项目背景

　　福建厦门ASP研究中心创立于2002年4月，以厦华电子的制造业信息化应用经验为依托，是集信息化咨询、方案设计、软件研发、软件服务为一体的高新技术企业。国家863计划课题—现代集成制造系统技术主题研究单位，也是福建省科技厅认定的“省科技重大专项实施单位”，承担着省科技厅的重大科技专项，即面向中小企业制造业信息化的ASP应用研究(供应链软件研发及ASP应用支持等)，以及厦门市科技局厦门市中小企业信息化工程技术研究中心依托单位。

　　需求概述

　　1、 企业内部原先的Cisco PIX525防火墙已无法满足当前的网络应用需求;

　　2、 新增加的联通互联网出口，需通过多端口防火墙实现智能选路;

　　3、 要组建企业IPsec VPN专网，以满足目前近100个企业门店远程安全接入需求;

　　4、 要使远程接入用户访问应用服务器权限的不同划分;

　　5、 内部办公网可随意访问数据中心服务器，需实现多个不同网段间的逻辑隔离;

　　汉柏解决方案

　　汉柏通过对厦门ASP研究中心的网络及应用需求的深入挖掘与分析，利用汉柏自主研发的PA-5500-F20高性能千兆防火墙及PT-3560三层智能网管交换机替换网络中原有的Cisco PIX 525及华为1016二层交换机。

　　汉柏PA-5500-F20防火墙具有访问控制功能、VPN接入功能及智能双出口路由选择功能，能良好的满足厦门ASP研究中心此次项目对多出口、边界安全及VPN组建的多种需求，而PT-3560交换机更是支持多种方式的VLAN划分方式及基于硬件的访问控制功能，充分地满足了内网多网段之间的逻辑隔离要求。

　　应用拓扑图如下：

　　实施效果

　　1、 实现双出口流量负载分担

　　汉柏PA-5500-F20防火墙主要应用于厦门ASP研究中心的信息平台的互联网边界，WAN口分别接电信、联通的广域网出口，通过汉柏防火墙优秀的负载均衡技术实现了流量分担。

　　2、 有效抵御互联网恶意攻击

　　利用汉柏PA-5500-F20防火墙先进的技术架构，不仅提供全面的地址转换、MAC地址绑定、访问控制策略、安全域划分、身份认证等边界防护功能，还能够抵御包括Ping-of-Death、Ping-Flooding、TearDrop、UDP-Flooding、SYN-Flooding、KillWin、WinNuke、LAND IGMP2、IP碎片、源路由、端口扫描 、IP-Spoofing等几十种常见攻击。并且通过防火墙强大的访问控制有效地抵御来自互联网的攻击行为，大大降低了厦门ASP研究中心近15台业务ASP/SAP平台前置、ASP/SAP中间件服务器、ASP/SAP平台数据库服务器、中小企业CRM系统的安全风险。

　　3、 构建企业虚拟专用网(VPN)

　　汉柏PA-5500-F20防火墙自带VPN功能为企业提供PPTP/L2TP、IPsec等多种VPN组网模式，此次项目中应用IPsec及PPTP混合组网方式，同时，在PA-5500-F20上建立近100个IPsec VPN客户端，实现各门店、移动办公用户安全访问ASP/SAP信息平台时传输数据的隧道加密，确保企业应用数据交互传输的数据完整性及高安全性。

　　4、 服务器管理实现了“三权分立”

　　通过汉柏PA-5500-F20防火墙基于组策略的访问控制，实现4组VPN权限组，100个用户可根据不同的业务应用加入不同的VPN组策略，从而实现服务器的访问、管理、维护权限分离，以实现服务器管理的“三权分立”。

　　5、 内、外网逻辑隔离

　　汉柏PT-3560智能三层交换机用于接入ASP应用服务器及SAP数据库、内部办公网用户，PT-3560通过VLAN划分，并启用ACL功能，实现管理主机可服务器的维护，而内部办公网用户无法访问应用服务器，使办公网与数据中心网络逻辑隔离，办公网的维护人员又能够进行服务器的维护，以此提高运营维护的便捷性及高可控、高安全性。

(责任编辑：安博涛)