在当今数字化时代，企业的数据安全和沟通效率是其核心竞争力的重要组成部分。总部与分支之间的数据流通，不仅关系到信息的即时共享，更关系到业务决策的快速响应和执行。因此，构建一张坚不可摧的数据传输网络，成为企业信息化战略落地的关键。

企业网联安全是指通过先进的网络技术，将企业总部与各个分支机构紧密连接起来，形成一个统一、高效的数据传输和处理平台。这不仅提高了数据传输的安全性，也极大地提升了企业运营的效率。

企业业务开展过程中，数据传输是最基本的ICT需求。例如：分支机构的员工需要访问总部的OA系统、CRM系统、MES系统；外出移动人员需要访问总部的文件服务器、订单系统；总部需要定期收集分支机构的业务数据，做统一分析等等；这些数据包含公司大量的重要信息。若任其自由穿梭在开放的互联网平台上，将会给企业埋下巨大的安全隐患。

数据泄露：数据在传输过程中如果不采取加密措施，很容易被黑客截获，导致未授权访问和数据泄露；

网络攻击：病毒、木马等恶意软件可能通过网络传播，破坏企业数据和系统；

网络拥堵：没有有效的负载均衡和网络优化机制，可能导致数据传输速度缓慢，影响业务响应速度；

单点故障：没有冗余设计，一旦关键网络节点发生故障，可能导致整个网络瘫痪；

信息孤岛：不同分支之间的数据无法有效整合，形成信息孤岛，影响决策制定;缺乏有效的数据共享机制，导致团队协作效率低下。

加密技术：采用端到端加密，确保数据在传输过程中不被窃取或篡改，保证数据完整性。

访问控制：通过严格的访问权限管理，确保只有授权人员才能访问敏感数据。

入侵防护：建立全面的病毒、入侵、漏洞等攻击的防护机制，保证传输过来的数据安全可信。

冗余设计：网络设计中采用冗余机制，确保关键节点的稳定运行。

故障切换：实现快速故障切换，一旦检测到问题，能够迅速切换到备用系统。

总部、分支“一张网”解决方案融合了网络基座搭建、分支安全访问、移动人员访问、数据安全传输等多种场景，为企业搭建网络互联大平台提供了建设思路，实现了从理论到实践的衔接，确保企业网络的高效、安全与可扩展性。

图1 总部、分支“一张网”部署示意图

总部与分支之间的安全访问，主要业务场景为，总部建立了完善的业务数据中心，内部承载着丰富的业务系统，分支需要通过网络访问数据中心的数据供日常业务开展；因此，在这种场景下，企业关注重点一般会下沉到两个公司独立网络之间的安全连接问题。

目前，解决两个公司网络之间安全连接问题的主流方式为搭建IPSec VPN通道。IPSec VPN可以在两个端点之间建立一条虚拟的“隧道”，所有基于IP的应用数据都可以通过这条隧道进行安全传输，从而在公共网络上创建一个安全的通道供企业使用。

威努特第二代防火墙、威努特工业互联防火墙、威努特工业防火墙、威努特物联网安全接入网关设备均支持搭建IPSec VPN隧道，第二代防火墙一般部署于政企、教育、医疗等非工业场景；工业互联防火墙一般部署于工业网络与传统网络的融合区域；工业防火墙一般部署于工业现场；上述三种设备涵盖了企业组建IPSec通道的大部分场景，能够通过可靠的硬件配置和稳定的软件功能提供灵活的策略配置；满足企业需求。

图2 威努特第二代防火墙设备外观

图3 威努特工业互联防火墙设备外观

图4 威努特工业防火墙设备外观

但是，在实际应用中，还存在着一类客户需求需要重点关注，那就是微型分支组网。

微型分支指的是：人数极少、网络结构非常简单、无机房环境的分支；这类型分支规模小，但数量可能非常多，例如：物流点、连锁零售超市、数据采集点等等；在这种场景下，常规的防火墙类设备从物理环境、网络结构、投入成本方面来看显得不是特别适用，因此，威努特物联网安全接入网关可以被用来应对这个场景。

威努特物联网安全接入网关是威努特自主研发的新一代低功耗广域网物联网安全接入网关产品，产品基于工业级ARM架构多核处理器和威努特自研工控安全操作系统设计，支持多样形态不同协议的终端设备快速接入和访问控制的同时，具备丰富的2G／3G／4G、Ethernet等上行接口选择，支持通过VPN构建安全加密传输通道，满足多种场景部署。针对工控物联网场景部署分散、业务复杂等特点，威努特物联网安全接入网关可实现物联网跨网、跨域、业务级的安全接入，全面构建易用的物联网网络安全接入体系。

图5 物联网安全接入网关设备外观

移动人员访问内网数据的需求也十分多样化，例如：销售人员访问CRM系统、技术人员访问资料管理系统、一线人员访问演示环境给客户演示产品、领导随时登录OA系统审批流程等等。这些使用场景既要求安全性又要保证效率。需要确保搭建的移动访问通道稳定、快速、高效，同时做到访问权限严格把控，“一人一账号，一号一权限”；目前，解决该需求的主流产品为零信任VPN设备；

威努特零信任安全访问控制系统，采用“先认证后连接”机制，结合零信任SPA单包授权、多源身份认证、终端状态持续感知、数据级访问控制等多种安全技术，实现了用户在任意地点、任意时间对业务资源和数据的安全、稳定、高效访问。较传统SSL VPN 设备在网络连接、权限控制、链路稳定方面有很大进步。

图6 威努特零信任安全访问控制系统工作流程

在数据传输过程中，如何保证传输过来的数据是安全的，如何保证传输数据的IP是可靠的，这是必须考虑的问题，而解决问题的关键之一便是把控好数据进出口“大门”，这正是防火墙设备的拿手绝活；

威努特防火墙类设备具备网络访问控制能力，能够根据IP、端口、区域等多个维度建立可信网络连接，非可信连接均可拒绝访问；同时具备入侵防护、病毒防护、漏洞防护等多种安全能力，确保传输过来的数据是安全可靠的。

图7 网络访问控制

图8 安全防护能力

链路可靠性需要关注的内容很多，尤其是总部网络更要作为重点来建设，而链路可靠指的不单单是出口设备冗余即可，还应关注出口链路承载能力、出口设备负载能力等，下面我们简单分析一下：

主干链路承载能力：企业在最初设计带宽时建议留有一定冗余空间，一般按照3年左右业务发展来规划，保证后续业务扩展使用。但是不排除后续发展过快，现有带宽不满足分支接入的需求，这时候，很多企业会另辟蹊径，选择将分支接入和自身网络分开；这在一定程度上会增加成本投入，但是确极大提高了链路稳定性。

图9 分支接入区域独立部署模式

主干链路设备冗余：这里的主干链路包括互联网出口设备、核心交换机、数据中心交换机；互联网出口设备冗余是因为它不仅承担着总部自身用网需求，还承担着分支访问的需求，一旦宕机，可能导致业务中断；核心交换机设备冗余是因为它的职责过于重要，若核心交换机宕机，不仅总部与分支之间网络无法连接，同时总部内网也会面临网络不通的问题；数据中心区交换机设备冗余部署是保证数据中心业务连续性和可靠性的重要一环。

威努特交换机设备具备多种型号，涵盖以太网交换机、工业交换机、二层交换机、三层交换机、框式交换机、导轨式交换机、机架式交换机等，是面向中小企业、教育、网吧、酒店、安防监控、运营商IP城域网、政企网、大型园区网等应用场景推出的产品，适用场景多种多样。

搭载威努特自主知识产权的软件平台，在提供高性能的L2/L3/L4线速交换服务基础上，进一步融合了IPv6、MPLS VPN、网络安全、流量分析、虚拟化等多种网络业务，结合不间断升级、不间断转发、优雅重启、冗余保护等多种数据中心高可靠性技术，从而保证了网络最长时间的不间断通信能力。可帮助企业建立稳定牢固的数据传输网络基座。同时还采用业界领先的智能芯片绿色节能技术，大幅降低能源消耗，低碳环保，有效降低了企业运营成本，为网络的绿色可持续发展提供了完美的解决方案。

图10 威努特交换机产品系列

设备链路负载均衡：链路负载涉及到将网络流量分配到多个物理或虚拟链路上，以优化资源使用、提高网络性能和可靠性；威努特防火墙支持7元组的链路负载均衡策略、支持基于接口和目的地址进行健康检查等，能够满足企业链路负载需求；优化链路资源分配，提升网络可用性。

图11 防火墙链路负载均衡能力

随着5G、物联网(IoT)和人工智能(AI)等新技术的发展，未来的“一张网”将更加智能和高效。企业将能够实现更加精细化的数据分析和决策支持，进一步提升竞争力。构建总部与分支之间的“一张网”，不仅是一项技术挑战，更是企业战略布局的重要一环。通过不断优化和升级网络基础设施，企业将能够在数字化浪潮中立于不败之地。威努特将陪伴每一位用户的数字化转型之旅，提供最贴合业务、最灵活有效、最安全可靠的数据传输网络安全建设方案。