红孩子采用Hillstone山石网科公司专业的解决方案

　　摘要：北京红孩子信息技术有限公司是全国领先的目录多渠道销售企业，成立于2004年3月，致力于通过目录和互联网为用户提供方便快捷的购物方式和价廉物美的产品。

　　推荐白皮书：

　　严测深信服广域网加速设备报告

　　网络世界评测实验室采用领先测试方法严格测试深信服广域网加速设备M5100-Q，它会有什么惊人的表现呢？

　　北京红孩子信息技术有限公司是全国领先的目录多渠道销售企业，成立于2004年3月，致力于通过目录和互联网为用户提供方便快捷的购物方式和价廉物美的产品。

　　经过几年的发展，红孩子已经建立了以客户为中心;以目录及网站为渠道;以行销中心、采购中心以及营运中心为体系;零售、传媒、物流、金融为四驾马车的整体运营模式。

　　北京红孩子信息技术有限公司下属北京、上海、天津、武汉、广州、宁波、沈阳、成都、苏州、南京、无锡、大连鞍山、西安、深圳、杭州等15家分公司。

　　网络现状

　　北京红孩子信息技术有限公司分为三级网络，总部作为第一级，各分公司作为第二级，配送点作为第三级，采用ERP系统实现总部和下属分公司及所辖的配送点之间数据的相互传输。在已经建设完成的整个公司的企业网中，将会运行ERP、FTP、Mail等电子业务应用。总部一号楼与十二号楼核心汇聚层已经实现互联互通，两个区域网络实现Internet的相互备份。公司服务器安放在IDC托管机房。

　　用户考虑到迫切安全需要，提出安全问题主要如下：

　　1、部分机器会遭到非法入侵、网络渗透、DOS/DDOS等攻击。

　　2、个别用户使用在线视频、P2P下载导致流量滥用，严重影响正常业务的运作。

　　3、分公司与总部之间需要采用IPSec VPN实现互联，保证敏感数据不易泄露。

　　4、总部一号楼与十二号楼为日常办公网络，所有网络订单均在总部处理，设备部署需要采用冗余方式，保证链路的畅通。

　　5、考虑未来发展情况，要求性能可扩展，保证分公司后续发展，设备依然适用。

　　方案特点

　　北京红孩子信息技术有限公司经过一系列的认真考察和一段时间的测试对比，最终从行业资历、技术实力、服务水平、产品功能、性能表现和产品的性价比等多个角度考虑，采用了Hillstone山石网科公司专业的解决方案。总公司一号楼选择了SG-6000-G5150，十二号楼选择SG-6000-G2120，分公司根据规模不同选择SG-6000-G2120或者SG-6000-M3100 。

　　根据用户要求，总部一号楼G5150部署为AP模式，十二号楼G2120为AP模式，分公司根据规模不同分别部署G2120或者M3100 ，开启NAT功能确保内部用户能够访问Internet以及IDC机房的服务器，开启安全防护功能避免来自Internet或者内部的攻击，开启带宽控制有效的限制P2P视频与下载带来的网络访问噩梦，与分公司的IPSec VPN互联，保障总部与分公司之间的数据加密安全传输,第三代SSL VPN为分公司与配送点之间提供可靠的用户验证与数据安全功能。

　　提供强劲高效的处理能力

　　Hillstone SG新一代多核安全网关采用了多核Plus G2架构，这样的创新网络安全架构使得SG系列产品在应用层安全处理的性能上有了质的飞跃，为企业应用安全提供专业的高性能硬件平台，保证了更高、更可靠、更稳定和更安全的综合处理能力，有效满足用户的性能需求，也保证了设备不会成为链路中的瓶颈节点。

　　专业的防火墙功能

　　Hillstone SG新一代多核安全网关集成的防火墙模块具有专业的防火墙表现，通过配置相应的防火墙安全策略，做到了专业的边界策略控制，有效达到了用户的控制精确性和控制细粒度，从而保证了防火墙层面上的数据安全性，同时结合通过安全策略的精细化布置，有效控制了区域层与接入层之间的边界隐患问题，保障了用户的边界安全性。同时Hillstone SG系列新一代多核安全网关提供的多样化NAT使用户数百台PC能以有限的公网IP访问Internet，同时NAT隐藏了内部的真实IP，保护了局域网拓扑图。

　　高性能的IPSEC和SSL VPN功能

　　Hillstone SG新一代多核安全网关集成的IPsec VPN和SSL VPN为总公司与分公司互联，配送点以及移动用户(出差员工、家庭办公人员等)和远程接入提供了完美的技术解决方案。通过使用IPsec VPN和SSL VPN技术，无论采用何种接入方式，都能在用户快捷接入、数据传输以及内部资源访问等各方面安全性的前提下，确保VPN用户能方便、灵活、高效地接入到内网并访问相应的资源。

　　高抗攻击能力

　　Hillstone SG新一代多核安全网关提供了一整套ARP防御解决措施：客户端与网关之间的ARP验证、IP地址与MAC地址静态绑定、MAC地址与端口静态绑定、开启/关闭ARP学习功能、自动发送免费ARP包等，这些都对解决用户常见的内网ARP攻击非常有效。

　　Hillstone SG新一代多核安全网关集成了syn代理、syn-cookie、udp过滤器、icmp过滤器、会话控制等多项专业技术，同时基于安全域进行攻击控制，完美的做到了SYN-Proxy、ICMP Flood 攻击防护、UDP Flood 攻击防护、Ping of Death 攻击防护、Teardrop 攻击防护等众多常见的跨区域的攻击防护。

　　在本项目中，两者的有效搭配并结合会话控制，高效做到了用户网络的“纵横相连”、内外结合的攻击防护，确保给用户一个绿色、健康的网络系统。

　　灵活的带宽控制

　　原有网络内部BT、迅雷、电驴等下载流量非常盛行，导致网络带宽被大肆吞噬。Hillstone SG新一代多核安全网关具有丰富多变、灵活有效的控制策略，启用了针对每个IP地址的带宽限制和各种应用进行精确的带宽管理;针对P2P下载和在线视频等非正常业务应用总带宽进行最大流量的限制;针对关键业务应用进行最高优先级的处理，大大缓解了用户带宽严重不足的困惑。

　　特别是结合SG新一代多核安全网关强大的监控功能和日志记录，这些功能的复合式使用既为IT部门提供了详细的网络流量分析报表，使得IT管理人员轻松掌握内部网络带宽的应用状况，为管理规划网络应用提供了直观可信的决策依据。配合时间表功能的使用，用户可以灵活掌控带宽分配，保障了关键业务应用的通畅、带宽的利用率得到充分提高，而且对网络的流量也可以做到实时的监控和行之有效的管理。

　　有效的病毒防护

　　之前病毒的泛滥经常导致用户网络中断，Hillstone SG新一代多核安全网关的高性能病毒防护功能做到了整个局域网的外层病毒查杀。基于并行流扫描机制的杀毒引擎，充分发挥了多核Plus G2的硬件优势，确保病毒处理的高性能和网络流量经过设备时时延很低，不会影响用户的网络使用感受。

　　强大的会话控制

　　针对内部不同网段的不同情况，分别给与了基于源IP和目的IP不同数量的会话数控制，有效提高了Internet链路的服务质量,缓解NAT端口不足的问题，提高了带宽的有效利用率。

　　用户评价

　　Hillstone SG新一代多核安全网关为我们提供的细致安全控制，攻击防护功能非常好地解决了攻击频繁、网络不稳定的问题。此外，Hillstone SG新一代多核安全网关也有效地做到了主要业务流量和非业务流量的管控，而其特有的监控功能可帮助网络管理人员更好地了解和掌握内部网络应用带宽的分配情况以及每台PC的流量应用情况。此外，VPN的启用解决了总部、分公司与配送点之间的数据传输安全问题以及安全验证问题。总之，Hillstone山石网科公司的安全解决方案加快了我们的信息化安全建设，无论从性能上、功能上、还是服务水平方面，都很好地满足了我们的应用需求，为我们提供了健康的网络应用环境，给我们带来了更好的网络应用体验。