|
首页
|
公司简介
|
产品展示
|
解决方案
|
售后服务
|
成功案例
联系我们
 
 

解决方案

NETGEAR 成长型VPN商用网络

 

 


技术与综合应用手册
                 

 

                     

             

 

 

                     
                          
                      美国网件(NETGEAR)公司

 

目录

成长型连锁商业网络概述. 3

成长型连锁商业网络业务需求. 3

NETGEAR VPN应用技术. 4

NETGEAR VPN防火墙的技术. 5

NETGEAR VPN防火墙的特点. 6

NETGEAR  2004年在局域网VPN安全设备的新发展. 7

NETGEAR  VPN网络综合应用解决方案. 9

1、VPN客户端应用解决方案... 9

2、成长型连锁商业无线用户接入的VPN网络解决方案(小于15个用户接入)... 10

3、小于25个用户接入的成长型连锁商业网络局域网VPN解决方案... 11

4、小于100用户接入的成长型连锁商业网络局域网VPN解决方案... 12

5、小于250用户接入的成长型连锁商业网络局域网络VPN解决方案... 13

NETGEAR 成长型连锁商业企业典型成功案例. 15

三棵树连锁超市VPN安全互联应用方案... 15

肯德基( KFC)中国连锁经营店防火墙应用案例... 17

浙江绍兴珠宝集团有限公司VPN应用方案... 20

北京动感体育用品有限责任公司VPN互联方案... 23

美国网件(NETGEAR Inc.)公司简介. 26


成长型连锁商业网络概述

从全球零售业50强与中国零售业50强的最新排名中可以看出,成长型连锁商业的生命力已在传统百货业之上. 作为成长型连锁商业的经营模式目前以正在中国零售业中逐渐占主导地位。从由中国连锁经营协会发布的中国首次零售业50强排名的销售数据来看,超市公司和大型综合超市公司的增长率远远高于传统百货店。北京物美商城股份公司的增长速度最快,竟然高达169.6%,江苏苏果超市公司则以159.3%的增长率排在第二位。此外,上海联华超市公司、上海农工商超市和北京京客隆超市公司的增长率也都超过了50%. 它们在经营上采用统一的品牌、统一的管理、统一的进货渠道和价格、统一的服务以及价廉物美、品种多样化等特色已经是家喻户晓.

在网络技术迅速发展的今天,企业信息化已成为国际性发展趋势。但作为国民经济信息化的基础,企业信息化的建设和安全,同样越来越来受到各行各业和企业的广泛重视。成长型商业网络的管理、经营、决策的统一性,同样也可以通过建立和整合企业的内部局域网,实现整个企业内部沟通畅通和协调管理。

成长型连锁商业网络业务需求

今天,成长型连锁商业行业和大多数的企业一样面临着一个共同的问题:随着公司规模的不断扩大,各地分公司、连锁店纷纷建立,每个分支店却都以自己的局域网“各自为政”,如果总公司与分公司、营业店之间为了业务需要去采用专线连接的话,那么将面临昂贵的专线维护费用和可能的数据的不安全传输。如何寻找一种切实可行的解决方案,既能安全可靠地解决总部与分部、分部与分部相互之间的安全通信及信息、数据交换,又能最大限度保护原有的投资,方便、快捷的建立起一个跨地区的企业应用网络系统,已经成为一个急需解决的问题。

目前,VPN技术方案的成熟,为这些商业企业用户提供了很好的解决之道,VPN技术能够提供可靠的数据加密、信息安全交换的能力,可采用的方案有点对点、用户对点、用户对用户的连接方式,能为企业的商业运作实现一个可靠、安全的数据传输网络。

VPN技术的实现,可以解决集团及总公司要求最大可能地保证其所有的网络和系统可以得到充分的信任,可以获得良好的管理,并能够完全控制与IT基础结构相联系的安全风险水平。实现的总体目标是在不影响整个集团及公司网络系统当前业务的前提下,实现对集团公司、总公司和各经营店的网络的安全连接。

 

NETGEAR VPN应用技术

过去人们不愿意将因特网与自己公司的LAN相连,主要考虑网络安全与性能,VPN的出现打破了用户的顾虑。虚拟专用网(VPN)就是在公用网的基础上,使用专用的安全通路即隧道来支持特定用户的使用,所以VPN又戏称为“公网私用”。这种虚拟私有网络VPN(Virtual Private Network)以其安全、低廉的网络互联模式为包罗万象的应用服务提供了发展的舞台。
    虚拟专用网(VPN)是利用公众网资源为客户构成专用网的一种业务。这里所提的VPN有两层含义:
   一、 它是虚拟的网,即没有固定的物理连接,网路只有用户需要时才建立;
   二、 它是利用公众网络设施构成的专用网。
    VPN实际上就是一种服务,用户感觉好象直接和他们企业内部的网络相连,但实际上是通过租借宽带服务商提供的宽带线路(ADSL,Cable Modem,宽带以太网)来实现连接的。VPN无缝的安全连接了企业,商业伙伴和服务提供商,加强了用户、商业伙伴和供应商的联系.另外,VPN能够充分利用现有网路资源,提供经济、灵活的连网方式,为客户节省设备、人员和管理所需的投资,降低用户的电信费用.

NETGEAR VPN的应用根据应用环境的不同分为三类(拓扑结构图如下):

l                     Access VPN:

主要提供给公司内部在外出差和在家中办公,或移动办公的人员与公司建立VPN通信。使用这种VPN连接方式,能够为他们提供安全、快捷的VPN隧道连接。

l                     Intranet VPN:

主要提供给公司内部各分公司、门店与总部之间建立通信。采样网关之间的VPN 连接方式,能够把保证公司内部与远端网络数据传输的安全。

l                     Extranet VPN:

主要提供给供应商、商业合作伙伴的LAN和公司与本公司建立通信。由于不同公司网络环境的差异性,该产品必须能兼容不同的操作平台和协议。由于用户的多样性,公司的网络管理员还应该设置特定的访问控制策略,开放部分资源而非开放全部资源给外联网的用户

 

上述三种VPN网络的连接方式,针对移动用户接入、VPN网关之间的连接和用户和设备的安全身份认证均可采用共享密钥或强劲的PKI数字安全认证方式。如果采用PKI认证方式的话,每个远程连接的用户或VPN网关设备都必须申请使用认证服务器许可的私有密钥方可连接总部的网络。

另外,所有的方式的VPN应用均可根据现实的网络应用环境、应用、权限,在不改变原有网络的物理结构的情况下,定制合理的访问控制策略。

 

NETGEAR VPN防火墙的技术

Netgear ProSafe F系列VPN防火墙是一种将防火墙、VPN和动态域名支持等功能集于一体的网络安全硬件设备,专为互联网网络安全而设计,能够很好的满足用户网络现在的需求。Netgear防火墙具有硬件加速的IPSec加密算法性能、低延时,可以无缝地部署到任何网络中。

1、防火墙技术

NETGEAR Prosafe F系列真正的防火墙功能可确保企业局域网络的安全,高性能的VPN功能则可方便地实现与企业总部的广域网互联或远程员工对局域网资源的访问。为成长型商用网络提供了灵活安全、可扩展的高性价比解决方案。

Netgear全功能防火墙采用实时检测技术,先进的基于连接的状态数据包检测(SPI)防火墙技术和网络地址翻译(NAT --隐藏内部、无法路由的IP地址)提供双层的安全防护,提供 DoS保护(拒绝服务攻击保护)、入侵检测等安全特性。强大的攻击防御能力,包括SYN攻击、ICMP泛滥、端口扫描(Port Scan)等攻击防御能力,配备硬件加速的会话斜率(session ramp rates)性能,即使在最关键性的环境下也可以提供安全保护。另外还具有如IKE 认证,日志记录、Internet 访问告警、报表、基于URL的内容过滤等安全应用特性。FVL328/FVS328高性能的VPN防火墙产品更具有CA 认证支持的PKI 等高端特性

如此齐全的安全功能解决方案,采用最安全优化的硬件、操作系统和防火墙,比拼凑而成的软件类方案提供更高级的安全水平。

NETGEAR ProSafe F系列VPN防火墙还通过了公安部、ICSA和VPNC三个专业认证机构的安全检测.

2、虚拟专用(VPN)

完整的Netgear安全设备提供了一个全功能VPN解决方案,支持端到端VPN及远程接入的VPN应用。

通过VPNC测试,与其他通过IPSec认证的厂商设备兼容。

三倍DES、DES和AES加密使用数字证书(PKI X.509),自动的或手动的IKE。

SHA-1和MD5认证。

同时支持网状式(mesh)及集中星型(hub and spoke)的VPN网络,可按VPN部署的需求,配置用其一或整合两种网络拓扑。

3、动态域名支持

根据VPN虚拟专用网的组网原理,当创建VPN网络时一般要求隧道的至少一方具有固定的IP地址(有很多产品还要求双方都要求固定的IP地址)。由于申请固定IP地址的月租费远远高于动态IP地址的月租费,因此如果用户想采用宽带接入进行VPN组网的话如两端均申请动态IP地址的宽带接入方式将大大降低组网成本.

NETGEAR公司创新地采用FQDN技术,还支持多个动态域名服务提供商,并与国内大型的DDNS运营公司结盟(“花生壳”)。用户可免费从NETGEAR的合作伙伴处申请到DDNS(动态域名解析服务),在组建VPN网络时可支持网络两端均为动态的IP地址,从而降低组建VPN网络的成本。NETGEAR公司的VPN产品为用户组网带来巨大的好处,如只需申请普通的ADSL接入,就可方便便宜地组建VPN虚拟专网,实现多分支机构的广域网互连和公司远程员工的远程访问。极大地降低中小型商业企业的VPN网络建网成本。

4、强大的ASIC功能

  Netgear的安全机制采用ASIC硬件技术来处理防火墙访问策略和加密算法,这方面运算的速度是软件类方案不能相比的;同时它还可以省出中央处理器资源用于管理数据流。目前,其他采用PC或工作站作为平台的软件类方案,往往令系统性能大打折扣。

5、设备的可靠性和安全性

  Netgear将所有功能集成于单一硬件产品中,它不仅易于安装和管理,而且能够提供更高可靠性和安全性。采用Netgear设备,只需要对防火墙、VPN进行配置和管理,减轻了配置另外的硬件和操作系统。

6、完备简易的管理

Netgear的安全设备包括强健的管理支持,允许网络管理员安全地管理设备。由于VPN功能是内置的,因此可以对所有管理加密,从而实现真正的安全远程管理。

NETGEAR VPN防火墙特点

Netgear的ASIC设计与生产的高度发展解决了VPN高速度与高安全并重的技术瓶颈。对拥有多个分公司、连锁经营、远程管理人员和流动员工的集团、公司来说, VPN具有大幅降低经营成本、防止未经授权访问企业信息的内在功能,能够很好的满足集团公司安全传输的需求。

由于用户应用的多样性,集团、公司的网络管理员必要的设置网络安全参数来确定相应的访问权限,开放部分资源而非全部资源给外联网的用户,因此VPN技术还经常和防火墙紧密结合在一起。

Netgear产品将防火墙、VPN等功能集于一个平台上,并且保证了VPN的高性能。 Netgear的VPN采用IPSec协议标准,支持点对点的DES和3DES加密,支持人工与自动ISAKMP密钥管理及MD-5、SHA-1认证,能确保企业内部文件在公网上加密传输的安全性,同时可以与其他通过此协议的设备交互操作。

所有的Netgear防火墙都集成有一个全功能的VPN解决方案,为远程接入VPN应用和点到点的VPN应用,提供全面的技术支持。集团公司的VPN网络设计可采用集中星型VPN拓扑,实现全网状结构,简化远程办公室VPN的配置,同时在主要站点之间提供冗余的高性能链路。

远程用户或分散办公的员工,可采用NETGEAR VPN Client 软件集合到Netgear的VPN解决方案中。

NETGEAR  2004年在局域网VPN安全设备的新发展

从2002年第一季度到2003年第四季度,在所有数据通信技术产业当中,局域网VPN及防火墙技术得到了充分的应用和发展:全球基于局域网VPN设备的市场需求在飞速的发展,2002年,中国市场的VPN的市场销售额为3300万元,2003年市场销售增长了46%, 2003年全球VPN及防火墙硬件的营业额达到19亿美元,比2002年增加了16%。

而在所有数据通信领域的厂商当中,NETGEAR公司在中小型商业安全网络产品领域是增长最为快速的公司,尤其是NETGEAR Prosafe F系列防火墙产品连续几年在端口发货量上稳居全球第一,2003年领先于全球厂商,占据41.3%的市场份额。NETGEAR公司是成长型中小商用网络真正的网络安全专家。

随着防火墙和VPN技术的发展,NETGEAR紧跟局域网安全技术的新发展。不断完善和补充相关VPN设备以针对不同的用户群和各种行业应用。

完整的适合于成长型连锁商业网络的全系列VPN产品

多年来,NETGEAR公司一直致力于为成长型商用网络提供完整和高性价比的防火墙与VPN的安全解决方案。NETGEAR公司专门的 ProSafe™ 防火墙和ProSafe™ VPN 防火墙产品线可通过商业企业用户所需的高级加密,确保最大的隐私保护和安全性。NETGEAR公司提供能够支持 2 到 200 个 VPN 隧道的基于标准的有线和无线 VPN/防火墙以及集无线局域网接入点、路由器和打印服务器于一体的一体化设备。

防火墙功能相关认证证书:

目前NETGEAR是针对成长型连锁商业网络这一市场,唯一通过三认证的企业:

1)中国公安部计算机信息系统安全专用产品销售许可;

                      

2)国际权威ICSA组织专业防火墙产品认证

 

     

3)VPN功能认证证书

国际权威VPNC联盟组织专业VPN产品认证

            

 

NETGEAR ProSafe™ F系列防火墙产品线如下图所示:

 

NETGEAR ProSafe F系列VPN防火墙产品

FVX538:

2个10/100M广域网口

8个10/100M局域网口

200 个VPN通道

防火墙

VPN

 

建议用户终端数不超过300台的公司使用,提供网关安全保护和作为VPN网关接入。

FVL328:

1个10/100M广域网口

8个10/100M局域网口

100个VPN通道

防火墙

VPN

 

建议用户终端数不超过250台的公司使用,提供网关安全保护和作为VPN网关接入。

 

FVS338:

1个10/100M广域网口

8个10/100M局域网口

50 个VPN通道

防火墙

VPN

 

建议用户终端数不超过200台的各公司使用,提供网关安全保护和作为VPN网关接入。

FVS124G

1个100M广域网口

4个1000M局域网口

25 个VPN通道

防火墙

VPN

建议用户终端数不超过100台的各公司使用,提供网关安全保护和作为VPN网关接入。

FVS318:

1个10M广域网口

8个10/100M局域网口

8个VPN通道

防火墙

VPN

建议用户终端数在30台以内的各分公司使用,提供网关安全保护和作为VPN网关接入。

FVS114

1个100M广域网口

4个10/100M局域网口

8个VPN通道

防火墙

VPN

建议用户终端数在25台以内的各分公司使用,提供网关安全保护和作为VPN网关接入。

FWG114P

1个10/100M广域网口

4个10/100M局域网口

2个VPN通道

1个802.11g无线AP

防火墙

VPN

无线AP

建议用户终端数在20台以内的各分公司使用,提供局域网无线用户、网关安全保护和作为VPN网关接入。

 

VPN01L

/ VPN05L

VPN客户端软件

VPN客户端使用软件

公司的用户或移动用户使用。作为VPN客户端,经过授权,可以接入各分公司或总部的VPN网关。

 

NETGEAR  VPN网络综合应用解决方案

1、VPN客户端应用解决方案 

需求分析:

针对那些已建的成长型连锁商业网络经常会有这样的需求,几台收银机通过网线连接数据终端PC主机,PC机将数据采集后,通过拨号或通过路由器连接互联网的方式,将数据定期传回总部数据库。对于这样的网络应用,总部数据库是无法对个门店适时进行数据和汇总。

解决方案:

采用路由器加VPN客户端模式的局域网的解决方案,RP614宽带路由器内置4端口LAN口,可以提供3台带有线网卡的收银机和1台数据终端PC的有线连接。如果整个超市有少于10台收银机,可通过外接8端口小的交换机用于端口扩展。所有收银机通过数据终端PC机进行数据采集,数据采集终端PC机上安装NETGEAR VPN客户端软件。4端口宽带路由器可以支持各种模式的宽带接入,比如通过ADSL拨号方式连接互联网,这样就可以通过与总部组VPN网关设备建立一个VPN隧道的加密连接,达到安全、经济、却有实效、适时的VPN连接方案。

主要采用的产品:

型号

产品描述

RP614

SOHU网络宽带路由器,内置防火墙

VPN 01L/05L

VPN客户端软件,1用户/5用户许可证

网络拓扑:

2、成长型连锁商业无线用户接入的VPN网络解决方案(小于15个用户接入)

需求分析:

新建设成长型连锁商业网络中经常会有这样的需求,需要组建一个的计算机网络。比如说,有些连锁店组需要提前开张或由于店面设计的需要,但需要连接的网络设备少。对于这样的网络应用,一般投入人力物力去做网络布线构建网络显然是一种不合理的投资。

解决方案:

采用无线客户端接入加VPN的局域网的解决方案。建议此类连锁店内,总数不多于15台的收银机或PC电脑的无线接入局域网,通过VPN隧道进行数据传输。FWG114P内置2.4g 802.11g 54M AP,提供收银机和PC机的无线访问接入;广域网端口支持多种宽带接入类型(xDSL,Cable Modem, 宽带以太网),用于连接互联网;4端口局域网口用于连接有线网络设备; 同时提供2路VPN隧道的支持,提供与总部VPN网关设备做VPN隧道连接。收银机和电脑可以直接通过VPN加密隧道与总部的数据库适时数据交换,而且这种方案最好的保护了节省了投资、减少了布线所带来的麻烦。              

主要采用产品:

型号

产品描述

FWG114P

具802.11g 54M AP的宽带防火墙,内置2路VPN隧道。

WG511

802.11g 54M无线CardBus笔记本电脑卡

WG311

802.11g 54M无线PCI卡

WG121

802.11g 54M无线USB适配器

网络拓扑:

3、小于25个用户接入的成长型连锁商业网络局域网VPN解决方案

需求分析:

针对那些已建设或新建设的初具规模的连锁店,已敷设了有线网络布线系统, 网络内部收银机和电脑需与总部适时安全传输数据。

解决方案:

此类连锁店网络设备总数不多于25台的收银机和PC电脑采用有线方式的局域网,通过VPN隧道传输数据。收银机和电脑通过有线网卡连接10/100M兆24口交换机,通过NETGEAR FVS318 VPN 防火墙连接宽带接入,由FVS318与总部VPN网关设备建立VPN隧道。FVS318支持多种宽带线路接入功能,8口10/100M端口可以用于连接交换机和电脑,局域网内所有收银机可与总部数据库直接进行适时传输。此方案具有灵活的扩展性,以后可灵活添加无线AP,为那些新增加的收银机和工作站,但没有敷设网线的工作节点。

   主要采用产品:

型号

产品描述

FVS318

NETGEAR VPN防火墙,1个10M WAN口,8个10/100M LAN端口,具8路VPN隧道。

JFS524

NETGEAR 24端口10/100M  非网管交换机

网络拓扑:

4、小于100用户接入的成长型连锁商业网络局域网VPN解决方案

需求分析:

对于具有小于100个网络用户接入的连锁店来说,网络也具备了一定的规模。一定数量的连锁店管理人员的电脑和收银机将同时与总部保持着适时的连接,对网络的性能也具有了一定性能和稳定性的要求。

解决方案:

针对有可能的工作人员的增加和网络应用数据传输量的不确定,合理的设备选型和资金投入是必要的.我们推荐局域网交换机采用2 台NETGEAR的WEB Smart智能交换机FS750T,FS750T具有48口10/100M ,2口10/100/100M端口,两台FS750T通过2个10/100/100M千兆端口进行捆绑,提供2台交换机之间4G的连接主干。WEB Smart智能系列交换机具有非网管交换机的价格,却提供了可网管2层交换机的性能和功能。

对于小于100个用户接入的网络VPN连接,我们建议使用NETGEAR FVS328 VPN防火墙。具有FVS328  50M+防火墙性能,15M+ VPN 3DES加密性能。具有多种宽带线路接入功能,8口10/100M端口可以用于连接交换机和电脑,提供局域网内所有收银机可与总部数据库进行适时传输。

此方案具有较高的数据交换机能力和性能,网络结构有着很好的灵活性和扩展性,以后可灵活添加无线AP,为那些没有网线的或新增加的收银机和工作站,提供有线+无线的便利的局域网络连接。合理的设备配置大大提高了网络的性能和稳定性,同时也节约了网络建设的投资成本。

主要采用产品:

型号

产品描述

FVS328

NETGEAR VPN防火墙,1个10/100M WAN口,8个10/100M LAN端口,具50路VPN隧道。

FS750T

NETGEAR WEB Smart 智能交换机,48口10/100M端口,2个10/100/1000M端口

网络拓扑:

 

5、小于250用户接入的成长型连锁商业网络局域网络VPN解决方案

需求分析:

对于具有小于250个用户局域网接入的大型连锁店来说,网络以是具有很大的规模了。同时也可作为整个VPN网络的中心网关设备或分中心的网关设备,与分支连锁店VPN设备连接。众多的办公室管理人员、部门管理人员和工作人员的电脑加上几十台收银机将同时与中心数据服务器或各连锁超市店网络保持着适时的数据传输连接,网络的建设必须具备高速的数据交换能力和高稳定性的要求。

解决方案:

针对此类大型连锁店的网络设备的性能和可靠性要求,高速交换设备成为首选,我们推荐局域网交换机采用NETGEAR的WEB Smart智能系列交换机,中心交换机采用1台GS724T千兆交换机,GS724T具有24口10/100/1000M 端口,2口SFP GBIC千兆上连端口,千兆端口用于工作组交换机的连接和重要网络服务器及工作站的连接。工作组交换机选用FS750T或FS726T智能交换机, 48/24口10/100M端口,2个10/100/100M端口可提供工作站的连接。WEB Smart智能系列交换机具有非网管交换机的价格,却提供了可网管2层交换机所有的性能和功能。

同时,对于小于250个用户接入的局域网络VPN连接,我们建议使用NETGEAR FVL328 VPN防火墙。FVL328 VPN防火墙 具有50M+防火墙性能,15M+ VPN 3DES加密性能。支持多种宽带线路接入功能,8口10/100M端口可以用于连接交换机和电脑,提供局域网内所有收银机可与总部数据库进行适时传输。

此方案具有非常高的数据交换机能力和性能,网络结构有着很好的灵活性和扩展性,以后可灵活添加无线AP,为整个局域网络提供了有线+无线的丰富接入方式。

合理的设备配置大大提高了网络的性能和稳定性,同时也节约了网络建设的投资成本。

主要采用产品:

型号

产品描述

FVL328

NETGEAR VPN防火墙,1个10/100M WAN口,8个10/100M LAN端口,具100路VPN隧道。

GS724T

NETGEAR WEB Smart 智能交换机,24口10/100/1000M 端口,2个SFP GBIC端口

FS750T

 

NETGEAR WEB Smart 智能交换机,48口10/100M端口,2个10/100/1000M端口

FS726T

 

NETGEAR WEB Smart 智能交换机,24口10/100M端口,2个10/100/1000M端口

 

网络拓扑:

 

NETGEAR 成长型连锁商业企业典型成功案例

三棵树连锁超市VPN安全互联应用方案

        

陕西三棵树超市商贸有限责任公司是一家中型连锁百货超市,经过近几年的发展,公司已成功的在西安市拓展了7家连锁店。每个连锁店拥有先进的计算机管理系统,前台的POS收银机与后台的微机室的服务器相联,可同步的实现当时的销售,库存状况,但由于地理位置上的隔离,公司总部对于每个店面的即时数据信息的获取,只能靠每个店面生成报表,通过电话拨号上网的方式,发送数据给总部。总部再对分部发送报表进行整理再查看。三棵树连锁超市在西安市的分店共有六个,分别是:南二环东段店 // 建设西路店 // 北大街曹家巷店 // 龙首村店 // 经二路店// 北郊徐家湾店,整个超市商贸有限责任公司的公司总部设在东郊田家湾。

随着公司业务量的增加,每天的销售与日俱增,为了实现总部对分部的库存的调配,以前的方法是要微机室的工作人员得不断的向总部发送报表。而且总部接收的报表不能生成数据库文件,不便于查阅,销量的增加、区域的扩大,给物流、综合管理带来了很大的难度。

 

考虑到以上的情况,三棵树超市电脑部的江经理想通过7个分支机构能连成一个有机的一体网络来实现运行他们公司业务的进、销、存管理软件。这就需要有一个远程互联网的解决方案,才能解决这个问题。

 

铺设光纤是不太可能,运营成本太高。而采用基于Internet的VPN技术进行互连是个比较理想的解决方案,即只在有宽带接入的地方通过VPN设备利用互连网进行联网。
由于VPN技术方案的成熟,为企业用户提供了很好的解决之道,为企业的商业运作实现一个可靠、安全的数据传输网络。陕西三棵树超市希望通过建立VPN工程,能够实现总公司与各连锁店之间业务的应用。

 

而根据VPN虚拟专用网的组网原理,当创建VPN网络时,一般情况下要求VPN通道中至少有一方或多方具有固定的公网IP地址。由于中国地区IP资源的匮乏,使国内大部分地区申请固定公网IP地址的月租费极高,而有些地区甚至就不提供固定公网IP地址租用。这种状况导致一直将运作成本作为首要考虑的中小企业,不得不把组建企业VPN的计划暂时搁置。

 

三棵树超市在陕西时空数码科技公司的建议下,其他六个分店都申请了动态拔号ADSL宽带线路,根据三棵树超市的实际情况,要实现六个分支能够互相运行零售管理软件的同时又要保证数据能在安全的在公网上进行传输。在考虑了多个厂家品牌的VPN的产品后,最终把选型目标定在美国网件公司的VPN防火墙FVS318上。因为NETGEAR的经典VPN方案满足了陕西三棵树超市基于以上的实际需求和将来可能的需求,即实现总部与各连锁店之间数据和信息能够安全、保密、高速、稳定的实时传输 。

 NETGEAR公司FVS318方案能确保实现以下功能:
1) FVS318具有支持动态IP组建VPN网络的功能
2) 能够实现使用方便、维护简单、费用低廉、连接快速。
3) 总部和各连锁店的INTERNET接入安全,保护总部和各连锁店的内、外网安全。
4) 确保总公司和各连锁店的数据在INTERNET上传输时,能够实现机密性、完整性和可用性。
5) 确保网络连接和VPN通路的稳定,高效,便于维护和管理。
6) VPN系统建设的重点要保证总部和各连锁店数据传输的安全,确保总部和各连锁店不受攻击。

 FVS318产品广域网口能支持固定IP、动态拔号线路的接入,同时提供了防火墙、8路VPN功能及有8口10/100M交换机口并且每个口可与其它交换机进行联连。通过用七台NETGEAR FVS318,每一分支与总部建立一条VPN线路。客户花了不到肆万元就很好地解决了用户的需求及节省了不少通信费用。
网络的连接示意图如下:

利用ADSL宽带接入和VPN技术方便地将具有多个分支机构的中小型业建立联网信息通信平台。
应用效果:

          三棵树超市的的VPN网络建成后,逻辑上将7个在物理位置不同的网络形成统一的公司内部网,这样采用统一的公司财务部数据服务器,总部与分部的财务人员就可以使用统一的数据库,这样大大提升了公司财务部的工作效率,而且双方可以进行数据共享,文件传送等原来做不到交流。经过客户使用一段时间后,效果良好,得到了用户的高度评价。
为什么选择NETGEAR产品

         高额的固定IP地址的月租使得VPN产品过去只有银行,大型企业等少数行业能用得起,现在只要用网件的VPN防火墙FVS318,只要有联网需要的中小企业也能够轻松实现远程异地联网。
         众所周知,现阶段电信运营商提供的接入方式有虚拟拨号和专线接入两种常用的方式,如下表所示:

而两种接入方式的差别就是提供给前者的是动态IP,后者是静态IP。虚拟拨号月租是120元,专线月租是2000元。两者的费用相差16倍还多,这是很悬殊的差别。采用NETGEAR FVS318来组建此网络,单从月租方面美国网件的VPN产品就为客户节省了巨大的开支。

 

本案全部采用美国网件公司的FVL318 ProSafe VPN宽带路由器系列网络产品。具有高性价比的FVL318产品最大的特点是能同时启动多达8个IPSec VPN隧道,动态域名解析技术可支持VPN网络的任意一方为动态地址来组建VPN网络,从而降低运营成本,最大程度提高网络的安全性。

 

 

 

 

 

 

肯德基( KFC)中国连锁经营店防火墙应用案例

百胜餐饮集团--肯德基连锁店网络概述

作为餐饮行业的龙头老大百胜集团旗下现有五朵金花,肯德基、必胜客、Taco Bell、A&W All American Food 和 Long John Silvers 分别涉足了炸基、匹萨饼、墨西哥菜、热狗汉堡、海鲜休闲快餐五大餐饮经营市场。作为中国餐饮连锁店经营模式典范的肯德基连锁经营店,目前已有1000多家分店,分布在中国内地200多个城市,以直营店为主,加盟店占4%至5%左右. 经营上采用统一的品牌、统一的管理、统一的进货渠道和价格、统一的服务以及价廉物美的美食、品种多样化等特色已经是家喻户晓.

应用需求分析

目前, 肯德基连锁经营店随着大量的业务及内部的供应链优化和外部的市场竞争要求,需要企业对市场的供应价格及销售的分析能有快速的反应, 结合企业业务系统和电子商务系统来加强内部信息的沟通,以实现经营管理共享性和时效性, 发掘管理效率. 实现管理、经营、决策的统一性,沟通畅通和协调管理。 从而最大可能地达到内部和外部资源的最优利用.

现实情况是, 肯德基(KFC)在中国的销售规模的不断扩大,各省市、地区分公司、连锁店纷纷开张,每个连锁经营店都以拨号线路的方式通过互联网与各自省、市公司进行业务信息的传输、查询。由于各店的业务人员对计算机的知识和维护技术能力有限,再加上业务主机通过拨号连接互联网后,将直接面临来自互联网的病毒和黑客的攻击。曾经发生过某几个连锁店的主机受蠕虫病毒和黑客的攻击,主机系统崩溃,导致当天无法进行营业的严重后果。

值得关注的是,由于肯德基(KFC)连锁经营店有许多加盟店,加盟店业主的对投资成本会非常关注,所以所推荐的产品希望是物超所值的设备。如何才能经济、安全、方便、快捷的建立起一个跨地区的企业应用网络系统,已经成为一个急需解决的问题。

技术方案

针对肯德基(KFC)连锁经营店目前的现状和所面临的问题。NETGEAR公司做了认真的调查,并率先和肯德基(KFC)浙江公司的技术人员一起仔细研究了可实现的各项解决方案的可能性、可行性和真实环境的测试。最终选择了NETGEAR公司的ProSafe FR114P防火墙的设计方案。

整个项目设计要求最大可能地保证其所有的网络设备和系统的正常运行,并且可以获得良好的管理,能够完全控制与IT基础结构相联系的安全风险。实现的总体目标是在不影响集团公司网络系统当前业务的前提下,实现对KFC各公司和经营店的网络的安全、高速、稳定的实时连接。

根据项目的具体要求及结合NETGEAR公司安全可靠的防火墙产品,在2004年9月此项目的网络建设得以落实,目前一期项目实施的有:肯德基(KFC)浙江公司和肯德基(KFC)广东公司。总计购买NETGEAR ProSafe 防火墙近400多台。

一期网络的连接示意图如下:(共2个公司,总计下属近400多个连锁经营店)

NETGEAR公司ProSafe FR114P方案能确保实现以下功能:

1.        支持各种宽带类型线路(ADSL、Cable Modem和以太网接入);为各连锁店提供了方便、灵活、经济的通讯方式的选择。

2.        内置4个10/100 Mbps局域网端口,可直接连接计算机或连接原有局域网的交换机。并且每个端口都自识别正反线的连接。

3.        使用简单,省去了原有拨号上网的繁琐,使用者只需打开计算机,运行业务软件,就可以直接连接公司的数据服务器。

4.         内置先进的SPI防火墙+NAT机制, 具有DoS保护(拒绝服务攻击保护)、入侵检测等安全特性,能安全的抵御来自于互联网的侵害;

5.        最安全优化的硬件、操作系统和防火墙,实时检测技术。比拼凑而成的软件类方案提供更高级的安全水平。

6.        能够根据IP地址、协议端口、服务、关键字以及时间段提供内外双向的安全控制机制. 特别是象对互联网上蔓延的“蠕虫”的防护。

7.        内置打印服务器功能,对一些需要共享打印机的连锁店来说,使用更方便。

8.        具有支持动态IP域名(DDNS)的功能;便于统一远程维护和管理。

9.        更具特色的是--广域网IP更改通告,当各连锁店的FR114P重新获得动态IP时,能及时将更改的信息通过E-MAIL的形式告知公司网管。以防止DDNS发生异常后,管理员无法远程维护。

10.   支持受攻击和异常情况E-MAIL通告.管理员可以及时获知连锁店防火墙设备的安全情况。

11.   设备安装设置简单方便。内置智能安装向导,能全过程辅助连接设置,并且能自动识别各种广域网线路类型。

12.    内置UPnP自动端口映射(UPnP TM)技术,未来可以提供来自于互联网的语音(VOIP)和视频服务的支持,并且能和其他基于以太网的设备提供更好的互操作性

13.    网络扩展简单,每开家新店,只需添加一台FR114P防火墙。并且也节省了新店的投资成本。

14.   产品具有稳定性,和可靠性。此款产品以是全球用户使用认可的畅销产品。

15.   设备价格在同类型知名品牌内极具市场竞争力,并且目前是国内唯一一家获得专业的国际权威的ICSA  4.0安全认证和国内公安部安全销售许可证的产品。

16.   NETGEAR Prosafe F系列防火墙产品连续几年在端口发货量上稳居全球第一,2003年领先于全球厂商,占据41。3%的市场份额。NETGEAR公司是成长型中小商用网络真正的网络安全专家。

应用效果

该项目经过对互联的业务数据传输的稳定性、数据包时延、安全性、管理和维护性等各项性能参数进行收集、分析,结果满足了肯德基(KFC)中国连锁店关于该部分网络的设计要求。并且经济实惠。部分地区已经过几个月的试运行,整体设备运行稳定。得到了用户的认可和赞同。目前以在进行大规模的安装实施阶段。

 

 

 

 

 

浙江绍兴珠宝集团有限公司VPN应用方案

用户概况

浙江绍兴越王珠宝集团有限公司, 是浙江地区最大的珠宝制造及销售公司,总部位于浙江绍兴地区,越王珠宝集团具有百年历史, 在浙江各地区以是家喻户晓的知名品牌。 目前已有40多家分销店面,业务遍布比较广.

需求分析

浙江绍兴越王珠宝集团有限公司目前已有的40多家分销店面之间都没有实现互联, 为了加强统一的管理和ERP业务系统实施的需要, 希望能每个分店要把当天的销售数据及时传给总部,以便公司总部管理人员从繁重的数据分析中解脱出来,把更多的精力用于管理、组织、监督和协调。同时随时能获悉销售情况和库存数量,及时掌握市场信息并调整营销策略。

随着互联网的迅猛发展, 宽带线路的使用费用以是企业所能承受的. 在浙江地区集团大用户向电信统一申请10M的以太网光纤,用户前期无需投入的任何成本, 只需每月付宽带线路的租用费.,所以对于越王珠宝实施ERP业务系统来说, 选用VPN互联是个很好的机会,整个项目联网要求如下:

·         为总部和每个分销店面申请了一个10M的光纤线路.

·         实现整个越王珠宝集团ERP业务系统适时互联, 发生的每笔销售将直接输入业务系统内.

·         整个网络互连平台具有稳定性, 可靠性, 以确保整个ERP业务系统的每个子系统正常运转,如销售系统、调配系统、资源管理系统、人事系统、财务系统、统筹及决策系统。

·         实现所有分销店面与总部之间的业务资源共享. 如企业内部WEB服务器、E-MAIL系统等等。

·         每个门店将会安装一门浙江电信的语音(VoIP)电话,需要实现所有门店通过互联网的语音(VoIP)通话。

·         可根据各分销门店的实际业务需求,提供开放或限制互联网的访问的手段。

·         网络具有可扩展性,为未来新开分销门店简易的连接入总部网络。

·         未来需要把公司WEB服务器接入Internet

技术方案

在详细的分析了浙江绍兴越王珠宝集团有限公司的需求, NETGEAR公司进行了深入细致的调研和仔细的现场规划设计,为用户设计了一整套简约、实用、完整和安全的网络方案。

VPN 连接示意图如下:

 

VPN 网络连接方式

 

总部

采用一台NETGEAR FVL328 作为公司总部的 VPN 网关,通过电信10M宽带线路接入互联网。经过相关的配置,即可提供公司总部与各分公司之间或移动管理人员访问公司总部网络的VPN 加密连接。 FVL328 具 1 个 10/100M 广域网口, 8 个 10/100M 局域网口, 而且还具有 100 个隧道的高性能 VPN 防火墙 , 它能同时启动多达 100 个 IPSec VPN 隧道,50M的防火墙吞吐量,15M加速的3DES加密。SPI+NAT双重防火墙的安全保护,提供了总部局域网最大程度安全性。同时凭借 8 个自适应 Auto Uplink交换局域网端口,可以同时提供250 个用户同时接入宽带连接。整体的降低总部的网络管理成本。

分店

由于各个分店具体情况差不多.所以40多家分店都采用美国网件FVS318作为分店的网关,通过电信宽带线路的接入(ADSL和宽带以太网线路)。 FVS318 是具 8 个隧道的 VPN 防火墙,有 1 个 10M 广域网口, 8 个 10/100M 局域网口。凭借 8 个自适应 Auto Uplink™ 交换局域网端口,提供了15个以内的分销店用户同时访问总部资源和互连网。SPI和网络地址转换 (NAT) 路由,提供了分公司最大的安全性。经过简单的配置,就可以实现与公司总部或相应的分公司进行 VPN 加密连接。

 

方案特色

 

. 降低成本
    借助电信运营商(ISP)的宽带线路来建立VPN,可以节省大量的通信费用。加上选用具有市场竞争力价格的美国网件VPN产品,整体的降低了绍兴越王珠宝集团VPN网络建设的成本。美国网件VPN防火墙产品还具有最先进的DDNS技术,对于动态IP地址的ADSL接入线路也可以实现VPN互连。

 二.  容易扩展
     如果日后想扩大VPN的容量和覆盖范围。总部需做的事情很少,而且能立时实现:企业  只需与当地ISP签约,开通宽带线路后,简单的安装配置VPN设备。另外,开放式的网络平台,让企业更容易的扩展新的应用和需求

. 强大的安全性和广泛的兼容性

NETGEAR 是SPI防火墙,不需要其他平台的支持,安全性极高。由于整个ERP业务系统的特殊性,要求绝对保障数据的安全性,NETGEAR VPN防火墙采用的通用的IPSec安全机制, 从技术保证了从互联网传输通信的安全性:隧道协议、身份验证和数据加密(DES,3DES);合理的控制手段,可以轻易的实现只允许VPN的访问,关闭互联网的访问。NETGEAR VPN防火墙内置的SPI防火墙+NAT机制能安全的抵御来自于互联网的攻击,也能够根据IP地址、协议端口、服务、关键字以及时间段进行安全控制。NETGEAR VPN设备支持端口转发、虚拟DMZ主机特性,总部采用的FVL328更能同时对互联网开放7台DMZ主机的服务。

NETGEAR VPN设备采用的UPnP自动端口映射(UPnP TM)技术提供了互联网的语音(VOIP)电话和视频服务的支持,并且能和其他基于以太网的设备提供更好的互操作性

NETGEAR 防火墙通过 VPNC 测试,与其他通过国际VPNc组织认证的厂商的IPSec VPN 设备相兼容。

四.易用性

   对于各门店的营业员来讲,VPN连接后的使用非常容易。他们无须面临使用VPN网络所带来的艰辛学习挑战。即不需要去学习如何连接互联网,也不需要去学习如何配置VPN设备。他们仅需要学习如何将销售数据输入到业务系统中,必要时去查看NETGEAR VPN设备电源是否接通,状态灯是否异常(正常运行时,面板状态灯均是绿色)。所有分销门店的VPN设备均由总部网管员统一远程维护和监控。

五.方便管理和配置

   建立后的VPN网络的维护和管理非常简单,所有NETGEAR VPN设备均可网络管理员通过WEB浏览器进行远程配置、管理和升级。NETGEAR 公司为了简化网络设备的安装与配置,采用了创新的基于WEB浏览器界面 的智能安装向导和VPN智能配置向导。一台全新的VPN设备,只需能连到互联网,网络管理员就可以轻易的从远程进行配置与总部的VPN互联。

应用效果

整个浙江越王珠宝集团有限公司VPN项目的设备目前已安装完毕,并且VPN网络系统正常运行几个月以来,美国网件优质的产品稳定性和良好的服务, 得到用户一致的高度评价.

 

 

 

 

北京动感体育用品有限责任公司VPN互联方案

用户状况

北京动感体育用品有限责任公司是一家从事体育用品销售的企业,公司在北京有多家专卖店及分支机构。总部现有计算机20多台,通过ADSL代理服务器上网。专卖店通过拨号方式接入总部,专卖店需要实时将信息传送到公司总部,总部也需要将反馈的信息实时向专卖店下达,实现公司业务数据的流通。由于拨号线路只有一条而分部众多,导致在拨号线路上的冲突和数据拥塞,影响日常工作效率。

用户需求

随着公司业务的迅速发展,分支机构相继多了起来,信息交互也越来越频繁,重要的数据和信息在网络中传输也越来越多,安全性要求也越来越重要,目前仅仅依靠Modem拨号的组网模式已经越来越不适应公司对信息传输平台的要求。由于使用专线互联,随着分支机构数量的增加,那么用于专线租用的费用也会提高,但是如果采用VPN互联网络,由于它以INTERNET为承载网,只需交纳上网费用即可,大大节约了成本。

技术方案

根据北京动感体育用品有限责任公司现在网络的实际情况和应用规模,建议其采用VPN技术代替Modem拨号以实现总部与各个分支机构和重要专卖店的网络互联,网络拓扑图如下。

位于东单的总部采用一台FVS318,在东城区,西城区的其中3个专卖店中各放一台FVS318。分店通过VPN向总部发送销售报表,货物资料等公司机密数据。

总公司采用一条ADSL并具固定IP地址的宽带接入,各专卖店均采用普通动态ADSL宽带接入技术,这样就能够保证司对于业务的需求,并且在维护上,比普通的DDN专线接入技术,成本低廉,技术简单,维护方便。ADSL宽带技术能够提供上行1M,下行8M的高速率传输,完全能够实现在加密的前提上,保证公司业务数据的正常传输。各专卖店在没有与总公司进行数据传输时,可以通过ADSL接入技术访问互联网。当与总公司或各分公司之间需要传输数据时,能够自动转为VPN加密传输,丝毫没有任何的影响。

分店和总部均采用了具8个加密隧道隧道的VPN防火墙FVS318,FVS318是美国网件的一款高性价比防火墙。这些产品广域网口能支持固定IP、动态拔号线路的接入,同时提供了防火墙、8路VPN功能及有8口10/100M交换机口并且每个口可与其它交换机进行联连。它利用 SPI、URL 访问和内容过滤、日志记录、汇报及实时告警提供最高的安全性---拒绝服务(DoS)攻击保护和入侵检测。并且它能同时启动多达8个IPSec VPN隧道,允许对分支机构和“出差”移动工作人员的连接进行保护,从而降低公司的运营成本,最大程度提高网络的安全性。凭借8个自适应Auto Uplink™交换局域网端口和网络地址转换路由,使多达253个用户可以同时接入公司的宽带连接。通过用四台NETGEAR FVS318,每一分支与总部建立一条VPN线路。客户花了不到二万元就很好地解决了用户的需求及节省了不少通信费用。

对于在外地出差的用户,如果想联入总部或任何一个分支机构的内部网络,我们建议在其电脑上安装对应的VPN CLIENT软件。当出差的移动用户连上公网后,打开VPN CLIENT软件,输入密码,软件会根据事先配置的策略自动与总部或分支机构的VPN设备建立起安全的隧道。

美国网件的VPN网络解决方案不仅支持IPSEC等协议,以及DES、3DES、AES加密算法,同时还可通过IKE、共享秘钥进行身份认证等方式,加强内部网络的安全性能。另外,在数据传输的过程中,由于美国网件的FVS318 VPN产品中设置了硬件防火墙和状态检测功能,因此既可在NAT模式下实现网络地址的转换,保障内部网络的安全,同时也可以防止诸如DoS、PING包等多种方式的攻击,为分布在各地的工作人员提供安全的点到点和远程访问通讯。美国网件产品内置的防火墙功能可将总部和分支机构的局域网与公网进行安全隔离,使网内的数据库服务器不再暴露于公网之上,处于安全保护下,从而为企业原有的应用系统提供了一个专用、安全、高效的网络应用环境。

方案特色

从经济方面考虑,VPN互联网络以INTERNET为承载网,要比专线互联方式大大降低公司维护网络的费用。

从安全方面考虑,电信提供的DDN、Modem等传输平台没有经过加密处理和认证功能,重要数据和信息均是以明文在网上传输,企业内部员工的越权访问、误操作、有意或无意的泄密、甚至是少数员工恶意的破坏,都会对企业的信息和数据造成很大的威胁。而VPN技术则在隧道中采用了最高达168位的加密算法和信息摘要算法能很好的保证传输数据的机密性和完整性。

从实施简易程度方面考虑,通过VPN技术进行互联,只需总部和分支机构能够上网即可,除此之外,无需做任何改动。部署时间最多只需几天,不影响公司日常业务的运行。

总结

这是个成熟的VPN技术方案,为用户提供了很好的解决之道,VPN技术能够提供可靠的数据加密、信息安全交换的能力,可采用的方案有点对点、用户对点、用户对用户的连接方式,能为企业的商业运作实现一个可靠、安全的数据传输网络。 作为全球成长型中小商用网络真正的网络安全专家,美国网件专门的ProSafeTM防火墙和ProSafeTMVPN防火墙产品线已连续持续多年稳居全球发货量第一名,优秀的品质加上其与代理商及其合作伙伴共同提供的优质服务,赢得了国内用户的青睐。

 

 

美国网件(NETGEAR Inc.)公司简介

全球成长型商用网络的专家与无线网络的先驱和领导者美国网件(NETGEAR)于1996年1月创立,长期致力于为企业用户与SOHO用户提供简便易用并具有强大功能的网络综合解决方案。网件总部设在美国加州硅谷圣克拉拉市,业务遍及世界多个国家和地区,是美国硅谷连续六年增长速度最快的50家企业之一。同时,美国网件与多家业内知名厂商保持着长期的良好合作。

2002年,在业界普遍低迷的情况下,网件实现了30%的业绩增长,达到2.6亿美元的销售业绩。这是对其作为先驱,多年来开拓中小企业网络市场和家庭网络市场的丰厚回报。至此,美国网件已稳居中小规模网络/SOHO市场销售额的前三名,在整个无线局域网市场销售额居第三位。并于2003年7月31日,美国网件公司(NETGEAR Inc.)作为2003年唯一网络产品厂商以“NTGR”的股票代码在美国Nasdaq正式上市,股票总数为2720万股,公司市值达3亿8100万美元。

美国网件(NETGEAR)一直致力于网络的技术创新,追求品质与应用并重的理念,为全球企业用户提供使用简便的高质量网络解决方案。特别是在中小规模网络与无线网络领域,拥有着无人能及的技术研发力量,也正因为如此,网件在这两个市场领域中保持着绝对的领先优势。更引人注目的是,网件以强劲的发展势头成为目前所有网络厂商中增长最为迅速的公司,全球业绩增长连续多年名列第一。

美国网件(NETGEAR)将在中国销售业界领先的全线产品,包括:千兆局域网系列、智能堆叠局域网系列、无线网络产品系列、防火墙系列、宽带接入路由产品系列、VPN安全产品系列以及专为中小规模网络用户设计的多功能产品系列,同时这些产品配以网件精心设计的高性价比解决方案。无论是产品还是解决方案都将最先进的网络技术融入其中,在同类产品中居于全球领先地位。

美国网件(NETGEAR)在中国市场以“品质网络轻松建”之理念,致力于推动企业网络构建与应用,为中国网络用户提供使用简便的高质量网络解决方案。努力塑造“中小规模网络安全先锋”与“无线网络先锋”形象。将最新的产品与技术带给中国的网络用户。

美国网件(NETGEAR)对中国市场抱有很大信心,并已经在中国制定了长期的发展策略。2003年,美国网件已经在香港设立了国际运作总部,并将于2004年上半年在国内成立销售服务支持中心,届时能为中国实现快速便捷本地化运作服务体系。

           全国免费技术支持热线:028-66168866    www.unihall.com.cn

.