背景介紹

　　   很多大型企事業(yè)單位、政府、組織隨著業(yè)務(wù)的迅速擴(kuò)展，在全國各地出現(xiàn)眾多分支結(jié)構(gòu)，而有的分支機(jī)構(gòu)或者子公司甚至設(shè)立在海外。各分支機(jī)構(gòu)和總部之間，各分支機(jī)構(gòu)之間進(jìn)行大量的數(shù)據(jù)傳輸，如OA系統(tǒng)、財(cái)務(wù)系統(tǒng)、報(bào)價(jià)系統(tǒng)、資料平臺(tái)等內(nèi)部資源的訪問次數(shù)非常頻繁，且數(shù)據(jù)流量也非常巨大。所以如何提供從發(fā)送端、傳輸鏈路到接收端全方位的整體安全解決方案，是各大企業(yè)信息管理者關(guān)注的焦點(diǎn)。

1.專線成本高、發(fā)布站點(diǎn)風(fēng)險(xiǎn)大

　　   很多企業(yè)的信息管理者，在考慮總部與分支機(jī)構(gòu)互聯(lián)的方案時(shí)，首先想到租賃專線實(shí)現(xiàn)總部與各分支之間的互聯(lián)互通，但動(dòng)輒每月幾萬到十幾萬的租賃費(fèi)用讓網(wǎng)絡(luò)管理者怯于向公司領(lǐng)導(dǎo)申請(qǐng)?jiān)撡M(fèi)用。如果把內(nèi)部服務(wù)器的IP地址全部映射到互聯(lián)網(wǎng)上面，讓分支員工通過互聯(lián)網(wǎng)任意訪問這些服務(wù)，那么無異于將公司的全部網(wǎng)絡(luò)通信過程呈現(xiàn)在別有用心者的眾目睽睽之下，毫無秘密可言。

2.單純VPN設(shè)備功能簡單

　　   聰明的CIO們?cè)诜艞壛俗赓U專線這個(gè)高富帥的方案后，轉(zhuǎn)向選擇專門的虛擬專線網(wǎng)絡(luò)設(shè)備構(gòu)建安全隧道實(shí)現(xiàn)安全互聯(lián)，例如IPSec VPN設(shè)備可以實(shí)現(xiàn)總部與分支之間構(gòu)建安全的IPSec隧道?？墒请S著公司很多擴(kuò)展，很多前方同事大部分時(shí)間不是在客戶那里，就是在去拜訪客戶的路上，并沒有固定的辦公區(qū)來通過IPSec VPN訪問公司資源。如果要解決這個(gè)問題，還需要部署支持終端安全接入的SSL VPN設(shè)備。單純的IPSec VPN或者SSL VPN分別部署在網(wǎng)絡(luò)中，不僅設(shè)備自身存在安全弊端，而且對(duì)于隨著設(shè)備數(shù)量的增加，成本會(huì)急劇上升，設(shè)備管理也會(huì)變得越來越復(fù)雜。

3.內(nèi)網(wǎng)安全與VPN連接同樣重要

　　   部署了支持多種VPN隧道技術(shù)的設(shè)備，滿足了分支機(jī)構(gòu)固定辦公區(qū)和移動(dòng)用戶的安全訪問要求，但隨之也帶來了網(wǎng)絡(luò)攻擊不斷、病毒擴(kuò)散迅速的網(wǎng)絡(luò)安全隱患。在分支機(jī)構(gòu)的管理比較松散，使用U盤、移動(dòng)硬盤拷貝數(shù)據(jù)普遍存在，便攜式計(jì)算機(jī)在任何接入點(diǎn)都隨意接入互聯(lián)網(wǎng)，且沒有定期殺毒和查木馬的習(xí)慣。如果員工將感染被病毒或者被種木馬的設(shè)備接入到公司網(wǎng)絡(luò)中，不僅會(huì)影響本分支機(jī)構(gòu)的網(wǎng)絡(luò)，而且還會(huì)影響全公司的網(wǎng)絡(luò)，因?yàn)楣揪W(wǎng)絡(luò)間的VPN互聯(lián)，使分支機(jī)構(gòu)和總部的訪問像局域網(wǎng)一樣方便，病毒和木馬的擴(kuò)散也非常方便。

　　   另一方面，由于大多數(shù)分支機(jī)構(gòu)的人員較少，每分支IT投入有限，如果再分別購買防火墻、IPS、AV防護(hù)等基本安全設(shè)備，也是一筆不菲的開銷，如何選取一種性價(jià)比高的解決方案成為信息安全管理者不得不面對(duì)的問題。所以對(duì)于安全產(chǎn)品而言，一體化的綜合解決方案是發(fā)展趨勢(shì)。

4.隨著VPN設(shè)備數(shù)量的增加維護(hù)越來越復(fù)雜

　　   分支機(jī)構(gòu)越來越多，雖然給企業(yè)帶來了業(yè)務(wù)增長，但也給網(wǎng)絡(luò)管理帶來了挑戰(zhàn)。每個(gè)分支機(jī)構(gòu)的網(wǎng)絡(luò)管理者水平不一，而總部又無法監(jiān)控分支VPN設(shè)備的運(yùn)行情況。如果分支機(jī)構(gòu)VPN設(shè)備出現(xiàn)問題，只能從總部派人過去支持，既增加了人力投入成本，又不能在第一時(shí)間解決問題。由于分支機(jī)構(gòu)對(duì)VPN設(shè)備的維護(hù)具有一定的難度，所以如何能夠更好的管理和維護(hù)遠(yuǎn)端的VPN設(shè)備就成為了VPN方案中需要考慮的重要問題。

5.網(wǎng)絡(luò)環(huán)境多樣化，組網(wǎng)部署復(fù)雜

　　   由于網(wǎng)絡(luò)運(yùn)營商的提供服務(wù)的多樣化，總部和每個(gè)分支機(jī)構(gòu)接入網(wǎng)絡(luò)的方式也不盡相同，有的分支機(jī)構(gòu)通過運(yùn)營商分配的固定IP接入網(wǎng)絡(luò)，有的分支機(jī)構(gòu)則可能通過ADSL方式動(dòng)態(tài)分配的IP接入網(wǎng)絡(luò)；有的分支與總部之間可以直接聯(lián)通，有的分支機(jī)構(gòu)與總部之間存在NAT地址轉(zhuǎn)換設(shè)備，可能將VPN設(shè)備地址隱藏。所以復(fù)雜的網(wǎng)絡(luò)環(huán)境，對(duì)VPN設(shè)備接入網(wǎng)絡(luò)的便捷性提出了更高的要求。

6.VPN網(wǎng)絡(luò)訪問體驗(yàn)差，影響效率

　　   經(jīng)過認(rèn)真的分析和仔細(xì)的選擇，VPN網(wǎng)絡(luò)已經(jīng)部署成功，所有分支機(jī)構(gòu)和移動(dòng)辦公人員都能夠通過VPN安全的訪問公司資源，但VPN技術(shù)是通過在公共網(wǎng)絡(luò)基礎(chǔ)設(shè)施上建立起來的加密隧道，所以在跨國、跨省、跨運(yùn)營商等長距離傳輸?shù)木W(wǎng)絡(luò)環(huán)境下，丟包較多、網(wǎng)絡(luò)延遲較大導(dǎo)致VPN訪問效率非常低。經(jīng)常出現(xiàn)訪問內(nèi)網(wǎng)OA系統(tǒng)卡頓、填寫財(cái)務(wù)報(bào)表提交失敗后重填、資料下載異常緩慢等現(xiàn)象，從而影響分支機(jī)構(gòu)和移動(dòng)辦公人員的工作效率，網(wǎng)絡(luò)管理者成為公司員工的吐槽對(duì)象。

解決方案

—經(jīng)濟(jì)安全的VPN網(wǎng)絡(luò)互聯(lián)解決方案

　　   每個(gè)企業(yè)根據(jù)業(yè)務(wù)規(guī)模的不同，對(duì)網(wǎng)絡(luò)互聯(lián)的要求不同。對(duì)于分支機(jī)構(gòu)有固定辦公區(qū)域的用戶偏向于IPSec VPN組網(wǎng)；對(duì)于沒有固定辦公區(qū)的分支機(jī)構(gòu)，人員全部移動(dòng)辦公的企業(yè)更傾向于選擇SSL VPN方案組網(wǎng)；對(duì)于既有固定辦公區(qū)，也有大量的移動(dòng)辦公人員的公司，需要同時(shí)選擇IPSec VPN和SSL VPN的組網(wǎng)方案；對(duì)于一些成本壓力影響較大的中小企業(yè)或分支機(jī)構(gòu)，只能選擇既有安全防護(hù)，又能提供IPSec VPN和SSL VPN安全互聯(lián)的低成本一體化方案。

　　   在仔細(xì)調(diào)研上述客戶需求的基礎(chǔ)上，飛塔推出的NGFW產(chǎn)品1臺(tái)設(shè)備即可提供經(jīng)濟(jì)安全的VPN網(wǎng)絡(luò)互聯(lián)解決方案，包括IPSec VPN、SSL VPN和L2TP over IPSec VPN等多種安全隧道技術(shù)， 同時(shí)還能提供全方位的安全防護(hù)方案，包括各種網(wǎng)絡(luò)攻擊阻斷、入侵檢測與防護(hù)系統(tǒng)、病毒查殺、網(wǎng)址過濾等安全防護(hù)功能。飛塔的NGFW產(chǎn)品符合網(wǎng)絡(luò)安全設(shè)備功能融合、一體化發(fā)展的大趨勢(shì)。

總部部署方案：

　　   在總部的網(wǎng)絡(luò)出口處部署飛塔NGFW產(chǎn)品，主要對(duì)外提供IPSec VPN隧道接口，實(shí)現(xiàn)與分支機(jī)構(gòu)的IPSec VPN隧道建立的對(duì)接；提供SSL VPN接入的門戶接口，實(shí)現(xiàn)移動(dòng)辦公用戶訪問內(nèi)網(wǎng)的安全接入；提供全面的安全防護(hù)功能，包括傳統(tǒng)防火墻功能、IPS、AV、URL過濾等安全防護(hù)功能，實(shí)現(xiàn)內(nèi)網(wǎng)與外網(wǎng)的安全隔離；同時(shí)開啟VPN加速功能，保證外部訪問的性能體驗(yàn)。

　　   在總部的NGFW內(nèi)部部署飛塔安全管理中心設(shè)備SMC，該設(shè)備主要實(shí)現(xiàn)對(duì)全網(wǎng)NGFW產(chǎn)品的配置管理、安全狀態(tài)監(jiān)控、智能分析等綜合管理功能?？偛康男畔踩芾碚呖梢酝ㄟ^該設(shè)備實(shí)現(xiàn)對(duì)所有邊界NGFW產(chǎn)品的統(tǒng)一部署和監(jiān)控分析。

分支部署方案：

　　   在分支的網(wǎng)絡(luò)出口處部署1臺(tái)飛塔NGFW產(chǎn)品，主要實(shí)現(xiàn)與總部IPSec VPN隧道對(duì)接，分支機(jī)構(gòu)內(nèi)網(wǎng)用戶像訪問局域網(wǎng)一樣訪問總部網(wǎng)絡(luò)中的資源。同時(shí)提供全面的安全防護(hù)功能，包括傳統(tǒng)防火墻功能、IPS、AV、URL過濾等安全防護(hù)功能，實(shí)現(xiàn)分支機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)與外網(wǎng)的安全隔離。

飛塔VPN解決方案價(jià)值

1.VPN與安全技術(shù)融合

　　   隨著企業(yè)規(guī)模的不斷擴(kuò)大，對(duì)信息安全也越來越重視。不僅要保證各分支機(jī)構(gòu)與總部之間傳輸數(shù)據(jù)的保密性，還要保證病毒、木馬等網(wǎng)絡(luò)攻擊不能在分支機(jī)構(gòu)與總部之間的網(wǎng)絡(luò)內(nèi)隨意擴(kuò)散。所以企業(yè)既要有多方式的VPN互聯(lián)方式，又要有全方位的安全防護(hù)功能。

　　   飛塔NGFW產(chǎn)品能夠提供IPSec VPN、SSL VPN和L2TP over IPSec VPN等不同的VPN隧道技術(shù)，既能滿足分支機(jī)構(gòu)和總部之間互聯(lián)，有能滿足移動(dòng)辦公人員安全接入。多種VPN技術(shù)在1臺(tái)設(shè)備上實(shí)現(xiàn)，方便用戶的網(wǎng)絡(luò)部署和設(shè)備維護(hù)。同時(shí)飛塔的NGFW產(chǎn)品是國內(nèi)第一款真正意思的下一代防火墻產(chǎn)品，在提供傳統(tǒng)防火墻基本防護(hù)功能的同時(shí)，還能夠保持高性能的實(shí)現(xiàn)IPS、AV、URL過濾等下一代防火墻的安全防護(hù)功能。

2.設(shè)備集中管理提升網(wǎng)絡(luò)維護(hù)效率

　　   一些大型企事業(yè)單位、政府、組織的網(wǎng)絡(luò)設(shè)備部署都是分布式的，總部部署了高端的VPN設(shè)備，分支機(jī)構(gòu)也要部署相對(duì)低端的VPN設(shè)備，對(duì)于這么多專業(yè)的VPN設(shè)備的管理也是不小的挑戰(zhàn)。隨著技術(shù)的發(fā)展，VPN設(shè)備的提供的功能越來越強(qiáng)大，所以要想讓這些功能全部發(fā)揮作用，配置也變得越來越復(fù)雜。而分支機(jī)構(gòu)的安全管理人員肩負(fù)本分支所有網(wǎng)絡(luò)設(shè)備和其他辦公設(shè)備的維護(hù)工作，對(duì)安全設(shè)備的管理水平參差不齊。分支機(jī)構(gòu)的VPN設(shè)備出現(xiàn)問題導(dǎo)致網(wǎng)絡(luò)不通，本地安全管理者無法定位并排查問題。網(wǎng)絡(luò)問題解決的速度慢、效率低非常影響公司正常業(yè)務(wù)的開展。

　　   飛塔提供的安全管理中心SMC設(shè)備能夠?qū)崿F(xiàn)設(shè)備的集中管理、全網(wǎng)狀態(tài)監(jiān)控以及全局威脅分析等功能，可幫助已經(jīng)部署了多臺(tái)NGFW產(chǎn)品的用戶更好的降低管理成本、掌控全網(wǎng)安全狀態(tài)，并且在全網(wǎng)大數(shù)據(jù)挖掘的基礎(chǔ)上實(shí)現(xiàn)強(qiáng)大的威脅預(yù)警和分析能力。

3.VPN流量加速，提升用戶訪問體驗(yàn)

　　   隨著VPN設(shè)備的大量部署，用戶已經(jīng)實(shí)現(xiàn)了對(duì)公司資源的安全訪問，但訪問資源的體驗(yàn)效果卻成為用戶關(guān)心的問題。因?yàn)橥獠繂T工接入內(nèi)部網(wǎng)絡(luò)時(shí)，如果出現(xiàn)訪問速度慢、體驗(yàn)效果差，首先投訴的就是網(wǎng)絡(luò)管理部門。導(dǎo)致VPN網(wǎng)絡(luò)訪問體驗(yàn)效果不好的根本原因是VPN隧道是建立在公共網(wǎng)絡(luò)基礎(chǔ)設(shè)施上的虛擬專用網(wǎng)絡(luò)，所以總部出口帶寬瓶頸、零散分布的多分支機(jī)構(gòu)、跨廣域網(wǎng)的局域網(wǎng)應(yīng)用等都會(huì)對(duì)VPN用戶訪問網(wǎng)絡(luò)產(chǎn)生影響。

　　   飛塔NGFW通過單邊加速技術(shù)優(yōu)化TCP連接過程。單邊加速協(xié)議通過擁塞避免機(jī)制，能夠快速準(zhǔn)確的預(yù)估網(wǎng)絡(luò)中可用帶寬，并根據(jù)估計(jì)值確定擁塞避免窗口，從而最大限度的利用網(wǎng)絡(luò)帶寬。單邊加速協(xié)議能夠快速檢測出丟包，并能快速準(zhǔn)確重傳該包，對(duì)時(shí)延較大，網(wǎng)絡(luò)狀況較差的情況能夠有效的提升帶寬利用率，通過更改快速恢復(fù)過程中發(fā)送端可以用來提高發(fā)送速率的方法，提供更大的吞吐量。

4.靈活組網(wǎng)、方便部署

　　   每一個(gè)客戶的網(wǎng)絡(luò)環(huán)境都存在很大差異，每個(gè)分支機(jī)構(gòu)通過運(yùn)營商接入網(wǎng)絡(luò)的方式不同，分支的VPN設(shè)備可能隱藏在NAT地址轉(zhuǎn)換設(shè)備的后面，個(gè)別場景需要VPN設(shè)備在網(wǎng)絡(luò)扮演網(wǎng)關(guān)的角色，而又有些場景不允許VPN設(shè)備串接到網(wǎng)絡(luò)中，總部的IPSec VPN設(shè)備與分支機(jī)構(gòu)的設(shè)備品牌不一樣。所以VPN設(shè)備需要支持各種網(wǎng)絡(luò)環(huán)境下組網(wǎng)與部署。

　　   認(rèn)真分析用戶的各種應(yīng)用場景，通過在NGFW產(chǎn)品上開發(fā)的多種方便靈活的VPN組網(wǎng)方式，適應(yīng)客戶需求。主要體現(xiàn)在如下功能特點(diǎn)：

　　   支持中心為固定IP，分支機(jī)構(gòu)為ADSL這樣動(dòng)態(tài)IP的組網(wǎng)方式。

　　   支持IPSec隧道2端均為動(dòng)態(tài)IP的DDNS組網(wǎng)方式

　　   采用國際標(biāo)準(zhǔn)IPSec協(xié)議，保障不同廠家設(shè)備互聯(lián)的兼容性。

　　   支持旁路、路由等多種部署方式。

　　   支持對(duì)分支機(jī)構(gòu)間的互通，設(shè)置訪問控制，提供網(wǎng)內(nèi)隔離授權(quán)管理。

　　   支持證書方式作為分支互聯(lián)的認(rèn)證手段，強(qiáng)化接入安全。