在构建全国性的业务网络中，企业集团需考虑整体业务网络的连接安全、传输速度、集中管理、与原有网络的结合度等诸多因素，其最终目的在于促进企业的业务系统运行，优化其运营流程，进而降低企业运营成本，提升企业业务效率。

中国免税品集团在自身的信息化建设中，也正遵循着这一思路，在改建全国业务网络连接时，进行了跨越式的网络建设。

背景介绍

中国免税品（集团）有限责任公司现为中央企业，创建于1984年，是经国务院批准设立的国家免税品专营公司，是中国免税业的代表和旗舰企业。

目前，中免集团已在中国大陆29个省市自治区的90多个口岸城市和边境地区以及香港特区设立了170多家免税店，其中控股免税店近100家；在高速发展的过程中，中免集团引入了现代化的IT应用系统来支撑集团的业务发展，如业务管理系统、POS系统等各种应用系统。遵循"统一经营、统一组织进货、统一制定零售价格、统一制定管理规定"的管理政策，中免集团要求各控股免税店通过业务系统将数据上传到北京公司总部。目前的实现方法是，各类业务数据直接通过公网，实现分支机构与总部之间的数据传输，各免税店等分支直接通过各类公用网络环境访问总部。

面临的问题

为了满足全国各地免税店访问总部业务系统，中免集团原有的解决方案是将业务系统直接挂在公网上。但这给集团的业务系统运营安全造成了潜在的威胁，一旦有黑客、病毒攻击业务系统，由此造成的业务系统瘫痪、业务数据丢失等后果将十分严重。

全国各分支访问中免公司业务系统、进行业务数据传输时，所有的数据传输并没有进行安全加密，数据容易被截取破译，这种商业风险使得中免集团信息管理部门非常重视。

中免集团全国各地免税店、中大型分支网络环境不一，遍布全国各地，而中国南北跨运营商访问存在的速度慢、丢包等顽疾，使各地分支访问中免集团总部业务系统、内网文件时，不可避免地产生了传输速度慢的问题。

而集团总部领导、业务人员、各分支驻外业务人员外出办公时移动性强，如何让合适的人接入合适的业务系统，如何让整个接入操作简单易用，如何确认接入用户的身份合法？这一系列的问题需要中免集团构建新型安全的远程接入系统。

安全的远程登录与移动办公方案

中免集团目前部署的业务管理系统、POS系统等，主要用于支撑集团的工作，并与旗下的分支机构进行数据交互。系统服务器坐落在北京的集团总部，针对上述提及的服务器攻击、移动办公问题，中免集团在总部部署深信服SSL VPN，将系统服务器移至内网，通过在网络出口处架构防火墙等网络安全设备，这样服务器被攻击而导致的业务系统使用缓慢、停滞、数据被窃取等风险大大降低。

通过深信服SSL VPN严格的身份认证，中免集团对领导、外出人员部署USB-Key等认证工具，对接入人员做强身份认证，这充分保证了接入人员身份的合法性，且用户帐号不易丢失。基于用户身份，中免集团对接入人员划分细致的权限，让接入人员访问可以访问的业务系统，进不同的服务器版块，如对领导开放管理系统，对业务员人员开通OA、CRM系统等……

至此，集团各类在外人员通过SSL VPN远程接入的安全性、操作性等问题得到解决，借助优化的传输协议、压缩手段等，在外人员的接入速度得到保障，移动办公变得非常方便。

构建快速的业务网络

将各类业务系统服务器移至内网后，要解决全国各免税店的业务访问，集团需构建全国性的专有网络。在专线、传统VPN、广域网加速通道等解决方案的选择中，中免集团最后选择了广域网加速产品构建数据传输通道，而选择深信服广域网加速设备，则源于深信服设备良好的加速性能与性价比。

中免集团在总部以单臂模式部署一台深信服千兆级广域网加速设备，在各免税店分支端同样以单臂模式部署中低端广域网加速设备，通过广域网加速设备中的VPN组建VPN网络，再利用广域网加速技术进行应用与数据传输的加速，从而达到数据传输安全、保障传输速度的效果。

深信服广域网加速设备通过内置的协议代理、数据优化等多项技术，大大减少了各类应用协议在广域网上的频繁交互、重复数据的传输，进而提升了各分支访问总部应用系统的速度，并有效降低了带宽利用率。

同时解决了扩大带宽也无法解决的问题：由于广域网传输存在的延迟和丢包造成的各分支访问总部应用系统的缓慢，这都是通过单纯增加带宽所无法解决的，而深信服广域网加速设备能从根本上解决这一问题。

中免集团SSL VPN、广域网加速设备、 VPN集中管理平台部署图

全国VPN网络的集中管理

中免集团遵循"统一经营、统一制定管理规定"的管理政策，需要对已架设的全国业务网络进行统一管理，以求得集中管理的快速反应、规范管理等效应，这也避免了分支管理所投入的人力资源、IT资源等成本，更减少了分支分散管理出现的数据孤岛效应和可能出现的技术问题。

中免集团在总部以旁路模式部署一台深信服VPN集中管理设备，对全国组网的VPN（包括广域网加速设备中含有的VPN模块）进行统一管理，总部可对组网中的VPN设备进行统一的策略下发，查看设备运行状态等，这大大减轻了IT管理人员的工作量，并提高了组网设备管理的实时性。

总体而言，整个方案通过IPSec VPN实现数据的安全加密、通过广域网加速设备实现数据的快速传输、以SSL VPN实现安全灵活的远程登录，最后用集中管理平台对所有IPSec VPN进行集中管理。该方案帮助中免集团实现了网络的全面升级，构建了一个安全、快速、管理性强的网络平台，进而使中免集团信息化建设得以在更先进的平台上深入进行。

【编辑推荐】

1. VPN指南：新手、高手和IT专业人士，一个都不能少
2. 浅析VPN身份安全认证
3. 深信服广域网优化助力波司登集团信息化建设
4. 深信服为韶关移动与学院搭建WLAN校园网