前言:
顺德某电器制造有限公司始建于1998年,由超过25年专业经验的创始人带领的优秀团队建立。某电器制造有限公司位于十分具有发展潜力的顺德科技工业园区内,临近顺德港,碧桂路。某公司由超过15年专业经验的创始人所带领的优秀团队建立。在过去的几年,我们以电热咖啡壶和电热水壶为主导产品,以产品开发创新和企业管理为根本,以欧洲为主要市场,每款产品均通过欧洲认证,目前已通过TUV Rheinland ISO9001和ISO14001体系认证,为国外的客户提供优质的产品,为国际上多家知名的公司提供OEM和ODM服务。同时,公司拥有自营进出口权,规范的出口操作模式和及时的供货,赢得的广大客户的信赖。
网络现状
为了适应业务的发展,顺德某电器制造有限公司实施了信息管理系统,上马了神州数码易拓ERP系统和EasyflowOA办公自动化系统,目前在佛山和其他地方有多个销售服务中心需要实时访问公司ERP系统和OA系统,另外单位的领导出差在外,有时需要及时登陆内部ERP和OA办公系统,实现公文的批示和ERP系统的数据查询。其他的业务部门外出,也需要及时访问单位内部的的应用系统,下载文件,收发邮件。另外,单位的网管人员在家里或其他特殊场合,需要维护单位的服务器,这些都需要提供一种安全的可控制的远程接入。目前公司总部有100多台电脑,通过10M拨号光纤接入到互联网,以前用的是某厂家的路由,无法支持带宽流量管理。由于业务的需要,公司需要对内网的业务做QOS带宽分配和优先级的分配和防火墙的保护,另外,公司由于业务交流的需要,经常有合作伙伴和客户的代表需要做技术交流,需要临时给一些外来的人员开放无线访问或有线接入,借助公司的网络实现临时上网,但是又不允许他们来访问公司的内部网络,以保证公司内部网络的安全,因此需要对外来的临时访问做安全隔离。这要求在原来的的网络基础上不需要做太大的改动和投资,就可以满足这个需求,因此,某电器制造有限公司需要SSL VPN可以做网关部署,具备网关防火墙的功能和宽带流量管理的功能和对内网安全访问的隔离。为此某电器制造有限公司IT部门组织测试了国内外多个SSL VPN的厂家和服务,最后Prodell媛宇凭借优异的性能和优异的性价比在众多的厂家中脱颖而出,为某电器制造有限公司的移动办公保驾护航。
解决方案
的是针对远程接入而推出的新一代千兆SSL VPN网关,最大支持200个SSL 并发用户,产品集成了2个千兆WAN口,8个千兆LAN口,可以同时接入两条宽带线路,增加上网带宽,实现多线路均衡负载。另外, IPSEC/SSL 网关支持网关部署或单臂部署,内置高性能处理器,是一台高性能的SPI防火墙,可以有效防止外部黑客的攻击。支持QOS带宽分配,可以根据IP做优先级保证来实现基于IP的带宽分配,有效保证了SSL VPN等关键业务得到需要的保证带宽。
的是一台性能强劲的SSL VPN 网关,为客户提供应用层远程安全接入。内置多种应用代理包括RDP,SSH,WEB,WEB-NE,CITRIX,FTP,远程网络唤醒等..,真正实现SSL VPN零客户端部署,远程的终端只需要IE浏览器,不需要运行任何软件客户端,就可以实现安全登陆。远程的客户通过加密的443端口,通过身份认证,登陆系统,实现了所有的数据在互联网上的安全加密,支持的标准加密算法包扩DES,3DES,AES,SHA,MD5等。可以根据不同的人员划分不同的访问权限,可以细化管理到IP,服务端口,甚至某个URL的细粒度访问控制,保证了内部网络的安全。提供很多独特的SSL VPN功能应用。例如Network Extender技术允许你在任何地方都可以无缝地存取公司的资源,就好像你从未离开过办公室一样的便利。你可以远程存取办公室计算机中的档案、桌面、或PDA里的数据文件,就好像你在公司的企业网络中使用自己的个人计算机一样。Transport Extender技术让特殊的用户通过SSL VPN通道,远程连接至企业网络进行存取IT管理员所设定的服务及应用。因此,远程用户不需要在web portal里做特别的设定让存取服务运作。My Network Places的应用就好像在微软Windows操作系统里的「网上邻居」一样。你可以从家里的计算机连接至My Network Places,对办公室里的信息数据进行存取。Application Proxy基于Web界面,支持大多数普通的应用软件像FTP、RDP(终端机服务,远程桌面协议)、VNC(Virtual Network Control)远程联机服务器、HTTP、HTTPS、SSH、CIFS(网络文件夹共享)及远程登录(Telnet)。用户无需预先安装你想要下载并共享的应用软件。此外, SSL VPN产品系列也提供被授权的用户一个简易管理的个人化入口网页(Personalized Web Portal),以确保一个具有加密、存取政策、授权及验证机制的安全连接。因此,每个用户都能够很清晰地在Personalized Web Portal看到所有被IT管理者允许存取的应用。另外, SSL VPN网关也支持PDA、Mac操作系统、主机安全性检查等安全且实用的功能,提供EPS(客户端安全检查),可以对远程PC的某些安全特征进行检测,如PC有没有打补丁,有没有安装防火墙或杀毒软件,或者运行某些指定进程,只有符合安全条件的PC才能访问单位的系统,保证了访问的安全,杜绝了以往IPSEC VPN存在的通过远程的隧道和利用接入PC做为跳板来入侵总部的网络的安全隐患。 还支持L3层的VPN应用,支持IP层的应用,可以通过L3虚拟网卡,实现IP层的应用,如网络共享,视频会议,可以通过SSL VPN来收发邮件,就像内部网络使用一样。另外,内置远程终端代理,通过这个功能,可以让系统管理员通过远程桌面,管理公司的服务器实现远程维护,提高工作效率。提供了多种认证方式,可以结合公司的域,LDAP系统提供帐号认证,并且支持多种认证的方式,来保证远程移动办公的安全。
针对顺德某电器公司的实际需求,USG6000根据不同的群组的访问需求,把远程访问分为领导组,网管组,ERP组和OA组,不同的群组的访问权限是不同的,例如,领导组的和网管主管的权限最大,不仅可以访问ERP和OA系统,而且可以访问服务器的桌面和内网的所有PC,可以实现服务器远程维护和文件拷贝。而针对一些普通网管,只能为相关业务服务器的维护和访问自己的电脑,不能访问其他电脑。针对ERP组,需要实现ERP系统加速访问,目前,内置RDP代理,配合WINDOWS 2003SERVER的远程终端服务方式,直接把神州数码ERP的客户端发布出来,并起用远程的身份认证功能,远程的远程只有通过了身份认证之后,才能登陆公司的ERP系统,而且只能操作ERP系统,防止越权使用。通过SSL VPN,结合终端方式,实现ERP的加速访问,只需要28.8K 的带宽,就可以实现ERP的访问。对于OA组,由于OA系统是B/S结构,可以结合内置的HTTP应用代理,把OA系统的URL地址发布出来,不同的人只能访问OA系统的不同页面,实现基于URL细粒度的访问控制。OA系统只能访问公司的OA系统,无法访问公司内部网络的其他应用系统,很好的实现访问控制。另外,有8个千兆LAN口,提供基于端口的VLAN功能,通过该功能,可以为外来的PC提供单独一个网段,为外来的计算机提供上网功能,外来的计算机只能通过USG6000上网,无法访问内网,实现了外来电脑和内网的安全隔离。除此之外,提供带宽流量管理功能,可以有效的对内网的PC和上网的带宽做流量分配,保证公司关键业务的带宽,提供工作效率。
目前双WAN口SSL VPN做为网关方式部署在公司的出口处,为内网提供的安全的保护,可以有限防止外部黑客的攻击,通过启用了 自带的DDNS域名解析功能,解决了无固定IP地址的光纤PPOE拨号的SSL VPN访问。通过SSL VPN的加密方式,公司的只需要开放443端口,除此之外,无需开放其他端口,让黑客无懈可击,保证远程访问的安全,支持访问缓存清除,在远程客户退出系统后自动清楚访问的痕迹,不在远程的PC的IE留下任何痕迹,消除了安全方面的隐患,顺德某电器制造有限公司通过部署 SSL VPN安全网关,为移动办公提供安全的保护。
另外也提供一些实用的功能,如远程网络唤醒功能,这个功能在一些紧急的情况下,如网管在外地,但是需要访问公司电脑里面的一些文件,这在以前是没有办法的,必须回到公司,打开电脑,才能访问,而通过 SSL VPN提供的远程唤醒功能,只需要计算机的网卡和主板支持远程唤醒功能,就可以在家里或外面登陆SSL VPN系统,通过远程唤醒功能,直接开启公司的计算机,实现文件访问,真正实现随时随地的移动办公。
本项目由广州市媛宇计算机有限公司提供技术实施和技术支持。