北京中原地产用户需求
北京中原房地产经纪有限公司为总部设立于香港的中原地产集团在内地的规模 ******、设立最早的分行之一,成立于一九九四年十月一日,是香港中原的独资企业。 中原地产北京各个地铺和总部需要安全交换数据,实现域登录,房产信息的查 询,SQL Server 数据库的同步等重要的业务数据传输,但是申请专线建立基于专线 的私有网络的费用很高。 Internet为信息传输提供了一个经济有效的平台,然而安 全问题值得担忧。因此, IPSec VPN 是经济有效的解决方案。然而,100 多个店铺通 过VPN接入总部的网络,也给总部网络带来安全隐患。因此,构建一个安全的VPN 网络才能确保北京中原地产网络的畅通与安全。
网络拓扑图
公司根据客户的需求,提出如下的解决方案 (总部防火墙从 SonicWALL 2006 年初的PRO3060升级到如今的NSA3500)
方案说明
> 从经济性出发, 70 个地铺的SonicWALL TZ170 防火墙使用 ADSL 拨号线路接入 ,进而通过Internet和总部VPN网关建立IPSec VPN隧道,实现安全的 数据加密传输
> 36家地铺采用网通的SDH专线接入网通的IDC机房,机房通过专线连接中原总 部的防火墙,地铺的SonicWALL TZ170防火墙工作在路由模式
> 每个地铺部署一台专用的外网 PC,部署在 TZ170 的 DMZ 区域,实现 Internet 不 受限的访问,包括主要的几个房地产网站,如新浪房产,搜房网,焦点房地产等, 但是为了确保安全,该PC不能通过VPN隧道访问总部的任何资源,也不能访问 地铺里连接VPN的终端
> 各个地铺的其它PC通过VPN隧道,访问总部的内部网站,通过本地SQL数据库 查询房产信息。各个地铺Internet访问也是是通过VPN隧道,到达位于总部防 火墙DMZ区ISA代理服务器,由ISA代理服务器实现各个地铺Internet访问的控 制,进一步确保网络的安全
> 每个地铺本地都有一台 SQL Server服务器 房屋销售人员可以查询和更新本 地的房产信息数据,该SQL Server数据每两分钟通过VPN隧道和中原总部的 SQL Server数据库进行同步,进而通过VPN隧道和SDH 专线再同步到所有其 它105个地铺,因此确保VPN隧道的畅通,对确保北京中原地产的业务至关重要
>隧道上有部分VPN 的语音业务, VoIP 邮件的收发,Outlook网银业务等 HTTPS
> 总部的NSA3500开启UTM功能,过滤Internet,所有分支和移动用户数据中可 能隐藏的病毒,入侵和间谍软件等安全威胁,对中原总部两个楼层多个VLAN之 间的通信也可以完成7 层扫描,进一步确保网络的安全 稳定性 整个项目部署至今, 网络运行稳定,确保了北京中原地产的业务连续性
设备选型
北京总部采用SonicWALL基于多核技术硬件平台的NSA3500,分支可以采用
TZ100。
实施周期
北京总部防火墙升级到 NSA3500 ,工程师花费两天时间在新的 NSA3500 上优 化配置,切换总部防火墙只需要 2 分钟的时间,分支和总部新的 NSA3500 防火墙在 几分钟之内全部成功建立VPN。切换总部防火墙,分支机构防火墙无需任何调整。