贵人鸟企业网VPN互联及出口网络安全防护


贵人鸟集团是一家专业从事运动服装生产、经营的大型民企,在全国建设有30多个分支节点,这些分支节点需要接入到总部数据中心进行相关业务的处理。

贵人鸟现有的组网方案为,依托互联网平台,实现总部和分支机构的互联互访,同时为了保障安全性,在总部和各个分支机构均部署了VPN网关,通过IPSec VPN技术实现了数据的安全传输,但随着业务量的增长,需要对VPN网关进行升级。随后贵人鸟集团引入了Hillstone SG-6000-G3150,用一台设备便取代了原部署在总部互联网出口的两台设备(分别是一台防火墙及一台VPN网关),即同时满足VPN组网及总部互联网出口安全防护的需求,又合理节约了成本。

需求分析

由于本次升级的范围只局限在总部,为此用户对新增设备提出了如下要求:

● 支持异构的VPN互联:引入的VPN网关必须能够与原部署在各个分支机构的VPN设备互联互通,能够正常建立隧道并保障业务数据的稳定传输;

● 提供更好的传输性能:新增设备具有很好的工作性能,能够满足总部出口带宽扩容后,对设备性能的要求,同时也至少要满足未来三年系统扩容的要求;

● 合理控制设备升级成本:用户原有的方案为,在出口部署了一台VPN网关,用以与各个分支节点的VPN对接;另外又部署了一台单独的防火墙设备,用以实现总部员工的上网访问控制,提供NAT及攻击防护;经过分析后Hillstone建议用户完全可以用一台设备来取代这两台设备,即合理控制采购成本,也降低运维难度,降低单点故障;

● 提升分支机构的访问效率:用户的各个分支节点使用了不同运营商的链路,为此总部的互联网出口也对应租用了多个运营商的链路,来保障不同分支节点可以通过对应的链路访问到总部的服务器,从而可以保障访问效率,经过分析后Hillstone建议用户可在DNS解析中,针对不同接入节点的源地址,返回不同的解析地址来实现智能的业务访问。

解决方案

经过前期的充分测试和比较,Hillstone SG-6000-G3150通过了VPN的兼容性测试,也通过了性能的测试,最终在多个品牌的竞争中脱颖而出,成为用户的选择,最终实施的部署方案为:

● 高性能支持企业网现有及未来三年的业务访问量

Hillstone SG-6000-G3150支持6G的防火墙吞吐量,和2.5G的VPN吞吐量,完全可满足用户现有的性能要求,同时设备支持250万并发,完全可以支撑用户当前2000个并发用户同时访问互联网的需求。同时根据用户的估算,在未来三年内企业网的业务访问规模将以每年30%的增长,G3150的性能则同样可以保障增长后对性能的要求。

● 兼容的VPN实现异构设备互联互通

由于用户原本以采用了VPN设备,部署在各个分支节点,在本次项目中尚未有考虑将全部分支节点的VPN设备更换,为此Hillstone SG-6000-G3150的VPN模块的兼容性就发挥了很好的作用,在不更换的各分支节点VPN的前提下,部署在总部的G3150依然保障了各个分支节点安全可靠的接入访问。

● 合理控制设备投入

本次项目中在Hillstone SG-6000-G3150上启用了两个VRouter,相当于把一台安全设备逻辑上划分为两台设备,其中VR1上启用VPN功能,提供给各个分支节点的VPN接入访问,VR2启用防火墙和抗攻击,和NAT功能,提供给内网办公终端实现安全的互联网访问,由于一台设备代替了原有的两台设备,因此在采购成本、运维成本都得到了合理的控制。

● Smart DNS确保分支节点访问效率

利用Hillstone SG-6000-G3150支持的Smart DNS,针对企业网同一台服务器,可以做到根据访问源地址所属的运营商,在G3150上实施DNS地址解析,并返回对应运营商的IP地址,这样当不同分支节点通过G3150访问到业务服务器时,能够按照分支机构租用运营商得到对应的IP地址,从而保障了分支机构的访问效率。

运行效果

在贵人鸟,单台Hillstone SG-6000-G3150即取代了总部原有的两台安全设备,合理节约了设备采购成本并降低了运维难度,同时G3150的高性能特点,也保障了企业网的整体运行效率,G3150的VPN具有兼容性的特点,部署后再无需更替各个分支节点原有VPN的情况下,也能够做到稳定的互联互通,充分满足了贵人鸟网络升级的需求。

相关产品

下一代防火墙
山石网科E系列下一代防火墙基于深度应用、协议检测和攻击原理分析的入侵防御技术,可有效过滤病毒、木马、蠕虫、间谍软件、漏洞攻击、逃逸攻击等安全威胁,可为用户提供 L2-L7 层网络的全面安全防护。