信息中心
漢柏成功案例:F20防火墻構建安全高效企業內網
項目背景
福建廈門ASP研究中心創立于2002年4月,以廈華電子的制造業信息化應用經驗為依托,是集信息化咨詢、方案設計、軟件研發、軟件服務為一體的高新技術企業。國家863計劃課題—現代集成制造系統技術主題研究單位,也是福建省科技廳認定的“省科技重大專項實施單位”,承擔著省科技廳的重大科技專項,即面向中小企業制造業信息化的ASP應用研究(供應鏈軟件研發及ASP應用支持等),以及廈門市科技局廈門市中小企業信息化工程技術研究中心依托單位。
需求概述
1、 企業內部原先的CiscoPIX525防火墻已無法滿足當前的網絡應用需求;
2、 新增加的聯通互聯網出口,需通過多端口防火墻實現智能選路;
3、 要組建企業IPsecVPN專網,以滿足目前近100個企業門店遠程安全接入需求;
4、 要使遠程接入用戶訪問應用服務器權限的不同劃分;
5、 內部辦公網可隨意訪問數據中心服務器,需實現多個不同網段間的邏輯隔離;
漢柏解決方案
漢柏通過對廈門ASP研究中心的網絡及應用需求的深入挖掘與分析,利用漢柏自主研發的PA-5500-F20高性能千兆防火墻及PT-3560三層智能網管交換機替換網絡中原有的CiscoPIX525及華為1016二層交換機。
漢柏PA-5500-F20防火墻具有訪問控制功能、VPN接入功能及智能雙出口路由選擇功能,能良好的滿足廈門ASP研究中心此次項目對多出口、邊界安全及VPN組建的多種需求,而PT-3560交換機更是支持多種方式的VLAN劃分方式及基于硬件的訪問控制功能,充分地滿足了內網多網段之間的邏輯隔離要求。
應用拓撲圖如下:
實施效果
1、 實現雙出口流量負載分擔
漢柏PA-5500-F20防火墻主要應用于廈門ASP研究中心的信息平臺的互聯網邊界,WAN口分別接電信、聯通的廣域網出口,通過漢柏防火墻優秀的負載均衡技術實現了流量分擔。
2、 有效抵御互聯網惡意攻擊
利用漢柏PA-5500-F20防火墻先進的技術架構,不僅提供全面的地址轉換、MAC地址綁定、訪問控制策略、安全域劃分、身份認證等邊界防護功能,還能夠抵御包括Ping-of-Death、Ping-Flooding、TearDrop、UDP-Flooding、SYN-Flooding、KillWin、WinNuke、LANDIGMP2、IP碎片、源路由、端口掃描、IP-Spoofing等幾十種常見攻擊。并且通過防火墻強大的訪問控制有效地抵御來自互聯網的攻擊行為,大大降低了廈門ASP研究中心近15臺業務ASP/SAP平臺前置、ASP/SAP中間件服務器、ASP/SAP平臺數據庫服務器、中小企業CRM系統的安全風險。
3、 構建企業虛擬專用網(VPN)
漢柏PA-5500-F20防火墻自帶VPN功能為企業提供PPTP/L2TP、IPsec等多種VPN組網模式,此次項目中應用IPsec及PPTP混合組網方式,同時,在PA-5500-F20上建立近100個IPsecVPN客戶端,實現各門店、移動辦公用戶安全訪問ASP/SAP信息平臺時傳輸數據的隧道加密,確保企業應用數據交互傳輸的數據完整性及高安全性。
4、 服務器管理實現了“三權分立”
通過漢柏PA-5500-F20防火墻基于組策略的訪問控制,實現4組VPN權限組,100個用戶可根據不同的業務應用加入不同的VPN組策略,從而實現服務器的訪問、管理、維護權限分離,以實現服務器管理的“三權分立”。
5、 內、外網邏輯隔離
漢柏PT-3560智能三層交換機用于接入ASP應用服務器及SAP數據庫、內部辦公網用戶,PT-3560通過VLAN劃分,并啟用ACL功能,實現管理主機可服務器的維護,而內部辦公網用戶無法訪問應用服務器,使辦公網與數據中心網絡邏輯隔離,辦公網的維護人員又能夠進行服務器的維護,以此提高運營維護的便捷性及高可控、高安全性。
文章作者:國脈電子政務網
集成系統網絡情報信息數據庫
CIO頻道人物視窗
CIO頻道方案案例庫
大數據建設方案案例庫
電子政務建設方案案例庫
互聯集成系統構建方案案例庫
商務智能建設方案案例庫
系統集成類軟件信息研發企業名錄