iT邦幫忙

0

各分店必須存取總公司的WEB系統,但又不開放給外人使用,該建議網管型的防火牆還是VPN架構呢?

在一個客戶那邊遇到的情形
總公司架設一個WEB線上系統,為了讓二十個分店都能使用他,總公司開啟了80埠。
WEB線上系統有一道帳號密碼的驗證程序,但是這道驗證程序主要是為了劃分公司人員群組的權限而制定的。
現在,客戶希望提高網路的安全性,能將這個線上系統放在一個安全的環境裡,也就是僅有各分店的電腦可以使用,以及持有行動狀置的主管能使用,我第一個想到的是架設VPN Server。

總公司網路環境滿單純的,數據機(光世代50M) → Vigor 2130n → Switch → WEB伺服器 & Clients
分店的網路環境與總公司類似,只是都使用平價的無線寬頻路由器以及光世代20M。

但是,假如二十個分店皆用VPN連進總公司,那就表示二十個分店皆佔用總公司的Internet頻寬,更無法應付接下來新開立的分店。

我應該怎樣改變架構才能達到客戶的需求呢?

不管你用那一種都是吃掉頻寬
總公司用多Wan VPN設備
Web系統相信他應該Loading很小了
22
Blue Jacky
iT邦大師 1 級 ‧ 2012-11-04 19:36:24
最佳解答

這完全得先看有多少預算
才能作進一步整體規劃

不過還是提供幾個模式作參考

第一種 <- 個人曾使用在某系列的美髮連鎖店
網站安裝 openssl 直接以 SSL 加密
即改以 https://Web 來連線 (Port 443)
算是經濟實惠的作法
而且幾乎所有行動裝置皆可用

第二種
架設 VPN Server
安全性高
且對外頻寛部份倒是可以用具負載平衡的防火牆來解決
但不見得所有行動裝置皆支援

第三種
以官方 PKI 認證 <- 像自然人憑證、工商憑證
此法安全性相當高
但僅限特定設備與作業系統

當然
還有其他的解決方案
但還是老話一句...看預算

jazozazo iT邦高手 1 級 ‧ 2012-11-05 08:30:43 檢舉

其實樓主要先說明有哪些總公司的服務要提供給分店
如果只是key單
而且採用的是 client server 模式
那麼採用 網站安裝 openssl 直接以 SSL 加密
其實很方便 而且不會花到過多費用

2
oowo
iT邦高手 1 級 ‧ 2012-11-05 09:01:08

跟上面幾位大大所說的一樣,要先看預算,還有確認『使用對像及範圍』
怕的不是完成後,是更久之後......
有時完成後又說要追加XXX、XXX可用,你只會欲哭無淚(滿多都有這狀況的)

『僅有各分店的電腦可以使用,以及持有行動狀置的主管能使用』
各分店IP有固定IP嗎?
也可以採用固定IP綁定+憑證方式....
行動裝置是NB+平板+手機嗎?系統?
沒考量到一但建好發現有些不能用,主管們會抓狂喔~

簡單的方式有、複雜的方式也有,要看預算方可決定下一步就是,不過在看預算前…現況及希望要先確認好,不然改來改去挺麻煩的...

有了預算,不注意現況及希望的話(萬一User要省錢…你就不好做了....)

shawme iT邦新手 4 級 ‧ 2012-11-08 19:53:08 檢舉

最近已經跟客戶確認過了,各分店是會使用固定IP對外,這樣子要設定防火牆的規則就簡單多了。

8
外獅佬
iT邦大師 1 級 ‧ 2012-11-05 09:20:10

如果有Windows Server 2008R2 或 2012...可以玩Remote app...
或者...預算更高...玩Citrix吧...

外獅佬 iT邦大師 1 級 ‧ 2012-11-05 09:21:02 檢舉

Citrix有測試過..即使56K Modem...還是可以運行到可以容忍的速度...

2
hon2006
iT邦大師 1 級 ‧ 2012-11-05 09:28:16

我想只有用web,50M/10M 應該頻寬還夠用吧!
分站換成固定ip
總公司防火牆只開放分站的ip才可以連進來
頻寬不夠再申請一條光纖就好了.

0
player
iT邦大師 1 級 ‧ 2012-11-05 16:34:46

二十個分店, 它們都有固定IP的話
最簡單的方法是設防火牆或是在WebServer設IP白名單只允許特定的IP連線

如果沒有固定IP的話
就得用VPN或是其它方式了

至於SSL也就是 https
只是封包加密
不是檔連線, 所以跟你要的有點差距
除非是網頁的內容真的需要保密到這種程度
不然應該沒必要用到 SSL

3
charley2010
iT邦新手 3 級 ‧ 2012-11-12 13:25:06

可以向ISP業者租用MPLS (IP-VPN)的網路服務,就是由ISP業者將各點使用VPN服務給連結成企業專用的區域網路,各點如果只有一個網段,那麼你們公司連各點的VPN、Firewall或Router...等L3設備都不用買了。白話點,就是由ISP業者做當成是公司的VPN、Router...等L3的設備。
我在前一家公司就是將全台三十個分公司租用此服務來連結成區域網路,各點均不能在各自的點上Internet,全部都利用MPLS網路,集中由台北總公司,管控各點上Internet情況,另外還另外獨立的mpls網路,專提供voip服務。
你可以研究看看。

4
ff8oit
iT邦新手 3 級 ‧ 2012-11-13 09:12:06

可以分為兩個方向討論:

一、安全性
(1)在Vigor 2130n使用"開放通訊埠",然後再到防火牆設定"IP物件"為各分點的IP
(2)在WEB系統加入SSL模式
(3)各分點電腦或IP分享器利用PPTP撥入總公司,進行VPN連線

最簡單且省成本的方法就是選(1),我也會這樣建議

二、頻寬
(1)現有總公司頻寬為光世代50M,可以升速至現有最高速率,其實價差並不大
以下為HiNet光世代固定制價目表:
50M/10M(6IP) -- 1,988 元/月
50M/20M(6IP) -- 2,094 元/月
100M/20M(6IP) -- 2,241 元/月
100M/40M(6IP) -- 2,353 元/月
100M/100M(6IP) -- 3,041 元/月
100M/100M(1IP) -- 2,551 元/月

(2) 使用頻寬管理機制
除非是頻寬吃緊不夠用,不然建議不要做頻寬管理,以免影響網路效能

kelvin2 iT邦新手 4 級 ‧ 2012-12-05 16:25:39 檢舉

網管型的防火牆要收容20分店做Site to Site VPN負載很大
VPN架構建議使用MPLS VPN
如果只有使用某些服務就用SSL VPN吧

還是VPN架構

我要發表回答

立即登入回答