前言：

順德某電器制造有限公司始建于1998年，由超過25年專業(yè)經(jīng)驗的創(chuàng)始人帶領的優(yōu)秀團隊建立。某電器制造有限公司位于十分具有發(fā)展?jié)摿Φ捻樀驴萍脊I(yè)園區(qū)內(nèi)，臨近順德港，碧桂路。某公司由超過15年專業(yè)經(jīng)驗的創(chuàng)始人所帶領的優(yōu)秀團隊建立。在過去的幾年,我們以電熱咖啡壺和電熱水壺為主導產(chǎn)品，以產(chǎn)品開發(fā)創(chuàng)新和企業(yè)管理為根本，以歐洲為主要市場，每款產(chǎn)品均通過歐洲認證，目前已通過TUV Rheinland ISO9001和ISO14001體系認證，為國外的客戶提供優(yōu)質的產(chǎn)品，為國際上多家知名的公司提供OEM和ODM服務。同時，公司擁有自營進出口權，規(guī)范的出口操作模式和及時的供貨，贏得的廣大客戶的信賴。    

網(wǎng)絡現(xiàn)狀

為了適應業(yè)務的發(fā)展，順德某電器制造有限公司實施了信息管理系統(tǒng)，上馬了神州數(shù)碼易拓ERP系統(tǒng)和EasyflowOA辦公自動化系統(tǒng)，目前在佛山和其他地方有多個銷售服務中心需要實時訪問公司ERP系統(tǒng)和OA系統(tǒng)，另外單位的領導出差在外，有時需要及時登陸內(nèi)部ERP和OA辦公系統(tǒng)，實現(xiàn)公文的批示和ERP系統(tǒng)的數(shù)據(jù)查詢。其他的業(yè)務部門外出，也需要及時訪問單位內(nèi)部的的應用系統(tǒng)，下載文件，收發(fā)郵件。另外，單位的網(wǎng)管人員在家里或其他特殊場合，需要維護單位的服務器，這些都需要提供一種安全的可控制的遠程接入。目前公司總部有100多臺電腦，通過10M撥號光纖接入到互聯(lián)網(wǎng)，以前用的是某廠家的路由，無法支持帶寬流量管理。由于業(yè)務的需要，公司需要對內(nèi)網(wǎng)的業(yè)務做QOS帶寬分配和優(yōu)先級的分配和防火墻的保護，另外，公司由于業(yè)務交流的需要，經(jīng)常有合作伙伴和客戶的代表需要做技術交流，需要臨時給一些外來的人員開放無線訪問或有線接入，借助公司的網(wǎng)絡實現(xiàn)臨時上網(wǎng)，但是又不允許他們來訪問公司的內(nèi)部網(wǎng)絡，以保證公司內(nèi)部網(wǎng)絡的安全，因此需要對外來的臨時訪問做安全隔離。這要求在原來的的網(wǎng)絡基礎上不需要做太大的改動和投資，就可以滿足這個需求，因此，某電器制造有限公司需要SSL VPN可以做網(wǎng)關部署，具備網(wǎng)關防火墻的功能和寬帶流量管理的功能和對內(nèi)網(wǎng)安全訪問的隔離。為此某電器制造有限公司IT部門組織測試了國內(nèi)外多個SSL VPN的廠家和服務，最后Prodell媛宇憑借優(yōu)異的性能和優(yōu)異的性價比在眾多的廠家中脫穎而出，為某電器制造有限公司的移動辦公保駕護航。

解決方案

的是針對遠程接入而推出的新一代千兆SSL VPN網(wǎng)關，最大支持200個SSL 并發(fā)用戶，產(chǎn)品集成了2個千兆WAN口，8個千兆LAN口，可以同時接入兩條寬帶線路，增加上網(wǎng)帶寬，實現(xiàn)多線路均衡負載。另外， IPSEC/SSL 網(wǎng)關支持網(wǎng)關部署或單臂部署，內(nèi)置高性能處理器，是一臺高性能的SPI防火墻，可以有效防止外部黑客的攻擊。支持QOS帶寬分配，可以根據(jù)IP做優(yōu)先級保證來實現(xiàn)基于IP的帶寬分配，有效保證了SSL VPN等關鍵業(yè)務得到需要的保證帶寬。

的是一臺性能強勁的SSL VPN 網(wǎng)關，為客戶提供應用層遠程安全接入。內(nèi)置多種應用代理包括RDP，SSH，WEB，WEB-NE，CITRIX，FTP，遠程網(wǎng)絡喚醒等..，真正實現(xiàn)SSL VPN零客戶端部署,遠程的終端只需要IE瀏覽器，不需要運行任何軟件客戶端，就可以實現(xiàn)安全登陸。遠程的客戶通過加密的443端口，通過身份認證，登陸系統(tǒng)，實現(xiàn)了所有的數(shù)據(jù)在互聯(lián)網(wǎng)上的安全加密，支持的標準加密算法包擴DES，3DES，AES，SHA，MD5等?？梢愿鶕?jù)不同的人員劃分不同的訪問權限，可以細化管理到IP，服務端口，甚至某個URL的細粒度訪問控制，保證了內(nèi)部網(wǎng)絡的安全。提供很多獨特的SSL VPN功能應用。例如Network Extender技術允許你在任何地方都可以無縫地存取公司的資源，就好像你從未離開過辦公室一樣的便利。你可以遠程存取辦公室計算機中的檔案、桌面、或PDA里的數(shù)據(jù)文件，就好像你在公司的企業(yè)網(wǎng)絡中使用自己的個人計算機一樣。Transport Extender技術讓特殊的用戶通過SSL VPN通道，遠程連接至企業(yè)網(wǎng)絡進行存取IT管理員所設定的服務及應用。因此，遠程用戶不需要在web portal里做特別的設定讓存取服務運作。My Network Places的應用就好像在微軟Windows操作系統(tǒng)里的「網(wǎng)上鄰居」一樣。你可以從家里的計算機連接至My Network Places，對辦公室里的信息數(shù)據(jù)進行存取。Application Proxy基于Web界面，支持大多數(shù)普通的應用軟件像FTP、RDP(終端機服務，遠程桌面協(xié)議)、VNC(Virtual Network Control)遠程聯(lián)機服務器、HTTP、HTTPS、SSH、CIFS(網(wǎng)絡文件夾共享)及遠程登錄(Telnet)。用戶無需預先安裝你想要下載并共享的應用軟件。此外， SSL VPN產(chǎn)品系列也提供被授權的用戶一個簡易管理的個人化入口網(wǎng)頁(Personalized Web Portal)，以確保一個具有加密、存取政策、授權及驗證機制的安全連接。因此，每個用戶都能夠很清晰地在Personalized Web Portal看到所有被IT管理者允許存取的應用。另外， SSL VPN網(wǎng)關也支持PDA、Mac操作系統(tǒng)、主機安全性檢查等安全且實用的功能，提供EPS（客戶端安全檢查），可以對遠程PC的某些安全特征進行檢測，如PC有沒有打補丁，有沒有安裝防火墻或殺毒軟件，或者運行某些指定進程，只有符合安全條件的PC才能訪問單位的系統(tǒng)，保證了訪問的安全，杜絕了以往IPSEC VPN存在的通過遠程的隧道和利用接入PC做為跳板來入侵總部的網(wǎng)絡的安全隱患。 還支持L3層的VPN應用，支持IP層的應用，可以通過L3虛擬網(wǎng)卡，實現(xiàn)IP層的應用，如網(wǎng)絡共享，視頻會議，可以通過SSL VPN來收發(fā)郵件，就像內(nèi)部網(wǎng)絡使用一樣。另外，內(nèi)置遠程終端代理，通過這個功能，可以讓系統(tǒng)管理員通過遠程桌面，管理公司的服務器實現(xiàn)遠程維護，提高工作效率。提供了多種認證方式，可以結合公司的域，LDAP系統(tǒng)提供帳號認證，并且支持多種認證的方式，來保證遠程移動辦公的安全。

針對順德某電器公司的實際需求，USG6000根據(jù)不同的群組的訪問需求，把遠程訪問分為領導組，網(wǎng)管組，ERP組和OA組，不同的群組的訪問權限是不同的，例如，領導組的和網(wǎng)管主管的權限最大，不僅可以訪問ERP和OA系統(tǒng)，而且可以訪問服務器的桌面和內(nèi)網(wǎng)的所有PC，可以實現(xiàn)服務器遠程維護和文件拷貝。而針對一些普通網(wǎng)管，只能為相關業(yè)務服務器的維護和訪問自己的電腦，不能訪問其他電腦。針對ERP組，需要實現(xiàn)ERP系統(tǒng)加速訪問，目前，內(nèi)置RDP代理，配合WINDOWS 2003SERVER的遠程終端服務方式，直接把神州數(shù)碼ERP的客戶端發(fā)布出來，并起用遠程的身份認證功能，遠程的遠程只有通過了身份認證之后，才能登陸公司的ERP系統(tǒng)，而且只能操作ERP系統(tǒng)，防止越權使用。通過SSL VPN，結合終端方式，實現(xiàn)ERP的加速訪問，只需要28.8K 的帶寬，就可以實現(xiàn)ERP的訪問。對于OA組，由于OA系統(tǒng)是B/S結構，可以結合內(nèi)置的HTTP應用代理，把OA系統(tǒng)的URL地址發(fā)布出來，不同的人只能訪問OA系統(tǒng)的不同頁面，實現(xiàn)基于URL細粒度的訪問控制。OA系統(tǒng)只能訪問公司的OA系統(tǒng)，無法訪問公司內(nèi)部網(wǎng)絡的其他應用系統(tǒng)，很好的實現(xiàn)訪問控制。另外，有8個千兆LAN口，提供基于端口的VLAN功能，通過該功能，可以為外來的PC提供單獨一個網(wǎng)段，為外來的計算機提供上網(wǎng)功能，外來的計算機只能通過USG6000上網(wǎng)，無法訪問內(nèi)網(wǎng)，實現(xiàn)了外來電腦和內(nèi)網(wǎng)的安全隔離。除此之外，提供帶寬流量管理功能，可以有效的對內(nèi)網(wǎng)的PC和上網(wǎng)的帶寬做流量分配，保證公司關鍵業(yè)務的帶寬，提供工作效率。

目前雙WAN口SSL VPN做為網(wǎng)關方式部署在公司的出口處，為內(nèi)網(wǎng)提供的安全的保護，可以有限防止外部黑客的攻擊，通過啟用了 自帶的DDNS域名解析功能，解決了無固定IP地址的光纖PPOE撥號的SSL VPN訪問。通過SSL VPN的加密方式，公司的只需要開放443端口，除此之外，無需開放其他端口，讓黑客無懈可擊，保證遠程訪問的安全，支持訪問緩存清除，在遠程客戶退出系統(tǒng)后自動清楚訪問的痕跡，不在遠程的PC的IE留下任何痕跡，消除了安全方面的隱患，順德某電器制造有限公司通過部署 SSL VPN安全網(wǎng)關，為移動辦公提供安全的保護。

另外也提供一些實用的功能，如遠程網(wǎng)絡喚醒功能，這個功能在一些緊急的情況下，如網(wǎng)管在外地，但是需要訪問公司電腦里面的一些文件，這在以前是沒有辦法的，必須回到公司，打開電腦，才能訪問，而通過 SSL VPN提供的遠程喚醒功能，只需要計算機的網(wǎng)卡和主板支持遠程喚醒功能，就可以在家里或外面登陸SSL VPN系統(tǒng)，通過遠程喚醒功能，直接開啟公司的計算機，實現(xiàn)文件訪問，真正實現(xiàn)隨時隨地的移動辦公。

本項目由廣州市媛宇計算機有限公司提供技術實施和技術支持。