本文根据深信服产品经理薛小华在“e-works第五届中国制造业it应用年会”上的发言整理而成。

深信服产品经理薛小华
 

    各位来宾大家好，今天由我给大家讲解关于制造业行业数据中心以及安全与管理的解决方案。

    某公司经过多年的发展，从一个小企业发展到几千人的大公司，在全国各地建立了许多分公司、办事处。因为业务的需要，实施了各种各样的系统，例如erp、oa、邮件等系统。因此存在着以下的一些问题。

    第一，分支机构建立越来越多，网络接入总部的时候，面临着如何保障访问的安全、稳定以及管理的问题。

    第二，传统的业务系统是在局域网内不对外发布的，但因为分支机构访问需求，就需要局域网向广域网转移。那么就存在着如何保障数据中心业务更稳定安全与智能的问题。

    第三，随着员工越来越多，安全隐患随之增加，用户的体验度不断的下降。

    围绕以上的问题，将从以下三个方面进行分析。

一、如何构建分布式网络

    当分支越来越多的情况下，就要求总部与分支机构进行互联互通，总部的资源需要提供给分支使用，所以必须构建分布式的网络。如果要使这个分布式网络与业务系统相匹配，就需要选择最佳的网络构建解决方案，保障访问安全，保证访问速度以及稳定性。

    通过深信服多年的网络经验，推荐以下的几种解决方案。

    一级和大型节点采用专线网络，次级和中小节点采用ipsec vpn技术，末端节点采用ipsec或ssl vpn，超小节点、移动用户、第三方接入采用ssl vpn方案。

    图一 推荐的分布式网络方案   

    1. 专线技术

    专线的租赁成本相对较高，尤其是跨省和跨国的专线，而且一般专线带宽都比较小。深信服产品主要是能消除专线内的冗余数据，提升专线效率，当专线效率提高以后，可以延缓专线扩容，减少成本支出。也可以使用深信服产品直接替换专线，因为广域网加速功能有内置加密通道技术，可以直接替换掉租用的专线，打造媲美专线的安全网络。

    根据以前实施情况进行统计，深信服产品对数据的削减达到28%到92%，节省大量的带宽，另外基于广域网的应约系统可以达到2到80倍的加速效果，可以对邮件、ftp下载、邮件，包括数据库都进行对这些系统的加速。

    图二 广域网加速解决方案

    立白集团使用了自主开发的b/s架构的oa系统，国产灵狐c/s架构的erp，系统后台为sql 数据库。由于分支机构与总部之间存在着大量的数据通讯，所以采用了深信服产品对网络进行优化，原来需1分多钟的操作，加速后平均10秒可以完成，加速前/后流量比：1gb/64.1mb，约1633%。

    图三 立白集团网络结构图 

    2. vpn技术

    现在vpn的方案非常多，如何选择适合的vpn方案？深信服根据各种情况来进行推荐。

    （1）当组织内部人员上网非常多的时候都可以使用的产品--多功能vpn网关。

    （2）如果有较多移动办公的人员，可以用ssl+ipsec二合一的vpn网关。

    （3）如果带宽小的，延时大、高丢包的组织网络，推荐使用广域网加速+ipsec 多功能vpn网关。

    （4）几十人的小型组织，推荐使用交换机+行为管理+ipsec 多功能vpn网关。

    （5）超小分支、移动办公人员使用较多的情况，可以选用简单易用的ssl vpn网关。

    3. ssl vpn

    移动办公目前可支持ios系统和安卓系统，移动终端不需要安装软件，用系统自带的浏览器就可以连接。深信服致力于帮助客户降低实际成本，在末端使用vpn可以降低建网的成本，在广域网加速可以降低带宽成本，通过多合一vpn可以减少设备成本，集中管理方案可以节省管理成本。

二、如何优化数据中心

    分布式网络已经建成，但数据中心如何保障安全智能？现在公司越来越壮大，可能需要购买多条网络出口和多个服务器承载业务系统，提供给分支机构接入访问。那么就会出现电信出口满载后，网通出口占有量却非常低的现象。

    深信服可以通过链路负载均衡和服务器负载均衡解决这个问题，有效降低设备投入成本。国美电器的oa系统就是使用深信服的产品来进行网络通讯的，达到了降低硬件成本的目的。

    图四 国美电器网络结构图

    1. 数据中心如何保障安全保障

    传统的防火墙和网闸可以进行网络隔离，但是互访困难，而且隔离也不细致。深信服的解决方案是不仅能对业务系统进行逻辑隔离，也可以对服务器进行逻辑隔离。将ssl vpn放在服务器前沿，这样就达到了逻辑隔离目的。而且ssl vpn对访问授权、访问过程都进行记录，让隔离访问更加可控。同时ssl vpn本身具有强认证的效果，有短信认证、动态令牌认证等等，保证服务器的安全。