中國免稅品集團部署深信服廣域網優化解決方案
在構建全國性的業務網絡中,企業集團需考慮整體業務網絡的連接安全、傳輸速度、集中管理、與原有網絡的結合度等諸多因素,其最終目的在于促進企業的業務系統運行,優化其運營流程,進而降低企業運營成本,提升企業業務效率。
中國免稅品集團在自身的信息化建設中,也正遵循著這一思路,在改建全國業務網絡連接時,進行了跨越式的網絡建設。
背景介紹
中國免稅品(集團)有限責任公司現為中央企業,創建于1984年,是經國務院批準設立的國家免稅品專營公司,是中國免稅業的代表和旗艦企業。
目前,中免集團已在中國大陸29個省市自治區的90多個口岸城市和邊境地區以及香港特區設立了170多家免稅店,其中控股免稅店近100家;在高速發展的過程中,中免集團引入了現代化的IT應用系統來支撐集團的業務發展,如業務管理系統、POS系統等各種應用系統。遵循"統一經營、統一組織進貨、統一制定零售價格、統一制定管理規定"的管理政策,中免集團要求各控股免稅店通過業務系統將數據上傳到北京公司總部。目前的實現方法是,各類業務數據直接通過公網,實現分支機構與總部之間的數據傳輸,各免稅店等分支直接通過各類公用網絡環境訪問總部。
面臨的問題
為了滿足全國各地免稅店訪問總部業務系統,中免集團原有的解決方案是將業務系統直接掛在公網上。但這給集團的業務系統運營安全造成了潛在的威脅,一旦有黑客、病毒攻擊業務系統,由此造成的業務系統癱瘓、業務數據丟失等后果將十分嚴重。
全國各分支訪問中免公司業務系統、進行業務數據傳輸時,所有的數據傳輸并沒有進行安全加密,數據容易被截取破譯,這種商業風險使得中免集團信息管理部門非常重視。
中免集團全國各地免稅店、中大型分支網絡環境不一,遍布全國各地,而中國南北跨運營商訪問存在的速度慢、丟包等頑疾,使各地分支訪問中免集團總部業務系統、內網文件時,不可避免地產生了傳輸速度慢的問題。
而集團總部領導、業務人員、各分支駐外業務人員外出辦公時移動性強,如何讓合適的人接入合適的業務系統,如何讓整個接入操作簡單易用,如何確認接入用戶的身份合法?這一系列的問題需要中免集團構建新型安全的遠程接入系統。
安全的遠程登錄與移動辦公方案
中免集團目前部署的業務管理系統、POS系統等,主要用于支撐集團的工作,并與旗下的分支機構進行數據交互。系統服務器坐落在北京的集團總部,針對上述提及的服務器攻擊、移動辦公問題,中免集團在總部部署深信服SSL VPN,將系統服務器移至內網,通過在網絡出口處架構防火墻等網絡安全設備,這樣服務器被攻擊而導致的業務系統使用緩慢、停滯、數據被竊取等風險大大降低。
通過深信服SSL VPN嚴格的身份認證,中免集團對領導、外出人員部署USB-Key等認證工具,對接入人員做強身份認證,這充分保證了接入人員身份的合法性,且用戶帳號不易丟失。基于用戶身份,中免集團對接入人員劃分細致的權限,讓接入人員訪問可以訪問的業務系統,進不同的服務器版塊,如對領導開放管理系統,對業務員人員開通OA、CRM系統等……
至此,集團各類在外人員通過SSL VPN遠程接入的安全性、操作性等問題得到解決,借助優化的傳輸協議、壓縮手段等,在外人員的接入速度得到保障,移動辦公變得非常方便。
構建快速的業務網絡
將各類業務系統服務器移至內網后,要解決全國各免稅店的業務訪問,集團需構建全國性的專有網絡。在專線、傳統VPN、廣域網加速通道等解決方案的選擇中,中免集團最后選擇了廣域網加速產品構建數據傳輸通道,而選擇深信服廣域網加速設備,則源于深信服設備良好的加速性能與性價比。
中免集團在總部以單臂模式部署一臺深信服千兆級廣域網加速設備,在各免稅店分支端同樣以單臂模式部署中低端廣域網加速設備,通過廣域網加速設備中的VPN組建VPN網絡,再利用廣域網加速技術進行應用與數據傳輸的加速,從而達到數據傳輸安全、保障傳輸速度的效果。
深信服廣域網加速設備通過內置的協議代理、數據優化等多項技術,大大減少了各類應用協議在廣域網上的頻繁交互、重復數據的傳輸,進而提升了各分支訪問總部應用系統的速度,并有效降低了帶寬利用率。
同時解決了擴大帶寬也無法解決的問題:由于廣域網傳輸存在的延遲和丟包造成的各分支訪問總部應用系統的緩慢,這都是通過單純增加帶寬所無法解決的,而深信服廣域網加速設備能從根本上解決這一問題。
中免集團SSL VPN、廣域網加速設備、 VPN集中管理平臺部署圖
全國VPN網絡的集中管理
中免集團遵循"統一經營、統一制定管理規定"的管理政策,需要對已架設的全國業務網絡進行統一管理,以求得集中管理的快速反應、規范管理等效應,這也避免了分支管理所投入的人力資源、IT資源等成本,更減少了分支分散管理出現的數據孤島效應和可能出現的技術問題。
中免集團在總部以旁路模式部署一臺深信服VPN集中管理設備,對全國組網的VPN(包括廣域網加速設備中含有的VPN模塊)進行統一管理,總部可對組網中的VPN設備進行統一的策略下發,查看設備運行狀態等,這大大減輕了IT管理人員的工作量,并提高了組網設備管理的實時性。
總體而言,整個方案通過IPSec VPN實現數據的安全加密、通過廣域網加速設備實現數據的快速傳輸、以SSL VPN實現安全靈活的遠程登錄,最后用集中管理平臺對所有IPSec VPN進行集中管理。該方案幫助中免集團實現了網絡的全面升級,構建了一個安全、快速、管理性強的網絡平臺,進而使中免集團信息化建設得以在更先進的平臺上深入進行。
【編輯推薦】
