IT基礎(chǔ)架構(gòu)規(guī)劃方案專項方案一

IT基礎(chǔ)架構(gòu)計劃方案一(網(wǎng)絡(luò)系統(tǒng)計劃)背景

某集團經(jīng)過多年經(jīng)營，企業(yè)業(yè)務(wù)和規(guī)模在不停發(fā)展，企業(yè)管理層和IT部門也認(rèn)識到經(jīng)過信息化手段能夠愈加好地支撐企業(yè)業(yè)務(wù)運行、提升企業(yè)生產(chǎn)和管理效率。同時伴隨新建辦公大樓、研發(fā)大樓和廠房落成，IT部門也需要對整個集團信息化和企業(yè)IT基礎(chǔ)架構(gòu)進(jìn)行計劃和建設(shè)?，F(xiàn)在關(guān)鍵分為以下兩部分：

樓宇智能化計劃和建設(shè)方案：關(guān)鍵包含視頻監(jiān)控、門禁系統(tǒng)、語音和數(shù)據(jù)節(jié)點計劃和布線、CATV、大屏幕電子顯示器、機房建設(shè)等。

企業(yè)IT基礎(chǔ)架構(gòu)計劃和處理方案：關(guān)鍵包含企業(yè)局域網(wǎng)基礎(chǔ)網(wǎng)絡(luò)拓?fù)溆媱澓途W(wǎng)絡(luò)設(shè)備選型、互聯(lián)網(wǎng)接入和VPN接入、IT硬件布署和選型、企業(yè)IT信息化基礎(chǔ)軟件系統(tǒng)計劃和選型等。

本方案關(guān)鍵是針對某集團企業(yè)IT基礎(chǔ)架構(gòu)進(jìn)行計劃，并提出處理方案和進(jìn)行投資預(yù)算。而相關(guān)樓宇智能化計劃和建設(shè)方案參見其它相關(guān)方案。企業(yè)IT架構(gòu)通常企業(yè)IT架構(gòu)情況，本方案關(guān)鍵針對IT基礎(chǔ)架構(gòu)部分進(jìn)行計劃，并提供選型和布署參考，相關(guān)企業(yè)IT業(yè)務(wù)應(yīng)用系統(tǒng)部分計劃和建設(shè)請參考其它方案。網(wǎng)絡(luò)系統(tǒng)計劃目前，企業(yè)通常能給信息化方面投入有限。除了人力有限，還缺乏專業(yè)人才，應(yīng)用能力、維護(hù)能力、開發(fā)能力、實施能力等全部普遍較弱，這就要求網(wǎng)絡(luò)架組成熟、穩(wěn)定安全、高可靠、高可用，盡可能少投入人力和金錢進(jìn)行維護(hù)。其次，因為企業(yè)首要處理是生存問題，根本沒措施做到“先信息化，再做業(yè)務(wù)”，所以網(wǎng)絡(luò)建設(shè)實施要求必需輕易，實施時間必需極短。企業(yè)組網(wǎng)方案關(guān)鍵要素包含：局域網(wǎng)、廣域網(wǎng)連接、網(wǎng)絡(luò)管理和安全性。具體來說企業(yè)組網(wǎng)需求：?建立安全網(wǎng)絡(luò)架構(gòu)，總部和分支機構(gòu)網(wǎng)絡(luò)連接；?安全網(wǎng)絡(luò)布署，確保企業(yè)正常運行；?為出差人員提供IPSec或SSLVPN方法；?提供智能管理特征，支持瀏覽器圖形管理；?網(wǎng)絡(luò)設(shè)計便于升級，有利于投資保護(hù)。企業(yè)通常組網(wǎng)結(jié)構(gòu)以下圖，大企業(yè)網(wǎng)絡(luò)關(guān)鍵層通常采取冗余節(jié)點和冗余線路拓?fù)浣Y(jié)構(gòu)，小企業(yè)則單線路連接方法。經(jīng)過對通常企業(yè)信息化情況和網(wǎng)絡(luò)計劃要素進(jìn)行分析，從總體上看，計劃方案必需含有以下特點：?網(wǎng)絡(luò)管理簡單，采取基于易用瀏覽器方法，以直觀圖形化界面管理網(wǎng)絡(luò)。?用戶能夠采取多個廣域網(wǎng)連接方法，從而降低廣域網(wǎng)鏈路費用。?無線接入點覆蓋范圍廣、配置靈活，方便移動辦公。?便捷、簡單統(tǒng)一通信系統(tǒng)，輕松實現(xiàn)交互式工作環(huán)境。?帶寬壓縮技術(shù)，高級QoS應(yīng)用，有效降低廣域網(wǎng)鏈路流量。?伴隨企業(yè)業(yè)務(wù)發(fā)展，全部網(wǎng)絡(luò)設(shè)備均可在升級原有網(wǎng)絡(luò)后繼續(xù)使用，有效實現(xiàn)投資保護(hù)。?系統(tǒng)安全，保密性高，應(yīng)用了適合企業(yè)低成本網(wǎng)絡(luò)安全處理方案。

安全基礎(chǔ)網(wǎng)絡(luò)計劃方案依據(jù)對某集團實際調(diào)研，獲取了企業(yè)網(wǎng)絡(luò)需求，以此來制訂企業(yè)基礎(chǔ)網(wǎng)絡(luò)建設(shè)計劃方案和網(wǎng)絡(luò)設(shè)備選型參考；以下提供基礎(chǔ)版和企業(yè)版兩種計劃方案1）網(wǎng)絡(luò)需求：企業(yè)計劃網(wǎng)絡(luò)節(jié)點為500個，關(guān)鍵網(wǎng)絡(luò)需求首先是資源共享，網(wǎng)絡(luò)內(nèi)各個桌面用戶可共享文件服務(wù)器/數(shù)據(jù)庫、共享打印機，實現(xiàn)辦公自動化系統(tǒng)中各項功效；其次是通信服務(wù)，最終用戶經(jīng)過廣域網(wǎng)連接能夠收發(fā)電子郵件、實現(xiàn)Web應(yīng)用、接入互聯(lián)網(wǎng)、進(jìn)行安全廣域網(wǎng)訪問；還有就是企業(yè)門戶網(wǎng)站和網(wǎng)絡(luò)通信系統(tǒng)（企業(yè)郵箱、企業(yè)即時通信和企業(yè)短信平臺等）建立。2)基礎(chǔ)版計劃方案本方案適適用于200~300臺電腦聯(lián)網(wǎng)，關(guān)鍵采取H3CS5500-28C-SI或S5500-20TP-SI交換機，以千兆雙絞線/光纖和接入交換機及服務(wù)器連接；用戶接入H3CS3100-26TP-SI或S3100-52TP-SI交換機，千兆銅纜/光纖上連關(guān)鍵交換機。Internet出口采取H3CMSR20-1X多業(yè)務(wù)路由器作為Internet出口路由、SecpathF1000-C或UTM作為安全網(wǎng)關(guān)和移動用戶VPN接入網(wǎng)關(guān)。網(wǎng)絡(luò)拓?fù)鋱D以下：設(shè)備選型和布署參考以下：業(yè)務(wù)需求設(shè)備選型參考配置說明數(shù)量布署位置數(shù)據(jù)關(guān)鍵交換機H3CS5500-28C-SI或H3CS5500-20TP-SI全千兆三層關(guān)鍵1關(guān)鍵機房接入層交換機H3CS3100-26TP-SI或H3CS3100-52TP-SI接入層支持光電復(fù)用千兆上行，支持混合堆疊26TP：15臺52TP：8臺各樓層或機房路由器H3CMSR20-1x路由器轉(zhuǎn)發(fā)率160Kpps，256M內(nèi)存，支持GE/FE交換模塊，同異步串口模塊，E1/PRI模塊，語音模塊，加密模塊1~2關(guān)鍵機房安全防火墻H3CSecPathF1000-C或H3CSecPathU200支持應(yīng)用層報文過濾1關(guān)鍵機房VPN支持DVPN互聯(lián)網(wǎng)接入10M光纖接入電信10M光纖接入配靜態(tài)IP地址1~2關(guān)鍵機房方案特點：?高性價比：能夠讓中小企業(yè)低投資擁有高性能、經(jīng)濟網(wǎng)絡(luò)；?簡易性：結(jié)構(gòu)簡單、安裝快速、簡單，維護(hù)無需配置專職人員；?高性能：最低投資做到千兆骨干、百兆接入；?可擴展性：靈活網(wǎng)絡(luò)架構(gòu)，能依據(jù)用戶需要隨時擴展，并保護(hù)已經(jīng)有投資。3)高級版計劃方案：本方案適適用于500~800臺電腦聯(lián)網(wǎng)，三層網(wǎng)絡(luò)結(jié)構(gòu)，萬兆骨干，百兆接入；網(wǎng)絡(luò)關(guān)鍵層采取H3CS7500交換機，同時配置對應(yīng)數(shù)量千兆端口分別連接應(yīng)用服務(wù)器、接入交換機及其它設(shè)備；網(wǎng)絡(luò)匯聚層采取H3CS5500-28C-SI，獨有智能堆疊系統(tǒng)可實現(xiàn)高密度千兆端口接入，擁有96Gbps全雙工堆疊帶寬，消除網(wǎng)絡(luò)瓶頸，提供優(yōu)于傳統(tǒng)中繼聚合配置愈加好可用性和彈性；接入層可選擇H3CS3100-26TP-SI或S3100-52TP-SI交換機，千兆銅纜/光纖上連關(guān)鍵交換機，或H3CS5100-16/24/48P-SI全千兆交換機，千兆到桌面。網(wǎng)絡(luò)拓?fù)鋱D以下：設(shè)備選型和布署參考以下：業(yè)務(wù)需求設(shè)備選型參考配置說明數(shù)量布署位置數(shù)據(jù)關(guān)鍵交換機H3CS7500(E)系列關(guān)鍵支持雙引擎雙電源，性價比最高1關(guān)鍵機房匯聚層交換機H3CS5500-28C-SI匯聚支持全千兆高速轉(zhuǎn)發(fā)，消除網(wǎng)絡(luò)瓶頸，同時支持萬兆擴展3各樓層或機房接入層交換機H3CS3100-26/52TP-SI或

H3CS5100-16/24/48P-SI接入層依據(jù)不一樣業(yè)務(wù)需求提供百兆和千兆接入兩種選擇52TP：10臺各樓層或機房路由器H3CMSR50-06路由器H3C新一代安全路由器1~2關(guān)鍵機房安全防火墻H3CSecPathF1000-C支持應(yīng)用層報文過濾11VPN支持DVPN互聯(lián)網(wǎng)接入20M~50M光纖接入電信20M~50M光纖接入配靜態(tài)IP地址1~2關(guān)鍵機房方案特點：?高性能，全分布式交換網(wǎng)絡(luò)；?高可靠，無間斷通信環(huán)境；?靈活彈性網(wǎng)絡(luò)擴展能力；?高效率網(wǎng)絡(luò)帶寬利用率；?全方面QOS布署，多業(yè)務(wù)融合；?完善網(wǎng)絡(luò)安全策略，實現(xiàn)深度安全檢測，抵御未知風(fēng)險。

安全無線網(wǎng)絡(luò)計劃方案無線網(wǎng)絡(luò)布署，能夠增大職員接入網(wǎng)絡(luò)范圍，提供更大上網(wǎng)便利性--不管是在辦公室、會議室還是在空間復(fù)雜車間，職員全部能和網(wǎng)絡(luò)保持連接，隨時隨地訪問企業(yè)資源，而且能夠簡化場所網(wǎng)絡(luò)布線。安全無線網(wǎng)絡(luò)處理方案不僅能提升職員生產(chǎn)效率和協(xié)作能力，也能為合作伙伴/用戶提供方便上網(wǎng)服務(wù)。依據(jù)企業(yè)情況，能夠采取FATAP方案：1)無線網(wǎng)絡(luò)需求：能夠取得較高用戶接入速率，構(gòu)建便利移動辦公環(huán)境，實現(xiàn)企業(yè)移動網(wǎng)絡(luò)辦公，成本投入不高，適合簡單、小規(guī)模無線布署。2)計劃方案：采取WA1208E+iMC+CAMS進(jìn)行組網(wǎng)，配合CAMS實現(xiàn)802.1x認(rèn)證，能夠?qū)崿F(xiàn)基于時長、流量和包月計費；整網(wǎng)經(jīng)過iMC統(tǒng)一管理。網(wǎng)絡(luò)拓?fù)鋱D以下：設(shè)備選型和布署參考以下：業(yè)務(wù)需求設(shè)備選型參考配置說明數(shù)量布署位置無線無線接入WA1208E雙802.11g無線模塊8各樓層無線安全H3CCAMS滿足用戶管理、身份認(rèn)證、權(quán)限控制和計費要求1關(guān)鍵機房無線管理H3CiMC網(wǎng)管系統(tǒng)支持和HPOpenview、SNMPc等通用網(wǎng)管平臺集成1關(guān)鍵機房方案特點：?全方面支持802.11i安全機制、802.11eQoS機制、802.11fL2切換機制；?大范圍覆蓋：高接收靈敏度，達(dá)成-97dBm（一般AP-95dBm），確保更遠(yuǎn)覆蓋；?多VLAN支持：虛擬AP方法支持多VLAN，最多支持8個虛擬SSIDVLAN劃分，每個VLAN用戶能夠獨立認(rèn)證；?兼作網(wǎng)橋使用：WDS模式支持PTP、PTMP工作模式；支持連接速率鎖定、傳輸報文整合，提升傳輸效率；?負(fù)載均衡：支持基于用戶數(shù)負(fù)載均衡、基于流量負(fù)載均衡；?針對各類室外、特殊室內(nèi)應(yīng)用如倉庫等復(fù)雜環(huán)境，能夠提供專門型號。

廣域網(wǎng)互聯(lián)VPN計劃方案伴隨企業(yè)和企業(yè)不停擴張，企業(yè)分支機構(gòu)及用戶群分布日益分散，合作伙伴日益增多，越來越多現(xiàn)代企業(yè)迫切需要利用公共Internet資源來進(jìn)行促銷、銷售、售后服務(wù)、培訓(xùn)、合作及其它咨詢活動，這為VPN應(yīng)用奠定了寬廣市場。在VPN方法下，VPN用戶端和設(shè)置在內(nèi)部網(wǎng)絡(luò)邊界VPN網(wǎng)關(guān)使用隧道協(xié)議，利用Internet或公用網(wǎng)絡(luò)建立一條“隧道”作為傳輸通道，同時VPN連接采取身份認(rèn)證和數(shù)據(jù)加密等技術(shù)避免數(shù)據(jù)在傳輸過程中受到偵聽和篡改，從而確保數(shù)據(jù)完整性、機密性和正當(dāng)性。經(jīng)過VPN方法，企業(yè)能夠利用現(xiàn)有網(wǎng)絡(luò)資源實現(xiàn)遠(yuǎn)程用戶和分支機構(gòu)對內(nèi)部網(wǎng)絡(luò)資源訪問，不僅節(jié)省了大量資金，而且含有很高安全性。

另外，伴隨企業(yè)規(guī)模擴大，分散辦公也越來越普遍，怎樣實現(xiàn)小型分支、出差職員、合作伙伴遠(yuǎn)程網(wǎng)絡(luò)訪問也被越來越多企業(yè)關(guān)注。從成本、易用性、易管理等多方面綜合考慮，SSLVPN無疑是一個最適宜方案：只需要在總部布署一臺設(shè)備，成本更低，管理維護(hù)也很輕易；無需安裝用戶端、無需配置，登陸網(wǎng)頁就能使用。

1)網(wǎng)絡(luò)需求

1IPSecVPN和SSLVPN各有所長，功效互補，對企業(yè)來說全部是需要：IPSecVPN用于總部和中大型分支互連，SSLVPN用于為小型分支、合作伙伴、出差人員提供遠(yuǎn)程網(wǎng)絡(luò)訪問。但傳統(tǒng)方法下，企業(yè)總部需要采購兩臺設(shè)備來支持兩種VPN，不僅成本更高，而且可能存在VPN策略沖突，造成性能下降、管理困難。

2)計劃方案

融合VPN針對企業(yè)實際需要，一臺設(shè)備融合IPSec/SSL兩種VPN，只需布署在總部，既能夠用于為合作伙伴、出差人員提供遠(yuǎn)程網(wǎng)絡(luò)訪問，也能夠和分支機構(gòu)進(jìn)行IPSecVPN互連，幫助企業(yè)降低采購、布署、維護(hù)三方面成本。

VPN網(wǎng)關(guān)選擇方面，H3C防火墻、路由器全部能夠?qū)崿F(xiàn)融合VPN，提供給企業(yè)愈加靈活選擇。比如，假如企業(yè)很強調(diào)網(wǎng)絡(luò)安全、VPN性能，就選擇防火墻；假如企業(yè)更重視多業(yè)務(wù)處理能力，如IP語音通信、3G上網(wǎng)、無線接入等，推薦選擇路由器。

在總部局域網(wǎng)Internet邊界防火墻后面配置一臺或兩臺雙機熱備VPN網(wǎng)關(guān)，在分支機構(gòu)Internet邊界防火墻后面配置一臺VPN網(wǎng)關(guān)，由此兩端VPN網(wǎng)關(guān)建立IPSecVPN隧道，進(jìn)行數(shù)據(jù)封裝、加密和傳輸；另外，經(jīng)過總部VPN網(wǎng)關(guān)提供SSLVPN接入業(yè)務(wù)；在總部局域網(wǎng)數(shù)據(jù)中心布署H3CVPNManager組件，實現(xiàn)對VPN網(wǎng)關(guān)布署管理和監(jiān)控；在總部局域網(wǎng)內(nèi)部或Internet邊界布署H3CBIMS系統(tǒng)，實現(xiàn)對分支機構(gòu)VPN網(wǎng)關(guān)設(shè)備自動配置和策略布署。以下圖：

設(shè)備選型和布署參考以下：業(yè)務(wù)需求設(shè)備選型參考配置說明數(shù)量布署位置網(wǎng)絡(luò)互連VPN網(wǎng)關(guān)H3CSecPathF1000VPN網(wǎng)關(guān)H3CSecPathF100VPN網(wǎng)關(guān)或H3CMSR50路由器H3CMSR20-1X路由器總部和大型機構(gòu)配置F1000型號中小型機構(gòu)配置F100型號總部1臺分支機構(gòu)按需求配置關(guān)鍵機房網(wǎng)絡(luò)管理H3CVPNManagerH3CBIMS幫助用戶布署、管理VPN網(wǎng)絡(luò)1關(guān)鍵機房假如省內(nèi)分支機構(gòu)較多、較分散，但對速率要求不高連鎖型單位，也能夠選擇電信或ISP商VPDN服務(wù)；假如多個分支機構(gòu)間有多點對多點通信需求企業(yè)、商業(yè)機構(gòu)，也能夠直接選擇電信或ISP商MPLSVPN服務(wù)。

網(wǎng)絡(luò)性能指標(biāo)要求類型帶寬要求線路質(zhì)量要求局域網(wǎng)用戶端到服務(wù)器：10Mb以上，推薦100Mb各服務(wù)器之間：200M以上，推薦1000Mb丟包率小于0.1%延遲小于20ms廣域網(wǎng)分支機構(gòu)帶寬：每用戶端128Kb總部出口帶寬：(最大并發(fā)數(shù)/3)×128Kb總部服務(wù)器之間：200M以上，推薦1000Mb丟包率小于2%延遲小于50ms

網(wǎng)絡(luò)安全計劃網(wǎng)絡(luò)安全是整個系統(tǒng)安全運行基礎(chǔ)，是確保系統(tǒng)安全運行關(guān)鍵。網(wǎng)絡(luò)系統(tǒng)安全需求包含以下多個方面：?網(wǎng)絡(luò)邊界安全需求?入侵監(jiān)測和實時監(jiān)控需求?安全事件響應(yīng)和處理需求分析這些需求在各個應(yīng)用系統(tǒng)上不一樣組合就要求把網(wǎng)絡(luò)分成不一樣安全層次。我們針對企業(yè)網(wǎng)絡(luò)層安全策略采取硬件保護(hù)和軟件保護(hù)，靜態(tài)防護(hù)和動態(tài)防護(hù)相結(jié)合，由外向內(nèi)多級防護(hù)總體策略。依據(jù)安全需求和應(yīng)用系統(tǒng)目標(biāo)，整個網(wǎng)絡(luò)可劃分為六個不一樣安全層次。具體是：?

關(guān)鍵層：關(guān)鍵數(shù)據(jù)庫；?

安全層：應(yīng)用信息系統(tǒng)中間件服務(wù)器等應(yīng)用；?

基礎(chǔ)安全層：內(nèi)部局域網(wǎng)用戶；?

可信任層：企業(yè)本部和營業(yè)部網(wǎng)絡(luò)訪問接口；?

危險層：Internet。信息系統(tǒng)各安全域中安全需求和安全等級不一樣，網(wǎng)絡(luò)層安全關(guān)鍵是在各安全區(qū)域間建立有效安全控制方法，使網(wǎng)間訪問含有可控性。具體安全策略以下：關(guān)鍵數(shù)據(jù)庫采取物理隔離策略應(yīng)用系統(tǒng)采取分層架構(gòu)方法，用戶端只需要訪問中間件服務(wù)器即可進(jìn)行日常業(yè)務(wù)處理，從物理上不能直接訪問數(shù)據(jù)庫服務(wù)器，保障了關(guān)鍵層數(shù)據(jù)高度安全。應(yīng)用系統(tǒng)中間件服務(wù)器采取綜合安全策略：應(yīng)用系統(tǒng)中間件安全隱患關(guān)鍵來自局域網(wǎng)內(nèi)部，為了保障應(yīng)用系統(tǒng)中間件服務(wù)安全，在局域網(wǎng)中可經(jīng)過劃分虛擬子網(wǎng)對各安全區(qū)域、用戶和安全域間實施安全隔離，提供子網(wǎng)間訪問控制能力。同時，中間件服務(wù)器本身能夠經(jīng)過配置對應(yīng)安全策略，限定經(jīng)過授權(quán)工作站、用戶方能訪問系統(tǒng)服務(wù)，保障了中間件服務(wù)器安全性；內(nèi)部局域網(wǎng)采取信息安全策略：企業(yè)本部及營業(yè)部內(nèi)部局域網(wǎng)處于基礎(chǔ)安全層網(wǎng)絡(luò)，關(guān)鍵是對于安全防護(hù)能力較弱終端用戶在使用，所以考慮關(guān)鍵在于兩個方面，一個是用戶端病毒防護(hù)，另一個是預(yù)防內(nèi)部敏感信息對外泄露。所以，經(jīng)過選擇網(wǎng)絡(luò)殺毒軟件達(dá)成內(nèi)部局域網(wǎng)病毒防護(hù)，同時，使用專用網(wǎng)絡(luò)安全設(shè)備（如硬件防火墻）建立起有效安全防護(hù)，經(jīng)過訪問控制ACL等安全策略配置，有效地控制內(nèi)部終端用戶和外部網(wǎng)絡(luò)信息交換，實現(xiàn)內(nèi)部局域網(wǎng)信息安全。企業(yè)本部和下屬機構(gòu)之間網(wǎng)絡(luò)接口采取通訊安全策略：處于可信任層網(wǎng)絡(luò)，其安全關(guān)鍵考慮各下屬單位上傳業(yè)務(wù)數(shù)據(jù)保密安全，所以，可采取數(shù)據(jù)層加密方法，經(jīng)過硬件防火墻提供VPN隧道進(jìn)行加密，實現(xiàn)關(guān)鍵敏感性信息在廣域網(wǎng)通信信道上安全傳輸。Internet采取通訊加密策略：Internet屬于非安全層和危險層，因為Internet存在著大量惡意攻擊，所以考慮關(guān)鍵是要避免涉密信息在該層次中流動。經(jīng)過硬件防火墻提供專業(yè)網(wǎng)絡(luò)防護(hù)能力，并對全部訪問請求進(jìn)行嚴(yán)格控制，對全部數(shù)據(jù)通訊進(jìn)行加密后傳輸。同時，提議設(shè)置嚴(yán)格機房管理制度，嚴(yán)禁非授權(quán)人員進(jìn)入機房，也能夠深入提升整個網(wǎng)絡(luò)系統(tǒng)安全。1)廣域網(wǎng)安全計劃企業(yè)廣域網(wǎng)安全，關(guān)鍵是經(jīng)過防火墻和VPN等設(shè)備或技術(shù)來保障。防火墻對流經(jīng)它網(wǎng)絡(luò)通信進(jìn)行掃描，能夠過濾掉部分攻擊，防火墻還能夠關(guān)閉不使用端口，防火墻含有很好保護(hù)作用，入侵者必需首先穿越防火墻安全防線，才能接觸目標(biāo)計算機，所以出于安全考慮，企業(yè)必需購置防火墻以確保其服務(wù)器安全，將應(yīng)用系統(tǒng)服務(wù)器放置在防火墻內(nèi)部專門區(qū)域。通常硬件防火墻比軟件防火墻性能愈加好，提議選擇企業(yè)級硬件防火墻，硬件防火墻市場著名度高品牌有CISCO、CheckPoint、Juniper、H3C、天融信、華為賽門鐵克、聯(lián)想網(wǎng)御等，用戶應(yīng)依據(jù)應(yīng)用情況選擇適宜防火墻。VPN即