典型Lan-To-Lan方案

 

 

尼奥普兰汽车集团网络安全解决方案

 

   

    浙江青年尼奥普兰汽车集团是一家国家定点的豪华客车生产企业,引进世界一流的德国 NEOPLAN 客车制造技术,专业生产青年.尼奥普兰系列豪华客车。公司占地 640 亩,年生产能力达 5000 台。公司现有员工 2300 余人,其中科技研发人员 300 多人,外国专家 4 人。

    经过短短几年的努力,浙江青年尼奥普兰汽车集团有限公司已在国内同行业中获得车辆等级、高档车产量、高档车销售量、高三等级车型数量、同比增长速度五个第一,跻身全国客车企业 10 强,中国机械工业 500 强之内,被建设部评为国家旅游行业最高等级五星级客车。 2002 年公司销售产值突破 10 亿元; 2003 年销售产值 13.3 亿元, 2004 年销售产值 14 亿元,连续几年列全市工业企业首位。目前,公司 130 万元以上的豪华客车在全国的市场占有率在 70 以上, 200 万元以上客车的全国市场占有率达 100

 

用户需求

 

    • 采用相关的访问控制产品及控制技术来防范来自不安全网络或不信任域的非法访问或非授权访问,具体就是控制办公和其他网络对业务网络的访问。

    • 采用安全检测技术来实时检查进出网络的数据流,动态防范各种来自内外网络的恶意攻击,在产生任何有威胁的安全行为时,要及时通知网络管理人员,尽可能在初期就把安全的隐患消灭掉,尤其是在病毒大规模爆发以前就提出详细的解决办法,并提供安全策略。

    • 采用防病毒产品及技术实时监测进入网络或主机的数据,防范病毒对网络或主机的侵害,避免病毒和蠕虫在网络内泛滥。

 

    组网方案

    • Fortigate 500A 做为总出口对内外网的流量做病毒扫描和策略过滤,利用 Fortigate 500A 自带的多个接口来划分多个网段,有效解决不同部门之间访问的问题,并且限制了病毒在不同网段之间的传播。

 

    • 用两台 Fortigate 50A 做透明模式分别放在研发部门和财务部的前面, FortiGate 系列防火墙支持路由( NAT )模式、透明模式和混合模式三种工作模式。可以很好的适应各种网络环境,不需改变用户原有网络拓扑结构。

    • FT 500A 支持 3000 条VPN遂道数,使各地分公司和移动用户可以与总部实现资源共享和信息即时传输。

    产品选型

    为了尽量减少浙江尼奥普兰公司中心网络受到病毒的攻击,根据以上的现有网络运营情况和具体业务要求,我们推荐利用美国 FortiGate 500A 高性能的防火墙来构建网络 。 FortiGate 产品支持远程管理和集中管理。由于是基于 Web 方式的管理,管理员只需要任何一台带有 IE 浏览器的计算机,可以访问到 FortiGate IP 地址,并且拥有相应的访问权限,便可随时对 FortiGate 进行管理和监控。

   

 

    方案拓朴图

        使用效果

    系统通过了用户验收以后,起到防火墙和防病毒等功能,给用户网络阻挡了大量的攻击和病毒,网上非正常会话数大大降低,彻底改善了网络性能。同时简化了用户的网管工作,用户反映良好,表示满意。

 

二、台州自来水公司,VPN解决方案

 

项目建设目标

 

网络整体方案不是一步到位的,它是一个循序渐进的的过程。针对贵公司网络和应用的状况,部署安全产品,运用合理先进的安全技术实现企业预期的安全目标:

 

l        通过阿姆瑞特F100-NP 防火墙的路由功能,做为网络中心端设备,保证内网正常上网。管理所有上网行为,屏蔽BT,电驴等P2P软件,并限制访问与工作无关的网站。

 

l            通过阿姆瑞特F100-NP 和中心交换机配合使用,做到不同vlan间网段各自独立,同时又允许具有相应访问权限的电脑互相访问,共享公司资源。保证网络的稳定性,降低安全风险。

l        通过阿姆瑞特F100-NP宽带管理功能,可以针对IP,用户组分配最大和最小带宽,优化网络带宽资源,提高网络利用率,保证重要部门优先级高,优先享用带宽。

l      通过阿姆瑞特F100-NP以及阿姆瑞特F50-NP-L防火墙中的VPN功能,做到所有独立的网络都能连入总部局域网,移动用户通过PPTP/SSL VPN连入公司内部

 

l            通过日志记录,分析网络协议、数据,帮助网络管理员发现中毒、异常电脑,减轻网络管理员工作负担,提高员工工作效率。

l            通过此方案,巩固企业信息化基础框架,完善企业信息化管理,加快企业网络利用率,提高员工工作效率。为以后的VPN企业网、数据存储系统、ERP应用、VOIP、可视电话,视频会议等企业级信息规划打好了坚实的基础。

 

网络建设方案

根据客户网络的实际情况不同,按如下方案进行实施。

方案实施:

1.         用户光纤进来接阿姆瑞特F100-NP防火墙,内网口接公司的中心交换机。

2.         F100-NP上做防火墙安全过滤设置,配置路由表,并做相应的控制连接。

3.         F100-NP中设置IPSEC VPN 中心端功能,并设置PPTP/SSL VPN 中心端功能。

4.         F50-NP-L中设置IPSEC VPN 客户端功能,连入F100-NP VPN中心端中。

5.         设置移动用户的PPTP VPN 客户端功能,连入F100-NP 中心端中。

 

整个方案拓扑图如下: