构建安全数据传输环境

――鑫华溢印刷公司虚拟专用网（VPN）

解 

决 

方 

案

深圳赛佛莱特科技有限公司

ShenZhen SafeNet Technology Co., Ltd

二OO六年八月

目      录

1、深圳赛佛莱特科技有限公司简介.. 2

2、深圳鑫华溢印务有限公司网络现状.. 3

2.1网络现状.. 3

2.2 客户需求.. 3

2.3客户需求分析.. 3

3、深圳鑫华溢印务有限公司解决方案.. 4

3.1方案设计要点.. 4

3.2设备需求.. 5

3.3网络拓扑结构.. 6

3.4方案说明.. 6

3.5方案可行性验证.. 7

3.6 CheckPoint Safe@Office 500介绍.. 8

4、产品报价及售后服务.. 10

4.1 产品报价.. 10

4.2售后服务.. 10

1、深圳赛佛莱特科技有限公司简介

深圳赛佛莱特科技有限公司（SafeNet Technology CO.,Ltd）是一家致力于网络及信息安全领域技术服务、解决方案提供、信息咨询的专业型科技公司。公司以世界范围内技术领先的网络安全产品及开发商强大的研发能力和技术实力为后盾；以专业、资深的网络安全领域技术人才为支撑；以市场及客户需求为目标，全方位为客户提供专业的网络安全综合解决方案、网络安全技术及信息咨询服务。

   公司一直保持着与多家世界知名安全产品开发商的合作伙伴关系，实时掌握世界范围内网络安全领域发展的最新动向，为客户提供最新、最具价值的信息资讯及技术服务。合作伙伴包括（排名不分先后）：

公司的业务范围

Ø       网络安全产品解决方案（防火墙、入侵检测/防御、企业级反病毒、反垃圾邮件系统、邮件监控及备份系统、VPN解决方案、企业上网控制及监控系统、安全审计及防信息泄露、桌面安全管理等）

Ø       网络安全整体解决方案（根据客户实际环境，提供完整，全面的网络安全整体解决方案）

Ø       网络安全服务及咨询（安全培训、安全顾问、风险评估、安全巡检、安全加固、应     急响应、安全外包）

公司愿景：用我们专业的技术与服务打造企业网络的安全与稳定。

公司使命：以让客户实现在稳定安全的网络中轻松自如的工作为己任，提供最佳的网络安全解决方案和服务，尽心满足客户需求，持续为客户创造最大的价值。

服务宗旨：专业、专注、用心、热情地为客户提供最为专业的服务。

2、深圳鑫华溢印务有限公司网络现状

2.1网络现状

目前鑫华溢印务有限公司总部设在深圳南油，在全国范围内有四个分支机构，分别为北京、上海、成都、宝安。目前五处机构均采用ADSL线路（上行512Kbps，下行2Mbps）接入互联网，深圳总部上网电脑数量在25台左右，其他分支机构目前上网机器数量在3台以内。在深圳总部建立了CRM系统，该系统采用C/S架构，用以支撑整个公司的业务运作及客户资源信息的管理。

2.2 客户需求

由于业务发展需要，现要将分布在全国各地的分支机构通过安全的方式互联，用以共享总部的CRM系统，实现全国各地的客户信息资源共享与集中管理，并且保证CRM系统的安全性，避免数据在传输过程中被非法截获、篡改或破坏，同时保证CRM服务器的安全，防止来自互联网的恶意攻击及破坏，给企业造成重大的损失。   

2.3客户需求分析

根据目前鑫华溢印务有限公司这一具体的网络现状及需求，深圳市赛佛莱特科技有限公司对客户的实际情况进行了全面的分析，分析结果如下：

Ø       分布在全国的分支机构（北京、上海、成都、宝安）与深圳总部之间采用VPN隧道的方式进行数据传输，用以保证业务数据在传输过程中不被非法的截获及篡改。

Ø       由于深圳总部采用的是ADSL接入，上行速率为512Kbps，下行为2Mbps。对于总部的CRM服务器来说，将数据传输给分支机构是占用ADSL线路的上行带宽（数据传出），那么512Kbps的速率每秒最多只能传输64KB的数据量（512/8），这样的带宽是无法支撑该业务运作系统的，因为在总部的CRM系统中存在有几万条的记录，分支机构每次查询需要返回的数据记录量大概在100-1000条之间，所以必须考虑使用更高带宽的线路接入或用多条ADSL接入方可支撑起基于Internet的应用。

Ø       专线接入（如DDN,SDH）有非常高的稳定性和上下行对称的传输速率，适合企业提供网络服务，但是由于其昂贵的价格（每月至少数千元月租）将造成企业成本大大增加。所以解决方案必须在稳定性、带宽与价格之间找到适合企业现状的平衡点。

Ø       由于CRM系统要通过Internet实现VPN隧道，那么将会遭受来自互联网的各种恶意攻击或病毒感染后发出的攻击数据包的威胁，那么必须保证CRM服务器系统的安全，避免因攻击受到破坏或损失。

3、深圳鑫华溢印务有限公司解决方案

3.1方案设计要点

本方案设计主要从以下出发点考虑：

Ø       为了解决一条ADSL线路上行带宽不足，可能造成业务系统网络传输缓慢的问题，建议用户另行申请一条ADSL线路，采用双ADSL线路实现VPN功能，每条线路只接入两个分支机构的VPN联入请求，比如ADSL线路A让北京和上海接入，ADSL线路B让成都与宝安接入。这样可有效降低企业线路成本。新增一条ADSL线路包年深圳为3900元RMB，而一年的ADSL线路费用远低于采用2M光纤或DDN线路一个月的月租费用。从而大大降低企业成本。

Ø       保护企业的内部网络资源不受到外界的恶意攻击，通过硬件防火墙的安全防范功能，对外界攻击与病毒攻击进行阻拦。保证CRM服务器及总部内网的网络安全。

Ø       在实现VPN进行数据安全传输的基础上，对远程VPN用户接入权限进行有效控制，只允许远程VPN用户访问深圳总部的某些特定资源，比如只允许访问CRM服务器，有效防止因其他分支机构电脑中病毒或后门后通过VPN隧道对深圳总部内部网络进行非授权访问、渗透攻击或发出恶意攻击数据包。

3.2设备需求

      本方案需要用到如下安全设备：

3.3网络拓扑结构

改造后的网络拓扑图如下（局部）：

3.4 方案说明

      （１）、由于一条ADSL的上行带宽太低，无法满足企业的数据传输要求，但换用高带宽的专线（如：DDN，SDH）虽然稳定性会高很多，但是每个月企业将要付出昂贵的月租。所以方案采用增加一条ADSL线路的做法，每条ADSL线路承担两个分支机构的VPN拨入请求。

      （２）、VPN硬件设备采用世界知名的CheckPoint公司出品的Safe@Office-500无限制用户版本，每台设备同时允许最多25个远程用户接入，两台总共允许50个移动客户端同时拨入，而目前4个分支机构总共才12人以下需要通过VPN方式拨入，因此本方案为企业预留了一定的发展空间。

（３）、北京及上海两个分支机构的用户通过CheckPoint防火墙配套的远程VPN客户端软件联接至深圳总部的第一台VPN设备（配合设备内置的DDNS动态域名解析技术），成都及宝安两个分支机构则联至第二台VPN设备，用以实现内部CRM资源的共享。

（４）、除了实现VPN功能外，Safe@Office设备还将为企业内部网络提供强大的安全保障，除可以有效防止来自互联网的黑客攻击及病毒攻击外，还可以防范内部网络由内向外发出的攻击数据包，保证网络的稳定与畅通。同时该设备还提供更多企业所必须的安全防范能力，如内容过滤，邮件病毒过滤，WEB病毒扫描、抗拒绝服务攻击等一系列安全能力。

（５）、采用该方案不需要在各分支机构安装硬件设备，各分支无需进行任何投资，只要简单地下载安装远程客户端软件即可安全地与总部以VPN隧道的方式联接。保证数据传输的安全性。

3.5  方案可行性验证

      为了保证方案设计的正确性，我们在设计本方案前考虑过多种方案，分析每种方案的优缺点及可实施性，最终确定本解决方案提供给用户，在确认本方案可行性时，我们与产品厂家做过模拟环境测试，在如下网络环境中测试设计可行性：

通过一台Safe@Office设备做为VPN服务器（局域网A），另一台Safe@Office设备模拟ADSL路由器共享上网（局域网B），在局域网B内的两台计算机中安装远程VPN移动客户端软件，与局域网A中的Safe@Office设备建立VPN隧道，以验证同一个IP地址出去是否可以同时建立多个VPN隧道（ADSL是多人共享一个公网IP地址上网），经过测试表明，局域网B中的两台计算机均可以正常建立VPN隧道，并且正常访问局域A中的测试服务器提供的服务（WEB,FTP，EMAIL等）。

3.6  CheckPoint Safe@Office 500介绍

check Point 软件技术有限公司(www.checkpoint.com)是全球首屈一指的互联网安全解决方案供应商，在全球VPN及防火墙市场上居于领导地位。财富500强、全球500强企业中有98%的公司使用Check Point的安全解决方案。

Safe@Office TM是Check Point 软件技术有限公司推出的一款集防火墙、防毒墙、反垃圾、内容过滤和VPN等多功能为一体的网络安全硬件产品，即UTM （一体化威胁管理）产品，实现全面防护网络。

Checkpoint Safe@OfficeTM特点

Ø       经过实践考验的互联网安全技术统一威胁管理设备

一站式解决方案 保护您的网络 满足您所有的网络安全需求

Ø       工业级安全性防火墙

市场领先的包状态监测防火墙和入侵防护技术----正在为财富500中97％的企业保驾护航的公认技术

Ø       抗病毒网关

预先阻止病毒、蠕虫以及“网络钓鱼”对您的网络破坏

Ø       远程接入虚拟专用网络（VPN）

放心的连接远程接入计算机和在外的员工通讯，最大限度的发挥办公效率

Ø       网页过滤

限制访问不适宜的互联网内容

Ø       基于万维网的网络管理 

向导用户界面，可以预先设置安全规则，让您全身心的投入到公司的运营中

Ø       自动升级

杀毒软件和病毒定义码定期自动升级，确保您的电脑远离最新出现的网络威胁

Safe@OfficeTM可以做什么？

Ø       抵御网络攻击

Ø       阻止非法入侵

Ø       防止病毒感染和扩散

Ø       垃圾邮件过滤

Ø       建立安全的通信隧道(VPN)

谁需要Safe@Office 500 TM ？

Ø       凡与外界联系或内部分布式通讯的企事业单位的局域网（包括个人计算机）都有网络安全隐患，都需要Safe@Office TM的保护。

Ø       被网络漏洞型病毒、浏览网页、下载文件及电子邮件中病毒攻击的网络计算机

Ø       被黑客、木马攻击的网络计算机

Ø       被垃圾邮件和邮件中继侵扰而不堪重负的邮件服务器

Ø       被网络黑客截取、篡改的企业重要商务数据

Safe@Office TM 产品优势

Ø       功能多合一，是UTM （一体化威胁管理）硬件产品，实现全面安全防护

Ø       全面强大的反病毒能力：支持多种协议、深度查杀压缩文件病毒、有效防堵间谍软件

Ø       安全可靠的防火墙功能（防DDOS攻击超过同类型产品）

Ø       智能适时的反垃圾邮件（内容过滤）

Ø       自有操作系统平台，安全性更高

Ø       支持voIP通讯和IPsec VPN通讯

Ø       全中文WEB管理界面，操作简单，系统运行维护更加方便、快捷

Ø       高性价比

典型应用：

4、产品报价及售后服务

4.1  产品报价

注意：

Ø       以上报价为已含税报价。

Ø       免费提供一年的反病毒特征库、入侵检测特征库及内容过滤特征库升级服务。

4.2  售后服务

1、 产品自销售之日起享有一年的免费硬件保修服务（仅硬件产品）。

2、 及时通知最新信息；免费提供一年电话技术支持及远程技术支持；

3、 为用户提供一次现场安装、调试服务，并提供安装时的现场简单培训，也可以提供专门的产品和技术培训；

4、 若产品出现故障，我们将及时作出回应，通过电话或远程技术支持等方式为客户提供技术支持，协助客户排除故障。

5、 提供每周5天、每天8小时的及时响应服务，方便客户与我们联系。 服务工程师将严格按照符合国际质量标准的客户服务规范为客户服务；