橫向驗證與縱向掃描飛亞達(dá)構(gòu)建“干凈”內(nèi)網(wǎng)

1、橫向驗證與縱向掃描飛亞達(dá)構(gòu)建“干凈”內(nèi)網(wǎng)飛亞達(dá)在對公司的網(wǎng)絡(luò)進(jìn)行改造的過程中，非常清楚所選產(chǎn)品有什么地方吸引自己，而不是把產(chǎn)品選型工作完全交給咨詢專家，或跟風(fēng)選擇市場占有率高的產(chǎn)品。這種意識正是一部分國內(nèi)企業(yè)欠缺的。深圳市飛亞達(dá) (集團 )股份有限公司 (以下簡稱 “飛亞達(dá)” ) 成立于 1987 年，現(xiàn)有員工 1000 多名，擁有 12 個分公司、 6 個經(jīng)銷分部、 400 多家零售網(wǎng)點和近百家“亨吉利世界名表中心”連鎖店，銷售網(wǎng)絡(luò)覆蓋全國。隨著公司業(yè)務(wù)規(guī)模不斷擴大和分支機構(gòu)日益增多，各機構(gòu)遠(yuǎn)程接人、員工移動辦公等需求激增，這對飛亞達(dá)原有的中央數(shù)據(jù)系統(tǒng)的安全性造成極大威脅。因此，飛亞達(dá)急需升

2、級網(wǎng)絡(luò)安全性能，在保證全國各分公司、連鎖網(wǎng)點以及移動辦公人員等都可以安全、高效、快捷地連接集團數(shù)據(jù)中心的同時，能夠?qū)T工行為以及數(shù)據(jù)實現(xiàn)有效的控制和管理。把關(guān)用戶身份飛亞達(dá)決定啟動虛擬專用網(wǎng)絡(luò)(SSL VPN)項目。據(jù)該公司 IT 部門經(jīng)理張榮浩介紹，飛亞達(dá)之前的虛擬專用網(wǎng)采用的是IP 安全 (IPSec)技術(shù)，它有不少缺陷。首先，在賬號管理、權(quán)限分配方面比較麻煩；其次，無法控制連入網(wǎng)絡(luò)中的終端，如果有一臺PC中毒，它就會不斷在局域網(wǎng)中發(fā)送數(shù)據(jù)包，整個內(nèi)網(wǎng)都會受到攻擊，網(wǎng)速也會變得很慢。在確定部署虛擬專用網(wǎng)絡(luò)后，飛亞達(dá)開始對多個品牌的產(chǎn)品做比較和篩選。最后，美國SonicWALL公司的“干凈的

3、VPN”概念同時檢驗用戶身份和所傳遞數(shù)據(jù)的安全性，確保用戶不把安全威脅帶人企業(yè)內(nèi)網(wǎng)，贏得了深圳鐘表企業(yè)的青睞。在項目第一期，飛亞達(dá)在集團總部部署了一套AventailSSL VPN設(shè)備。當(dāng)外網(wǎng)終端訪問集團數(shù)據(jù)中心時，該設(shè)備會進(jìn)行持續(xù)的主機完整性和數(shù)據(jù)安全檢查，一旦發(fā)現(xiàn)威脅，它馬上實時啟動系統(tǒng)隔離，保護系統(tǒng)安全。除了安全性， IP Sec虛擬專用網(wǎng)絡(luò)的最大缺陷是需要在客戶端上安裝軟件，而且不同的操作系統(tǒng)需要不同的客戶端軟件，當(dāng)企業(yè)要改造網(wǎng)絡(luò)時，管理難度將呈幾何級增長。SonicWALL的技術(shù)恰恰有效地解決了上述問題。這樣，無論是總部以外的員工還是商業(yè)伙伴，無論使用任何互聯(lián)網(wǎng)設(shè)備、在任何地方，都能

4、根據(jù)需要直接訪問飛亞達(dá)的集團數(shù)據(jù)中心。還讓飛亞達(dá)方面松了一口氣的是，該技術(shù)提高了聯(lián)網(wǎng)效率和安全性，內(nèi)部網(wǎng)絡(luò)的基礎(chǔ)架構(gòu)成本并沒有因此增加。隨著公司業(yè)務(wù)擴大，業(yè)務(wù)系統(tǒng)也隨之增加，改造初期可支持的并發(fā)用戶數(shù)量很快就不夠用了。 2007 年 9 月，飛亞達(dá)對公司網(wǎng)絡(luò)進(jìn)行了第二次升級，將并發(fā)用戶數(shù)從 50 個增加到 250 個，同時將監(jiān)控對象從外網(wǎng)用戶擴展至內(nèi)網(wǎng)用戶，從而實現(xiàn)全面安全訪問。除此之外，公司制定了統(tǒng)一的安全訪問準(zhǔn)則，并按不同安全等級，對核心系統(tǒng)中的各種內(nèi)容實行不同的開放度控制。譬如對于安全級別高的應(yīng)用，系統(tǒng)會啟用終端數(shù)據(jù)加密保護功能，用戶能正常訪問這類應(yīng)用，但不能進(jìn)行打印、復(fù)制和截屏等操作，

5、為防止數(shù)據(jù)外泄又加了一把保護鎖。構(gòu)建立體防護網(wǎng)第一期和第二期項目解決了網(wǎng)絡(luò)用戶安全接入的問題， 2009 年初，飛亞達(dá)又啟動了第三期項目。 除了將虛擬網(wǎng)的并發(fā)用戶數(shù)量增加至 500 個以外，第三期項目最重要的工作是把原有的普通防火墻更換掉。許多企業(yè)在信息化改造時，傾向于選擇一家公司的多種產(chǎn)品或服務(wù)，這樣能避免不同品牌產(chǎn)品兼容性的風(fēng)險，還能免除反復(fù)選擇供應(yīng)商而產(chǎn)生的成本。飛亞達(dá)也不例外。在更換防火墻時，飛亞達(dá)選定了SonicWALL的 UTM(統(tǒng)一威脅管理 )設(shè)備。除了上述原因， 張榮浩還介紹了該產(chǎn)品吸引他們的地方：易用性和可維護性較高，病毒庫更新速度比較快，對國產(chǎn)P2P 軟件 (迅雷、超級旋風(fēng)等)的封堵效果比較好，雖然是國外公司的產(chǎn)品，但提供中文界面。UTM 設(shè)備不是傳統(tǒng)意義上的防火墻，它是防病毒、 入侵檢測防御和防火墻集成于一體的統(tǒng)一管理平臺。如果說SSL VPN設(shè)備是在橫向把關(guān)遠(yuǎn)