【IT168 案例】虚拟专用网络可以实现不同网络的组件和资源之间的相互连接。虚拟专用网络能够利用Internet或其它公共互联网络的基础设施为用户创建隧道，并提供与专用网络一样的安全和功能保障。

　　虚拟专用网络允许远程通讯方，销售人员或企业分支机构使用Internet等公共互联网络的路由基础设施以安全的方式与位于企业局域网端的企业服务器建立连接。虚拟专用网络对用户端透明，用户好象使用一条专用线路在客户计算机和企业服务器之间建立点对点连接，进行数据的传输。

　　虚拟专用网络技术同样支持企业通过Internet等公共互联网络与分支机构或其它公司建立连接，进行安全的通讯。这种跨越Internet建立的VPN连接逻辑上等同于两地之间使用广域网建立的连接。虽然VPN通讯建立在公共互联网络的基础上，但是用户在使用VPN时感觉如同在使用专用网络进行通讯，所以得名虚拟专用网络。

　　一.运城财政局网络安全现状

　　运城财政局各个分支机构分部比较广泛，并且财政局之前并没有建设专用网络，财政局办公相对比较独立。随着信息化的发展，财政局一些重要的财务、社会保障系统软件在单机的情况下无法满足需要。

　　考虑到财政系统必须实现专网，才能使用主流的网络版财务软件，实现专网连接是首先要达到的目的。

　　1.1.用户需求分析

　　实现专网有多种方式，最好的方式是独立架设单独的线路实现，但是考虑到财政局目前资金投入状况，自己架设线路的成本很高，而且各个财政所分部在偏远的乡村。更增加架设专网的难度。

　　目前各个乡镇财政所总数为15个，每个乡所拥有的计算机数目和网络规模比较小，平均每个乡镇财政局，用于业务的电脑最多3台。而且财务软件属于C/S模式，每月申报次数不多。网络通讯所用带宽较少。

　　鉴于以上对运城财政局网络现状的分析，结合运城财政局日益发展的业务需求，我们认为运城财政局的对网络系统有如下两个个需求：

　　1)组建自己的专有宽带网络(以下简称：专网)

　　利用现有的多种宽带接入方式组建专网，不光满足了业务数据传输对实时性、稳定性的要求，更重要的是，对公司整体网络系统实现了统一有效的管理，从而对业务数据的传输安全提供的很好的保障。需求如下：

　　因为VPN利用了公共网络，所以其最大的弱点在于缺乏足够的安全性。企业网络接入到internet，暴露出两个主要危险：

　　来自internet的未经授权的对企业内部网的存取。

　　当企业通过INTERNET进行通讯时，信息可能受到窃听和非法修改。

　　完整的集成化的企业范围的VPN安全解决方案，提供在INTERNET上安全的双向通讯，以及透明的加密方案以保证数据的完整性和保密性。

　　企业网络的全面安全要求保证：

　　保密-通讯过程不被窃听。

　　通讯主体真实性确认-网络上的计算机不被假冒。

　　2)建立有效的访问控制机制

　　只有对内部用户和外部用户的访问权限加以有效的控制才能保障公司网络长期有效地运行，为公司业务的发展创造良好的环境。

　　二.运城财政局防火墙+VPN一体化解决方案

　　在VPN领域我们普遍应用的主要有，基于路由器的VPN;ISP提供的VPN;基于防火墙的VPN和专用的VPN设备几种，我们评估一下那种方案在性能，管理和费用适合的解决办法。

　　通过以上的表格我们看到，真正在实际应用的主要是防火墙+VPN此种方式。

　　2.1.方案设计简述

　　本方案采用瑞星中小企业级防火墙设备，为省财政局和各个乡镇财政所建立网络访问控制和完善的vpn方案。

　　2.2.防火墙+VPN产品推荐

　　我们采用瑞星NP全功能防火墙RFW-SME和企业级防火墙RFW-100+运城财政局实现VPN的连接和访问控制，瑞星NP防火墙具有如下功能：

　　瑞星全功能NP防火墙采用了新型的网络芯片设计技术，这个区别于一般的PC休系架构表现在网络数据处理速度上能够达到线速，性能优越。该防火墙支持500个VPN通道和12800个并发连接，同时提供了80兆/秒的三重数据加密3DES能力和线速(wire-speed)防火墙的处理能力。

　　瑞星全功能NP防火墙整合了多种安全防护功能，是建构中小型企业网络的非常好的选择。RFW-SME拥有通用防火墙功能、网络地址转换(NAT)、主动式入侵检测(IDS)、虚拟专网(VPN)、带宽管理、内容过滤、以及策略管理等功能。通过架设瑞星全功能NP防火墙，可以保护用户的网络免于黑客的攻击，同时也帮助用户利用因特网的资源建构网络安全机制及虚拟专网服务，还提供了不同等级的网络带宽管理，让一些特殊的应用服务可以确保使用带宽。另外，还提供有因特网地址名称过滤、内容过滤、主动式入侵检测以及直接利用浏览器即可管理的简易操作等功能。因为有这个内建支持浏览器的管理接口，你可以在你现有的操作系统下利用你熟悉的浏览器操作来管理这个防火墙。

　　RFW-SME提供一个10/100Mbps的外网(WAN)接口，一个10/100Mbps的DMZ接口，以及三个10/100Mbps的内网接口。外网接口的IP地址支持下列三种模式：PPPoE，DHCP，或静态IP。根据用户的网络服务提供商所提供的服务方式，任选其中一种设定防火墙的对外IP地址参数。RFW-SME还提供有内建的DHCP(动态主机配置服务协议)服务功能，它可让内网接口上的主机由DHCP服务提供相对应的地址及其他信息，使得用户轻松管理所有的上网主机。

　　2.3.部署建议

　　根据运城财政局的网络结构特点，结合瑞星SME防火墙的工作模式，制定如下几部分内容：网络地址的重新规划、防火墙的配置、LAN到LAN的VPN的实现。

　　1.网络地址的规划：

　　考虑到实现lan到lan的vpn访问和日常的管理，有必要将目前县级网络的地址重新规划。根据网络规模和日后扩展能力，规划后的地址如下：

　　2.防火墙的配置：

　　防火墙配置的前提条件：

　　用户接入互联网，接入方式可以是：固定IP、DHCP客户端、也可以通过PPPOE获得，用户采用的带宽为512k以上，建议采用1M。

　　防火墙的物理位置部署在各个分公司内网和互联网的唯一出口处。

　　防火墙的策略设置：

　　建立nat模式，隐藏企业内部网络结构。

　　制定不同的网络对象，可以根据部门业务特点进行划分;

　　根据不同的网络对象制定不同的访问控制策略，如业务网内用户不允许访问互联网资源。

　　允许业务网用户通过防火墙VPN连接地址网络。

　　3.LAN到LAN的VPN实现

　　在运城县的互联网出口处，配置瑞星RFW-100+防火墙，与各个分财政所RFW-SME防火墙进行VPN连接，省RFW-100+防火墙VPN设置主模式，财政所RFW-SME防火墙设置主动模式。

　　VPN建立过程如下：

　　.自动密钥 IKE”通道协商的第 1 阶段由如何认证和保护通道的提议交换组成。交换可以在两种模式的其中一种模式下进行: Aggressive mode ( 主动模式) 或 Main mode ( 主模式)。使用任一种模式时，参与者将交换可接受的安全服务提议，例如加密算法 (DES 和 3DES) 和认证算法 (MD5 和 SHA-1)

　　.当参与者建立了一个已认证的安全通道后，他们将继续执行“第 2 阶段”。在此阶段中，他们将协商 SA 以保护要通过 IPSec 通道传输的数据。与“第 1 阶段”的过程相似，参与者交换提议以确定要在 SA 中应用的安全参数。“第 2 阶段”提议还包括一个安全协议 - “封装安全性负荷” (ESP) 或“认证包头” (AH) - 和所选的加密和认证算法。如果需要“完全正向保密”(PFS)，提议中还可以指定一个 Diffie-Hellman 组。

　　.两段分别进行连接，如果两端都可以访问到对方防火墙后面的地址，证明加密成功。

　　4.移动客户端到局域网的VPN连接

　　移动客户端进行VPN的连接条件：

　　分公司单位采用固定IP的接入方式

　　移动客户端要求WINDOWS2000以上操作系统

　　移动客户端拨号的实现：

　　采用pptp协议进行VPN的连接，设置DHCP地址池;

　　在NP防火墙中建立拨号用户，设置认证用户的帐户密码;

　　设置PPTP加密算法;

　　根据windows拨号向导，设置客户端拨号软件;

　　5.部署后的拓扑图