查看详情

PGM方案-零售商网络安全通信解决方案

发表于2016-11-21 02:58:38

问题和挑战

PGM 网络公司深知零售商正在寻求创新的方法来降低成本、提高生产率和扩大市场份额。零售业的竞争压力的增大正在促使企业领导者利用先进的手段增强自己的竞争优势。这就是我们推出PGM 实时零售方案的原因。

因为商店连接可以提供实时的效率,所以我们为零售商设计了PGM 商店连接解决方案。实时效率可以提高生产率、销售额和供应链的可见度。

利用PGM 商店连接解决方案,零售商可以利用互联网基础设施执行关键的业务战略,从而增强他们的竞争力。商店连接解决方案可以利用广域网和虚拟专用网,以较低的成本提供对企业网络的访问。

 

建设目标

PGM 商店连接解决方案可以通过一个虚拟专用网将总部和分店连接到一起,从而加快业务流程和改善客户服务。产品可用性检查现在可以立刻完成。客户服务更加快速和高效。销售点交易更加快速,而库存水平变得立即可见,从而让管理人员能深入地了解销售活动和指标。商店可以有效地避免缺货情况。

利用基于标准的 IP 网络,PGM商店连接解决方案可以提高商店的工作效率,同时提升客户服务水平和客户满意度。

降低培训成本PGM连接解决方案通过一个广域网将各个分店连接在一起,从而解决了整个机构的通信效率低下问题。商店连接解决方案让零售商可以更快迅速地培训新的员工,从而提高专业水平和客户服务的质量。利用商店连接解决方案,零售商可以将整合他们的目标,改进他们的管理流程。

通过创新提高工作效率PGM 商店连接解决方案使零售商可以利用网络融合和集成化的通信系统。收发实时的信息和数据可以为管理人员和商店员工提供生产率提升工具。商店连接解决方案则让零售商可以充分地发挥下一代业务系统的潜力,这种系统能在各个分店之间实时地传输语音、视频和数据。

解决方案

站点式VPN 建立

分支机构结构

根据分支机构的大小,在每个分支的出口都安装一台PGM 安全网关/VPN 设备,提供VPN 接入功能。

所有PGM 安全设备,首先必须在网络层上可以与中心点(逻辑意义)通信,黑色连接实线表示其与Internet 或其他广域网连接示意。

PGM 支持多种Internet 接入方式:

  • 窄带拨号方式(对5GT 产品提供,一般作为备份链路)
  • PPPOE 动态拨号方式,适应于ADSL 拨号机构
  • DHCP 自动获取得地址,适应用城域网、有线电视宽带网、小区宽带网等机构
  • 静态地址分配,适应于专线接入Internet、固定IP ADSL 线路等机构

中心点结构

中心点为各分支机构数据的集中控制占,数据流量较大,并且要求性能更高,建议采用以下方式提高系统稳定性:

  • 采用高性能系统级产品,以满足性能、稳定性需求
  • 满足中心点系统的高可靠性,建议中心节点建立HA 冗余节点。由于最多时中心点要终结1000 多条VPN,切换时防火墙必须能够提供保持VPN 连接信息状态的同步,否则重新同时进行1000 多VPN SA 的协商会导致长时间的延迟。

在每个分支节点与中心点之间建立VPN连接,如图中虚线所示,并且通过采用PGM -VPN技术,建立可扩展性、可管理性VPN 网络。

基于路由的VPN 链路

在分机构与中心点防火墙建立的VPN 通道绑定到一个或多个逻辑端口上(中心点防火墙的每个逻辑接口可以绑定一定数量的分支机构的VPN 连接),VPN 数据包基于路由查找转发,更有利于防火墙安全策略的修改、配置,不影响现有网络应用。

动态路由协议

在防火墙上启用动态路由协议,PGM 支持OSPF,BGP,RIPv2 等多种路由协议,根据VPN 通道链路的建立与断开状态,防火墙自动维护路由表,保证基于路由VPN查找时路由路径的准确,减轻网管人员工作量。

路径监控

对于线路故障多发的链路,对防火墙实施VPN 路径监控。

HUB&SPOKE 星型结构

各分支机构与中心点呈Hub星型连接,分支机构之间一般数据访问较少,从安全角度考虑,分支机构间需要数据传输时,需要通过中心点路由中继完成。

通过这些VPN,可以完成以下功能:

VPN方式设备选型如下:

总部设备

总部设备采用PGM SSG-550 安全业务网关产品,为了提供系统高可靠性,选择两台PGM SSG-550 安全网关建立系统冗余结点。为了扩充系统接口,提供系统扩充性,每台设备添加2块1口GE 接口模块。

分支产品

各分支机构远端选择PGM NetScreen-5GT 防火墙产品,PGM NetScreen-5GT 防火墙为对SOHO 办公室及小型办公室提供防火墙、VPN、IDP 等多种防护的安全产品。

集中管理平台

选择NetScreen-Security Manager 建立防火墙/VPN 系统集中管理平台,NetScreen-Security Manager 可扩充到可管理2000 个防火墙站点的企业版。转自:杜松之家!

  • 所有分支机构LAN 与中心点LAN 之间加密、认证的通信都通过VPN 直接传送。
  • 所有分支点的LAN相互之间的加密、认证的通信可以先通过直接的VPN 到达中心点,然后由中心点转发到相应的其他分支点。即采用路由的虚拟连接,也称作Hub&Spoke 方式的VPN 连接(如图中绿色虚线)。既解决了网状连接的VPN 数量多、难以管理的问题,由可以通过中心点设备控制分支点之间的数据访问权限。
  • 为防止因为各种原因导致中心点防火墙不可访问,从而造成分支点之间的互访障碍,可以配置一个冗余中心,提高整个网络的高可用性(如图中右端的设备及其VPN 连接)。PGM 支持这种备份方式的VPN 冗余配置结构。
  • PGM 支持NAT-Traversal 方式的VPN。建立IPSec VPN 的两台设备,如果其中一台在NAT 设备后面,IPSec 的认证机制会阻碍VPN 的建立。NAT-Traversal 方式可以使两台PGM 设备自动发现它们之间的NAT 设备,采取自动添加UDP 包头的方式解决问题。
  • PGM 基于Policy 的地址翻译,可以解决由于分支点之间地址冲突导致的VPN 定义问题,为今后如企业并购等引起的网络调整可以达到最小的影响。
  • 特殊需求情况下,可以直接建立不经过中心的直接的分支点之间的LAN-to-LAN 加密VPN 连接。
    • 可以采取证书认证的方式保证VPN建立的合法性。PGM支持Entrust、MicroSoft 等大多数常用的CA 体系。