行業(yè)背景
目前,中國(guó)的大型企業(yè)產(chǎn)品制造以及規(guī)模上已經(jīng)在國(guó)際上占有重要的地位,但是從IT信息以及網(wǎng)絡(luò)管理上看,目前中國(guó)的大部分大型企業(yè)都處在不健全以及不規(guī)范的狀態(tài)。
目前中國(guó)企業(yè)IT治理普遍欠佳,近50%的企業(yè)沒(méi)有職能完備的IT部門,即使建立了IT部門的企業(yè),其 IT部門在企業(yè)內(nèi)部的地位也較低,人數(shù)嚴(yán)重不足,根本無(wú)法擔(dān)負(fù)起企業(yè)信息化內(nèi)部顧問(wèn)或者技術(shù)支持的職責(zé);沒(méi)有IT安全規(guī)劃、IT管理制度。有極少數(shù)信息化應(yīng)用成熟度高的企業(yè),在這些方面都已經(jīng)有較高的認(rèn)識(shí),并有明確的組織和方式等,而且對(duì)企業(yè)整體人員信息化能力的培養(yǎng)有充分的行動(dòng)。
IT作為一項(xiàng)富有競(jìng)爭(zhēng)力的戰(zhàn)略資產(chǎn)越來(lái)越倍受中國(guó)企業(yè)關(guān)注,而IT資產(chǎn)價(jià)值的充分發(fā)揮和提升應(yīng)用用戶體驗(yàn)和安全性不僅僅取決于好的技術(shù),還深受IT治理有效性的影響。
行業(yè)現(xiàn)狀
大型企業(yè)內(nèi)部網(wǎng)絡(luò)部署多種應(yīng)用系統(tǒng),如門戶站點(diǎn)、郵件系統(tǒng)、 ERP 系統(tǒng)、財(cái)務(wù)系統(tǒng)、辦公系統(tǒng)等,在生產(chǎn)過(guò)程中,隨著對(duì) IT 系統(tǒng)依賴程度的不斷加大,需要保證上述系統(tǒng)穩(wěn)定、可靠運(yùn)行。
大型企業(yè)在全國(guó)甚至全球范圍內(nèi)設(shè)有分支結(jié)構(gòu),為了保證各分支機(jī)構(gòu)都能夠快速訪問(wèn)總部的應(yīng)用系統(tǒng),在總部需要接入不同運(yùn)營(yíng)商的多條鏈路。
對(duì)于合作伙伴、供應(yīng)商,或者公司移動(dòng)辦公員工,需要安全的遠(yuǎn)程撥入到公司內(nèi)網(wǎng),使用各種應(yīng)用系統(tǒng)。
企業(yè)內(nèi)部有大量用戶需要訪問(wèn) Internet ,導(dǎo)致關(guān)鍵應(yīng)用如郵件系統(tǒng)、ERP系統(tǒng)、視頻會(huì)議等系統(tǒng)的帶寬無(wú)法得到保障,有限的 Internet 帶寬中充斥著 P2P 下載、游戲、在線視頻等非關(guān)鍵應(yīng)用。
內(nèi)部員工的 Internet 訪問(wèn)不受限制,經(jīng)常由于訪問(wèn)非法網(wǎng)站,導(dǎo)致感染病毒,影響整個(gè)內(nèi)部局域網(wǎng)。
建議網(wǎng)絡(luò)架構(gòu)
需求及解決方案要點(diǎn)
●在企業(yè)互聯(lián)網(wǎng)接入層方面:
鏈路負(fù)載均衡
大部分中國(guó)大型企業(yè)目前使用多個(gè)運(yùn)營(yíng)商的線路接入,為了提供高質(zhì)量的鏈路訪問(wèn)和高可靠性,采用鏈路負(fù)載均衡產(chǎn)品,把訪問(wèn)外網(wǎng)資源的內(nèi)網(wǎng)用戶按照要求負(fù)載均衡到兩條鏈路,任何一條鏈路出現(xiàn)故障,都能夠?qū)崟r(shí)發(fā)現(xiàn),自動(dòng)把請(qǐng)求轉(zhuǎn)發(fā)至正常的鏈路;同時(shí)把訪問(wèn)內(nèi)網(wǎng)資源的用戶自動(dòng)導(dǎo)向到訪問(wèn)質(zhì)量最優(yōu)的鏈路,并實(shí)時(shí)監(jiān)控鏈路的狀態(tài),如果某一鏈路出現(xiàn)故障,自動(dòng)切換到其他正常鏈路。
帶寬管理
中國(guó)企業(yè)的互聯(lián)網(wǎng)帶寬通常在100M以內(nèi),而大型企業(yè)內(nèi)部的大量用戶訪問(wèn)互聯(lián)網(wǎng),其關(guān)鍵應(yīng)用的保障以及非關(guān)鍵應(yīng)用的限制以監(jiān)控需要使用帶寬管理產(chǎn)品對(duì) Internet 出口帶寬進(jìn)行控制,通過(guò)深入識(shí)別流量與應(yīng)用,結(jié)合豐富的流量管理策略對(duì)某種應(yīng)用進(jìn)行帶寬的保證、帶寬限制、按照優(yōu)先級(jí)處理等。
UTM安全防護(hù)
企業(yè)的內(nèi)部用戶訪問(wèn)互聯(lián)網(wǎng)以及互聯(lián)網(wǎng)用戶訪問(wèn)其電子商務(wù)網(wǎng)站存在的安全風(fēng)險(xiǎn)以及安全策略的控制需要使用防火墻對(duì)內(nèi)外網(wǎng)、 DMZ 等安全區(qū)域進(jìn)行隔離,并進(jìn)行入侵防護(hù)。通過(guò)高性能的防火墻產(chǎn)品對(duì)不同的安全區(qū)域進(jìn)行訪問(wèn)控制,并通過(guò)多種檢測(cè)機(jī)制,發(fā)現(xiàn)攻擊流量,實(shí)時(shí)進(jìn)行阻斷,提高應(yīng)用系統(tǒng)的安全性。
安全遠(yuǎn)程訪問(wèn)
企業(yè)內(nèi)部的Email,OA,業(yè)務(wù)系統(tǒng)以及IT運(yùn)維管理可供不同移動(dòng)辦公用戶遠(yuǎn)程接入企業(yè)內(nèi)部, 對(duì)于移動(dòng)辦公用戶,可以采用 SSL VPN 的方式進(jìn)入內(nèi)網(wǎng),訪問(wèn)內(nèi)網(wǎng)各種應(yīng)用系統(tǒng)。 SSL VPN 產(chǎn)品能夠?qū)尤氲闹鳈C(jī)進(jìn)行全面的檢查,并通過(guò)精細(xì)的鑒權(quán)和訪問(wèn)控制策略,允許用戶訪問(wèn)指定的資源。
Internet 安全訪問(wèn)網(wǎng)關(guān)
中國(guó)企業(yè)內(nèi)部用戶訪問(wèn)互聯(lián)網(wǎng)直接影響內(nèi)部網(wǎng)絡(luò)的安全以及帶寬的占用,為了能夠監(jiān)控以及集中的管理內(nèi)部用戶訪問(wèn)互聯(lián)網(wǎng)的安全性,采用 Internet 安全訪問(wèn)網(wǎng)關(guān)設(shè)備,對(duì)員工上網(wǎng)行為進(jìn)行管理,記錄所有員工上網(wǎng)的信息,同時(shí)進(jìn)行提供內(nèi)部用戶的安全防護(hù)以及限制其安全的訪問(wèn)信息,提高工作效率的同時(shí)確保訪問(wèn)安全的站點(diǎn)。
●企業(yè)核心骨干網(wǎng)絡(luò)以及應(yīng)用層:
本地服務(wù)器負(fù)載均衡
目前任何大型企業(yè)內(nèi)部都建立門戶站點(diǎn),郵件系統(tǒng),ERP系統(tǒng),財(cái)務(wù)系統(tǒng)等各種系統(tǒng),對(duì)于內(nèi)網(wǎng)各種應(yīng)用系統(tǒng)的持續(xù)訪問(wèn),可以采用服務(wù)器負(fù)載均衡的方式提高應(yīng)用的可用性。采用負(fù)載均衡產(chǎn)品把大量用戶的請(qǐng)求平均分發(fā)到多臺(tái)服務(wù)器上面,并實(shí)時(shí)監(jiān)控服務(wù)器運(yùn)行狀態(tài),快速發(fā)現(xiàn)服務(wù)器的故障,把用戶請(qǐng)求轉(zhuǎn)發(fā)到其他正常的服務(wù)器上面。負(fù)載均衡產(chǎn)品能夠同時(shí)對(duì)門戶站點(diǎn)、郵件系統(tǒng)、 ERP 系統(tǒng)、財(cái)務(wù)系統(tǒng)、辦公系統(tǒng)等多種應(yīng)用進(jìn)行負(fù)載均衡。
統(tǒng)一訪問(wèn)控制
企業(yè)內(nèi)部用戶終端安全的局域網(wǎng)接入以及系統(tǒng)安全的集中策略配置,整個(gè)網(wǎng)絡(luò)采用一套網(wǎng)絡(luò)控制器,對(duì)終端進(jìn)行統(tǒng)一的認(rèn)證授權(quán)和策略的下發(fā)。采用統(tǒng)一的認(rèn)證和授權(quán)機(jī)制,對(duì)內(nèi)部網(wǎng)絡(luò)的終端進(jìn)行驗(yàn)證,認(rèn)證和授權(quán)的內(nèi)容不再局限于簡(jiǎn)單的用戶名和密碼。實(shí)現(xiàn)基于用戶身份、所處網(wǎng)絡(luò)位置(用戶 IP 地址)、終端主機(jī)的安全狀況的統(tǒng)一的授權(quán)。
安全域的劃分
中國(guó)企業(yè)隨著IT網(wǎng)絡(luò)以及信息化的不斷的發(fā)展,各業(yè)務(wù)單元之間以及各部門和機(jī)構(gòu)之間的獨(dú)立性加強(qiáng),所以需要加強(qiáng)業(yè)務(wù)單元之間以及總部域分支機(jī)構(gòu)之間的安全防護(hù)和安全域的劃分已經(jīng)成為安全規(guī)劃最為基礎(chǔ)的內(nèi)容,同時(shí)在安全域之間實(shí)現(xiàn)精細(xì)化的管理和策略配置要求越來(lái)越細(xì)化。
廣域網(wǎng)傳輸加速
大型企業(yè)其分布式網(wǎng)絡(luò)結(jié)構(gòu)以及集中的IT管理和應(yīng)用部署,面臨著帶寬和延時(shí)的問(wèn)題,需要使用廣域網(wǎng)優(yōu)化產(chǎn)品對(duì)廣域網(wǎng)的數(shù)據(jù)傳輸進(jìn)行優(yōu)化,通過(guò)數(shù)據(jù)壓縮、緩存等技術(shù)可以顯著提高數(shù)據(jù)傳輸速度,提高帶寬使用率,從而提高生產(chǎn)效率。