《電子技術(shù)應用》
您所在的位置:首頁 > 通信與網(wǎng)絡 > 設計應用 > 漢柏成功案例:F20防火墻構(gòu)建安全高效企業(yè)內(nèi)網(wǎng)
漢柏成功案例:F20防火墻構(gòu)建安全高效企業(yè)內(nèi)網(wǎng)
C114
C114
摘要: 漢柏成功案例:F20防火墻構(gòu)建安全高效企業(yè)內(nèi)網(wǎng),項目背景福建廈門ASP研究中心創(chuàng)立于2002年4月,以廈華電子的制造業(yè)信息化應用經(jīng)驗為依托,是集信息
Abstract:
Key words :
 

項目背景

 福建廈門ASP研究中心創(chuàng)立于2002年4月,以廈華電子的制造業(yè)信息化應用經(jīng)驗為依托,是集信息化咨詢、方案設計、軟件研發(fā)、軟件服務為一體的高新技術(shù)企業(yè)。國家863計劃課題—現(xiàn)代集成制造系統(tǒng)技術(shù)主題研究單位,也是福建省科技廳認定的“省科技重大專項實施單位”,承擔著省科技廳的重大科技專項,即面向中小企業(yè)制造業(yè)信息化的ASP應用研究(供應鏈軟件研發(fā)及ASP應用支持等),以及廈門市科技局廈門市中小企業(yè)信息化工程技術(shù)研究中心依托單位。

需求概述

企業(yè)內(nèi)部原先的Cisco PIX525防火墻已無法滿足當前的網(wǎng)絡應用需求;

新增加的聯(lián)通互聯(lián)網(wǎng)出口,需通過多端口防火墻實現(xiàn)智能選路;

要組建企業(yè)IPsec VPN專網(wǎng),以滿足目前近100個企業(yè)門店遠程安全接入需求;

要使遠程接入用戶訪問應用服務器權(quán)限的不同劃分;

內(nèi)部辦公網(wǎng)可隨意訪問數(shù)據(jù)中心服務器,需實現(xiàn)多個不同網(wǎng)段間的邏輯隔離;

漢柏解決方案

 漢柏通過對廈門ASP研究中心的網(wǎng)絡及應用需求的深入挖掘與分析,利用漢柏自主研發(fā)的PA-5500-F20高性能千兆防火墻PT-3560三層智能網(wǎng)管交換機替換網(wǎng)絡中原有的Cisco PIX 525及華為1016二層交換機。

 漢柏PA-5500-F20防火墻具有訪問控制功能、VPN接入功能及智能雙出口路由選擇功能,能良好的滿足廈門ASP研究中心此次項目對多出口、邊界安全及VPN組建的多種需求,而PT-3560交換機更是支持多種方式的VLAN劃分方式及基于硬件的訪問控制功能,充分地滿足了內(nèi)網(wǎng)多網(wǎng)段之間的邏輯隔離要求。

應用拓撲圖如下:

實施效果

實現(xiàn)雙出口流量負載分擔

 漢柏PA-5500-F20防火墻主要應用于廈門ASP研究中心的信息平臺的互聯(lián)網(wǎng)邊界,WAN口分別接電信、聯(lián)通的廣域網(wǎng)出口,通過漢柏防火墻優(yōu)秀的負載均衡技術(shù)實現(xiàn)了流量分擔。

有效抵御互聯(lián)網(wǎng)惡意攻擊

 利用漢柏PA-5500-F20防火墻先進的技術(shù)架構(gòu),不僅提供全面的地址轉(zhuǎn)換、MAC地址綁定、訪問控制策略、安全域劃分、身份認證等邊界防護功能,還能夠抵御包括Ping-of-Death、Ping-Flooding、TearDrop、UDP-Flooding、SYN-Flooding、KillWin、WinNuke、LAND IGMP2、IP碎片、源路由、端口掃描 、IP-Spoofing等幾十種常見攻擊。并且通過防火墻強大的訪問控制有效地抵御來自互聯(lián)網(wǎng)的攻擊行為,大大降低了廈門ASP研究中心近15臺業(yè)務ASP/SAP平臺前置、ASP/SAP中間件服務器、ASP/SAP平臺數(shù)據(jù)庫服務器、中小企業(yè)CRM系統(tǒng)的安全風險。

構(gòu)建企業(yè)虛擬專用網(wǎng)(VPN)

 漢柏PA-5500-F20防火墻自帶VPN功能為企業(yè)提供PPTP/L2TP、IPsec等多種VPN組網(wǎng)模式,此次項目中應用IPsec及PPTP混合組網(wǎng)方式,同時,在PA-5500-F20上建立近100個IPsec VPN客戶端,實現(xiàn)各門店、移動辦公用戶安全訪問ASP/SAP信息平臺時傳輸數(shù)據(jù)的隧道加密,確保企業(yè)應用數(shù)據(jù)交互傳輸?shù)臄?shù)據(jù)完整性及高安全性。

服務器管理實現(xiàn)了“三權(quán)分立”

 通過漢柏PA-5500-F20防火墻基于組策略的訪問控制,實現(xiàn)4組VPN權(quán)限組,100個用戶可根據(jù)不同的業(yè)務應用加入不同的VPN組策略,從而實現(xiàn)服務器的訪問、管理、維護權(quán)限分離,以實現(xiàn)服務器管理的“三權(quán)分立”。
內(nèi)、外網(wǎng)邏輯隔離

漢柏PT-3560智能三層交換機用于接入ASP應用服務器及SAP數(shù)據(jù)庫、內(nèi)部辦公網(wǎng)用戶,PT-3560通過VLAN劃分,并啟用ACL功能,實現(xiàn)管理主機可服務器的維護,而內(nèi)部辦公網(wǎng)用戶無法訪問應用服務器,使辦公網(wǎng)與數(shù)據(jù)中心網(wǎng)絡邏輯隔離,辦公網(wǎng)的維護人員又能夠進行服務器的維護,以此提高運營維護的便捷性及高可控、高安全性。

此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。