在構(gòu)建全國性的業(yè)務(wù)網(wǎng)絡(luò)中，企業(yè)集團(tuán)需考慮整體業(yè)務(wù)網(wǎng)絡(luò)的連接安全、傳輸速度、集中管理、與原有網(wǎng)絡(luò)的結(jié)合度等諸多因素，其最終目的在于促進(jìn)企業(yè)的業(yè)務(wù)系統(tǒng)運(yùn)行，優(yōu)化其運(yùn)營流程，進(jìn)而降低企業(yè)運(yùn)營成本，提升企業(yè)業(yè)務(wù)效率。

中國免稅品集團(tuán)在自身的信息化建設(shè)中，也正遵循著這一思路，在改建全國業(yè)務(wù)網(wǎng)絡(luò)連接時(shí)，進(jìn)行了跨越式的網(wǎng)絡(luò)建設(shè)。

背景介紹

中國免稅品（集團(tuán)）有限責(zé)任公司現(xiàn)為中央企業(yè)，創(chuàng)建于1984年，是經(jīng)國務(wù)院批準(zhǔn)設(shè)立的國家免稅品專營公司，是中國免稅業(yè)的代表和旗艦企業(yè)。

目前，中免集團(tuán)已在中國大陸29個(gè)省市自治區(qū)的90多個(gè)口岸城市和邊境地區(qū)以及香港特區(qū)設(shè)立了170多家免稅店，其中控股免稅店近100家；在高速發(fā)展的過程中，中免集團(tuán)引入了現(xiàn)代化的IT應(yīng)用系統(tǒng)來支撐集團(tuán)的業(yè)務(wù)發(fā)展，如業(yè)務(wù)管理系統(tǒng)、POS系統(tǒng)等各種應(yīng)用系統(tǒng)。遵循"統(tǒng)一經(jīng)營、統(tǒng)一組織進(jìn)貨、統(tǒng)一制定零售價(jià)格、統(tǒng)一制定管理規(guī)定"的管理政策，中免集團(tuán)要求各控股免稅店通過業(yè)務(wù)系統(tǒng)將數(shù)據(jù)上傳到北京公司總部。目前的實(shí)現(xiàn)方法是，各類業(yè)務(wù)數(shù)據(jù)直接通過公網(wǎng)，實(shí)現(xiàn)分支機(jī)構(gòu)與總部之間的數(shù)據(jù)傳輸，各免稅店等分支直接通過各類公用網(wǎng)絡(luò)環(huán)境訪問總部。

面臨的問題

為了滿足全國各地免稅店訪問總部業(yè)務(wù)系統(tǒng)，中免集團(tuán)原有的解決方案是將業(yè)務(wù)系統(tǒng)直接掛在公網(wǎng)上。但這給集團(tuán)的業(yè)務(wù)系統(tǒng)運(yùn)營安全造成了潛在的威脅，一旦有黑客、病毒攻擊業(yè)務(wù)系統(tǒng)，由此造成的業(yè)務(wù)系統(tǒng)癱瘓、業(yè)務(wù)數(shù)據(jù)丟失等后果將十分嚴(yán)重。

全國各分支訪問中免公司業(yè)務(wù)系統(tǒng)、進(jìn)行業(yè)務(wù)數(shù)據(jù)傳輸時(shí)，所有的數(shù)據(jù)傳輸并沒有進(jìn)行安全加密，數(shù)據(jù)容易被截取破譯，這種商業(yè)風(fēng)險(xiǎn)使得中免集團(tuán)信息管理部門非常重視。

中免集團(tuán)全國各地免稅店、中大型分支網(wǎng)絡(luò)環(huán)境不一，遍布全國各地，而中國南北跨運(yùn)營商訪問存在的速度慢、丟包等頑疾，使各地分支訪問中免集團(tuán)總部業(yè)務(wù)系統(tǒng)、內(nèi)網(wǎng)文件時(shí)，不可避免地產(chǎn)生了傳輸速度慢的問題。

而集團(tuán)總部領(lǐng)導(dǎo)、業(yè)務(wù)人員、各分支駐外業(yè)務(wù)人員外出辦公時(shí)移動(dòng)性強(qiáng)，如何讓合適的人接入合適的業(yè)務(wù)系統(tǒng)，如何讓整個(gè)接入操作簡(jiǎn)單易用，如何確認(rèn)接入用戶的身份合法？這一系列的問題需要中免集團(tuán)構(gòu)建新型安全的遠(yuǎn)程接入系統(tǒng)。

安全的遠(yuǎn)程登錄與移動(dòng)辦公方案

中免集團(tuán)目前部署的業(yè)務(wù)管理系統(tǒng)、POS系統(tǒng)等，主要用于支撐集團(tuán)的工作，并與旗下的分支機(jī)構(gòu)進(jìn)行數(shù)據(jù)交互。系統(tǒng)服務(wù)器坐落在北京的集團(tuán)總部，針對(duì)上述提及的服務(wù)器攻擊、移動(dòng)辦公問題，中免集團(tuán)在總部部署深信服SSL VPN，將系統(tǒng)服務(wù)器移至內(nèi)網(wǎng)，通過在網(wǎng)絡(luò)出口處架構(gòu)防火墻等網(wǎng)絡(luò)安全設(shè)備，這樣服務(wù)器被攻擊而導(dǎo)致的業(yè)務(wù)系統(tǒng)使用緩慢、停滯、數(shù)據(jù)被竊取等風(fēng)險(xiǎn)大大降低。

通過深信服SSL VPN嚴(yán)格的身份認(rèn)證，中免集團(tuán)對(duì)領(lǐng)導(dǎo)、外出人員部署USB-Key等認(rèn)證工具，對(duì)接入人員做強(qiáng)身份認(rèn)證，這充分保證了接入人員身份的合法性，且用戶帳號(hào)不易丟失。基于用戶身份，中免集團(tuán)對(duì)接入人員劃分細(xì)致的權(quán)限，讓接入人員訪問可以訪問的業(yè)務(wù)系統(tǒng)，進(jìn)不同的服務(wù)器版塊，如對(duì)領(lǐng)導(dǎo)開放管理系統(tǒng)，對(duì)業(yè)務(wù)員人員開通OA、CRM系統(tǒng)等……

至此，集團(tuán)各類在外人員通過SSL VPN遠(yuǎn)程接入的安全性、操作性等問題得到解決，借助優(yōu)化的傳輸協(xié)議、壓縮手段等，在外人員的接入速度得到保障，移動(dòng)辦公變得非常方便。

構(gòu)建快速的業(yè)務(wù)網(wǎng)絡(luò)

將各類業(yè)務(wù)系統(tǒng)服務(wù)器移至內(nèi)網(wǎng)后，要解決全國各免稅店的業(yè)務(wù)訪問，集團(tuán)需構(gòu)建全國性的專有網(wǎng)絡(luò)。在專線、傳統(tǒng)VPN、廣域網(wǎng)加速通道等解決方案的選擇中，中免集團(tuán)最后選擇了廣域網(wǎng)加速產(chǎn)品構(gòu)建數(shù)據(jù)傳輸通道，而選擇深信服廣域網(wǎng)加速設(shè)備，則源于深信服設(shè)備良好的加速性能與性價(jià)比。

中免集團(tuán)在總部以單臂模式部署一臺(tái)深信服千兆級(jí)廣域網(wǎng)加速設(shè)備，在各免稅店分支端同樣以單臂模式部署中低端廣域網(wǎng)加速設(shè)備，通過廣域網(wǎng)加速設(shè)備中的VPN組建VPN網(wǎng)絡(luò)，再利用廣域網(wǎng)加速技術(shù)進(jìn)行應(yīng)用與數(shù)據(jù)傳輸?shù)募铀?，從而達(dá)到數(shù)據(jù)傳輸安全、保障傳輸速度的效果。

深信服廣域網(wǎng)加速設(shè)備通過內(nèi)置的協(xié)議代理、數(shù)據(jù)優(yōu)化等多項(xiàng)技術(shù)，大大減少了各類應(yīng)用協(xié)議在廣域網(wǎng)上的頻繁交互、重復(fù)數(shù)據(jù)的傳輸，進(jìn)而提升了各分支訪問總部應(yīng)用系統(tǒng)的速度，并有效降低了帶寬利用率。

同時(shí)解決了擴(kuò)大帶寬也無法解決的問題：由于廣域網(wǎng)傳輸存在的延遲和丟包造成的各分支訪問總部應(yīng)用系統(tǒng)的緩慢，這都是通過單純?cè)黾訋捤鶡o法解決的，而深信服廣域網(wǎng)加速設(shè)備能從根本上解決這一問題。

中免集團(tuán)SSL VPN、廣域網(wǎng)加速設(shè)備、 VPN集中管理平臺(tái)部署圖

全國VPN網(wǎng)絡(luò)的集中管理

中免集團(tuán)遵循"統(tǒng)一經(jīng)營、統(tǒng)一制定管理規(guī)定"的管理政策，需要對(duì)已架設(shè)的全國業(yè)務(wù)網(wǎng)絡(luò)進(jìn)行統(tǒng)一管理，以求得集中管理的快速反應(yīng)、規(guī)范管理等效應(yīng)，這也避免了分支管理所投入的人力資源、IT資源等成本，更減少了分支分散管理出現(xiàn)的數(shù)據(jù)孤島效應(yīng)和可能出現(xiàn)的技術(shù)問題。

中免集團(tuán)在總部以旁路模式部署一臺(tái)深信服VPN集中管理設(shè)備，對(duì)全國組網(wǎng)的VPN（包括廣域網(wǎng)加速設(shè)備中含有的VPN模塊）進(jìn)行統(tǒng)一管理，總部可對(duì)組網(wǎng)中的VPN設(shè)備進(jìn)行統(tǒng)一的策略下發(fā)，查看設(shè)備運(yùn)行狀態(tài)等，這大大減輕了IT管理人員的工作量，并提高了組網(wǎng)設(shè)備管理的實(shí)時(shí)性。

總體而言，整個(gè)方案通過IPSec VPN實(shí)現(xiàn)數(shù)據(jù)的安全加密、通過廣域網(wǎng)加速設(shè)備實(shí)現(xiàn)數(shù)據(jù)的快速傳輸、以SSL VPN實(shí)現(xiàn)安全靈活的遠(yuǎn)程登錄，最后用集中管理平臺(tái)對(duì)所有IPSec VPN進(jìn)行集中管理。該方案幫助中免集團(tuán)實(shí)現(xiàn)了網(wǎng)絡(luò)的全面升級(jí)，構(gòu)建了一個(gè)安全、快速、管理性強(qiáng)的網(wǎng)絡(luò)平臺(tái)，進(jìn)而使中免集團(tuán)信息化建設(shè)得以在更先進(jìn)的平臺(tái)上深入進(jìn)行。

【編輯推薦】

1. VPN指南：新手、高手和IT專業(yè)人士，一個(gè)都不能少
2. 淺析VPN身份安全認(rèn)證
3. 深信服廣域網(wǎng)優(yōu)化助力波司登集團(tuán)信息化建設(shè)
4. 深信服為韶關(guān)移動(dòng)與學(xué)院搭建WLAN校園網(wǎng)