解决方案banner

解决方案

望湘园网络基础架构方案

您当前的位置是:首页>>望湘园网络基础架构方案

望湘园网络架构为两级部署,从纵向上划分为总部-分公司,总部集中了所有的重要业务服务器和数据库,分支机构只有终端,总部及分公司均有互联网出口,提供给员工进行上网访问,同时总部的互联网出口也作为网站发布的链路途径。

从网络设计上,望湘园各个节点的结构比较简单,为典型的星形结构设计,总部因用户量和服务器数量较高,因此核心往往采用三层交换机,通过VLAN来划分不同的子网,并在子网内部署终端及各类应用服务器;各分支机构的网络结构则相对简单,通过堆叠二层交换连接到不同终端。


望湘园网络结构示意图

为保障望湘园网络的安全高速有效的运行,本方案中,我们在总部使用了防火墙产品对其网络进行网络安全防护,使用上网行为管理设备对其内网进行应用及带宽的管理,应用AC设备对其无线网络设备进行统一管理,用综合性的安全技术,从边界安全防护的角度进行有效建设,在提升信息网络的抗攻击能力同时, 进一步控制内部人员的访问,确保安全。并通过VPN与其门店及分公司相连,以保证公司的ERP系统在一个安全高效的环境中运行。

望湘园网络部署示意图

部署要点:

l  在总部出口部署安全网关,实现对望湘园企业网的纵向隔离,对分支机构的上访行为进行严格控制,杜绝非法或非授权的访问;

l  安全网关运用IPSEC VPNSSL VPN技术,实现分支机构对望湘园总部的安全访问。

l  安全网关启用源地址转换策略,在终端上网过程中进行转换,保障内网用户上网的要求,同时启用相应的日志,对上网行为进行有效记录;

l  上网行为管理设备在安全网关与三层之间的上网出口的链路上,运用深度应用识别技术,有效鉴别出哪些是合法的HTTP应用,哪些是过度占用带宽的P2PIM应用,对P2PIM通过严格的带宽限制功能能进行及限制,并对HTTP执行保障带宽策略,保障员工正常上网行为;

l  上网行为管理设备在确认访问者身份的基础上,进行实名制的访问控制,QOS控制,以及上网行为审计;

l  通过总部配置的无线访问认证服务器,集中监管各个(分支机构)分店部署的无线认证安全网关,对日志进行集中管理。

方案建设效果

本方案利用安全网关、上网行为管理设备,作用于望湘园总部及各分支机构的互联网出口设备,对比现有的安全手段,将在如下层面提升安全性:

实现总部与分支机构的可靠远程传输

通过总部与分公司及大零售店部署网关的IPSEC VPN功能,可在利用互联网线路进行远程通讯中,保障数据传输的安全性;

实现有效的访问控制

对酒店用餐客户及员工通过无线访问互联网,以及员工访问业务系统的行为进行有效控制,杜绝非法访问,禁止非授权访问,保障访问的合法性和合规性;

保障安全健康上网

对员工的上网行为进行有效监控,禁止员工在上班时间使用P2P、网游、网络视频等过度占用带宽的应用,提高员工办公效率;对员工访问的网站进行实时监控,限制员工访问不健康或不安全的网站,从而造成病毒的传播等;

保护网站安全

对企业网站进行有效保护,防范来自互联网上黑客的故意渗透和破坏行为;

保护关键业务安全性

对重要的应用服务器和数据库服务器实施保护,防范非授权访问;

实现实名制的安全监控

通过安全网关的WEB认证,对酒店用餐客户及员工日常的访问控制和行为审计,可实现基于身份的监控,实现所谓的实名制管理。