横向验证与纵向扫描飞亚达构建“干净”内网

开篇：润墨网以专业的文秘视角，为您筛选了一篇横向验证与纵向扫描飞亚达构建“干净”内网范文，如需获取更多写作素材，在线客服老师一对一协助。欢迎您的阅读与分享！

飞亚达在对公司的网络进行改造的过程中，非常清楚所选产品有什么地方吸引自己，而不是把产品选型工作完全交给咨询专家，或跟风选择市场占有率高的产品。这种意识正是一部分国内企业欠缺的。

深圳市飞亚达(集团)股份有限公司(以下简称“飞亚达”)成立于1987年，现有员工1000多名，拥有12个分公司、6个经销分部、400多家零售网点和近百家“亨吉利世界名表中心”连锁店，销售网络覆盖全国。

随着公司业务规模不断扩大和分支机构日益增多，各机构远程接人、员工移动办公等需求激增，这对飞亚达原有的中央数据系统的安全性造成极大威胁。

因此，飞亚达急需升级网络安全性能，在保证全国各分公司、连锁网点以及移动办公人员等都可以安全、高效、快捷地连接集团数据中心的同时，能够对员工行为以及数据实现有效的控制和管理。

把关用户身份

飞亚达决定启动虚拟专用网络(SSL VPN)项目。

据该公司IT部门经理张荣浩介绍，飞亚达之前的虚拟专用网采用的是IP安全(IPSec)技术，它有不少缺陷。首先，在账号管理、权限分配方面比较麻烦；其次，无法控制连入网络中的终端，如果有一台PC中毒，它就会不断在局域网中发送数据包，整个内网都会受到攻击，网速也会变得很慢。

在确定部署虚拟专用网络后，飞亚达开始对多个品牌的产品做比较和筛选。最后，美国SonicWALL公司的“干净的VPN”概念――同时检验用户身份和所传递数据的安全性，确保用户不把安全威胁带人企业内网，赢得了深圳钟表企业的青睐。

在项目第一期，飞亚达在集团总部部署了一套Aventail SSL VPN设备。当外网终端访问集团数据中心时，该设备会进行持续的主机完整性和数据安全检查，一旦发现威胁，它马上实时启动系统隔离，保护系统安全。

除了安全性，IP Sec虚拟专用网络的最大缺陷是需要在客户端上安装软件，而且不同的操作系统需要不同的客户端软件，当企业要改造网络时，管理难度将呈几何级增长。

SonicWALL的技术恰恰有效地解决了上述问题。这样，无论是总部以外的员工还是商业伙伴，无论使用任何互联网设备、在任何地方，都能根据需要直接访问飞亚达的集团数据中心。还让飞亚达方面松了一口气的是，该技术提高了联网效率和安全性，内部网络的基础架构成本并没有因此增加。

随着公司业务扩大，业务系统也随之增加，改造初期可支持的并发用户数量很快就不够用了。2007年9月，飞亚达对公司网络进行了第二次升级，将并发用户数从50个增加到250个，同时将监控对象从外网用户扩展至内网用户，从而实现全面安全访问。

除此之外，公司制定了统一的安全访问准则，并按不同安全等级，对核心系统中的各种内容实行不同的开放度控制。譬如对于安全级别高的应用，系统会启用终端数据加密保护功能，用户能正常访问这类应用，但不能进行打印、复制和截屏等操作，为防止数据外泄又加了一把保护锁。

构建立体防护网

第一期和第二期项目解决了网络用户安全接入的问题，2009年初，飞亚达又启动了第三期项目。除了将虚拟网的并发用户数量增加至500个以外，第三期项目最重要的工作是把原有的普通防火墙更换掉。

许多企业在信息化改造时，倾向于选择一家公司的多种产品或服务，这样能避免不同品牌产品兼容性的风险，还能免除反复选择供应商而产生的成本。飞亚达也不例外。

在更换防火墙时，飞亚达选定了SonicWALL的UTM(统一威胁管理)设备。除了上述原因，张荣浩还介绍了该产品吸引他们的地方：易用性和可维护性较高，病毒库更新速度比较快，对国产P2P软件(迅雷、超级旋风等)的封堵效果比较好，虽然是国外公司的产品，但提供中文界面。

UTM设备不是传统意义上的防火墙，它是防病毒、入侵检测／防御和防火墙集成于一体的统一管理平台。如果说SSL VPN设备是在横向把关远程访问用户的合法身份，UTM设备则能在纵向对每一次用户访问可能携带的病毒、入侵软件和间谍软件进行扫描，二者构成一个立体的安全防护网，把“干净的VPN”从概念变成了现实。