罗小姐

第一章 用户需求分析
1.业务背景
  xx是一家连锁工销售企业，业务遍及全国各省。物流和财务信息的传输需要确保安区，但是申请专线的费用很高。 internet为企业的信息传输提供了一个经济有效的平台，然而安全问题值得担忧。目前有100多个分公司遍布全国各地，还有大量的出差在外的业务人员需要及时安全地访问企业总部的服务器。
2.需求分析
  信息及时沟通、资源共享是制约企业业务飞速发展的重要因素之一，集团内部的各类信息、营销策略如何及时送达至所有在外工作的业务人员，而在外工作的业务人又如何能通过一种高效、安全、可靠的方式将他们的业务开展情况反馈到集团总部，并通过企业内部的营销系统、erp等业务系统迅速展现在企业决策者面前，一直是我集团期待解决的问题之一。
公司在国内的驻外人员分布在各省会城市，负责该省内的所有产品营销业务。由于需要及时和企业总部进行财务及其它信息的传输，这些业务数据在internet上直接传输时又存在较高的安全风险，一旦这些数据被盗取或泄漏出去，必然会造成公司业务的严重损失。
3.初步需求如下
  100多个分公司分别通过当地电信部门接入internet。这些分支机构的网络要受到安全设备的防护，必须有防火墙设备，此外，为防止遭受病毒，黑客入侵的威胁，应用层的安全必须受到保护，设防火墙设备应该具备防病毒和防入侵的功能。 企业总部网络有重要的数据库系统，防止病毒和黑客的入侵极为重要。
由于所有分公司要和企业总部建立点到点vpn连接实现安全的数据传输，高性能的vpn功能必须集成在设备内部，便于统一管理。此外出差在外的员工也要能够及时地通过internet安全地访问企业的数据库，移动用户必须通过vpn加密方式访问企业网络资源。
4.方案目的
  作为保护企业内部网免遭外部攻击，确保信息安全地通过internet传输，最有效的措施就是在分别在企业系统内部网与外部广域网之间放置utm设备（即：防火墙+ vpn +网关防病毒+ ips），通过设置有效的安全策略，做到对企业内部网的访问控制。为了方便远程/移动用户安全访问集团内部的机密资料，并为公司建立起安全经济的网络通信连接，故推荐配置使用基于深度包检测技术的utm设备——美国sonicwall utm设备（防火墙 + vpn + 网关防病毒 + 防入侵）。
  sonicwall系列utm设备是在nasdaq上市的美国sonicwall公司的著名网络安全产品，全球销量超过60万台，是目前全球销量最大的硬件防火墙和市场占有率最高的硬件vpn产品。
  sonicwall采用软硬件一体化设计，在高性能硬件平台上，利用先进的防火墙技术和sonicwall专有的安全高效的实时操作系统，再加上世界领先的加密算法、身份认证技术以及网络防病毒技术，是一个强大的，集应用级防火墙、vpn，网关防病毒，防入侵（ips）、内容过滤、，反间谍软件等多种安全策略为一体的，稳定可靠的高性能网络安全系统。其完善的产品系列和卓越的性能价格比为不同规模、不同行业、不同上网方式的用户提供安全、快速、灵活、超值的网络安全解决方案。（详情请参考附件1）。
  可以在总部或某一地点统一管理分布在全球的sonicwall防火墙设备，可以为不同地点的sonicwall防火墙设备做不同的设置；建立报警中心，集中、实时的监控全球各地sonicwall的运行状态和网络访问流量。

 第二章 方案设计
  首先，有效的隔离是保障安全的一项基本前提，而公司总部的网络安全是重中之重，所有有可能对总部网络安全造成威胁的连接点都将是总部必须控制连接的关键。因此，我们在总部的internet出口处配置防火墙来进行有效的隔离，通过防火墙的策略来授权访问总部的相关数据。同时，针对可能通过所有连接到总部的所有接点发起的针对总部的攻击的侦测和防范也是一个必须考虑的重要因素之一，入侵检测和防护是必不可少的。另外，由于网络病毒的泛滥，有效阻隔外部传入的病毒是保障总部应用安全的一到屏障，网关防病毒也是必须而且必要的。
  其次，由于分公司需要和总部互联，而internet的传输是不安全的，公司需要一种安全的互联网安全传输解决方案，而vpn是目前公认的一种经济安全的internet传输解决方案，因此，作为总公司interner出口出的防火墙必须具备vpn功能，以提供分公司及移动办公的人员到总公司的安全互联。
  移动办公的人员需要及、安全有效的连接到总部服务器进行公务处理，移动vpn功能将是一个关注点，因此，作为总公司的internet出口防火墙必须支持移动vpn功能以解决移动办公的安全互联问题。
  企业安全互联的最终目的是为了提高生产力，一个不间断运行的网络是有效提高生产力的有力保障，鉴于下属分公司均采用adsl接入方式来连接到internnet和访问总部，而adsl的连接方式并不是完全实时可靠的，也就是说，adsl的线路模式并不能保障分公司能实时的连接到总部，因此，我们在设计方案是必须要考虑的这种实时连接情况，一般的解决方案是：再添置另外一种连接方式，比如另外一家isp提供的线路，但这种方式显然不符合企业节源开流的精神，因此我们必须在现有的线路情况下，综合考虑解决方案，最大限度的利用现有线路来解决实时连接问题。众所周知，adsl是传输在普通电话线路上的数据链路，在adsl出现以前，电话线路的拨号连接方式曾经是一种主流的internet接入解决方案，那么，我们就可以从这里着手来考虑企业实时互联的解决方案了。即，我们可以把普通电话线路上的拨号连接来作为第2种冗余internet接入解决方案，那么作为    这种解决方案中的防火墙设备，必须要支持pstn的拨号连接方式。
有鉴如此，我们设计了如下的方案，方案拓扑如下：