招商局部署SSL VPN+上网行为管理+广域网加速产品

网络
招商局集团通过广域网加速+上网行为管理+SSL VPN远程登录的整合解决方案,成功解决了数据中心数据传输面临的速度、安全问题,也对整个的业务网络的安全与规范、应用系统使用进行了卓有成效规范管理。

【51CTO.com 综合报道】招商局集团是中央直接管理的国有重要骨干企业,被列为香港四大中资企业之一。集团现有业务涉足金融、码头、海运、房地产、物流、交通、工业等,下属的上市企业20多家,招商局创建的知名企业有:招商银行、招商证券、招商局国际(HK)、招商地产、招商轮船、深中集、深赤湾、平安保险等。

在多元化的发展中,招商局的信息化建设一直秉承推动集团业务发展的思路,通过前瞻性的信息化建设,降低企业IT运营的成本、优化企业运营的流程、增强企业的业务效益,是招商局信息化建设一直努力的方向。

目前,招商局已建立起成熟的数据中心灾备体系,力求不断降低集团的业务运营风险,打造高效快速的业务体系。2002年,集团规划了二个中心五个信息站的IT建设思路,以应对相当数量的下属公司总部身在香港,90%的企业又在内地的情况。香港深圳各建一数据中心,两地互为灾备,这既能保证下属企业(内地、海外)高效地访问数据中心,又减少了跨境通信线路带宽的需求这降低成本,也实现了灾难备份。目前,两地数据中心承担下属300多家实体企业的门户、协调办公、财务管理、资金管理等应用。

随着信息化建设的不断深入,招商局集团的业务信息系统由分布式部署逐步走向集中管理,以前双运营的数据中心,逐步发展为一个生产、一个备份的机制。问题也随之而来:

一、数据中心跨境线路面临的带宽压力

招商局深圳香港两地的数据中心是通过跨境专线互联的,整个专线承载着集团各类应用系统、高清视频会议系统、集团IP语音电话系统等。视频会议系统、语音系统数据包一般不可压缩,大量的数据包传输对有限的专线造成了巨大的压力,导致数据拥塞,用户响应速度很慢,尤其是在高峰期间,甚至导致用户访问中断。

广域网加速解决方案

针对这种情况,是扩充专线,还是进行线路传输加速?经过深入分析,招商局最终选择了广域网加速解决方案,因为招商局现有的相当数量的业务系统交互频繁、传输协议本身限制了数据传输速度,单纯提升专线带宽并没有显著效果,并且将大幅增加集团的带宽成本。 

 
图1   招商局广域网加速设备部署示意图

通过对国内外厂商深入考察,经过长达半年的测试对比,招商局最终选择了深信服广域网加速设备。在实际应用环境下,深信服广域网加速设备对两地数据中心的数据传输平均提速达2.7倍,这极大地缓解了深港两地的通信压力,用户反映良好。按照国际跨境DDN线路租金来看,这项投资每年可为集团节约通信费50多万元。这也为招商局未来的网络建设提供了较好的平台。

二、数据中心、各地分支互联网出口带宽的压力

招商局曾遇到这样的问题:重庆分支访问深圳数据中心邮件系统时,速度非常慢,经过测试,我们发现原因在于重庆分支内网里,很多用户在进行P2P下载或在线视频,这挤占了正常的业务带宽,事实上,深圳、上海、北京等地也存在着这种情况,如何保证数据中心互联网出口的业务带宽呢?

上网行为管理解决方案

通过在互联网出口部署深信服上网行为管理设备,招商局成功降低了数据中心及各地分支带宽租用的成本。因为深信服上网行为管理设备成功杜绝了内网用户的P2P行为、在线看电影等行为,确保了有限的带宽资源全部为业务系统使用,这提升了单位的带宽利用率。针对关键的业务应用、核心业务部门进行带宽、流量的分配,招商局成功保障了相关业务应用的带宽,并且做到了根据业务、职位岗位需要,对内网不同层次的用户进行互联网访问权限的控制。

上网行为管理设备也保护了内网关键服务器的安全,大大减少了互联网流入内网的病毒威胁。因为通过在数据中心、各分支机构网络干路上架设深信服上网行为管理设备,招商局成功将高危网站、相关网络应用禁掉,减少了集团面临的外部威胁;通过上网行为管理设备的准入规则,各单位通过设置杀毒软件、补丁、注册表等安全元素的上网放行准则,强制内网用户提升安全等级,从内提升了内网安全体质。

事实上,整个集团的信息安全也得到了加强。上网行为管理设备通过强大的上网日志存储与审计功能,满足国家相关法律要求,并且让招商局信息管理部门掌握网络架构优化的第一手资料。 

 
图2   招商局上网行为管理设备+SSL VPN部署示意图

三、用户身份安全认证的压力

目前,招商局DMZ区的服务器暴露在外网,易受攻击。领导出差、驻外业务人员访问服务器上相关文件与业务系统时,现有的网络架构无法做到接入用户的强身份认证。且整个内外网用户的接入无法审计,这对招商局现有的信息资产威胁不小。

SSL VPN远程接入解决方案

通过考察测试,招商局选用了深信服SSL VPN进行了内网、外网访问的安全加固。所有访问数据中心各种应用的人员都必须先通过深信服SSL VPN的身份强认证,用户配备USB Key,以达到合法的身份认证,这极大地保障了远程接入访问业务应用的安全性。

深信服SSL VPN身份认证体系与招商局原有的LDAP服务器中的身份认证资源无缝结合,设备根据合法的身份分配对应的业务应用访问权限,这样就做到了不同的人用各自对应的业务系统,并且该SSL VPN的单点登录功能,避免了接入用户登录不同系统时都要输入一道密码的麻烦,使操作更简单易用。

在数据中心建设的道路上,招商局集团通过广域网加速+上网行为管理+SSL VPN远程登录的整合解决方案,成功解决了数据中心数据传输面临的速度、安全问题,也对整个的业务网络的安全与规范、应用系统使用进行了卓有成效规范管理。并且这一系列的网络架构优化成功降低了集团的IT运营成本,在新的数据中心网络连接架构下,招商局多元化的业务运营流程得以简化,效益也得到了明显的提升。

责任编辑:许凤丽 来源: 51CTO.com
相关推荐

2009-08-03 11:14:01

上网行为管理广域网深信服

2009-09-08 21:55:06

广域网加速产品选购深信服科技

2009-07-03 11:38:00

2011-05-05 11:52:31

深信服VPN广域网加速

2010-01-19 21:49:46

2010-01-20 14:55:27

2012-12-11 09:48:55

广域网网络优化网络加速

2010-08-31 19:38:10

2010-03-24 20:28:48

广域网加速

2011-06-15 14:02:14

上网行为管理IT

2010-04-23 17:39:00

广域网加速网络带宽华夏创新

2012-08-09 09:40:38

WAN优化WAN加速虚拟桌面

2010-11-23 14:41:24

2012-08-10 09:24:00

虚拟化

2010-11-23 14:26:47

2010-05-07 21:18:42

广域网加速网络优化深信服科技

2010-03-31 23:01:07

上网行为管理信息安全网康科技

2010-04-27 14:06:57

广域网优化思博

2011-06-15 14:52:56

上网行为管理设备

2009-06-08 15:55:29

上网行为管理中国移动深信服
点赞
收藏

51CTO技术栈公众号