事处。总部建有OA系统以及财务系统,各个分公司及办事处都是通过公网与总部连接,每月有财务数据,考勤信息等需要上传,公司领导和在外出差人员也有接入内网的需求,目前除了上海总部配备了防火墙外,没有其它安全措施,网络示意图如下图所示:
2 、应用需求
总体说来,对于这类大型企业,应用的需求主要在数据传输上,因为总部和分支之间有敏感信息需要传输,而且还有在外出差的人员需要接入内网,因此主要的需求在数据传输上,需要保证数据在传输过程中的安全。具体需求归纳如下:
• 确保各边界节点的接入安全;
• 确保接入总部网络的各个节点网络之间传输的信息的保密性、完整性和可用性,防止机密信息在传输过程中被窃取、篡改和破坏;
• 确保只有合法用户才可访问OA服务器和财务服务器,防止非法用户进入;
• 要防止外部入侵,DDOS等网络攻击;
• 保证外部合法用户可以从各种网络条件下安全接入到总部内网;
• 出差员工不需要安装客户端即可安全接入总部,并能够支持各种C/S应该的安全访问。
3 、解决方案
从应用需求中可以看出,大型企业主要需要解决的就是传输风险,除此之外,总部和各个分公司以及办事处等也都面临着边界风险,因此边界防护措施必不可少,目前只有总部配备了防火墙进行边界防护,各个节点并未采取保护措施,因此我们建议在各个分支节点都配备一台防火墙解决边界防护。
边界防护的问题解决后,就需要重点考虑数据传输的安全,由于使用的公网连接,因此解决方案我们选择VPN技术,对于网关到网关的通讯,如分公司到总部,办事处到总部之间的通讯,我们采用IPSEC VPN技术,由于各个各个接入边界和总部都配备了防火墙,因此我们可以直接使用带有VPN功能的防火墙技术来解决分公司和总部之间的数据传输安全,当然在用户资金许可的情况下也可以使用专用的VPN设备。
对于总部内的应用服务器(如OA服务器,财务服务器)提供的应用系统,由于都有敏感数据进行传输和应用,因此也需要采用一定的保护措施,我们使用SSL VPN技术,在这些服务器前配置一台SSL VPN设备,这样在外出差的员工和分公司或办事处内的一些特定用户,通过SSL VPN的认证后即能使用这些应用系统进行远程办公,如向总部上报财务报表,考勤数据等应用,SSL VPN设备解决了远程用户的安全访问。
对于办事处,如果只有1,2台机器,而且只有使用应用服务器的需求,可以只使用SSL VPN系统实现远程接入的安全,但是我们建议在资金许可的情况下尽量配备一台防火墙,不仅能够解决边界安全,还能使用IPSEC VPN功能实现与其它办事处或总部之间的安全数据传输。
4、 产品部署
总部流量很大,如果原有防火墙不能满足高流量的要求,建议用户更换一台高性能的中华卫士防火墙,如中华卫士A4100防火墙;各个分公司配置一台中华卫士中端百兆防火墙,如中华卫士A220防火墙;各个办事处由于人员较少,因此使用一台最低端的中华卫士D200防火墙即能满足要求;总部中心配置一台中华卫士安全接入网关CG-SAG304设备实现对财务,OA等服务器的保护。
产品部署示意图如下图所示:
5、 应用效果
本方案中主要使用了防火墙技术和VPN技术解决大型企业目前的一些应用需求,防火墙技术主要解决了边界安全,如访问控制,内容过滤等,而VPN技术主要解决了数据传输的安全性。在本方案中使用了两种VPN技术,IPSEC VPN技术主要实现了分支—分支间的数据传输安全,而SSL VPN技术主要实现了远程移动办公的接入安全,对内网提供的应用服务器给予充分的安全保证。
本方案满足了大型企业用户的安全需求,解决了大型企业用户的网络安全实际问题。
某大型企业总部设在上海,下属5个分公司,在全国各地都设有办事处,每个办事处设3-4名工作人员,海外也有一、二个办事处。总部建有OA系统以及财务系统,各个分公司及办事处都是通过公网与总部连接,每月有财务数据,考勤信息等需要上传,公司领导和在外出差人员也有接入内网的需求,目前除了上海总部配备了防火墙外,没有其它安全措施,网络示意图如下图所示:
2 、应用需求
总体说来,对于这类大型企业,应用的需求主要在数据传输上,因为总部和分支之间有敏感信息需要传输,而且还有在外出差的人员需要接入内网,因此主要的需求在数据传输上,需要保证数据在传输过程中的安全。具体需求归纳如下:
• 确保各边界节点的接入安全;
• 确保接入总部网络的各个节点网络之间传输的信息的保密性、完整性和可用性,防止机密信息在传输过程中被窃取、篡改和破坏;
• 确保只有合法用户才可访问OA服务器和财务服务器,防止非法用户进入;
• 要防止外部入侵,DDOS等网络攻击;
• 保证外部合法用户可以从各种网络条件下安全接入到总部内网;
• 出差员工不需要安装客户端即可安全接入总部,并能够支持各种C/S应该的安全访问。
3 、解决方案
从应用需求中可以看出,大型企业主要需要解决的就是传输风险,除此之外,总部和各个分公司以及办事处等也都面临着边界风险,因此边界防护措施必不可少,目前只有总部配备了防火墙进行边界防护,各个节点并未采取保护措施,因此我们建议在各个分支节点都配备一台防火墙解决边界防护。
边界防护的问题解决后,就需要重点考虑数据传输的安全,由于使用的公网连接,因此解决方案我们选择VPN技术,对于网关到网关的通讯,如分公司到总部,办事处到总部之间的通讯,我们采用IPSEC VPN技术,由于各个各个接入边界和总部都配备了防火墙,因此我们可以直接使用带有VPN功能的防火墙技术来解决分公司和总部之间的数据传输安全,当然在用户资金许可的情况下也可以使用专用的VPN设备。
对于总部内的应用服务器(如OA服务器,财务服务器)提供的应用系统,由于都有敏感数据进行传输和应用,因此也需要采用一定的保护措施,我们使用SSL VPN技术,在这些服务器前配置一台SSL VPN设备,这样在外出差的员工和分公司或办事处内的一些特定用户,通过SSL VPN的认证后即能使用这些应用系统进行远程办公,如向总部上报财务报表,考勤数据等应用,SSL VPN设备解决了远程用户的安全访问。
对于办事处,如果只有1,2台机器,而且只有使用应用服务器的需求,可以只使用SSL VPN系统实现远程接入的安全,但是我们建议在资金许可的情况下尽量配备一台防火墙,不仅能够解决边界安全,还能使用IPSEC VPN功能实现与其它办事处或总部之间的安全数据传输。
4、 产品部署
总部流量很大,如果原有防火墙不能满足高流量的要求,建议用户更换一台高性能的中华卫士防火墙,如中华卫士A4100防火墙;各个分公司配置一台中华卫士中端百兆防火墙,如中华卫士A220防火墙;各个办事处由于人员较少,因此使用一台最低端的中华卫士D200防火墙即能满足要求;总部中心配置一台中华卫士安全接入网关CG-SAG304设备实现对财务,OA等服务器的保护。
产品部署示意图如下图所示:
5、 应用效果
本方案中主要使用了防火墙技术和VPN技术解决大型企业目前的一些应用需求,防火墙技术主要解决了边界安全,如访问控制,内容过滤等,而VPN技术主要解决了数据传输的安全性。在本方案中使用了两种VPN技术,IPSEC VPN技术主要实现了分支—分支间的数据传输安全,而SSL VPN技术主要实现了远程移动办公的接入安全,对内网提供的应用服务器给予充分的安全保证。
本方案满足了大型企业用户的安全需求,解决了大型企业用户的网络安全实际问题。