項目背景

　　福建廈門ASP研究中心創(chuàng)立于2002年4月，以廈華電子的制造業(yè)信息化應(yīng)用經(jīng)驗為依托，是集信息化咨詢、方案設(shè)計、軟件研發(fā)、軟件服務(wù)為一體的高新技術(shù)企業(yè)。國家863計劃課題—現(xiàn)代集成制造系統(tǒng)技術(shù)主題研究單位，也是福建省科技廳認定的“省科技重大專項實施單位”，承擔(dān)著省科技廳的重大科技專項，即面向中小企業(yè)制造業(yè)信息化的ASP應(yīng)用研究（供應(yīng)鏈軟件研發(fā)及ASP應(yīng)用支持等），以及廈門市科技局廈門市中小企業(yè)信息化工程技術(shù)研究中心依托單位。

　　需求概述

　　1、 企業(yè)內(nèi)部原先的CiscoPIX525防火墻已無法滿足當(dāng)前的網(wǎng)絡(luò)應(yīng)用需求；

　　2、 新增加的聯(lián)通互聯(lián)網(wǎng)出口，需通過多端口防火墻實現(xiàn)智能選路；

　　3、 要組建企業(yè)IPsecVPN專網(wǎng)，以滿足目前近100個企業(yè)門店遠程安全接入需求；

　　4、 要使遠程接入用戶訪問應(yīng)用服務(wù)器權(quán)限的不同劃分；

　　5、 內(nèi)部辦公網(wǎng)可隨意訪問數(shù)據(jù)中心服務(wù)器，需實現(xiàn)多個不同網(wǎng)段間的邏輯隔離；

　　漢柏解決方案

　　漢柏通過對廈門ASP研究中心的網(wǎng)絡(luò)及應(yīng)用需求的深入挖掘與分析，利用漢柏自主研發(fā)的PA-5500-F20高性能千兆防火墻及PT-3560三層智能網(wǎng)管交換機替換網(wǎng)絡(luò)中原有的CiscoPIX525及華為1016二層交換機。

　　漢柏PA-5500-F20防火墻具有訪問控制功能、VPN接入功能及智能雙出口路由選擇功能，能良好的滿足廈門ASP研究中心此次項目對多出口、邊界安全及VPN組建的多種需求，而PT-3560交換機更是支持多種方式的VLAN劃分方式及基于硬件的訪問控制功能，充分地滿足了內(nèi)網(wǎng)多網(wǎng)段之間的邏輯隔離要求。

　　應(yīng)用拓撲圖如下：

　　實施效果

　　1、 實現(xiàn)雙出口流量負載分擔(dān)

　　漢柏PA-5500-F20防火墻主要應(yīng)用于廈門ASP研究中心的信息平臺的互聯(lián)網(wǎng)邊界，WAN口分別接電信、聯(lián)通的廣域網(wǎng)出口，通過漢柏防火墻優(yōu)秀的負載均衡技術(shù)實現(xiàn)了流量分擔(dān)。

　　2、 有效抵御互聯(lián)網(wǎng)惡意攻擊

　　利用漢柏PA-5500-F20防火墻先進的技術(shù)架構(gòu)，不僅提供全面的地址轉(zhuǎn)換、MAC地址綁定、訪問控制策略、安全域劃分、身份認證等邊界防護功能，還能夠抵御包括Ping-of-Death、Ping-Flooding、TearDrop、UDP-Flooding、SYN-Flooding、KillWin、WinNuke、LANDIGMP2、IP碎片、源路由、端口掃描、IP-Spoofing等幾十種常見攻擊。并且通過防火墻強大的訪問控制有效地抵御來自互聯(lián)網(wǎng)的攻擊行為，大大降低了廈門ASP研究中心近15臺業(yè)務(wù)ASP/SAP平臺前置、ASP/SAP中間件服務(wù)器、ASP/SAP平臺數(shù)據(jù)庫服務(wù)器、中小企業(yè)CRM系統(tǒng)的安全風(fēng)險。

　　3、 構(gòu)建企業(yè)虛擬專用網(wǎng)（VPN）

　　漢柏PA-5500-F20防火墻自帶VPN功能為企業(yè)提供PPTP/L2TP、IPsec等多種VPN組網(wǎng)模式，此次項目中應(yīng)用IPsec及PPTP混合組網(wǎng)方式，同時，在PA-5500-F20上建立近100個IPsecVPN客戶端，實現(xiàn)各門店、移動辦公用戶安全訪問ASP/SAP信息平臺時傳輸數(shù)據(jù)的隧道加密，確保企業(yè)應(yīng)用數(shù)據(jù)交互傳輸?shù)臄?shù)據(jù)完整性及高安全性。

　　4、 服務(wù)器管理實現(xiàn)了“三權(quán)分立”

　　通過漢柏PA-5500-F20防火墻基于組策略的訪問控制，實現(xiàn)4組VPN權(quán)限組，100個用戶可根據(jù)不同的業(yè)務(wù)應(yīng)用加入不同的VPN組策略，從而實現(xiàn)服務(wù)器的訪問、管理、維護權(quán)限分離，以實現(xiàn)服務(wù)器管理的“三權(quán)分立”。

　　5、 內(nèi)、外網(wǎng)邏輯隔離

　　漢柏PT-3560智能三層交換機用于接入ASP應(yīng)用服務(wù)器及SAP數(shù)據(jù)庫、內(nèi)部辦公網(wǎng)用戶，PT-3560通過VLAN劃分，并啟用ACL功能，實現(xiàn)管理主機可服務(wù)器的維護，而內(nèi)部辦公網(wǎng)用戶無法訪問應(yīng)用服務(wù)器，使辦公網(wǎng)與數(shù)據(jù)中心網(wǎng)絡(luò)邏輯隔離，辦公網(wǎng)的維護人員又能夠進行服務(wù)器的維護，以此提高運營維護的便捷性及高可控、高安全性。

文章作者：國脈電子政務(wù)網(wǎng)