VPN -- 成功個案

構建高效安全網路 合勤科技(ZyXEL)
助德國北德集團
2006年08月23日

專案背景：

德國北德集團是歐洲最早建立的最大的從事檢驗、實驗、質量保證和認證的國際性檢驗認證機構之一，其總部設在德國的漢堡和漢諾威。經過130多年的發展，它已在23個國家設立了分支機搆、辦事處或合資公司，並成為國際上最有權威的認證機構之一，其證書被85個國家所認可。

由於國際化的發展背景，北德集團內部人員經常需要通過外網訪問公司網路，安全和私密性成為不容忽視的重要問題。而公司網路系統在病毒等網路安全問題的威脅下也急需一套完整高效的安全網路解決方案。

用戶需求：

TUEV NORD及其子公司擁有8,500名雇員。在未來的36個月，90% 的員工將從他們的家裏接入到公司網路。另外，所有的汽車服務站都將包含到這個網路中。且公司還規劃了其他增值服務，如為正在等待汽車檢查的用戶提供自由的網路接入等。所以安全、穩定、高效的網路是必須的。同時，了給網路中需要具備更高安全級別的設施（如核電站等）提供安全保障，還必須考慮級別更高的安全功能。

解決方案：

針對用戶的需求，在經過對北德集團情況進行周密研究和全面評估後，合勤科技決定採用ZyWALL 1050，ZyWALL 2， ZyWALL P1/P2（配合Vantage CNM）系列性價比極高的產品來建立和管理一個擁有7,500個節點的龐大的VPN網路。其中，VPN集中器ZyWALL 1050將被安置在漢堡、漢諾威和埃森3個地點。所有的移動用戶和出差員工都將配備ZyWALL P1/P2來構建安全暢通的VPN通道。同時，考慮到合作夥伴的雇員是沒有高端技術的人員，所以網路建設將採用規範化的網路架設。

對於方案中應用的系列產品，ZyWALL 1050，ZyWALL 2， ZyWALL P1/P2均繼承了ZyWALL家族強大的防火牆功能並被定位在終端和家庭工作者。作為通過了ICSA認證的高性能產品，在保證防火牆和IPSec VPN與其他廠商擁有的ICSA認證的產品進行極佳的互聯互通的同時，能提供高速率的採用DES\3DES\AES等加密方式保護的VPN連接，並具有VPN備份功能以保證在主要網路連接中斷時能夠及時地替換到備份連接上，從而保障了網路的暢通。ZyWALL 1050更將可升級實現整合防火牆、VPN、負載平衡、寬帶管理、內容過濾、防病毒、IDP、防垃圾郵件的8合1安全應用，從而實現更高的安全特性。

此外，還將提供包括撥號備份和流量重定向等附加的增值優勢，及增強的保護多重互聯網連接可靠性的功能。同時，該系列產品均提供了一個友好的用戶介面作為接入互聯網的快速配置介面，從而保證了非專業人士能夠快速的熟悉掌握配置ZyWALL的方法。可以看出，合勤科技從安全，簡便，高性價比等方面來進行了方案的設計。

具體實施：

北德集團的具體網路應用拓撲圖如下：
在整個網路的構建中，首先在漢堡總公司的出口處放置一台ZyWALL 1050 UTM，在提供完全安全保障的前提下，可提供24小時不間斷的穩定網路服務。另外，在漢諾威和埃森各架設一台ZyWALL 1050以建立起虛擬私有網路（VPN）來連接遠端分公司、商業合作夥伴、移動辦公用戶等，從而實現無縫的保護公司資料在一個安全、受信任的VPN網路中傳輸。為了提供最佳的傳輸質量，ZyWALL 1050提供了設置傳輸優先順序或限制每個連接使用帶寬的管理策略，能根據應用類型或企業中的主機來進行帶寬管理。從而確保了傳輸服務質量。此外，ZyWALL 1050還能讓管理員以集中日誌的方式始終跟蹤網路帶寬的使用情況，實現了對網路使用情況的即時的監控。

對於企業來說，提高生產力是非常重要的，這就需要對IM/P2P，垃圾郵件，訪問內容等進行有效的控制。而ZyWALL 1050的內容過濾特性創建了一個強有力的Internet訪問策略，能通過預設的列表來監測並阻止不良WEB站點。而對於經常變更的的WEB站點，ZyWALL 1050還能啟動內容過濾的動態資料庫，以進行動態的URL過濾管理，從而真正確保了企業制定的策略能夠被準確的實施，提高了工作效率。

在重要的安全環節，ZyWALL 1050提供了更加強有力的支援。ZyWALL 1050支援三層的虛擬技術（VLAN、Virtual/Alias interface），能根據需要為不同的物理埠設置VLAN介面或虛擬介面。通過虛擬化和區域概念，ZyWALL 1050很容易的實現了複雜的部署和建議的安全管理。同時，ZyWALL 1050具有的增強型IDP（Intrusion Detection and Prevention）引擎能夠進行深達7層的資料包即時檢測。因此有效實現了入侵檢測和即時阻斷，偵測並保護了網路不被潛在的蠕蟲、病毒、木馬、VOIP攻擊等的侵犯。同時，ZyWALL 1050更能升級實現整合防火牆、VPN、負載平衡、寬帶管理、內容過濾、防病毒、IDP、防垃圾郵件的8合1安全應用，從而提供更加全面的UTM安全管理特性。

在整個網路的構建中，ZyWALL 2被放置在各個部門的出口及員工住所，以實現層層保護，確保公司內每個點都處在安全的保護和監控之下。作為通過ICSA的防火牆國際安全認證的產品，ZyWALL 2能提供包括狀態偵測（Stateful Inspection），阻斷服務（Daniel of Service）等在內的高性能防火牆功能，在強化網路安全的同時，也保障了高速上網的質量。此外，方案中將公眾伺服器連接到了防火牆的DMZ埠，以形成公共伺服器安全區域。同時，將來自ISP運營商的專線接入到ZyWALL 1050 的WAN埠，以形成Internet區域。通過如此不同區域的劃分，實現了不同區域間互相訪問的嚴格限制，從而既保證了用戶的嚴格的安全特性，又實現伺服器的安全保障。

另外，由於TUEV有移動用戶的需求，所以專門為TUEV的移動用戶提供了攜帶型防火牆ZyWALL P1及帶有Wireless功能的攜帶型防火牆ZyWALL P2供移動用戶使用。這兩款個人防火牆設備，均實現了隨插即用的人性化設計和極為容易的安裝及設定。通過USB供電，即能提供防火牆及VPN安全加密的傳輸功能，同時，先進的SPI防火牆也隨時確保了使用者的PC避免來自網路的任何攻擊，充分體現了安全性，便捷性的特點。從而為個人和企業間構建起了一座隨時隨地安全溝通的橋梁。

在通過上述配置保證伺服器和用戶安全使用的同時，方案在管理上的悉心設計也體現出了人性化的關懷。在應用中的所有ZyWALL系列產品均可以通過提供的CNM管理軟體進行統一管理，以實現統一的管理和監控。如圖中所示，方案在漢堡架設了一台ZyXEL Vantage CNM server來管控整個網路中的TUEV的設備。CNM讓TUEV在無需投入大量的網管人員來進行複雜手動設置的情況下，即實現了對網路使用情況輕鬆有效的辨別，並幫助網管人員準確高效地將VPN配置及升級固件實施到各個設備，從而保證TUEV能夠在期望結果相同的情況下大幅節省了人力成本。

實施效果：

在新搭建的網路系統運行後，整個網路一直運行穩定。通過ZyXEL 1050，CNM等的設置，網管員實現了對網路的即時監控和及時處理，並保證了網路帶寬的有效分配。ZyXEL 1050建立的VPN網路將各遠端分公司、商業合作夥伴及移動辦公用戶等都連接了起來，在網路的各個終端，大家都能在保證資料私密的情況下，通過簡單的操作來進行公司內部網路的暢通訪問。通過IDP策略庫的即時升級，網路有效對各種病毒，攻擊等安全威脅進行了及時檢測和阻斷，創造了一個安全的網路環境。

用戶評價：

TUEV某網管講：“採用ZyXEL解決方案， TUEV IT團隊能夠架設擁有很大數量的VPN終端節點的網路，並且僅需採用3個職員來維護它們。在固件升級和策略變化方面是非常簡單高效的。 AES加密和ZyWALL系列的專業防火牆功能夠適應TUEV的高級別安全需要。” TUEV某高級經理稱：“採用ZyXEL產品，TUEV員工的工作效率明顯提高。高效的網路保證了TUEV的高效運轉，ZyXEL是值得信賴的合作夥伴。

應用特色：

1、強大的速度保障和安全特性。ZyWALL 1050，ZyWALL 2， ZyWALL P1/P2均繼承了ZyWALL家族強大的防火牆功能。能提供高速率的採用DES\3DES\AES等加密方式保護的VPN連接，並具有VPN備份功能以保證在主要網路連接中斷時能夠及時地替換到備份連接上，從而保障了網路的暢通。同時，ZyWALL 1050還將能升級實現整合防火牆、VPN、負載平衡、寬帶管理、內容過濾、防病毒、IDP、防垃圾郵件的8合1安全應用，從而實現更加全面高效的UTM安全管理特性。

2、可集中式管理及最低數量的維護人員需求。ZyWALL系列產品均可通過提供的CNM管理軟體進行統一的管理和監控。通過CNM，管理員可輕鬆瞭解和掌握整個網路的使用情況，從而準確高效地將VPN配置及固件升級實施到各個設備。在保證管理高效的同時，節約了人力成本。

3、簡單的架設、維護和升級，適用於沒有技術背景的雇員。專門為移動用戶提供的攜帶型防火牆ZyWALL P1及帶有Wireless功能的攜帶型防火牆ZyWALL P2通過USB供電，即能提供防火牆及VPN安全加密的傳輸功能。且均實現了隨插即用的人性化設計和極為容易的安裝及設定，而無須任何繁複軟體的安裝，也大大減少了維護及管理成本。

4、合理的價格。在提供高效的網路應用方案的同時，價格合理，同時在維護，管理等各方面都能有效降低人員配置，設備安裝等成本。具有極高的性價比優勢。