vpn解决方案案例.docx

1、vpn解决方案案例 WatchGuard典型案例OCT. 2007TABLE OF CONTENTSWatchGuard典型案例项目一 XX省电信安全增值接入安全增值接入是中国电信正在大力推广的一项基于宽带接入的增值业务，主要面向中小企业。中国电信在向中小企业用户提供宽带接入的同时，捆绑安全网关设备。安全网关设备由中国电信统一采购，并统一负责设备的安装和维护，用户只需在原有宽带接入月租费中增加少量的额外费用，即可获得高速、可靠、安全的宽带接入。中国电信对国、内外知名品牌的UTM产品进行了广泛、严格的入围选型测试，WatchGuard UTM经过严格的考核、评测，被选定为中国电信安全增值接入业务

2、的入围品牌！XX省电信作为中国电信新业务的试点省份，和WatchGuard签署了合作框架协议，在全省各地市开展该业务。该业务的系统示意图如下所示：项目二 XX省网通全省办公网VPN接入XX省网通在省公司部署了大量重要的办公业务系统，通过Internet为全省员工提供多种办公应用、数据查询等服务。为了满足远程办公的安全需要，XX省网通计划部署基于IPSec的VPN接入系统，在省公司部署集成VPN功能的UTM设备，在各地市部署专用的IPSec VPN客户端软件，各地市办公用户通过VPN拨号，建立VPN隧道，安全访问总部办公业务系统资源。经过严格的测试对比，WatchGuard X5500e凭借集中

3、式的图形化VPN配置、管理，全面的VPN访问控制能力，实时的网络访问监控界面，被XX省网通选为全省移动办公的VPN接入网关。X5500e集成IPSec VPN的同时，提供了强大的VPN安全访问控制策略，可以针对不同身份的VPN访问用户，设置不同的访问策略，控制用户的访问网络资源。并可根据实际需要扩展GAV、IPS、垃圾邮件过滤、Web访问控制等多种应用层安全防护功能。X5500e提供了非常便捷的VPN客户端配置功能，管理员在中心点即可轻松完成客户端配置文件的生成、更新。另外，Firebox X5500e随机附带的WSM管理软件提供了丰富的图形化监控界面，可以实时有效的监控VPN系统工作情况，V

4、PN用户的连接和应用使用情况，大大简化了VPN系统的部署和安全管理工作系统部署示意图如下：项目三 XX省网通业务系统安全防护XX省网通为满足快速发展的业务需求，对现有的客服系统进行了升级。为了保护新客服系统业务服务器群的安全，选用了1台WatchGuard X2500 UTM，配置为NAT模式，部署在客服服务器群前端，大量坐席通过X1250e完成对应用服务器群的实时访问。系统中的应用服务器数量和种类较多，包括Web、Oracle数据库、多媒体等多种应用类型。为了保护应用服务器安全，X1250e启用了应用层检测，利用内置的攻击检测及防范功能，实时检测、过滤系统用户对服务器群的访问。利用X1250

5、e提供实时流量、实时连接等直观、实用的监控工具，结合身份认证技术和WatchGuard免费提供的日志及自动网络活动报表功能，记录及统计业务系统访问情况。系统管理人员可以随时了解到各业务系统的网络访问情况，发现可疑连接可以实时切断，大大增强了服务器系统的安全管理等级。部署拓扑示意如下：项目四 XX市电信核心业务系统防护XX市电信为了保护其核心业务系统的安全，在业务系统的核心网络处部署了2台X8500e-F，设备前端为市内所有的电信营业厅客户端，后端为市电信所有的业务系统服务器群，营业厅所有的业务均通过实时访问后台服务器进行，这些网络应用均在X8500e-F的访问控制下进行。作为重要的内网骨干节点

6、，对设备的性能和可靠性都有非常高的要求，为了满足系统要求，X8500e-F采用了网状冗余拓扑接入系统，同时启用了OSPF动态路由，确保拓扑中任一链路、端口、设备故障，均可正常通信！系统部署示意图如下：项目五 XX省国税财税安全网关XX省国税网上报税系统为全省报税企业提供便利的网上税务申报等应用，系统采用C/S架构，现有系统用户约20万。现有报税系统中，报税用PC由企业用户自己管理、维护，各用户的安全防范及管理水平参差不齐，报税用PC和企业内部网络之间没有实现有效的逻辑隔离和访问控制，来自Internet或内部局域网的系统漏洞、病毒等直接威胁报税PC安全，甚至进一步威胁网上报税系统服务器安全。通

7、过在各报税企业财务用PC前端部署WatchGuard X10e，可以有效解决以上安全问题。X10e支持应用层安全检测和访问控制规则，有效隔离安全风险，保护财务数据和报税应用的安全。通过安全网关的部署，构建了网上报税系统的整体安全体系，系统接入控制和主动安全防御能力大大提高。系统的部署示意图如下：项目六 XX省税务事务所网上报税VPN系统XX省国税现有网上报税系统面向全省企业，提供快速便捷的网上申报等服务。为了帮助纳税企业完成税务申报工作，XX省国税下属的各地市国税下设有众多的税务事务所网点，各税务事务所作为专业的税务服务机构，为各地市报税企业提供众多的税务服务。由于目前各事务所网络接入方式并不

8、规范，开放的Internet及现有系统的网络部署方式及应用特点，给税务数据的安全带来了很多风险。分散的接入方式也给省、市级税务局后台服务器系统的安全带来了不可控性。税务机关的网络安全管理人员无法实时了解系统的整体网络安全状态，无法针对报税系统安全需要定制统一的安全接入控制策略，只能被动的防范、控制来自Internet的网络访问。另外，对于网上报税业务来讲，数据在传输过程中的保密性、安全性，显得至关重要。如何保证数据传输过程中的安全，是必要慎重考虑的问题。为了解决以上问题，省、地市国税采用了基于WatchGuard产品的VPN互联方案。通过构建IPSec VPN网络，利用IPSec VPN提供的

9、认证、传输加密、访问控制等安全功能，在各事务所及其下属网点和地、市税务机关之间，建立了一个安全可靠并且可控的专用加密传输网络，确保整个系统的安全、可控，以及数据传输的安全。系统部署示意图如下：项目七 XX省水文局VPN互联XX省水文局随着信息化建设程度的提高，各单位间信息实时交互的需求越来越多。为了满足办公及水文业务应用的需要，决定建设基于IPSec技术的VPN网络。由于各联网单位缺乏专业IT人员，而且部分单位地理位置比较偏远，不利于现场维护管理。所选用的产品的可靠性、易用性、可维护性是本次项目重点考虑的一个内容。经过严格实际环境测试，选用了基于WatchGuard UTM产品的解决方案。通过

10、WatchGuard UTM提供的拖放式VPN技术，在中心点即可轻松完成VPN网络的组建和集中管理。省水文局、管理处可以实时、安全的完成各VPN节点设备运行情况的监控和远程管理。VPN基础网络建成后，既满足了办公应用需要，也为实时采集基础数据的水文业务提供了可靠、安全的传输保证。系统部署拓扑示意如下：项目八 XX市教育城域网接入XX市教育城域网于2002年基本建成并开通，城域网通过千兆光纤接入Internet，接入带宽为1Gbps，为全市约500所学校及有关教育单位提供宽带接入服务。近年来，随着网络应用的增加，城域网出口的实际网络吞吐率不断增加，峰值达350Mbps以上，最高并发连接达35万以

11、上。为了满足不断增长的网络吞吐率需要，XX市教育经过长期、苛刻的实际环境测试，选购了1台WatchGuard X8500e-F千兆高端UTM，配置为NAT模式，部署在城域网Internet接入处，用于城域网接入的逻辑隔离和访问控制。X8500e-F具备2Gbps防火墙处理能力，管理软件WSM提供了丰富的实时监控及安全管理特性。城域网管理人员足不出户，即可了解Internet出口处的实时网络应用情况，结合X8500e-F提供的QoS、流量管理、动态路由等高级网络特性，为XX市教育城域网的安全、可靠运行提供了有力保障。部署拓扑示意如下：项目九 XX省公路局XX省交通厅公路局隶属于省交通厅，负责全省

12、公路的行业管理。全局现有计算机网络系统以省局为中心，形成了省、市、县三级架构。省局为下级单位提供统一的Internet接入，同时对内、对外提供Web、OA、视频会议、DNS等多种网络服务。为了更好的保护的保护内部应用系统的安全，特别是对外的Web、DNS等服务器系统的安全，江苏省公路局经过长时间的选型对比测试，最终选用了WatchGuard X1250e UTM部署在Internet接入处。利用X1250e独有的应用层Proxy安全防护功能，隐藏内部应用信息，过滤非法及恶意的应用层数据，最大限度的保护内部应用服务器的安全。X1250e在提供高效、安全的应用层防护能力的同时，还集成了全面的安全管

13、理工具：WSM集中管理工具，图形化实时流量、连接查看等，还免费附送日志服务器系统及图形化自动报表生成系统等。日志及报表系统可以帮助公路局网络管理人员完成网络使用情况、主要应用系统访问情况、安全事件统计分析等多种功能，并自动生成图形化的HTML格式报表，为公路局网络系统的安全管理提供了切实有效的帮助和依据。WatchGuard中国区其它典型用户通讯行业能源行业金融行业教育行业政 府其 他广西电信江苏石化东亚银行上海虹口教委江苏省公路局西门子中国江苏电信上海石化浦发银行上海闵行教委江苏国税明基电脑重庆电信壳牌石油南京华安保险上海理工大学江苏省水文局三一重工中兴通讯北京电力中信银行武汉工业大学湖南省档案局耀特玻璃中企通信上海电力恒丰银行（成都）华南理工大学深圳质检局宝马汽车北京网通湖南电力无锡教育国家地震局亚太酿酒江苏网通宁波电力上海交通大学山东省政府江西网通北京园林局盐城电信北京工商局北京环保局