在構(gòu)建全國性的業(yè)務(wù)網(wǎng)絡(luò)中，企業(yè)集團需考慮整體業(yè)務(wù)網(wǎng)絡(luò)的連接安全、傳輸速度、集中管理、與原有網(wǎng)絡(luò)的結(jié)合度等諸多因素，其最終目的在于促進企業(yè)的業(yè)務(wù)系統(tǒng)運行，優(yōu)化其運營流程，進而降低企業(yè)運營成本，提升企業(yè)業(yè)務(wù)效率。

中國免稅品集團在自身的信息化建設(shè)中，也正遵循著這一思路，在改建全國業(yè)務(wù)網(wǎng)絡(luò)連接時，進行了跨越式的網(wǎng)絡(luò)建設(shè)。

背景介紹

中國免稅品（集團）有限責任公司現(xiàn)為中央企業(yè)，創(chuàng)建于1984年，是經(jīng)國務(wù)院批準設(shè)立的國家免稅品專營公司，是中國免稅業(yè)的代表和旗艦企業(yè)。

目前，中免集團已在中國大陸29個省市自治區(qū)的90多個口岸城市和邊境地區(qū)以及香港特區(qū)設(shè)立了170多家免稅店，其中控股免稅店近100家；在高速發(fā)展的過程中，中免集團引入了現(xiàn)代化的IT應(yīng)用系統(tǒng)來支撐集團的業(yè)務(wù)發(fā)展，如業(yè)務(wù)管理系統(tǒng)、POS系統(tǒng)等各種應(yīng)用系統(tǒng)。遵循"統(tǒng)一經(jīng)營、統(tǒng)一組織進貨、統(tǒng)一制定零售價格、統(tǒng)一制定管理規(guī)定"的管理政策，中免集團要求各控股免稅店通過業(yè)務(wù)系統(tǒng)將數(shù)據(jù)上傳到北京公司總部。目前的實現(xiàn)方法是，各類業(yè)務(wù)數(shù)據(jù)直接通過公網(wǎng)，實現(xiàn)分支機構(gòu)與總部之間的數(shù)據(jù)傳輸，各免稅店等分支直接通過各類公用網(wǎng)絡(luò)環(huán)境訪問總部。

面臨的問題

為了滿足全國各地免稅店訪問總部業(yè)務(wù)系統(tǒng)，中免集團原有的解決方案是將業(yè)務(wù)系統(tǒng)直接掛在公網(wǎng)上。但這給集團的業(yè)務(wù)系統(tǒng)運營安全造成了潛在的威脅，一旦有黑客、病毒攻擊業(yè)務(wù)系統(tǒng)，由此造成的業(yè)務(wù)系統(tǒng)癱瘓、業(yè)務(wù)數(shù)據(jù)丟失等后果將十分嚴重。

全國各分支訪問中免公司業(yè)務(wù)系統(tǒng)、進行業(yè)務(wù)數(shù)據(jù)傳輸時，所有的數(shù)據(jù)傳輸并沒有進行安全加密，數(shù)據(jù)容易被截取破譯，這種商業(yè)風(fēng)險使得中免集團信息管理部門非常重視。

中免集團全國各地免稅店、中大型分支網(wǎng)絡(luò)環(huán)境不一，遍布全國各地，而中國南北跨運營商訪問存在的速度慢、丟包等頑疾，使各地分支訪問中免集團總部業(yè)務(wù)系統(tǒng)、內(nèi)網(wǎng)文件時，不可避免地產(chǎn)生了傳輸速度慢的問題。

而集團總部領(lǐng)導(dǎo)、業(yè)務(wù)人員、各分支駐外業(yè)務(wù)人員外出辦公時移動性強，如何讓合適的人接入合適的業(yè)務(wù)系統(tǒng)，如何讓整個接入操作簡單易用，如何確認接入用戶的身份合法？這一系列的問題需要中免集團構(gòu)建新型安全的遠程接入系統(tǒng)。

安全的遠程登錄與移動辦公方案

中免集團目前部署的業(yè)務(wù)管理系統(tǒng)、POS系統(tǒng)等，主要用于支撐集團的工作，并與旗下的分支機構(gòu)進行數(shù)據(jù)交互。系統(tǒng)服務(wù)器坐落在北京的集團總部，針對上述提及的服務(wù)器攻擊、移動辦公問題，中免集團在總部部署深信服SSL VPN，將系統(tǒng)服務(wù)器移至內(nèi)網(wǎng)，通過在網(wǎng)絡(luò)出口處架構(gòu)防火墻等網(wǎng)絡(luò)安全設(shè)備，這樣服務(wù)器被攻擊而導(dǎo)致的業(yè)務(wù)系統(tǒng)使用緩慢、停滯、數(shù)據(jù)被竊取等風(fēng)險大大降低。

通過深信服SSL VPN嚴格的身份認證，中免集團對領(lǐng)導(dǎo)、外出人員部署USB-Key等認證工具，對接入人員做強身份認證，這充分保證了接入人員身份的合法性，且用戶帳號不易丟失?；谟脩羯矸荩忻饧瘓F對接入人員劃分細致的權(quán)限，讓接入人員訪問可以訪問的業(yè)務(wù)系統(tǒng)，進不同的服務(wù)器版塊，如對領(lǐng)導(dǎo)開放管理系統(tǒng)，對業(yè)務(wù)員人員開通OA、CRM系統(tǒng)等……

至此，集團各類在外人員通過SSL VPN遠程接入的安全性、操作性等問題得到解決，借助優(yōu)化的傳輸協(xié)議、壓縮手段等，在外人員的接入速度得到保障，移動辦公變得非常方便。

構(gòu)建快速的業(yè)務(wù)網(wǎng)絡(luò)

將各類業(yè)務(wù)系統(tǒng)服務(wù)器移至內(nèi)網(wǎng)后，要解決全國各免稅店的業(yè)務(wù)訪問，集團需構(gòu)建全國性的專有網(wǎng)絡(luò)。在專線、傳統(tǒng)VPN、廣域網(wǎng)加速通道等解決方案的選擇中，中免集團最后選擇了廣域網(wǎng)加速產(chǎn)品構(gòu)建數(shù)據(jù)傳輸通道，而選擇深信服廣域網(wǎng)加速設(shè)備，則源于深信服設(shè)備良好的加速性能與性價比。

中免集團在總部以單臂模式部署一臺深信服千兆級廣域網(wǎng)加速設(shè)備，在各免稅店分支端同樣以單臂模式部署中低端廣域網(wǎng)加速設(shè)備，通過廣域網(wǎng)加速設(shè)備中的VPN組建VPN網(wǎng)絡(luò)，再利用廣域網(wǎng)加速技術(shù)進行應(yīng)用與數(shù)據(jù)傳輸?shù)募铀伲瑥亩_到數(shù)據(jù)傳輸安全、保障傳輸速度的效果。

深信服廣域網(wǎng)加速設(shè)備通過內(nèi)置的協(xié)議代理、數(shù)據(jù)優(yōu)化等多項技術(shù)，大大減少了各類應(yīng)用協(xié)議在廣域網(wǎng)上的頻繁交互、重復(fù)數(shù)據(jù)的傳輸，進而提升了各分支訪問總部應(yīng)用系統(tǒng)的速度，并有效降低了帶寬利用率。

同時解決了擴大帶寬也無法解決的問題：由于廣域網(wǎng)傳輸存在的延遲和丟包造成的各分支訪問總部應(yīng)用系統(tǒng)的緩慢，這都是通過單純增加帶寬所無法解決的，而深信服廣域網(wǎng)加速設(shè)備能從根本上解決這一問題。

中免集團SSL VPN、廣域網(wǎng)加速設(shè)備、 VPN集中管理平臺部署圖

全國VPN網(wǎng)絡(luò)的集中管理

中免集團遵循"統(tǒng)一經(jīng)營、統(tǒng)一制定管理規(guī)定"的管理政策，需要對已架設(shè)的全國業(yè)務(wù)網(wǎng)絡(luò)進行統(tǒng)一管理，以求得集中管理的快速反應(yīng)、規(guī)范管理等效應(yīng)，這也避免了分支管理所投入的人力資源、IT資源等成本，更減少了分支分散管理出現(xiàn)的數(shù)據(jù)孤島效應(yīng)和可能出現(xiàn)的技術(shù)問題。

中免集團在總部以旁路模式部署一臺深信服VPN集中管理設(shè)備，對全國組網(wǎng)的VPN（包括廣域網(wǎng)加速設(shè)備中含有的VPN模塊）進行統(tǒng)一管理，總部可對組網(wǎng)中的VPN設(shè)備進行統(tǒng)一的策略下發(fā)，查看設(shè)備運行狀態(tài)等，這大大減輕了IT管理人員的工作量，并提高了組網(wǎng)設(shè)備管理的實時性。

總體而言，整個方案通過IPSec VPN實現(xiàn)數(shù)據(jù)的安全加密、通過廣域網(wǎng)加速設(shè)備實現(xiàn)數(shù)據(jù)的快速傳輸、以SSL VPN實現(xiàn)安全靈活的遠程登錄，最后用集中管理平臺對所有IPSec VPN進行集中管理。該方案幫助中免集團實現(xiàn)了網(wǎng)絡(luò)的全面升級，構(gòu)建了一個安全、快速、管理性強的網(wǎng)絡(luò)平臺，進而使中免集團信息化建設(shè)得以在更先進的平臺上深入進行。

【編輯推薦】

1. VPN指南：新手、高手和IT專業(yè)人士，一個都不能少
2. 淺析VPN身份安全認證
3. 深信服廣域網(wǎng)優(yōu)化助力波司登集團信息化建設(shè)
4. 深信服為韶關(guān)移動與學(xué)院搭建WLAN校園網(wǎng)