云南省钢材物流中心Qno SSL002应用成功案例

背景介绍

云南钢材物流中心位于昆明市东部二环路与三环路之间,由云南物流产业集团所属的云南省金属材料总公司投资建设,是于原“云南省钢材市场”的基础上实施改扩建而打造出的云南省大型的综合服务型钢材物流中心。云南钢材物流中心创建了云南省内首个技术较为先进、功能较为完善的集交易、融资、信息、仓储、加工为一体的大型专业化钢材物流平台,成功实现了由传统物资市场向现代物流中心的转型。

目前,与同属云南省金属材料总公司的多家子公司及省内其他企业合作关系密切,且业务呈现高速成长,企业原有网络结构已经不能满足现阶段需求。为更有效的管理交易、运输等业务资源,加强合作伙伴间的联系,云南钢材开始寻求更为安全、高速、智能且经济性较强的新企业VPN网络,希望凭藉高速运转的信息化网络,能够轻松而高效的管理庞大的业务资源,增强市场竞争力,使云南钢材成为物流集团中最具竞争力的内核企业。

                                                        

                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                         图一:云南省钢材市场

需求分析

根据云南省钢材市场网络主管丘先生指出,该中心目前大概有20多名移动办公的业务员工,关系来往密切的合作伙伴有10多家,且还有3个大的企业外点,也希望能与总部进行VPN连通实现资源共享。在规划构建适合云南钢材的企业VPN网络时,曾经与高层及相关部门反复商讨如何有效集成企业资源,加强信息共用渠道。经严密讨论后,总结几点需求共识如下:

  • 即时稳定的VPN连机质量:

    钢材市场业务员工为开展市场均移动办公为多,随时随地都有可能要对总部资源及信息进行存取。另外,合作企业伙伴间相互传输所需数据及企业外点运营信息等及时的反馈,都希望能维持稳定不中断的连机质量。因此,钢材市场希望能快速且稳定的实现信息共用,改善以往应用IIS服务器不稳定的情况,以利于钢材中心本部能准确的获取所需数据,进行正确的相关业务分析。

  • 具备简易操作、弹性配置等特性:

    联机外点多,且上网方式多不相同,相对也提高了管理与解决分支外点设置维护的复杂度。外点设置与联机及本部中心端配置与管理最好具备一定的简易程度与高灵活度,以满足外点弹性连机、中央轻松管控。而在实际操作上也需要符合简易方便的设计,让总部中心端在进行有效的集成管控工作时,能够相对减轻网管维护的负担。

  • 高度企业信息安全性:

    对于云南省钢材市场来说,各分支外点、移动办公人员及合作伙伴之间业务信息往来频繁,为了保护这些企业内部信息的机密性,避免数据被窃取或侦听,造成不可估计的损失,因此对于VPN信息传输的安全性十分重视。尤其是财务用户名意外泄露、业务数据外泄等意外,是我们绝对不容许发生的情况。

  • 需要具备一定的可扩展性:

    云南省钢材市场目前正处于发展扩张期,规划在省内多处网络布点,且为开拓市场业务人员也有增加的计画,考虑日后VPN网络大规模应用及预备未来企业成长,希望VPN设备必须具备一定程度的扩展性,并能满足未来3~5年或甚至更长时间的扩展需求。思及后续外点设备铺设,在成本计算上应该具有一定的经济性。

应用方案

云南省钢材市场网络主管丘先生依据企业需求,委托高度性价比优势的多WANVPN防火墙厂商侠诺科技,为云南钢材市场规划整体的VPN组网方案。其具体的组网架构拓朴与方案特色如下:

                                             

                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            图二:云南省钢材物流中心SSL VPN互联网络应用拓扑图

  • 本部中心端:

    云南省钢材物流中心本部作为中心端,统筹内外运营事宜,需要具备更优秀的网络环境,因此建议丘先生将其分为两部分。中心本部内部上网,采用了侠诺新一代千兆共用产品GQF1150,四条6M网通ADSL汇聚接入,下接内核交换机连接到各部门PC提供局域网上网服务。并通过VLAN划分不同的子网,有效防止病毒传播的同时,也便于内网用户的管理。而对于外部资源访问服务等,则采用了侠诺SSL/IPSEC复合式防火墙Qno SSL 002作为中心端接入设备,ERP、OA、业务管理等系统服务器直连SSL 002,提供微软终端、远端桌面、VPN网络等信息远端共用服务。中心端网管根据远端用户不同的身份,划分不同的群组,以设置许可权区隔,达到保护机密信息资源的目的。

  • 分点:

    对于钢材市场的业务人员及企业合作伙伴来说,可采用SSL VPN方式接入,无需安装用户端即可轻松安全的远端存取企业服务资源。

  • 大型分支:

    目前云南钢材正在全省范围内网络布点,规划中相对较大型的分支外点,同时可以采用IPsec或者SSL VPN方式,灵活调整。

方案特点

  • 管理一键通简化管理端设定:

    管理端全面设置与管理众多外点是一项很吃力的事,SSL 002具有“管理一键通”功能,轻松解决了管理设置复杂问题。在认证管理上,企业可采连接既有的Exchange Server的AD(Active Directory)认证服务器,网管不需花时间一一重建员工帐户;在用户许可权设置上,预置All Users、Supervisor、Branch Staff、Mobile User四个群组样版,提供企业网管直接套用,网管不需再一一配置群组特性,省去繁复设置流程。网管可直接套用预置样版,实现管理一键通,超快速的完成企业SSL VPN建置,节省配置时间。

  • 群组管理便于许可权区隔:

    在管理方面, Qno SSL 002具备群组管理功能,可集中管理用户、服务器及应用资源。采角色管理模式,根据用户、用户群组提供细致访问许可权控制,不同用户、群组具有不同许可权,登入不同的用户界面,可使用的资源服务也不相同。云南钢材网管丘先生就把移动办公的业务人员、合作伙伴及公司高层划分为不同的群组,远端桌面和终端服务只开放给企业内人员,则企业合作伙伴的远端登录界面就不会看该两项功能,从而进一步保障了企业内部信息的机密性。

  • 联机一键通用户端快速访问:

    用户端零配置,只需要一台可以上网的计算机,使用操作系统自带的支持SSL流览器,于入口网页输入用户名及口令,即可快速登录帐户所对应的画面,使用权限内的资源服务。SSL002还具有一次性登入功能,用户登入内部服务器的用户名及口令如果和登入SSL VPN相同,只需进行一次登入SSL门户网站,后续再登入应用服务,SSL VPN即可自动完成登入,节省登入动作,提高用户工作效率。

  • 多项远端服务实现应用共用:

    提供网络服务、微软终端服务、远端桌面、在线网络邻居、VPN安全隧道五种服务,方便用户远端办公与信息存取。如业务人员在外地需要应用微软终端,不需要安装该软件即可登入远端随时应用。还可远端登录自己办公桌的计算机桌面,存取资源,让在外办公有如在办公室一样轻松自在。

  • 安全保护措施增强安全性:

    远端信息共用,安全是企业十分重视的方面,因此,SSL002在设计上除了强效的防火墙外,还支持其他一些安全防护措施。当用户打开IE联机Qno SSL VPN,会弹出安全性警讯提示您正透过SSL的加密保护。Qno SSL VPN允许设置用户用户名称、密码、到期日、没有动作强制注销时间等,如果一段时间用户没有动作或用户使用时效到期,该帐户则无法登入或被强制登出,从而避免内部网络被恶意入侵。登录注销后还提供清除Web缓存、Cookie等各种记录功能,避免数据数据被有心人士窃取,在安全上更增一层保障。

  • 多WAN端口接入汇聚带宽:

    Qno SSL 002支持带宽汇聚、自动线路备援等功能,多WAN口接入方式,让企业有更大和弹性配置空间。目前云南省钢材市场采用一条6MADSL电信线路与3条6MADSL网通线路接入,四线不同ISP接入,不仅可以汇聚带宽以节省成本,而且还可以实现线路备援、数据分流、负载均衡等效果。当一条线路掉线,会自动改用另一个WAN连接端口的线路连接,确保VPN联机不掉线,避免掉线时造成无形的损失与伤害。

  • 策略路由解决VPN跨网瓶颈:

    由于国内长期存在电信、网通互连不互通的问题,许多企业建立VPN时会发生跨ISP网络时带宽不足,导致VPN不稳定或易于掉线。侠诺多WAN口的设计,可搭配策略路由的设定,让不同ISP外点可直接连到对应VPN服务器入口,即可解决此问题。因此,无论业务人员或其他外点用户使用电信还是网通,拨入本部时都可得到快速稳定的回应。

未来拓展

  • 支持多VPN协定外点灵活选择:

    云南省钢材物流中心采用的SSL 002,可支持PPTP、IPSec VPN、SmartLink VPN、QnoKey IPSec用户端密钥等多种连机方式,可满足外点多种VPN弹性配置需求,实现总部中心端与各分点建构即时、稳定、安全的互连VPN网络系统。由此可见,多通道多协议的特点完全能胜任未来钢材市场的企业扩展及网络布点,而且外点可根据实际规划与应用,灵活选择适用的方式接入中心本部进行信息存取。

  • SmartLink VPN快速设定:

    因钢材物流中心网络升级而被SSL002取代的原设备QVM1000,可应用于大型外点做分支接入,节省成本的同时,也可采用侠诺SmartLink VPN快速连入本部。SmartLink VPN将大部份的设定参数的工作交由VPN网关自动完成,用户只需要输中心端服务器IP位址、用户名、密码三个参数,即可完成超快速VPN连机设定。

  • 实现企业扩容后内网宽带共用:

    目前云南钢材市场SSL 002只应用于外部资源远端存取,当企业本部规模再扩张,为避免GQF1150带宽应用紧张等情况的出现,SSL 002亦能担当内网带宽共用重任。若应用于内网宽带共用,SSL 002的智能带宽、内网管理等多项路由器功能将得到更完美的展现。

  • 指定路由强化VPN稳定度:

    如果一般上网与VPN网络共存,难免会发生争抢带宽等情形,而SSL 002多WAN口的设计,可有效保证VPN带宽。侠诺VPN系列可透过协定绑定,将VPN所有应用服务绑定在指定的端口,让一般上网的应用服务只能从VPN指定之外的端口进出,而不能占用VPN指定端口的带宽,进一步保障了VPN连机的优先级与稳定度。

使用评测

云南省钢材市场网络主管丘先生表示,云南钢材市场目前正全面实施省内网络布点,侠诺SSL 002功能全面,目前已体现出其安全、极简、快速等多项优异特色,相信后续增加网点一样会设置简易,便于访问与管理。应用侠诺该VPN方案以来,解决了以往应用IIS服务器不稳定的情况,大大提升了业务管理效能。该方案为后续企业发展预留了较大的升级空间,充分满足钢材市场现在及未来很长一段时间的网络应用需求,成功地为云南钢材市场构建了一个简便、快速、稳定、安全的企业信息VPN网络!