四、 實施效果及典型特點

  某物流公司通過VPN建立遠程網后，可以實現如下效果：

建立遠程專網，實現分支機構、移動用戶及總部之間的互聯互通
   通過迅博VPN建立遠程專網后，可以實現總部和分支機構的雙向通信，象在同一個局域網內，實現DDN/FR專線效果，可以支持任何企業遠程應用，如ERP/財務/EDI等遠程擴展。

VPN硬件內置全自動調度功能，可以實現無人干預的數據交換功能
  迅博VPN采用平臺化技術開發，具有極強的擴展性，通過內置全自動調度程序，可以實現EDI數據自動交換，無需人工干預，從而提高工作效率及可靠性。

采用企業級防火墻，可以對遠程接入網絡進行統一的安全策略管理和集中管理
  為了安全和管理方便，可以在總部VPN防火墻內對所有接入的VPN用戶進行策略和規則管理，這樣可以防止因分支機構的安全缺陷對總部造成沖擊。迅博VPN內置企業級防火墻功能，可以在總部和分支機構分別進行防火墻設置，確保整個網絡的安全性。

總部采用VPN的雙機熱備份功能，可以保證整個網絡的可靠性
  迅博VPN可以支持多種層次的可靠性，包括：
  雙線備份及故障自動切換功能
  雙機備份及故障自動切換功能
  分支及客戶端VPN自動切換功能
通過采用上述可靠性技術，可以確保整個VPN網絡無論是線路故障還是硬件故障，均可以自動切換到備份線路或機器上，從而保證數據業務的不間斷運行。
 
總部和分支采用VPN的透明模式功能，可以不改變現有的網絡結構，具有良好的可擴展性
  通過采用迅博VPN的透明模式進行組網，可以不必改變總部和分支機構的現有網絡結構，從而快速的部署VPN網絡，同時也可以方便的對整個VPN網絡進行擴展和維護，增加VPN節點的話可以不影響已有VPN網絡的正常運行。

通過授權，網絡管理人員可以在任何地方對整個VPN專網進行遠程維護，維護方便
  迅博VPN支持HUB&SPOKE技術，方便網絡管理人員對VPN全網進行維護，可以在移動接入（CDMA/GPRS）的情況下對總部或分支的VPN網絡進行遠程維護。

支持多子網結構
  在一些大型企業和行業用戶中，普遍使用多子網、多網段規劃網絡結構，迅博VPN產品支持遠程用戶訪問特定的網段和子網，而不需要復雜的網絡配置。

典型特點如下：
保護已有硬件投資，不改變現有任何網絡結構
支持各種INTERNET接入方式，無論總部還是分支，均支持雙線備份功能
支持企業級防火墻，可以設置遠程VPN用戶的訪問策略
維護和擴展方便，高可靠性設計

五、 方案成本及支付方式

六、迅博VPN安全性概述

（一） 安全概述
 
  通過VPN建立遠程專網（廣域網）越來越普及，現在大多數VPN產品采用IPSEC標準，由于涉及到通過公共互聯網進行通訊，VPN網絡的安全性就非常重要，其中IPSEC是一種國際標準，定義了一個安全標準體系，主要分為如下幾個方面保證安全性：隧道技術、數據加密技術、數據認證技術以及數據完整性技術，迅博VPN產品還支持企業級防火墻技術，來增強網絡的安全性。
  迅博VPN支持AES/3DES/BLOWFISH等128/168位數據加密技術，可以實現無法破解的數據安全性，其中AES是美國國家加密標準，3DES是加密強度最高的加密算法。在數據認證及完整性技術方面，迅博VPN支持SHA1/SHA2/MD5等加密算法，可以實現1024/2048位的數據安全。
  在企業級防火墻方面，迅博公司針對企業上網安全控制的需求，推出企業級防火墻平臺，首創智能編譯功能，使用簡單，是大中型及中小型企業安全控制的理想解決方案。迅博防火墻的主要功能特點為：

  企業級防火墻  功能強大,可方便的對大量機器進行管理，如可劃分多個區域、多個接口,支持內網劃分為多個網段，采用多種策略和規則、多種接入認證方式，針對不同部門、不同機器，采用不同的安全策略和規則，管理簡單方便。

  智能編譯型防火墻  部署簡單  迅博防火墻可采用自動配置模式，生成不同安全級別的策略和規則，同時采用編譯方式，自動檢查配置，解決了專業防火墻必須由專業人員配置的問題。

  與應用緊密結合，支持七層過濾 迅博防火墻可以與VPN產品結合，可以對遠程的VPN區域進行管理，并且可以為VOIP/VPN等應用預留帶寬，保證關鍵業務應用，同時支持七層過濾功能，解決了傳統防火墻難以封鎖QQ/BT等問題。

  強大的QoS及帶寬管理功能  迅博防火墻的QoS功能可以根據協議、端口、IP及應用層協議設置優先級，對數據進行調度分流，確保正常的上網應用，降低或禁止娛樂性應用。

  防非法攻擊功能  迅博防火墻具有較強的防DDOS攻擊功能，可以方便的對連接數、連接頻率進行設置  ，同時可以有效的防止沖擊波 蠕蟲病毒的攻擊。
 

（二）功能解釋

迅博防火墻對內網的控制管理以及對外網的攻擊防護均是通過一定的概念和術語來描述這些防護和管理策略，因此要正確的使用企業級防火墻，這些概念和術語就非常重要。下面是對迅博防火墻的功能解釋：
區域：區域是有相同屬性的機器的集合，如整個局域的機器可以看做是一個區域，整個互聯網是一個區域，因為互聯網是不安全的，局域網是安全的，所以他們的區域不應該一樣。當然根據安全級別，在一個局域網內部也可以劃分幾個區域，如區域1可以禁止其上網，區域2可以上網，但只能收發郵件和瀏覽網頁，區域3可以允許其不限制上網，如可以使用BT，等等。一般的，防火墻本身獨立為一個區域，因為它是內網和外網的橋梁。區域的區分可以通過IP范圍、網段，也可以通過接口。例如，192.168.10.2-192.168.10.30可以劃分為一個區域，192.168.10.50可以獨立成為一個區域。如果防火墻和VPN結合使用，則VPN獨立為一個區域，防火墻可以對遠程的VPN權限進行管理，例如，可以只允許VPN用戶只能訪問個別機器、個別協議和端口，這樣即使遠程的VPN用戶感染病毒和木馬，對總部和其他分支的VPN用戶也不會有影響。

策略：策略是描述區域之間關系的術語，例如我們可以將一個公司的網絡劃分為最基本的三個區域：內網區域、外網區域以及防火墻區域，首先從安全上來講，我們可以采用不同的關系（即策略），例如禁止內網區域訪問外網區域，這是一個最安全的策略。也可以允許內網區域訪問外網區域，這是一個不太安全的策略。

規則：策略對區域之間的關系描述比較粗放，即只能是禁止或允許，如果要更細致的描述一些特殊和例外情況，則需要規則。規則是對區域內的個體之間的關系進行描述。例如：假設在內網區域和外網區域之間，我們定義了安全的策略，即禁止內網所有機器訪問外網，但我們還是需要某些互聯網訪問的，如允許收發郵件，允許某些部門使用MSN，允許另外一些部門瀏覽網頁等，這些比較細致的策略，需要使用規則定義。

主機：如果區域是某些主機的集合，則主機描述具體的PC機IP及接口屬性。

接口：接口是防火墻設備的屬性，是實實在在的東西，如內網接口是br0，外網接口則視外網接入方式而不同。所有的區域都必須指定為某個接口，由接口來完成策略和規則的轉化。同時接口本身有一些屬性，如接口可以支持MAC認證，接口可以支持黑名單。

MAC認證：如果在接口上選擇了MAC認證屬性，那么所有通過此接口的區域主機都必須在指定的MAC列表中，否則則禁止其接入防火墻和外網。迅博防火墻支持自動獲取MAC方式，同時支持MAC/IP綁定，即可以指定某個MAC必須以具體指定的IP接入。如果要對一個網段的機器劃分幾個區域進行管理，最好采用MAC認證或MAC/IP綁定認證方式，以防止PC機改變IP從而改變區域。

黑名單：如果在接口上選擇了黑名單功能，則可以禁止區域中某個IP。注意MAC認證只對內網有效，黑名單也可以對外網有效，例如可以將外網的某些IP列入黑名單。

IP地址偽裝：一般的，防火墻只會獲得有限的幾個公共IP，并且一個公共IP的居多，這時需要對內網的機器接入互聯網進行NAT轉換。迅博防火墻的IP地址偽裝可以實現NAT功能，同時還可以實現一般路由器無法實現的功能，即策略式NAT，例如可以針對目的IP和端口，源IP和源端口進行偽裝，同時還可以支持通過VPN隧道進行偽裝。

多地址管理：對于專線上網的用戶來說，運營商（電信和網通）一般分配多個公共IP，如4個、8個、16個等，當然也可以分某一個網段。迅博防火墻可以對多個公共IP進行管理，提高利用率。

流量管理：通過設置，可以實時觀察任何接口、任何IP、任何協議及端口的下載和上行流量，網管人員通過這些流量信息，可以實時的對內網策略和規則進行調整。

連接管理：連接數又稱會話數，一個網絡應用的實現，一般有多個連接來實現，每個連接由TCP或UDP協議來實現，例如，在瀏覽一個網站的時候，會有多個連接一起來實現，對于一些下載軟件、P2P軟件等，用到的連接數會更多，例如，使用PPlive看電影，則一般要用到1000甚至更多的連接。防火墻帶的連接個數是有限制的，如果局域網內的所用連接超過了防火墻的最大值，則會影響某些機器的網絡應用，如速度慢、連接丟失等。因此連接管理非常重要，迅博防火墻支持實時查看所有機器的連接數目，根據連接數目可以初步判斷每臺機器的應用是否正常，例如連接數過多，通常也是某類病毒的表現，這樣可以限制某臺機器、某類應用的連接數頻率。同時迅博防火墻還支持在區域層次限制連接頻率。

七層過濾：大多數防火墻在IP協議層對內網和外網進行管理，但IP協議層有一定的局限性，很難對某類應用進行管理和控制，例如某些版本的QQ軟件，只使用80端口，而80端口通常是開放的，因此傳統防火墻很難對這類QQ進行有效控制。迅博防火墻實現了應用層過濾功能，可以對100多種應用進行有效控制，例如對QQ/MSN/HTTP/MAIL/SSL/P2P等進行有效控制。

帶寬管理：迅博防火墻具有強大的帶寬管理功能，可以對多個接口進行帶寬管理，如果管理上行帶寬，則需要外網接口，如果要管理下行帶寬，則需要定義內網接口。通過設置不同接口，可以對帶寬進行分類，例如設置200Kbit  500Kbit  1000Kbit三類帶寬，然后再定義帶寬規則，帶寬規則可以根據IP、協議、端口來定義，指定不同的帶寬類別，如果沒有在帶寬規則中指定帶寬類別，則屬于默認帶寬類別。迅博防火墻的帶寬管理可以和VPN應用進行緊密集合，例如可以為VPN預留帶寬，從而保證關鍵應用的運行。

QoS設置：QoS對流量的控制與帶寬管理思路不同，QoS通過設置不同的服務級別，指定優先級的方式保證服務質量，迅博防火墻具有很強的QoS級別設置方式，這也是判斷QoS能力的最重要指標。迅博防火墻可以按IP協議、TCP協議、UDP協議、端口號、應用層協議、以及TOS等幾個層次來進行QoS級別設置。通過正確的QoS設置，可以不限制BT等P2P應用，仍然可以使網絡流暢，例如可以將TCP 80端口的優先級提高，將某些IP地址的優先級提高，則優先級高的應用會搶占優先級低的應用，只有優先級底的應用或機器有可能會感覺網絡擁擠 。