随着网络的不断发展,企业对网络系统的依赖性越来越重,要求也越来越高。尤其对于建立在技术和信息基础上的企业来说,网络系统已经成为企业生产力的核心部分,越来越多企业级用户加大了对网络系统建设的投入。对于网络系统而言,首要问题通常是网络性能不够,无法满足企业日益增长的需求;根本的问题则莫过于安全性和可靠性,各种网络系统的漏洞正在威胁着企业信息的安全。
三一重工目标:从实际出发,改进网络系统
三一重工是一家民营股份制科技实业投资公司,投资领域涉及高新实用机械设备制造、车辆制造、新材料,网络通信设备制造及集成工程,租赁服务业、进出口及海外事业等。三一重工的主营业务为高新实用技术工程建设机械的研发、制造、销售及服务,部分产品的市场占有率居中国首位。
自2004年开始新一轮的信息化建设至今为止,三一集团已经完成了三一重工园区骨干网、三一集团广域网、三一集团VoIP系统、三一集团视频会议系统的建设并陆续投入使用,为企业的高速发展奠定了稳固的基础。目前,三一集团的大型企业网络已经覆盖全国8 大产业园,海外 2 个产业园以及全球几十个分公司、办事处,ERP、PLM、ECC、OA、MAIL 等全方位信息系统也已经部署完毕或正在实施。作为全集团的网络核心和长沙本部局域网的重要性,现有网络已无法满足发展要求,加之集团业务的迅猛发展,需要建设更高级别的网络环境平台来提高效率和降低成本,必须对现有网络系统进行升级。
目前,三一重工网络系统存在的问题很多:网络架构不合理,核心交换机比较旧,功能比较少,性能已经不能满足IT基础架构的发展,单点故障频发;各应用系统接入的网络没有按照模块化设计思路划分区域,缺乏安全性,而且易受广播包影响;互联网区域缺乏防入侵和攻击的安全部署,而且全集团公司的网络互联网出口很多,很多地方没有配置防火墙,直接接到互联网,根据安全的木桶理论,整个公司的安全等级由安全等级最差的互联网出口决定,因此公司安全风险很大。
从三一重工的实际情况出发,网络系统的升级建设将以集团业务现状、IT 系统及未来发展为基础,以稳定性、经济性、安全性、先进性、合理性、易用性、实时性”为原则,对三一集团全球广域网整体进行与规划,并分步进行建设。网络系统优化与安全建设:模块化、层次化、区域化
分层的模块化网络架构
在三一重工网络整体设计中,采用层次化、模块化的网络设计结构,并严格定义各层功能模型,不同层次关注不同的特性配置,从而提高网络性能。层次化设计中,每一层的功能都很分明,无需全部网络节点互联的全网状网络,实现简单、负载均衡、快速收敛、易于扩展,具有较高的可靠性、稳定性和易扩展性;模块化网络的组件易于复制、重新设计并扩展,无需每次添加或拆除模块时都重新设计整个网络,可以运行或中断任何模块与组件的运行,而不会影响网络的其他部分,可促进排障、故障隔离和网络管理。
公司数据中心的服务器系统、数据、网络等设备组成的区域,是集团公司生产提供业务应用支撑的核心区域。包括中心机房服务器区域和研发机房的服务器区域。三一重工采用的分层模块化网络设计结构,成本较低,可节省网络设备投资;实际应用中,方便使用;支持新的安全防护部署,可提高网络链路利用率和可靠性。具体优化方面,采用先扩充升级硬件设备,避免单点故障;再根据业务的特性和安全等级分区,并对不同的区域单独设置相应的安全策略,提升安全性能的方法进行。
安全优化新理念
现在,新的安全技术和产品层出不穷,实践证明单个部件无法很好地对网络安全进行保护,企业可能已经拥有了网络安全各个方面的专门技术,如防火墙、入侵防御系统、VPN、反病毒等等,如何使多个部件协同工作,利用各个部件的长处,以达到最好的效果并具有冗余,是企业必须优先考虑的问题。
H3C采用了最新的边界安全优化理念,根据三一重工长沙局域网目前的情况,将企业局域网划分为:互联网连接区、广域网连接区、对外连接区、数据中心区、研发中心区、内网办公区、网络管理区等。在进行网络优化的过程中,配合分层的模块化网络结构进行不同程度和策略的安全防护部署。其中尤其值得重视的是企业园区内部网络安全问题,包括网络和外界的接口、办公网络和研发中心之间的互联、各个行政区域之间以及数据中心的内部安全风险问题和其他各方面的安全接入与管理问题。
H3C通过边界路由器、边界防火墙设备、入侵防御系统(IPS)、VPN技术的相互呼应配合,成功的实现了边界安全防护,达到了以下目标:
防止外部Internet的攻击、入侵和病毒的能力,提高集团公司网络的安全性;
提高网络的性能和可靠性,优化VPN接入,提高安全性和操作的方便性;
保障本区应用服务的安全性,防止非法访问,减少广播报文对服务器的影响,避免单点故障;
提高服务器安全性,防止非法访问和外部的攻击与入侵;
有效控制成本,提高管理方便性。三一重工感言:更快、更高、更强
在三一重工的网络建设过程中,经过对产品及解决方案的完整性、先进性和成熟度的综合考虑,H3C最终成为三一重工基础网络平台建设的合作伙伴,H3C的产品和解决方案,为三一重工建设了兼具高性能、扩展性及可靠性的系统,并且实现了网络与安全的智能融合;不仅为三一重工企业重要数据的存储和提供了全面的基础安全保护,同时更简化了网络结构和管理,极大的提升了网络的弹性。尤其值得称道的是,网络管理的优化和对数据的安全保护不仅从硬件上得到实现,从软件层面也得到了“双保险”:以用户身份认证系统实现对用户的接入控制,从内部保护了网络的安全性;应用控制网关则对全网的流量提供可视化界面,方便管理员掌握网络的流量和应用分布,为合理网规及网络优化提供了量化依据。
经过整改和优化之后,三一重工的网络部分依据模块化设计网络的原则完成了扩充和增强,提高了网络访问服务器的性能和网络基础平台的可靠性,避免单点故障;网络安全部分进行了安全分区和统一规划部署,以防止外部的攻击和入侵,增强各安全分区之间的访问控制,提高Internet出口安全;服务器方面,按安全分区进行部署并替换了部分设备,提升服务器性能,增加服务器的安全性;此外,还对网络、安全和系统的配置进行了规范化,提高IT基础设备的规范性,便于管理和维护。
在三一重工和H3C携手之下,整体网络运行稳定、安全、可靠,有力的保证三一集团各种应用系统的正常高速运行,达到了“更快、更高、更强”的国际化目标——网络速度更快、安全性更高、性能更强。