淘宝商城安全部署方案

下面是小编为大家整理的淘宝商城安全部署方案,供大家参考。

淘宝商城安全部署方案

 

 实训:

 商务安全方案。

 假设你们班开了一个淘宝商城, 开商城办公用的电脑大多数集中在淘宝实训室, 此外, 在广州还有一个负责货源的小分支机构, 随着商城业务的进一步发展, 内部的应用系统不断增多,日常业务的处理基本上都是依靠网络和电子化流程, 于是部署了提供远程连接功能的 VPN系统。

 由于办公用电脑的增多, 业务量的扩大, 现在有必要对整个 VPN 内的办公用电脑进行统一的安全部署。

 现在请写一份详细的安全方案。

  淘宝商城安全部署方案 一、 现状分析

  淘宝实训室与 Internet 相连, 面临着外网攻击的风险接入校园网的节点数日益增多, 这些节点会面临病毒泛滥、 信息丢失、 数据损坏等安全问题

 在淘宝实训室和广州小分支机构的局域网出口处各安置一个 VPN 网关; 在所有广州分支机构的应用终端上安装 VPN 终端软件; 已申请了 ADSL, 并准备使用一台独立的电脑作为应用系统终端。

 二、 VPN 方案规划 在规划 VPN 方案时, 我们首先对客户应用需求进行分析, 并在此基础上提出了基本方案:

 在淘宝实训室和广州小分支机构的局域网出口处各安置一个 VPN 网关; 在所有广州分支机构的应用终端上安装 VPN 终端软件; 已申请了 ADSL, 并准备使用一台独立的电脑作为应用系统终端。

 在淘宝实训室和广州小分支机构的 VPN 网关之间建立隧道连接, 实现淘宝实训室局域网和广州小分支机构局域网之间的相互通讯;

 淘宝实训室和广州小分支机构的 VPN 网关分别为广州分支机构的应用系统终端提供远程 VPN 接入服务, 使广州分支机构终端能够访问财务管理系统和库存商品管理系统。

 接下来, 我们根据用户的现有网络情况确定将要使用的产品及设备布局方案。

 对于淘宝实训室或广州小分支机构, 由于局域网已通过光纤接入 Internet,已使用了一台防火墙作为网关并且有多个公共 IP, 所以决定采用双网关结构,即在现有防火墙的平行位置上再放置一台 VPN 网关, 此方案的优势在于:

 第一,不改变现有网络结构; 第二, 使 VPN 通讯与普通 Internet 访问分流, 提高 VPN通讯的可靠性。

 对于广州小分支机构, 由于目前还没有网关, 所以直接选用安联G100 网关, 该设备同时起到 NAT 共享上网、 防火墙、 VPN 网关等功能。

 对于广州分支机构的应用系统终端, 只需要安装安联 VPN 终端软件即可。

 规划 VPN 方案的第三步是对淘宝实训室和广州小分支机构的办公用电脑应用终端的地址进行规划。

 根据 VPN 隧道及 TCP/IP 路由原则, 结合基本的 VPN方案, 我们提出如下地址配置方案:

  淘宝实训室和广州小分支机构分别使用一个彼此独立的网段; 淘宝实训室:192.168.10.0/255.255.255.0; 广州小分支机构:

 192.168.11.0/255.255.255.0 1)

 使用虚拟 IP 功能, 由总部 VPN 网关为每个接入的广州分支机构应用终端(VPN 客户端)

 分配一个独立的内部 IP:

 192.168.12.X; 公司经理使用的笔记本电脑可以通过 GPRS 网络接入 Internet;

 三、 VPN 拓扑图 在下面的拓扑图中, 我们仅绘制出了一个广州分支机构应用终端和一台笔记本电脑。

 四、 VPN 隧道配置 为了实现前面提到的应用需求, 我们分别在淘宝实训室、 广州小分支机构的

 VPN 网关上各配置两条 VPN 策略, 其中一条用于实现男生宿舍和女生宿舍之间的 VPN 隧道连接, 另一条用于为各个 VPN 终端(包括广州分支机构应用终端和经理所使用的笔记本电脑)

 提供远程接入服务。

 同样, 在各个 VPN 终端上我们也各配置两条 VPN 策略, 分别用于与淘宝实训室和广州小分支机构的 VPN 网关建立 VPN 隧道连接。

 五、 应用说明

 淘宝实训室和淘宝实训室的 VPN 网关可以相互发起 VPN 隧道请求, 一旦VPN 隧道建立, 库存商品管理服务器和财务管理服务器即可以通过对方的私有IP 进行数据共享;

 VPN 终端主动向库房 VPN 网关发起 VPN 隧道请求, 一旦 VPN 隧道建立,即可以通过私有 IP(192.168.11.2)

 访问库存商品管理服务器;

 VPN 终端主动向淘宝实训室或淘宝实训室 VPN 网关发起 VPN 隧道请求,一旦 VPN 隧道建立, VPN 终端将获得虚拟 IP, 此时即可以通过私有 IP(192.168.10.5)

 访问财务管理服务器;

 六、 案例总结

 在本案中, 对于淘宝实训室或淘宝实训室我们采用了双网关结构, 使用此方案时必须注意以下两点:

 由于淘宝实训室或淘宝实训室终端的默认网关指向防火墙, 所以必须在防火墙上配置静态路由表, 以保证需要通过 VPN 隧道传输的数据包能够转发给 VPN网关处理;

 由于 VPN 终端接入 Internet 时获得的 IP 是动态的, 为了编写防火墙上配置静态路由表, 在淘宝实训室的 VPN 网关上必须使用虚拟 IP 功能为它们分配一个固定的 IP。

推荐访问:淘宝商城安全部署方案 淘宝 部署 方案