背景概述
新冠肺炎引发的疫情,牵动着全国每一位同胞的心。在后疫情时期,随着春节假期的逐渐结束,越来越多的企业及校园,选择了“远程办公”、“远程教学”以保证业务和学习的正常运行。
但是,在企业的分支越来越多、分支与总部之间的联系越来越密切的大环境下,各种业务访问、视频会议对沟通的成本、效果也提出了更高的要求。此外,随着“移动办公” 、“在家上课”等多种远程办公模式逐步普及,企业的IT管理人员也急需建设、管理一个更加安全、可靠、高效的企业网络。
问题与挑战
企业内部业务系统,建设时需要考虑被分支机构与远程移动员工访问。
作为分支机构,麻雀虽小但五脏俱全,在远程访问的环境下,主要存在下列问题:
分支网络可靠性低,日常办公体验差
作为分支机构,其网络接入通常采用Internet运营商接入,因此可靠性、稳定性都与专线有一定差距。为实现线路冗余,往往会增加不同运营商的线路。如何在不同运营商线路上获得最佳的访问体验,如何将业务分配在不同的链路中,实现线路之间的冗余,就成为了必须要解决的问题。此外,分支通常通过与总部建立IPSEC VPN的方式访问总部的业务系统,采用多条接入线路后,如何实现VPN的备份就成为了分支运维不得不考虑的问题。
视频业务访问体验
对有分支机构的当代企业来说,频繁跨地域沟通需求、庞大的差旅成本、快节奏的交流需求,都使得企业对视频会议的需求越来越明确。然而,分支往往只能通过互联网链路的VPN隧道访问总部,因此链路质量、稳定性都存在一定问题,比较难完美保障。 对于视频会议来说,对链路质量、丢包、延迟都非常敏感,如何在互联网链路条件下,保障视频会议等业务的使用效果,成为困扰企业的一大难题。
分支安全性
总部和各分支办公机构,在正常业务交互过程中,需要保证数据的安全性,如果任何一个分支被网络攻击,都会对总部的网络安全造成威胁,需要分支机构能够第一时间对网络攻击进行拦截或阻断。总部和各分支机构之间并非所有数据都可以进行相互访问,需要减少不必要和非法的业务访问,保护业务安全。此外,分支机构同样需要考虑对分支办公人员的上网行为控制。
分支简化运维
分支机构通常缺乏专业的网络运维人员,使得分支的网络设备部署和业务开通维护难度都较大,这就需要集团总部实现对各地的分支机构IT集中管控、统一运维,实现业务快速部署。
太一星晨企业组网解决方案
太一星晨的企业分支组网解决方案满足了分支网点一体安全、灵活扩展、简化管理的基本需求,为分支提供高效可靠的安全保障。
在总部、分支机构分别部署太一星晨防火墙产品,通过单一产品,即可为企业组网提供专业的多合一安全能力、VPN隧道备份、远程用户SSL接入、基于业务的选路、流量管理、行为管控,视频业务优化等功能。
.png)
多链路接入功能
支持全面的链路负载功能
在多链路场景中,太一星晨防火墙可以在运营商选路基础上实现更进一步的应用选路。
当存在多条链路的时候,太一星晨防火墙可以根据不同的访问目的选择不同链路,同时监控链路的状态:
>> 当链路出现故障时,自动切换流量;
>> 当某一条链路负载过高时,则不再往此链路分配流量,只有此链路负载恢复正常时再向此链路分配流量。
内置应用识别引擎
太一星晨防火墙的内置应用识别引擎,能够自动识别经过防火墙的流量,对于分支机构,并非所有流量都需要访问总部——通过应用识别功能,防火墙可以将访问总部的流量与办公上网流量分开,达到更充分利用线路的目的。
支持IPSEC VPN与SSL VPN
太一星晨防火墙IPSEC VPN可以实现分支访问总部的内网应用:在多链路场景中,太一星晨支持多链路VPN冗余,可在不同链路之间自动切换。除此以外,SSL VPN更能支持远程移动办公用户访问内网资源。
视频业务优化访问
太一星晨防火墙内置的SD-WAN模块,可达成如下功能:
1)在总部与分支部署时,支持双边加速功能,在链路不稳定的情况下,通过独有的KTP协议有效的针对延迟、丢包场景实现协议层的优化,能够有效提升分支与总部的访问效果。
2)针对分支与总部之间存在大量的office文档传递,通过内置的HTTP缓存、压缩可以有效的提高文件传输效率,减少网络带宽,提高链路使用效率。
创新的“链路复制”技术
视频会议是企业交流、沟通必不可少的工具,一般来说,网关设备对视频协议只能通过传统的QOS方式进行优化,优化效果十分有限。经过多年的技术积累和研究,太一星晨创新性的推出了“链路复制”技术:
首先,将视频应用复制多份,通过多条链路同时发送,并在接收端根据接收到的报文先后顺序选择性的接收,完成自动排序、重整。
然后,通过“多发选收”,确保了视频业务两端的传输延迟最小,同时避免业务单一路径传输受到链路延迟、丢包、抖动的影响,排除传统方案中单纯依赖QoS的弊端,确保视频业务得到最佳的传输效果。
标准下一代防火墙功能
太一星晨防火墙支持完整的NGFW功能,为网络带来了强大的数据保护——从链路层安全性到状态防火墙功能,为业务传输提供网络及应用层的安全防护:
>> 强大的安全策略提供基于用户、应用级别的准入控制,
>> 内置入侵检测系统与防病毒功能,保护分支及总部免受病毒及网络攻击。
除此以外,太一星晨防火墙还提供如下功能:
>> 内置上网行为管理模块,提供强大的网页过滤功能,屏蔽员工对非法网站的访问;
>> 提供基于时间、用户、应用的精细管理控制策略,从而保障工作效率;
>>提供应用层的带宽管理功能:太一星晨防火墙支持基于接口的虚拟链路,在虚拟链路支持多级管道设定,满足网络管理员对不同部门及其下级机构设置不同层级的流量控制策略,有效阻止、限制P2P等严重消耗带宽的应用,确保企业的核心业务带宽得以保障。
统一的集中管控
太一星晨提供的统一防火墙集中管控系统,能够对网络中各个节点的防火墙设备进行统一集中管理,提供对防火墙设备的实时监控、安全事件分析、配置文件与系统文件的统一管理等,并支持对防火墙的系统日志、安全访问日志、攻击日志、NAT日志、流量日志等的收集与报告分析。
通过防火墙集中管理系统,不仅可简化防火墙日常管理工作,更易于总部管理员直观掌控全网网络安全事件,并对未来整网安全趋势做出判断。并且,总部管理员还能通过集中管理平台,实现对分支设备的配置下发及网络调试,尽可能减少分支网络维护人员的需求,有效提升了分支网络运维效率。
用户收益
太一星晨防火墙产品,在单一设备上实现了链路负载、防火墙、VPN、SD-WAN、流量控制等功能。对于企业来说,无需采购更多的设备即可以实现企业组网需求,经济效益十分显著。
.png)
通过部署太一星晨防火墙产品,可以实现:
1. 总部与分支之间建立了高效、安全、可控的通信网络,实现了业务高效互访、通信数据稳定传输;同时实现了总部分支组网与移动办公的远程接入访问;
2. 2-7层的全面威胁防护,内置防火墙入侵防御、防病毒保证了总部和各个分支之间独立的通信网络应用安全;
3. 完善的视频会议优化,使视频会议的效果得到明显提升,文档传递等业务传输效率明显提高;
4. 通过集中管控,减轻分支运维压力,实现了业务快速部署。