四、 实施效果及典型特点

  某物流公司通过VPN建立远程网后，可以实现如下效果：

建立远程专网，实现分支机构、移动用户及总部之间的互联互通
   通过迅博VPN建立远程专网后，可以实现总部和分支机构的双向通信，象在同一个局域网内，实现DDN/FR专线效果，可以支持任何企业远程应用，如ERP/财务/EDI等远程扩展。

VPN硬件内置全自动调度功能，可以实现无人干预的数据交换功能
  迅博VPN采用平台化技术开发，具有极强的扩展性，通过内置全自动调度程序，可以实现EDI数据自动交换，无需人工干预，从而提高工作效率及可靠性。

采用企业级防火墙，可以对远程接入网络进行统一的安全策略管理和集中管理
  为了安全和管理方便，可以在总部VPN防火墙内对所有接入的VPN用户进行策略和规则管理，这样可以防止因分支机构的安全缺陷对总部造成冲击。迅博VPN内置企业级防火墙功能，可以在总部和分支机构分别进行防火墙设置，确保整个网络的安全性。

总部采用VPN的双机热备份功能，可以保证整个网络的可靠性
  迅博VPN可以支持多种层次的可靠性，包括：
  双线备份及故障自动切换功能
  双机备份及故障自动切换功能
  分支及客户端VPN自动切换功能
通过采用上述可靠性技术，可以确保整个VPN网络无论是线路故障还是硬件故障，均可以自动切换到备份线路或机器上，从而保证数据业务的不间断运行。
 
总部和分支采用VPN的透明模式功能，可以不改变现有的网络结构，具有良好的可扩展性
  通过采用迅博VPN的透明模式进行组网，可以不必改变总部和分支机构的现有网络结构，从而快速的部署VPN网络，同时也可以方便的对整个VPN网络进行扩展和维护，增加VPN节点的话可以不影响已有VPN网络的正常运行。

通过授权，网络管理人员可以在任何地方对整个VPN专网进行远程维护，维护方便
  迅博VPN支持HUB&SPOKE技术，方便网络管理人员对VPN全网进行维护，可以在移动接入（CDMA/GPRS）的情况下对总部或分支的VPN网络进行远程维护。

支持多子网结构
  在一些大型企业和行业用户中，普遍使用多子网、多网段规划网络结构，迅博VPN产品支持远程用户访问特定的网段和子网，而不需要复杂的网络配置。

典型特点如下：
保护已有硬件投资，不改变现有任何网络结构
支持各种INTERNET接入方式，无论总部还是分支，均支持双线备份功能
支持企业级防火墙，可以设置远程VPN用户的访问策略
维护和扩展方便，高可靠性设计

五、 方案成本及支付方式

六、迅博VPN安全性概述

（一） 安全概述
 
  通过VPN建立远程专网（广域网）越来越普及，现在大多数VPN产品采用IPSEC标准，由于涉及到通过公共互联网进行通讯，VPN网络的安全性就非常重要，其中IPSEC是一种国际标准，定义了一个安全标准体系，主要分为如下几个方面保证安全性：隧道技术、数据加密技术、数据认证技术以及数据完整性技术，迅博VPN产品还支持企业级防火墙技术，来增强网络的安全性。
  迅博VPN支持AES/3DES/BLOWFISH等128/168位数据加密技术，可以实现无法破解的数据安全性，其中AES是美国国家加密标准，3DES是加密强度最高的加密算法。在数据认证及完整性技术方面，迅博VPN支持SHA1/SHA2/MD5等加密算法，可以实现1024/2048位的数据安全。
  在企业级防火墙方面，迅博公司针对企业上网安全控制的需求，推出企业级防火墙平台，首创智能编译功能，使用简单，是大中型及中小型企业安全控制的理想解决方案。迅博防火墙的主要功能特点为：

  企业级防火墙  功能强大,可方便的对大量机器进行管理，如可划分多个区域、多个接口,支持内网划分为多个网段，采用多种策略和规则、多种接入认证方式，针对不同部门、不同机器，采用不同的安全策略和规则，管理简单方便。

  智能编译型防火墙  部署简单  迅博防火墙可采用自动配置模式，生成不同安全级别的策略和规则，同时采用编译方式，自动检查配置，解决了专业防火墙必须由专业人员配置的问题。

  与应用紧密结合，支持七层过滤 迅博防火墙可以与VPN产品结合，可以对远程的VPN区域进行管理，并且可以为VOIP/VPN等应用预留带宽，保证关键业务应用，同时支持七层过滤功能，解决了传统防火墙难以封锁QQ/BT等问题。

  强大的QoS及带宽管理功能  迅博防火墙的QoS功能可以根据协议、端口、IP及应用层协议设置优先级，对数据进行调度分流，确保正常的上网应用，降低或禁止娱乐性应用。

  防非法攻击功能  迅博防火墙具有较强的防DDOS攻击功能，可以方便的对连接数、连接频率进行设置  ，同时可以有效的防止冲击波 蠕虫病毒的攻击。
 

（二）功能解释

迅博防火墙对内网的控制管理以及对外网的攻击防护均是通过一定的概念和术语来描述这些防护和管理策略，因此要正确的使用企业级防火墙，这些概念和术语就非常重要。下面是对迅博防火墙的功能解释：
区域：区域是有相同属性的机器的集合，如整个局域的机器可以看做是一个区域，整个互联网是一个区域，因为互联网是不安全的，局域网是安全的，所以他们的区域不应该一样。当然根据安全级别，在一个局域网内部也可以划分几个区域，如区域1可以禁止其上网，区域2可以上网，但只能收发邮件和浏览网页，区域3可以允许其不限制上网，如可以使用BT，等等。一般的，防火墙本身独立为一个区域，因为它是内网和外网的桥梁。区域的区分可以通过IP范围、网段，也可以通过接口。例如，192.168.10.2-192.168.10.30可以划分为一个区域，192.168.10.50可以独立成为一个区域。如果防火墙和VPN结合使用，则VPN独立为一个区域，防火墙可以对远程的VPN权限进行管理，例如，可以只允许VPN用户只能访问个别机器、个别协议和端口，这样即使远程的VPN用户感染病毒和木马，对总部和其他分支的VPN用户也不会有影响。

策略：策略是描述区域之间关系的术语，例如我们可以将一个公司的网络划分为最基本的三个区域：内网区域、外网区域以及防火墙区域，首先从安全上来讲，我们可以采用不同的关系（即策略），例如禁止内网区域访问外网区域，这是一个最安全的策略。也可以允许内网区域访问外网区域，这是一个不太安全的策略。

规则：策略对区域之间的关系描述比较粗放，即只能是禁止或允许，如果要更细致的描述一些特殊和例外情况，则需要规则。规则是对区域内的个体之间的关系进行描述。例如：假设在内网区域和外网区域之间，我们定义了安全的策略，即禁止内网所有机器访问外网，但我们还是需要某些互联网访问的，如允许收发邮件，允许某些部门使用MSN，允许另外一些部门浏览网页等，这些比较细致的策略，需要使用规则定义。

主机：如果区域是某些主机的集合，则主机描述具体的PC机IP及接口属性。

接口：接口是防火墙设备的属性，是实实在在的东西，如内网接口是br0，外网接口则视外网接入方式而不同。所有的区域都必须指定为某个接口，由接口来完成策略和规则的转化。同时接口本身有一些属性，如接口可以支持MAC认证，接口可以支持黑名单。

MAC认证：如果在接口上选择了MAC认证属性，那么所有通过此接口的区域主机都必须在指定的MAC列表中，否则则禁止其接入防火墙和外网。迅博防火墙支持自动获取MAC方式，同时支持MAC/IP绑定，即可以指定某个MAC必须以具体指定的IP接入。如果要对一个网段的机器划分几个区域进行管理，最好采用MAC认证或MAC/IP绑定认证方式，以防止PC机改变IP从而改变区域。

黑名单：如果在接口上选择了黑名单功能，则可以禁止区域中某个IP。注意MAC认证只对内网有效，黑名单也可以对外网有效，例如可以将外网的某些IP列入黑名单。

IP地址伪装：一般的，防火墙只会获得有限的几个公共IP，并且一个公共IP的居多，这时需要对内网的机器接入互联网进行NAT转换。迅博防火墙的IP地址伪装可以实现NAT功能，同时还可以实现一般路由器无法实现的功能，即策略式NAT，例如可以针对目的IP和端口，源IP和源端口进行伪装，同时还可以支持通过VPN隧道进行伪装。

多地址管理：对于专线上网的用户来说，运营商（电信和网通）一般分配多个公共IP，如4个、8个、16个等，当然也可以分某一个网段。迅博防火墙可以对多个公共IP进行管理，提高利用率。

流量管理：通过设置，可以实时观察任何接口、任何IP、任何协议及端口的下载和上行流量，网管人员通过这些流量信息，可以实时的对内网策略和规则进行调整。

连接管理：连接数又称会话数，一个网络应用的实现，一般有多个连接来实现，每个连接由TCP或UDP协议来实现，例如，在浏览一个网站的时候，会有多个连接一起来实现，对于一些下载软件、P2P软件等，用到的连接数会更多，例如，使用PPlive看电影，则一般要用到1000甚至更多的连接。防火墙带的连接个数是有限制的，如果局域网内的所用连接超过了防火墙的最大值，则会影响某些机器的网络应用，如速度慢、连接丢失等。因此连接管理非常重要，迅博防火墙支持实时查看所有机器的连接数目，根据连接数目可以初步判断每台机器的应用是否正常，例如连接数过多，通常也是某类病毒的表现，这样可以限制某台机器、某类应用的连接数频率。同时迅博防火墙还支持在区域层次限制连接频率。

七层过滤：大多数防火墙在IP协议层对内网和外网进行管理，但IP协议层有一定的局限性，很难对某类应用进行管理和控制，例如某些版本的QQ软件，只使用80端口，而80端口通常是开放的，因此传统防火墙很难对这类QQ进行有效控制。迅博防火墙实现了应用层过滤功能，可以对100多种应用进行有效控制，例如对QQ/MSN/HTTP/MAIL/SSL/P2P等进行有效控制。

带宽管理：迅博防火墙具有强大的带宽管理功能，可以对多个接口进行带宽管理，如果管理上行带宽，则需要外网接口，如果要管理下行带宽，则需要定义内网接口。通过设置不同接口，可以对带宽进行分类，例如设置200Kbit  500Kbit  1000Kbit三类带宽，然后再定义带宽规则，带宽规则可以根据IP、协议、端口来定义，指定不同的带宽类别，如果没有在带宽规则中指定带宽类别，则属于默认带宽类别。迅博防火墙的带宽管理可以和VPN应用进行紧密集合，例如可以为VPN预留带宽，从而保证关键应用的运行。

QoS设置：QoS对流量的控制与带宽管理思路不同，QoS通过设置不同的服务级别，指定优先级的方式保证服务质量，迅博防火墙具有很强的QoS级别设置方式，这也是判断QoS能力的最重要指标。迅博防火墙可以按IP协议、TCP协议、UDP协议、端口号、应用层协议、以及TOS等几个层次来进行QoS级别设置。通过正确的QoS设置，可以不限制BT等P2P应用，仍然可以使网络流畅，例如可以将TCP 80端口的优先级提高，将某些IP地址的优先级提高，则优先级高的应用会抢占优先级低的应用，只有优先级底的应用或机器有可能会感觉网络拥挤 。