1. 客户需求分析
XX公司,有超过600人左右的规模。并且在全国各地有10多个分公司,人员规模在100到300人之间。
目前需要实现以下几点需求:
Ø 通过防火墙实现各分公司和总公司之间实现VPN互联,跑OA,ERP等办公流量
Ø 通过防火墙实现网关杀毒,入侵防护,上网行为管理等安全功能
Ø 通过SSLVPN实现出差人员或者在家办公人员远程拨入的需求,安全的远程拨入和细粒度的授权等功能,
2. 网络拓扑图
DELL SonicWALL公司根据客户的需求,提出如下的安全VPN的解决方案
1. 方案说明
总公司出口的SonicWALL下一代防火墙,开aa启网关杀毒功能后,能够对公司内部员工访问外网的流量做病毒扫描和间谍软件的扫描,清除病毒源和阻止病毒扩散。保护内网的员工电脑和服务器。
Ø SonicWALL下一代防火墙还能提供应用程序控制的功能,即上网的行为管控,规范内部员工上网,控制无关的上网流量,提高员工的工作效率。
Ø 在分公司同样部署SonicWALL下一代防火墙,达到网关杀毒,入侵防护和上网行为管控的目标。
Ø 通过总公司和分公司防火墙上的IPSec功能,建立IPSec VPN通道。分公司与分公司之间通过总公司来互联,达到所有公司之间的全网互联互通。
Ø 在总部防火墙和分公司防火墙上分别开启网关杀毒功能,过滤和隔离VPN线路传播过来的病毒和木马,保证总公司内网和服务器群组的安全
Ø 对外发布的服务器需要重新归类,分成以下几类:a. 对所有外部用户公开的服务器应用;b.对所有内部员工公开的服务器应用; c. 对部分高权限内部员工公开的服务器应用;
Ø 网关处的防火墙做HA冗余部署,当一台设备发生故障时,流量能够迅速自动切换给另外一台设备,保证网络能够正常运行。消除单点故障。如果分公司也有冗余需求,可以在分公司也同样HA设备。
2. 设备选型
总部选用了高性能的下一代防火墙NSA 6500 HA(一对),10个分支选用了NSA3600的高性能的下一代防火墙,实现防火墙,入侵防御, 网关杀毒,上网行为管控,IPSec VPN等多种功能。在总部部署了一台高性能的SSLVPN EX7000(500并发)设备,实现安全的远程接入功能,强大的用户认证和细粒度的权限管控等功能。
3. 实施周期 (防火墙和SSLVPN部分)
总部的防火墙和SSLVPN的部署实施在用户IT人员的配合下两天之内完成,10个分支点的防火墙在1个月之内陆陆续续完成全部配置。