上海某食品有限公司安全网络解决方案

  • 分享到微博
  • 分享到腾讯
  • Share on Twitter

用户背景

上海某食品创立自1999年,成立以来,始终致力于休闲食品的生活化,公司确立了“立足于上海,着手于全国,放眼于世界”的发展战略梯度,采用了世界先进的“直营连锁专卖店”的发展模式进行市场开拓,足迹遍布上海、苏州、南京、南通等地区,目前已有连锁专卖店近600家。

该品牌主要经营休闲食品开发和销售。种类齐全、口味出众、老少皆宜。成立至今,先后荣获“上海市著名商标”、“中国休闲食品知名品牌”、“2007最具影响力特许品牌”等多种奖项。

为更好地发扬品牌,公司斥资引进先进的管理系统,建立功能强大的物流配送中心和管理中心,并在各大门店成功铺设ERP系统,公司的各项软、硬件设施得以同步提升,管理体系日趋完善。

品牌销售网络逐步扩大,预计到2010年,将达到3000家连锁门店的经营目标。

该休闲食品品牌也正被越来越多的人们所接受和喜爱。我们的目标是打造出中国休闲食品第一零售品牌。

        2007年3月该品牌被上海连锁协会评为2007最具影响力特许品牌

        2007年1月该品牌被评为上海市著名商标

用户需求

上海某食品有限公司的销售网络已遍及全国各省、市、自治区、直辖市,将逐步形成全国范围覆盖的下一级的销售点,为了实现总部与各销售点以及在外的业务员的同步数据、语音、mail等业务需求需建立遍布全国的VPN网络,由于数据、语音等业务的实时性,所以要保证VPN网络的稳定性和冗余性,时刻保证各分公司与销售点的数据能及时、有效、安全的传回总公司的服务器和与总公司之间的交流。

如下是该食品有限公司网络总体构架图:

首先上海总公司是以专线作为链路,各销售点是以电信ADSL做为接入,各销售点大致的PC在1到3台需要直接通过VPN连接到上海总公司的服务器。

其次是各销售点的上网业务的限制,要保证各销售点的网络安全,上网权限的控制,上网业务的带宽管理和优先级管理等。

第三是各销售点的设备的可控性和设备管理的便捷性,要求能够达到对各个点的设备的统一集中管理以及管理维护的便捷和低成本的特性。要能够实现各条链路的流量/性能监控和管理,支持远程的多性能二层和三层的配置,同时要提供各个设备的告警和时间管理以及记录。

再次就是针对在外的移动人员,包括临时的固网、GPRS、CDMA无线上网等,实现信息和内部资讯的共享。

解决方案

该食品上海总部采用ZyWALL 1050高性能的VPN防火墙做为出口接入设备,ZyWALL 1050丰富的接口功能可以很好的支持高达48个WAN连接,这些WAN连接可以配置在单个物理端口上或者多个物理端口之上。多个WAN连接支持自动故障排除和故障后恢复,充分优化,利用网络带宽,并确保企业实时在线。

该食品采用电信网通双线路接入,这样在保证高带宽的同时保证了线路的备份冗余,摆脱了依赖一家ISP的局面。多WAN口具备负载均衡功能,支持Lease Load First, Weighted Round Robin和Spillover三种算法,充分利用现有的外线多条出口线路。ZyWALL 1050支持第二个远程VPN网关,当第一个远程VPN网关不可达时,ZyWALL 1050会启用第二个VPN网关进行连接。并具备网关状况侦测功能,在第一个网关故障排除后,可以设定自动回复到使用第一个远程VPN网关。此外,ZyWALL 1050的硬件HA支持双机热备份,确保万无一失。

在安全性上ZyWALL 1050除业界领先的SPI防火墙技术外,ZyWALL 1050入侵检测,内容过滤及应用控制功能更很好的保护内网的安全,同时这些技术都可以叠加在DMZ区域,确保了DMZ区域的安全性,不是单纯的把DMZ暴露在公网上面。防火墙可以根据数据的流向来加载,即使从内网到VPN线路里的安全都可以做到很好的应用,即使分店或是数据中心的电脑中了病毒也不能通过VPN来传播,或反之总部内网里的病毒也不能传播到数据中心或是分店的电脑上,更好的保护了电脑的安全使用,最大限度的减少了电脑因病毒危害所造成的损失和庞大的维护系统难度。

为保证VPN的连接数量,ZyWALL 1050支持桥模式接入VPN,同时支持VPN穿透(NATT),这样我们就可以无限制的向下加VPN防火墙,来扩大VPN的连接数量,同时也更为安全,因为这样相当于把VPN的链路分区管理了,不至于一台设备宕机导致整个VPN全部的失效的后果。

对于内网和DMZ区域之间的访问安全问题ZyWALL 1050灵活的防火墙机制可以很好的控制内网外网VPN网对DMZ区域的服务器访问的权限,更好的保护信息安全,因为DMZ区域和内网区域是一个平级关系,所以相对都有独立的防火墙机制,可以针对用户的要求做各种访问的规则策略,同时各自不会影响到其他的网络的应用。对于ZyWALL 1050防火墙可以做在每个接口上面,即使不同的网段或是VLAN或是包括到无线模块的策略都可以单独的去根据自己的需求配设。

在本方案中蓝线部分表示VPN的备援线路,我们考虑到的几个方面问题。首先,假设当上海总部的VPN设备宕机,另外一台热备VPN设备会马上取代宕掉的设备,VPN链路在零切换状态就被另外一台设备所取代。第二是ISP,假设从地区数据中心到上海总部的线路因为ISP或是路途中野蛮施工造成线路中断,VPN的备援线路会马上切换起来工作代替主线路,充分的保障了大量的数据不间断的和总部通讯。第三,是各区域数据中心的设备一旦发生宕机的事故,各销售点马上会起用备援线路联到临近的数据中心的设备,以保证和总部的数据通讯,这时无形中就相当与各区域数据中心的设备相互之间也是热备的关系。同时假设数据中心到下面销售点的VPN因为ISP而导致某些VPN线路失效,同时备援线路一样也可以联到相关的设备上面以保证数据的正常传输。

结合CNM的中央控管系统,可以把所有从中心到个数据中心再到门店的设备统一的管理起来,CNM的分组分权限管理功能可以有效的分配人力和管理上的分配。利用最有效的人力资源解决和维护全国的所有网络设备。

同时ZyWALL 1050的VPN可以根据策略把南北方的主负线路分开来,既南方的以电信的交换速度快就用电信的线路做VPN的主线路,北方的线路以网通线路为主就用网通的线路做VPN的主线路,不但能分布掉单一线路的压力更有效的利用了同一个ISP的交换速度,确保网络的高效性和高可用性,对于内网上网用户可以根据ZyWALL 1050的先进算法机制自动的区分和分担来自外来用户对DMZ区域服务器的访问!同时为了保证移动外出用户结合软件的VPN机制配合ZyWALL 1050来解决移动用户的访问需求,对于领导来说有时可能需要在家里或其他的地方来安全有效的掌握公司里的数据动态,可以利用ZyWALL P1的掌上型VPN防火墙来实现对内网的数据的安全访问,同时高效的防火墙也能保护个人电脑的安全,不依赖个人电脑,只要有P1就可以利用任何一台电脑和网络来实现对数据的访问要求。

带宽管理功能,可以分用户分组的对IP或对某个程序的应用来进行禁止或限速,对BT、P2P软件和MSN、IM等软件的很好控制,能有效的管理员工电脑,更合理跟安全的利用公司的有限网络资源。

ZyWALL 1050同时对未来的扩展有了很好的应用,标准的PCMCIA卡插槽支持未来的3G网络卡或是其他的应用功能卡,USB接口支持U盘或是USB移动硬盘对LOG记录或是其他的数据进行备份,2.5寸的硬盘仓支持未来的病毒特征码和LOG记录的支持和多配置文件的保存,随时可以利用任何一个版本的配置文件,对病毒特征码的扩充基本达到无限量,对新老病毒的防范将更加强大,终身提供的免费软体升级很好的解决了新功能的扩展应用和保护公司的投资。

合勤的ZyWALL系列产品在某个网络被受到攻击的时候能够自动的向指定的网管人员的电脑发送MASSAGE消息,及时的告诉网管人员采取措施!更为安全有效的保护网络的安全高效的运作。

综上所述,合勤的全网解决方案不仅能高效安全的解决了VPN的问题,同时对VPN的管理,设备的维护,紧急情况的备援方案,线路的负载,未来的功能升级保护投资都做到了完好的解决,站在客户的角度真正解决了目前捆饶企业的网络问题。全网解决方案提供了更为合理和有效的保护机制,设备的上下联动机制解决了大面积维护所带来的捆饶和资金、人力的浪费。

用户点评

上海某食品有限公司:“我们在前期选型时也考虑过其他品牌设备,但是在整个测试完后合勤的产品给我留下了很深的印象。合勤科技CNM中央管理系统大大降低了我们网络安装,维护的负担,帮助我们轻松地,按时完成全网部署。我们对合勤的完整解决方案非常满意。期待与合勤科技的再次合作。

回到成功案例