企业边界应用产品VPN安全需求

　　1、目标环境

　　1）概述：客户是一家广告公司，目前有员工300多人，分别属于A、B两个部门和总部。由于近年来业务发展迅速，因此在国内多个大中城市都开设了分支办事机构。

　　2）IT环境：该客户的IT架构主要基于Microsoft的产品构建，因为业务处理需要，同时也存在少量来自其他厂商的产品和解决方案。客户的网络根据用户所属部门的不同进行过简单的网段划分，而处于外地的分支机构和出差中的用户则通过Internet使用VPN连入企业的内部网络。为了加强企业与外界的信息交换能力，企业建立了一个小型的内部数据中心，并对内部和外部用户提供Web访问和电子邮件服务。

　　3）

图1：客户企业的内部网络拓扑简要视图和面临的主要威

　　2、面临问题

　　企业的内部网络投入使用之后，企业内各部门、员工之间的信息共享水平有了较大提高，业务协作能力也有了明显的提升，但企业在使用中也发现了较多问题，其中对企业业务影响较大的有：

　　1）当前的VPN方案使用不便：目前企业中对外地分支机构和出差的移动用户提供的VPN服务，采用了某个知名网络设备厂商的VPN设备。由于该VPN解决方案自身的缺陷，无法与企业内部网络中使用的用户管理方案Active Directory进行集成，导致VPN用户必须多记住一对用户密码对，增加了用户的使用复杂度。此外，企业网络管理员也无法直接将现有的网络安全策略套用到VPN服务上，必须使用另外一套安全策略。

　　2）企业数据中心的服务器频繁遭受黑客攻击：在定期对企业数据中心进行的安全审计发现，放置在数据中心中的服务器曾经遭受过不同程度的黑客攻击，其中Web服务器遭到的攻击最多，并有数次入侵成功的记录，邮件服务器所记录到的攻击试探次数也相当惊人。

　　3）企业内部网络的恶意软件感染事件频发：由于企业内部网络用户的安全意识较为薄弱，同时企业内部网络入口也缺乏一个能有效拦截有害数据进入的措施，因此企业的网络管理员每周都要处理多起因为不安全互联网使用行为导致的恶意软件事件，显著的增加了IT部门的工作负荷。

　　3、安全需求

　　为了克服当前企业在使用IT设施时所遇到的诸多问题，企业计划部署一套边界安全解决方案，以增强现有IT设施对外界威胁的防御能力，要求这套解决方案满足以下几点：

　　1）集成VPN功能，并能够提供与企业内部网络现有的管理方案相兼容的用户验证和用户管理功能；

　　2）能够有效的防御各种外界威胁对企业内部网络的侵袭，尤其是保护企业数据中心的服务器不受黑客的攻击；

　　3）能够有效的拦截进入企业内部网络的各种恶意数据；

　　4）在满足上述三个条件的前提下，解决方案的部署、管理和维护还应该尽可能的简单，以降低企业IT部门的维护成本和工作负荷。