集团业务的信息化系统网络建设方案建议书.docx

网络建设方案建议书目录第一章 需求分析21.1 背景介绍21.2 需求分析详述31.2.1 加速vpn组网31.2.2 全网vpn设备集中管理31.2.3 员工上网行为管理31.2.4移动办公需求3第二章 深信服解决方案42.1 组网拓扑42.2 方案说明5第三章 深信服方案价值简介63.1 深信服广域网优化组网价值63.1.1安全组网63.1.2快速组网63.1.3集中管理平台103.2 深信服ssl vpn移动办公方案价值123.2.1更安全的ssl vpn123.2.2更快速的ssl vpn143.2.3应用发布-实现iphone、android手机办公17第一章 需求分析1.1 背景介绍xx集团有限公司，全球员工2万多，年销售超过3亿美金（每年还以30-50%在增长），是从面料、辅料，款式，洗水加工的设计开发，到成衣生产制造，为客人提供一站式服务的集团。为了适应集团全球业务的快速发展，集团必须建设一套适应集团业务的信息化系统，才能在国际化的形势下保持足够的竞争力，现准备建设融合一套集个人身份基础信息数据库、个人业务基础信息数据库、卡应用数据库为一体的支付业务服务一卡通系统；1.2 需求分析详述1.2.1 加速vpn组网 一卡通系统、erp等系统承载着企业内部员工和生产经营的重要信息，如果不对这些信息在公网上的传输的提供安全保证，将代带来很大的安全隐患，不仅数据容易被窃取，服务器也面临着安全威胁；鉴于集团分支分布在全球各地，采用vpn方式组网，一次性投资，即保证了安全又提高了投资回报比，相比于公网传输和专线组网，优势明显；此外，国内的分支机构分布南北，使用的运营商链路不尽相同，国外分支访问总部的数据中心，也存在着跨国线路严重的丢包和延时，必然会导致一卡通系统，erp、视屏会议等系统的高效稳定运行大打折扣；所以，必须要保证vpn网络的快速性，让集团分支的员工在使用这些应用的时候，不会因为网络质量问题而影响工作；1.2.2 全网vpn设备集中管理 考虑到东奥集团分支较多，分布广，分支机构的员工可能没有专业的网络管理人员，如果vpn网络一旦出现中断，将影响到分支机构员工的正常办公，所以，必须对vpn设备进行集中管理，统一下发配置策略，出现问题及时告警，远程管理设备配置，及时恢复网络，提高vpn网络的稳定性和可靠性；1.2.3 员工上网行为管理目前集团员工使用互联网需求众多，互联网为现代企业办公带来众多便利的同时也衍生出了许多问题，为日常的it管理和维护带来了新的挑战，比如总部有限的带宽被p2p和流媒体等无关应用抢占，影响其他关键应用的数据访问，少数员工可能在办公时间使用公司的it资源做与工作无关的私事，影响工作效率，还可能在无意间泄露公司的内部的机要信息；1.2.4移动办公需求分支机构多必然要求集团经常有员工出差，出差员工需要在外地能方便的接入到集团内部的业务系统进行日常办公，为了实现人们的远程办公，需要保证人员外出时可以安全访问组织内部网络进行日常操作，并同时确保数据的安全。影响用户远程办公的最主要因素就的访问速度问题，拖滞的访问速度将大大影响用户的访问体验及办公效率，网络状况、传输数据量及应用的交互方式等等都将影响着速度质量。此外，随着使用iphone，android智能手机，平板电脑等便携式设备的普及，使用此类设备做移动办公的需求也越来越高，而原有的c/s架构不适用于此类设备，而二次开发成本高，周期长；所以，需要一种更便捷的方式来实现智能设备的移动办公；第二章 深信服解决方案2.1 组网拓扑 woc:深信服广域网优化设备 ssl vpn：深信服移动办公设备（总部部署 便于出差人员随时移动接入总部）2.2 方案说明a woc组网：总部：考虑到vpn网络的重要性，建议总部旁路模式部署双机设备，避免因总部设备故障而影响一卡通的正常使用利用woc集中管理平台，配置分支的设备，便于管理和维护；分支：通过woc带有的深信服ipsec vpn，构架安全的广域网传输结合woc的数据优化，应用优化，链路优化，流量管理，打造一个高速安全的广域网b ssl vpn移动办公： 总部：部署深信服ssl vpn设备，出差在外的人员，不管在国内还是国外，都可以通过ssl vpn便捷的接入总部应用系统，开展日常办公；同时，我们还可以使用智能手机、平板电脑等智能终端设备来开展相应的工作，无需考虑智能终端系统平台不兼容的问题，给员工移动办公带了极大的便利性；第三章 深信服方案价值简介3.1 深信服广域网优化组网价值3.1.1安全组网深信服woc组建的加速vpn从vpn隧道接入、隧道中数据传输、接入访问授权三方面，提供完整的安全保障。双向权限控制、应用级别细致控制对于接入的两端，总部应仅对分支开放需要共享办公的应用服务器资源，而对于总部办公内网、内部服务器基于其余网络需对分支隔离，防止病毒、攻击等不必要的风险。而分支对总部的反向接入监管也需采用适当的隔离措施，同时，对于存在可上网主机与办公业务主机逻辑隔离的分支，需要限制仅让办公业务主机接入vpn网络，隔离开上网主机中可能携带的病毒、木马等威胁。通过深信服woc设备中的双向权限控制功能，可严格限制vpn互联双方中分支-总部、总部-分支的访问主机范围，可细致到ip段、ip、端口、协议的限制，合理的管控，加强安全，避免风险。对于允许接入vpn网络的主机的控制，深信服woc支持对lan-vpn、dmz-vpn的访问进行控制，限定仅某一ip端、ip的办公业务主机才可接入到vpn网络中。3.1.2快速组网数据冗余性解决技术数据有两种方式的冗余，第一种是数据本身的冗余，比如平常的一个.doc文件，可通过压缩工具将其进行压缩，压缩后的文件大小往往有较为可观的效果，这样的冗余数据普遍存在于各种应用当中。第二种是行为方式造成的数据冗余，例如一个较大的设计文件，往往在总部与分支之间传输了第一遍之后，由于设计需要在小细节方面进行修改，又来来回回的反复发送，不断修改不断传输直至定稿，又如一个由总部发出的资料、学习文件、邮件，分支的第一个人下载了该资料并查看，但分支的第二个人、第三个人甚至全体员工都需要查看该资料，导致同样的数据在总部到分支之间进行重复传输。针对以上两种冗余问题，深信服woc提出了完整的解决方案：高效流压缩针对数据本身的冗余，深信服woc采用流压缩+ip包压缩+动态压缩的整体方案进行解决。区别于传统基于文件的压缩方式，lzo、gzip高效流压缩可在压缩比与所消耗的系统性能之间取得最佳的平衡，以求最低的消耗系统性能，获取最大的压缩比。同时，流压缩采用边压缩边传输的方式加快输出，从整体上提供最快的数据加速效果。通过动态压缩技术，在进行压缩时可针对不同的数据采用动态调整的最优化压缩策略，实现最优化匹配。动态选择策略可在提高压缩效率的同时，降低系统负载，从而提高整体的数据处理速度，提高业务的访问速度。基于码流特征的缓存技术深信服woc采用了流缓存技术，基于码流特征针对行为方式导致的冗余进行高度削减。如下图所示，在部署了加速vpn设备的两端之间需进行一个文件传输时，woc设备将会将文件组成的各数据包分拆为多个“碎片”，并对“碎片”分配唯一指针，将指针分别存储在本地设备和目的地主机中。当具有相同指针内容再次需要传输时，只传输指针到目的地，接收端根据指针便在本地的设备中提取出内容进行数据块、文件的校验重组。只要“碎片”足够小，传递内容相同的概率就会足够大。区别于一般的缓存技术存在数据更新滞后等问题，基于码流特征的数据优化采用数据流cache加速技术，通过数据包分片标签机制并结合优化的模式匹配算法，在保证数据实时性的同时大大降低数据传输量提高访问速度。指针的大小仅有9个字节，而一个指针能代表至多4k的数据，对行为导致、数据本身的冗余削减量是非常可观的，至多可削减60%-90%的流量。流缓存流量削减效果跨国等传输高丢包、高延时、跨网传输解决技术在跨省/跨国传输、跨运营商，或是无线传输、卫星传输网络本身质量较差的情况下，都会导致高丢包、高延时的问题。直接反映到用户应用访问上，就是erp页面打开慢、订单录入慢、数据查询慢、ftp共享文件下载时间长等等影响工作情绪及效率的体验。深信服woc采用htp高速传输协议、flash-link畅连技术解决以上问题。htp高速传输协议，高丢包、高延时下大幅提速高丢包、高延时等状况对tcp协议传输的数据影响尤为严重。tcp协议是面向连接、可靠的传输协议，在协议设计之初网络刚刚兴起，与现在的网络吞吐能力相比完全不可比拟所以tcp协议在设计时，其拥塞控制机制采取的是“慢上升、快下降”的方式。面对当时的网络状况，是一种较好的选择，避免网络过渡拥塞。但对于现在的网络吞吐能力而言，这样的机制反而大大限制了跨网访问的速度：网络环境好的时候，传输的滑动窗口大小缓慢的增长，但窗口最大仅为64k。 但在传输的过程中，一旦出现丢包现象，窗口大小将立即减小到原有窗口的一般。同时丢包后将重新传输窗口内所丢数据包后的所有数据。可见，传统的tcp协议面对传输速度增长慢、拥塞控制机制应变差、重传机制效率低下，在丢包、延时环境下很难让数据达到网络实际可达到的吞吐速度。针对传统tcp“慢上升、快下降”的低效传输机制，深信服woc提出了htp高速传输协议技术（highspeed transmission protocol）。htp协议通过扩充传输窗口、改善拥塞控制算法、选择性快速重传等技术提高tcp传输效率。如上图所示，刚好与传统tcp“慢上升、快下降”相对，htp快速传输协议对于数据传输为“快上升、慢下降”。当网络吞吐允许的情况下以最短的时间将传输速度提高到吞吐量所允许的最高；当遇到高丢包、高延时等现象，则通过优化的拥塞控制机制最大的适应网络所允许的最高传输速度，保证传输质量。通过htp快速传输协议，可显著提升在高丢包、高延时情况下的网络传输速度。flash-link畅连技术，跨运营商应用访问效果保障跨运营访问往往存在丢包现象严重的情况，无论是基于tcp还是udp协议的应用都大受影响，情况严重时甚至导致应用无法使用。针对跨运营商丢包严重的情况，深信服woc提出flash-link畅连技术，根据网络丢包率采用特定的算法优化数据发送机制，并对因丢包导致的数据包分组丢失进行数据还原，保障终端应用访问效果。flash-link畅连技术可对多达30%丢包率下的应用访问进行优化。应用加速解决技术许多应用系统在设计时是基于局域网环境的，存在高交互、小包交互的特征，如网上邻居的cifs协议、exchange等。在局域网环境下使用这些应用往往较为顺畅，但一旦搬上广域网，所有的多小包交互都将被加上广域网的限制，传输的通路不仅变长了千万倍，传输的障碍还增多了千倍，丢包、延时等让应用使用的效果大打折扣，一条订单录入所需的等待的时间往往比将信息录入订单条目的时间还长。针对应用协议本身的优化需求，深信服woc设备采用了http、https、ftp、pop3、smtp、cifs、mapi、oracle ebs、rdp、citrix等协议优化机制，可对lotus notes、exchange、outlook、金蝶eas、金蝶k3、用友nc、sap netweaver、oracle ebs、远程桌面、citrix等应用进行优化，通过协议代理、优化应用交互机制、webcache技术等大幅提高应用交互速度，提高用户访问体验。视屏会议流量保证视屏会议的特点是带宽要求高，稍有丢包和延迟，视屏会议的效果就会大打折扣，甚至无法进行；而网络中很多应用都在占用着有限的带宽资源，经常使视屏会议卡；深信服woc通过对视屏会议进行带宽保证和链路优化，保证视屏会议的流畅运行；优化前 优化后3.1.3集中管理平台深信服woc支持集中管理功能，可通过sc集中管理对所有vpn网点、vpn隧道进行统一管理、实时监控、异常告警、远程维护、智能升级。实时监控、异常告警通过深信服sc集中管理平台，it管理人员可以实时查看到整个vpn网络的所有设备的运行情况和vpn链路状态并显示整网vpn设备的拓扑，同时对于分支网点设备的异常情况能作出细致的显示。并能实时查看到任何一台设备的历史日志，方便管理人员快速查找出设备故障的原因。在线网点设备实时信息vpn网络整网拓扑查看网点异常实时信息统一配置、远程维护通过sc中心端设备可对全网vpn进行配置信息和安全策略的经加密后集中下发，有效的统一的整网vpn设备的配置、安全策略的同时，大大减少了it管理人员的工作量。设备网点远程维护对于在状态监控中发现的问题，管理人员可通过sc设备在线网点信息的远程控制功能，对分支受控端设备出现的问题进行快速处理，就像管理人员在本地操作受控制设备一样，有效减少了企业的现场维护成本。智能升级深信服sc集中管理平台可对整网的vpn设备进行统一升级，并支持对升级配置的集中下发和预订升级版本的工作日期和时间，最大的方便了管理人员在后期的网络升级中大量的重复性工作。结合到sc集中管理平台部署在总部，出口的带宽日常承载大量的办公数据及vpn接入流量，而下属vpn设备较多的问题，若是同一时刻进行策略同步或版本升级，将严重占用出口带宽，为正常的办公业务造成影响。为此，sc设备内置的任务计划功能可为分支设备设定不同的策略升级时间，消除众多分支设备同时升级配置带来的对网络出口带宽的压力。实现一个自动、可控、有序、稳定的智能sc集中升级过程。3.2 深信服ssl vpn移动办公方案价值3.2.1更安全的ssl vpnsangfor ssl vpn身份认证安全、终端访问安全、数据传输安全、权限划分安全、应用访问审计安全五大安全体系，由头至尾保证整个ssl vpn接入访问的安全性。身份认证安全多种方式混合认证许多部署在局域网内重要的应用都是采用最简单的用户名密码进行验证。使用单一用户名密码进行验证存在帐号密码遭人盗用而导致越权访问的问题，尤其对于重要的应用系统如财务、客户信息等限定在特定部门、特定人员访问的核心系统，一旦遭遇用户名密码被盗窃，其后果所造成的威胁将是不可估量的。sangfor ssl vpn支持多种认证方式的多因素组合认证，除了最基本的用户名密码认证之外，还支持ldap/ad、radius、ca等第三方认证，支持usb key、硬件特征码、短信认证（短信猫和短信网关）、动态令牌卡等加强认证方式。单一的认证方式容易被暴力破解，为了进一步提高身份认证的安全性，深信服创新性提出混合认证，针对以上认证方式可以进行多因素的“与”、“或”组合认证。“与”组合认证可实现多达5种以上认证方式的捆绑，必须同时满足才能够接入ssl vpn系统。“或”组合认证可对于以上几种认证方式进行或组合，只要通过一种认证方式即可接入到ssl vpn系统中。通过多因素组合认证大大加强认证安全的强度，确保接入ssl vpn的用户的身份的确认性。数据传输安全vpn的本质就是需要保证数据在公网上传输的安全性，达到虚拟专用网的效果。传输的安全性强度往往需要依靠vpn数据所采用的加密算法。sangfor ssl vpnsangfor ssl vpn通过aes、des、3des、rsa、rc4、签名算法等多种国际主流加密算法对数据进行强加密，保证数据传输的高安全。应用权限安全基于角色的应用访问授权在应用访问权限的划分上，sangfor ssl vpn通过ip、端口、服务、url等方式对内网应用以“资源”的方式进行定义，并基于“角色”将特定用户/用户组与相应的资源进行对应绑定，实现指定用户只能访问指定的应用的权限划分。通过独特的角色管理功能，提供了细致到每个url和不同应用的权限划分。通过给不同用户设置不同角色来分配访问授权，一个用户可以赋予多个角色以适合各种复杂的组织结构。同时，sangfor ssl vpn基于角色的授权机制可结合对客户端安全检查结果的准入和授权，做到根据用户所属角色、用户登录时间、登录终端、终端安全检查结果的细致应用访问授权。3.2.2更快速的ssl vpn对于移动办公人员，ssl vpn的访问速度直接影响到办公的效率。造成速度访问低下往往有以下几种情况：跨运营商访问、传输数据量冗余度高、高丢包高延时的恶劣网络质量、移动无线访问。要全面的提高速度，就需要解决以上几个速度瓶颈问题。针对这四大方面的问题，sangfor ssl vpn采用多种加速技术，从线路、传输协议、数据加速、应用优化四个层次进行全面优化。htp快速传输协议无论是边远地区网络线路质量低下，还是移动无线访问，其速度的低下都可反映为网络的高丢包、高延时现象。时延越大直接拖慢了整个传输速度，而丢包现象的严重将进一步的拖滞传输速度。到丢包达到一定程度，甚至双方根本无法建立连接，更不用说进行数据的传输了。数据加速技术传输的数据可分为第一次传输数据、重复传输数据两种类型。数据加速应该从这两种类型着手，尤其是对于重复传输数据冗余性非常高，需要采用最为合理的机制在保障数据实时更新的前提下最大程度的削减冗余数据。对于第一次传输的数据，需要在保证信息完整性的前提下最大程度的减少数据传输量。对于重复数据的优化，sangfor ssl vpn采用“基于码流特征的数据优化”技术最大削减传输数据量；对于第一次传输的数据，采用动态压缩、高强度流压缩实现传输数据的高优化。基于码流特征的数据优化sangfor ssl vpn融合了sangfor woc加速引擎中专利 “基于码流特征的数据优化”技术，能够大大降低广域网传输过程中的数据流量，根据实际的测试最多时甚至能够将流量减少80%以上。在广域网中传输的是数据包，就是类似于“010100011”这样的0和1的数字组合排列，“基于码流特征的数据优化”技术能够把数据包拆分成很多“碎片”，并对“碎片”分配唯一指针，将指针分别存储在本地设备和目的地主机中。当具有相同指针内容再次需要传输时，只传输指针到目的地，接收端根据指针便在本地的设备中提取出内容。只要“碎片”足够小，传递内容相同的概率就会足够大。对于同一个用户而言，往往需要频繁传输相同或相似信息，比如说某一应用系统的页面元素、数据元素，效果非常明显。区别于一般的缓存技术存在数据更新滞后等问题，基于码流特征的数据优化采用数据流cache加速技术，通过数据包分片标签机制并结合优化的模式匹配算法，在保证数据实时性的同时大大降低数据传输量提高访问速度。通过基于码流特征的数据优化技术，可大幅削减数据传输量，并可在管理员控制台查看设备整体开启流缓存功能的流量削减效果。同时，在用户ssl vpn界面查看到加速技术的应用加速效果。管理员控制台查看流缓存功能流量削减效果用户端查看应用加速效果高强度压缩技术对于第一次传输的数据，从数据加速层面最好的加速手段就是压缩技术。在数据压缩中，压缩比与系统性能是一对矛盾体，如传统的压缩算法，虽然能获得较高的压缩比，但却大大消耗了cpu等系统性能，造成其他进程运行的缓慢甚至停滞，从整体来看速度反而得不偿失。同时，由于某些数据的结构特殊性，其本身可能的压缩比不高，一旦进行压缩，消耗了大量的系统资源却没有提升速度，严重影响了整体效率。针对这样的应用背景，sangfor ssl vpn提出了动态压缩（专利号：200810065397.7）结合高效流压缩的整体压缩策略，最大程度的优化第一次传输的数据，大幅提高传输速度。通过动态压缩技术，在进行压缩时可针对不同的数据采用动态调整的最优化压缩策略，实现最优化匹配。动态选择策略可在提高压缩效率的同时，降低系统负载，从而提高整体的数据处理速度，提高业务的访问速度。sangfor ssl vpn采用lzo、gzip高效流压缩。区别于传统的压缩，流压缩可在压缩比与所消耗的系统性能之间取得最佳的平衡，以求最低的消耗系统性能，获取最大的压缩比，从整体上提供最快的数据加速效果。应用加速web/ip应用加速 webcache加速每当进行web页面访问时，web页面中的js、cgi动态元素被反复请求，每次都要占用带宽，严重影响了传输效率。sangfor ssl vpn采用webcache加速技术，利用浏览器缓存和字段检测实现动态元素的快速调取，提高动态页面的解析速度，实现用户访问的速度提升。webcache技术支持通过黑白名单的方式进行选择性缓存。 web优化现在许多web页面都是针对电脑进行设计的，一旦使用pda、智能手机等手持移动终端访问，就会出现显示比例失调、访问速度慢的问题，用户的体验大大降低。为了提升手持移动终端用户的ssl vpn使用效果，sangfor ssl vpn提出了web优化技术，通过过滤策略、缩小策略、模糊化策略等对页面元素进行智能处理，最佳的匹配手持移动终端用户的界面显示效果。同时