項(xiàng)目背景

 福建廈門ASP研究中心創(chuàng)立于2002年4月，以廈華電子的制造業(yè)信息化應(yīng)用經(jīng)驗(yàn)為依托，是集信息化咨詢、方案設(shè)計(jì)、軟件研發(fā)、軟件服務(wù)為一體的高新技術(shù)企業(yè)。國家863計(jì)劃課題—現(xiàn)代集成制造系統(tǒng)技術(shù)主題研究單位，也是福建省科技廳認(rèn)定的“省科技重大專項(xiàng)實(shí)施單位”，承擔(dān)著省科技廳的重大科技專項(xiàng)，即面向中小企業(yè)制造業(yè)信息化的ASP應(yīng)用研究（供應(yīng)鏈軟件研發(fā)及ASP應(yīng)用支持等），以及廈門市科技局廈門市中小企業(yè)信息化工程技術(shù)研究中心依托單位。

需求概述

企業(yè)內(nèi)部原先的Cisco PIX525防火墻已無法滿足當(dāng)前的網(wǎng)絡(luò)應(yīng)用需求；

新增加的聯(lián)通互聯(lián)網(wǎng)出口，需通過多端口防火墻實(shí)現(xiàn)智能選路；

要組建企業(yè)IPsec VPN專網(wǎng)，以滿足目前近100個(gè)企業(yè)門店遠(yuǎn)程安全接入需求；

要使遠(yuǎn)程接入用戶訪問應(yīng)用服務(wù)器權(quán)限的不同劃分；

內(nèi)部辦公網(wǎng)可隨意訪問數(shù)據(jù)中心服務(wù)器，需實(shí)現(xiàn)多個(gè)不同網(wǎng)段間的邏輯隔離；

漢柏解決方案

 漢柏通過對(duì)廈門ASP研究中心的網(wǎng)絡(luò)及應(yīng)用需求的深入挖掘與分析，利用漢柏自主研發(fā)的PA-5500-F20高性能千兆防火墻及PT-3560三層智能網(wǎng)管交換機(jī)替換網(wǎng)絡(luò)中原有的Cisco PIX 525及華為1016二層交換機(jī)。

 漢柏PA-5500-F20防火墻具有訪問控制功能、VPN接入功能及智能雙出口路由選擇功能，能良好的滿足廈門ASP研究中心此次項(xiàng)目對(duì)多出口、邊界安全及VPN組建的多種需求，而PT-3560交換機(jī)更是支持多種方式的VLAN劃分方式及基于硬件的訪問控制功能，充分地滿足了內(nèi)網(wǎng)多網(wǎng)段之間的邏輯隔離要求。

應(yīng)用拓?fù)鋱D如下：

實(shí)施效果

實(shí)現(xiàn)雙出口流量負(fù)載分擔(dān)

 漢柏PA-5500-F20防火墻主要應(yīng)用于廈門ASP研究中心的信息平臺(tái)的互聯(lián)網(wǎng)邊界，WAN口分別接電信、聯(lián)通的廣域網(wǎng)出口，通過漢柏防火墻優(yōu)秀的負(fù)載均衡技術(shù)實(shí)現(xiàn)了流量分擔(dān)。

有效抵御互聯(lián)網(wǎng)惡意攻擊

 利用漢柏PA-5500-F20防火墻先進(jìn)的技術(shù)架構(gòu)，不僅提供全面的地址轉(zhuǎn)換、MAC地址綁定、訪問控制策略、安全域劃分、身份認(rèn)證等邊界防護(hù)功能，還能夠抵御包括Ping-of-Death、Ping-Flooding、TearDrop、UDP-Flooding、SYN-Flooding、KillWin、WinNuke、LAND IGMP2、IP碎片、源路由、端口掃描 、IP-Spoofing等幾十種常見攻擊。并且通過防火墻強(qiáng)大的訪問控制有效地抵御來自互聯(lián)網(wǎng)的攻擊行為，大大降低了廈門ASP研究中心近15臺(tái)業(yè)務(wù)ASP/SAP平臺(tái)前置、ASP/SAP中間件服務(wù)器、ASP/SAP平臺(tái)數(shù)據(jù)庫服務(wù)器、中小企業(yè)CRM系統(tǒng)的安全風(fēng)險(xiǎn)。

構(gòu)建企業(yè)虛擬專用網(wǎng)（VPN）

 漢柏PA-5500-F20防火墻自帶VPN功能為企業(yè)提供PPTP/L2TP、IPsec等多種VPN組網(wǎng)模式，此次項(xiàng)目中應(yīng)用IPsec及PPTP混合組網(wǎng)方式，同時(shí)，在PA-5500-F20上建立近100個(gè)IPsec VPN客戶端，實(shí)現(xiàn)各門店、移動(dòng)辦公用戶安全訪問ASP/SAP信息平臺(tái)時(shí)傳輸數(shù)據(jù)的隧道加密，確保企業(yè)應(yīng)用數(shù)據(jù)交互傳輸?shù)臄?shù)據(jù)完整性及高安全性。

服務(wù)器管理實(shí)現(xiàn)了“三權(quán)分立”

 通過漢柏PA-5500-F20防火墻基于組策略的訪問控制，實(shí)現(xiàn)4組VPN權(quán)限組，100個(gè)用戶可根據(jù)不同的業(yè)務(wù)應(yīng)用加入不同的VPN組策略，從而實(shí)現(xiàn)服務(wù)器的訪問、管理、維護(hù)權(quán)限分離，以實(shí)現(xiàn)服務(wù)器管理的“三權(quán)分立”。
內(nèi)、外網(wǎng)邏輯隔離

漢柏PT-3560智能三層交換機(jī)用于接入ASP應(yīng)用服務(wù)器及SAP數(shù)據(jù)庫、內(nèi)部辦公網(wǎng)用戶，PT-3560通過VLAN劃分，并啟用ACL功能，實(shí)現(xiàn)管理主機(jī)可服務(wù)器的維護(hù)，而內(nèi)部辦公網(wǎng)用戶無法訪問應(yīng)用服務(wù)器，使辦公網(wǎng)與數(shù)據(jù)中心網(wǎng)絡(luò)邏輯隔離，辦公網(wǎng)的維護(hù)人員又能夠進(jìn)行服務(wù)器的維護(hù)，以此提高運(yùn)營維護(hù)的便捷性及高可控、高安全性。