信息化，数字化是现代企业建设的发展趋势，网络安全对企业而言也随之变得越来越重要，企业中重要的网络建设一般包括数据中心和职场两个方面，数据中心是为了承载业务，职场是为了企业的日常运营。其中针对职场，也涉及多种多样的场景，面临多样的问题和挑战。

山石网科职场安全解决方案涉及多个场景，包括线下门店，发布会，集团总部，全国分支，海内外访问加速等。通过上网行为、带宽管理、应用控制、用户识别等功能，实现各个节点的安全防护。同时通过VPN互联实现企业专网建设，并进行统一的集中管理，达成智能运维的目标。

挑战和需求

其中主要的需求如下：

1. 保障员工上网和边界安全

作为互联网和内网的边界，首先需要进行区域隔离。对内网主要是保障正常互联网访问，对外则是向互联网发布一些办公相关的业务的同时拒绝和阻断互联网的攻击；另外承担NAT、应用控制等需求；以及针对多运营商线路的场景进行链路负载；在一些关键节点需要实现高可靠。

2. 实现分支互联

由于具有大量的分支机构，并且分布在全球各地，专有网络的建设需求就随之出现，从而实现各节点的内网互联互通，以减少互联网暴露面，降低被攻击的可能性。

3. 实现国内与国际访问的线路加速

国内国际间由于不同运营商、带宽等多种因素，导致访问效果不佳，会对很多延时要求较高的业务造成影响，例如线上会议，内部系统访问等，需要通过加速手段解决

4. 实现上网行为管理

首先需要对应用、URL进行访问控制，避免非法网站、恶意网址的访问，避免员工终端中毒，对企业网造成损失和不良影响。其次，需要进行带宽管理，一方面对核心业务进行带宽保障，另外也对部分业务和员工的资源使用进行限制和控制。

5. 实现用户识别

由于内网有大量用户人员，为了便于管理和日常监控分析，需要对内部员工上网进行用户维度的识别，便于更好和更直观的进行日常运维

6. 进行审计

作为核心边界，需要审计所有互联网的访问，以便满足网络安全法、等保的合规性要求，也为内部溯源、故障处理等工作提供参考依据。

7. 实现集中管理

由于部署了大量的设备，为了减少日常维护工作量，简化网络复杂度，需要使用自动化组网和集中管理的方式，提高维护效率，提升智能运维的能力。

解决方案

1. 使用山石安全网关作为出口设备，部署在互联网出口处，实现企业网与互联网间的边界隔离与控制
2. 使用NAT，链路负载功能，保障日常员工上网
3. 使用应用识别，URL控制等功能进行企业日常访问控制；多采用黑名单的策略方式
4. 使用双机HA针对重要节点进行高可靠保障
5. 使用QOS，应用识别和控制，进行上网行为控制
6. 配合使用HSA山石安全审计设备，进行网络访问的审计
7. 使用IPSEC VPN、GRE、SDWAN等技术实现企业专网建设，
8. 利用AWS、阿里云平台，部署山石虚拟化防火墙，作为中继节点，进行国际访问加速
9. 配合使用HSM山石集中管理平台，进行设备的集中管理，批量配置和策略下发
10. 使用山石的RADIUS SNOOP技术，对接用户认证系统，如AD、LDAP、自研平台等AAA，从而实现用户识别

方案优势

1.ALL IN ONE的方式，同时实现了多个客户需求，满足了日常上网、安全防护、企业专网，集中管理等核心需求。

2.支持AD、RADIUS等多种AAA的对接需求，实现用户识别

3.支持硬件、云化部署结合，多样化的部署方案，实现国际访问需求的加速

4.设备的高性能，高可靠，稳定性，长期的无故障运行，能为客户日常使用提供专业保障