用戶背景介紹
北京貓王傢俱有限公司創辦於1991年,產品注冊商標為“貓王傢俱”。專業生產鋼木傢俱的實體型企業,中國傢俱協會理事單位。公司在太原擁有占地面積20000平方米的生產基地和10000平方米的物流中心,在全國各大中城市均有經銷商,產品目前已出口日本、東南亞、歐洲等國。
公司引進德國豪邁(HOMAG)板式生產線、瑞士金馬(ITWGEMA)靜電噴塗生產線,具有專業的機械加工、靜電噴塗表面的處理、板材加工能力。產品採用優質環保材料和成熟工藝製造,品質符合國家和行業標準,貓王傢俱已通過ISO—9001國際品質體系認證及綠色環保認證。
貓王公司具有較強的產品開發設計能力,匠心獨運的貓王傢俱提供了不受局限的多重組合的可能性,其針對居室及其它辦公需求的解決方案,使空間的條理性佈置演變成藝術的昇華。而與德國著名設計師的合作更使貓王傢俱彰顯現代前衛的設計理念。多年來,貓王傢俱屢次獲得殊榮,2001年在深圳第七屆中國傢俱博覽會上獲“中國傢俱設計銅獎”,2000年在上海第六屆中國傢俱博覽會上獲“中國傢俱設計銀獎”,同年在北京獲“中國優秀企業品牌形象獎”。
貓王公司的企業宗旨是通過專業的家居顧問,專注于向小資、白領、另類等時尚、個性一族,提供符合發達國家EHS標準的、風格簡約、線條明快、富於個性的優質鋼木傢俱,以營造寬敞、輕鬆的生活創意空間,與此同時,貓王公司將成為具有國際品質、宣導品味與個性化的專業化傢俱品牌。
由於業務上的擴大,公司內部以及各分支機搆網路運行有多種企業應用,如內部WWW、檔共用服務、ERP系統以及資料庫伺服器,公司在未來可能開發更多的內部應用,如Client/Server模式的應用(TCP、UDP或TCP/UDP協議的應用),公司通過防火牆接入網際網路。目前公司所有應用僅限於公司局域網內,出差員工不能訪問。現在是現在外地各分公司的網路接入狀況:
- 上海分公司:電腦聯入網際網路,實現了辦公網路半自動化。
- 太原分公司:電腦聯入網際網路,實現了辦公網路半自動化。
- 深圳分公司:電腦聯入網際網路,實現了辦公網路半自動化。
用戶需求
根據俠諾科技工程技術人員對貓王傢俱有限公司的深入瞭解和分析,此次網路方案實施在保證原由網路的需求下必須滿足以下需求:
- 實現北京總公司內部局域網互聯,以及分公司、各分支機搆和辦事處的內部局域網互聯;
- 客戶、合作夥伴或分公司可以安全訪問公司授權訪問的企業內部網路資源;
- 北京總部保證至少50台電腦連入網際網路,還要考慮到公司以後的發展接入資訊點的增加,同時實現各分公司通過相關設備連接到總部網路,同時還內建SQL Server資料庫伺服器,提供相關資料服務,建立ERP伺服器,提供公司人事管理查詢、添加和修改相關資訊等要求;
- 上海、太原和深圳分公司保證至少30台電腦聯入網際網路,還要考慮到公司以後的發展接入資訊點的增加,同時與總部實現互聯。訪問公司總部 SQL Server伺服器,提交、查詢和修改資料庫相關資訊。連接公司ERP系統提交、查詢與修改相關資訊等要求;
- 在各分支機搆和總公司之間創造一個集成化的辦公環境,為工作人員提供多功能的桌面辦公環境,解決辦公人員處理不同事務需要使用不同工作環境的問題;
- 支援不同機構間資訊傳遞,解決由人工傳送紙介質或磁介質資訊的問題,實現工作效率和可靠性的有效提高;
- 通過路由器對用戶實行統一的管理,對訪問許可權實行分級管理等要求,實現流量控制、埠鏡象等要求,通過路由器的相關防火牆功能實現網路的安全管理。
VPN需求總結
針對用戶的需求,通過VPN的配置可以解決互聯問題,另外對VPN加以相應配置可以實現資料傳輸的安全性問題。
以現有技術來說,所謂最優選擇其實必須根據遠端存取的需求與目標而定。目前主流VPN方案有兩種:IPSec/IKE和SSL VPN。當前企業需要安全的點對點連接,或用單一裝置進行遠端存取,並且讓企業擁有管理所有遠端存取使用能力,IPSec/IKE是最適合的解決方案。
比較那種傳輸方法比較好時更重要的問題是“那種安全技術最符合遠端接入方案的需求?”IPSec可以保護任何IP流量,而SSL專注于應用層流量。IPSec適合長期的連接,即寬頻、持續和網路層連接要求。SSL 僅適合於個別的,對應用層和資源的連接,而且支持的應用沒有IPSec 多。
據傳輸要遵循標準IPSec的加密協定。
設備要求
VPN設備的選擇必須嚴格根據貓王傢俱有限公司司用戶的需求,遵循著方便實用、高效低成本、安全可靠、網路架構彈性大等相關原則來選擇VPN設備網路設備。下面就時間情況總結選擇設備的幾個要點:
- 採用硬體VPN閘道產品,保證能安全、方便、快捷地進入,並能夠訪問指定的內部網路資源和服務;
- 總公司和分公司網路建立VPN加密隧道,確保資料傳輸安全, VPN設備須具有高穩定性和高可靠性,以保障資訊網路的正常運行;
- 支援ADSL線路的經濟型的全動態IP位址VPN組網方案,並具有DHCP功能,以實現局域網自動分配IP需求;
- 對本地內網實施上網的訪問控制,通過VPN設備的訪問控制策略,對內網PC進行嚴格的訪問控制。如:為確保安全性,可對允許上網的PC進行IP和MAC綁定,並通過閘道中的安全策略設置對這些PC的資料流程進行狀態檢測,以確保不能被仿冒;也可以使用閘道中的“用戶上網認證”功能,使用戶在使用流覽器上網流覽時,首先要通過閘道的訪問密碼認證等;
- 對外網可以抵禦駭客的入侵,起到Firewall作用。其自身強大的全狀態檢測Firewall功能和IDS抗攻擊微引擎,將對內網實施有效保護。另外,如果已經部署了Firewall也可和Firewall一起,構成兩道網路防護屏障,為以後進一步加強總部內網的安全留下發展的空間。須具有控制和限制的安全機制和措施,應具備防火牆和抗攻擊等功能;
- 具備完善的頻寬管理功能,將網路出口頻寬合理地分配給隧道流量(業務資料)和其他網際網路流量(流覽、郵件等);
- 整個集團公司VPN網路的建立,必須統一規劃全網的IP地址。對總部以及各分支機搆的網路節點的IP位址要進行統一規劃,對各個功能子網段做明確劃分,通常以“滿足目前需求,保留一定的擴展性”為原則,整個VPN網路內部的IP位址不能有衝突;
- 部署靈活,維護方便,提供強大的管理功能,以減少系統的維護量以適應大規模組網需要。
現在時常上的VPN產品繁多,而且功能各不相同,Qno俠諾的工程師遵循方便實用、高效低成本、安全可靠、網路架構彈性大等相關原則,同時聯繫對貓王傢俱有限公司的需求分析,建議在選選擇VPN連接設備上推薦俠諾科技的QVM系列VPN防火牆路由器。
配合Qno俠諾領先同行獨家的QVM功能,獨有SmartLink IPSec VPN設定,只需輸入VPN伺服器IP、用戶名、密碼即可自動完成IPSec VPN建置,直接進入路由器QVM功能設定用戶端與QVM伺服器進行虛擬私有網連線,或是設定為QVM伺服器功能接受用戶端的虛擬私有網連線,支援備援功能,斷線可從另一個WAN自動建立連線。
QVM系列VPN防火牆路由器產品內建進階型防火牆功能,能夠阻絕大多數的網路攻擊行為, 使用了SPI封包主動偵測檢驗技術(Stateful Packet Inspection),封包檢驗型防火牆主要運作在網路層,執行對每個連接的動態檢驗,也擁有應用程式的警示功能,讓封包檢驗型防火牆可以拒絕非標準的通訊協定所使用的連結,預設自動偵測並阻擋。QVM1000亦同時支援使用網路位址轉換 Network Address Translation (NAT)功能以及Routing 路由模式,使網路環境架構更為彈性,易於規劃管理。
VPN網路設計以及網路拓撲結構
企業通過網際網路資料傳輸平臺,實施加密的VPN實現接入的辦法主要有多種,針對貓王公司的網路現狀,經過與其工作人員討論,北京總公司以兩條光普通 ADSL(ISP分配的固定IP地址),而分公司以用一條普通ADSL連線均可(公網動態IP),作為連線的基礎。北京總公司選擇QVM1000機型,連接2條ADSL(ADSL可選,ADSL可連接同一網路營運商來做備援服務,以避免單一營運商掉線的風險及不同ISP網路之間的互卡);分公司則採用QVM330,也可以選擇不同網路營運商的線路。對於最以上總公司及分支機搆的不同WAN口VPN連線均互相備援,以確保連線的穩定VPN連線採用IPSec協定,以保障連線的安全。總公司與各分公司的VPN設定,通過俠諾專有的SmartLink功能進行。網管人員把路由器設定好將設備寄到分支機搆,並提供總公司VPN通道IP、用戶名及密碼,即可由具一般電腦操作能力用戶完成設定。
北京總部50資訊點接入,選用QVM1000,內置300條ipsec;
上海分公司: 30信息點接入,選用QVM330;
太原公司: 30信息點接入,選用QVM330;
深圳分公司: 30信息點接入,選用QVM330。
方案達到目的
- 北京總部與分公司透過VPN連線採用IPSec協定,確保傳輸資料的安全;
- 多WAN口的設計,可因應不同頻寬的需求,也可同時滿足VPN備援的功能,提供多一層的安全保障。公司領導對於VPN連線要求高度穩定,即使斷線也要立即接回,不影響正常運作;
- 總公司與各工廠及分公司的VPN設定,通過Qno俠諾專有的SmartLink功能進行。網管人員只需將設備寄到分支機搆,並提供總公司VPN閘道IP、用戶名及密碼,即可由具一般電腦操作能力用戶完成設定。在外出差或想要連回總部或分公司的用戶也可使用PPTP或IPSec方式連回企業網路;
- 管制內網用戶上網行為,內網用戶使用BT、點點通影響其他人上網或限定時間管制上MSN、QQ、或上網;
- 解決了疾風病毒及蠕蟲毒病所苦,通過 QVM系列的路由器的設置解決了網速因被駭客攻擊而受影響或內網用戶常被疾風病毒及蠕蟲毒病的侵擾。
效果評測與擴展建議
應用俠諾科技的QVM系列產品及其解決方案六個月以來,貓王公司的網路管理人員表示比較滿意,網路運行良好。現在連接公司ERP系統提交、查詢與修改相關資訊非常方便,與各分公司業務往來再也不用花費更多的時間了。
在網路擴展方面,針對貓公司的實際情況和發展,Qno俠諾工程出也給出了以下建議:
- QVM1000可支持高速雙向Cable Modem (有線電視) 上網,或是使用 ADSL 以及光纖接入。在應用上,對外的WAN口連線可支援高速雙向Cable Modem (有線電視) 上網,或是使用 ADSL 以及光纖接入。而對內的連線則可透過DMZ端,連接到對外開放的伺服器。內部用戶則通過LAN端連接。DMZ伺服器,如論壇、下載伺服器,可對外界用戶開放;LAN口用戶則受到防火牆的保護,網管人員也可對其存取加以控管;
- 為了改善總公司與分點單位的溝通,還可架設視頻會議系統,進行生產協調或資訊交流,需要穩定的傳輸能力;
- 對於以後公司移動用戶或臨時用戶可以借用PPTP拔入,方便快捷;
- 連接多條線路,以取代頻寬升級,例如以多條ADSL取代光纖,費用節省又可彈性運用;
- VoIP服務需要穩定連線:公司內部建置網路電話VoIP服務,但因ISP管制或線路問題,通話品質不佳;
- 同時考慮到公司資訊點的增加,其QVM1000最大滿足500個資訊點的連入,以支援同時120,000個連線數。QVM330最多支援100個資訊點的連入,以支援同時100,000個連線數。