论文部分内容阅读
三一重工以长沙总部为中心,在全国以及国外多处都设有研究院、工厂、办事处等分支机构。目前,机构和总部之间已建立了安全的VPN通道。近期,三一重工将在上海设立一家控股股份有限公司,大约有PC百余台,与三一重工上海研究院在同一处办公。这就对公司网络控制提出了非常严格的要求,不仅要保证用户使用互联网的安全,而且也有与总部VPN连接的需要。同时,还要能确保安全系统不对网络性能造成明显影响。
三段划分 管控网络
控股公司内部现有三台服务器,其中两台(邮件服务器、网络)需对外服务,另外一台为PDM系统服务器,需要与总部PDM服务器通过VPN进行同步。内部网络因安全级别不同,通过一个三层交换机划分VLAN网段,分成设计部、财务部和普通用户三个不用的网段。网段之间的用户不能相互访问,不同网段的用户对互联网的访问权限也是不同的。例如,考虑设计部资料的安全性,设计部不允许访问互联网;财务部的数据库需要通过VPN与总部的财务系统保持同步,另外财务部需要访问网上银行,因此需要开通其访问互联网;普通用户需要根据实际情况开启其访问Internet的权限。除此以外,针对公司所有员工的互联网访问、流量数据都必须要有非常详细直观的日志报告。同时,安全系统不对网络性能造成明显的影响,要保持网络良好的稳定性。
新增模块 固化安全
在安全如临大敌的现状中,公司考虑在原有系统中添设防火墙模块,以实现基于网络协议、网络用户IP地址及上网时间段的互联网访问控制,并且可通过NAT(网络地址转换)设置允许将公司的Web资源对互联网发布,还可以检测并阻断网络常见的攻击行为。
对于外部用户访问总部的VPN系统,三一重工在每个网络的边界增加了一台WatchGuard防火墙。同时,对于出差在外的移动办公用户,则安装了Remote客户端软件,使之可以通过拨号的方式与总部或分支建立VPN隧道,以便在互联网上进行安全的数据传输。
管控层面上,不同于传统的VPN解决方案,三一重工作应用DVCP(动态VPN配置协议)技术来实现VPN信息重组功能, 使信息在传递的过程中节省时间的同时减少数据错误。
安全策略 因地制宜
在具体方案实施中,三一重工根据三个不同的VLAN网段(设计部、财务部、普通用户),选择添加了不同的安全策略。添加策略一是根据用户不同的IP段设定不同的互联网访问级别;策略二是配置VPN策略与总部防火墙连接,添加VPN“主机到主机”策略,只允许上海财务系统与长沙总部财务系统建立VPN连接,其他IP拒绝连接,以保障财务数据库安全;策略三是添加SMTP与POP3服务、添加Web服务,以保障PDM(产品数据管理)系统的安全;策略四是添加HTTP代理服务,针对不同用户进行更详细的上网控制,包括控制上网时间和网页浏览内容等,以保护对外服务器的安全;策略五是对移动用户的访问资源与权限进行设定,以便他们能够随时通过拨号等方式与企业的业务系统建立安全的数据通道;策略六为日志查看内容设定。
通过仔细分析自身特点和需求,三一重工选择了一套切实、可行的防御方案,实现了简单、动态、可靠的安全控制,可以自由设定不同层面、不同网段、不同级别的互联网接入策略,保证安全的同时也可以充分利用网络资源。并且,为将来的增长和发展最大化地保护了投资。
编辑点评:企业可将防火墙和VPN分开管理,但由于两者都相当复杂,容易导致安全隐患——防火墙策略所禁止的危险流量可能被应用策略更加自由的VPN所允许。三一重工安全方案将两者合并管理,以确保VPN策略与防火墙所实施的策略相吻合并兼容。对于那些希望采用VPN方案而又有安全顾虑的企业,这不失为一个有益参考。
三段划分 管控网络
控股公司内部现有三台服务器,其中两台(邮件服务器、网络)需对外服务,另外一台为PDM系统服务器,需要与总部PDM服务器通过VPN进行同步。内部网络因安全级别不同,通过一个三层交换机划分VLAN网段,分成设计部、财务部和普通用户三个不用的网段。网段之间的用户不能相互访问,不同网段的用户对互联网的访问权限也是不同的。例如,考虑设计部资料的安全性,设计部不允许访问互联网;财务部的数据库需要通过VPN与总部的财务系统保持同步,另外财务部需要访问网上银行,因此需要开通其访问互联网;普通用户需要根据实际情况开启其访问Internet的权限。除此以外,针对公司所有员工的互联网访问、流量数据都必须要有非常详细直观的日志报告。同时,安全系统不对网络性能造成明显的影响,要保持网络良好的稳定性。
新增模块 固化安全
在安全如临大敌的现状中,公司考虑在原有系统中添设防火墙模块,以实现基于网络协议、网络用户IP地址及上网时间段的互联网访问控制,并且可通过NAT(网络地址转换)设置允许将公司的Web资源对互联网发布,还可以检测并阻断网络常见的攻击行为。
对于外部用户访问总部的VPN系统,三一重工在每个网络的边界增加了一台WatchGuard防火墙。同时,对于出差在外的移动办公用户,则安装了Remote客户端软件,使之可以通过拨号的方式与总部或分支建立VPN隧道,以便在互联网上进行安全的数据传输。
管控层面上,不同于传统的VPN解决方案,三一重工作应用DVCP(动态VPN配置协议)技术来实现VPN信息重组功能, 使信息在传递的过程中节省时间的同时减少数据错误。
安全策略 因地制宜
在具体方案实施中,三一重工根据三个不同的VLAN网段(设计部、财务部、普通用户),选择添加了不同的安全策略。添加策略一是根据用户不同的IP段设定不同的互联网访问级别;策略二是配置VPN策略与总部防火墙连接,添加VPN“主机到主机”策略,只允许上海财务系统与长沙总部财务系统建立VPN连接,其他IP拒绝连接,以保障财务数据库安全;策略三是添加SMTP与POP3服务、添加Web服务,以保障PDM(产品数据管理)系统的安全;策略四是添加HTTP代理服务,针对不同用户进行更详细的上网控制,包括控制上网时间和网页浏览内容等,以保护对外服务器的安全;策略五是对移动用户的访问资源与权限进行设定,以便他们能够随时通过拨号等方式与企业的业务系统建立安全的数据通道;策略六为日志查看内容设定。
通过仔细分析自身特点和需求,三一重工选择了一套切实、可行的防御方案,实现了简单、动态、可靠的安全控制,可以自由设定不同层面、不同网段、不同级别的互联网接入策略,保证安全的同时也可以充分利用网络资源。并且,为将来的增长和发展最大化地保护了投资。
编辑点评:企业可将防火墙和VPN分开管理,但由于两者都相当复杂,容易导致安全隐患——防火墙策略所禁止的危险流量可能被应用策略更加自由的VPN所允许。三一重工安全方案将两者合并管理,以确保VPN策略与防火墙所实施的策略相吻合并兼容。对于那些希望采用VPN方案而又有安全顾虑的企业,这不失为一个有益参考。