項目背景

互聯網的興起與發展給社會各個領域帶來了深刻的變化，也給電力行業帶來了巨大的機遇和挑戰。電力系統在使用互聯網帶來的豐富資源的同時，也面臨著越來越多的安全威脅和管理難題。作為國家支柱能源產業，電力系統的運行狀況直接關系到社會生產生活的正常秩序。加強網絡安全管理，提高系統運行效率，保證電力系統的安全健康運行已刻不容緩。

某電力公司系電網經營企業，全公司共有500人，年營業額1000萬左右。該公司肩負全縣電力供應任務，負責經營、管理、建設縣電網，承擔縣電網資產保值增值職責，并組織各電廠參與縣間電力交易。一旦系統網絡安全出現問題，就可能給國家和社會財產造成重大損失。為此，電力公司希望盡快找到一個全面的安全解決方案，來解決其網絡安全及管理面臨的問題。

用戶需求

該電力公司為了完成全縣電力供應的任務，需要構建安全的VPN網絡，連接整個縣移動電費征收點。首先要解決的是整個網絡系統的安全問題，對此，電力公司要求在其網絡的中心位置架設一臺高性能的防火墻，保護位于網絡中心的服務器免受外來網絡的攻擊和破壞。其次，解決方案還必須提供簡便的設備配置及監管程序。由于該電力公司沒有專門的網絡維護部門，網絡技術人員不足，整個系統網絡的管理需要最低的人力和技術成本投入設計，盡可能實現設備的自動配置和實時監控。

解決方案

在詳細分析和研究用戶的實際網絡部署和網絡安全需要的基礎上，合勤科技決定通過為電力公司搭建以ZyWALL 70 UTM安全網關為中心的安全網絡，滿足其不同類別和層面的需求。將一臺ZyWALL 70UTM部署于電力公司總部，對總部進行全面保護，并提供移動用戶的VPN接入。移動用戶采用ZyWALL P1通過IPSec VPN安全訪問縣電力公司內部網絡，所有設備都能夠通過中央安全管理系統Vantage CNM進行遠程管理。

合勤科技認為，依靠單一防火墻不足以滿足電力公司多個層次的管理需求，而必須采用統一威脅管理（UTM）來實現該網絡的安全管理。ZyWALL 70 UTM融合了防火墻、防病毒、反垃圾郵件、VPN、負載平衡、寬帶管理、入侵檢測、內容過濾八合一的高性能安全防護功能，運用了世界著名的卡巴斯基防病毒技術及合勤科技獨創的ZyNOS操作系統，UTM系列產品中獨有的ZyXEL SecuASIC™加速技術，更是讓整體性能提高到其他同級UTM產品性能的20倍。ZyWALL 70 UTM的各項強大網絡保全功能整合于IcsA認證的ZyNOS防火墻作業平臺上，能提供完整的狀態偵測、分布式黑客入侵防范、動態式網頁內容過濾等功能。

擁有高性能硬件平臺和靈活的ZyNOS網絡操作系統的ZyWALL 70 UTM配合ZyWALL P1，能夠滿足電力公司對于系統網絡的要求。與其他軟件防火墻相比較，ZyWALL P1是真正能夠即插即用的硬件式個人安全裝置，輕薄短小，無須安裝任何軟件及進行繁瑣的設定，可輕松實現對于移動用戶的VPN連接，隨時隨處均可通過加密的安全通道，來存取所需地址的網絡資源，大大減少了維護及管理的成本。

同時，ZyWALL P1/ZyWALL 70 UTM支持Vantage CNM集中管理，實時監控，消除了網絡管理員對客戶端的配置無法進行管理、修改的弊端。

該方案一方面能夠快速完成了該電力公司的架設部署，另一方面，能夠方便地對所有網絡節點設備進行安全管理，及進行網絡維護工作，并能夠根據規劃，快速進行網絡擴展和升級。而且還具備著強大的安全功能，完美確保了電力公司對縣電力系統進行安全管理目標的實現。

具體實施

如上圖所示，合勤科技將ZyWALL 70 UTM安裝在了電力公司網絡中心，配合以5臺ZyWALL P1用于移動征收點，構建1條安全的VPN網絡，移動用戶采用ZyWALL P1通過IP Sec VPN安全訪問縣電力公司內部網絡，未來還可不斷擴展。這樣就保證了電力公司中心網絡的安全。所有設備都能夠通過Vantage CNM中央安全管理系統安全遠程管理，從而實現了電力公司對縣電力系統進行統一安全管理及監控的目標。

為電力公司選擇的ZyWALL 70 UTM和ZyWALL P1兩款設備，都繼承了ZyWALL家族強大的防火墻功能，ICSA認證保證防火墻和IPSec VPN能夠與其他廠商擁有ICSA認證的產品很好的互聯互通。 提供高速率的采用DES/3DES/AES等加密方式保護的VPN連接，并具有VPN備份功能以保證在主要網絡連接中斷時能夠及時地替換到備份連接上，保障網絡的暢通。同時，附加的增值優勢包括撥號備份和流量重定向，增強了保護多重互聯網連接可靠性的功能。此外，ZyWALL系列均提供一個友好的用戶界面作為接入互聯網的快速配置接口，保證非專業人士能夠快速的熟悉掌握配置ZyWALL的方法。

該解決方案中的中央安全管理系統Vantage CNM，是一款功能豐富的安全管理平臺。它可實現對幾臺至數千臺遠端合勤防火墻VPN設備、UTM統一威脅管理設備的集中管理，實時監控以及安全策略分發。在大型網絡，尤其是在電力公司這樣分散部署多臺安全設備的情況下，此系統還可提供對多臺設備的快速部署、策略與配置的集中維護及網絡監控有效管理。同時，配合ZyXEL報告系統Vantage Report（VRPT），還可生成動態、實時、歷史以及基于Web，或者PDF格式網絡狀況統計報表，并提供經由一臺或者多臺ZyXEL安全設備的所有網絡活動完整視圖，從而靈活、直觀地掌控網絡狀態，適時調整，優化網絡。

VPN設定的繁瑣步驟往往會讓未經專門訓練的網絡管理員大傷腦筋，為了解決這一問題，有些公司甚至還需要投入資金來對管理員進行培訓。對此，Vantage CNM提供了One-Click VPN功能，使網絡管理員能夠利用直觀圖形界面完成VPN配置。依靠這一功能，管理員只需以鼠標點選網絡設備，接著拖出一條虛擬通道拉向遠端VPN設備，即可輕松地在網絡設備之間建立VPN通道。借助預先設定好的VPN參數，即使是非技術背景的管理員，也能夠在耗費最少精力的情形下，輕松配置及管理所有VPN通道。這樣一來，不僅輕松實現了所需的VPN設置，也節省了公司的管理成本。

用戶點評

用戶表示，使用合勤科技的VPN安全解決方案幫助他們加快了本單位的信息化進程，大大提高了工作效率，節約了人力、物力。

應用特色

1.安全性：IPSec VPN可有效保護數據在網間傳輸的安全，保證了報表能夠可靠地發送與接收，有效避免了因數據被破壞而導致的報稅延遲等事件發生。

2.可靠性：首先IPSec VPN是利用強健的IPSec標準構建的VPN通道，因此從根本上有可靠的保證。其次合勤科技提供可靠的服務，使客戶的網絡有可靠的保障。CNM即時告警指示及網絡監控，還可對應用、VPN、VPN 統計、正常運行時間、計算與安全事件等進行網絡監控。

3.擴展性：一次性投入即可覆蓋今后可能的擴展要求。隨著應用的需要，網絡結構允許擴容以支持更多用戶訪問和應用。也就是說，如果以后需要新增業務節點的話，電力公司也不必新拉線路、采購設備。

4.維護簡單：用戶用于維護VPN的工作量非常小。簡單的架設和升級，適用于沒有技術背景的管理員，只要利用直觀的圖形界面就能完成繁瑣的VPN配置及管理。

5.費用節約：從網絡建設到后期維護管理，都節約了大量費用，具有極高的性價比優勢。而且在該VPN內部如果實現語音、數據和圖像的同傳應用，就可以節省更多的費用。