横向验证与纵向扫描飞亚达构建“干净”内网

1、横向验证与纵向扫描飞亚达构建“干净”内网飞亚达在对公司的网络进行改造的过程中，非常清楚所选产品有什么地方吸引自己，而不是把产品选型工作完全交给咨询专家，或跟风选择市场占有率高的产品。这种意识正是一部分国内企业欠缺的。深圳市飞亚达 (集团 )股份有限公司 (以下简称 “飞亚达” ) 成立于 1987 年，现有员工 1000 多名，拥有 12 个分公司、 6 个经销分部、 400 多家零售网点和近百家“亨吉利世界名表中心”连锁店，销售网络覆盖全国。随着公司业务规模不断扩大和分支机构日益增多，各机构远程接人、员工移动办公等需求激增，这对飞亚达原有的中央数据系统的安全性造成极大威胁。因此，飞亚达急需升

2、级网络安全性能，在保证全国各分公司、连锁网点以及移动办公人员等都可以安全、高效、快捷地连接集团数据中心的同时，能够对员工行为以及数据实现有效的控制和管理。把关用户身份飞亚达决定启动虚拟专用网络(SSL VPN)项目。据该公司 IT 部门经理张荣浩介绍，飞亚达之前的虚拟专用网采用的是IP 安全 (IPSec)技术，它有不少缺陷。首先，在账号管理、权限分配方面比较麻烦；其次，无法控制连入网络中的终端，如果有一台PC中毒，它就会不断在局域网中发送数据包，整个内网都会受到攻击，网速也会变得很慢。在确定部署虚拟专用网络后，飞亚达开始对多个品牌的产品做比较和筛选。最后，美国SonicWALL公司的“干净的

3、VPN”概念同时检验用户身份和所传递数据的安全性，确保用户不把安全威胁带人企业内网，赢得了深圳钟表企业的青睐。在项目第一期，飞亚达在集团总部部署了一套AventailSSL VPN设备。当外网终端访问集团数据中心时，该设备会进行持续的主机完整性和数据安全检查，一旦发现威胁，它马上实时启动系统隔离，保护系统安全。除了安全性， IP Sec虚拟专用网络的最大缺陷是需要在客户端上安装软件，而且不同的操作系统需要不同的客户端软件，当企业要改造网络时，管理难度将呈几何级增长。SonicWALL的技术恰恰有效地解决了上述问题。这样，无论是总部以外的员工还是商业伙伴，无论使用任何互联网设备、在任何地方，都能

4、根据需要直接访问飞亚达的集团数据中心。还让飞亚达方面松了一口气的是，该技术提高了联网效率和安全性，内部网络的基础架构成本并没有因此增加。随着公司业务扩大，业务系统也随之增加，改造初期可支持的并发用户数量很快就不够用了。 2007 年 9 月，飞亚达对公司网络进行了第二次升级，将并发用户数从 50 个增加到 250 个，同时将监控对象从外网用户扩展至内网用户，从而实现全面安全访问。除此之外，公司制定了统一的安全访问准则，并按不同安全等级，对核心系统中的各种内容实行不同的开放度控制。譬如对于安全级别高的应用，系统会启用终端数据加密保护功能，用户能正常访问这类应用，但不能进行打印、复制和截屏等操作，

5、为防止数据外泄又加了一把保护锁。构建立体防护网第一期和第二期项目解决了网络用户安全接入的问题， 2009 年初，飞亚达又启动了第三期项目。 除了将虚拟网的并发用户数量增加至 500 个以外，第三期项目最重要的工作是把原有的普通防火墙更换掉。许多企业在信息化改造时，倾向于选择一家公司的多种产品或服务，这样能避免不同品牌产品兼容性的风险，还能免除反复选择供应商而产生的成本。飞亚达也不例外。在更换防火墙时，飞亚达选定了SonicWALL的 UTM(统一威胁管理 )设备。除了上述原因， 张荣浩还介绍了该产品吸引他们的地方：易用性和可维护性较高，病毒库更新速度比较快，对国产P2P 软件 (迅雷、超级旋风等)的封堵效果比较好，虽然是国外公司的产品，但提供中文界面。UTM 设备不是传统意义上的防火墙，它是防病毒、 入侵检测防御和防火墙集成于一体的统一管理平台。如果说SSL VPN设备是在横向把关远