K/3常见远程网络配置方案集成

K/3常见网络配置方案集成

1. VPN之PPTP方式
场景一：早晨，在门店里，业务人员把业务单据录入系统，中午，上传到公司的统一数据库中；下午，公司的财务人员根据各个门店的上报数据作统计报表；公司老总在外地出差，使用笔记本电脑无线上网，连接到公司网络中，察看当天的报表并审批业务报告。
此种方式常见于以下应用：
A. 采用WEB版集中管理
B. 采用GUI版集中管理
C. 商业分销模块
D. IMTS
这种方式的特点是
l 总公司有固定公网IP，采用DDN或者PCM等方式上网
l 分支机构使用一台电脑，且采用ADSL等上网方式
硬件需求：一台EGATE4501即可满足需求 价格约5500元人民币
客户端使用WINDOWS2000或者XP，ADSL上网后，建立到EGATE4501的PPTP方式的VPN连接，即可连接到公司总部的服务器上。网络需求较小，费用较省。
注意事项：
l 客户端网卡的IP与公司总部的IP不能在一个网段。
l 可以在EGATE上配置PPTP接入用户的访问规则，以限制其对局域网的访问
l 客户端最好配置防火墙，只允许公司总部的IP与客户端的机器相互访问，以增强安全性
l 最具性价比的网络接入带宽是2M，一般价格在每月4500元RMB左右
网络拓扑图如下：



2. VPN之L2TP方式
场景二：公司总部在北京，内蒙、山东、河北等地区都有分公司，每个分公司都有二三十名员工。分公司的业务人员在计算机上面录入并打印业务单据作为原始凭证，总公司业务审批在计算机上面审批分公司的业务报告，总公司统计人员每天下午四点开始统计当日业绩，并制作每周和每月报表，总公司领导在出差，用笔记本电脑无线上网连接到公司总部，察看业务报表和审批报告，通过内部EMAIL收取报表和申请。
这种方式通常用于把两个局域网连接起来，常见于下列应用：
A. 采用GUI版集中管理
B. 使用OA软件
这种方式的特点是：
总公司具有公网固定IP，分公司也具有公网固定IP，采用网络到网络的VPN方式，把两个或者多个办公区域连接起来。费用较高，网络要求较高。
硬件需求：两台或者多台EGATE设备 价格在11000元RMB以上
网络连接起来以后，两个局域网中的用户可以相互访问，如同在一个局域网中一样。网上邻居、文件共享、打印机共享、MESSAGE等等，都可以使用。
注意事项：
l 网络的瓶颈在VPN通道，如果两个网络间有较多的通讯，可能有涌堵的现象发生。
l 采用EGATE可以实现网络对网络的连接，运行K/3GUI版本不需在客户端作任何配置。
l 建议采用EGATE4104进行流量控制
网络拓扑图如下：




3. VPN之DDNS+PPTP
场景三：早晨，在库房使用廉价的ADSL上网，业务人员把业务单据录入系统，公司的财务人员根据各个门店的上报数据作统计报表；公司老总在外地出差，使用笔记本电脑无线上网，连接到公司网络中，察看当天的报表并审批业务报告。
此种方式常见于以下应用：
A. 采用WEB版集中管理
B. 采用GUI版集中管理
C. 商业分销模块
D. IMTS

此种方案的方式的特点是：
l 总公司和分公司都使用ADSL连接，价格低廉（北京120元/月）
l 分公司和K/3客户端较少
硬件需求：一台EGATE4501即可满足需求 价格约5500元人民币
客户端使用WINDOWS2000或者XP，ADSL上网后，建立到EGATE4501的PPTP方式的VPN连接，即可连接到公司总部的服务器上。网络需求最小，费用最省

注意事项：
l 客户端网卡的IP与公司总部的IP不能在一个网段。
l 可以在EGATE上配置PPTP接入用户的访问规则，以限制其对局域网的访问
l 客户端最好配置防火墙，以增强安全性
网络拓扑图如下：




4. FIREWALL的应用
防火墙在网络中的应用有多种方式，有在路由之前的，也有在路由之后的，可以应用到客户端与中间层之间，也可以应用到中间层与数据服务器之间。
1). 防火墙应用在客户端到中间层之间
防火墙在此时主要是防止其他用户对中间层的访问，保证中间层的安全。
开放端口如下：TCP 135 和高端端口1024以上的一段端口如 1024到1400
其他端口和协议可以都关闭。
2). 防火墙应用在中间层与数据库之间
这种应用主要是保护数据库的安全
开放端口如下：TCP 1433 和高端端口1024以上的一段 如 1024到1200

更安全的设置是在DHCP上对运行K/3的计算机进行IP和MAC地址绑定，比如192.168.1.225到192.168.1.240这一段IP只分配给业务人员，然后配置防火墙，只允许这一段IP访问中间层的指定端口。采用EGATE可以实现此种方式。
3). 注意事项：
部分高级防火墙提供了状态检测和内容检查等功能，这种功能有时会造成K/3连接失败或错误，一般可在防火墙上禁用这种功能。

5. WEB版的安全
WEB版本安全主要是受IIS、windows系统、K/3的安全性影响。
IIS在windows2000中是4.0版本，它有很多的漏洞，所以必须安装windows server pack最新版本和最新的安全补丁来增强IIS的安全性。
WINDOWS系统同上。
K/3本身的安全主要是靠active card、用户口令等方式。
从网络、系统配置方面来看，可以采取的措施主要如下：
1). 改变IIS中站点的默认端口，WEB站点的默认端口是80，将其改为其他的高端端口会更安全些。
2). 可采用证书来保证WEB版不被非法访问。
3). 指定可以访问IIS的用户。
4). 在WEB版服务器之前加装防火墙，使用NAT发布WEB版服务器。
5). 在防火墙上面配置规则，限定访问WEB版的IP范围。
6). 尽可能的精简IIS和服务，

6. ADSL的多账号分时使用
ADSL由于只是利用PPOE协议进行网络认证，实际上是能够直接连通的，所以，ADSL线路可以通过HUB或者SWITCH来扩展，所以可以申请多条线路和账号，分开时间段来用，这样可以减少一些费用。