Sophos UTM：用安全捍卫生命之源-科技频道-金鱼财经网

客户背景

昆山市自来水集团有限公司属昆山市住建局下属企业，经过四十多年的发展，公司目前实行饮用水源保护、自来水生产供应、城市污水处理一体化运行管理。现有长江、傀儡湖双水源，泾河水厂、第三水厂、第四水厂三座净水厂和周庄、张浦、陆家、南港、花桥、兵希六座增压站，日供水能力150万立方米，供水范围覆盖全市927平方公里，目前最高日供水量104万立方米。

面临挑战

经过沟通，发现客户目前的网络环境为：一台网神防火墙提供内网的安全防护，存在联通和电信两条外网线路；内网通过一台Cisco4503E核心交换机互联；分支站点部分通过专线汇聚到一台Cisco二层交换机，部分通过VPN线路连接到防火墙上面。当前使用的防火墙在日益负载的当今网络环境，已经无法满足需求。例如各种各样的病毒通过网站下载进入到内网，客户端由于缺少行之有效的管理与监控，无法对病毒进行全面的防护。

我们从IT整体架构方面切入，一一剖析，发现当前的广域网部分面临如下的挑战：

· 随着业务增长，对网络安全要求越来越高，当前网络逐渐不能满足对IPS、mail等业务的安全防护

· 当前防火墙为单节点状态，并不具备冗余架构

· 网络中存在较多分支站点，缺少统一管理的有效方式，维护比较复杂

· 分支站点缺少安全防护功能

· 外网线路不具备链路负载均衡，资源利用率较低，并且不具备高可靠性

· WAN网络结构复杂，节点较多，容易产生单点故障，同时也不利于排错，不便于管理员维护和管理

· 随着时间的推移，现有防火墙设备已逐渐老化，维护成本增高

用户需求

根据当前的网络情况，Sophos给予专业分析，需求如下：

· 链路优化：对WAN出口线路进行调整优化，通过链路负载均衡方式，充分利用网络带宽，保证外网线路的高可靠性

·VPN整合：能够提供较为方便和稳定的VPN接入

· 高可靠性：随着网络的发展与多样化，病毒与攻击手段层出不穷，防火墙在企业的作用越发重要。因此需要确保防火墙具备冗余架构，提高可靠性

·分支站点整合：需提供分支站点网络整合的解决方案，保证网络的稳定和高可靠性

· 安全防护：对网络状态、流量缺乏监控，无法第一时间获知网络状态，从而增加了网络潜在的危险

·分支站点安全：当前分支站点缺少有效的管理和安全防护

解决方案

根据当前的网络情况与需求分析，我们建议客户采用Sophos 专业防火墙实现整个WAN网络的调整与优化，并提供网络安全防护：

在广域网优化方面和网络安全方面，考虑到防火墙在整个网络中起到承载外网、分支等流量的处理，建议购买万兆模块，与防火墙实现万兆互联，以提高网络性能，针对当前广域网存在的问题，我们有如下解决方法：

当前面临的问题解决方法随着业务增长，对网络要求增高，当前网络不能满足对IPS、MAIL等业务安全防护Sophos提供一站式安全防护，提供IPS防护、WEB过滤、VPN等功能外网线路缺少行之有效的负载均衡设备Sophos设备提供链路负载均衡，可将多条ISP线路实现链路负载均衡当前防火墙为单节点状态，不具备冗余，若发生故障，无法保证业务连续性新增2台防火墙，实现防火墙群集，保证防火墙高冗余和高可用性网络中缺少统一管理的有效方式，维护比较复杂Sophos UTM可统一对策略、IPS、mail、wireless、vpn等进行管理，通过web界面维护，配置较为简单防火墙随着时间的推移，设备老化，性能在高峰值突发时存在瓶颈，且维护成本较高将现有防火墙更换为两台Sophos UTM设备，实现HA功能，既可提升性能又可保证业务的可持续性分支站点缺乏统一有效的管理，部署和维护比较负载通过专线或RED设备与总部互联，分支站点统一由总部进行管理分支站点缺少安全防护功能分支站点对于总部只是UTM上的虚拟接口，可通过总部进行策略的控制和管理，并提供安全防护

参考以往项目工程经验，结合Sophos的专业性，我们提出了如下解决方案：

核心产品：SOPHOS RED

通过Sophos 的专业改造，现在的昆山市自来水公司的整体架构在可靠性方面大大提升，用两台防火墙做HA，确保发生单点故障的时候，业务和应用受到的影响最小化，甚至没有影响。在客户端管理方面，因为Sophos自带的客户端防毒功能，有效的减少了客户端的管理成本也极大地缩短了问题出现后的处理时间，但最为关键的还是安全防护能力大大提升，通过增加Sophos UTM可为公司网络提供web、mail、endpoint等一站式安全防护功能，并且通过VPN加密保障用户访问总部以及分支访问总部的数据安全，同时通过IPS、防病毒等功能保护内网客户端以及服务器安全，有效地用安全捍卫了昆山市164万多市民的生命之源。

关于Sophos

在150个国家超过1亿用户将Sophos作为最好的品牌选择 ,来防止复杂的威胁和数据的丢失。Sophos致力于提供安全和数据保护的解决方案，来实现简单的管理,部署和使用,并具备业界最有竞争力的价格。Sophos提供屡获殊荣的加密、终端安全、网络、反垃圾邮件管理和网络访问控制等解决方案，并由SophosLabs — 一个全球网络威胁的情报中心提供强大支持。Sophos拥有30年的经验,被安全和数据保护公司的顶级分析师视为行业领导者，而且许多解决方案已经获得业内的奖项。